《入侵检测》课件第4章.ppt

图4.40分析器发送数据给管理器的简单过程在BEEP会话中，使用多个BEEP通道有利于对不同种类和不同优先权数据的分类发送。例如，管理器M1发送警报数据给另一个管理器M2，可以选择不同的信道传送不同类型的警报数据，在每个信道上管理器M1扮演着客户机的角色，管理器M2则对不同信道上的数据分别作出相应的处理，如图4.41所示。图4.41使用多个BEEP信道对传输的数据进行分类和优先权设置3)断开连接

对等体在很多情况下会关闭IDXP通道，比如，发生处理错误等。要关闭一条信道，对等体需要在0号通道上发送表示关闭那一条通道的close（关闭）元素。要关闭整个BEEP会话，发送表明关闭0号通道的close元素即可。

4)信任模式

在以上模型中，只把IDXP对等体看做是可信的，代理总是假设为不可信任的，Beep安全轮廓被用于在IDXP对等体之间，建立端到端的安全性，这样就不需要信任插在中间的代理。只有在基本的安全轮廓协商成功之后，IDXP对等体才会被信任。3.IDXP轮廓

IDXP轮廓提供了一种可以在入侵检测实体间的消息互换机制。BEEP的隧道轮廓可用于创建一个应用层的隧道，从而在代理链中传送数据。隧道必须作为一个轮廓被提供，用于应用层的隧道的产生。隧道轮廓必许提供某些SASL的授权形式。TLS轮廓应该被用来给IDXP轮廓提供互相授权，保证完整性和机密性。1)IDXP轮廓支持的一些元素

(1)IDXPGreeting元素（问候元素）。

IDXP-Greeting元素用于标识分析器和管理器的身份。它必须包含对等体的角色（确定通道的两端谁是客户机，谁是服务器）以及对等体的统一资源（URI）。另外，它可能还要包含完全域名，这些用一个或者几个选项子元素表示。

IDXP-Greeting元素可以由对等体的任何一方在任何时刻发出，对端必须回复ok（表接受）或者error（表拒绝）。对等体的ID和在通道上的角色以及任何可选参数都是由必威体育精装版的IDXPGreeting指定的。

IDXP-Greeting在许多条件下会被拒绝，包括认证失败、在某一角色下没有授权连接、没有协商成功，或者通道选项没有被识别等。(2)Option元素（选项元素）。

IDXP提供入侵检测实体之间可靠的数据交换服务，选项用来改变服务的语义。如果出现Option元素，该元素必须包含在IDXP-Greeting元素中,一个IDXP-Greeting元素可能包含一个或多个Option子元素。在IDXP-Greeting元素中的每个Option元素都描述一个使能IDXP选项的要求。

选项元素包含在IDXP-Greeting元素中，一个问候元素本身可以包含一个或者多个Option元素。Option元素有多个属性：①internal和external属性：必须具有唯一的选项ID。如果标示为internal，则表示该选项已经在IANA注册；如果标示为external，则表示该选项是一个URI或者URI的片段的ID。注意，相对的URI是不允许的。

②mustUnderstand属性:它的默认值是false。设为true，则如果选项不能被识别，在处理过程中，就会产生错误。该选项指定对等体是否可以忽略不可识别的选项。

③localize属性:表示使用一种或多种编程语言令牌，每一个令牌都标示一个语言标签。最基本的两个选项是通道优先权选项和流类型选项。

通道优先权选项：

在默认情况下，IDXP轮廓不提供多IDXP通道管理要求。channel-Priority选项为对等体提供了与IDXP通道请求相对优先权的方法，从而实现了多通道管理。监督IDXP通道期间，发起端对等体发送包含channelPriority选项的IDXPGreeting元素，请求远端对等体分配优先权给通道。通道优先权选项的priority值范围为0~2147483647之间，取值为0时，优先权最高。例如，在通道监督过程中，IDXPGreeting元素互换期间，分析器成功地请求管理器分配一个通道优先级的过程如下：

analyzermanager

--------------------------greetingw/option--------------------------

--------------------------ok--------------------------

C:MSG117.1984165

C:ContentType:text/xml

C:

C:IDXPGre