分布式大規(guī)模入侵檢測系統(tǒng)互動協(xié)議與接口標(biāo)準(zhǔn)研究.pdf

1、該文首先對入侵檢測的分類、標(biāo)準(zhǔn)化以及國內(nèi)外發(fā)展趨勢等方面作了詳細(xì)的介紹.其次,在對我們提出的大規(guī)模分布式入侵檢測系統(tǒng)體系結(jié)構(gòu)進(jìn)行簡要介紹之后,根據(jù)國內(nèi)外已有的研究成果,結(jié)合國內(nèi)的入侵檢測產(chǎn)品的情況,設(shè)計了一套可以實(shí)現(xiàn)安全部件之間和大規(guī)模分布式入侵檢測系統(tǒng)內(nèi)部組件之間互換數(shù)據(jù)、告警和命令的協(xié)議和接口標(biāo)準(zhǔn).論文從全局的角度審視網(wǎng)絡(luò)安全,把IDS、防火墻、網(wǎng)管系統(tǒng)、日志系統(tǒng)、病毒防護(hù)系統(tǒng)等作為平等的安全部件來看待,同時立足于大規(guī)模分布式的網(wǎng)絡(luò)

2、環(huán)境,提出了安全部件之間和大規(guī)模分布式入侵檢測系統(tǒng)內(nèi)部各組件之間互動的協(xié)議(SCXP)和接口(SCIMF).在大規(guī)模分布式網(wǎng)絡(luò)環(huán)境下,此協(xié)議不但可以保證傳輸信息的安全性、實(shí)時性,還可以在網(wǎng)絡(luò)部件之間進(jìn)行雙向的信息交換,并保證整個網(wǎng)絡(luò)的同步、報警和響應(yīng)行為的有效進(jìn)行.SCXP是一個應(yīng)用層協(xié)議,建立在BEEP協(xié)議的基礎(chǔ)上,可保證通信的安全性和實(shí)時性,實(shí)現(xiàn)了安全部件之間和大規(guī)模分布式入侵檢測系統(tǒng)內(nèi)部組件之間的雙向通信.SCIMF消息格式定義了

3、安全部件之間傳送的信息,實(shí)現(xiàn)了對報警、響應(yīng)、控制、廣播等可能發(fā)生的安全部件行為.SCXP協(xié)議和SCIMF接口標(biāo)準(zhǔn)具有以下特點(diǎn):SCXP是一種典型的雙向交換協(xié)議,可應(yīng)用于各種網(wǎng)絡(luò)安全部件,大大擴(kuò)展了協(xié)議的應(yīng)用范圍;協(xié)議應(yīng)用于大規(guī)模分布式網(wǎng)絡(luò)環(huán)境中,對安全性、實(shí)時性的要求比普通的通信協(xié)議高;實(shí)現(xiàn)了安全部件之間的互動,拋棄了傳統(tǒng)的以防火墻為中心的思想;在SCIMF接口標(biāo)準(zhǔn)中定義了新的數(shù)據(jù)類型,解決了在大規(guī)模分布式網(wǎng)絡(luò)環(huán)境的信息傳遞的接口問題.