|
中华网络安全联盟 作者:佚名 来源:网络 时间:2006-3-19
作者:不祥 文章来源:来自网络
关于入侵检测,有什么开放的标准存在么?
目前为止入侵检测还没有成熟的开放标准。但是我们正在向这一方向努力。
Internet工程任务组(IETF)是制定互联网标准的实体。他们有一个工作小组专门致力于开发一个通用的IDS报警格式。该小组已经完成了需求调查的阶段,具体的设计方案已经基本结束,但是具体的细节可能会稍有变化。初步的实现工作可能会因为标准的最终确定而进行少量修改。现在的设计是通过类似HTTP的连接格式来发送基于XML的IDS警告。为了满足IDS分析的需要,并且使该协议能够以自然的方式穿越防火墙,人们为此做了许多工作。
我们欢迎更多的人员参与进来。IEFT工作组对任何想参与并且技术过硬的人都是开放的。这是因为个人总是能为了解决问题提出最佳的方法,而不是按照老板的日程来给出答案。
工作组的宗旨可以参考http://www.ietf.org/html.charters/idwg-charter.html,邮件列表:http://www.semper.org/idwg-public/工作组的文档可以查看http://www.silicondefense.com/idwg
ISO的T4委员会也为此付出了不少努力,提出了入侵检测框架。该项目的进展情况目前仍是未知的,FAQ作者也无法对此获得已知数据。
通用入侵检测框架(CIDF)是美国国防高级研究项目局(DARPA)为IDS数据交换而作出的一个尝试。CIDF并不是想做成一个可以影响商业产品的标准,它只是一个研究项目。现在的CIDF开发似乎已经停止。CIDF使用类似于Lisp的格式来交换入侵相关事件的信息,并且为使用这些消息定义了大量的系统原型。你可以在http://www.gidos.org上获得更多的信息。
Stuart Staniford-Chen
President, Silicon Defense
stuart@silicondefense.com
如何在一个网络流量繁重的交换环境下实现入侵检测系统(基于网络)? 在交换环境下实现入侵检测系统的主要困难,是由集线器和交换机的不同所造成的。集线器没有连接的概念,因此每从一个端口收到数据包,都会向其他的端口进行复制。然而交换机是基于连接的,当一个数据包从交换机的一个临时连接端口进入,该数据包会被转发到目的端口。因此在集线器环境下,我们可以把我们的探测器放到任何位置,但是对于交换机,必须使用某些手段才能够使探测器监视需要的流量。
目前的选择有TAPS(中文为水龙头的意思),集线器和跨越端口(spanning port,有些地方也称为Mirror Port镜像端口),
|
