胡 波

(福建省財(cái)政信息中心，福建 福州 350003)

基于簇的移動(dòng)自組網(wǎng)的IDMEF數(shù)據(jù)模型設(shè)計(jì)

胡 波

(福建省財(cái)政信息中心，福建 福州 350003)

IDWG提出的IDMEF數(shù)據(jù)模型是基于有線網(wǎng)絡(luò)的入侵檢測(cè)而設(shè)計(jì)提出的，而移動(dòng)自組網(wǎng)具有網(wǎng)絡(luò)自組性、拓?fù)浣Y(jié)構(gòu)高度動(dòng)態(tài)、傳輸帶寬有限、移動(dòng)節(jié)點(diǎn)局限性、多跳路由通信、分布式控制等獨(dú)特特征，其安全性特別脆弱，加上文中欲設(shè)計(jì)基于簇的移動(dòng)自組網(wǎng)入侵檢測(cè)系統(tǒng)，導(dǎo)致該系統(tǒng)無(wú)法使用IDWG提出的IDMEF數(shù)據(jù)模型。因此，在綜合考慮上述因素和參照原IDMEF數(shù)據(jù)模型的基礎(chǔ)上，文中提出和設(shè)計(jì)了一種新的基于簇的移動(dòng)自組網(wǎng)的IDMEF數(shù)據(jù)模型，并對(duì)其進(jìn)行了詳述。該模型能很好地適應(yīng)移動(dòng)自組網(wǎng)和本移動(dòng)自組網(wǎng)入侵檢測(cè)系統(tǒng)的需求。

入侵檢測(cè)；入侵檢測(cè)信息交換格式；入侵檢測(cè)交換格式工作組；移動(dòng)自組網(wǎng)；簇

0 引 言

對(duì)于入侵檢測(cè)系統(tǒng)來(lái)說(shuō)，入侵檢測(cè)輸出信息顯得格外重要。對(duì)于有線網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，國(guó)際互聯(lián)網(wǎng)工程任務(wù)組(the Internet Engineering Task Force，IETF)入侵檢測(cè)交換格式工作組(the Intrusion Detection Working Group，IDWG)提出一個(gè)統(tǒng)一的入侵檢測(cè)系統(tǒng)輸出信息數(shù)據(jù)的標(biāo)準(zhǔn)交換格式：IDMEF(the Intrusion Detection Message Exchange Format)[1]。該模型可為有線網(wǎng)絡(luò)IDS的入侵檢測(cè)輸出信息(比如可疑事件等)提供標(biāo)準(zhǔn)數(shù)據(jù)格式。但由于有線網(wǎng)絡(luò)和移動(dòng)自組網(wǎng)存在很大區(qū)別，加上筆者欲設(shè)計(jì)基于簇的移動(dòng)自組網(wǎng)IDS[2]，從而導(dǎo)致該系統(tǒng)因?yàn)榫哂猩鲜鎏匦远鵁o(wú)法使用原本適應(yīng)傳統(tǒng)有線網(wǎng)絡(luò)IDS的IDMEF數(shù)據(jù)模型。因此，在綜合考慮上述因素以及參照原IDMEF數(shù)據(jù)模型的基礎(chǔ)上，為滿足該系統(tǒng)的上述特性，文中提出并設(shè)計(jì)了基于簇的移動(dòng)自組網(wǎng)的IDMEF數(shù)據(jù)模型—AdhocIDMEF。該模型可以為其他基于移動(dòng)自組網(wǎng)的IDS入侵檢測(cè)信息格式提供參考。

1 移動(dòng)自組網(wǎng)

移動(dòng)自組網(wǎng)是一種無(wú)固定基礎(chǔ)設(shè)施，由一組自治的并帶有無(wú)線收發(fā)裝置的移動(dòng)終端組成的一個(gè)多跳的臨時(shí)性無(wú)線移動(dòng)自治系統(tǒng)[3-4]。與傳統(tǒng)有線網(wǎng)絡(luò)不同的是，在該網(wǎng)絡(luò)中，由于各網(wǎng)絡(luò)節(jié)點(diǎn)既做路由器又做主機(jī)，因此各節(jié)點(diǎn)能同時(shí)進(jìn)行路由維護(hù)和數(shù)據(jù)分組工作，各節(jié)點(diǎn)能以任意方式動(dòng)態(tài)地保持與其他節(jié)點(diǎn)的聯(lián)系，即使在部分節(jié)點(diǎn)的通信網(wǎng)絡(luò)出現(xiàn)故障時(shí)，各節(jié)點(diǎn)仍可以通過(guò)其他節(jié)點(diǎn)來(lái)維持相互通信，因此移動(dòng)自組網(wǎng)的網(wǎng)絡(luò)抗毀性比傳統(tǒng)有線網(wǎng)絡(luò)要強(qiáng)。其主要特征歸納為六個(gè)方面[5-7]：網(wǎng)絡(luò)自組性、動(dòng)態(tài)拓?fù)浣Y(jié)構(gòu)、傳輸帶寬有限、移動(dòng)節(jié)點(diǎn)局限性、多跳路由通信、分布式控制。移動(dòng)自組網(wǎng)由于其獨(dú)特的特性導(dǎo)致其存在更大的安全缺陷，主要表現(xiàn)在六個(gè)方面[8]：脆弱的無(wú)線通道、拓?fù)浣Y(jié)構(gòu)高度動(dòng)態(tài)、缺乏集中監(jiān)控機(jī)制、移動(dòng)節(jié)點(diǎn)本身的安全性、安全機(jī)制方面、路由協(xié)議。

2 IDMEF概述

2.1 IDMEF定義

從長(zhǎng)遠(yuǎn)角度來(lái)看，由于IDS沒有統(tǒng)一的各相關(guān)標(biāo)準(zhǔn)(包括通信機(jī)制、API、語(yǔ)言格式體系結(jié)構(gòu)等)，使入侵檢測(cè)的系列產(chǎn)品及組件與其他相關(guān)安全產(chǎn)品之間的相互兼容性變得很差，這在很大程度上會(huì)限制IDS的發(fā)展前景。因此美國(guó)國(guó)防高級(jí)研究計(jì)劃署(DAEPA)和IETF的IDWG，準(zhǔn)備通過(guò)制定一些草案來(lái)規(guī)范IDS的上述各項(xiàng)標(biāo)準(zhǔn)。其中，IDWG所提出的相關(guān)入侵檢測(cè)草案主要包括入侵檢測(cè)交換協(xié)議(IDXP)、隧道輪廓(Tunnel Profile)以及入侵檢測(cè)消息交換格式(IDMEF)三部分內(nèi)容。DAEPA提出的建議是公共入侵檢測(cè)框架(DIDF)[9-10]，其中最重要的就是IDMEF[11]。IDMEF是為IDS之間進(jìn)行事件通知、信息共享而定義的一個(gè)統(tǒng)一入侵檢測(cè)系統(tǒng)輸出信息數(shù)據(jù)模型[12]。由于IDMEF的提出，大大提高了商業(yè)、開放資源和研究系統(tǒng)之間的互操作性。為形象表示輸出信息各數(shù)據(jù)之間的相互關(guān)系，IDMEF數(shù)據(jù)模型采用目前比較直觀的面向?qū)ο蠓椒ㄖ械幕A(chǔ)圖—類圖來(lái)描述IDS交換信息的數(shù)據(jù)格式。其中類采用繼承和聚合關(guān)系，并說(shuō)明使用此模型的基本原理[13]。當(dāng)IDS的探測(cè)器發(fā)現(xiàn)可疑事件時(shí)，會(huì)向接受警報(bào)的控制臺(tái)發(fā)出警報(bào)信息，因此該警報(bào)信息如何表示非常關(guān)鍵，該警報(bào)信息可通過(guò)IDMEF提供的標(biāo)準(zhǔn)輸出信息交換格式進(jìn)行定義。為了能為警報(bào)數(shù)據(jù)信息提供標(biāo)準(zhǔn)的表達(dá)方式，同時(shí)能很好地區(qū)分簡(jiǎn)單與復(fù)雜警報(bào)之間的關(guān)系，IDMEF以類圖形式表示探測(cè)器傳遞給控制臺(tái)的警報(bào)數(shù)據(jù)，因此IDMEF能很好地在探測(cè)器和控制臺(tái)二者之間的數(shù)據(jù)信道發(fā)揮作用[14]。

2.2 IDMEF數(shù)據(jù)模型結(jié)構(gòu)

IDMEF數(shù)據(jù)模型以類圖形式進(jìn)行表示，類圖總體框架以IDMEF-Message(IDMEF信息)類作為各消息的最高父類，其他各種類型的消息都是IDMEF-Message類的子類。除IDMEF信息類外，類圖還包括Core(核心)類、Support(輔助)類、Heartbeat(心跳)類、Alert(警報(bào))類和Time(時(shí)間)類等主要類。主要類可包括其他子元素，如Time類包括AnalyzerTime類、Detectime類等子元素；也可再細(xì)分為多個(gè)子類，如Alert類可以再細(xì)分為ToolAlert類、OverflowAlert類和CorrelationAler類等子類。其中，Alert和Heartbeat是比較重要的兩種類型的消息，由于它們分別由各自的子類集聚而成，因此可以表示比較詳細(xì)的入侵檢測(cè)消息。IDMEF數(shù)據(jù)模型具體關(guān)系類圖如圖1所示。

圖1 IDMEF數(shù)據(jù)模型結(jié)構(gòu)

2.3 IDMEF實(shí)現(xiàn)

IDMEF數(shù)據(jù)模型采用XML實(shí)現(xiàn)，并設(shè)計(jì)了一個(gè)XML文檔類型定義(DTD)。IDMEF僅僅是一個(gè)入侵檢測(cè)消息交換格式的數(shù)據(jù)模型，其設(shè)計(jì)目標(biāo)是提供警報(bào)信息的標(biāo)準(zhǔn)表達(dá)方式，方便分析器根據(jù)警報(bào)信息內(nèi)容對(duì)警報(bào)進(jìn)行分類和鑒別處理。當(dāng)用戶某臺(tái)設(shè)備的某一端口收到大量警報(bào)信息數(shù)據(jù)包時(shí)，不同的分析器可能得出不同的結(jié)論。因此只有當(dāng)某個(gè)分析器判定了接收信息的警報(bào)類型時(shí)，IDMEF才能依據(jù)相關(guān)規(guī)則對(duì)該警報(bào)信息進(jìn)行標(biāo)準(zhǔn)格式化。實(shí)現(xiàn)該模型的技術(shù)有許多種，IDMEF最終選擇了免費(fèi)且通用的XML技術(shù)作為其標(biāo)準(zhǔn)實(shí)現(xiàn)技術(shù)，主要是基于以下幾個(gè)情況的考慮[15]：

(1)XML是免費(fèi)的，無(wú)版稅限制。

(2)由于目前市場(chǎng)上存在的XML處理工具和API都支持Perl、Java、C、C++、Tcl等大多數(shù)常用的程序開發(fā)語(yǔ)言，因此讓開發(fā)人員采用IDMEF的產(chǎn)品變得相對(duì)容易和方便。

(3)由于XML既是一種元語(yǔ)言，也是一種支持國(guó)際與本地化的數(shù)據(jù)描述語(yǔ)言，支持UTF-8、UTF-16、Unicode等編碼。因此，用它來(lái)描述特定的入侵檢測(cè)報(bào)警消息非常適合，同時(shí)也符合IDMEF的語(yǔ)言國(guó)際化和本地化需求。同時(shí)XML語(yǔ)言還定義了用來(lái)擴(kuò)展已定義語(yǔ)言的標(biāo)準(zhǔn)機(jī)制，這為將來(lái)擴(kuò)充IDMEF帶來(lái)非常大的方便性。

(4)采用XML技術(shù)來(lái)實(shí)現(xiàn)IDMEF，可以很好地使用已經(jīng)開發(fā)的XML新特性，比如W3C針對(duì)XML開發(fā)的包括基于對(duì)象的擴(kuò)展、數(shù)據(jù)庫(kù)支持等有用的新特性。

3 AdhocIDMEF數(shù)據(jù)模型設(shè)計(jì)

3.1 AdhocIDMEF整體結(jié)構(gòu)

這里使用IDWG所定義和實(shí)現(xiàn)的方法來(lái)描述AdhocIDMEF數(shù)據(jù)模型。參考IDWG的IDMEF草案，需要進(jìn)行交換的XML報(bào)警消息Alert包括CreateTime、DetectTime、Suspect等屬性部分，整個(gè)Alert類的UML類圖如圖2所示。

圖2 Aler類的UML圖

3.2 AdhocIDMEF具體設(shè)計(jì)

文中在綜合考慮移動(dòng)自組網(wǎng)特性和本IDS新需求以及參照IDMEF的DTD文件的基礎(chǔ)上，設(shè)計(jì)了AdhocIDMEF的DTD文件。其中，包括增加了一些新的類和屬性，如增加CreateTime(創(chuàng)建時(shí)間)、Cluster(簇)等類；刪除或者適當(dāng)修改一些不適應(yīng)本需求的類，如刪除Time(時(shí)間)類、提出Suspect(懷疑度)的概念，修改了Node(節(jié)點(diǎn))類以及Location(位置)屬性等。具體設(shè)計(jì)部分如下：

(1)增加Cluster(簇)類。

在IDMEF數(shù)據(jù)模型中增加Cluster類，是因?yàn)樵撘苿?dòng)自組網(wǎng)入侵檢測(cè)系統(tǒng)是基于簇結(jié)構(gòu)的，其中每個(gè)簇類包含0到多個(gè)簇成員節(jié)點(diǎn)，由NodeMembers屬性表示，并由一個(gè)clusterid屬性進(jìn)行唯一標(biāo)識(shí)；簇成員節(jié)點(diǎn)的NodeMemberId屬性要求與相應(yīng)的Node(節(jié)點(diǎn))類的ident屬性值保持一致，并對(duì)簇成員節(jié)點(diǎn)進(jìn)行唯一標(biāo)識(shí)。

其DTD表示如下：

(2)修改Node(節(jié)點(diǎn))類。

需要修改Node類，是因?yàn)閿?shù)據(jù)模型中增加了Cluster類。為表示該Node所屬的簇，在Node類中增加Cluster屬性，同時(shí)為了區(qū)別該Node是簇頭還是簇成員，又增加category(類型)子屬性，取值為member(簇成員)或者cluserhead(簇頭)兩種可選值，其默認(rèn)值為member。

其DTD表示如下：

ident CDATA "0"

category (member |cluserhead) "member"

>

(3)提出Suspect(懷疑度)概念。

根據(jù)CMDIDS-MANETs全局入侵檢測(cè)的需要，為表示報(bào)警的可疑程度，在此提出Suspect的概念，在Alert(報(bào)警)類中增加一個(gè)“Suspect”(懷疑度)屬性，取值為low(低)、medium(中)、high(高)、numeric(數(shù)字)四個(gè)可選值，默認(rèn)值為numeric，取值范圍在0～100之間，表示入侵可能百分比。數(shù)值越大，該行為的入侵可疑程度越高。如果能夠確定一個(gè)行為是入侵，則將懷疑度設(shè)置為100，表示100%確認(rèn)為入侵。為及早發(fā)現(xiàn)潛在的入侵行為，數(shù)據(jù)分析引擎可以適當(dāng)調(diào)整異常行為的判斷閾值，這樣可將可疑的行為報(bào)告給協(xié)同檢測(cè)模塊。

其DTD表示如下：

confidence (low|medium|high|numeric) "numeric"

>

(4)修改Location(位置)屬性。

在傳統(tǒng)的有線網(wǎng)絡(luò)中，節(jié)點(diǎn)位置是固定不變的。而移動(dòng)自組網(wǎng)由于具有動(dòng)態(tài)拓?fù)浣Y(jié)構(gòu)特性，網(wǎng)絡(luò)中各節(jié)點(diǎn)的位置可能是不斷變化的，具有任意移動(dòng)性，從而導(dǎo)致原IDMEF定義的Node類的Location屬性定義不適應(yīng)上述新需求。因此，為確定移動(dòng)自組網(wǎng)中各個(gè)節(jié)點(diǎn)的位置，需要將Node類的Location屬性修改為由x,y,z三維坐標(biāo)對(duì)Node進(jìn)行定位。

其DTD表示如下：

xCDATA#REQUIRED

yCDATA#REQUIRED

zCDATA#REQUIRED

>

(5)Time類。

考慮移動(dòng)自組網(wǎng)具有傳輸帶寬有限等局限性，文中參考IDMEF中的Time類設(shè)計(jì)，將Time類去除，直接由DetectTime類和AnalyzerTime類進(jìn)行表示，從而簡(jiǎn)化AdhocIDMEF數(shù)據(jù)模型。

其DTD表示如下：

(6)CreateTime類。

由于移動(dòng)自組網(wǎng)的獨(dú)特特性，一次對(duì)移動(dòng)自組網(wǎng)的攻擊發(fā)起時(shí)間和檢測(cè)到時(shí)間相對(duì)有線網(wǎng)絡(luò)來(lái)說(shuō)可能會(huì)長(zhǎng)得多，所以在此增加CreateTime類，以表示攻擊發(fā)起時(shí)間。

其DTD表示如下：

3.3 AdhocIDMEF實(shí)例

根據(jù)文中設(shè)計(jì)的AdhocIDMEF數(shù)據(jù)模型,一條具體的報(bào)警消息實(shí)例為：

……

4 結(jié)束語(yǔ)

由于移動(dòng)自組網(wǎng)具有網(wǎng)絡(luò)自組性、拓?fù)浣Y(jié)構(gòu)高度動(dòng)態(tài)、傳輸帶寬有限、移動(dòng)節(jié)點(diǎn)局限性、多跳路由通信、分布式控制等獨(dú)特特征，其安全性特別脆弱。而IETF的入侵檢測(cè)交換格式工作組提出的IDMEF數(shù)據(jù)模型是基于有線網(wǎng)絡(luò)的入侵檢測(cè)而設(shè)計(jì)提出的，加上文中欲將簇結(jié)構(gòu)用于移動(dòng)自組網(wǎng)入侵檢測(cè)系統(tǒng)中，從而導(dǎo)致其無(wú)法滿足上述新需要。在綜合考慮上述因素和參照原IDMEF數(shù)據(jù)模型的前提下，文中提出和設(shè)計(jì)了一種新的基于簇的移動(dòng)自組網(wǎng)的IDMEF數(shù)據(jù)模型—AdhocIDMEF，該模型可以為其他基于移動(dòng)自組網(wǎng)的IDS入侵檢測(cè)信息格式提供參考。

[1] Freier A,Kaxlton P,Kocher P.The SSL protocol version 3.0[S].[s.l.]:[s.n.],1996.

[2] 黃煙波，胡 波.基于簇的移動(dòng)Ad hoc網(wǎng)多層分布式入侵檢測(cè)[J].微電子學(xué)與計(jì)算機(jī)，2006，23(9):218-219.

[3] Johnson D B, Maltz A. Dynamic source routing in ad-hoc wireless networks[J].Mobile Computing,1996(6):153-181.

[4] Stajano F,Andersson R.The resurrecting duckling：security issues in ad-hoc wireless networks[C]//Proc of 7th international workshop security protocols.Berlin:Springer-Veriag,1999:102-105.

[5] Brutch P,Ko C.Challenges in intrusion detection for wireless ad-hoc networks[C]//Proceedings of symposium on applications and the internet workshops.[s.l.]:[s.n.],2003:368-373.

[6] 程艾芝.無(wú)線Ad hoc網(wǎng)絡(luò)的現(xiàn)狀研究[J].微處理機(jī),2005(6)：28-30.

[7] 李 威.無(wú)線Ad hoc網(wǎng)絡(luò)[J].電信建設(shè)，2004(4):10-14.

[8] 易 平，蔣嶷川，張世永，等.移動(dòng)ad hoc網(wǎng)絡(luò)安全綜述[J].電子學(xué)報(bào)，2005,33(5):893-899.

[9] Debar H,Curry D,Feinstein B.The intrusion detection message exchange format[EB/OL].2004.http://www.ietf.org/rfc/rfc4765.txt.

[10] 楊海松,李津生,洪佩琳.分布開放式的入侵檢測(cè)與響應(yīng)架構(gòu)—IDRA[J].計(jì)算機(jī)學(xué)報(bào)，2003，26(9):1177-1182.

[11] 王 松，王衛(wèi)紅，張 繁.一種新的移動(dòng)ad-hoc網(wǎng)絡(luò)異常入侵檢測(cè)技術(shù)[J].浙江工業(yè)大學(xué)學(xué)報(bào)，2004,32(6):696-699.

[12] 鐘旺偉.統(tǒng)一通用入侵檢測(cè)框架的研究與設(shè)計(jì)[J].微計(jì)算機(jī)信息,2006,22(9-3):128-130.

[13] 董曉梅，于 戈.分布式入侵檢測(cè)與響應(yīng)協(xié)作模型研究[J].計(jì)算機(jī)工程，2006，32(6)：151-153.

[14] 穆成坡，黃厚寬，田盛豐.入侵檢測(cè)系統(tǒng)報(bào)警信息聚合與關(guān)聯(lián)技術(shù)研究綜述[J].計(jì)算機(jī)研究與發(fā)展,2006，43(1)：1-8.

[15] 馮立功.基于XML技術(shù)的IDMEF在分布式入侵檢測(cè)系統(tǒng)中的應(yīng)用[J].計(jì)算機(jī)安全，2004(11)：11-12.

Design of Data Model Intrusion of Detection Message Exchange Format in Wireless Ad Hoc Networks Based on Clusters

HU Bo

(Fujian Province Finance Information Center,Fuzhou 350003,China)

The data model of Intrusion Detection Message Exchange Format (IDMEF) is put forward by IDWG which is designed in view of the cable network intrusion detection.Mobile ad-hoc network with network configuration,highly dynamic topology,limited transmission bandwidth,limitation of mobile node and multiple hops routing communication,distributed control and so on,its safety is particularly vulnerable,and it tries to design a mobile ad-hoc network intrusion detection system based on cluster in this paper,which leads to the system can’t use IDMEF data model.Therefore,in consideration of the above factors and on the basis of reference of the original IDMEF data model,a new IDMEF data model of mobile ad-hoc network based on cluster is put forward,and it is described in detail.The model can be a very good to adapt to the system requirements of mobile ad-hoc network and proposed one.

intrusion detection；IDMEF；IDWG；ad hoc networks；cluster

2015-11-16

2016-03-09

時(shí)間：2016-06-22

國(guó)家自然科學(xué)基金資助項(xiàng)目(60773013)

胡 波(1977-)，男，碩士研究生，高級(jí)工程師，研究方向?yàn)榫W(wǎng)絡(luò)安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20160622.0845.068.html

TP31

A

1673-629X(2016)08-0093-05

10.3969/j.issn.1673-629X.2016.08.020