分布式大規(guī)模入侵檢測系統(tǒng)互動協(xié)議與接口標準研究.pdf

1、該文首先對入侵檢測的分類、標準化以及國內(nèi)外發(fā)展趨勢等方面作了詳細的介紹.其次,在對我們提出的大規(guī)模分布式入侵檢測系統(tǒng)體系結(jié)構(gòu)進行簡要介紹之后,根據(jù)國內(nèi)外已有的研究成果,結(jié)合國內(nèi)的入侵檢測產(chǎn)品的情況,設計了一套可以實現(xiàn)安全部件之間和大規(guī)模分布式入侵檢測系統(tǒng)內(nèi)部組件之間互換數(shù)據(jù)、告警和命令的協(xié)議和接口標準.論文從全局的角度審視網(wǎng)絡安全,把IDS、防火墻、網(wǎng)管系統(tǒng)、日志系統(tǒng)、病毒防護系統(tǒng)等作為平等的安全部件來看待,同時立足于大規(guī)模分布式的網(wǎng)絡

2、環(huán)境,提出了安全部件之間和大規(guī)模分布式入侵檢測系統(tǒng)內(nèi)部各組件之間互動的協(xié)議(SCXP)和接口(SCIMF).在大規(guī)模分布式網(wǎng)絡環(huán)境下,此協(xié)議不但可以保證傳輸信息的安全性、實時性,還可以在網(wǎng)絡部件之間進行雙向的信息交換,并保證整個網(wǎng)絡的同步、報警和響應行為的有效進行.SCXP是一個應用層協(xié)議,建立在BEEP協(xié)議的基礎(chǔ)上,可保證通信的安全性和實時性,實現(xiàn)了安全部件之間和大規(guī)模分布式入侵檢測系統(tǒng)內(nèi)部組件之間的雙向通信.SCIMF消息格式定義了

3、安全部件之間傳送的信息,實現(xiàn)了對報警、響應、控制、廣播等可能發(fā)生的安全部件行為.SCXP協(xié)議和SCIMF接口標準具有以下特點:SCXP是一種典型的雙向交換協(xié)議,可應用于各種網(wǎng)絡安全部件,大大擴展了協(xié)議的應用范圍;協(xié)議應用于大規(guī)模分布式網(wǎng)絡環(huán)境中,對安全性、實時性的要求比普通的通信協(xié)議高;實現(xiàn)了安全部件之間的互動,拋棄了傳統(tǒng)的以防火墻為中心的思想;在SCIMF接口標準中定義了新的數(shù)據(jù)類型,解決了在大規(guī)模分布式網(wǎng)絡環(huán)境的信息傳遞的接口問題.