硕士论文-基于tcpip协议分析的入侵检测系统研究与实现
电子科技丈学硕士学位论文
常使用系统的模式,从而检测出入侵者违反系统安全性的情况。
Denning的模型中有6个主要构件:主体、对象、审计数据、活动档案、异常记录和行为规则。档案表示主体的行为特色,也是模型检测方面的关键。行为规则描述系统验证一定条件后抽取的行为,他们能“……更新档案,检测异常行为,能把异常和可能的入侵关联起来并提出搬告”。审计纪录由一个行为魅发,而且记录主体尝试的行为、行为本身、行动对准的目标、任何可能导致例外的情况以及行为消耗的资源和独特的时间戳标记。审计记录会和档案送行毙较(使用适当的规则),那些符合异常条件的事件将被识别出来。这个模型独立于特定的系统平台、应用环境、系统弱点戳及入侵的类型,也不需要额外的关于安全机制、系统脆弱性或漏洞攻击方面的知识,他为构建入攫监测系统提供了一个通用瓣框架。2.3.2CIDF模型
目前的入侵检测系统大都是独立研究与开发的,不同系统之间缺乏互操作性和互用性。一个入侵检测系统的模块无法与另一个入侵检测系统的模块进行数据共享,在同一台主机上两个不同的入侵检测系统无法共存,为了验证或改进某个部分的功能就必须重新构建整个入侵检测系统而无法重用现有的系统和构件,这对入侵检测系统的发展造成了极大的障碍。入侵检测系统的标准—℃IDF,就是为了解决不同入侵检测系统的互操作性和共存问题而提出的入侵检测的框架。通用入侵检测框架(CommonIntrusionDetectionFramework.CIDF)12硼由TeresaLunt发起的,专门对入侵检测进行标准化工作的组织。开发一些协议和应用程序接口,以便入侵检测研究项目能够共享信息和资源,同样入侵检测系统组件也可以被其他系统应用。CIDF主要有3个目的:IDS构件共享,一个IDS系统的构件可以被另外一个IDS构件使用;数据共享,通过提供标准的数据格式,使得IDS中的各类数据可以在不同的系统之间传递并共享;完善互用性标准并建立一套开发接口和支持工具,以提供独立开发部分构件的能力。
CIDF主要是通过定义数据格式和数据交换接口来实现其目标,在实现这些目标时并没有对IDS系统的体系结构进行任何约束,也没有限制他们的实现所采用的编程语言和依赖的操作系统。首先,它根据IDS系统的普遍需求以及现有的IDS系统的结构,将IDS系统的构成划分为5类构件:事件构件、分析构件、数据库构件、响应构件和目录服务构件。如图2-2所示:10
