第12讲：第7章-入侵检测的标准与评估.pptVIP

* 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF 需求 消息交换需求: 消息格式需求: 通信机制需求 安全需求 消息内容需求 应允许支持国际化和本地化 允许管理器对消息数据进行过滤和聚合. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF 需求 消息交换需求: 消息格式需求: 通信机制需求: 安全需求 消息内容需求 必须支持可靠的消息传递 必须支持消息传递穿过防火墙,但并不损害安全性. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF 需求 消息交换需求: 消息格式需求: 通信机制需求: 安全需求: 消息内容需求 必须支持分析器和管理器之间的相互认证 必须支持消息内容的保密性、完整性、非否认性 应该抵制对协议的拒绝服务攻击 应能防止恶意的消息复制 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF 需求 消息交换需求: 消息格式需求: 通信机制需求: 安全需求: 消息内容需求： 必须覆盖各种类型的入侵检测机制，如： 基于签名的检测系统 基于异常的检测系统 基于相关性的检测系统 基于网络的检测系统 基于主机的检测系统 基于应用程序的检测系统 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF 入侵检测消息数据模型1(面向对象) 报警 分析器 名字 目标 来源 用户 进程 服务 用户 节点 节点 进程 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF 入侵检测消息数据模型2(基于XML) 可以方便地为入侵检测报警描述特定的开发自定义语言 全面支持消息格式的国际化和本地化需求. 处理文档资料的软件工具可以多方面的得到. 免费 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF IDMEF的入侵警告协议(Intrusion Alert Protocol, IAP) TCP连接建立 安全建立 通道的建立 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF IDMEF的总结 IDMEF最大的特点就是充分利用了已有的较成熟的标准。 与CIDF相比较，在数据表示方面不仅在语法方面而且在语义方面都进行了详细的规定，方便了传输数据的解释，提高了解释的效率，但同时也降低了通用性，只能表达警告信息。 在通信方面，IDMEF各组件必须有通信对方的地址信息，这样效率很高。 IDMEF通信可能考虑到安全边界问题，支持使用代理。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 20