【公益译文】入侵检测消息交换格式(IDMEF)

《入侵检测消息交换格式(IDMEF)》规定了数据格式与交换过程,规范用于共享信息给入侵检测与响应系统,以及可能与这些系统进行交互的管理系统。本文描述了表示入侵检测系统输出信息的数据模型,并解释了使用此模型的基本原理。本文介绍了可扩展标记语言(XML)中的数据模型实现,进行了XML文档类型定义,并提供示例。

入侵检测消息交换格式(IDMEF)

旨在定义标准的数据格式,自动化入侵检测系统使用该格式对可疑事件发出告警。开发该标准格式可实现商业系统、开源系统和研究系统之间的互通性,允许用户根据各个系统的优缺点进行混合部署,以达到最佳实现效果。

显然,IDMEF适用于入侵检测分析器(或称为“传感器”)和接收告警的管理器(或称为“控制台”)之间的数据信道。但是,IDMEF在其他地方也可发挥作用,比如:

  • 单一的数据库系统在应用IDMEF后,可存储来自各种入侵检测产品结果的数据库系统结果,能够从全局角度而不只是片面地进行数据分析和活动报告。
  • 事件关联系统在应用IDMEF后,可接收来自各种入侵检测产品的告警,与只接收单一产品告警的系统相比,可执行更复杂的交叉关联和确认。
  • 图形用户界面可以显示来自各种入侵检测产品的告警,用户可以在一个屏幕上监控所有产品,并且只需学习一个接口。
  • 通用数据交换格式便于不同组织(用户、厂商、响应团队和执法部门)之间进行数据交换和沟通。

在选择实现方法时应考虑IDMEF用途的多样性。

XML文档的IDMEF实现原理

使用或开发基于XML的应用程序的目的是多种多样的,包括在不同领域之间进行电子数据交换、金融数据交换、电子名片、日历和日程安排、企业软件分发、网络“推送”技术,以及用于化学、数学、音乐、分子动力学、天文学、图书与期刊出版、网络发布、气象观测、房地产交易等的标记语言。
XML很灵活,适用于这些应用程序,同时也适用于IDMEF的实现。选择XML来实现IDMEF的具体原因如下:

  • XML允许开发自定义语言来描述入侵检测告警。XML还定义了一种扩展该语言的标准方法,可用于对本文的后期修订(“标准”扩展)或满足特定厂商的使用要求(“非标准”扩展)。
  • 用于处理XML文档的商业与开源工具得到应用。用于开发XML解析及/或验证工具和API的语言多样,包括Java、C、C++、Tcl, Perl、Python和GNU Emacs Lisp。这些工具可通过多种渠道获得,产品开发者能够更容易、更快地采用IDMEF。
  • XML符合RFC 4766 IDMEF要求4.1,消息格式支持完全的国际化和本地化。XML标准要求支持ISO/IEC 10646(通用多八位编码字符集)的UTF-8和UTF-16编码以及Unicode,从而使所有的XML应用程序(以及所有符合IDMEF的应用程序)与这些常用的字符编码相兼容。

XML还支持根据元素标识每个元素内容的书写语言,使IDMEF很容易地适应产品的“自然语言支持”版本。

  • XML符合RFC 4766 IDMEF要求4.2,消息格式支持过滤和汇总。XSL是一种样式语言。XML与XSL集成,信息可相互结合、被丢弃和被重新组织。
  • 目前W3C和其他组织正在进行的XML开发项目,将提供面向对象的扩展、数据库支持和其他有用的功能。如果在XML中执行IDMEF,IDMEF可立即获得这些功能。
  • XML是免费的,没有版税和许可费用。

特别注意事项

据预计,符合IDMEF的应用程序在其通信中一般不涉及IDMEF DTD。然而事实并非如此,DTD会在IDMEF消息中的文档类型定义中引用。这些IDMEF文档格式正确且有效,如http://www.w3.org/TR/2000/REC-xml-20001006中的定义。
规定其他IDMEF文档不应包含文档序言(如IDMEF格式的数据库中的记录)。这些文档虽格式正确,但无效。
一般,格式正确指文档中存在一个元素,包含所有内容(如<Book>),且所有其他元素正确嵌套,不能互相交叉(如不应在一个“chapter”中嵌入另一个“chapter”)。

有效性指文档格式正确且符合特定规则(在文档类型定义中明确),例如文档中哪些元素合法以及元素之间如何嵌套等(如不应在一个“title”中嵌入另一个“chapter”)。文档只有在引用DTD后才有效。
XML必须能够解析任何格式正确的文档,无论文档是否有效。验证的目的是使文档易于处理(数据解析后进行处理)。若不进行验证,文档中的元素可能会杂乱无序或处理应用无法解析作者“创建”的元素等等。
IDMEF文档必须采用正确的格式。IDMEF文档应在切实可行的情况下有效。

免责声明

本文原文来自于互联网的公共方式,由“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。

更多内容,请下载附件:

入侵检测消息交换格式(IDMEF)

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论