第12讲 IDS技术(二).ppt

第12讲 IDS技术（二） 一、IDS相关标准 1、数据交换标准 数据交换标准定义了数据格式和交换规程，用于入侵检测或响应（IDR）系统之间或与需要交互的管理系统之间的信息共享； 数据交换标准主要内容： 入侵检测消息交换格式（IDMEF）； 入侵检测交换协议（IDXP）。 2、入侵检测消息交换格式IDMEF IDMEF描述了表示入侵检测系统输出信息的数据模型（该数据模型用XML实现），并解释了使用此模型的基本原理，并设计了一个XML文档类型定义（XML DTD）； 自动入侵检测系统可以使用IDMEF提供的标准数据格式对可疑事件发出警报，提高商业、开放资源和研究系统之间的互操作性； IDMEF最适用于入侵检测分析器（或称为“探测器”）和接收警报的管理器（或称为“控制台”）之间的数据信道。 3、IDMEF的数据模型 IDMEF数据模型以面向对象的形式表示分析器传递给管理器的警报数据； 设计数据模型的目标是为警报提供确定的标准表达方式，并描述简单警报和复杂警报之间的关系。 3、IDMEF的数据模型 所有IDMEF消息的最高层类是IDMEF－Message,每一种类型的消息都是该类的子类。IDMEF目前定义了两种类型的消息：Alert(警报)和Heartbeat（心跳），这两种消息又分别包括各自的子类，以表示更详细的消息。 4、数据模型的描述语言UML 数据模型是用统一建模语言（UML）描述 ； UML用一个简单的框架表示实体以及它们之间的关系，并将实体定义为类； IDMEF包括的主要类有IDMEF－Message类、Alert类、Heartbeat类、Core类、Time类和Support类，这些类还可以再细分为许多子类。 5、XML简介 XML（Extensible Markup Language可扩展标记语言）是SGML（Standard Generalized Markup Language标准通用标记语言）的简化版本，是ISO 8879标准对文本标记说明进行定义的一种语法。作为一种表示和交换网络文档及数据的语言，XML能够有效地解决HTML面临的许多问题。 6、入侵检测交换协议(IDXP) IDXP是用于入侵检测实体之间交换数据的应用层协议，能够实现IDMEF消息、非结构文本和二进制数据之间的交换，并提供面向连接协议之上的双方认证、完整性和保密性等安全特征； IDXP是BEEP（块可扩展交换协议）的一部分，BEEP是一个用于面向连接的异步交互通用应用协议，IDXP的许多特色功能（如认证，保密性等）都是由BEEP框架提供的。 7、IDXP的对等体 IDXP的对等体就是指使用IDXP传送数据的入侵检测实体； 对等体只能成对地出现； 对等体可以是管理器，也可以是分析器： 分析器和管理器之间是多对多的关系：一个分析器可以与多个管理器通信，同样，一个管理器也可以与多个分析器通信； 管理器与管理器之间也是多对多的关系； IDXP规定，分析器之间不可建立交换。 8、IDXP模型 建立连接：入侵IDXP检测实体之间的IDXP通信在BEEP信道上完成。两个希望建立通信的入侵检测实体，首先要进行一次BEEP会话，然后就有关的安全特性问题进行协商，协商好BEEP安全轮廓之后，互致问候，然后开始IDXP交换； 二、漏洞描述的标准化——CVE 1、CVE（/ ） CVE：Common Enumeration of Vulnerabilities and Exposures Vulnerability（漏洞）：对所有安全策略而言都有问题的那些漏洞。比如，phf攻击。 Exposure（风险）：只在某些特定的情况下才会有问题的那些漏洞，并不是所有人都把它看作是漏洞。比如，finger服务。 1、CVE（/ ） CVE是漏洞和风险的标准化（或者说其目标是标准化）列表，它并没有真正提供一个漏洞的数据库，但是利用CVE标准化的结果可方便从其他漏洞库中查询漏洞。CVE使得漏洞表示方法标准化，这有助于数据共享，并有助于不同计算机漏洞数据库间的比较。 2、CVE在IDS领域中的角色 有助于IDS的互操作性（Interoperability）。 报告的一致性 便于IDS间的比较 3、CVE列表 正式列表：编号多以CVE开头。 候选列表：编号多以CAN开始。 4、CVE项 一个CVE项包括：名称（name）（通常是个编号）、简单描述（brief description）、相关参考（reference）（参考可以有多个）。比如，CVE-1999-0067是由年份和该年提出的漏洞号N编码而成。 5、CVE项实例 CVE version的一个例子： Name: CVE-1999-0002 （编号或者名称） Ref