基于XML的CIDF通用入侵检测对象数据模型的研究

摘要

入侵检测技术作为一种主动防御技术已成为网络安全体系结构中的重要组成部分.目前入侵检测技术面对分布式网络环境的挑战,存在这样的发展趋势:采用标准化的方式实现各入侵检测系统(IDS)之间以及IDS的各个组件之间相互协作、信息共享.目前有两个国际组织——CIDF小组和IETF下属的IDWG小组——致力于入侵检测标准化方面的工作.论文对上述两标准化组织提出的标准化方案进行了研究和比较,指出这两套标准化方案各有优势和不足.CIDF方案建立了一个较为完善的入侵检测系统框架,并指出框架中各基本组件产生并相互交互的信息为通用入侵检测对象GIDO,但是没有为GIDO建立数据模型,只是提到了采用CISL语言来描述GIDO.IDMEF方案对报警数据建立了详细的数据模型,并采用XML语言对数据模型进行描述,但却没有对入侵检测领域的其它数据建立类似的数据模型和XML描述.XML语言比起CISL语言在描述入侵检测领域数据方面有更多的优势.因此,论文提出采用XML语言代替CIDF框架中的CISL语言来描述GIDO,突破IDMEF方案只对报警数据建立数据模型的局限性.依据这一思想,论文研究并设计了完善的GIDO数据模型,对数据模型的各个部分制定了详细的XML-DTD定义格式.然后,对CIDF系统框架进行了一定的改进和扩展.最后,根据GIDO数据模型和改进后的系统框架,开发了一个基于XML-GIDO的入侵检测原型系统,验证了GIDO数据模型的合理性以及基于XML的GIDO在该原型系统的各组件间相互交互的可实现性.

目录

文摘

英文文摘

原创性声明及本论文使用授权说明

引言

第一章入侵检测技术及标准化工作

1.1入侵检测技术的发展概述

1.2入侵检测技术分类

1.3入侵检测标准化工作现状

1.3.1 IDWG的标准化

1.3.2 CIDF的标准化

1.3.3 IDMEF和CIDF的比较

1.3.4 XML语言和基于S表达式的CISL语言比较

1.4本章小节

第二章基于XML的GIDO数据模型及系统框架模型

2.1 GIDO数据模型及其XML-DTD定义

2.1.1 GIDO总体数据模型

2.1.2 Event-GIDO数据模型

2.1.3 Rule-GIDO数据模型

2.1.4 Analyze-GIDO数据模型

2.1.5 Response-GIDO数据模型

2.2系统框架模型

2.2.1系统框架功能

2.2.2系统框架及各组件说明

2.3本章小节

第三章基于XML-GIDO的IDS原型系统开发

3.1事件产生器的设计与实现

3.1.1抓数据包及协议分析模块

3.1.2临时事件数据库模块

3.1.3 Event-GIDO生成及传送模块

3.2规则库的设计与实现

3.3分析器的设计与实现

3.3.1分析器结构与工作流程

3.3.2提高分析器匹配效率的措施

3.4响应器的设计与实现

3.5 XML数据总线的设计与实现

3.5.1 XML数据库

3.5.2对数据库及GIDO操作的常用类和函数

3.6全局管理器的设计与实现

3.7实验测试

3.8本章小节

第四章总结

4.1论文工作总结

4.2今后工作展望

参考文献

攻读硕士学位期间发表的论文

致谢

附录A GIDO的XML DTD定义

论文说明