入侵检测系统的标准与评价.pptVIP

第7章 入侵检测系统的标准与评估 入侵检测系统的标准与评估: 入侵检测的标准化工作 入侵检测系统的性能指标 网络入侵检测系统测试评估 测试评估内容 测试环境和测试软件 用户评估标准 入侵检测评估方案 入侵检测的标准化工作 入侵检测技术在最近几年发展迅速，但是相应的入侵检测标准化工作则进展缓慢。 当前有两个国际组织在进行这方面的工作，他们是Common Intrusion Detection Framework（CIDF）和IETF（Internet Engineering Task Force）下属的Intrusion Detection Working Group（IDWG）。 他们强调了入侵检测的不同方面，并从各自的角度进行了标准化工作。 CIDF CIDF标准化工作基于这样的思想：入侵行为是如此广泛和复杂，以至于依靠某个单一的IDS不可能检测出所有的入侵行为，因此需要一个IDS系统的合作来检测跨越网络或跨越较长时间段的不同攻击。为了尽可能地减少标准化工作，CIDF把IDS系统合作的重点放在了不同组件的合作上。 CIDF的主要工作是：提出了一个通用的入侵检测框架，然后进行这个框架中各个部件之间通信协议和API的标准化，以达到不同IDS组件的通信和管理。 CIDF的规范文档 Arichitecture:提出了IDS的通用体系结构，用以说明IDS各组件间通信的环境。 Communication:说明了IDS各种不同组件间如何通过网络进行通信。 Language:定义了公共入侵规范语言（CISL), IDS 各组件间通过CISL来进行入侵和警告等信息的通信。 API:提供了一整套标准的应用程序接口，允许IDS各组件的重用，在CISL的表示中隐含了API. CIDF的系统结构 CIDF的互操作 配置互操作：可相互发现并交换数据。 语法互操作：可正确识别交换的数据。 语义互操作：可相互正确理解交换的数据。 CIDF的协同方式-分析 CIDF的协同方式-互补 CIDF的协同方式-互纠 CIDF的协同方式-核实 CIDF的协同方式-调整 CIDF的协同方式-响应 CIDF的公共入侵规范语言（CISL） CIDF最主要的工作就是不同组件间所使用语言的标准化，CIDF的体系结构只是通信的背景。 在CIDF模型里，通过组件接收的输入流来驱动分析引擎进行处理，并将结果传递到其它的部件。 CIDF用通用入侵说明语言CISL对事件、分析结果、响应指示等过程进行表示说明，以达到IDS之间的语法互操作。 CISL语言使用符号表达式（简称S-表达式），类似于LISP语言。 S-表达式的递归定义 原子是S-表达式。 如果a1、a2是S-表达式，则表（a1、a2）也是S-表达式。 有限次使用（1）、（2）所得的表达式都是S-表达式，此外没有别的S-表达式。 CISL的设计目标 表达能力：CISL语言应当具有足够的词汇和复杂的语法来实现广泛的表达，主要针对事件的因果关系、事件的对象角色、对象的属性、对象之间的关系、响应命令或脚本等几个方面。 表示的唯一性：要求发送者和接收者对协商好的目标信息能够相互理解。 精确性：两个接收者读取相同的消息不能得到相反的结论。 层次化：语言当中有一种机制能够用普通的概念定义详细而又精确的概念。 自定义：在消息中能够自我解析说明。 效率：任何接收者对语言格式的理解开销不能成倍增加。 扩展性：语言里有一种机制能够让发送者使用的词汇来表明接收者的事实。或者是接收者能够利用消息的其余部分解析说明新的词汇的含义。 简单：不需理解整个语言就能接收和发送信息。 可移植性：语言的编码不是依赖于网络的细节或特定主机的消息。 容易实现：实现起来比较容易。 CIDF的通信机制 传输层：不属于CIDF规范，它可以采用很多种现有的传输机制来实现。 信体层：负责对传输的信息进行加密认证，然后将其可靠地从源传输到目的地，信体层不关心传输的内容，它只负责建立一个可靠的传输信道。 Gidos层：负责对传输的信息进行格式化，统一信息的表达格式，是各个IDS之间的互操作成为可能。 CIDF协同工作需要解决的问题 CIDF的一个组件怎样才能安全地连接到其他组件，其中包括组件的定位和组件的鉴别。 连接建立后，CIDF如何保证组件之间安全有效地进行通信。 问题的解决 提出一个可扩展性比较好的比较完备的解决方法，即采用匹配服务。匹配服务是一个标准的、统一的方法，它的核心部件是匹配代理，匹配代理专门负责查询其他CIDF组件集。 通过信体层和传输层来解决的。信体层是为了解决诸如同步（如阻塞和非阻塞等）、屏蔽不同操作系统的不同数据表示、不同编程语言不同的数据结构等问题而提出的。它规定了Message的格式，并提出了双方通信的流