基于XML的協(xié)作式入侵檢測系統(tǒng)的設計與原型實現(xiàn).pdf

1、隨著網絡技術的普及,計算機的安全問題變得越來越嚴重.入侵檢測系統(tǒng)能夠監(jiān)視對計算機系統(tǒng)的非法訪問,誤用和濫用,確保計算機應用系統(tǒng)的安全.在我們所設計的上海捷瑪流通EDI系統(tǒng)中,如何利用IDS(入侵檢測系統(tǒng))來保護正常的網絡服務運行,促使我們開展了該課題的研究.目前,市場上有上千種的入侵檢測系統(tǒng)供用戶選擇,但是黑客活動日益頻繁,攻擊手段越來越隱蔽、多樣化、復雜化,僅僅依靠一種工具很難應付,而多個入侵檢測系統(tǒng)的協(xié)作則可以大大提高系統(tǒng)的整體安全

2、性.本文首先介紹了現(xiàn)有協(xié)作入侵技術,包括DARPA的CIDF(通用入侵檢測框架),IDWG(入侵檢測工作組,隸屬IETF組織)的IDMEF(入侵檢測消息交換格式).通過對這些技術特點的對比,提出了一個基于XML的協(xié)作式入侵檢測系統(tǒng)架構.采用XML作為入侵警報信息表達語言,制定了通用的標準入侵交換格式.以該標準為核心,建立了從單一主機到internet范圍的安全體系架構.在設計部分,分三個層次詳細描述了該安全體系的結構,各個部分的功能,以

3、及系統(tǒng)運作的過程.為了驗證設計的可行性和正確性,在設計的基礎上,實現(xiàn)了一個原型系統(tǒng).該原型在linux操作系統(tǒng)下實現(xiàn),利用snort入侵檢測系統(tǒng)作為探測器和分析器,加入XML插件使其支持標準入侵交換格式,利用PHP和MYSQL建立了一個網頁式的管理器.通過配置,遠程的管理器可以接收分析器傳輸過來的XML警報信息,同時應用XSL文檔顯示格式,在網頁上以友好的界面顯示.通過測試,本文所實現(xiàn)的原型系統(tǒng)運行正常,遠程的管理器可以及時響應分析器傳