989428-入侵检测技术-第10章 入侵检测系统的相关标准与评估
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
版权所有,盗版必纠
10.2 入侵检测系统的性能指标
• 性能指标是每个用户采购安全产品必定关注的问题。但是,如果 不知道这些指标的真实含义,不知道这些指标如何测出来,就会被 表面的参数所蒙蔽,从而做出错误的决策。
版权所有,盗版必纠
10.2.1 性能指标简介
• 不同的安全产品,各种性能指标对客户的意义是不同的。例如防火 墙,客户会更关注每秒吞吐量、每秒并发连接数、传输延迟等。而 网络入侵检测系统,客户则会更关注每秒能处理的网络数据流量、 每秒能监控的网络连接数等。
版权所有,盗版必纠
10.1 入侵检测的标准化工作
• 为了提高IDS产品、组件及与其他安全产品之间的互操 作性,美国国防高级研究计划署(DARPA)和互联网工程 任务组(IETF)的入侵检测工作组(IDWG,Intrusion Detection Work Group)发起制订了一系列建议草案, 从体系结构、API、通信机制、语言格式等方面规范IDS的 标准。
和事件数据库。结构如图10.1所示。
•
在这个模型中,事件产生器、事件分析器和响应单元通常以应
用程序的形式出现,而事件数据库则往往是文件或数据流的形式,
很多IDS厂商都以数据收集部分、数据分析部分和控制台部分3个
术语来分别代替事件产生器、事件分析器和响应单元。
•
CIDF将IDS需要分析的数据统称为事件,它可以是网络中的数
滤器,也可以是被动地监视网络并根据网络数据流产生事件的另一
种过滤器,还可以是SQL数据库中产生描述事务的事件的应用代码。
版权所有,盗版必纠
10.1.2 公共入侵检测框架
(2) 事件分析器
事件分析器分析从其他组件收到的GIDO, 并将产生的新GIDO 再传送给其他组件。分析器可以是一个轮廓描述工具,统计性地检
•
IDXP(入侵检测交换协议)是一个用于入侵检测实体之间交
换数据的应用层协议,能够实现IDMEF消息、非结构文本和二进制
数据之间的交换,并提供面向连接协议之上的双方认证、完整性和
保密性等安全特征。IDXP是BEEP的一部分,后者是一个用于面向
连接的异步交互通用应用协议,IDXP的许多特色功能(如认证、 保密性等)都是由BEEP框架提供的。IDXP模型如下:
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• 图10.5 CIDF体系结构
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• (1) 事件产生器
•
事件产生器的任务是从入侵检测系统之外的计算环境中收集事
件,并将这些事件转换成CIDF的GIDO格式传送给其他组件。例如,
事件产生器可以是读取C2级审计踪迹并将其转换为GIDO格式的过
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• (2) 路由 • 组件之间要通信时,有时需经过非透明的防火墙,发送方先将数据
包传递给防火墙的关联代理,然后再由此代理将数据包转发到目的 地。CIDF采用了两种路由:源路由和绝对路由。 • (3) 消息层 • 消息层要实现的功能包括: • 提供一个开放的体系结构; • 使消息独立于操作系统、编程语言和网络协议; • 简化向CIDF中增添新组件的过程; • 支持鉴定与保密等安全需求; • 同步(封锁进程与非封锁进程)。
版权所有,盗版必纠
10.1.3 国内入侵检测系统标准
• 近几年来, 我国在入侵检测方面的研究工作和产品开发也有了很大 的发展。公安部为了适应新的网络安全形势, 于2002 年制定了 《GA/T 403.1- 2002 入侵检测产品(网络型产品)技术要求》, 这 是对入侵检测产品技术的综合测评, 于2003 年底开始执行的国家 新标准。2006 年国家信息安全标准化技术委员会( 简称信息安全 标委会, TC260) 发布了《入侵检测系统技术要求和测试评价方法》 (编号GB/T 20275- 2006), 该标准规定了入侵检测系统的技术要 求和测评方法, 技术要求包括产品功能要求、产品安全要求、产品 保证要求, 并提出了入侵检测系统的分级要求, 适用于入侵检测系统 的设计、开发、测试和评估。这些标准说明我国入侵检测系统已走 上标准化规范化的轨道。
版权所有,盗版必纠
10.1.1 入侵检测工作组
•
IDWG的任务是:定义数据格式和交换规程,用于入侵检测与响应
(IDR)系统之间或与需要交互的管理系统之间的信息共享。IDWG提
出的建议草案包括3部分内容:入侵检测消息交换格式(IDMEF)、入
侵检测交换协议(IDXP)以及隧道轮廓(Tunnel Profile)。
•
DARPA提出的建议是公共入侵检测框架(CIDF),最
早由加州大学戴维斯分校安全实验室主持起草工作。1999
年6月,IDWG就入侵检测也出台了一系列草案。但是,这
两个组织提出的草案或建议目前还正处于逐步完善之中,
尚未被采纳为广泛接收的国际标准。不过,它们仍是入侵
检测领域最有影响力的建议,成为标准只是时间问题。
第10章 入侵检测系统的相关标准 与评估 李剑
北京邮电大学信息安全中心 E-mail: lijian@bupt.edu.cn
电话:130-01936882
版权所有,盗版必纠
概述
入侵检测系统标准化问题研究,是入侵检测技术和 产品发展的必然要求, 标准化的制定有利于不同的IDS 之间, 增强信息共享和交换的能力, 加强IDS 之间的交 流和协作。本章对公共入侵检测框架CIDF 标准和入侵 检测消息交换格式IDMEF 等标准进行了详细的分析介 绍。除此之外,本章来给出了入侵检测系统的性能及评 估方法。
查现在的事件是否可能与以前某个事件来自同一个时间序列; 也可 以是一个特征检测工具,用于在一个事件序列中检查是否有已知的
滥用攻击特征;此外,事件分析器还可以是一个相关器,观察事件 之间的关系,将有联系的事件放到一起,以利于以后的进一步分析。
(3) 事件数据库
•
事件数据库用来存储GIDO,以备系统需要的时候使用。
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• (4) 消息层处理 • 消息层处理规定了消息层消息的处理方式,它包括4个规程:标准
规程、可靠传输规程、保密规程和鉴定规程。
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• 3、CIDF语言
•
CIDF的总体目标是实现软件的复用和IDR(入侵检测与响应)
评估,认为XML最能符合IDMEF的要求,于是,在2000年2月的
会议上决定采用XML方案。
•
XML是SGML(标准通用标记语言)的简化版本,是ISO
8879标准对文本标记说明进行定义的一种语法。作为一种表示和
交换网络文档及数据的语言,XML能够有效地解决HTML面临的许
多问题,所以获得了业界的普遍青睐。1998年10月,WWW联盟
分之间的关系如图10.1所示。
版权所有,盗版必纠
10.1.1 入侵检测工作组
• (2) 使用XML描述IDMEF文档标记
•
IDWG最早曾提出两个建议实现IDMEF:用SMI(管理信息结
构)描述一个SNMP MIB和使用DTD(文档类型定义)描述XML文
档。IDWG 在1999年9月和2000年2月分别对这两个建议进行了
(W3C)将XML作为一项建议公布于众。此后不久,WWW联盟又
发布了一份建议,定义了XML文档中的名字空间。
•
XML是一种元语言,即一个描述其他语言的语言,它允许应用
程序定义自己的标记,还可以为不同类型的文档和应用程序定义定
制化的标记语言。
版权所有,盗版必纠
10.1.1 入侵检测工作组
• 2、IDXP
版权所有,盗版必纠
10.1.2 公共入侵检测框架
CIDF的通信机制主要讨论消息的封装和传递,主要分为4个方面。 • (1) 配对服务 • 配对服务采用了一个大型目录服务LDAP(轻量级目录访问协议),
每个组件都要到此目录服务进行注册,并通告其他组件其所使用或 产生的GIDO类型。在此基础上,组件才能被归入它所属的类别中, 组件之间才能互相通信。 • 配对服务还支持一些安全选项(如公钥证书、完整性机制等),为 各个组件之间安全通信、共享信息提供了一种统一的标准机制,大 大提高了组件的互操作性,降低了开发多组件入侵检测与响应系统 的难度。
•
1、IDMEF
•
IDMEF描述了表示入侵检测系统输出信息的数据模型,并解释了
使用此模型的基本原理。该数据模型用XML实现,并设计了一个XML
文档类型定义。自动入侵检测系统可以使用IDMEF提供的标准数据格
式对可疑事件发出警报,提高商业、开放资源和研究系统之间的互操作
性。IDMEF最适用于入侵检测分析器(或称为“探测器”)和接收警
据包,也可以是从系统日志或其他途径得到的信息。
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• 以上4个组件只是逻辑实体,一个组件可能是某台计算机上的一 个进程甚至线程,也可能是多个计算机上的多个进程,它们以 GIDO(统一入侵检测对象)格式进行数据交换。GIDO是对事件 进行编码的标准通用格式(由CIDF描述语言CISL定义),GIDO 数据流在图10.5中以虚线表示,它可以是发生在系统中的审计事件, 也可以是对审计事件的分析结果。
报的管理器(或称为“控制台”)之间的数据信道。
版权所有,盗版必纠
10.1.1 入侵检测工作组
• (1) IDMEF的数据模型
•
IDMEF数据模型以面向对象
的形式表示探测器传递给控制台
的警报数据,设计数据模型的目
标是为警报提供确定的标准表达
方式,并描述简单警报和复杂警 报之间的关系。
•
IDMEF数据模型各个主要部
•
(4) 响应单元
•
响应单元处理收到的GIDO,并据此采取相应的措施,如杀死
相关进程、将连接复位、修改文件权限等。
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• 2、CIDF的通信机制
•
为了保证各个组件之间安全、高效地通信,CIDF将通信机制
构造成一个三层模型:GIDO层、消息层和协商传输层。
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• 公共入侵检测框架(CIDF)所做的工作主要包括4部分:IDS的体系 结构、通信机制、描述语言和应用编程接口API。
•
1.CIDF的体系结构
•
CIDF在IDES和NIDES的基础上提出了一个通用模型,将入侵
检测系统分为4个基本组件:事件产生器、事件分析器、响应单元
• 就网络入侵检测系统而言,除了上述指标外,其实一些不为客户了 解的指标也很重要,甚至更重要,例如每秒抓包数、每秒能够处理 的事件数等。
• 1.每秒数据流量(Mbps或Gbps) • 每秒数据流量是指网络上每秒通过某节点的数据量。这个指标是反
组件之间的互操作性。首先,IDR组件基础结构必须是安全、健壮、
可伸缩的,CIDF的工作重点是定义了一种应用层的语言CISL(公
共入侵规范语言),用来描述IDR组件之间传送的信息,以及制定
wenku.baidu.com
一套对这些信息进行编码的协议。CISL可以表示CIDF中的各种信
息,如原始事件信息(审计踪迹记录和网络数据流信息)、分析结
要实现有目的的通信,各组件就必须能正确理解相互之间传递
的各种数据的语义,GIDO层的任务就是提高组件之间的互操作性, 所以GIDO就如何表示各种各样的事件做了详细的定义。
消息层确保被加密认证消息在防火墙或NAT等设备之间传输过
程中的可靠性。消息层只负责将数据从发送方传递到接收方,而不
携带任何有语义的信息;同样,GIDO层也只考虑所传递信息的语 义,而不关心这些消息怎样被传递。
果(系统异常和攻击特征描述)、响应提示(停止某些特定的活动
或修改组件的安全参数)等。
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• 4、CIDF的API接口 • CIDF的API负责GIDO的编码、解码和传递,它提供的调用功能使
得程序员可以在不了解编码和传递过程具体细节的情况下,以一种 很简单的方式构建和传递GIDO。 • GIDO的生成分为两个步骤:第一步,构造表示GIDO的树形结构; 第二步,将此结构编成字节码。 • 在构造树形结构时,SID被分为两组:一组把S表达式作为参数 (即动词、副词、角色、连接词等);另一组把单个数据或一个数 据阵列作为参数(即原子),这样就可以把一个完整的句子表示成 一棵树,每个SID表示成一个节点,最高层的SID是树根。因为每 个S表达式都包含一定的数据,所以,树的每个分支末端都有表示 原子SID的叶子。
10.2 入侵检测系统的性能指标
• 性能指标是每个用户采购安全产品必定关注的问题。但是,如果 不知道这些指标的真实含义,不知道这些指标如何测出来,就会被 表面的参数所蒙蔽,从而做出错误的决策。
版权所有,盗版必纠
10.2.1 性能指标简介
• 不同的安全产品,各种性能指标对客户的意义是不同的。例如防火 墙,客户会更关注每秒吞吐量、每秒并发连接数、传输延迟等。而 网络入侵检测系统,客户则会更关注每秒能处理的网络数据流量、 每秒能监控的网络连接数等。
版权所有,盗版必纠
10.1 入侵检测的标准化工作
• 为了提高IDS产品、组件及与其他安全产品之间的互操 作性,美国国防高级研究计划署(DARPA)和互联网工程 任务组(IETF)的入侵检测工作组(IDWG,Intrusion Detection Work Group)发起制订了一系列建议草案, 从体系结构、API、通信机制、语言格式等方面规范IDS的 标准。
和事件数据库。结构如图10.1所示。
•
在这个模型中,事件产生器、事件分析器和响应单元通常以应
用程序的形式出现,而事件数据库则往往是文件或数据流的形式,
很多IDS厂商都以数据收集部分、数据分析部分和控制台部分3个
术语来分别代替事件产生器、事件分析器和响应单元。
•
CIDF将IDS需要分析的数据统称为事件,它可以是网络中的数
滤器,也可以是被动地监视网络并根据网络数据流产生事件的另一
种过滤器,还可以是SQL数据库中产生描述事务的事件的应用代码。
版权所有,盗版必纠
10.1.2 公共入侵检测框架
(2) 事件分析器
事件分析器分析从其他组件收到的GIDO, 并将产生的新GIDO 再传送给其他组件。分析器可以是一个轮廓描述工具,统计性地检
•
IDXP(入侵检测交换协议)是一个用于入侵检测实体之间交
换数据的应用层协议,能够实现IDMEF消息、非结构文本和二进制
数据之间的交换,并提供面向连接协议之上的双方认证、完整性和
保密性等安全特征。IDXP是BEEP的一部分,后者是一个用于面向
连接的异步交互通用应用协议,IDXP的许多特色功能(如认证、 保密性等)都是由BEEP框架提供的。IDXP模型如下:
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• 图10.5 CIDF体系结构
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• (1) 事件产生器
•
事件产生器的任务是从入侵检测系统之外的计算环境中收集事
件,并将这些事件转换成CIDF的GIDO格式传送给其他组件。例如,
事件产生器可以是读取C2级审计踪迹并将其转换为GIDO格式的过
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• (2) 路由 • 组件之间要通信时,有时需经过非透明的防火墙,发送方先将数据
包传递给防火墙的关联代理,然后再由此代理将数据包转发到目的 地。CIDF采用了两种路由:源路由和绝对路由。 • (3) 消息层 • 消息层要实现的功能包括: • 提供一个开放的体系结构; • 使消息独立于操作系统、编程语言和网络协议; • 简化向CIDF中增添新组件的过程; • 支持鉴定与保密等安全需求; • 同步(封锁进程与非封锁进程)。
版权所有,盗版必纠
10.1.3 国内入侵检测系统标准
• 近几年来, 我国在入侵检测方面的研究工作和产品开发也有了很大 的发展。公安部为了适应新的网络安全形势, 于2002 年制定了 《GA/T 403.1- 2002 入侵检测产品(网络型产品)技术要求》, 这 是对入侵检测产品技术的综合测评, 于2003 年底开始执行的国家 新标准。2006 年国家信息安全标准化技术委员会( 简称信息安全 标委会, TC260) 发布了《入侵检测系统技术要求和测试评价方法》 (编号GB/T 20275- 2006), 该标准规定了入侵检测系统的技术要 求和测评方法, 技术要求包括产品功能要求、产品安全要求、产品 保证要求, 并提出了入侵检测系统的分级要求, 适用于入侵检测系统 的设计、开发、测试和评估。这些标准说明我国入侵检测系统已走 上标准化规范化的轨道。
版权所有,盗版必纠
10.1.1 入侵检测工作组
•
IDWG的任务是:定义数据格式和交换规程,用于入侵检测与响应
(IDR)系统之间或与需要交互的管理系统之间的信息共享。IDWG提
出的建议草案包括3部分内容:入侵检测消息交换格式(IDMEF)、入
侵检测交换协议(IDXP)以及隧道轮廓(Tunnel Profile)。
•
DARPA提出的建议是公共入侵检测框架(CIDF),最
早由加州大学戴维斯分校安全实验室主持起草工作。1999
年6月,IDWG就入侵检测也出台了一系列草案。但是,这
两个组织提出的草案或建议目前还正处于逐步完善之中,
尚未被采纳为广泛接收的国际标准。不过,它们仍是入侵
检测领域最有影响力的建议,成为标准只是时间问题。
第10章 入侵检测系统的相关标准 与评估 李剑
北京邮电大学信息安全中心 E-mail: lijian@bupt.edu.cn
电话:130-01936882
版权所有,盗版必纠
概述
入侵检测系统标准化问题研究,是入侵检测技术和 产品发展的必然要求, 标准化的制定有利于不同的IDS 之间, 增强信息共享和交换的能力, 加强IDS 之间的交 流和协作。本章对公共入侵检测框架CIDF 标准和入侵 检测消息交换格式IDMEF 等标准进行了详细的分析介 绍。除此之外,本章来给出了入侵检测系统的性能及评 估方法。
查现在的事件是否可能与以前某个事件来自同一个时间序列; 也可 以是一个特征检测工具,用于在一个事件序列中检查是否有已知的
滥用攻击特征;此外,事件分析器还可以是一个相关器,观察事件 之间的关系,将有联系的事件放到一起,以利于以后的进一步分析。
(3) 事件数据库
•
事件数据库用来存储GIDO,以备系统需要的时候使用。
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• (4) 消息层处理 • 消息层处理规定了消息层消息的处理方式,它包括4个规程:标准
规程、可靠传输规程、保密规程和鉴定规程。
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• 3、CIDF语言
•
CIDF的总体目标是实现软件的复用和IDR(入侵检测与响应)
评估,认为XML最能符合IDMEF的要求,于是,在2000年2月的
会议上决定采用XML方案。
•
XML是SGML(标准通用标记语言)的简化版本,是ISO
8879标准对文本标记说明进行定义的一种语法。作为一种表示和
交换网络文档及数据的语言,XML能够有效地解决HTML面临的许
多问题,所以获得了业界的普遍青睐。1998年10月,WWW联盟
分之间的关系如图10.1所示。
版权所有,盗版必纠
10.1.1 入侵检测工作组
• (2) 使用XML描述IDMEF文档标记
•
IDWG最早曾提出两个建议实现IDMEF:用SMI(管理信息结
构)描述一个SNMP MIB和使用DTD(文档类型定义)描述XML文
档。IDWG 在1999年9月和2000年2月分别对这两个建议进行了
(W3C)将XML作为一项建议公布于众。此后不久,WWW联盟又
发布了一份建议,定义了XML文档中的名字空间。
•
XML是一种元语言,即一个描述其他语言的语言,它允许应用
程序定义自己的标记,还可以为不同类型的文档和应用程序定义定
制化的标记语言。
版权所有,盗版必纠
10.1.1 入侵检测工作组
• 2、IDXP
版权所有,盗版必纠
10.1.2 公共入侵检测框架
CIDF的通信机制主要讨论消息的封装和传递,主要分为4个方面。 • (1) 配对服务 • 配对服务采用了一个大型目录服务LDAP(轻量级目录访问协议),
每个组件都要到此目录服务进行注册,并通告其他组件其所使用或 产生的GIDO类型。在此基础上,组件才能被归入它所属的类别中, 组件之间才能互相通信。 • 配对服务还支持一些安全选项(如公钥证书、完整性机制等),为 各个组件之间安全通信、共享信息提供了一种统一的标准机制,大 大提高了组件的互操作性,降低了开发多组件入侵检测与响应系统 的难度。
•
1、IDMEF
•
IDMEF描述了表示入侵检测系统输出信息的数据模型,并解释了
使用此模型的基本原理。该数据模型用XML实现,并设计了一个XML
文档类型定义。自动入侵检测系统可以使用IDMEF提供的标准数据格
式对可疑事件发出警报,提高商业、开放资源和研究系统之间的互操作
性。IDMEF最适用于入侵检测分析器(或称为“探测器”)和接收警
据包,也可以是从系统日志或其他途径得到的信息。
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• 以上4个组件只是逻辑实体,一个组件可能是某台计算机上的一 个进程甚至线程,也可能是多个计算机上的多个进程,它们以 GIDO(统一入侵检测对象)格式进行数据交换。GIDO是对事件 进行编码的标准通用格式(由CIDF描述语言CISL定义),GIDO 数据流在图10.5中以虚线表示,它可以是发生在系统中的审计事件, 也可以是对审计事件的分析结果。
报的管理器(或称为“控制台”)之间的数据信道。
版权所有,盗版必纠
10.1.1 入侵检测工作组
• (1) IDMEF的数据模型
•
IDMEF数据模型以面向对象
的形式表示探测器传递给控制台
的警报数据,设计数据模型的目
标是为警报提供确定的标准表达
方式,并描述简单警报和复杂警 报之间的关系。
•
IDMEF数据模型各个主要部
•
(4) 响应单元
•
响应单元处理收到的GIDO,并据此采取相应的措施,如杀死
相关进程、将连接复位、修改文件权限等。
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• 2、CIDF的通信机制
•
为了保证各个组件之间安全、高效地通信,CIDF将通信机制
构造成一个三层模型:GIDO层、消息层和协商传输层。
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• 公共入侵检测框架(CIDF)所做的工作主要包括4部分:IDS的体系 结构、通信机制、描述语言和应用编程接口API。
•
1.CIDF的体系结构
•
CIDF在IDES和NIDES的基础上提出了一个通用模型,将入侵
检测系统分为4个基本组件:事件产生器、事件分析器、响应单元
• 就网络入侵检测系统而言,除了上述指标外,其实一些不为客户了 解的指标也很重要,甚至更重要,例如每秒抓包数、每秒能够处理 的事件数等。
• 1.每秒数据流量(Mbps或Gbps) • 每秒数据流量是指网络上每秒通过某节点的数据量。这个指标是反
组件之间的互操作性。首先,IDR组件基础结构必须是安全、健壮、
可伸缩的,CIDF的工作重点是定义了一种应用层的语言CISL(公
共入侵规范语言),用来描述IDR组件之间传送的信息,以及制定
wenku.baidu.com
一套对这些信息进行编码的协议。CISL可以表示CIDF中的各种信
息,如原始事件信息(审计踪迹记录和网络数据流信息)、分析结
要实现有目的的通信,各组件就必须能正确理解相互之间传递
的各种数据的语义,GIDO层的任务就是提高组件之间的互操作性, 所以GIDO就如何表示各种各样的事件做了详细的定义。
消息层确保被加密认证消息在防火墙或NAT等设备之间传输过
程中的可靠性。消息层只负责将数据从发送方传递到接收方,而不
携带任何有语义的信息;同样,GIDO层也只考虑所传递信息的语 义,而不关心这些消息怎样被传递。
果(系统异常和攻击特征描述)、响应提示(停止某些特定的活动
或修改组件的安全参数)等。
版权所有,盗版必纠
10.1.2 公共入侵检测框架
• 4、CIDF的API接口 • CIDF的API负责GIDO的编码、解码和传递,它提供的调用功能使
得程序员可以在不了解编码和传递过程具体细节的情况下,以一种 很简单的方式构建和传递GIDO。 • GIDO的生成分为两个步骤:第一步,构造表示GIDO的树形结构; 第二步,将此结构编成字节码。 • 在构造树形结构时,SID被分为两组:一组把S表达式作为参数 (即动词、副词、角色、连接词等);另一组把单个数据或一个数 据阵列作为参数(即原子),这样就可以把一个完整的句子表示成 一棵树,每个SID表示成一个节点,最高层的SID是树根。因为每 个S表达式都包含一定的数据,所以,树的每个分支末端都有表示 原子SID的叶子。