どうも。最近クチャラーが苦手な私です。
今回はかなり長い記事になりそうですが、お付き合いください。
唐突ですが、記事修正を行いました。↓↓↓

合わせて読みたい！

概要

ネットワーク上での、検出とセンサー（監視）。
情報を監視するためのメソッドです。
様々な方法で情報を収集解析して、
セキュリティを高めようという取り組みです。

センサー＆検出器　Introduction

センサーとは、セキュリティ監視や診断用途のデータを
収集するデバイスの総称とします。
その一種として、ネットワープタップがあり、ファイアウォールのログなども利用することができるそうです。

そして、センサーには分類があります。

ネットワーク型センサー
ホスト型センサー

要するに、ネットワークを監視することに長けているか、
はたまた、コンピュータを監視することに長けているかの違いです。

で、これを実装するに当たっての配置を考えていきます。
一応図を作りましたが、わかりづらいです（断言）

この様な配置となっております。
まず、種類を分けていきます。

1. インターネット出口のルーターのインターフェースを監視。
2.ルータースイッチと接続するインターフェース監視。
3.ルーターとA(PC)を接続するインターフェース監視。（A=ルーター右側）
4.Aを監視する。
5.スイッチ、ハブの間のインターフェース監視。
6.B（PC)のサーバー上でのHTTPログデータを収集する。（B=ハブの片方）
7.ハブを通過する全TCPパケット収集。

こんな感じになります。

では、それぞれ説明していきます。
１：内部ネットワークと、外部を流れるパケットのみ分かる。
２：下にあるコンピュータとAまたはインターネットの間のパケットが分かる。
３：AのPCが送受信するパケットのみ分かる。
４：BのPCが送受信するパケットのみ分かる。
５：スイッチを通過する全パケット収集が可能である。
６：5のセンサーが収集できるデータの１部のみ収集できる。
７：これは、BとC(ハブのもう片方）とAを除くPC間すべてのパケット取得ができる。

恐らく、非常にわかりづらいと思いますが、あなたの明晰な頭脳を信じます。
要するに、様々な所にセンサーを配置し、ログを収集したり監視したり
することによって、セキュリティを向上するぜ！という話なのです。

これから分かる通り、１箇所にセンサーを配置しても網羅的には把握できません。
ですので、随所に散りばめておくのです。
ですが、これら「網羅的配置」では重複したデータを取得してしまいます。
なので、これらのバランスを考えて配置をするべきです。

データの種類：センサー型ごと取得可能データ

センサーの種別で、取得できるデータがあります。（言わずもがな）

ネットワーク型：パケットを記録したり、診断を行う。
ホスト型：サービスを提供するサーバー内のログインログアウトなどの監視。
サービス型：HTTPやSMTPなどのプロセス監視。

以上の様になります。
具体的に、攻撃などを踏まえて図に落とし説明します。

左のPCから、　A　B　C　と名付ける。
インターネットからハブをD、FTP、HTTP周りをEとする。
AはHTTPサーバー且つ、FTPサーバーです。
Bは秘匿のHTTPサーバー。
Cはワークステーションです。

まず、攻撃者がFTPサーバーを探すべく、全PCのPORT21（FTP_PORT)
を探るため、無差別にFTPサーバー探知用PACKETを送りスキャンする。
このスキャンでは、反応がAで検出され、Bでは検出されない。

攻撃者は、暗号化されたWEBサービスを提供するTCPのPORT443に、
GETリクエストを無差別に全PCに送りつけ反応するWEBサーバーを探す。
EではAが反応したことを検出できるが、Eでは操作の内容は不明。

攻撃者は平文サービスを提供するWEBサーバを探し、全PCに
探知用パケットを送る。
Dには検出できるが、Bは平文サービスを提供していないので無視。
なので、Eには残らないが、Bが反応してしまう。
この反応はDにより検出されるので、それらが把握できる。

この様な感じで攻撃と検知が行われます。
因みに、443PORTがHTTPSで、80がHTTPです。
詰まるところ、セキュリティを考えた際、
異なる型のものを組み合わせることによって、詳細にデータを取得します。
それぞれの特性を活かして、セキュリティを高めるということです。

もう少し書きたいところですが、やることがあるし眠いのでこれで。
誰かの役に立つことを願って、それでは。