基于XML的協(xié)作式入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與原型實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的普及,計(jì)算機(jī)的安全問(wèn)題變得越來(lái)越嚴(yán)重.入侵檢測(cè)系統(tǒng)能夠監(jiān)視對(duì)計(jì)算機(jī)系統(tǒng)的非法訪問(wèn),誤用和濫用,確保計(jì)算機(jī)應(yīng)用系統(tǒng)的安全.在我們所設(shè)計(jì)的上海捷瑪流通EDI系統(tǒng)中,如何利用IDS(入侵檢測(cè)系統(tǒng))來(lái)保護(hù)正常的網(wǎng)絡(luò)服務(wù)運(yùn)行,促使我們開展了該課題的研究.目前,市場(chǎng)上有上千種的入侵檢測(cè)系統(tǒng)供用戶選擇,但是黑客活動(dòng)日益頻繁,攻擊手段越來(lái)越隱蔽、多樣化、復(fù)雜化,僅僅依靠一種工具很難應(yīng)付,而多個(gè)入侵檢測(cè)系統(tǒng)的協(xié)作則可以大大提高系統(tǒng)的整體安全

2、性.本文首先介紹了現(xiàn)有協(xié)作入侵技術(shù),包括DARPA的CIDF(通用入侵檢測(cè)框架),IDWG(入侵檢測(cè)工作組,隸屬IETF組織)的IDMEF(入侵檢測(cè)消息交換格式).通過(guò)對(duì)這些技術(shù)特點(diǎn)的對(duì)比,提出了一個(gè)基于XML的協(xié)作式入侵檢測(cè)系統(tǒng)架構(gòu).采用XML作為入侵警報(bào)信息表達(dá)語(yǔ)言,制定了通用的標(biāo)準(zhǔn)入侵交換格式.以該標(biāo)準(zhǔn)為核心,建立了從單一主機(jī)到internet范圍的安全體系架構(gòu).在設(shè)計(jì)部分,分三個(gè)層次詳細(xì)描述了該安全體系的結(jié)構(gòu),各個(gè)部分的功能,以

3、及系統(tǒng)運(yùn)作的過(guò)程.為了驗(yàn)證設(shè)計(jì)的可行性和正確性,在設(shè)計(jì)的基礎(chǔ)上,實(shí)現(xiàn)了一個(gè)原型系統(tǒng).該原型在linux操作系統(tǒng)下實(shí)現(xiàn),利用snort入侵檢測(cè)系統(tǒng)作為探測(cè)器和分析器,加入XML插件使其支持標(biāo)準(zhǔn)入侵交換格式,利用PHP和MYSQL建立了一個(gè)網(wǎng)頁(yè)式的管理器.通過(guò)配置,遠(yuǎn)程的管理器可以接收分析器傳輸過(guò)來(lái)的XML警報(bào)信息,同時(shí)應(yīng)用XSL文檔顯示格式,在網(wǎng)頁(yè)上以友好的界面顯示.通過(guò)測(cè)試,本文所實(shí)現(xiàn)的原型系統(tǒng)運(yùn)行正常,遠(yuǎn)程的管理器可以及時(shí)響應(yīng)分析器傳