关于入侵检测，有什么开放的标准存在么？

　　目前为止入侵检测还没有成熟的开放标准。但是我们正在向这一方向努力。
　　Internet工程任务组(IETF)是制定互联网标准的实体。他们有一个工作小组专门致力于开发一个通用的IDS报警格式。该小组已经完成了需求调查的阶段，具体的设计方案已经基本结束，但是具体的细节可能会稍有变化。初步的实现工作可能会因为标准的最终确定而进行少量修改。现在的设计是通过类似HTTP的连接格式来发送基于XML的IDS警告。为了满足IDS分析的需要，并且使该协议能够以自然的方式穿越防火墙，人们为此做了许多工作。
　　我们欢迎更多的人员参与进来。IEFT工作组对任何想参与并且技术过硬的人都是开放的。这是因为个人总是能为了解决问题提出非常好的的方法，而不是按照老板的日程来给出答案。
　　工作组的宗旨可以参考http://www.ietf.org/html.charters/idwg-charter.html，邮件列表：http://www.semper.org/idwg-public/工作组的文档可以查看http://www.silicondefense.com/idwg
ISO的T4委员会也为此付出了不少努力，提出了入侵检测框架。该项目的进展情况目前仍是未知的，FAQ作者也无法对此获得已知数据。
通用入侵检测框架（CIDF）是美国国防高级研究项目局（DARPA）为IDS数据交换而作出的一个尝试。CIDF并不是想做成一个可以影响商业产品的标准，它只是一个研究项目。现在的CIDF开发似乎已经停止。CIDF使用类似于Lisp的格式来交换入侵相关事件的信息，并且为使用这些消息定义了大量的系统原型。你可以在http://www.gidos.org上获得更多的信息。
Stuart Staniford-Chen
President, Silicon Defense
stuart@silicondefense.com

如何在一个网络流量繁重的交换环境下实现入侵检测系统（基于网络）？　　在交换环境下实现入侵检测系统的主要困难，是由集线器和交换机的不同所造成的。集线器没有连接的概念，因此每从一个端口收到数据包，都会向其他的端口进行复制。然而交换机是基于连接的，当一个数据包从交换机的一个临时连接端口进入，该数据包会被转发到目的端口。因此在集线器环境下，我们可以把我们的探测器放到任何位置，但是对于交换机，必须使用某些手段才能够使探测器监视需要的流量。
　　目前的选择有TAPS（中文为水龙头的意思），集线器和跨越端口（spanning port，有些地方也称为Mirror Port镜像端口），