침입 탐지 메시지 교환 형식

Intrusion Detection Message Exchange Format

컴퓨터 보안의 일부로 사용되는 IDMEF(Intrusion Detection Message Exchange Format)는 침입 탐지를 가능하게 하는 소프트웨어, 침입 방지, 보안 정보 수집 및 관리 시스템 간의 정보 교환에 사용되는 데이터 형식이다.IDMEF 메시지는 자동으로 처리되도록 설계되었다.형식에 대한 자세한 내용은 RFC 4765에 설명되어 있다.이 RFC는 XML 데이터 모델과 관련 DTD의 구현을 제시한다.이 형식에 대한 요건은 RFC 4766에 설명되어 있으며, 권장 전송 프로토콜(IDXP)은 RFC 4767에 문서화되어 있다.

IDMEF

IDMEF-Schema.png

IDMEF의 목적은 침입 탐지 및 대응 시스템과 상호작용이 필요할 수 있는 관리 시스템에 관심 있는 정보를 공유하기 위한 데이터 형식과 교환 절차를 정의하는 것이다.그것은 사고 보고와 교환을 위해 컴퓨터 보안에 사용된다.그것은 쉬운 자동 처리를 위한 것이다.

IDMEF는 잘 짜여진 객체 지향형식으로, 다음 3가지 필수항목을 포함해 108개 필드가 포함된 33개 클래스로 구성된다.

  • 분류
  • 고유 로그인
  • 경고가 생성된 날짜.

현재 만들 수 있는 IDMEF 메시지에는 하트비트 또는 알림의 두 가지 유형이 있다.

하트비트

심장 박동수는 검사자가 상태를 표시하기 위해 전송한다.이러한 메시지는 하트비트 간격 필드에 정의된 기간 동안 정기적으로 전송된다.이러한 메시지가 여러 기간 동안 수신되지 않으면 이 분석기가 경고를 트리거할 수 없다는 점을 고려하십시오.

경보

경고는 발생한 공격을 설명하는 데 사용되며, 경고를 생성하는 주요 영역은 다음과 같다.

  • CreateTime: 경고 생성 날짜
  • DetectTime: 분석기에 의한 경고 탐지 시간
  • AnalyzerTime:분석기가 경고를 보낸 시간
  • 출처: 공격 원점에 대한 자세한 내용은 서비스, 사용자, 프로세스 및/또는 노드일 수 있음
  • 대상: 공격 대상에 대한 세부 정보는 서비스, 사용자, 프로세스 및/또는 노드 및 파일일 수 있음
  • 분류:공격 이름 및 참조(CVE)
  • 평가 : 공격 평가(심각성, 잠재적 영향 등)
  • 추가 데이터:공격에 대한 추가 정보

이 체계에서 상속되는 세 가지 경보 유형이 있다.

  • 상관 관계경고: 서로 관련된 경고 그룹화
  • ToolAlert: 동일한 그룹화 도구의 알림
  • 오버플로경고: 버퍼 오버플로라는 공격으로 인한 경고

사망 공격에 대한 IDMEF 보고서는 다음과 같이 보일 수 있다.

<?xml 버전="1.0" 인코딩="UTF-8"?> <아이디프:IDMEF-Message xmlns:idmef="http://iana.org/idmef" 버전="1.0"><idmef:경고 메시지id="abc123456789" > <idmef:Analyzerid="bc-sensor01"><idmef:노드 카테고리="dmef:name">sensor.example.com</idmef:name></idmef:name> </idmef:노드> </idmef:분석기> <아이디프:CreateTime ntpstamp="0xbc71f4f5.0xef449129">2000-03-09T10:01:25.93464Z</idmef:CreateTime> <idmef:소스 ID="a1a2" spoofed="yes"><idmef:노드 식별="a1a2-1"><idmef:주소 ID="a1a2-2" 범주="ipv4-addr")><idmef:address>192.0.200</idmef:address> </idmef:주소> </idmef:노드> </idmef:출처> <아이디프:대상 식별자="b3b4" > <idmef:노드> <아이디프:주소 ID="b3b4-1" 범주="ipv4-addr")><idmef:address>192.0.2.50</idmef:address> </idmef:주소> </idmef:노드> </idmef:대상> <아이디프:대상 식별자="c5c6"><idmef:노드 식별자="c5c6-1" 카테고리="nisplus" > <idmef:name>lollipop</idmef:name> </idmef:name> </idmef:name> </idmef:노드> </idmef:대상> <아이디프:대상 식별자="d7d8"><idmef:노드 식별="d7d8-1"><idmef:location>캐비넷 B10</idmef:location> <idmef:name>Cisco.router.b10</idmef:name> </idmef:name> </idmef:노드> </idmef:대상> <아이디프:분류 텍스트="사망 Ping-of-death detected" > <idmef:참조 오리진="cve" > <idmef:name>CVE-1999-128</idmef:name> <idmef:properties></idmef:properties></idmef:properties> </idmef:p:></idmef:참조> </idmef:분류> </idmef:Alert> </idmef:IDMEF-메시지>

IDMEF 프로토콜을 구현하는 도구

경쟁 프레임워크

많은 통신 네트워크 요소들은 국제 표준을 준수하여 침입 탐지를 다루는 보안 경보를[1] 생성한다.이러한 보안 경보는 네트워크 운영 센터의 인력에 의해 즉시 보고 행동할 수 있는 정상적인 경보 스트림에 삽입된다.[2]

참조

  1. ^ ITU-T. "Recommendation X.736 : Information technology - Open Systems Interconnection - Systems Management: Security alarm reporting function". Retrieved 5 September 2019.
  2. ^ ITU-T. "Recommendation X.733 : Informations technology - Open Systems Interconnection - Systems Management: Alarm reporting function".

외부 링크

  • (영어) RFC 4765, 침입 탐지 메시지 교환 형식(IDMEF)
  • (영어) RFC 4766, 침입 탐지 메시지 교환 요구사항(IDMEF)
  • (영어) RFC 4767, 침입 탐지 교환 프로토콜(IDXP)
  • (영어) Pravin Kotatari, 침입 탐지 상호운용성 및 표준화, SANS Institute InfoSec Reading Room, 19 février 2002
  • (영어) SCEF, IDMEF 및 IODEF 형식 추진 프로젝트

자습서

  • 형식, 경고 형식 및 형식에 대한 빠른 소개
  • 경고 형식 비교, 기존 형식(CEF, LEF, SDEE 등)의 장기 비교
  • 서식 IDMEF, IDMEF 형식에 대한 상세 설명
  • SDEE 형식, SDEE 형식의 세부 스키마
  • IDMEF 사용 방법, IDMEF 내용 자습서 및 사용 방법
  • LibPrelude 사용 방법, LibPrelude 사용 및 IDMEF 클라이언트 코드 작성 방법에 대한 자세한 자습서(Python, C, Ruby 등)
  • 센서 구축 방법, LibPrelude Libration Library를 통해 IDMEF에서 통신할 수 있는 새 센서를 생성하는 방법에 대한 자세한 튜토리얼.
  • LibPreferrel IDMEF, 모든 IDMEF 필드에 대한 상세 설명