第7章入侵检测系统(论文资料).pptVIP

第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 CIDF(Common Intrusion Detection Framework)公共入侵检测框架 IETF(Internet Engineering Task Force)互联网工程任务组下属的IDWG(Intrusion Detection Working Group)入侵检测工作组 CIDF CIDF标准化工作的思想: IDS系统需要合作来检测跨越网络或跨越较长时间段的不同攻击,合作重点放在不同组件间的合作上 主要工作: 1. Architecture: CIDF的体系结构 2. Communication: 通信机制 3. Language: 描述语言 4. API: 应用编程接口API CIDF体系结构 CIDF将入侵检测系统分为4个基本组件： 事件产生器、事件分析器、响应单元和事件数据库 CIDF体系结构 事件产生器: 从入侵检测系统之外的计算环境中收集事件，并将这些事件转换成CIDF的GIDO格式传送给其他组件 事件分析器: 分析从其他组件收到的GIDO, 并将产生的分析结果传送给其他组件 事件数据库: 用来存储GIDO，以备系统需要的时候使用 响应单元: 响应单元负责处理接收到的GIDO，并据此采取相应的措施，如杀死相关进程、复位网络会话连接，以及修改文件权限等 CIDF体系结构 CIDF的6种协同