入侵检测技术 教学课件 作者 曹元大 IDS7.pptVIP

第7章 入侵检测系统的标准与评估 入侵检测系统的标准与评估: 入侵检测的标准化工作 入侵检测系统的性能指标 网络入侵检测系统测试评估 测试评估内容 测试环境和测试软件 用户评估标准 入侵检测评估方案 入侵检测的标准化工作 入侵检测技术在最近几年发展迅速，但是相应的入侵检测标准化工作则进展缓慢。 当前有两个国际组织在进行这方面的工作，他们是Common Intrusion Detection Framework（CIDF）和IETF（Internet Engineering Task Force）下属的Intrusion Detection Working Group（IDWG）。 他们强调了入侵检测的不同方面，并从各自的角度进行了标准化工作。 CIDF的架构 CIDF的互操作 配置互操作：可相互发现并交换数据。 语法互操作：可正确识别交换的数据。 语义互操作：可相互正确理解交换的数据。 CIDF的协同方式-分析 CIDF的协同方式-互补 CIDF的协同方式-互纠 CIDF的协同方式-核实 CIDF的协同方式-调整 CIDF的协同方式-响应 CIDF的公共入侵规范语言（CISL） CIDF最主要的工作就是不同组件间所使用语言的标准化，CIDF的体系结构只是通信的背景。 在CIDF模型里，通过组件接收的输入流来驱动分析引警进行处理，并将结果传递到其它的部件。 CIDF用通用入侵说明语言CISL对事件、分析结果、响应指示等过程进行表示说明，以达到IDS之间的语法互操作。 CISL语言使用符号表达式（简称S-表达式），类似于LISP语言。 S-表达式的递归定义 原子是S-表达式。 如果a1、a2是S-表达式，则表（a1、a2）也是S-表达式。 有限次使用（1）、（2）所得的表达式都是S-表达式，此外没有别的S-表达式。 CISL的设计目标 表达能力：CISL语言应当具有足够的词汇和复杂的语法来实现广泛的表达，主要针对事件的因果关系、事件的对象角色、对象的属性、对象之间的关系、响应命令或脚本等几个方面。 表示的唯一性：要求发送者和接收者对协商好的目标信息能够相互理解。 精确性：两个接收者读取相同的消息不能得到相反的结论。 层次化：语言当中有一种机制能够用普通的概念定义详细而又精确的概念。 自定义：在消息中能够自我解析说明。 效率：任何接收者对语言格式的理解开销不能成倍增加。 扩展性：语言里有一种机制能够让发送者使用的词汇来表明接收者的事实。或者是接收者能够利用消息的其余部分解析说明新的词汇的含义。 简单：不需理解整个语言就能接收和发送信息。 可移植性：语言的编码不是依赖于网络的细节或特定主机的消息。 容易实现：实现起来比较容易。 CIDF的通信机制 CIDF的标准化工作 通过组件标识查找，或更高层次上地通过特性查找通信双方的代理设施和查找协议。 使用正确（鉴别）、安全（加密）、有效的组件间通信协议。 定义了一种能使组件间互相理解的语言CISL。 说明了进行通信所用的主要的API。 IDMEF 为了适应网络安全发展的需要，Internet网络工程部IETF（Internet Engineering Task Force）的入侵检测工作组（Internet Detection Working Group，简称IDWG）负责进行入侵检测响应系统之间共享信息数据格式和交换信息方式的标准制订，制订了入侵检测信息交换格式（Intrusion Detection Message Exchange Format，缩写为IDMEF）。 IDMEF与CIDF类似，也是对组件间的通信进行了标准化，但它只标准化了一种通信场景，即数据处理模块和警告处理模块间的警告信息的通信。 引入入侵检测信息交换格式的目的在于定义入侵检测模块和响应模块之间，以及可能需要和这两者通信的管理模块感兴趣的信息交换的数据格式和交换过程。 IDWG的主要工作 制定入侵检测消息交换需求文档。该文档内容有入侵检测系统之间通信的要求说明，同时还有入侵检测系统和管理系统之间通信的要求说明。 制定公共入侵语言规范。 制定一种入侵检测消息交换的体系结构，使得最适合于用目前已存在协议实现入侵检测系统之间的通信。 IDMEF的需求 消息交换需求 消息格式需求 通信机制需求 安全需求 消息内容需求 入侵检测消息数据模型 IDMEF的入侵警告协议 TCP连接建立 安全建立 通道的建立 IDMEF总结 IDMEF最大的特点就是充分利用了已有的较成熟的标准。 与CIDF相比较，在数据表示方面不仅在语法方面而且在语义方面都进行了详细的规定，方便了传输数据的解释，提高了解释的效率，但同时也降低了通用性，只能表达警告信