Имя таблицы | Назначение |
IDS_module | Хранение основной информации о каждом установленном модуле СОВ |
IDS_module_type | Хранение данных о типах модулей СОВ. Каждый модуль имеет тип, определяющий, с данными каких модулей других типов он может работать, и как (каким модулем вывода) должны отображаться результаты его работы. К примеру, данные конкретного сигнатурного сетевого датчика отличаются от данных некоторого хостового датчика, снимающего статистику, и должны обрабатываться по-разному и разными алгоритмами анализа. Возможна разработки и регистрация новых типов модулей (датчиков, анализаторов межсетевых экранов); указание, с какими уже существующими типами модулей возможно их сотрудничество. |
Sensor | Хранение данных, специфичных для датчика |
Analyzer | Хранение данных, специфичных для анализатора |
Firewall | Хранение данных, специфичных для межсетевого экрана |
Module_types_using | Данные об использовании модулями одного типа модулей других типов (данные каких датчиков анализируются модулем анализа конкретного типа; на основании данных каких модулей межсетевой экран производит блокировки и т. п.) |
Самоописывающие данные. Поля таблиц
IDS_Module
Поле | Описание |
ID | Уникальный идентификатор установленного модуля СОВ. Используется в модели IDMEF. |
Type | Идентификатор типа модуля. См. табл. IDS_module_type. |
Node | Идентификатор хоста, на котором установлен модуль СОВ. Используется в модели IDMEF. См. табл. Node. |
last_start_time | Последнее время запуска модуля |
last_stop_time | Последнее время останова модуля |
last_message_id | Уникальный для модуля идентификатор сообщения, сгенерированный перед последним остановом |
name | Имя модуля. Используется в модели IDMEF. |
manufacturer | Производитель. Используется в модели IDMEF. Определяются производителем модуля. |
model | Модель. Используется в модели IDMEF. Определяются производителем модуля. |
version | Номер версии. Используется в модели IDMEF. Определяются производителем модуля. |
class | Класс модуля. Используется в модели IDMEF. Определяются производителем модуля. |
ostype | Тип ОС, на которой функционирует модуль. Используется в модели IDMEF. Определяются производителем модуля. |
osversion | Версия ОС, на которой функционирует модуль. Используется в модели IDMEF. |
IDS_module_type
Поле | Описание |
ID | Уникальный идентификатор типа модуля |
type | Уникальное имя типа модуля. Определяется производителем модуля. |
description | Описание типа модуля |
register_time | Время регистрации типа модуля. Добавляется автоматически при регистрации типа модуля. |
Sensor
Поле | Описание |
ID | Уникальный идентификатор модуля-датчика |
interface | Интерфейс, прослушиваемый датчиком. Используется в модели IDMEF. Для сетевых датчиков – идентифицирует сетевой интерфейс, для хостовых может использоваться на усмотрение разработчика. |
bpf_filter | Маска-фильтр сетевых пакетов формата Berkeley Packet Filter. Используется только для сетевых датчиков. |
Analyzer
Поле | Описание |
ID | Уникальный идентификатор модуля-датчика |
Firewall
Поле | Описание |
ID | Уникальный идентификатор модуля-датчика |
policy | Идентификатор политики, используемой межсетевым экраном. См. табл. Firewall_policy. |
Module_types_using
Поле | Описание |
using_type_ID | Возможный тип используемого модуля. См. табл. IDS_module_type. |
used_type_ID | Тип использующего модуля. См. табл. IDS_module_type. |
Описание сетевых устройств и адресации. Таблицы
Имя таблицы | Назначение |
Node | Хранение данных, идентифицирующих узел, его имя, расположение и его адрес по умолчанию (первичный адрес) |
Node_name_category | Категория имени (как оно должно интерпретироваться) |
Address | Хранение данных о различных сетевых адресах устройств |
Node_address | Обеспечение связи между сетевыми узлами и множеством сетевых адресов |
Node_address_category | Категория сетевого адреса |
Node
Поле | Описание |
ID | Уникальный идентификатор сетевого устройства |
name_category | Идентификатор категории имени. Используется в модели IDMEF. См. табл. Node_name_category. |
name | Имя сетевого устройства. Используется в модели IDMEF. Имя интерпретируется в соответствии с категорией. |
location | Текстовое описание расположения сетевого устройства. Используется в модели IDMEF. |
pri_address | Ссылка на адрес устройства, используемый по умолчанию. См. табл. Address. Адрес, используемый по умолчанию, может быть перечислен также в таблице, устанавливающей соответствие сетевых устройств и адресов |
Node_name_category
Поле | Описание |
ID | Уникальный идентификатор категории имени сетевого устройства |
Category | Имя категории имени сетевого устройства. Используется в модели IDMEF. |
Address
Поле | Описание |
ID | Уникальный идентификатор адреса. Используется в модели IDMEF. |
address_category | Идентификатор категории адреса. Используется в модели IDMEF. См. табл. Node_address_category. |
address | Адрес. Используется в модели IDMEF. |
netmask | Маска сети. Используется в модели IDMEF. |
vlan_name | Имя вирутальной сети. Используется в модели IDMEF. |
vlan_num | Номер виртуальной сети. Используется в модели IDMEF. |
Node_address
Поле | Описание |
node_ID | Идентификатор сетевого узла |
address_ID | Идентификатор сетевого адреса, сопоставленному узлу |
Node_address_category
Поле | Описание |
ID | Уникальный идентификатор категории адреса сетевого устройства |
category | Имя категории адреса сетевого устройства. Используется в модели IDMEF. |
Описание наблюдаемых хостов и сервисов. Таблицы
Имя таблицы | Назначение |
Observed_host | Описание наблюдаемого/защищаемого хоста как связь соответствующего (наблюдающего/защищающего) модуля СОВ и сетевого узла. |
Observed_host_category | Категория (наблюдаемый сторонний хост – потенциальный источник атаки и т. п., защищаемый хост) |
Observed_service | Данные о сетевом сервисе наблюдаемого /защищаемого хоста (связь между сетевым сервисом и наблюдаемым хостом) |
Observed_service_category | Категория наблюдаемого сетевого сервиса |
Service | Данные о конкретном сетевом сервисе |
Protocol | Описание протоколов транспортного уровня |
Observed_host
Поле | Описание |
ID | Уникальный идентификатор наблюдаемого хоста |
node | Идентификатор соответствующего хоста. См. табл. Node. |
observing_IDS_module | Идентификатор модуля СОВ, который наблюдает хост |
category | Идентификатор категории наблюдаемого хоста. См. табл. Observed_host_category. |
description | Описание хоста |
Observed_host_category
Поле | Описание |
ID | Уникальный идентификатор категории наблюдаемого хоста |
category | Категория наблюдаемого хоста |
Observed_service
Поле | Описание |
ID | Уникальный идентификатор наблюдаемого сервиса |
observed_host | Идентификатор защищаемого хоста, с которым связан наблюдаемый сервис. См. табл. Observed_host. |
service | Идентификатор сервиса. См. табл. Service. |
description | Описание наблюдаемого сервиса |
Service
Поле | Описание |
ID | Уникальный идентификатор сервиса |
name | Имя сервиса. Используется в модели IDMEF. |
port | Основной порт. Используется в модели IDMEF. |
portlist | Список портов. Используется в модели IDMEF. Отвечает требованиям IANA. |
transport_protocol | Идентификатор транспортного протокола. Используется в модели IDMEF. См. табл. Protocols. |
ip_version | Версия протокола IP. Используется в модели IDMEF. |
iana_protocol_number | Номер протокола согласно IANA. Используется в модели IDMEF. |
iana_protocol_name | Имя протокола согласно IANA. Используется в модели IDMEF. |
Protocols
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 |
