基于IDMEF的大规模协同IDS架构
第 38 卷 第 2 期 电 子 科 技 大 学 学 报 Vol.38 No.2
2009年3月 Journal of University of Electronic Science and Technology of China Mar. 2009
基于IDMEF的大规模协同IDS架构
张 民,罗光春
(电子科技大学信息中心 成都 610054)
【摘要】为了实现IDS系统的分布化、协同化和标准化,入侵检测消息交换格式(IDMEF)相关标准已被广泛地应用到IDS
领域中。该文讨论了一种基于IDMEF标准的大规模协同IDS构架,对基于Prelude框架和开发包的IDS协同系统进行了分析、设
计和实现,并研究了该架构在CERNET网络中的部署和应用方法。经初步应用证明,该系统可以基本满足需求,达到了IDS
的分布化、协同化和标准化的要求。
关 键 词 协同入侵监测系统; 入侵检测消息交换格式; Prelude框架
中图分类号 TP393 文献标识码 A doi: 10. 3969/j. issn. 1001-0548. 2009. 02. 24
IDMEF-Based Architecture of Large-Scale Cooperative IDS System
ZHANG Min and LUO Guang-chun
(Information Center, University of Electronic Science and Technology of China Chengdu 610054)
Abstract Intrusion detection message exchange format (IDMEF) standard has been widely used in intrusion
detection system (IDS). This paper proposes an architecture of large scale cooperative IDS based on IDMEF. The
design and implementation of the cooperative IDS are discussed by the means of Prelude framework and
development suite. The deployment and application of this architecture on CERNET are finally analyzed.
Key words cooperative IDS system; intrusion detection message exchange format; Prelude framework
收稿日期: 2008 - 05 - 23;修回日期:2008 - 11 - 16
基金项目:四川省应用基础研究基金(2006J13-070)
作者简介:张 民(1969 - ),男,工程师,主要从事网络安全方面的研究.
目前,IDS技术随着网络和相关科学发展而日趋
成熟,IDS系统也正在向分布式结构发展。采用收集
信息,分布处理多方协作的方式检测分布式攻击时,
称作分布式IDS[1]或协作式IDS[2-3],它是IDS安全产
品的一个重要发展方向。为了提高IDS产品、组件及
与其他安全产品之间的互操作性,美国国防高级研
究计划署(DARPA)和互联网工程任务组(IETF)[4]的
入侵检测工作组(IDWG)发起制订了一系列建议草
案,从体系结构、API、通信机制、语言格式等方面
规范IDS的标准。IDWG提出的建议草案包括3部分
内容:入侵检测消息交换格式(intrusion detection
message exchange format, IDMEF)[5-6]、入侵检测交换
协议(intrusion detection exchange protocol, IDXP)[7-9]
以及隧道轮廓(tunnel profile)[10]。
在校园网、地区网,甚至整个CERNET网络中,
采用统一标准,实现各大高校IDS系统之间的协作与
联动[11-12],是一项有意义的工作。本文基于IDMEF
架构,提出一种大型IP网络环境中的大规模IDS协同
架构,并展示该架构在CERNET网络中的应用情况。
1 IDMEF标准
IDMEF描述了表示入侵检测系统输出信息的数
据模型,并解释了使用此模型的基本原理。该数据
模型用XML实现,并设计了一个XML文档类型定
义。自动入侵检测系统可以使用IDMEF提供的标准
数据格式对可疑事件发出警报,提高商业、开放资
源和研究系统之间的互操作性。IDMEF最适用于入
侵检测分析器(或称为“探测器”)和接收警报的管理
器(或称为“控制台”)之间的数据信道。
IDMEF数据模型以面向对象的形式表示探测器
传递给控制台的警报数据,设计数据模型的目标是
为警报提供确定的标准表达方式,并描述简单警报
和复杂警报之间的关系。IDMEF数据模型各个主要
部分之间的关系如图1所示。该模型是用统一建模语
言(UML)描述的。UML用一个简单的框架表示实体
以及它们之间的关系,并将实体定义为类。IDMEF
包 括 的 主 要 类 有 IDMEF-Message 类 、 Alert 类 、
Heartbeat类、Core类、Time类和Support类,这些类
还可以再细分为许多子类。
第2期 张 民 等: 基于IDMEF的大规模协同IDS架构 259
IDMEF本身并不对收到的IDS警报信息进行分
类和鉴别处理,这一工作是由分析器来完成的,当
用户机器的某一端口收到大量的数据包时,分析器
提取数据包的源IP地址,检测源IP地址是否为同一
IP,依据分析确定发送的警报类型。完成分析鉴别
后,数据模型才能规定怎样对这个警报进行格式化。
IDMEF-消息
报警 分析器
创建时间
检测编号
分析时间
源地址
目的地址
协议类型
告警级别
心跳包
节点
用户
进程
服务
模式
用户
进程
服务
分析器
创建时间
协议类型
图1 IDMEF主要部分及其关系
IDWG最早曾提出两个建议实现IDMEF:用管
理信息结构(SMI)描述一个SNMP MIB和使用文档
类型定义(DTD)描述XML文档。IDWG在1999年9月
和2000年2月分别对这两个建议进行了评估,认为
XML最能符合IDMEF的要求,于是,在2000年2月
的会议上决定采用XML方案。
分布式的IDS实体之间通过入侵检测交换协议
(IDXP)来交换IDMEF数据[13-14]。它能够实现IDMEF
消息、非结构文本和二进制数据之间的交换,并提
供面向连接协议之上的双方认证、完整性和保密性
等安全特征。
图2是两个入侵检测实体“Alice”和“Bob”之
间建立IDXP通信的过程。
Alice Bob
启动 IDXP[3]
问候
启动安全轮廓[2]
问候
xport 连接[1]
图2 入侵监测实体间的IDXP通信
2 基于IDMEF的协同架构设计
本文提出的CERNET-IDS协同架构可划分为3
个层次:入侵检测、控制中心、管理前端。
入侵检测是系统功能和性能的关键环节,由若
干“入侵流量探针”组成。
每个控制中心可部署于CERNET中心或地区中
心一级,由管理中心(manage center)和数据中心(data
center)两大部分组成。其中,管理中心维护一个包
括所有流量探针(sensor)的管理数据库,并通过
HTTP方式,对各个流量探针进行运行管理。数据中
心完成对各个流量探针的入侵事件数据采集和集中
存储、集中分析。系统的体系结构如图3所示。
管理前端
管理前端 查询终端
WEB 交互 WEB 交互 上级数据
中心
数据服务器 管理服务器
控制中心
WEB 交互 IDMEF 交换协议
校园网 校园网 校园网
入侵检测
流量探针 流量探针 流量探针
日志 日志
日志
日志
图3 IDS协同架构
在整个体系结构中,最为关键的是流量探针的
标准化问题。流量探针负责对一个网络主干链路进
行时间流量采集和分析,感知入侵事件,将入侵事
件记录到本地日志,并通过SSL加密连接,在证书
认证的基础上,以异步方式将入侵事件按照IDMEF
标准格式发送给控制中心。流量探针同时还以HTTP
方式,接受控制中心的管理和控制。
当IDS 收到入侵警报后,需要对消息进行处理
以便做出正确的反应。中心控制台处理来自不同的
IDS产品或者IDS组件的IDMEF消息,将XML文档消
息转换为系统可识别的对象,然后存于数据库中,
供其分析和使用,并在此基础上协调各个组件之间
的运作,其消息处理机制体系结构图如图4所示。
IDMEF消息转换处理模块的工作流程如下:
(1) IDS将XML格式的IDMEF 消息发送给转换
模块;
(2) 转换模块解析XML文档,根据IDMEF的数
据模型生成相应的对象;
(3) 根据数据库表结构的定义,转换模块从数据
对象中提取特定属性,组织成各个表的数据域;
(4) 转换模块执行写数据库操作,将消息存储;
(5) 中心控制台可对存储在数据库中的消息进
电 子 科 技 大 学 学 报 第 38 卷 260
行处理。
目前已有不少关于IDMEF标准化开发包。本文
采用扩展性较好的Prelude开发包,实现IDS各个协同
部分之间的标准软件接口和通信接口。
IDS
IDS
IDS
IDMEF 消
息转换模块 数据库 中心控制台
…… …… …… ……
图4 IDS组件的标准化及消息传递
Prelude[15]框架是一个开源的组件项目,它采用
IDMEF标准来统一不同安全应用(网络IDS、日志分
析器、命令行脚本等)产生的事件。同时,由于其跨
语言(C、Python and Perl)的特性,可以很容易地将
Prelude框架普及到现有的安全应用中。
Prelude框架主要有Prelude library、Prelude2
Manager 、 Prelude2LML 、 PreludeDB library 及
Prewikka等5个核心组件,如图5所示。
Prelude管理器
采集/规范
PerlC Python
日志分析器
系统日志 日志文件 IDMEF-XML Ne-ssus命令行脚本
数据录入器
Libprelude组件
安全应用
图5 Prelude框架
Prelude Manager通过3种方式与安全应用连接。
Prelude library可以与1个或多个Prelude Manager采
集器进行通信,提供访问框架的API,由此来创建基
于事件的IDMEF,或创建传感器来读取由Manager
接收的事件;Prelude Manager可以高效地收集并规
范由分布式传感器得到的数据,将数据存入数据库;
Prelude LML是基于签名的日志分析器,用来监视日
志文件或存在可疑活动的系统信息;PreludeDB
library提供了一抽象层,可以使开发者简单高效地访
问Prelude-IDMEF数据。
到目前为止,Prelude框架已经实现了对Linux、
FreeBSD等操作系统的支持。而且,由于它是一个
开源项目,可以很容易地对库进行重新编译生成Lib
库,在系统中进行调用。采用Prelude框架对IDMEF
数据进行处理是一种比较简单的方法,在实际应用
中,保证了数据的可靠性及传输速率,取得了比较
好的效果。
3 部署与应用
在CERNET中,可以通过旁挂方式,将流量探
针部署到各个校园网出口,并通过专用网络接口连
接到远程管理和数据中心。具体部署如图6所示。
如果校园网出口交换机有空余的千兆电口,则
可以直接将出口流量镜像到该电口,然后将流量探
针的eth0网卡接口与该镜像端口相连即可;如果校
园网出口交换机不具备空余的千兆电口,但是有空
余的千兆光口,则可以采用下图的部署方式,即将
本项目配置的交换机旁挂到校园网出口,再将流量
探针串接到该交换机。使用时,将校园外出口流量
通过光口镜像导入监测交换机,监测交换机再将该
流量镜像到与流量探针相连的千兆电口。
Data Center和Manager Center部署在网络管理
中心,使用标准的Prelude IDMEF组件与各个流量探
针进行通信,完成数据采集、集中分析、统一决策、
命令发布等安全管理功能。
本文对snort、NFR等具有代表性的IDS系统进行
了二次开发、整合部署,经过一段时间试运行,发
现所提出的构架和IDS改造方式能较好地整合现有
IDS系统,实现它们之间的IDMEF信息交换和日志
警报集中管理。
校园网出口交换机
地区网接入路由器
监测交换机
镜像端口[光口]
镜像端口[电口]
远程管理 安全协查
CERNET 主干
流量探针
图6 流量探针在校园网中的部署
4 结 论
本文提出的基于IDMEF标准和Prelude开发包的
大规模协同IDS构架,经过初步应用,能够实现异构
IDS系统之间的信息统一处理和信息协同分析,初步
解决了CERNET网络中各高校IDS之间彼此独立、信
息分散的问题,为网络的整体安全态势分析和安全
第2期 张 民 等: 基于IDMEF的大规模协同IDS架构 261
决策提供了有力保证。
参 考 文 献
[1] 王 纲, 曲俊华. 分布式入侵检测技术的研究[J]. 现代电
力, 2002, 19(3): 71-73.
WANG Gang, QU Jun-hua. Study of distributed intrusion
detection system[J]. Modern Electric Power, 2002, 19(3):
71-73.
[2] 郭 帆, 余 敏, 叶继华. 一种基于关联和代理的分布式
入侵检测模型[J]. 计算机应用, 2007, 27(5): 1050- 1053.
GUO Fan, YU Min, YE Ji-hua. A distributed intrusion
detection system model based on correlation and agent[J].
Journal of Computer Applications, 2007, 27(5): 1050- 1053.
[3] 阮耀平, 易江波, 赵战生. 计算机系统入侵检测模型与方
法[J]. 计算机工程, 1999, 25(9): 63-65.
RUAN Yao-ping, YI Jiang-bo, ZHAO Zhang-sheng. The
model and methodology of intrusion detection in computer
system[J]. Computer Engineering, 1999, 25(9): 63-65.
[4] IETF. Incident handling: real-time inter-network
defense[EB/OL]. [2008-04-05]. http: //www. ietf. org/
internet2drafts/draft-ietf-idwg- idmef- xm-216. txt.
[5] 冯立功. 基于XML技术的IDMEF在分布式入侵检测系统
中的应用[J]. 计算机安全, 2004, (11): 11212.
FENG Li-gong. Based on XML technology IDMEF in
distributed intrusion detection system[J]. Network &
Computer Security, 2004, (11): 11212.
[6] 鲍 伟, 王时龙, 周锦玉, 等. 基于IDMEF的协作式入侵
检测技术研究[J]. 微处理机, 2007, (5): 34-37.
BAO Wei, WANG Shi-long, ZHOU Jin-yu, et al. Research
on the cooperative intrusion detection technology of
base-IDMEF[J]. Microprocessors, 2007, (5): 34-37.
[7] KABIRI P, ALI A G. Research on intrusion detection and
response: a survey[J]. International Journal of Network
Security, 2005, 1(2): 84-102.
[8] SPAFFORD E H, ZAMBONI D. Intrusion detection using
autonomous agents[J]. Computer Networks, 2000, 34(4):
547-570.
[9] 裴晋泽, 肖枫涛, 胡华平, 等. 统一入侵检测报警信息格
式 提 案 及 其 实现 [J]. 计 算 机 应 用 研 究 , 2006, 23(2):
107-110.
PEI Jin-ze, XIAO Feng-tao, HU Hua-ping, et al. Design and
implementation of unifying alert information format
scheme[J]. Application Research of Computers, 2006, 23(2):
107-110.
[10] SUNG M, XU Jun. IP traceback-based intelligent packet
filtering: a novel technique for defending against interet
DDOS attacks[J]. IEEE Trasactions on Parallel and
Distributed Systems, 2003, 14(9): 861-872.
[11] 杨向荣, 宋擒豹, 沈钧毅. 入侵检测技术研究与系统设
计[J]. 计算机工程与应用, 2001, 23(16): 51-53.
YANG Xiang-rong, SONG Qin-bao, SHEN Jun-yi.
Research on the intrusion detection technology and a
system’s design[J]. Computer Engineering and
Applications, 2001, 23(16): 51-53.
[12] 赵海波, 李建华, 杨宇航. 网络入侵智能化实时检测系
统[J]. 上海交通大学学报, 1999, (1): 76-78.
ZHAO Hai-bo, LI Jian-hua, YANG Yu-hang. Network
intrusion intelligent real time detection system[J]. Journal
of Shanghai JiaoTong University, 1999, (1): 76-78.
[13] BELLARE M, POINTCHEVAl D, ROGAWAY P.
Authenticated key exchange secure against dictionary
attack [C]//Advances in Cryptology- EUROCRYPT’00.
[S.l.]: LNCS, 2000.
[14] 李 琴, 曾凡平, 李 凌, 等. 基于IDS的网络攻击效果
评估系统[J]. 信息安全与通信保密, 2008, (2): 79-83.
LI Qin, Zeng Fan-ping, LI Ling, et al. Evaluation system
for network attack effect based on IDS[J]. Information
Security and Communications Privacy, 2008, (2): 79-83.
[15] Prelude specifications[EB/OL]. [2008-04-05]. https:
//trac.prelude-ids.org/wiki/PreludeHandbook.
编 辑 税 红
基于IDMEF的大规模协同IDS架构.pdf
