硕士论文-基于tcpip协议分析的入侵检测系统研究与实现
第二章入侵检测概述
图2.2CIDF樽嚣!|图
①事件(event)构件:进行信息收集的构件,应该具备一定的数据过滤功能,之所以称为事件构件是因为该构件的输出就是事件;②分析(analyze)构件:分析事件数据,以及其他各构件的数据信息,根据数据分析确定应该采取的行动:⑧数据库(databases)构件:对系统各个阶段的数据进行管理,在IDS系统中,数据量很大,数据的动态性也很强,同时因为考虑到系统的处理层次需要将数据用多种形式缓存,所以必须有一个数据库构件来缓存数据;④响应(response)构件:对于分析构件,响应构件根据响应策略采取不同的行动;⑤目录服务(directoryserve)构件:它用于各构件定位其他构件,更重要的是控制其他构件传递的数据并认证其他构件的使用,以防止IDS系统本身受到攻击。目录服务构件可以管理和发布密钥,提供构件信息和告诉用户构件的功能接口。
这里的划分是功能划分,而不是模块划分,在实际实现中事件构件可以是多个构件,丙分柝构件可能包括事件分析构件和擐令分柝构件,这种划分是其有通用性的。从上图中我们可以看出,备构件之间采用松散的耦合方式,实现IDS功能的4个构件通过目录服务构件来进行定位、认证、通信和调用。
CIDF定义梭件的主要目豹是为了制定构件之间交换数据的格式,这种格式被称为通用入侵检测对象(GIDOGeneralizedIntrusionDetectionObject),CIDO对象将所有需要交换的数据类型统一起来,无论是审计记录,还是晌虚指令,都必须包装在GIDO中进行传递和交换,GIDO中设置SID项来标志对象中传递的信息类型。这样在不同IDS构件之闷就可以采用标准的GIDO格式交换数据。GIDO具有非常好的扩展性,只要增加一项新的SID定义,就可以产生一项新的GIDO的数据类型。
2.4入侵检测分类
根据进行入侵检测所依据的数据源不同,可将入侵检测系统分为基于主机的、基于网络的两种。入侵检测系统在被监视主机的配置文件、日志文件和审计文件11
百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,70教育网,提供经典教育范文硕士论文-基于tcpip协议分析的入侵检测系统研究与实现(16)在线全文阅读。
相关推荐: