入侵检测通过监视受保护系统的状态和活动，采用误用检测或____的方式，发现非授权或恶意的系统及网络行为。

一般地，入侵检测系统需要解决两个问题，一是如何充分并可靠地提取描述行为特征的数据，二是如何根据特征数据，高效并准确地判定______。

入侵检测通过监视受保护系统的状态和活动，采用误用检测或______的方式，发现非授权或恶意的系统及网络行为。

CIDF的工作集中体现在四个方面：IDS的体系结构、通信机制、描述语言和____。

执行误用检测，主要依赖于可靠的____和分析事件的方法。

在分析模型中，____是执行预处理、分类和后处理的核心功能。

状态转换方法目前主要有三种实现方法：_____、有色Petri-Net和语言／应用编程接口。

在CIDF、体系结构中，各个组件之间是以____格式进行数据交换。

入侵检测系统基于数据源可分为：基于主机、_____、混合入侵检测、基于网关的人侵检测系统及文件完整性检测系统。

状态转换方法使用系统状态和_____来描述和检测入侵。