公益译文 | 入侵检测消息交换要求 可用于评估现有入侵检测通信协议

之前,安全加小蜜蜂公益翻译组完成了入侵检测消息交换格式(IDMEF),该规范是RFC4765所定义的,介绍了可扩展标记语言(XML)中的数据模型实现,进行了XML文档类型定义,并提供示例。

本次文档《入侵检测消息交换要求》针对IDWG所制定的《入侵检测消息交换格式(IDMEF)》提出了要求。按照规划,IDMEF 为自动化入侵检测系统(IDS)上报可疑或重要事件所使用的标准格式。本文还对传达IDMEF 信息的通信协议提出了要求。根据授权,IDWG 首先要评估现有通信协议,再确定是否需要制定新协议。因此,本文所提出的要求既可用于评估现有通信协议,也可用于评估提议方案(若IDWG 认为确有必要制定新的通信协议)。

为何使用入侵检测消息交换格式IDMEF

使用这种格式的理由如下:

  1. 当前存在很多的商用及免费入侵检测系统,并且数量还在持续上升中。有些产品针对的是网络中的入侵,有些是主机操作系统,还有些是应用程序。即使同一类别的系统,其优缺点也有很大差异。这样的话,用户可能会部署多个产品,然后通过一个或多个管理器观察这些产品的输出。统一的上报格式会大大简化这个工作。
  2. 入侵通常会涉及多个组织或同一组织的多个站点,而一般情况下,这些站点会使用不同的IDS。将这些分布在各个站点与管理域的入侵关联起来很有意义,各站点使用通用格式进行上报会简化这种关联操作。
  3. 有了通用格式,不同IDS 的组件可以更快速地组合起来,入侵检测(ID)研究也可以更方便地应用到商业产品中。
  4. 通过IDMEF 通知系统,ID 分析器与ID 管理器之间以及各种IDS 组件之间可进行通信。不过,下文所述通信仅限于分析器与管理器之间的通信。

上述这些理由表明使用统一格式上报可疑事件,可促进IDS 市场发展,使其更成功地进行创新,IDS 用户还可以从所部署的ID 系统获取更有意义的输出。

入侵检测术语的相关关系

《入侵检测消息交换要求》主要内容

本文分成四个部分:

  • 第一部分介绍一般要求,适用于IDMEF 规范的各个方面(第3 节);
  • 第二部分提出了对IDMEF 消息格式的要求(第4 节);
  • 第三部分对分析器与管理器之间通过IDMEF 消息进行通信的机制(IDP)提出了要求(第5 节);
  • 最后一部分是对IDMEF 消息内容和语义的要求。

完整内容见附件下载

《入侵检测消息交换要求》

点击图片下载

发表评论