通用入检测框架标准CTDF 网络安金 NETWORK SECURIY 通用工Ds体系结构由事件发生器( event generators)、事件分析 器( event analyzers)、响应单元( response units)和事件数 据库( event data bases)四个独立组件构成。 事件发生器负责采集审计数据,并完成审计数据的统一格式化工作 事件分析器是IDs的检测引擎,负责确定可疑事件的性质。响应单 元一旦获得事件分析器的入侵报告,立即报警或采取相应的反击措 施。事件数据库则用来存储来自各个组件的中间及最终事件的 GIDo,用于指导事件的采集、分析和反应过程。 ·通用入侵检测对象必须采用通用入侵规范语言cIsL( commmon intrusion specification language)
通用入侵检测框架标准CIDF • 通用IDS体系结构由事件发生器(event generators)、事件分析 器(event analyzers)、响应单元(response units)和事件数 据库(event databases)四个独立组件构成。 • 事件发生器负责采集审计数据,并完成审计数据的统一格式化工作。 事件分析器是IDS的检测引擎,负责确定可疑事件的性质。响应单 元一旦获得事件分析器的入侵报告,立即报警或采取相应的反击措 施。事件数据库则用来存储来自各个组件的中间及最终事件的 GIDO,用于指导事件的采集、分析和反应过程。 • 通用入侵检测对象必须采用通用入侵规范语言CISL(common intrusion specification language)
通用入检测系统体系结构 网络安金 NETWORK SECURIY 事件发生器 GIDO 事件数据库 GIDO GIDO 图61 组件之间交换的数据统称为通用入侵检测对象GIDo (general intrusion detection object)
事件发生器 事件分析器 响应单元 事件数据库 GIDO GIDO GIDO •组件之间交换的数据统称为通用入侵检测对象GIDO (general intrusion detection object)。 图6.1 通用入侵检测系统体系结构
用入捡测框架标准CDF(续) 网络安全 NETWORK SECURIY CIDF通信机制主要解决组件之间的定位、 认证和认证后的安全有效通信。 CIDF采用中介代理服务( matchmaking service)方式保证各组件之间的安全连接。 CIDF采用GIDo层、消息层和协商传输层 ( negotiated transport)三层协议层次 实现组件之间的安全可靠通信
• CIDF通信机制主要解决组件之间的定位、 认证和认证后的安全有效通信。 • CIDF采用中介代理服务(matchmaking service)方式保证各组件之间的安全连接。 • CIDF采用GIDO层、消息层和协商传输层 (negotiated transport)三层协议层次 实现组件之间的安全可靠通信。 通用入侵检测框架标准CIDF (续)
CTDF三尽协议层次现组 网络安金 NETWORK SECURIY GIDo层为不同入侵检测系统之间实现异构数据交换奠定了基础,GIDo 的结构与编码在CISL语言规范中有详细的定义。GIDo层不包含任何传 输控制信息,只包含需要传输的信息内容。 ·消息层通过定义消息长度、序列号、时间戳、目的地址、选择项和加密 签名等字段实现了组件间的安全有效通信,消息层传输的内容就是GIDo 层的数据,消息层仅向GIDo层提供服务,只负责将消息从源端安全可靠 地传送到目的端,并不清楚所传输的内容。此外,消息层还实现了通信 与操作系统、编程语言、数据格式以及是否拥塞无关的目的。应用程序 利用消息格式定义中的选择项,可以实现路由跟踪、数据加密、认证和 签名等安全机制。 协商传输层是通信双方通过协商使用的传输协议选项,CIDF默认的传输 协议是UDP,也可以通过协商使用可靠UDP、TCP协议或其他传输协议
CIDF三层协议层次实现组 • GIDO层为不同入侵检测系统之间实现异构数据交换奠定了基础,GIDO 的结构与编码在CISL语言规范中有详细的定义。 GIDO层不包含任何传 输控制信息,只包含需要传输的信息内容。 • 消息层通过定义消息长度、序列号、时间戳、目的地址、选择项和加密 签名等字段实现了组件间的安全有效通信,消息层传输的内容就是GIDO 层的数据,消息层仅向GIDO层提供服务,只负责将消息从源端安全可靠 地传送到目的端,并不清楚所传输的内容。此外,消息层还实现了通信 与操作系统、编程语言、数据格式以及是否拥塞无关的目的。应用程序 利用消息格式定义中的选择项,可以实现路由跟踪、数据加密、认证和 签名等安全机制。 • 协商传输层是通信双方通过协商使用的传输协议选项,CIDF默认的传输 协议是UDP,也可以通过协商使用可靠UDP、TCP协议或其他传输协议
CDF三层协议信丸交换机制 网络安金 NETWORK SECURIY GID0层 GD0层 消息层 消息层 协商传输层 0008053 协商传输层 图6.2
GIDO层 消息层 协商传输层 GIDO层 消息层 协商传输层 CIDF三层协议信息交换机制 图6.2