基于IDMEF和分类的报警聚合

如何聚合来自不同IDS的报警以减少重复报警是分布式IDS研究的重要问题。设计了一种入侵检测消息交换格式(IDMEF)报警消息格式规范,通过对IDMEF数据模型中的Alert类扩展而成,可统一描述不同IDS上报的报警信息。为有效聚合IDMEF报警,对基于分类和相似度的原始报警聚合算法进行了改进,并在Snort平台上实现了报警聚合模块原型和IDMEF报警生成模块原型。在DARPA99数据集上的实验结果证明了该方案的有效性。

IDMEF的XML数据存储和查询研究

越来越多的应用使用XML作为一种通用数据交换格式。IDS也使用XML来定义入侵警报信息规范-IDMEF(Intrusion Detection Message Exchange Format),[12]。IDMEF是一种结构比较简单的XML,如果使用通用XML的存储和查询技术,系统会变得比较复杂。分析IDMEF的DTD,发现使用栈结构来存储和查询是十分方便的。把DTD文件经过语法分析,转化成栈结构的数据,再把栈结构的数据保存到关系数据库中。在此基础上可以很容易地实现入侵警报信息的存取、检索。这种方案只需要使用两个表,描述简单、容易实现。很容易把这种方案推广到其他格式简单的XML的存储和查询中,具有一定的通用性。

基于XML技术的IDMEF在分布式入侵检测系统中的应用

本文主要介绍了在入侵检测系统IDS中一种新兴且有发展前景的技术——基于XML数据描述技术实现的入侵检测消息交换格式IDMEF。首先阐述了XML 这种新的通用标记语言的定义、特点和优点,以及基于它的IDMEF 技术的特点与优越性,并进一步描述了该技术在分布式入侵检测系统中心控制台中的应用., 详细介绍了入侵检测消息的处理机制。基于XML实现技术的IDMEF 尚处于发展和完善之中,在实际应用上也存在不足,且尚未被采纳为广泛接受的国际标准。不过,它仍是入侵检测领域最具影响力的建议之一,成为标准只是时间问题。

IDMEF数据模型的改进与实现

针对IDMEF数据模型在实际使用中可能存在的不足 ,提出了一个解决方案 .最后给出了一个例子 ,使用DTD(文档类型定义 )

基于IDMEF的警报管理系统的实现

IDMEF(Intrusion Detection Message Exchange Format)是因特网工程任务组(IETF)下属的IDWG(Intrusion Detection Exchange Format Working Group)定义的一个统一入侵检测警报消息格式。这里着重介绍利用IDMEF联系网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS)的警报信息的应用。

基于IDMEF的协作式入侵检测技术研究

介绍了入侵检测技术的发展和现状,阐述了协作式入侵检测技术中信息交换的产生背景和功能要求。主要讲述了如何利用入侵检测信息交换格式-IDMEF(Intrusion Detection Message Exchange Format)和入侵检测交换协议-IDXP(Intrusion Detection Exchange Protocol)来实现多个入侵检测系统之间的信息交换。

基于簇的移动自组网的IDMEF数据模型设计

IDWG提出的IDMEF数据模型是基于有线网络的入侵检测而设计提出的,而移动自组网具有网络自组性、拓扑结构高度动态、传输带宽有限、移动节点局限性、多跳路由通信、分布式控制等独特特征,其安全性特别脆弱,加上文中欲设计基于簇的移动自组网入侵检测系统,导致该系统无法使用IDWG提出的IDMEF数据模型。因此,在综合考虑上述因素和参照原IDMEF数据模型的基础上,文中提出和设计了一种新的基于簇的移动自组网的IDMEF数据模型,并对其进行了详述。该模型能很好地适应移动自组网和本移动自组网入侵检测系统的需求。

基于IDMEF的信息安全事件标准化模型研究

信息安全事件标准化是信息安全保障体系的重要组成部分。本文对信息安全事件的数据源进行了分析,基于IDMEF标准,提出了信息安全事件的标准化模型,基于XML语言给出了信息安全事件的数据表示、创建和存储方法,对分析、解决不同类型信息系统、安全产品的安全事件标准化问题具有指导意义。

分布式入侵检测系统通讯协议的研究与实现

文中提出并实现了基于安全套接字层(SSL)1技术和XML数据封装的分布式入侵检测系统(DIDS)安全通讯协议。SSL为网络应用层的通信提供了认证、数据保密和数据完整性的服务,较好地解决了数据传输的安全问题。XML具有良好的扩展性能,使用XML来定义入侵警报信息规范-IDMEF(IntrusionDetectionMessageExchangeFormat)2,进而使用栈结构来存储可以很容易地实现入侵警报信息的存取、检索。

基于Agent的分布式入侵检测系统通信机制设计

分布式环境下的入侵检测系统是入侵检测的研究热点,系统中各Agent运行于不同的平台上,具有不同的数据表达格式,这需要有效的通信机制保障Agent间的通信与协作。本文在入侵检测标准化组织现有文档的基础上,提出了一个具有通用性的分布式入侵检测系统通信机制框架。Agent间的消息交换格式参照IDMEF标准,并根据入侵检测Agent通信需求扩充了警报数据的XML描述。框架还给出了Agent通信安全机制,使通信机制总体上满足了分布式入侵检测系统警报信息量大、实时通信、安全性高的特点。

入侵检测系统通用模型的分析与研究

入侵检测是信息安全保障的关键技术之一。本文简要介绍了入侵检测系统的概况和目前入侵检测系统中采用的两种通用模型:通用入侵检测框架(CIDF)和入侵检测信息交互格式(IDMEF),并在技术上对两者的优势与不足做了分析和比较。

数据挖掘在日志管理中的应用

该文阐述了日志管理中心(LMC)通用模型及实现,通过对各种日志信息进行采集、规整和汇集,生成统一的日志事件,利用事件关联规则进行分析,从而发现系统中的潜在威胁和攻击,采取实时应对措施。特别地,文中还详细介绍了两种数据挖掘算法及如何利用算法发现事件模式,自动生成事件关联规则。

基于SNMP的主动入侵检测系统的设计与实现

针对当前入侵检测系统中响应的被动性、滞后性问题,结合网络管理思想和包过滤防火墙技术,提出了一种分布式主动响应的入侵检测系统(SNMP_AIDS)的结构并给出了该系统的体系结构图。然后设计了系统中的3大部件:入侵检测系统(intrusion detection systemI,DS)群集、中央事件管理器、防火墙代理模块,并对这3大部件的功能和特点进行了分析。最后,在对系统进行详细设计之后,又给出了系统中3大部件的原型实现。该系统经过实验证明了其主动响应能力,并能向防火墙发出简单网络管理协议(simple network management protocol,SNMP)报文。

基于XML的网络安全信息描述

为了解决来自不同厂商的网络安全产品之间由于网络安全信息描述不一致而导致难以沟通和协作等问题，文章提出并设计了一套基于XML的网络安全信息描述机制，改善和解决了由于分布式网络安全设备相互孤立而产生的功能重复和安全盲点等问题。

基于Bro的网络入侵检测系统设计及实现策略分析

随着网络技术的迅猛发展,网络应用迅速普及开来,网络安全问题也日益突出。为了应对日趋严峻的网络安全现状,在遵循公共入侵检测框架和入侵检测消息交换格式标准的基础上,通过对比不同的网络入侵检测系统基础架构的性能和复杂度,设计了一个基于一种新一代网络入侵检测系统基础架构——Bro的实时高速网络入侵检测系统,详细阐述了系统的设计方案,深入分析了系统各组件的功能,并对具体的实现策略进行了细致的剖析。

网络安全组件间协同响应机制研究

为解决由于组件间缺乏协同机制而无法充分发挥网络安全系统整体优势的问题,提出了一种基于策略的协同响应机制。基于策略驱动模型设计安全组件间的协同响应过程,通过对入侵检测消息交换格式(IDMEF)的扩展实现协同消息,采用块可扩展交换协议(BEEP)框架实现用于组件通信的入侵检测交换协议(IDXP),编程实现协同模块实施协同操作。运用该机制对网络安全组件的协同响应进行评估实验,获得各个阶段的时间开销。实验结果表明该机制能有效地实现网络安全组件的协同响应。

统一通用入侵检测框架的研究与设计

入侵检测是信息安全保障的关键技术之一,本文介绍了目前入侵检测系统中采用的两种通用模型:通用入侵检测框架(CIDF)和入侵检测信息交互格式(IDMEF),在技术上比较了两者的优势与不足,在集中CIDF和IDMEF优点的基础上,提出一种统一的通用入侵检测框架(UCIDF),用于构造统一的安全管理平台。

入侵检测系统标准化分析研究

IDS(入侵检测系统)是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术,得到了越来越多的应用.其标准化问题研究,是入侵检测技术和产品发展的必然要求,标准化的制定有利于不同的IDS之间,增强信息共享和交换的能力,加强IDS之间的交流和协作.对公共入侵检测框架CIDF标准和入侵检测消息交换格式IDMEF标准进行了详细的分析研究.对我国标准制定提出了相关的思考.

构建安全的电子商务传输平台

随着计算机网络和Internet的发展,网络安全越来越受到人们的重视和关注,在通信中发生的数据窃取、篡改、冒充也越来越多。这就需要对网络中传输的数据进行安全保护,构建点到点之间的安全传输通道,因此在Internet中建立一个具有入侵检测功能的安全传输平台的需求就日益迫切起来。

基于Bro的网络入侵检测系统的设计及实现策略分析

为了应对日趋严峻的网络安全现状,在遵循公共入侵检测框架和入侵检测消息交换格式标准的基础上,本文设计了一个基于一种新一代网络入侵检测系统基础架构——Bro的网络入侵检测系统,并对系统各功能组成部分及实现策略进行了详细的阐述和分析。