入侵检测系统的标准化----外文资料翻译.doc

淮 海 工 学 院 毕业设计(论文)外文资料翻译 系 （院）： 计算机科学系 专 业： 计算机科学与技术 姓 名： 仝淮宁 学 号： 111001221 外文出处： 附 件： 1.外文资料翻译译文；2.外文原文。 指导教师评语： 签名： （亲笔签名） 年 月 日 注：请将该封面与附件装订成册。附件1：外文资料翻译译文 入侵检测系统的标准化　　摘 要 入侵检测系统（IDS）的标准化是必然要经历的阶段，标准化的制定有利于不同的IDS之间的协作，从而发现新的入侵活动；有利于IDS与访问控制、应急、入侵追踪等系统交换信息，相互协作，形成一个整体有效的安全保障系统。本文首先介绍了网络安全的重要性，并给出了防火墙和入侵检测系统的相关知识，指出了其中存在的问题，从而说明了入侵检测系统标准化产生的背景，接着介绍了国外已经存在的标准草案，之后着重分析了制定IDS标准的意义以及国内制定标准的可行性，最后展望了IDS标准化发展的方向。1 引言　　在信息化社会中，计算机通信网络在政治、军事、金融、商业、交通、电信、文教等方面的作用日益增大。社会对计算机网络的依赖也日益增强。随着网络的开放性、共享性及互联性的扩大，特别是Internet的出现，网络的重要性和对社会的影响也越来越大。随着网络上各种新业务的兴起，比如电子商务、电子现金等，以及各种专用网的建设，使安全问题显得越来越重要。　　网络安全从本质上来讲就是网络上的信息安全。凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。防火墙技术是实现网络安全措施的一种手段。可以用来拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据，同时允许合法用户访问网络资源。但是，防火墙不能防止内部的攻击，因为它只是提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权，由此导致的事故占了全部事故的一半以上。而且，一旦闯入防火墙，防火墙就无法知道正在发生的事情。入侵检测系统（IDS）是一种不同于防火墙的主动保护网络资源的网络安全系统，是防范网络攻击的最后一道防线，是其他安全措施的必要补充，在网络安全技术中起着不可替代的作用。入侵检测系统包括三个功能部件：提供事件记录流的信息源、发现入侵迹象的分析引擎、基于分析引擎的结果产生反应的响应部件。　　但是，随着计算机网络资源共享的进一步加强，并且随着网络规模的扩大，网络入侵的方式、类型、特征各不相同，入侵活动变得复杂而又难以捉摸。某些入侵的活动靠单一IDS不能检测出来。不同的IDS之间没有协作，结果造成缺少某种入侵模式而导致IDS不能发现新的入侵活动。网络的安全也要求IDS能够与访问控制、应急、入侵追踪等系统交换信息，相互协作，形成一个整体有效的安全保障系统。然而，要达到这些要求，需要一个标准来加以指导，系统之间要有一个约定，如数据交换的格式、协作方式等。2 IDS标准研究状况　　为了提高IDS产品、组件及与其他安全产品之间的互操作性，美国国防高级研究计划署（DARPA）和互联网工程任务组（IETF）的入侵检测工作组（IDWG）发起制定了一系列IDS的标准草案。　　IDWG主要负责制定入侵检测响应系统之间共享信息的数据格式和交换信息的方式，以及满足系统管理的需要。IDWG的任务是，对于入侵检测系统、响应系统和它们需要交互的管理系统之间的共享信息，定义数据格式和交换程序。IDWG提出的建议草案包括三部分内容：入侵检测消息交换格式（IDMEF）、入侵检测交换协议（IDXP）以及隧道模型（Tunnel Profile）。　　IDMEF描述了一种表示入侵检测系统输出消息的数据模型，并且解释了使用这个模型的基本原理。IDMEF数据模型以面向对象的形式表示分析器发送给管理器的警报数据。数据模型的设计目标是用一种明确的方式提供了对警报的标准表示法，并描述简单警报和复杂警报之间的关系。该数据模型用XML（可扩展的标识语言）实现。自动的入侵检测系统能够使用IDMEF提供的标准数据格式，来对可疑事件发出警报。这种标准格式的发展将使得在商业、开放资源和研究系统之间实现协同工作的能力，同时允许使用者根据他们的强点和弱点获得最佳的实现设备。实现IDMEF最适合的地方是入侵检测分析器（或称为“探测器”）和接收警报的管理器（或称为“控制台”）之间的数据信道。　　IDXP是一个用于入侵检测实体之间