基于XML的入侵检测信息交换协议的研究与应用

摘要

入侵检测系统（IDS）是当前信息安全领域的研究热点，在保障信息安全方面起着重要的作用。XML以其扩展性、结构性、平台独立性和自描述性等特性成为数据表示和交换的事实标准，越来越多的应用使用XML来存储、交换和发布信息。针对目前IDS之间无法协作和无法信息共享等问题，使用XML作为关键实现技术，提出了一个使用IDMEF消息来进行信息交换的解决方案。该方案提供了一种用于入侵检测系统对可疑事件发出警报的标准数据格式，它能够提高商业、开放源代码和研究系统之间的互操作性。 论文主要研究XML在入侵检测系统信息交换中的应用。通过研究入侵检测系统、XML和IDMEF的数据模型，得出了创建一个IDMEF消息的通用方法，然后利用XML来将一个警报信息标准化为IDMEF消息，最后在网络入侵检测系统Snon中实现该应用。

目录

文摘

英文文摘

声明

第一章 绪论

1.1 网络安全及入侵检测概述

1.2 课题研究背景

1.3 论文研究工作

第二章 入侵检测系统及其标准化

2.1 入侵检测系统的发展

2.1.1 基本概念

2.1.2入侵检测系统的发展

2.1.3 入侵检测的模型

2.2 入侵检测系统的体系结构

2.2.1基于主机的入侵检测系统

2.2.2基于网络的入侵检测系统

2.2.3分布式入侵检测系统

2.3 入侵检测系统的方法和技术

2.3.1误用检测

2.3.2异常检测

2.3.3其它检测技术

2.4 入侵检测标准化

2.4.1 CIDF

2.4.2 IDWG

2.5 入侵行为的描述

第三章XML及其相关技术

3.1 XML概述

3.1.1 XML的产生背景

3.1.2 XML的概念

3.1.3 XML的特点

3.2 XML文档构成

3.3 XML文档验证技术

3.3.1 文档类型定义

3.3.2 XML Schema

3.4 XML文档处理技术

第四章 入侵检测消息交换格式

4.1 IDMEF概述

4.1.1 IDMEF介绍

4.1.2 IDMEF与XML的关系

4.2 IDMEF XML文档

4.2.1 XML声明

4.2.2 IDMEF的字符数据处理

4.2.3 IDMEF数据类型

4.3 IDMEF的数据模型

4.3.1数据模型纵览

4.3.2模型中主要的类

4.4 入侵警报信息的IDMEF表示

第五章 IDMEF的应用实现

5.1 Snort简介

5.1.1 Snort的特点

5.1.2 Snort的工作模式

5.1.3 Snort报警信息的输出

5.2 创建IDMEF信息

5.2.1创建IDMEF信息的一般步骤

5.2.2在Snort中创建IDMEF信息

5.3 试验结果

5.3.1环境配置

5.3.2运行结果

第六章 结束语

6.1全文总结

6.2论文下一步工作

致谢

参考文献