入侵检测系统的标准与评价

入侵检测系统的标准与评估
的模型有两类：即面向对象的数据模型和基于 XML的数据模型。
入侵检测系统的标准与评估
27
面向对象的数据模型用于IDMEF的原 因
报警信息固有的不同类型使得应提出一种足够灵活的



数据表示格式，使之能适应不同的需要。 入侵检测工具的环境都不是相同的。相同的攻击可以 用不同的检测工具报告，而所报告的信息是不一样 的。 入侵检测工具的能力不同。为了进一步处理报警信 息，数据模型应当通过工具方便地转换格式，而不是 使用入侵探测器。 入侵检测的操作系统环境是不同的，数据模型应该容 纳这些不同点。 商业厂商的目标是不同的。开发商希望传递少量关于 某些攻击的信息，这样有利于产品的销售。
入侵检测系统的标准与评估
2
入侵检测的标准化工作
入侵检测技术在最近几年发展迅速，但是相应的入
侵检测标准化工作则进展缓慢。 当前有两个国际组织在进行这方面的工作，他们是 Common Intrusion Detection Framework（CIDF） 和IETF（Internet Engineering Task Force）下 属的Intrusion Detection Working Group （IDWG）。 他们强调了入侵检测的不同方面，并从各自的角度 进行了标准化工作。
入侵检测系统的标准与评估
23
IDWG的主要工作
制定入侵检测消息交换需求文档。该文档内容有入
侵检测系统之间通信的要求说明，同时还有入侵检 测系统和管理系统之间通信的要求说明。 制定公共入侵语言规范。 制定一种入侵检测消息交换的体系结构，使得最适 合于用目前已存在协议实现入侵检测系统之间的通 信。
A1
B A2
入侵检测系统的标准与评估 9
CIDF的协同方式-互纠
A1和A2可以互相纠正检测结果。由于入侵检测中存 在许多报警，故组件之间的互纠是必要的。采用不 同的分析方法两个检测器常会产生多次误报警。特 殊的情况是，J组件在A1和A2的检测结果相同时才会 报告入侵。
A1
J
A2
入侵检测系统的标准与评估 10
（Internet Engineering Task Force）的入侵检测工作组 （Internet Detection Working Group，简称IDWG）负责进 行入侵检测响应系统之间共享信息数据格式和交换信息方式 的标准制订，制订了入侵检测信息交换格式（Intrusion Detection Message Exchange Format，缩写为IDMEF）。 IDMEF与CIDF类似，也是对组件间的通信进行了标准化，但它 只标准化了一种通信场景，即数据处理模块和警告处理模块 间的警告信息的通信。 引入入侵检测信息交换格式的目的在于定义入侵检测模块和 响应模块之间，以及可能需要和这两者通信的管理模块感兴 趣的信息交换的数据格式和交换过程。
入侵检测系统的标准与评估
14
S-表达式的递归定义
原子是S-表达式。 如果a1、a2是S-表达式，则表（a1、a2）也是S-表
达式。
有限次使用（1）、（2）所得的表达式都是S-表达
式，此外没有别的S-表达式。
入侵检测系统的标准与评估
15
CISL的设计目标
表达能力：CISL语言应当具有足够的词汇和复杂的语法来实现广泛的表
A
T
入侵检测系统的标准与评估 12
CIDF的协同方式-响应
如果分析器判断到一个特定的处理过程正在进行对某个 主机的攻击，或者是一个特定的网络链接被用作发起攻 击。那么分析器应当向管理员发起警告，但是人的响应 要比机器的响应慢。因此，入侵检测器需要预先设置自 动应急的脚本，以便在紧急的情况下IDS可以直接响应
A
X
入侵检测系统的标准与评估
13
CIDF的公共入侵规范语言（CISL）
CIDF最主要的工作就是不同组件间所使用语言的标
准化，CIDF的体系结构只是通信的背景。 在CIDF模型里，通过组件接收的输入流来驱动分析 引擎进行处理，并将结果传递到其它的部件。 CIDF用通用入侵说明语言CISL对事件、分析结 果、响应指示等过程进行表示说明，以达到IDS之 间的语法互操作。 CISL语言使用符号表达式（简称S-表达式），类似 于LISP语言。
入侵检测系统的标准与评估
7
CIDF的协同方式-分析
A收集原始数据并可以作预处理分析，B则根 据A进行更深层次的分析并产生报告。
A
B
入侵检测系统的标准与评估
8
CIDF的协同方式-互补
A1和A2能够互相弥补。B负责合并A1和A2的输出结 果。A1和A2可以检测不同的攻击。或者A1和A2再 不同的计算机上检测到同一种攻击。
入侵检测系统的标准与评估
16
CIDF的通信机制
Gidos层
信体层
协商传输层
入侵检测系统的标准与评估
17
传输层：不属于CIDF规范，它可以采用很多种
现有的传输机制来实现。 信体层：负责对传输的信息进行加密认证，然 后将其可靠地从源传输到目的地，信体层不关 心传输的内容，它只负责建立一个可靠的传输 信道。 Gidos层：负责对传输的信息进行格式化，统 一信息的表达格式，是各个IDS之间的互操作 成为可能。
CIDF的不足
复杂性：建立代理设施和遵循查找协议查找到
对方都是复杂的，对CISL语义的理解也是相当 复杂的。 实效性：由于协议的复杂性，必然导致时间消 耗过大，延迟增长。 协议的完整性：文档很多地方还不太完整，需 要进一步细化。
入侵检测系统的标准与评估
22
IDMEF
为了适应网络安全发展的需要，Internet网络工程部IETF
入侵检测系统的标准与评估 5
CIDF的系统结构
事件产生器 事件Gidos 事件分析器 反应Gidos 响应单元 Gidos
Gidos
Gidos
事件数据库
入侵检测系统的标准与评估
6
CIDF的互操作
配置互操作：可相互发现并交换数据。 语法互操作：可正确识别交换的数据。
语义互操作：可相互正确理解交换的数据。
CIDF的协同方式-核实
A1报告发现攻击，H则询问A2是否也检测到同一种攻击 ，若A2报告检测到同一种攻击，那么H就认为A1的入侵 报告得到验证。
A1
H A2
入侵检测系统的标准与评估
11
CIDF的协同方式-调整
A根据所受到的警告信息调整监测。A发送一个请求 给T，询问应该监测的对象是什么。然后，A接收T的 回答信息，并加以分析和进行监测操作。
入侵检测系统的标准与评估 20
CIDF的标准化工作
通过组件标识查找，或更高层次上地通过特性查找
通信双方的代理设施和查找协议。
使用正确（鉴别）、安全（加密）、有效的组件间
通信协议。
定义了一种能使组件间互相理解的语言CISL。
说明了进行通信所用的主要的API。
入侵检测系统的标准与评估
21
第 7章 入侵检测系统的 标准与评估
曹元大主编，人民邮电出版社，2007年
入侵检测系统的标准与评估
1
第7章 入侵检测系统的标准与评估
入侵检测系统的标准与评估:
入侵检测的标准化工作 入侵检测系统的性能指标 网络入侵检测系统测试评估 测试评估内容 测试环境和测试软件 用户评估标准 入侵检测评估方案
达，主要针对事件的因果关系、事件的对象角色、对象的属性、对象之 间的关系、响应命令或脚本等几个方面。 表示的唯一性：要求发送者和接收者对协商好的目标信息能够相互理 解。 精确性：两个接收者读取相同的消息不能得到相反的结论。 层次化：语言当中有一种机制能够用普通的概念定义详细而又精确的概 念。 自定义：在消息中能够自我解析说明。 效率：任何接收者对语言格式的理解开销不能成倍增加。 扩展性：语言里有一种机制能够让发送者使用的词汇来表明接收者的事 实。或者是接收者能够利用消息的其余部分解析说明新的词汇的含义。 简单：不需理解整个语言就能接收和发送信息。 可移植性：语言的编码不是依赖于网络的细节或特定主机的消息。 容易实现：实现起来比较容易。
入侵检测系统的标准与评估 4
CIDF的规范文档
Arichitecture:提出了IDS的通用体系结构，用以
说明IDS各组件间通信的环境。 Communication:说明了IDS各种不同组件间如何 通过网络进行通信。 Language:定义了公共入侵规范语言（CISL), IDS 各组件间通过CISL来进行入侵和警告等信 息的通信。 API:提供了一整套标准的应用程序接口，允许 IDS各组件的重用，在CISL的表示中隐含了 API.
入侵检测系统的标准与评估
24
IDMEF的需求
消息交换需求 消息格式需求 通信机制需求 安全需求 消息内容需求
入侵检测系统的标准与评估
25பைடு நூலகம்
入侵检测消息数据模型
分析器 用户 进程 节点 服务
报警
名字 目标
来源
节点
用户
进程
入侵检测系统的标准与评估
26
入侵检测消息数据模型
到目前为止，已制订出来的入侵检测消息数据
入侵检测系统的标准与评估
31
标准化工作总结
以上入侵检测协议只是草案，至于这些协议将来是
否能成为Internet标准现在还难以确定。 按IETF规定，Internet草案最长有效期六个月，随 时可能被其他文档更新、替换。 总的来说，入侵检测的标准化工作进展非常缓慢， 现在各个IDS厂商几乎都不支持当前的标准，造成 各IDS之间几乎不可能进行互相操作。 标准化终究是IT行业充分发展的一个必然趋势，而 且标准化提供了一套比较完备、安全的解决方案。
入侵检测系统的标准与评估 29
IDMEF的入侵警告协议
TCP连接建立 安全建立 通道的建立
入侵检测系统的标准与评估
30
IDMEF总结
IDMEF最大的特点就是充分利用了已有的较成熟的
标准。 与CIDF相比较，在数据表示方面不仅在语法方面而 且在语义方面都进行了详细的规定，方便了传输数 据的解释，提高了解释的效率，但同时也降低了通 用性，只能表达警告信息。 在通信方面，IDMEF各组件必须有通信对方的地址 信息，这样效率很高。 IDMEF通信可能考虑到安全边界问题，支持使用代 理。
入侵检测系统的标准与评估
3
CIDF
CIDF标准化工作基于这样的思想：入侵行为是
如此广泛和复杂，以至于依靠某个单一的IDS 不可能检测出所有的入侵行为，因此需要一个 IDS系统的合作来检测跨越网络或跨越较长时 间段的不同攻击。为了尽可能地减少标准化工 作，CIDF把IDS系统合作的重点放在了不同组 件的合作上。 CIDF的主要工作是：提出了一个通用的入侵检 测框架，然后进行这个框架中各个部件之间通 信协议和API的标准化，以达到不同IDS组件的 通信和管理。
入侵检测系统的标准与评估 28
基于XML的数据模型的优点
使用XML可以方便地为入侵检测报警描述特定的开发

自定义语言，也可以通过扩展这个语言来定义一个标 准。 处理XML文档资料的软件可以多方面地得到。产品开 发商可以很容易得到这些工具来使用IDMEF. XML满足IDMEF全面支持消息格式的国际化和本地化 需求。 XML满足IDMEF消息格式必须支持过滤和聚类的要 求。 正在进行的W3C和其他的XML开发项目组将会提供支 持面向对象的扩展和数据库。 XML是免费的，不需要许可证和版税。
入侵检测系统的标准与评估 18
CIDF协同工作需要解决的问题
CIDF的一个组件怎样才能安全地连接到其他组
件，其中包括组件的定位和组件的鉴别。 连接建立后，CIDF如何保证组件之间安全有效 地进行通信。
入侵检测系统的标准与评估
19
问题的解决
提出一个可扩展性比较好的比较完备的解决方
法，即采用匹配服务。匹配服务是一个标准 的、统一的方法，它的核心部件是匹配代理， 匹配代理专门负责查询其他CIDF组件集。 通过信体层和传输层来解决的。信体层是为了 解决诸如同步（如阻塞和非阻塞等）、屏蔽不 同操作系统的不同数据表示、不同编程语言不 同的数据结构等问题而提出的。它规定了 Message的格式，并提出了双方通信的流程。 此外，为了保证通信的安全性，信体层还包含 了鉴别、加密和签名等机制。