胡 波

(福建省财政信息中心，福建 福州 350003)

基于簇的移动自组网的IDMEF数据模型设计

胡 波

(福建省财政信息中心，福建 福州 350003)

IDWG提出的IDMEF数据模型是基于有线网络的入侵检测而设计提出的，而移动自组网具有网络自组性、拓扑结构高度动态、传输带宽有限、移动节点局限性、多跳路由通信、分布式控制等独特特征，其安全性特别脆弱，加上文中欲设计基于簇的移动自组网入侵检测系统，导致该系统无法使用IDWG提出的IDMEF数据模型。因此，在综合考虑上述因素和参照原IDMEF数据模型的基础上，文中提出和设计了一种新的基于簇的移动自组网的IDMEF数据模型，并对其进行了详述。该模型能很好地适应移动自组网和本移动自组网入侵检测系统的需求。

入侵检测；入侵检测信息交换格式；入侵检测交换格式工作组；移动自组网；簇

0 引 言

对于入侵检测系统来说，入侵检测输出信息显得格外重要。对于有线网络入侵检测系统，国际互联网工程任务组(the Internet Engineering Task Force，IETF)入侵检测交换格式工作组(the Intrusion Detection Working Group，IDWG)提出一个统一的入侵检测系统输出信息数据的标准交换格式：IDMEF(the Intrusion Detection Message Exchange Format)[1]。该模型可为有线网络IDS的入侵检测输出信息(比如可疑事件等)提供标准数据格式。但由于有线网络和移动自组网存在很大区别，加上笔者欲设计基于簇的移动自组网IDS[2]，从而导致该系统因为具有上述特性而无法使用原本适应传统有线网络IDS的IDMEF数据模型。因此，在综合考虑上述因素以及参照原IDMEF数据模型的基础上，为满足该系统的上述特性，文中提出并设计了基于簇的移动自组网的IDMEF数据模型—AdhocIDMEF。该模型可以为其他基于移动自组网的IDS入侵检测信息格式提供参考。

1 移动自组网

移动自组网是一种无固定基础设施，由一组自治的并带有无线收发装置的移动终端组成的一个多跳的临时性无线移动自治系统[3-4]。与传统有线网络不同的是，在该网络中，由于各网络节点既做路由器又做主机，因此各节点能同时进行路由维护和数据分组工作，各节点能以任意方式动态地保持与其他节点的联系，即使在部分节点的通信网络出现故障时，各节点仍可以通过其他节点来维持相互通信，因此移动自组网的网络抗毁性比传统有线网络要强。其主要特征归纳为六个方面[5-7]：网络自组性、动态拓扑结构、传输带宽有限、移动节点局限性、多跳路由通信、分布式控制。移动自组网由于其独特的特性导致其存在更大的安全缺陷，主要表现在六个方面[8]：脆弱的无线通道、拓扑结构高度动态、缺乏集中监控机制、移动节点本身的安全性、安全机制方面、路由协议。

2 IDMEF概述

2.1 IDMEF定义

从长远角度来看，由于IDS没有统一的各相关标准(包括通信机制、API、语言格式体系结构等)，使入侵检测的系列产品及组件与其他相关安全产品之间的相互兼容性变得很差，这在很大程度上会限制IDS的发展前景。因此美国国防高级研究计划署(DAEPA)和IETF的IDWG，准备通过制定一些草案来规范IDS的上述各项标准。其中，IDWG所提出的相关入侵检测草案主要包括入侵检测交换协议(IDXP)、隧道轮廓(Tunnel Profile)以及入侵检测消息交换格式(IDMEF)三部分内容。DAEPA提出的建议是公共入侵检测框架(DIDF)[9-10]，其中最重要的就是IDMEF[11]。IDMEF是为IDS之间进行事件通知、信息共享而定义的一个统一入侵检测系统输出信息数据模型[12]。由于IDMEF的提出，大大提高了商业、开放资源和研究系统之间的互操作性。为形象表示输出信息各数据之间的相互关系，IDMEF数据模型采用目前比较直观的面向对象方法中的基础图—类图来描述IDS交换信息的数据格式。其中类采用继承和聚合关系，并说明使用此模型的基本原理[13]。当IDS的探测器发现可疑事件时，会向接受警报的控制台发出警报信息，因此该警报信息如何表示非常关键，该警报信息可通过IDMEF提供的标准输出信息交换格式进行定义。为了能为警报数据信息提供标准的表达方式，同时能很好地区分简单与复杂警报之间的关系，IDMEF以类图形式表示探测器传递给控制台的警报数据，因此IDMEF能很好地在探测器和控制台二者之间的数据信道发挥作用[14]。

2.2 IDMEF数据模型结构

IDMEF数据模型以类图形式进行表示，类图总体框架以IDMEF-Message(IDMEF信息)类作为各消息的最高父类，其他各种类型的消息都是IDMEF-Message类的子类。除IDMEF信息类外，类图还包括Core(核心)类、Support(辅助)类、Heartbeat(心跳)类、Alert(警报)类和Time(时间)类等主要类。主要类可包括其他子元素，如Time类包括AnalyzerTime类、Detectime类等子元素；也可再细分为多个子类，如Alert类可以再细分为ToolAlert类、OverflowAlert类和CorrelationAler类等子类。其中，Alert和Heartbeat是比较重要的两种类型的消息，由于它们分别由各自的子类集聚而成，因此可以表示比较详细的入侵检测消息。IDMEF数据模型具体关系类图如图1所示。

图1 IDMEF数据模型结构

2.3 IDMEF实现

IDMEF数据模型采用XML实现，并设计了一个XML文档类型定义(DTD)。IDMEF仅仅是一个入侵检测消息交换格式的数据模型，其设计目标是提供警报信息的标准表达方式，方便分析器根据警报信息内容对警报进行分类和鉴别处理。当用户某台设备的某一端口收到大量警报信息数据包时，不同的分析器可能得出不同的结论。因此只有当某个分析器判定了接收信息的警报类型时，IDMEF才能依据相关规则对该警报信息进行标准格式化。实现该模型的技术有许多种，IDMEF最终选择了免费且通用的XML技术作为其标准实现技术，主要是基于以下几个情况的考虑[15]：

(1)XML是免费的，无版税限制。

(2)由于目前市场上存在的XML处理工具和API都支持Perl、Java、C、C++、Tcl等大多数常用的程序开发语言，因此让开发人员采用IDMEF的产品变得相对容易和方便。

(3)由于XML既是一种元语言，也是一种支持国际与本地化的数据描述语言，支持UTF-8、UTF-16、Unicode等编码。因此，用它来描述特定的入侵检测报警消息非常适合，同时也符合IDMEF的语言国际化和本地化需求。同时XML语言还定义了用来扩展已定义语言的标准机制，这为将来扩充IDMEF带来非常大的方便性。

(4)采用XML技术来实现IDMEF，可以很好地使用已经开发的XML新特性，比如W3C针对XML开发的包括基于对象的扩展、数据库支持等有用的新特性。

3 AdhocIDMEF数据模型设计

3.1 AdhocIDMEF整体结构

这里使用IDWG所定义和实现的方法来描述AdhocIDMEF数据模型。参考IDWG的IDMEF草案，需要进行交换的XML报警消息Alert包括CreateTime、DetectTime、Suspect等属性部分，整个Alert类的UML类图如图2所示。

图2 Aler类的UML图

3.2 AdhocIDMEF具体设计

文中在综合考虑移动自组网特性和本IDS新需求以及参照IDMEF的DTD文件的基础上，设计了AdhocIDMEF的DTD文件。其中，包括增加了一些新的类和属性，如增加CreateTime(创建时间)、Cluster(簇)等类；删除或者适当修改一些不适应本需求的类，如删除Time(时间)类、提出Suspect(怀疑度)的概念，修改了Node(节点)类以及Location(位置)属性等。具体设计部分如下：

(1)增加Cluster(簇)类。

在IDMEF数据模型中增加Cluster类，是因为该移动自组网入侵检测系统是基于簇结构的，其中每个簇类包含0到多个簇成员节点，由NodeMembers属性表示，并由一个clusterid属性进行唯一标识；簇成员节点的NodeMemberId属性要求与相应的Node(节点)类的ident属性值保持一致，并对簇成员节点进行唯一标识。

其DTD表示如下：

(2)修改Node(节点)类。

需要修改Node类，是因为数据模型中增加了Cluster类。为表示该Node所属的簇，在Node类中增加Cluster属性，同时为了区别该Node是簇头还是簇成员，又增加category(类型)子属性，取值为member(簇成员)或者cluserhead(簇头)两种可选值，其默认值为member。

其DTD表示如下：

ident CDATA "0"

category (member |cluserhead) "member"

>

(3)提出Suspect(怀疑度)概念。

根据CMDIDS-MANETs全局入侵检测的需要，为表示报警的可疑程度，在此提出Suspect的概念，在Alert(报警)类中增加一个“Suspect”(怀疑度)属性，取值为low(低)、medium(中)、high(高)、numeric(数字)四个可选值，默认值为numeric，取值范围在0～100之间，表示入侵可能百分比。数值越大，该行为的入侵可疑程度越高。如果能够确定一个行为是入侵，则将怀疑度设置为100，表示100%确认为入侵。为及早发现潜在的入侵行为，数据分析引擎可以适当调整异常行为的判断阈值，这样可将可疑的行为报告给协同检测模块。

其DTD表示如下：

confidence (low|medium|high|numeric) "numeric"

>

(4)修改Location(位置)属性。

在传统的有线网络中，节点位置是固定不变的。而移动自组网由于具有动态拓扑结构特性，网络中各节点的位置可能是不断变化的，具有任意移动性，从而导致原IDMEF定义的Node类的Location属性定义不适应上述新需求。因此，为确定移动自组网中各个节点的位置，需要将Node类的Location属性修改为由x,y,z三维坐标对Node进行定位。

其DTD表示如下：

xCDATA#REQUIRED

yCDATA#REQUIRED

zCDATA#REQUIRED

>

(5)Time类。

考虑移动自组网具有传输带宽有限等局限性，文中参考IDMEF中的Time类设计，将Time类去除，直接由DetectTime类和AnalyzerTime类进行表示，从而简化AdhocIDMEF数据模型。

其DTD表示如下：

(6)CreateTime类。

由于移动自组网的独特特性，一次对移动自组网的攻击发起时间和检测到时间相对有线网络来说可能会长得多，所以在此增加CreateTime类，以表示攻击发起时间。

其DTD表示如下：

3.3 AdhocIDMEF实例

根据文中设计的AdhocIDMEF数据模型,一条具体的报警消息实例为：

……

4 结束语

由于移动自组网具有网络自组性、拓扑结构高度动态、传输带宽有限、移动节点局限性、多跳路由通信、分布式控制等独特特征，其安全性特别脆弱。而IETF的入侵检测交换格式工作组提出的IDMEF数据模型是基于有线网络的入侵检测而设计提出的，加上文中欲将簇结构用于移动自组网入侵检测系统中，从而导致其无法满足上述新需要。在综合考虑上述因素和参照原IDMEF数据模型的前提下，文中提出和设计了一种新的基于簇的移动自组网的IDMEF数据模型—AdhocIDMEF，该模型可以为其他基于移动自组网的IDS入侵检测信息格式提供参考。

[1] Freier A,Kaxlton P,Kocher P.The SSL protocol version 3.0[S].[s.l.]:[s.n.],1996.

[2] 黄烟波，胡 波.基于簇的移动Ad hoc网多层分布式入侵检测[J].微电子学与计算机，2006，23(9):218-219.

[3] Johnson D B, Maltz A. Dynamic source routing in ad-hoc wireless networks[J].Mobile Computing,1996(6):153-181.

[4] Stajano F,Andersson R.The resurrecting duckling：security issues in ad-hoc wireless networks[C]//Proc of 7th international workshop security protocols.Berlin:Springer-Veriag,1999:102-105.

[5] Brutch P,Ko C.Challenges in intrusion detection for wireless ad-hoc networks[C]//Proceedings of symposium on applications and the internet workshops.[s.l.]:[s.n.],2003:368-373.

[6] 程艾芝.无线Ad hoc网络的现状研究[J].微处理机,2005(6)：28-30.

[7] 李 威.无线Ad hoc网络[J].电信建设，2004(4):10-14.

[8] 易 平，蒋嶷川，张世永，等.移动ad hoc网络安全综述[J].电子学报，2005,33(5):893-899.

[9] Debar H,Curry D,Feinstein B.The intrusion detection message exchange format[EB/OL].2004.http://www.ietf.org/rfc/rfc4765.txt.

[10] 杨海松,李津生,洪佩琳.分布开放式的入侵检测与响应架构—IDRA[J].计算机学报，2003，26(9):1177-1182.

[11] 王 松，王卫红，张 繁.一种新的移动ad-hoc网络异常入侵检测技术[J].浙江工业大学学报，2004,32(6):696-699.

[12] 钟旺伟.统一通用入侵检测框架的研究与设计[J].微计算机信息,2006,22(9-3):128-130.

[13] 董晓梅，于 戈.分布式入侵检测与响应协作模型研究[J].计算机工程，2006，32(6)：151-153.

[14] 穆成坡，黄厚宽，田盛丰.入侵检测系统报警信息聚合与关联技术研究综述[J].计算机研究与发展,2006，43(1)：1-8.

[15] 冯立功.基于XML技术的IDMEF在分布式入侵检测系统中的应用[J].计算机安全，2004(11)：11-12.

Design of Data Model Intrusion of Detection Message Exchange Format in Wireless Ad Hoc Networks Based on Clusters

HU Bo

(Fujian Province Finance Information Center,Fuzhou 350003,China)

The data model of Intrusion Detection Message Exchange Format (IDMEF) is put forward by IDWG which is designed in view of the cable network intrusion detection.Mobile ad-hoc network with network configuration,highly dynamic topology,limited transmission bandwidth,limitation of mobile node and multiple hops routing communication,distributed control and so on,its safety is particularly vulnerable,and it tries to design a mobile ad-hoc network intrusion detection system based on cluster in this paper,which leads to the system can’t use IDMEF data model.Therefore,in consideration of the above factors and on the basis of reference of the original IDMEF data model,a new IDMEF data model of mobile ad-hoc network based on cluster is put forward,and it is described in detail.The model can be a very good to adapt to the system requirements of mobile ad-hoc network and proposed one.

intrusion detection；IDMEF；IDWG；ad hoc networks；cluster

2015-11-16

2016-03-09

时间：2016-06-22

国家自然科学基金资助项目(60773013)

胡 波(1977-)，男，硕士研究生，高级工程师，研究方向为网络安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20160622.0845.068.html

TP31

A

1673-629X(2016)08-0093-05

10.3969/j.issn.1673-629X.2016.08.020