IDMEF

IDMEF

IDMEF描述了表示入侵檢測系統輸出信息的數據模型,並解釋了使用此模型的基本原理。

基本介紹

  • 中文名入侵檢測訊息交換格式
  • 外文名:IDMEF
  • 簡介:制定的入侵檢測標準三部分之一
  • 數據模型:表示探測器傳遞給控制台的警報
簡介,數據,

簡介

IDWG(入侵檢測工作組)發起制定的入侵檢測標準三部分之一.
.自動入侵檢測系統可以使用IDMEF 提供的標準數據格式對可疑時間發出告警,提高業務,開放資源和系統之間的互操作性.IDMEF最適用於入侵檢測分析器(或稱為"探測器")和接收告警的管理器(或稱為"控制台")之間的數據信道.

數據

1.IDMEF的數據模型
IDMEF數據模型以面向對象的形式表示探測器傳遞給控制台的警報數據,設計數據模型的目標是為警報提供確定的標準表達方式,並描述簡單警報和複雜警報之間的關係。
IDMEF數據模型各個主要部分之間的關係如圖1所示。
所有IDMEF訊息的最高層類是IDMEF-Message,每一種類型的訊息都是該類的子類。IDMEF目前定義了兩種類型的訊息:Alert(警報)和Heartbeat(心跳),這兩種訊息又分別包括各自的子類,以表示更詳細的訊息。
需要注意的是,IDMEF數據模型並沒有對警報的分類和鑑別進行說明。例如,對一個連線埠的掃描,一個分析器可能將其確定為一個多目標的單一攻擊,而另一個分析器可能將其確定為來自同一個源的多次攻擊。只有一個分析器決定了傳送的警報類型,數據模型才能規定怎樣對這個警報進行格式化。
IDMEF數據模型是用統一建模語言(UML)描述的。UML用一個簡單框架表示實體以及它們之間的關係,並將實體定義為類。IDMEF包括的主要類有IDMEF-Message類、Alert類、Heartbeat類、Core類、Time類和Support類,這些類還可以再細分為許多子類。
2.使用XML描述IDMEF文檔標記
IDWG最早曾提出兩個建議實現IDMEF:用SMI(管理信息結構)描述一個SNMP MIB和使用DTD(文檔類型定義)描述XML文檔。IDWG 在1999年9月和2000年2月分別對這兩個建議進行了評估,認為XML最能符合IDMEF的要求,於是,在2000年2月的會議上決定採用XML方案。
XML是SGML(標準通用標記語言)的簡化版本,是ISO 8879標準對文本標記說明進行定義的一種語法。作為一種表示和交換網路文檔及數據的語言,XML能夠有效地解決HTML面臨的許多問題,所以獲得了業界的普遍青睞。1998年10月,WWW聯盟(W3C)將XML作為一項建議公布於眾。此後不久,WWW聯盟又發布了一份建議,定義了XML文檔中的名字空間。
XML是一種元語言——即一個描述其他語言的語言,它允許應用程式定義自己的標記,還可以為不同類型的文檔和應用程式定義定製化的標記語言
XML DTD(文檔類型定義)可用來聲明文檔所用的標記,它包括元素(文檔包括的不同信息部分)、屬性(信息的特徵)和內容模型(各部分信息之間的關係)。

相關詞條

熱門詞條

聯絡我們