一种用于态势感知系统的安全事件数据模型.doc

一种用于态势感知系统的安全事件数据模型#张晓，徐国胜*510152025303540（北京邮电大学信息安全中心，北京 100876）摘要：多源网络安全数据格式千差万别，给态势感知系统中的数据处理工作带来很大的困难。本文借鉴兼容性和扩展性较好的 IDMEF 数据模型以当前安全态势感知系统中与安全设备有关的数据类型和数据库结构为基础，设计适用于网络安全态势感知系统中的安全事件数据模型，新的模型不仅能够描述安全事件还能够实现对设备的管理，满足了实际的需求，将新的数据模型应用到程序设计上，使得程序的冗余度大大降低，提高了效率。关键词：态势感知；IDMEF；安全事件；数据格式；标准化中图分类号：TP393.0A kind of security event data model used for situationawareness systemZhang Xiao, Xu Guosheng(Information Security Center, Beijing University of Posts and Telecommunications,Beijing 100876)Abstract: The capriciousness of data structure in multi-source network brings lots of difficulties todata processing works applied in Situation Awareness System (SAS). Referring the IDMEF datamodel with preferable compatibility and expansibility, this paper designs the security event formatfor the Network Security Situation Awareness System on the basis of the data type and databasestructure which relate to the safety equipment in security situation awareness system, thenproperly analyzes, revises and expands the IDMEF data model, setting foundation for the furtherworks of event correlation and network security situation analysis.Keywords: situation awareness; IDMEF; security event; data model; standardization0 引言网络安全态势感知系统通过收集各种安全事件，对安全事件进行分析、关联、融合，结合各种评估方法对网络安全态势进行实时分析预测，为网络管理员的决策提供依据，以便更好地管理网络，将风险和损失降到最低，成为近几年热门研究课题1。由于进行网络安全态势感知所需的数据来源于收集器收集到的安全事件，因此不难发现由收集器收集到的安全事件是整个网络安全态势感知系统的基础。然而对于这些安全事件，由于来自于不同厂商的不同设备，其格式千差万别，通信协议也是不尽相同。在以往的安全管理系统中，对于不同厂商的不同设备都需要有一套单独的程序对采集到的安全事件进行解析，随着安全设备的不断增多，不同格式的安全事件的处理对于网络安全管理系统来说越来越力不从心，因此急需采取一种统一的安全事件格式来表述安全事件。为了解决上面这些问题，本文对安全事件的数据格式进行了研究，根据网络安全态势感知系统的实际情况，制定了适用于网络安全态势感知系统的事件格式。对于安全事件数据格式的标准化必须到达以下一些要求2,3：基金项目：北京邮电大学青年科研创新计划专项人才培育项目(BUPT2011RC0209)作者简介：张晓，(1987-)，女，硕士，网络安全。通信联系人：徐国胜，（1978-），男，讲师，主要研究方向：现代密码学，软件工程。 E-mail:-1-（1）具有好的兼容性，能够表示各种安全事件信息。安全事件的来源具有异构的特点，安全事件的产生可能来源于系统日志或者审计信息，也可能来源于网络数据流检测，即便是对于同一信息，如果是从不同信息源获得，那么其产生的安全事件信息也会不同。（2）灵活性和可扩展性。这源于报警信息的多样性，有些报警信息可能只是由源、目45505560的、名称、事件类型组成，而有些报警信息却可能含有大量的信息，如端口、服务、进程、用户信息等，作为能够表示这种报警信息的数据格式必须能够灵活适应不同的需求。(3)正确规范分类信息,对来自不同源的同一安全事件的报警信息的描述,不能产生相互矛盾,应当确保信息的一致性4。1 IDMEF 概述文献5中介绍的 IDMEF 是由 IETF 的 Internet 草案工作组（IDWE）制定，目前只是草案，还不是正式的 RFC 文档。IDMEF 为入侵检测响应系统和其相互关联的管理系统定义了数据格式和交换过程，它是一种面向对象的数据模型，并将 XML 语言应用于其中，为安全事件提供了一个标准表示法。IDMEF 数据模型中主要组成部分即其联系如下图所示：图 1 IDMEF 数据结构5最顶层的 IDMEF-Message 是 IDMEF 消息，每种消息类型都是这个顶层类的子集。目前定义了两种类型的消息：告警（Alert）和心跳（Heartbeats）。在每个消息中，消息类的子类被用来提供消息中所携带消息的细节。Alert 类是 IDMEF 消息的主体，它包含了所接收到告警的详细信息。Alert 类包括Analyzer、CreateTime、DetectTime、AnalyzerTime、Source、Target、Classification、Assessment和 AdditionalData 子类。其中，Analyzer 表示产生此安全事件的安全设备标识；CreateTime表示安全事件被创建的时间；DetectTime 表示安全事件出现到检测到安全事件所需的时间，-2-在多个事件的情况下，指的是第一个事件被探测到的事件。在某些情况下，这与 CreateTime657075是同一值；AnalyzerTime 表示检测到安全事件的安全设备当前的时间；Source 表示产生安全事件的源；Target 表示产生安全事件的目的；Classification 表示安全事件的名称或者能够使得管理器识别安全事件的其他信息；Assessment 表示安全事件所产生的影响；AdditionalData表示其他信息。Heartbeat 类是用来向管理器表明发送告警信息的设备的状态，Heartbeat 类每隔一段时间发送一次，当收到的从一个设备发送来的 Heartbeat 信息时，表明分析器是正在运行的，没有 Heartbeat 消息（或者 Heartbeat 消息不连贯）表明设备没有正常运行或者网络连接失败。2 基于 IDMEF 的安全事件格式由于 IDMEF 针对的是网络入侵检测，而网络安全管理系统除了要对安全设备上报的告警信息进行处理之外，还包括设备基本信息、状态信息、策略信息和命令信息，因此，针对网络安全管理的特点，我们基于 IDMEF，制定了自己的安全事件格式。2.1告警信息告警信息对应于 IDMEF 数据模型中的 Alert 类，如图 1 所示，对于其中的详细属性我们针对网络的实际情况进行了相应的修改，增加并且删除了一些节点，但总体改动不大，这里就不再一一赘述。802.2设备基本信息网络中安全设备众多，为了对各种安全设备进行管理，安全管理系统需要获取到设备的基本信息，在 IDMEF 数据格式中 Analyzer 类代表安全设备的基本信息，其基本信息仅仅包括标示符，而对于设备所包含的信息远远不止这些。下图为扩充后的 Analyzer 类。859095图 2 扩充后的 node 类扩充后的 Analyzer 类具有三个属性 ident、sms_id 和 vendor_type，其中 ident 表示设备的唯一标示，sms_id 表示设备所属安全管理服务器（简称安管）的 id，vendor_type 表示设备的厂商编号。扩充后的 Analyzer 类还具有四个子类：local 类表示设备的位置，包括 room房间号、cabinet 机柜编号、devnum 设备编号；version 类表示设备的版本信息，包括 soft_ver软件版本号、hard_ver 硬件版本号、productver 产品型号、productsn 产品序列号；user 类表示用户信息，包括 managerip 负责人所属 ip，managermask 负责人所属网络子网掩码，managergateway 负责人所属网关，manager 负责人姓名、duty 负责人职务、phone 联系电话；value 表示设备的价值，包括 secret_value 秘密性价值、integrity_value 完整性价值、usable_value可用性价值。-3-2.3状态信息状态信息在 IDMEF 数据格式中对应着 Heartbeat 类，如图 1 所示。设备每隔一段时间上报自己的状态，以便管理器能够实时监控设备运行状态，保障网络的安全。扩充后的 Heartbeat类如下图所示：100105图 3 Heartbeat 类扩充后的 Heartbeat 类含有三个属性 ident、ctime 和 status，其中 ident 表示唯一标示符，ctime 表示当前时间，status 表示状态字。Heartbeat 类含有三个类：Analyzer 类已在上一节解释过；use 类表示使用率，包括 cpu_use（CPU 使用率）、mem_cpu（内存使用率）、disk_use（磁盘使用率）；traffic 类表示网络流量，包括 traffic_in（网络流入量）和 traffic_out（网络流出量）；AdditionalData 类用于存储其他信息。2.4管理信息管理信息是网络安全态势感知系统中的一个重要组成部分，管理信息包括策略管理和资110115源管理。网络安全态势感知系统通过下发策略来对安全设备进行管理，规定安全设备应该做什么不应该做什么。策略中所引用到的例如端口信息、地址信息、主机信息等统称为资源。在 IDMEF 模型中没有涉及到管理信息，于是我们设计了自己的管理类（manage），manage类结构如下图所示：图 4 Manager 类Manage 类本身有两个属性 ident 表示要进行管理的设备 id，src_sms_id 表示设备所属安管 ID。下面我们对于 strategy 类和 resource 类进行描述。2.4.1策略管理120策略管理对应的类为 strategy 类，相应字段与说明如下表所示：-4-表 1 strategy 类的字段及其说明字段名Strategy.identSStrategy.typeStrategy.priorityStrategy.keywordStrategy.srcinterfaceStrategy.dstinterfaceStrategy.srcaddrStrategy.dstaddrStrategy.serviceStrategy.actionStrategy.edittimeStrategy.editorStrategy.ctimeStrategy.descriptionStrategy.stimeStrategy.etime数据类型IntegerStringStringIntegerStringStringStringStringStringStringStringStringStringStringStringStringString说明策略序列号策略名称策略类型策略优先级关键字（查询策略时用）源接口目的接口源地址目的地址服务动作如 accept/deny/collect修改时间修改人策略生成时间策略文本描述策略有效期开始时间策略有效期结束时间1252.4.2策略管理资源被策略所引用，根据资源的不同，我们分为不同的类，如下图所示：图 5 resource 类130135由于资源种类众多，每种资源都有自己的数据格式，这里就不一一列出了，图中仅显示了主机组资源（hostgroup）、地址组资源（addressgroup）和服务组资源（servicegroup）。Resource 类本身含有两个属性：ident 和 type，其中 ident 表示资源的唯一标示符，type表示资源类型，目前的资源有 IP 资源、MAC 资源、端口资源、进程资源、外设类型资源、文件类型资源、认证资源、时间资源等。2.5 命令信息在上面几节中我们已将告警信息、设备基本信息、设备状态信息和管理信息进行了规范，在程序中，我们需要根据不同的信息类型来对数据进行不同操作处理，因此需要有命令信息来告诉程序“应该做什么”，为了解决这一问题，我们增加 data 类，便于程序进行识别，进行相应的处理操作。关于 data 类的位置，我们如下图所示：-5-140图 6 态势感知数据格式由上图可知，我们将所有的数据都封装在 data 类里面，data 类用来标识数据的信息。Data 类有四个属性 direct、cmd、subcmd 和 recode，其中，direct 用来表示报文发送的145方向，下表为 direct 的取值及其含义。表 2 direct 的取值及其含义Direct 取值12345说明控制台到服务器方向服务器到控制台方向服务器到服务器方向（主要用于隔级获取）服务器到设备代理方向设备代理到服务器方向Cmd 和 subcmd 是命令字，两者的组合表示报文所代表的命令，如 cmd 代表安全设备基150155160165170本信息接口，subcmd 可表示获取设备的基本信息或者修改设备的基本信息。Record 属性出现在回复的报文中，用以表示操作是否成功，一般情况下，recode=0 表示成功，非 0 为不成功。3 性能分析在以往的安全态势感知系统中，对于不同设备上报的事件我们首先要解析 xml，然后判断是哪一设备的命令，再进入不同的设备模块程序中进行相应的处理，系统中安全设备众多，每添加一个设备就要添加一套相关的程序，随着设备的越来越多，程序的冗余越来越大。根据规范好的安全事件格式，我们来看一个典型的实例2： 2000-03-09T10:01:25.93464Z12-6-21175180185190195Cabinet B10Cisco.router.b10上述 XML 描述的是一个地址伪装成 12 的源向地址为 21 的主机和一个位于 CabinetB10 的思科路由器发起了“ping of death”拒绝服务攻击，此事件是由设备类型为“2401”的 IDS（入侵检测）设备检测到的，按照以往的程序，我们需要进入到 IDS 模块进行解析处理，流程如下图所示：图 7 程序流程图当然图 7 中只是列出了 5 个模块，网络中的设备远远不止这些。进入了 IDS 模块后再根据 XML 的格式进行解析。规范了数据格式之后，由于各个模块的数据格式都是统一的，在进入 main 函数，解析XML 后就不必先判断属于哪一模块的命令再进入相应的模块分别解析了，而是直接进行统一解析，如下图所示：-7-图 8 改进后的程序流程200205210215220225假设网络中需要管理的安全设备有 N 种，在以往的程序设计中，由于各个设备上报的事件都需要分别解析，那么就需要 N 套不同的程序，现在将安全事件格式进行统一规范后只需要一套程序就可以将所有的设备上报的事件统一进行解析，程序量变为原来的 1/N，大大减少了程序的冗余量，提高了效率。4 结论本文基于目前流行的 IDMEF 数据模型，设计了适用于网络安全态势感知系统的数据模型，该系统有如下优点：（1）对来自不同安全设备的安全事件进行统一标准化，就可以对上报上来的所有的安全事件进行统一的解析入库了，而省去了每种设备都要有一套解析程序的麻烦，使得程序的冗余度减少了 1/N（N 为安全设备的数量）。（2）该模型具有灵活性，对于不同的安全设备，可以根据自身的情况来上报安全事件，安全设备所具有的信息则对应相应字段，没有的信息就可以省略，从而提高了安全管理监察系统的兼容性，省去了大量程序上的冗余，提高了效率。（3）原 IDMEF 模型只能描述网