基于XML的CIDF通用入侵檢測對象數(shù)據(jù)模型的研究.pdf

1、入侵檢測技術(shù)作為一種主動防御技術(shù)已成為網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的重要組成部分.目前入侵檢測技術(shù)面對分布式網(wǎng)絡(luò)環(huán)境的挑戰(zhàn),存在這樣的發(fā)展趨勢:采用標(biāo)準(zhǔn)化的方式實現(xiàn)各入侵檢測系統(tǒng)(IDS)之間以及IDS的各個組件之間相互協(xié)作、信息共享.目前有兩個國際組織——CIDF小組和IETF下屬的IDWG小組——致力于入侵檢測標(biāo)準(zhǔn)化方面的工作.論文對上述兩標(biāo)準(zhǔn)化組織提出的標(biāo)準(zhǔn)化方案進行了研究和比較,指出這兩套標(biāo)準(zhǔn)化方案各有優(yōu)勢和不足.CIDF方案建立了一個較

2、為完善的入侵檢測系統(tǒng)框架,并指出框架中各基本組件產(chǎn)生并相互交互的信息為通用入侵檢測對象GIDO,但是沒有為GIDO建立數(shù)據(jù)模型,只是提到了采用CISL語言來描述GIDO.IDMEF方案對報警數(shù)據(jù)建立了詳細的數(shù)據(jù)模型,并采用XML語言對數(shù)據(jù)模型進行描述,但卻沒有對入侵檢測領(lǐng)域的其它數(shù)據(jù)建立類似的數(shù)據(jù)模型和XML描述.XML語言比起CISL語言在描述入侵檢測領(lǐng)域數(shù)據(jù)方面有更多的優(yōu)勢.因此,論文提出采用XML語言代替CIDF框架中的CISL語