支持查询的扩展CIDF

摘要

为发现包含多个站点的协同攻击，各入侵监测系统共享住处是至关重要的。公共入侵监测系统架构（CIDF）便是迈向使不同的入侵监测与响应（IDR）组件完成互操作的重要一步。尽管CIDF为某IDR组件理解另一组件发出的信息提供了基础框架和语言支持，但它并不包含使一个IDR组件向另一个组件要求特定信息的设施。这种设施的缺乏可能导致处理时间、存储容量与网络带宽的浪费。在CIDF采用的公共入侵规范语言（CISL）之上，提出了一种CISL的扩展形式以对CIDF组件间的询问活动建模。该扩展不仅简单而且与原有CISL保持一致。在扩展中，每次对住处的询问都被描述为由相关信息和可选的答复格式要求组成的模式。在对询问过程的建模中，模式的使用不但提供了一种表示查询的方式，还带来了基于签名的入侵监测软件的重用可能。