IDMEF

IDMEF
Účelem IDMEF ( I ntrusion D etection M essage E Xchange F ormat ) je definovat formáty dat a výměnu postupy pro sdílení informací o zájmu detekce narušení a reakce systémů a systémů řízení, které může být nutné komunikovat s nimi. Používá se v oblasti počítačové bezpečnosti pro incidenty hlášení a výměně. Je určen pro snadné automatické zpracování. Podrobnosti formát je popsán v RFC 4765 . implementace datového modelu v Extensible Markup Language (XML) je zobrazena a XML Document Type Definition je vyvinut.

Obsah
1 Příklad
2 Nástroje prováděcí protokol IDMEF
3 Software implementaci protokolu IDMEF
4 Reference
Příklad [ editovat ]
IDMEF zpráva Ping of Death útoku může vypadat takto:

<?xml version = "1.0" encoding = "UTF-8" ?>
<idmef:IDMEF-Message xmlns:idmef = "http://iana.org/idmef" version = "1.0" >
<idmef:Alert messageid = "abc123456789" >
<idmef:Analyzer analyzerid = "bc-sensor01" >
<idmef:Node category = "dns" >
<idmef:name > sensor.example.com </idmef:name >
</idmef:Node >
</idmef:Analyzer >
<idmef:CreateTime ntpstamp = "0xbc71f4f5.0xef449129" > 2000-03-09T10:01:25.93464Z </idmef:CreateTime >
<idmef:Source ident = "a1a2" spoofed = "yes" >
<idmef:Node ident = "a1a2-1" >
<idmef:Address ident = "a1a2-2" category = "ipv4-addr" >
<idmef:address > 192.0.2.200 </idmef:address >
</idmef:Address >
</idmef:Node >
</idmef:Source >
<idmef:Target ident = "b3b4" >
<idmef:Node >
<idmef:Address ident = "b3b4-1" category = "ipv4-addr" >
<idmef:address > 192.0.2.50 </idmef:address >
</idmef:Address >
</idmef:Node >
</idmef:Target >
<idmef:Target ident = "c5c6" >
<idmef:Node ident = "c5c6-1" category = "nisplus" >
<idmef:name > lollipop </idmef:name >
</idmef:Node >
</idmef:Target >
<idmef:Target ident = "d7d8" >
<idmef:Node ident = "d7d8-1" >
<idmef:location > Cabinet B10 </idmef:location >
<idmef:name > Cisco.router.b10 </idmef:name >
</idmef:Node >
</idmef:Target >
<idmef:Classification text = "Ping-of-death detected" >
<idmef:Reference origin = "cve" >
<idmef:name > CVE-1999-128 </idmef:name >
<idmef:url > http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-128 </idmef:url >
</idmef:Reference >
</idmef:Classification >
</idmef:Alert >
</idmef:IDMEF-Message >
Nástroje prováděcí protokol IDMEF [ editovat ]
LibPrelude : Část Prelude OSS projekt , libprelude umožňuje komunikaci mezi agenty pomocí formátu IDMEF. Libprelude je kódovaný v C, ale více vázání jsou k dispozici (python, Lua, perl, atd.). To může být použit v jakékoliv IDS nástroje open-source.
LibIDMEF : LibIDMEF je implementace Internet Engineering Task Force (IETF), Intrusion Detection Exchange Formát Listina Working Group (IDWG), protokol návrh normy Intrusion Detection Message Exchange Format (IDMEF).