根据CIDF阐述入侵检测系统(IDS)的通用模型思想，具备所有要素、最简单的入侵检测组件如图所示。根据CIDF规范，将IDS需要分析的数据统称为Event(事件)，Event既可能是网络中的Data Packets(数据包)，也可能是从System Log等其他方式得到的Information(信息)。


　　没有数据流进(或数据被采集)，IDS就是无根之木，完全无用武之地。


　　作为IDS的基层组织，事件产生系统大可施展拳脚，它收集被定义的所有事件，然后一股脑地传到其它组件里。在Windows环境下，目前比较基本的做法是使用Winpcap和WinDump。


　　大家知道，对于事件产生和事件分析系统来说，眼下流行采用Linux和Unix平台的软件和程序;其实在Windows平台中，也有类似Libpcap(是Unix或Linux从内核捕获网络数据包的必备软件)的工具即Winpcap。


　　Winpcap是一套免费的， 基于Windows的网络接口API，把网卡设置为“混杂”模式，然后循环处理网络捕获的数据包。其技术实现简单，可移植性强，与网卡无关，但效率不高，适合在100 Mbps以下的网络


　　相应的基于Windows的网络嗅探工具是WinDump(是Linux/Unix平台的Tcpdump在Windows上的移植版)，这个软件必须基于Winpcap接口(这里有人形象地称Winpcap为：数据嗅探驱动程序)。使用WinDump，它能把匹配规则的数据包的包头给显示出来。你能使用这个工具去查找网络问题或者去监视网络上的状况，可以在一定程度上有效监控来自网络上的安全和不安全的行为。