基于Bro的网络入侵检测系统设计及实现策略分析

随着网络技术的迅猛发展,网络应用迅速普及开来,网络安全问题也日益突出。为了应对日趋严峻的网络安全现状,在遵循公共入侵检测框架和入侵检测消息交换格式标准的基础上,通过对比不同的网络入侵检测系统基础架构的性能和复杂度,设计了一个基于一种新一代网络入侵检测系统基础架构——Bro的实时高速网络入侵检测系统,详细阐述了系统的设计方案,深入分析了系统各组件的功能,并对具体的实现策略进行了细致的剖析。

入侵检测系统标准化分析研究

IDS(入侵检测系统)是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术,得到了越来越多的应用.其标准化问题研究,是入侵检测技术和产品发展的必然要求,标准化的制定有利于不同的IDS之间,增强信息共享和交换的能力,加强IDS之间的交流和协作.对公共入侵检测框架CIDF标准和入侵检测消息交换格式IDMEF标准进行了详细的分析研究.对我国标准制定提出了相关的思考.

基于Bro的网络入侵检测系统的设计及实现策略分析

为了应对日趋严峻的网络安全现状,在遵循公共入侵检测框架和入侵检测消息交换格式标准的基础上,本文设计了一个基于一种新一代网络入侵检测系统基础架构——Bro的网络入侵检测系统,并对系统各功能组成部分及实现策略进行了详细的阐述和分析。

基于P2P的分布式入侵检测系统

本文基于当前入侵检测分布化的特点,通过分析对等网的原理以及和C/S模式的区别,为实现入侵检测信息的共享,在分布式的入侵检测系统中各独立的子系统之间进行对等的网络连接,在现有通用的入侵检测系统的框架的基础之上提出了基于P2P协议的分布式入侵检测系统,对系统的模块进行了阐述,并进行了功能分析。

一种分布式入侵检测系统的通信机制设计

基于关联和代理的分布式入侵检测模型,提出了一种分布式入侵检测系统的通信机制设计方案。其中通信Agent间的消息交换格式参照IDMEF标准,给出其消息内容详细设计,并根据需求扩充了警报数据XML描述;汇聚点通信Agent中使用基于subscription通信模式减少了系统的通信开销,具体描述了subscription的逻辑结构实现;还在通信机制中采用SSL技术较好解决了数据传输的安全问题。

一种基于协同调度的入侵检测框架

分析了现有入侵检测系统的不足,讨论了协作的必要性,介绍了一种多主体协同入侵检测框架。本框架采用分布检测和集中处理的结构、通用的警报格式和安全通信协议,由控制中心的调度引擎对协同请求、关联数据收集、警报和新规则的分发进行统一的调度管理。经过测试和应用,能够很好地实现多主体间的信息共享,完成协同检测。

基于对等网的分布式入侵检测系统

分析了当前入侵检测分布化的特点,通过对等网原理的阐述、以及它和C/S模式之间差别的分析,同时为了实现入侵检测信息的共享,在各个分布式的入侵检测系统各独立的子系统之间进行了对等的网络连接,并在现有通用的入侵检测系统的框架的基础上提出了基于P2P协同的分布式入侵检测系统,从整个入侵系统框架角度,给出了分布式入侵检测系统各个组成模块的实现方法,尤其是对系统的数据通信模块进行了详细的阐述,并进行了功能分析。

基于IDMEF的协作式入侵检测技术研究

介绍了入侵检测技术的发展和现状,阐述了协作式入侵检测技术中信息交换的产生背景和功能要求。主要讲述了如何利用入侵检测信息交换格式-IDMEF(Intrusion Detection Message Exchange Format)和入侵检测交换协议-IDXP(Intrusion Detection Exchange Protocol)来实现多个入侵检测系统之间的信息交换。

基于Prelude的安全事件数据交换与传输

IDMEF(入侵检测消息交换格式)已被广泛地应用到入侵检测领域中,成为最具影响力的建议之一。它采用XML(可扩展置标语言)作为数据交换格式,但在实际应用中,这对事件传输和处理的性能上产生了一定的负面影响,针对此问题,文中采用Prelude框架来有效地解决,并且可以更加容易地使系统在此基础上对数据做进一步操作处理。

一种支持异构Sensor的分布式IDS的通信机制

提出了一种新的支持分布式入侵检测通信需求的通信机制。给出了通信机制的体系结构及其实现流程,提出了一种基于XML进行异构Sensor事件一致描述的方法,有效地解决了IDS之间数据共享的问题。针对IDS控制台和检测传感器之间安全数据交换的问题,提出了一种基于SSL和RSA算法相结合的安全通信解决方法。对本通信机制的性能进行了量化分析。

网络安全组件间协同响应机制研究

为解决由于组件间缺乏协同机制而无法充分发挥网络安全系统整体优势的问题,提出了一种基于策略的协同响应机制。基于策略驱动模型设计安全组件间的协同响应过程,通过对入侵检测消息交换格式(IDMEF)的扩展实现协同消息,采用块可扩展交换协议(BEEP)框架实现用于组件通信的入侵检测交换协议(IDXP),编程实现协同模块实施协同操作。运用该机制对网络安全组件的协同响应进行评估实验,获得各个阶段的时间开销。实验结果表明该机制能有效地实现网络安全组件的协同响应。

基于XML的网络安全信息描述

为了解决来自不同厂商的网络安全产品之间由于网络安全信息描述不一致而导致难以沟通和协作等问题，文章提出并设计了一套基于XML的网络安全信息描述机制，改善和解决了由于分布式网络安全设备相互孤立而产生的功能重复和安全盲点等问题。

基于IDMEF的大规模协同IDS架构

为了实现IDS系统的分布化、协同化和标准化,入侵检测消息交换格式(IDMEF)相关标准已被广泛地应用到IDS领域中。该文讨论了一种基于IDMEF标准的大规模协同IDS构架,对基于Prelude框架和开发包的IDS协同系统进行了分析、设计和实现,并研究了该架构在CERNET网络中的部署和应用方法。经初步应用证明,该系统可以基本满足需求,达到了IDS的分布化、协同化和标准化的要求。

基于簇的移动自组网的IDMEF数据模型设计

IDWG提出的IDMEF数据模型是基于有线网络的入侵检测而设计提出的,而移动自组网具有网络自组性、拓扑结构高度动态、传输带宽有限、移动节点局限性、多跳路由通信、分布式控制等独特特征,其安全性特别脆弱,加上文中欲设计基于簇的移动自组网入侵检测系统,导致该系统无法使用IDWG提出的IDMEF数据模型。因此,在综合考虑上述因素和参照原IDMEF数据模型的基础上,文中提出和设计了一种新的基于簇的移动自组网的IDMEF数据模型,并对其进行了详述。该模型能很好地适应移动自组网和本移动自组网入侵检测系统的需求。

基于扩展的消息交换格式的HCIDS研究

论文提出了层次化协作式IDS的体系结构和适应这种体系结构的扩展的入侵检测消息交换格式(EIDMEF),设计实现了入侵检测控制信息交换格式模块和控制器与控制器间消息交换格式模块。部署方案和性能分析表明层次化协作式IDS部署方便、实用性好,消除了中心控制器引起的瓶颈问题。

ISO/IEC JTC1/SC37最新进展

ISO/IEC JTC1/SC37（生物特征识别分委会）2017年1月30日-2月7日在澳大利亚召开2017年全会及工作组会议,中国代表团参加了部分工作组会议及全体会议。1工作组会议WG1负责生物特征识别术语和指南标准开发,

IDMEF数据模型的改进与实现

针对IDMEF数据模型在实际使用中可能存在的不足 ,提出了一个解决方案 .最后给出了一个例子 ,使用DTD(文档类型定义 )

基于IDMEF的信息安全事件标准化模型研究

信息安全事件标准化是信息安全保障体系的重要组成部分。本文对信息安全事件的数据源进行了分析,基于IDMEF标准,提出了信息安全事件的标准化模型,基于XML语言给出了信息安全事件的数据表示、创建和存储方法,对分析、解决不同类型信息系统、安全产品的安全事件标准化问题具有指导意义。