張卷卷，蔣　熠，張海濤（中國移動通信集團(tuán)浙江有限公司，杭州 310051）

基于P2DR模型的IDS告警實時化研究

張卷卷，蔣熠，張海濤
（中國移動通信集團(tuán)浙江有限公司，杭州 310051）

隨著互聯(lián)網(wǎng)發(fā)展，網(wǎng)絡(luò)安全風(fēng)險日益提高。IDS入侵檢測作為移動業(yè)務(wù)網(wǎng)中主要檢測手段，目前存在日志量過大、誤報率高、無法深度挖掘和告警關(guān)聯(lián)等問題，因此在全國移動范圍內(nèi)應(yīng)用效果不佳，無法起到實時檢測的目的。本文基于P2DR模型，對IDS策略進(jìn)行優(yōu)化，對IDS告警進(jìn)行過濾和聚合，并建立實時告警派單電子化流程。本文依托P2DR思想實現(xiàn)海量IDS告警過濾和實時派單，有效解決了IDS事件告警有效性問題，并實現(xiàn)了告警實時化需求。

P2DR；告警實時化；IDS策略優(yōu)化

1　項目背景和意義

近年隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全風(fēng)險日益增高，同時，隨著IT基礎(chǔ)架構(gòu)的逐步云化，網(wǎng)絡(luò)入口愈加集中，導(dǎo)致信息安全事件后果極其嚴(yán)重，無論考慮到國家、部委的重視，還是從實際生產(chǎn)出發(fā)都非常有必要做好信息安全防護(hù)工作。

云化以后的系統(tǒng)要求具備完整、科學(xué)的安全體系，而完整、科學(xué)的安全體系需要嚴(yán)密的安全模型作支撐。P2DR模型提出了全新的安全概念，強(qiáng)調(diào)安全是一個動態(tài)的過程，是一個綜合作用的體系。安全不能依靠單純的靜態(tài)防護(hù)，也不能依靠單純的技術(shù)手段來解決，而是需要把技術(shù)和管理很好地結(jié)合起來，才能達(dá)到較好的安全防護(hù)效果。

而在P2DR模型下，及時的檢測和響應(yīng)就是安全，相應(yīng)的檢測手段就成為了重要的工作。IDS是目前業(yè)務(wù)網(wǎng)中入侵檢測的主要手段，目前網(wǎng)絡(luò)入侵行為激增，上半年已經(jīng)發(fā)生多起網(wǎng)絡(luò)入侵事件，但目前全國同行業(yè)范圍內(nèi)IDS利用效果不佳，IDS無法起到實時檢測的目的，只能做事后佐證用途。因此在信息安全檢測方面存在以下問題。

（1）網(wǎng)絡(luò)攻擊確實存在，且愈發(fā)嚴(yán)重，后果也及其嚴(yán)重。

（2）網(wǎng)絡(luò)攻擊行為難以監(jiān)控，雖有IDS監(jiān)控，但從現(xiàn)網(wǎng)設(shè)備日志告警量過大，單臺設(shè)備告警量達(dá)到了1 000萬條/周，基本已經(jīng)處于無法監(jiān)控的狀態(tài)。

（3）IDS設(shè)備本身性能能力有限，安全攻擊行為深度挖掘能力不足。

本項目主要為了研究和解決目前IDS事件有效性問題，并實現(xiàn)IDS告警實時化需求。

2　項目特點和功能描述

2.1P2DR模型

隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，傳統(tǒng)的計算機(jī)安全管理理論側(cè)重于靜態(tài)防御，不再適應(yīng)動態(tài)變化的、多維互聯(lián)的網(wǎng)絡(luò)環(huán)境，ISS公司提出了P2DR模型，也稱可適應(yīng)網(wǎng)絡(luò)安全模型如圖1所示。

收稿日期：2015-11-16

圖1　P2DR模型示意圖

該模型包含4個主要部分：Policy（安全策略）、Protection（防護(hù)）、Detection（檢測）和Response（響應(yīng)）。在安全策略的指導(dǎo)下，防護(hù)、檢測和響應(yīng)組成了一個完整的、動態(tài)的安全循環(huán)，以及一個螺旋上升的過程。安全策略在安全管理中占核心地位，安全技術(shù)措施產(chǎn)品不是盲目引進(jìn)，而是圍繞整體安全策略的需求有序地組織在一起，架構(gòu)一個動態(tài)的安全防范體系。防御指安全規(guī)章的制定、安全配置的落實和安全措施設(shè)備的采用。檢測針對網(wǎng)絡(luò)的動態(tài)變化，彌補(bǔ)漏洞發(fā)現(xiàn)或攻擊手段發(fā)明與相應(yīng)的防護(hù)措施的建立之間的時間差，包括異常監(jiān)視和攻擊發(fā)現(xiàn)。響應(yīng)在發(fā)現(xiàn)攻擊企圖或攻擊之后，報告、記錄、反應(yīng)、恢復(fù)等活動，負(fù)責(zé)事件處理并將系統(tǒng)調(diào)到“最安全”或“風(fēng)險最低”的狀態(tài)。P2DR模型強(qiáng)調(diào)在整體的安全目標(biāo)和連續(xù)的管理周期。作為一個防護(hù)體系，當(dāng)入侵者要發(fā)起攻擊時，每一步都需要花費時間。如果用Pt代表系統(tǒng)為了保護(hù)安全目標(biāo)進(jìn)行相關(guān)設(shè)置的防護(hù)時間，即入侵者攻擊安全目標(biāo)所花費的時間；Dt代表從入侵者發(fā)動入侵開始，系統(tǒng)能夠檢測到入侵行為所花費的時間；Rt代表從發(fā)現(xiàn)入侵行為開始，系統(tǒng)能夠做出足夠的響應(yīng)，將系統(tǒng)調(diào)整到正常狀態(tài)的時間。

P2DR模型就可以用一些典型的數(shù)學(xué)公式來表達(dá)安全的要求：

那么，針對于需要保護(hù)的安全目標(biāo)，如果上述數(shù)學(xué)公式滿足，即防護(hù)時間大于檢測時間加上響應(yīng)時間，也就是在入侵者危害安全目標(biāo)之前就能夠被檢測到并及時處理。

另外，如果用Et代表安全目標(biāo)系統(tǒng)的暴露時間，即系統(tǒng)處于受威脅狀態(tài)的時間，那么

如果Pt=0，式（2）的前提是假設(shè)防護(hù)時間為0。這種假設(shè)對WebServer這樣的系統(tǒng)可以成立。

即表明：針對需要保護(hù)的安全目標(biāo)，如果Et越小，系統(tǒng)就越安全。通過上面兩個公式的描述，實際上給出了安全一個這樣的定義：及時的檢測和響應(yīng)就是安全，及時的檢測和恢復(fù)就是安全。而且，這樣的定義為安全問題的解決明確了方向——提高系統(tǒng)的防護(hù)時間Pt，降低檢測時間Dt和響應(yīng)時間Rt。

P2DR模型理論給人們提出了全新的安全概念：安全是以一種目標(biāo)、思想、策略為中心的，需要全局的指導(dǎo)思想和自上而下的完整策略，是個動態(tài)的過程。片面依靠被動的靜態(tài)防護(hù)是難以保證安全的，需要提高主動檢測的意識和能力，以及響應(yīng)的及時性和效率，不能依靠單純的技術(shù)手段來解決。

2.2方案特點

縮短DT時間，通過對IDS策略的優(yōu)化來實現(xiàn)DT時間的縮短，主要措施如下。

（1）IDS降噪。通過優(yōu)化IDS設(shè)備的部署位置等機(jī)制來降低多個流量對IDS設(shè)備本身監(jiān)控帶來的干擾。采用近業(yè)務(wù)部署，如圖2所示，可以有效降低單個IDS處理流量，提升IDS分析性能；可以避免重復(fù)告警，只關(guān)注最后進(jìn)出業(yè)務(wù)的流量。

（2）IDS設(shè)備優(yōu)化。對IDS設(shè)備本身的檢測機(jī)制及檢測結(jié)果進(jìn)行優(yōu)化，提高IDS設(shè)備本身的檢測準(zhǔn)確性。

（3）建設(shè)告警過濾平臺，對IDS告警進(jìn)行二次處理，實現(xiàn)IDS告警的實時檢測，框架如圖3所示。

縮短RT時間，建立應(yīng)急處置機(jī)制，通過工單系統(tǒng)將檢測異常信息形成事件工單快速傳遞至維護(hù)人員及時進(jìn)行處理，縮短響應(yīng)時間。

表1　梳理的告警事件字段格式

圖2　IDS部署位置優(yōu)化示意圖

圖3　IDS告警過濾流程

3　項目主要內(nèi)容

3.3告警過濾（如表3所示）

通過二次過濾平臺主要是接收到IDS的告警進(jìn)行二次過濾，根據(jù)周期性手工分析及目前較為流行的網(wǎng)絡(luò)攻擊行為，共計梳理相關(guān)過濾策略攻擊21條，基本涵蓋了目前所有的安全相關(guān)的攻擊事件。

3.4告警合并

接入上級網(wǎng)管后，根據(jù)合并后的IDS事件，根據(jù)安全事件的特點，為了進(jìn)一步進(jìn)行告警聚合，提高告警有效性，根據(jù)實踐又提出以下的策略。

（1）“組”創(chuàng)建：系統(tǒng)收到第一條IDS事件后，創(chuàng)建一個“組”，“組”至少具有“開始時間”“結(jié)束時間”，“事件ID”，“事件名稱”等屬性。

（2）“組”成員添加：在“組”未關(guān)閉前，收到“特定條件”的事件歸納到“組”中，并把這條事件更新為組的最后一條IDS事件。

表2　已優(yōu)化的IDS策略

3.1完成現(xiàn)有IDS策略的文檔化

對IDS策略進(jìn)行優(yōu)化和處理，如表1所示，通過以下字段對IDS已有告警事件進(jìn)行梳理，共計梳理中風(fēng)險事件1541條，高風(fēng)險事件808條。梳理完成后，對目前IDS的能力有了基本的了解。

3.2IDS策略優(yōu)化工作

截止當(dāng)前，IDS共計提出IDS優(yōu)化策略共13條，如表2所示。

（3）“組”的關(guān)閉：在組最后一條IDS事件發(fā)生時間的15 min內(nèi)沒有添加新的事件后，組關(guān)閉，下面新收到符合“組”的事件再重新創(chuàng)建一個“組”?；蛘咴凇敖M”收到第一條事件2 h后關(guān)閉。

（4）特定條件：針對不同類型的事件有不同的條件。針對事件ID為1、2、3、5、10、11、12、17、18、19、20、21的事件，特定條件為相同源并且相同目的并且相同事件ID。針對事件ID為4、6、7、13的事件，特定條件為相同源并且相同的事件ID。針對事件ID為8、14、15、16的事件，特定條件為相同目的地址并且相同的事件ID。

（5）根據(jù)安全事件等級將此類事件設(shè)置為1級告警，上級網(wǎng)管收到即下發(fā)通知。

3.5 實時告警處理流程（如圖4所示）

IDS告警經(jīng)過生成、匯聚、預(yù)處理、整改和報結(jié)形成一套完善的處理機(jī)制。全流程實現(xiàn)自動電子化派單，流程可跟蹤可追溯。

4　主要創(chuàng)新點

首次在網(wǎng)管網(wǎng)絡(luò)安全維護(hù)中引入P2DR模型指導(dǎo)安全運維工作。

采用二次策略過濾手段提升事件有效性從而提升檢測時效性。

誤報過濾：針對IDS中的一些因事件規(guī)則導(dǎo)致的誤報，由IDS廠家去優(yōu)化結(jié)果往往周期比較長，而且許多事件IDS廠家由于設(shè)備性能等原因，廠家并不準(zhǔn)備進(jìn)行優(yōu)化。所以把IDS上的告警事件上傳到二次過濾系統(tǒng)上面，在二次過濾系統(tǒng)上通過對IDS告警事件中的協(xié)議摘要、原始報文等內(nèi)容進(jìn)行匹配，大幅度提升IDS告警事件的準(zhǔn)確性。

采用事件單形式，納入現(xiàn)網(wǎng)成熟維護(hù)流程，縮短響應(yīng)時延。

聯(lián)合告警：在二次過濾系統(tǒng)上采用滿足在一定時間內(nèi)觸發(fā)N條A事件并且觸發(fā)N條B事件或觸發(fā)共計N條A或B或C事件的方式進(jìn)行統(tǒng)計。如在3 s內(nèi)同一源地址和目標(biāo)地址存在10條FTP登陸失敗并且使用的密碼每次都不同，并且在這10條后的5s內(nèi)該源地址成功登陸了目的FTP，則在二次過濾系統(tǒng)上提示【FTP口令被暴力猜解成功】。在使用聯(lián)合告警后，在二次過濾系統(tǒng)上的告警日志大大降低，并且告警內(nèi)容的準(zhǔn)確性有了明顯的提高。

IDS實時告警：在二次過濾系統(tǒng)上的告警事件接入上級網(wǎng)管告警系統(tǒng)，在上級網(wǎng)管告警系統(tǒng)中對二次過濾系統(tǒng)告警事件進(jìn)行2 h內(nèi)去重，并且進(jìn)行短信告警。

首次建立一套完整的、可落地執(zhí)行的安全專業(yè)工單處理體系。明確了安全人員和業(yè)務(wù)人員分工職責(zé)，為后續(xù)其它安全手段接入告警監(jiān)控提供了借鑒。

圖4　實時告警處理和派單流程

5　實際應(yīng)用效果總結(jié)

IDS實時告警量大幅下降。單臺IDS告警量優(yōu)化前為每周200 W條左右的日志，接入二次過濾平臺后日志量大概在每周400條左右（包含重復(fù)的），接入告警系統(tǒng)實現(xiàn)去重功能的話，每周告警會在50條左右（實際情況中可能一條攻擊事件會觸發(fā)多條告警，所實際攻擊事件為10條左右）。基本達(dá)到了優(yōu)化前的目的。

實現(xiàn)信息安全事件的實時發(fā)現(xiàn)。從告警生成到安全組合業(yè)務(wù)人員發(fā)現(xiàn)平均時間不超過10 min，確保常安全事件的及時有效發(fā)現(xiàn)。以某大會保障為例，在大會保障的一周內(nèi)共發(fā)現(xiàn)18條攻擊事件并且日志時延不超過10 min。

The study on real time IDS alarm based on the P2DR model

ZHANG Juan-juan， JIANG Yi， ZHANG Hai-tao
（China Mobile Group Zhejiang Co.， Ltd.， Hangzhou 310051， China）

With the development of the Internet， the network security risks are increasing day by day. IDS， as the main intrusion detection method in the mobile service network， existing the problems of the large amount of log， high misinformation rate， low excavation depth and lack of alarm correlation. Therefore the application effect is not good in the whole company， and can not play the purpose of real-time detection. Based on the P2DR model， the IDS strategy is optimized， the IDS warning is fi ltered and aggregated， and the real-time alarm process is establishmented. This paper based on P2DR idea to achieve massive IDS alarm fi ltering and real-time dispatching， effectively solve the problem of IDS event alarm， and realize the real-time requirements of alarm.

P2DR； real-time alarm； IDS strategy optimization

TN918

A

1008-5599（2015）12-0026-05