内容简介:【公益译文】入侵检测消息交换格式(IDMEF)
阅读: 120
《入侵检测消息交换格式(IDMEF)》规定了数据格式与交换过程,规范用于共享信息给入侵检测与响应系统,以及可能与这些系统进行交互的管理系统。本文描述了表示入侵检测系统输出信息的数据模型,并解释了使用此模型的基本原理。本文介绍了可扩展标记语言(XML)中的数据模型实现,进行了XML文档类型定义,并提供示例。
文章目录
- 入侵检测消息交换格式(IDMEF)
- XML文档的IDMEF实现原理
入侵检测消息交换格式(IDMEF)
旨在定义标准的数据格式,自动化入侵检测系统使用该格式对可疑事件发出告警。开发该标准格式可实现商业系统、开源系统和研究系统之间的互通性,允许用户根据各个系统的优缺点进行混合部署,以达到最佳实现效果。
显然,IDMEF适用于入侵检测分析器(或称为“传感器”)和接收告警的管理器(或称为“控制台”)之间的数据信道。但是,IDMEF在其他地方也可发挥作用,比如:
- 单一的数据库系统在应用IDMEF后,可存储来自各种入侵检测产品结果的数据库系统结果,能够从全局角度而不只是片面地进行数据分析和活动报告。
- 事件关联系统在应用IDMEF后,可接收来自各种入侵检测产品的告警,与只接收单一产品告警的系统相比,可执行更复杂的交叉关联和确认。
- 图形用户界面可以显示来自各种入侵检测产品的告警,用户可以在一个屏幕上监控所有产品,并且只需学习一个接口。
- 通用数据交换格式便于不同组织(用户、厂商、响应团队和执法部门)之间进行数据交换和沟通。
在选择实现方法时应考虑IDMEF用途的多样性。
XML文档的IDMEF实现原理
使用或开发基于XML的应用程序的目的是多种多样的,包括在不同领域之间进行电子数据交换、金融数据交换、电子名片、日历和日程安排、企业软件分发、网络“推送”技术,以及用于化学、数学、音乐、分子动力学、天文学、图书与期刊出版、网络发布、气象观测、房地产交易等的标记语言。
XML很灵活,适用于这些应用程序,同时也适用于IDMEF的实现。选择XML来实现IDMEF的具体原因如下:
- XML允许开发自定义语言来描述入侵检测告警。XML还定义了一种扩展该语言的标准方法,可用于对本文的后期修订(“标准”扩展)或满足特定厂商的使用要求(“非标准”扩展)。
- 用于处理XML文档的商业与开源 工具 得到应用。用于开发XML解析及/或验证工具和API的语言多样,包括 Java 、C、C++、Tcl, Perl、 Python 和GNU Emacs Lisp。这些工具可通过多种渠道获得,产品开发者能够更容易、更快地采用IDMEF。
- XML符合RFC 4766 IDMEF要求4.1,消息格式支持完全的国际化和本地化。XML标准要求支持ISO/IEC 10646(通用多八位编码字符集)的UTF-8和UTF-16编码以及Unicode,从而使所有的XML应用程序(以及所有符合IDMEF的应用程序)与这些常用的字符编码相兼容。
XML还支持根据元素标识每个元素内容的书写语言,使IDMEF很容易地适应产品的“自然语言支持”版本。
- XML符合RFC 4766 IDMEF要求4.2,消息格式支持过滤和汇总。XSL是一种样式语言。XML与XSL集成,信息可相互结合、被丢弃和被重新组织。
- 目前W3C和其他组织正在进行的XML开发项目,将提供面向对象的扩展、数据库支持和其他有用的功能。如果在XML中执行IDMEF,IDMEF可立即获得这些功能。
- XML是免费的,没有版税和许可费用。
特别注意事项
据预计,符合IDMEF的应用程序在其通信中一般不涉及IDMEF DTD。然而事实并非如此,DTD会在IDMEF消息中的文档类型定义中引用。这些IDMEF文档格式正确且有效,如http://www.w3.org/TR/2000/REC-xml-20001006中的定义。
规定其他IDMEF文档不应包含文档序言(如IDMEF格式的数据库中的记录)。这些文档虽格式正确,但无效。
一般,格式正确指文档中存在一个元素,包含所有内容(如<Book>),且所有其他元素正确嵌套,不能互相交叉(如不应在一个“chapter”中嵌入另一个“chapter”)。
有效性指文档格式正确且符合特定规则(在文档类型定义中明确),例如文档中哪些元素合法以及元素之间如何嵌套等(如不应在一个“title”中嵌入另一个“chapter”)。文档只有在引用DTD后才有效。
XML必须能够解析任何格式正确的文档,无论文档是否有效。验证的目的是使文档易于处理(数据解析后进行处理)。若不进行验证,文档中的元素可能会杂乱无序或处理应用无法解析作者“创建”的元素等等。
IDMEF文档必须采用正确的格式。IDMEF文档应在切实可行的情况下有效。
免责声明
本文原文来自于互联网的公共方式,由“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。
更多内容,请下载附件:
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880
以上所述就是小编给大家介绍的《【公益译文】入侵检测消息交换格式(IDMEF)》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- Webshell入侵检测初探(一)
- Snort 2.9.16 发布,入侵检测系统
- Snort 2.9.15 发布,入侵检测系统
- 基于博弈理论的入侵检测与响应模型综述
- 绝对不能错过的5款开源入侵检测工具
- 浅谈大型互联网企业入侵检测及防护策略
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Design systems
Not all design systems are equally effective. Some can generate coherent user experiences, others produce confusing patchwork designs. Some inspire teams to contribute to them, others are neglected. S......一起来看看 《Design systems》 这本书的介绍吧!
