IDMEF

入侵檢測消息交換格式(IDMEF)

IDWG(入侵檢測工作組)發起制定的入侵檢測標準三部分之一.

.自動入侵檢測系統可以使用IDMEF 提供的標準數據格式對可疑時間發出告警,提高業務,開放資源和系統之間的互操作性.IDMEF最適用於入侵檢測分析器(或稱為"探測器")和接收告警的管理器(或稱為"控制枱")之間的數據信道.

1．IDMEF的數據模型

IDMEF數據模型以面向對象的形式表示探測器傳遞給控制枱的警報數據，設計數據模型的目標是為警報提供確定的標準表達方式，並描述簡單警報和複雜警報之間的關係。

IDMEF數據模型各個主要部分之間的關係如概述圖所示。

所有IDMEF消息的最高層類是IDMEF-Message，每一種類型的消息都是該類的子類。IDMEF目前定義了兩種類型的消息：Alert（警報）和Heartbeat（心跳），這兩種消息又分別包括各自的子類，以表示更詳細的消息。

需要注意的是，IDMEF數據模型並沒有對警報的分類和鑑別進行説明。例如，對一個端口的掃描，一個分析器可能將其確定為一個多目標的單一攻擊，而另一個分析器可能將其確定為來自同一個源的多次攻擊。只有一個分析器決定了發送的警報類型，數據模型才能規定怎樣對這個警報進行格式化。

IDMEF數據模型是用統一建模語言（UML）描述的。UML用一個簡單的框架表示實體以及它們之間的關係，並將實體定義為類。IDMEF包括的主要類有IDMEF-Message類、Alert類、Heartbeat類、Core類、Time類和Support類，這些類還可以再細分為許多子類。

2．使用XML描述IDMEF文檔標記

IDWG最早曾提出兩個建議實現IDMEF：用SMI（管理信息結構）描述一個SNMP MIB和使用DTD（文檔類型定義）描述XML文檔。IDWG 在1999年9月和2000年2月分別對這兩個建議進行了評估，認為XML最能符合IDMEF的要求，於是，在2000年2月的會議上決定採用XML方案。

XML是SGML（標準通用標記語言）的簡化版本，是ISO 8879標準對文本標記説明進行定義的一種語法。作為一種表示和交換網絡文檔及數據的語言，XML能夠有效地解決HTML面臨的許多問題，所以獲得了業界的普遍青睞。1998年10月，WWW聯盟（W3C）將XML作為一項建議公佈於眾。此後不久，WWW聯盟又發佈了一份建議，定義了XML文檔中的名字空間。

XML是一種元語言——即一個描述其他語言的語言，它允許應用程序定義自己的標記，還可以為不同類型的文檔和應用程序定義定製化的標記語言。

XML DTD（文檔類型定義）可用來聲明文檔所用的標記，它包括元素（文檔包括的不同信息部分）、屬性（信息的特徵）和內容模型（各部分信息之間的關係）。