（计算机系统结构专业论文）基于stat技术的安全事件管理系统的研究与实现.pdf

华东师范大学硕士学位论文 摘要 随着互联网的发展以及信息化程度的逐步提高，信息安全威胁也呈现出多元化、复杂化 的趋势。依靠单一的安全技术已经很难解决现有的信息安全问题，信息安全要靠一个包括防 火墙、防病毒、v p n 、入侵检测、漏洞扫描器等多项技术和安全产品组成的安全体系来实现。 但是根据专业机构的调查显示，在使用了多种安全产品和技术的企业或机构中，安全事件仍 然居高不下。这引起了大家的反思，人们开始意识到信息安全管理的重要性，信息安全的重 心开始由“技术”转移到“管理”上来。信息安全管理系统应运而生信息安全管理系统一 般至少包括以下子系统：事件管理、策略管理、资产管理、身份管理、应急响应 安全事件管理系统是信息安全管理系统的核心子系统，它行使事件采集、事件分析处理、 风险评估、事件审计等功能。它既可以与其他子系统协作构成完整的信息安全管理系统，也 可以作为独立的信息安全管理产品单独运行。 本文设计了一个安全事件管理系统( s e c u r i t ye v e n tm a n a g e m e n ts y s t e m , s e m s ) ，并利用 s t a t ( s t a t e t r a n s i t i o n a n a l y s e t e c h n o l o g y ) 技术实现了该系统。s e m s 能够支持对各种类型、 各种品牌的安全产品的事件管理；能够对各种安全事件进行采集，并实现事件标准化、过滤 和归并操作；能够使用“资产关联”、“聚类关联”、“事件序列关联”等多种方法进行事件关 联分析处理；能够对事件进行实时监控、审计和态势分析。 在整个论文过程中，从信息安全的内容和目标以及信息安全所面临的问题入手，对安全 事件管理系统进行需求分析。并在此基础上，做了以下的工作： ( 1 ) 定义了一个事件标准模型。在对安全事件管理系统进行细化分析，对关键技术 进行调研的过程中，改进i d m e f 数据模型。为安全事件管理系统定义了一个 事件标准模型。该模型适用于各种异构的事件源，包括不同采集方式的事件信 息、不同信息源的事件信息、不同类型的事件信息等。 ( 2 ) 定义了一个事件关联模型，在该模型中采用了包括事件过滤、事件归并、资产 关联、聚类关联、事件序列关联的多种关联方法。能有效的减少事件量，降低 误报率和漏报率，发现分布式和组合式攻击。 ( 3 ) 在此基础之上设计并实现了一个安全事件管理系统s e m s 。对s e m s 的总体框 架以及各个模块的功能及实现做了具体的阐述。 ( 4 ) 以一个d d o s 攻击的实际数据进一步说明s e m s 的功能，并验证了s e m s 的 可行性及其在减少事件量，降低误报率和漏报率，发现分布式和组合式攻击上 的有效性。 关键字 信息安全管理，安全事件管理，s t a t 技术，事件模型，事件关联 _ _ _ _ - _ _ - 。_ 。_ _ 。- - _ - _ _ _ - _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ - _ 。_ _ _ _ _ _ - 。- - _ r 1 。一 一 华东师范大学硕士学位论文 a b s t r a c t a l o n gw i t ht h ed e v e l o p m e n to f n e t w o r ka n di n f o r m a t i o nt e c h n o l o g y , m o r ea n dm o r ck i n d so f s e c u r i t yt h r e a t sa p p e a r e dw h i c hc a n n o tb er e s o l v e db y 血9 1 es e c u r i t yt e c h n o l o g y s o l v i n g i n f o r m a t i o ns e c u r i t yp r o b l e mn d si n t e g r a t e ds e c u r i t ya r c h i t e c t u r ei n c l u d ef i r e w a l l ，a n t i - v i r u s ， v p n ，i d s ，p o r ts o r ue n g i n ea n ds oo n b u ta u c c o r d i n g t ot h ea u t h o r i t yi n v e s t i g a t i o nc o r p 3 i n v e s t i g a t i o n , t h es e c u r i t yt h r e n ti ss t i l ls e r i o u su n d e rt h ei n t e g r a t e ds e c u r i t ya r c h i t e c t u r e t h i sm a k e s t h ep e o p l et or e a l i z et h ei m p o r t a n c eo fi n f o r m a t i o ns e c u r i t ym a n a g e m e n t s on o w a d a y st h e e m p h a s i s o fi n f o r m a t i o ns e c u r i t yh a sb e e nm o v e df r o mt h ep r o d u c t - c e n t r a l i z e dt ot h e m a n a g e m e n t - c e n t r a l i z e dp e r i o da n dt h ei n f o r m a t i o nm a n a g e m e n ts y s t e m ( i m s ) p r 髓t s g e n e r a l l y , t h ei m ss h o u l da tl e a s ti n c l u d es u c h m y s t c m s ：e v e n tm a n a g e m e n t , p o l i c ym a n a g e m e n t , a s s e t m a n a g e m e n t ，i d e n t i t y m a n a g e m e n t a n d e m e r g e n c y r e s p o n s e a st h ec o r eo f t h ei m s t h ee v e n tm a n a g e m e n ts y s t e m ( e m s ) p l a y sa ni m p o r t a n tr o l ew h i c h i m p l e m e n t st h ee v e n tc o l l e c t i o n , e v e n ta n a l y s i s ，s e v e r i t ye s s e s s m e t l ta n de v e n ta g g r e g a t i o n i tc o u l d n o to n l yb et h es u b s y s t e mo f t h en 订s b u ta l s ob eas i n g l es y s t e m i nt h i sa r t i c l e a ne m si sd e s i g n e da n dt h es e c u r i t ye v e n tm a n a g e m e n ts y s t e m ( s e m s ) i s i m p l e m e n t e db a s e do nt h es t a tt e c h n o l o g yw h i c hg u p p o r sd i f f e r e n tk i n d so f e v e n t sf r o md i f f e n t p r o d u c t sa n du s e sd i f f e r e n tk i n d so fe v e n tc o r r e l a t i o nm e t h o d si n c l u d ea s s e tc o r r e l a t i o n , c l u s t e r i n g c o r r e l a t i o na n ds e q u e n c ec o r r e l a t i o n t h es e m sr e q u i r e m e n ta n a l y s i si sb a s e do nt h ec o n t e n te n do b j e c to f i n f o r m a t i o ns e c u r i t ye n d t h ep r o b l e mi ni n f o r m a t i o ns e c u r i t y t h em a i nw o r k bb e e nd o n ei nt h i sp a p e ri sl i s t e db e l o w 1 ) f i n dt h ec r i t i c a lt e c h n o l c l 百e si ns e m sa n dg i v er e l a t e ds o l u t i o n s d u r i n gs u c hp r o g r e s s ，越 e v e n tm o d e li sd e f i n e df o rt h es e m sw h i c hc o u l ds u p p o r tm a n yk i n d so fe v e n t sf r o m m a n yd i f f e r e n tp r o d u c t s ， 2 ) d e f i n e da l le v e n tc o r r e l a t i o nm o d e lw h i c hc o u l da d o p tm a n ye v e n tc o r r e l a t i o nm e t h o d s t h e s ec o r r e l a t i o nm e t h o d sc o m b i n e dc o u l dr e d u c et h en e g a t i v ea n dp o s i t i v ea l a r m se n d i d e n t i f yt h ec o m p l i c a t e da t m a k s 3 ) d e s i g na n di m p l e m e n tt h es e m sb a s e d0 1 1s t a tt e c h n o l o g y , m a k ed e t a i lr e p r e s e n t a t i o n s o nt h ew h o l ef i - a c t u r ea n dt h ee v e r ym o d u l e 钔g i v ea l la c t u a le x a m p l eo nr e p r e s e n t i n gt h es e m sa n dr e v e a lt h ef e a s i b i l i t ye n dv a l i d i t yo f t h es y s t e r n k e yw o r d s i n f o r m a t i o ns e c u r i t ym a n a g e m e n t ，s e c u r i t ye v e n tm a n a g e m e n t , s t a tt e c h o n o l o g y , e v e n t m o d e l ，e v e n tc o r r e l a t i o i l 学位论文独创性声明 本人所呈交的学位论文是我在导师的指导下进行的研究工作及取 得的研究成果据我所知，除文中已经注明引用的内容外，本论文不 包含其它个人已经发表或撰写过的研究成果对本文的研究做出重要 贡献的个人和集体，均已在文中作了明确说明并表示谢意。 作者签名：彳函红啤一 日期：五挈二垃- 学位论文使用授权声明 本人完全了解华东师范大学有关保留、使用学位论文的规定，学 校有权保留学位论文并向国家主管部门或其指定机构送交论文的电子 版和纸质版有权将学位论文用于非赢利目的的少量复制并允许论文 进入学校图书馆被查阅有权将学位论文的内容编入有关数据库进行 检索有权将学位论文的标题和摘要汇编出版保密的学位论文在解 密后适用本规定 学位论文作者签名：锄 日期：碎：主f 当 导师签名： 日期：竺! - 兰：! o r i g i n a l i t yn o t i c e i np r 乩d n gt h i st h e s i si np a r t i a lf u l f i l l m e n to ft h er e q u i r e m e n t sf o r t h em a s t e r sd e g r e ea t e a s tc h i n an o r m a lu n i v e r s i t y , 1w a r r a n tt h a tt h i st h e s i si so i i g i n a la n da n yo ft h et e c l m i q u e , p r e n t c dj nt h et h e s i sh a v eb e e nf i g u r e do u tb ym e a n yo ft h er e f e r e n c e st ot h ec o p y r i g h t , a a , k m a 氐p a t e n t , s t a t u t o r yr i 龇o rp r o p r i e t yr i g h to fo t h e r sh a v eb e e ne x p l i c i t l ya c k n o w l e d g o ：l a n d i n c l u d e d i n t h e r e f e r e n c e ss e 商o na t t h ee n d o f t h i s t h e s i s s 咖a 咖：季蝉。啦：型乒趔 c o p y r i g h tn o t i c e ih e r e i na g r e et h a tt h el i b r a r yo f e c n us h a l lm a k ei t sc o p i e sf r e e l ya v a i l a b l ef o ri n s p e c t i o n i f i t r t h e r a g r e e t h a t e x t e n s i v e c o p y i n g o f t h e t h e s i s i s a l l o w a b l e o n l y f o r s c h o l a r l y p r o p o s e s ，i n p a r t i c u l a r , s t o r i n gt h eo o n t o n to f t h i st h e s i si n t or e l e v a n td a t a b a s e s ，a sw d la sc o m p i l i n ga n d p u b l i s h i n gt h et i t l ea n da b s w a c to f t h i st h e s i s ，c o n s i s t e n tw i t h ”f a i ru s e ”a sp r c r i b e di nt h e c o p y r i g h tl a wo f t h ep e o p l e sr e p u b l i co f c h i n a 铷枷球姆d a e ：驾u 址 华东师范大学硕士学位论文 1 1 研究背景 第一章引言 1 1 1 信息安全及信息安全管理 信息安全的含义口6 1 是指通过各种计算机、网络和密钥技术，保证在各种系统和网络传输、 交换和存储的信息的机密性、完整性、可用性和真实性。 保障信息安全有三个支柱，一个是技术，一个是管理，一个是法律法规。而我们日常在 提及信息安全时，多是与技术相关的领域，例如：i d s 入侵检测技术、f i r e w a l l 防火墙技术、 a m i - v n - u s 防病毒技术、加密技术、c a 认证技术等等。这是因为现今信息安全技术和产品随 处可见，技术和产品的发展水平也相对较高。同时，信息安全技术和产品的采纳能够快速见 到直接效益。然而虽然如此，安全事件却依然频发大家在面对信息安全事件时总是在叹息： “道高一尺，魔高一丈”。实质上，在反思自身技术的不足时，人们此时忽视了另外两个层面 的保障，即管理和法律法规。 2 0 0 3 年7 月，我们国家发布了2 7 号文件，这是我国的第一个信息安全指导文件，2 0 0 4 年又针对”号文件进行细化，发布了6 6 号文件，进一步明确了信息安全指导思想。这说明 我们已经开始重视法律法规在信息安全上的指导作用。法律法规由专门的部门所设立，在这 里我们并不对其进行详细的探讨。本文所探讨的是在保障信息安全方面所忽视的另一个重要 层面一管理，即如何进行有效的管理来保障信息安全。 信息安全管理的目标主要是；防止未授权存取、防止泄密、防止用户拒绝系统的管理、 防止丢失系统的完整性。信息安全管理的内容主要包括：信息载体安全管理、信息密级标签 管理、信息存储管理、信息访问控制管理、信息完整性管理、信息可用性管理、不良信息监 控管理及可以信息跟踪审计。针对信息安全管理的目标及内容，i s s 公司最早提出了p d r 安 全模型，即：p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 、r e s p o n s e ( 响应) 。在此基础上，业界又 出现了一些扩展模型，得到广泛认同的模型是p p d r 模型，即：p o l i c y ( 策略) 、p r o t e c t i 6 n ( 防 护) 、d e t e c t i o n ( 检测) 、响应( r e s p o n s e ) 1 3 7 1 ( 图1 1 ) 。用户单位首先制定安全策略。指明 安全防范的范围和目的，然后围绕策略采取合适的安全措施对目标实施安全防护，使用检测 系统检查安全措施的有效性和网络系统活动的舍法件对讳反宅牟簧赂的行为予以响麻。 圈1 - 1p p d r 安全模型 华东师范大学硕士学位论文 1 1 2 信息安全面临的问题 在解决信息安全问题时，主要面l 临着以下几个问题。 安全技术产品多样化。 随着信息技术应用的不断发展，各种新的安全技术随之诞生防火墙技术、反病毒技术、 访问控制、加密技术、入侵检测技术、虚拟专用网络技术、数字签名、证书、生物识别技术 等等。每一种新的安全技术都会催生一批新的安全产品：防火墙、防病毒软件、邮件网关、 加密卡、主机入侵检测软件、网络入侵检测软件、漏洞扫描、v p n 软件与硬件等等。往往在 同一环境中，部署了各种类型的一个甚至数个安全产品。越来越庞大的安全产品群落使得对 它们的管理变得越来越困难，也显得越来越重要、迫切。 安全事故频发。 根据调查显示，2 0 0 3 年3 9 的受访者表示曾经遭到过各种形式的安全事故，这一数字在 2 0 0 5 年上升到8 3 。从尼姆达到红色代码到冲击波、震荡波等，由于网络的发展，安全事件 发生的范围正在不断的扩大。在浩瀚如海的安全事件中，如何有效的检测出安全事故成为一 个难题。入侵检测系统由于越来越高的误报率和漏报率，其真正的作用远没有想象的那么大。 如何精炼大量的报警信息、降低误报率和漏报率成为首要的问题。 安全事件类型各异。 近年来，信息安全事件呈现多样化的发展趋势，从攻击源、攻击类型和攻击原因都产生 了很多新的类型。信息安全事件变化速度已经超过了人们接受变化的能力，国外的c i s o ( c h i c f i n f o r m a t i o ns e o n r i t yo 伍c 日) 已经开始普及，而国内的信息安全咨询与服务仍处于起步阶段。 因此，构建自己的信息安全系统，建立自己的安全事件知识库成为现阶段解决这一问题的最 好办法。 安全机制各自为政。 p p d r 模型中，策略、防护、检测、响应，这些安全机制在应用中通常都已经全部或者部 分的实施了。但是在这些已经实施了完整安全机制的对象中，都没有能够将这些机制进行有 效的协作，各子系统之间的安全机制无法进行有效的关联。根据统计p ”，有9 0 的系统安装 有防病毒软件，但这些系统中依然有8 5 感染了计算机病毒；有8 9 的系统安装了防火墙， 但这些系统中依然有9 0 的存在安全漏洞；有6 0 的系统安装了入侵检测系统，但这些系统 中依然有4 0 遭受了外来入侵。 解决这些信息安全所面临的问题都需要依赖于一个健全的信息安全管理系统。 1 1 3 信息安全管理系统及事件管理系统 从以上的数据可以看到，随着信息技术的不断发展，信息安全技术和产品也随之不断的 发展，但与此同时，信息安全事故仍然不断增长，安全制度无法落实。安全机制不能协同工 作，信息安全领域面临着新的挑战。这些问题的产生很大程度是由于长期以来人们对于信息 安全的“重技术轻管理”而造成的。在这样的背景下，信息安全的重心慢慢的由防杀病毒、 入侵检测、防火墙等独立的信息安全产品与技术转向以事件管理、策略管理、身份管理为主 的信息安全管理与工程上。 由英国商务部推动，b s i ( b r i t i s hs t a n d a r d si n s t i t u t i o n ，英国标准协会) 发展的b s 7 7 9 9 提 2 华东师范大学硕士学位论文 出了一套基于实践的成功的信息安全管理体系标准( 如图1 - 2 所示) 。 图1 - 2 信息安全管理体系 信息安全管理系统一般至少要包括以下的子系统：事件管理系统、策略管理系统、资产 管理系统、身份管理系统及应急响应系统。事件管理系统是信息安全管理系统的核心子系统， 它主要行使事件采集、事件分析处理、风险评估、事件审计等功能。它既可以与其它子系统 协作构成完整的信息安全管理系统，也可以作为独立的信息安全管理系统运行。这些内容构 成了整个信息安全管理的基础，可以说它是安全管理系统的“中枢神经”，因此事件管理系统 在保障信息安全中显得尤为重要。 1 2 本文的研究目标和研究内容 本文的研究目标就是设计并实现一个事件管理系统一安全事件管理系统。该系统能管理 网络中不同品牌不同厂商的安全产品，能对这些不同产品的孤立事件信息进行关联，找出其 中潜在的关系，发现隐藏的攻击。安全事件管理系统是“上海市政务外网信息安全综合保障 体系项目”的一个重要组成部分。高质量地完成本项目对整个上海市政务外网信息安全保障 体系的顺利实施具有相当重要的意义。该系统主要支持对各种类型、各种品牌的安全产品的 事件进行管理，通过对标准事件交换格式的使用和补充，对事件进行监控和关联、对安全风 险进行识别和评估，并进行事后统计和审计。 为了达到以上的目标，在整个研究中，主要研究了以下两方面的内容：事件数据模型及 事件关联技术。 事件数据模型。 事件管理系统中的信息交换需要统一的事件格式。一般厂商会设计一套自己专门的事件 3 华东师范大学硕士学位论文 格式用来在系统内进行信息交换，并将这些格式发布给所管理的安全产品厂商，要求安全产 品在上报事件时直接使用统一的事件格式。这样就需要一套数据模型来规范事件的格式。权 威机构i e t f ( i n t e r a e te n g i n e 目i n gt a s kf o r c e ) 制定的i d m e f ( i n u u s i o nd e t c c d o nm e s s a g e e x c h a n g ef o r m a t ) 标准旨在定义入侵检测系统和安全管理系统的信息数据格式和交换过程的 一套标准。但是至今为止还没有针对各种安全事件的统一数据模型标准。本文通过研究分析 i d m e f 数据模型，改进并扩展i d m e f ，使之适用于安全管理系统，能处理各种安全事件。 事件关联分析技术。 事件关联技术涉及到各种学科的交叉，因此在多个领域中的研究已经有了较长时间的积 累。早在1 9 9 7 年斯坦福研究院设计实验室就提出了概率报警关联方法和基于使命的关联分析 器，并将其用于著名的e m e r a l d “j 入侵检测系统中。如今的关联分析技术的研究已经渗透 到许多学科领域，包括：统计学、运筹学，数据挖掘、人工智能等。本文分析研究了当前的 事件关联分析技术，并将资产关联、聚类关联、事件序列关联应用于安全事件管理系统中， 用以分析并挖掘网络中看似孤立的事件问可能存在的关系。 1 3 本文的组织结构 本文组织结构如下： 第一章：引言。从信息安全的发展及信息安全所面临的问题，引出本文的研究背景。通 过分析信息安全管理系统及事件管理系统的作用，指明了本文的研究目的和研究内容。在本 章的最后，列出了本文的组织结构。 第二章：技术基础。分析了安全事件管理系统所涉及的技术背景。首先介绍了权威机构 i e t f 制定的m m e f 数据模型，这是安全事件管理系统中事件数据模型的基础。然后介绍了 一个学术界的入侵检测系统开放源码项目s t a t ，这是安全事件管理系统实现的平台。最后着 重分析了事件关联技术及其现状。 第三章：安全事件管理系统的分析。本章主要对安全事件管理系统中的关键技术进行了 分析。首先分析了安全事件管理系统中的事件采集技术。而后，通过对系统中所采集的信息 进行分析，定义了安全事件管理系统的事件数据模型。最后，对安全事件管理系统中所使用 的事件关联技术进行了分析。定义了在系统中所使用的关联层次模型，并具体分析定义了所 使用的每一种事件关联分析技术。 第四章：基于s t a t 技术的安全事件管理系统的设计与实现。本章在第三章分析的基础 上对安全事件管理系统进行设计，分析设计了安全事件管理系统的各个模块，描述了各个模 块的主要功能，并实现了这些模块。 第五章：以一个具体的实例攻击数据验证安全事件管理系统的可行性及有效性。 第六章：总结和展望。本章主要对本文进行总结，指出本文的研究成果以及今后进一步 有待研究的工作。 4 华东师范大学硕士学位论文 2 1 本章提要 第二章技术基础 本章主要分析了安全事件管理系统所涉及的技术背景。首先介绍了权威机构i e t f 制定的 i d m e f 数据模型，这是安全事件管理系统中事件数据模型的基础。然后介绍了一个学术界的 入侵检测系统开放源码项目s t a t ，这是安全事件管理系统实现的平台。最后着重介绍了事件 关联技术及其现状。 2 2i d m e f 1 】 i d m e f m ( i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g ef o r m a t ，入侵检测消息交换格式) 是i e t f 下的i d w g ( i n t n e i o nd e t e c t i o nw o r k i n gg r o u p ，入侵检测工作组) 制定的一套标准。其且标 是旨在定义入侵检测系统和安全管理系统的信息数据格式和交换过程的一套标准。它描述了 表示入侵检测系统输出信息的数据模型，并解释了使用此模型的基本原理。该数据模型用 x m l 实现，并设计了一个x m l 文档类型定义。 2 2 1i d m e f 数据模型 围2 - 1 i ) g e f 数据模型 5 华东师范大学硕士学位论文 i d m e f 数据模型以面向对象的形式表示事件信息。它所定义的成员和数据模型间的关系 如图2 - 1 所示。所有d m e f 消息的最高层类是i d m e f - m e s s a g e ，每一种类型的消息都是该类 的子类。i d m e f 目前定义了两种类型的消息：警报消息( a l e r t 类) 和心跳消息( h e a r t b e a t 类) 入侵检测分析器根据不同的配置对特定的攻击进行检测，如果发现攻击事件将会产生相 应的警报信息。在i d m e f 数据模型中，警报信息主要由以下的类组成： a n a l y z e r 类：描述了产生警报消息的分析器的信息，包括该分析器所在主机的信息 及该分析器当前所运行的进程信息等。每一条消息只能包括一个a n a l y z e r 类。 c r e a t e t i m e 类：描述了产生该警报信息的时间。每一条消息都必须有且只能有个 c r e a t e t i m e 类。 d e t e c t t i m e 类：描述了触发该分析器产生该警报信息的事件的时间。若有多条事件 触发该警报信息，则描述第一条事件的产生时间。 a n a l y z e r t i m e 类：描述产生该警报信息的分析器的当前时间。 s o u r c 2 类：描述了产生该警报信息的事件源信息。包括该事件源所在主机的信息、 主机当前运行用户的信息，进程的信息以及服务信息。 t a r g e t 类：描述了该警报信息的攻击目标信息。包括主机信息、用户信息、进程信息、 服务信息以及相关的文件信息。 c l a s s i f i c a t i o n 类：描述了该警报的类别信息。 a s s s m e a t 类：描述了该攻击所产生的后果信息，包括分析器对该攻击所产生的响 应信息以及分析器对该攻击的确信程度。 a d d i t i o n a l d a t a 类：扩展信息。对于一些在上面的类中没有定义但是又比较重要的信 息，可以在这里扩展定义。 t o o l a l e r t 类：提供一些附加信息，指明该攻击使用了何种工具或何种恶意程序，如 木马等。 c o r r e l a t i o n a l e r t 类；一条警报信息可能是多条相关的警报信息融合而产生的，该类 用于表示这些原始的融合的警报信息。 o v a f f l o w a l e r t 类：描述了与缓冲区溢出攻击相关的附加信息。包括该攻击使用的应 用程序、溢出的字节数以及攻击本身所使用的数据大小。 入侵检测分析器使用周期性的心跳信息向管理器报告它的状态。如果在预先定义的连续 几个周期内收不到该类消息，管理器认为该分析器停止工作。心跳信息主要由：a n a l y z e r 类、 c r e a t t i m e 类、a n a l y z e r t i m e 类及a d d i f i o n a l d a m 类组成。每个类的定义与a l e r t 类中的定义一 致。 2 - 2 2 使用x m l 描述l d m e f 文档标记 i d w g 最早提出两个建议实现i d m e f ：用s m i ( s t r u c t u r eo fm a n a g e m e n ti n f o r m a t i o n 管 理信息结构) 描述一个s n m pm i b ( m a n a g e m e n ti n f o r m a t i o nb a s e ，管理信息库) 以及使用d t d ( d o c u m e n t t y p e d e f i n i t i o n , 文档类型定义) 描述x m l 文档。在2 0 0 0 年2 月召开的会议上， 最终决定采用d t d 描述x m l 文档的方案，因为： x m l 的应用广阔，具有良好的灵活性。 6 华东师范大学硕士学位论文 利用x m l ，用户可以定制开发一种特定的语言来描述入侵检测警报信息。同时它自 身也提供了一种标准的机制来扩展该语言。 能够处理汕文件的工具很多，包括商业的和开源的。这些工具可以用来解析或判 断文件的有效性。 x m l 支持u t f 8 ，u t f 1 6 以及u n i c o d e 编码，使得使用x m l 应用能够和通用的字 符集编码兼容。 舭是免费的。 x m l 是一种元语言，即一个描述其它语言的语言，它允许应用程序定义自己的标记，还 可以为不同类型的文档和应用程序定义定制化的标记语言。x m l d t d 可用来声明文档所用的 标记，包括元素( 文档包括的不同信息部分) 、属性( 信息的特征) 和内容模型( 各部分信息 之间的关系) 。如：用d t d 描述的i d m e f 数据模型的超类i d m e f - m e s s a g e p l 的内容如下所示。 2 3s t a t 技术闭【3 】【4 】 s t a t 是一个学术界的开放源码的i d s ( i n t r u s i o nd e t e t i o ns y s t e m ，入侵检测系统) 项目【2 】， 使用s t a t ( s t a t et r a n s i t i o n a n a l y s i st e c h n i q u e ，状态迁移分析技术) 技术来描述攻击。它使用特 有的s t a t l ( s m t et r a n s i t i o na n a l y s i st e c h n i q u el a n g u a g e ) 醣 3 定义攻击，攻击描述文本被 s t a t l 解释工具转换为c + + 代码编译进检测引擎来实现检测功能。目前已经发布了s t a t l 语 言解释转换工具及一个基本的含很少几个检测功能例子的示例网络探测器部分。 7 华东师范大学硕士学位论文 2 3 1s t a r 框架结构 m i 开 嘲b m a 州h 6 ” s a m t i o 。稂 p t 吲y p 。 獗嘤|斟 t 垫垦2 o 。言芋 露蠢掬 f 曼竺岁蛔岫 l 饧固。 嘲a 剧k d a 自“t l5 ；匝呲bp i 口5 i n 目靠 【b | b 崩；面两w i t he y 矾p 肼d 时 妊h d 南 。根 p t 由口p c 积咧越 k n t q 峙目， 。4 0 l d 霰滚赫 l 国固- i 。6 i d js 重旭f bp i 唧1 1 “曲r p d r - l 图2 2s t a t 框架结构 s 1 m 提供了一个可扩展的描述攻击的框架结构。如图2 2 所示。我们把每一个基于s 仉玎 框架结构实现的基于某种应用的s t , a f t 称为x x s t a t 。如：基于w i n d o w s 应用而实现的s t a t 称之为w i n s s t a t ，等等。 x x s t a t 以s t a tc o ”为核心( 如图2 - 2 所示) 。c o r e 定义的是一些共性的信息，它描述 了一套与具体的环境无关的框架结构。在s t a tc o r e 上扩展定义一些插件p 1 g i n s ，这些插件 用于描述具体的环境信息，实现用户的特定需求。c o r e 及插件一起决定了x x s t a t 所实现的 功能。x x s t a t 在运行后，仍然可以通过控制指令( c o n t r o lq u e u e 中的命令) 改变x x s t a t 上 的插件，以此来改变该x x s t a t 实现的功能，c o 坞协调并控制各类插件的装载。图2 - 2 描述了 一个“s 1 的功能实现过程。 图( a ) 中，一个x x s t a t 在启动时只有一个s t a t c o r e ，它的上面没有定义任何的扩展 插件。这种状态下，它不能实现任何与事件处理相关的功能，只是在等待c o n t r o l q u e u e 里面的控制命令及e v e n tq u e u e 里面的事件信息。 为了实现事件处理功能，首先必须提供一个事件源。在图( b ) 中，一个e v e n t p r o v i d e r 插件被装载到s t a tc o r e 上。e v e n tp r o v i d e r 的功能就是从外部环境中( 如：s y s l o g 日志) 收集事件信息。但是通常这些原始的事件信息并不能被s t a tc o r e 所识别， 因此，通常我们还需要一个i a n g u a g ce x t e n s i o n 插件对e v e n tp r o v i d e r 插件收集到的 事件信息进行解析。在m c o ) 中，l a n g u a g e e x t e n s i o n 插件也被装载在s t a t c o r e 上。 8 华东师范大学硕士学位论文 e v e n t p r o v i d e r 插件对l a n g u a g e e x t e n s i o n 插件解析后的事件进行封装，插入到s t a t c o r e 的e v e n t q u e u e 中。在一个x x s t a t 中，同时可以有一个或多个的e v e n t p r o v i d e r 插件装载在s t a t c o r e 上，每一个e v e n t p r o v i d e r 插件收集各自关心的事件信息。相 对应的，个x x s t a t 中，也可以同时装载多个l a n g u a g e e x t e n s i o n 插件，它们解析 相应的e v e n tp r o v i d e r 插件提供的事件信息。这些不同插件的装载可以通过c o n t r o l q u e u e 中的控制指令来协调运行。在图( b ) 中，e v e n tp r o v i d e r 插件及l a n g u a g e e x t e n s i o n 插件在装载到s t a tc o r e 后，一个线程立即被启动来执行e v e n tp r o v i d e r 的功能。e v e n tp r o v i d e r 插件开始收集外部相关的事件信息，并将它们传输给 la n g u a g ee x t e n s i o n 插件来解析，将解析后的事件封装成s t a te v e n t 插入到e v e n t q u e u e 中s t a tc o r e 在检测到e v e n tq u e u e 中有事件后，会将它们与s t a ts c e n a r i o s 中的事件类型匹配以完成后续的功能。在这里，因为还没有任何s c e n a r i o s 被装载到 s t a tc o r e 上，所以并没有执行相关的操作。 图( c ) 中，s c e n a r i op l u g i n 插件装载到s t a tc o r e 上一个s e e t l a r i op l u g i n 插件在装载 到s t a t c o r e 上后，一个该s c e n a r i o 的初始化原型( p r o t o t y p e ) 就被创建，该p r o t o t y p e 主要定义了表示该“7 , e f l , g g i o 的状态变迁信息及全局变量信息、参数信息等。p r o t o t y p e 初始化时创建该s c e n a r i o 的第一个实例( i n s t a n c e ) ，即该s e ：c f l a t i o 的初始状态。在图 ( c ) 中，执行具体的事件处理功能。s t a tc o r e 将从e v e n tq u e u e 中获得的事件依次与 初始状态断言、变迁条件及结束状态断言匹配，若条件均满足，则一个变迁( t r a n s i t i o n ) 执行。 s c e n a r i o 从一个状态变迁到另一个状态，可能会需要产生一些响应信息，如产生一个 告警、生成一条日志等。r 髂p o n 插件定义了响应函数，如：重配置一个防火墙、 关闭一个连接等。为了触发一个响应函数，必须将包含该响应函数的m 咖插件 装载到s t a tc o r e 中，尔后将该响应函数与s c e n a r i o 中相应的状态绑定。这样，在 s c e n a r i o 变迁到该状态后，该响应函数就会被触发执行。在图( d ) 中。每个s c e n a r i o 在 变迁到某个状态时，就会触发执行该状态上绑定的在r p o n s e 插件中定义的响应函 数。 2 3 2s w 汀l 语言 在s t a t 框架中，8 0 ( m a r i o 是事件处理的核心模块。s c e n a r i o 是用s t a t l 语言描述的。s t a t l 语言是为入侵检测而定义的一个可扩展的基于状态，变迁的描述性语言。它将入侵定义为外 部对系统的一系列有序的动作集，将一个攻击定义为一系列状态和变迁的集合。其中，状态 表示在攻击的过程中系统所处的不同情况，通常，s t a t l 语言以一些变量来记录系统的状态， 如：计数器、文件的所有人等。变迁表示系统将变化到一个新的状态的一个相关动作，如： 打开了一个文件、执行了某个应用程序等。 ( i ) 语法 s t a t l 语言在定义一个入侵攻击的s c e n a r i o 时，主要定义了以下的一些元素：场景名、 参数、注释、常量、变量、状态、变迁以及一些函数。 9 华东师范大学硕士学位论文 峭e l i b r