唐湘滟 朱幸輝 盛立新 陳曉珍 程杰仁

1湖南農(nóng)業(yè)大學(xué)信息科學(xué)技術(shù)學(xué)院 湖南 410128 2湖南省標(biāo)準(zhǔn)化研究院 湖南 410007 3湘南學(xué)院計(jì)算機(jī)系 湖南 423000

0 引言

互聯(lián)網(wǎng)的信息安全事件日益頻繁。安全事件的證據(jù)往往分散在不同的日志中，如Win32安全日志、Linux系統(tǒng)日志、WWW服務(wù)器日志、防火墻日志、入侵檢測(cè)系統(tǒng)日志等。這些日志種類繁多，格式不一，形成不了統(tǒng)一協(xié)作的防御系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)資源共享的進(jìn)一步加強(qiáng)，網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)攻擊的方式、類型、特征各不相同，僅靠單一檢測(cè)系統(tǒng)，已經(jīng)難以勝任工作。當(dāng)前，信息技術(shù)快速發(fā)展，空間數(shù)據(jù)庫的安全事件日志規(guī)模呈級(jí)數(shù)增長，為了使這些激增而又分散的安全事件日志能夠有機(jī)地匯集、整合，使得不同的檢測(cè)系統(tǒng)與訪問控制、應(yīng)急、入侵追蹤等系統(tǒng)(如 IDS、FireWall、HoneyPot等)之間及時(shí)交換信息，發(fā)揮各自的處理能力，形成一個(gè)整體有效的安全保障系統(tǒng)，因此需要對(duì)信息安全事件進(jìn)行標(biāo)準(zhǔn)化技術(shù)研究與實(shí)現(xiàn)。

1 信息安全事件標(biāo)準(zhǔn)化模型

信息安全事件標(biāo)準(zhǔn)化模型是基于 IDMEF標(biāo)準(zhǔn)對(duì)多源信息安全事件進(jìn)行規(guī)范，構(gòu)建面向?qū)ο蟮臄?shù)據(jù)模型。其具體處理過程是對(duì)異構(gòu)的安全事件進(jìn)行搜索，提取有用信息并根據(jù)信息安全事件標(biāo)準(zhǔn)化模型的格式進(jìn)行重組和格式規(guī)范，形成標(biāo)準(zhǔn)的安全事件 XML數(shù)據(jù)文檔，繼而將標(biāo)準(zhǔn)的安全事件XML數(shù)據(jù)文檔存儲(chǔ)到安全事件數(shù)據(jù)庫中。信息安全事件標(biāo)準(zhǔn)化模型要滿足以下基本要求：

（1）應(yīng)當(dāng)準(zhǔn)確描述各種安全事件。針對(duì)目前安全系統(tǒng)不同源代碼、不同操作系統(tǒng)、不同網(wǎng)絡(luò)環(huán)境所產(chǎn)生的安全事件報(bào)警信息的差異性：一是能夠準(zhǔn)確識(shí)讀不同的安全信息，二是能夠?qū)Ω鞣N安全信息進(jìn)行自動(dòng)分類。例如對(duì)源地址、目的地址、事件名稱、發(fā)現(xiàn)時(shí)間等信息準(zhǔn)確識(shí)讀，對(duì)端口、服務(wù)、進(jìn)程、用戶等信息進(jìn)行有效分類。通過準(zhǔn)確識(shí)讀和分類，可以將安全事件中需要標(biāo)準(zhǔn)化的要素生成格式統(tǒng)一的信息。

（2）應(yīng)當(dāng)正確規(guī)范分類信息。對(duì)于來自于不同源的同一安全事件的報(bào)警信息的描述，不能產(chǎn)生相互矛盾，應(yīng)當(dāng)確保信息的一致性。例如，來自于不同源的同一個(gè)安全事件報(bào)警信息的相同部分應(yīng)該被規(guī)范成一樣的格式，并且在數(shù)據(jù)結(jié)構(gòu)的表示中處于同樣的位置，還要盡量避免把關(guān)鍵的報(bào)警信息存儲(chǔ)到附加信息中，破壞安全事件的通用性。

（3）應(yīng)當(dāng)判斷提示新的安全事件。對(duì)各種安全防御系統(tǒng)輸出的新的安全事件能規(guī)范并產(chǎn)生提示信息。

1.1 標(biāo)準(zhǔn)化模型

信息安全事件標(biāo)準(zhǔn)化模型(Information Security Incidents Standardization Model，ISISM)最高層類是SecurityIncident類，所有安全事件類型都是最高層類的子類。SecurityIncident類主要包括Alert、Heartbeat兩個(gè)類，Alert和Heartbeat又分別包括各自的子類，以描述安全事件更詳細(xì)的信息。其中Analyzer、Classification、Source、Target、AdditionalData 等類是核心類(Core Class)，它們是Alerts和heartbeat類的主要組成部分，CaptureAlert和HoleAlert類主要用來描述蜜罐系統(tǒng)、漏洞掃描系統(tǒng)和防火墻系統(tǒng)等產(chǎn)生的信息。ISISM如圖1。

Alert類：分析器Analyzer根據(jù)報(bào)警配置檢測(cè)到某一個(gè)事件時(shí)，分析器產(chǎn)生一個(gè) Alert報(bào)警信息。依據(jù)報(bào)警分析器的不同，一個(gè)報(bào)警信息可能與檢測(cè)到的一個(gè)安全事件有關(guān)，也可能與檢測(cè)到的多個(gè)安全事件有關(guān)。報(bào)警信息的產(chǎn)生與外部事件在時(shí)間上是異步的。

Alert類的XML DTD格式見表1，它表示如何將ISISM轉(zhuǎn)換為XML。

圖1 信息安全事件標(biāo)準(zhǔn)化模型

表1 Alert類的XML DTD格式

Alert信息包含一個(gè)可選的messageid屬性，是表示報(bào)警信息的惟一標(biāo)識(shí)符。組成Alert報(bào)警信息的聚合類見表2。

表2 Alert報(bào)警信息的聚合類

Heartbeat類：分析器使用 Heartbeat消息周期性地向管理員報(bào)告自身當(dāng)前工作狀態(tài)。如果管理員能收到某個(gè)分析器的Heartbeat信息，則表明該分析器已經(jīng)啟動(dòng)并正常運(yùn)行。如果 Heartbeat信息缺失，則意味著分析器工作不正常或網(wǎng)絡(luò)連接不正常。Heartbeat類的XML DTD格式表示及其它類描述信息這里不再給出。下面著重給出模型的表示和存儲(chǔ)方法。

1.2 ISISM的數(shù)據(jù)表示

ISISM的數(shù)據(jù)表示采用XML技術(shù)實(shí)現(xiàn)。XML即擴(kuò)展標(biāo)記語言(Extensible Markup Language)是一種簡單的數(shù)據(jù)描述語言，是允許使用者自行定義標(biāo)記，從而帶有擴(kuò)展能力的標(biāo)記語言。XML是標(biāo)準(zhǔn)通用標(biāo)記語言(SGML)的簡化版本，是ISO 8879標(biāo)準(zhǔn)對(duì)文本標(biāo)記說明進(jìn)行定義的一種語法。XML作為一種標(biāo)準(zhǔn)的、可擴(kuò)展的結(jié)構(gòu)化語言，提供了一套跨平臺(tái)、跨網(wǎng)絡(luò)、跨程序語言的數(shù)據(jù)表示和數(shù)據(jù)交換格式(Data Interchange Format)標(biāo)準(zhǔn)，能夠有效地解決HTML面臨的許多問題，因此適合用于描述信息安全事件。

信息安全事件根據(jù)ISISM表示為XML文檔。在XML文檔中，SecurityIncident為XML文檔的根結(jié)點(diǎn)，ISISM中類之間的聚合關(guān)系表示在 XML文檔樹中，部分類是聚合類的子結(jié)點(diǎn)，部分類是聚合類的下一級(jí)標(biāo)簽，標(biāo)簽名即為類名或?qū)傩悦?。下面以teardrop攻擊為例給出信息安全事件標(biāo)準(zhǔn)化數(shù)據(jù)XML文檔，如表3。

表3 ISISM的數(shù)據(jù)表示示例

1.3 ISISM數(shù)據(jù)的創(chuàng)建

根據(jù)ISISM，采用JDOM技術(shù)將各種異構(gòu)的安全事件通過數(shù)據(jù)格式轉(zhuǎn)換實(shí)現(xiàn)信息安全事件標(biāo)準(zhǔn)化。目前解析 XML有3種主流技術(shù)：SAX、DOM、JDOM。JDOM是一個(gè)開源項(xiàng)目，它基于樹型結(jié)構(gòu)，利用JAVA語言的諸多特性(方法重載、集合概念以及映射)，把SAX和DOM的功能有效地結(jié)合起來，同時(shí)擴(kuò)展了文檔修改、隨機(jī)訪問以及輸出等的功能，彌補(bǔ)了DOM及SAX在實(shí)際應(yīng)用當(dāng)中的不足，對(duì)XML文檔實(shí)現(xiàn)解析、生成、序列化以及多種操作，避免了原來使用XML過程中的復(fù)雜性。

1.4 ISISM的數(shù)據(jù)存儲(chǔ)方法

ISISM 的數(shù)據(jù)存儲(chǔ)方法是應(yīng)用 XSU(Oracle XML SQL Utility)技術(shù)將XML文檔以細(xì)粒度方式存儲(chǔ)到關(guān)系-對(duì)象數(shù)據(jù)庫中，構(gòu)建滿足存儲(chǔ)要求的安全事件數(shù)據(jù)庫。

XML數(shù)據(jù)的存儲(chǔ)主要有三種方式：(1)直接使用文本文件；(2)使用對(duì)象管理器；(3)使用關(guān)系數(shù)據(jù)庫。文本文件方式最簡單，可以使用XML分析器存取，但是每次瀏覽或查詢數(shù)據(jù)時(shí)需要重新分析整個(gè)XML文件，而且更新的時(shí)候需要重寫整個(gè)文件，尤其用XML存儲(chǔ)大量的數(shù)據(jù)，進(jìn)行多次查詢時(shí)，利用目前XML的查詢方法，速度較慢不能滿足要求。對(duì)象管理器的方式很適合XML的結(jié)構(gòu)，但是對(duì)象管器的技術(shù)還不成熟，同時(shí)對(duì)象的層次一般很深，不便于查詢。關(guān)系數(shù)據(jù)庫利用DTD來生成存儲(chǔ)XML數(shù)據(jù)的關(guān)系模式，即把引用、元素次序、映射關(guān)系等元數(shù)據(jù)保存到一個(gè)特殊的關(guān)系表中，它可以保證 XML-關(guān)系映射的無損性，雖然比較復(fù)雜，但是方便實(shí)現(xiàn)快速查詢、修改、刪除等操作。此外，信息安全事件數(shù)據(jù)庫要求結(jié)構(gòu)規(guī)整，數(shù)據(jù)粒度精細(xì)(fine-grained data)，以便于對(duì)安全事件的重組、查詢、修改、更新和交叉鏈接等操作，所以數(shù)據(jù)庫的存儲(chǔ)應(yīng)以數(shù)據(jù)為中心(data-centric)。因此，本文采用關(guān)系數(shù)據(jù)庫并以細(xì)粒度的存儲(chǔ)方式來存儲(chǔ)XML安全事件。

XSU是一個(gè)對(duì)于Java和PL/SQL程序的可編程接口，可以將對(duì)象-關(guān)系表或視圖轉(zhuǎn)換為 XML；可以用關(guān)系數(shù)據(jù)生成XML文檔。也可以將XML文檔切分為片，并且將這些片存儲(chǔ)在關(guān)系表中。如果把各種元素(element)看成是數(shù)據(jù)庫表中的列字段，那么可以將XML文檔看作是關(guān)系表。因此，通過將各種元素映射到表，應(yīng)用 XSU可以在關(guān)系數(shù)據(jù)庫中實(shí)現(xiàn)細(xì)粒度的存儲(chǔ)XML。

2 總結(jié)

本文基于 IDMEF標(biāo)準(zhǔn)，提出了信息安全事件標(biāo)準(zhǔn)化模型(ISISM)，基于XML語言給出了信息安全事件的數(shù)據(jù)表示，使用JDOM技術(shù)實(shí)現(xiàn)各種異構(gòu)的信息安全事件標(biāo)準(zhǔn)化，應(yīng)用XSU技術(shù)將XML文檔以細(xì)粒度方式存儲(chǔ)到關(guān)系-對(duì)象數(shù)據(jù)庫中，以方便的進(jìn)行查詢、修改、刪除等操作。該模型的應(yīng)用對(duì)不同層次、類型、特征的多源信息安全事件的融合、關(guān)聯(lián)分析和各種安全系統(tǒng)的協(xié)作互動(dòng)，形成一個(gè)綜合的信息安全保障系統(tǒng)，具有重要現(xiàn)實(shí)的意義。

[1]王慧強(qiáng).網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)研究綜述.計(jì)算機(jī)科學(xué).2006.

[2]蔣建春,馬恒太,任黨恩,卿斯?jié)h.網(wǎng)絡(luò)安全入侵檢測(cè).研究綜述.軟件學(xué)報(bào).2000.

[3]穆成坡,黃厚寬,田盛豐.入侵檢測(cè)系統(tǒng)報(bào)警信息聚合與關(guān)聯(lián)技術(shù)研究綜述.計(jì)算機(jī)研究與發(fā)展.2006.

[4]Nathan Carey, Andrew Clark, George Mohay. IDS Interoperability and Correlation Using IDMEF and Commodity Systems. LNCS 2513.2002.

[5]Curry D et al. IETF. RFC 4765-2007 The Intrusion Detection Message Exchange Format (IDMEF)[S].http://www.rfc-archive.org/getrfc.php?rfc=4765. 2010.

[6]國家信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì). GB/T 20275-2006.入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法[S].URL:http://www.nits.gov.cn/.2010.

[7]Extensible Markup Language (XML).http://www.w3c.org/ xml.2010.

[8]JDOM v1.0-rc1 API Specification. http://www.stylusstudio.com/api/jdom10/overview-summary.htm. 2010.

[9]Wes Biggs,Harry Evans.Simplify XML programming with JDOM.http://www.ibm.com/developerworks/java/library/j-jdom/. 2010.

[10]Ronald Bourret, XML and Databases. http://www.rpbourret.com/xml/XMLAndDatabases.htm.2010.

[11]譚建龍,朱茂盛.IDMEF的 XML數(shù)據(jù)存儲(chǔ)和查詢研究[J].計(jì)算機(jī)工程.2002.

[12]Deepak Vohra.Store and Retrieve XML from Databases with XSU.http://www.devx.com/xml/Article/32046.2010.