Intrångsdetektering meddelandeutbytesformat

Används som en del av datorsäkerhet, IDMEF ( Intrusion Detection Message Exchange Format ) är ett dataformat som används för att utbyta information mellan programvara som möjliggör intrångsdetektering, intrångsskydd, insamling av säkerhetsinformation och hanteringssystem som kan behöva interagera med dem. IDMEF-meddelanden är utformade för att bearbetas automatiskt. Detaljerna för formatet beskrivs i RFC 4765. Denna RFC presenterar en implementering av XML- datamodellen och tillhörande DTD. Kraven för detta format beskrivs i RFC 4766, och det rekommenderade transportprotokollet (IDXP) är dokumenterat i RFC 4767

IDMEF

Syftet med IDMEF är att definiera dataformat och utbytesprocedurer för att dela information av intresse för intrångsdetektering och svarssystem och för de ledningssystem som kan behöva interagera med dem. Det används inom datasäkerhet för incidentrapportering och utbyte. Den är avsedd för enkel automatisk bearbetning.

IDMEF är ett välstrukturerat objektorienterat format, som består av 33 klasser som innehåller 108 fält, inklusive tre obligatoriska:

• Klassificeringen
• Den unika inloggningen
• Datumet då varningen skapades.

Det finns för närvarande två typer av IDMEF-meddelanden som kan skapas, Heartbeat eller Alert

Hjärtslag

Hjärtslagen skickas av analysatorerna för att indikera deras status. Dessa meddelanden skickas med regelbundna intervall, vilken period definieras i fältet Heartbeat Interval. Om inget av dessa meddelanden tas emot under flera tidsperioder, tänk på att denna analysator inte kan utlösa varningar.

Varna

Varningar används för att beskriva en attack som ägde rum, huvudområdena som skapar varningen är:

• CreateTime : Datum för skapande av varningen
• DetectTime : larmdetekteringstid av analysatorn
• AnalyzerTime : Tiden då varningen skickades av analysatorn
• Källa : Detaljer om ursprunget till attacken kan vara en tjänst, en användare, en process och/eller en nod
• Mål : Detaljer om målet för attacken kan vara en tjänst, en användare, en process och/eller en nod och en fil
• Klassificering : Namn på attacken och referenser, som CVE
• Bedömning : Utvärdering av attacken (allvarlighet, potentiell påverkan, etc.)
• Ytterligare data : Ytterligare information om attacken

Det finns tre andra varningstyper som ärver från detta schema:

• CorrelationAlert : Gruppering av varningar relaterade till varandra
• ToolAlert : varningar från samma grupperingsverktyg
• OverflowAlert : Varning som härrör från attack så kallad buffer overflow

Exempel

IDMEF-rapport om ping av dödsattack kan se ut så här:

  
   
     
       
        
      
    
     
      
       
          
          
        
      
    
     
      
          
          
        
      
    
     
        
        
      
    
     
       
        
        
      
    
     
       
        
        
      
    
  
 <?xml version="1.0" encoding="UTF-8"?>  <idmef:IDMEF-Message  xmlns:idmef=  "http://iana.org/idmef"  version=  "1.0"  >  <idmef:Alert  messageid=  "abc123456789"  >  <idmef:Analyzer  analyzerid=  "bc-sensor01"  >  <idmef:Node  category=  "dns"  >  <idmef:name>  sensor.example.com  </idmef:name>  </idmef:Node>  </ idmef:Analyzer>  <idmef:CreateTime  ntpstamp=  "0xbc71f4f5.0xef449129"  >  2000-03-09T10:01:25.93464Z  <  /  idmef:CreateTime>  <idmef:1a=källa  ident ":  mespoa2ed=  id":mespoa2ed=id  " Node  ident=  "a1a2-1"  >  <idmef:Address  ident=  "a1a2-2"  category=  "ipv4-addr"  >  <idmef:address>  192.0.2.200  </idmef:address>  </idmef:Address>  </ idmef:Node>  </idmef:Source>  <idmef:Target  ident=  "b3b4"  >  <idmef:Node>  <idmef:Address  ident=  "b3b4-1"  category=  "ipv4-addr"  >  <idmef:address>  192.0 .2.50  </idmef:address>  </idmef:Address>  </idmef:Node>  </idmef:Target>  <idmef:Target  ident=  "c5c6"  >  <idmef:Node  ident=  "c5c6-1"  category=  " nisplus"  >  <idmef:name>  lollipop  </idmef:name>  </idmef:Node>  </idmef:Target>  <idmef:Target  ident=  "d7d8"  >  <idmef:Node  ident=  "d7d8-1"  >  < idmef:location>  Skåp B10  </idmef:location>  <idmef:name>  Cisco.router.b10  </idmef:name>  </idmef:Node>  </idmef:Target>  <idmef:Classification  text=  "Ping-of -death detected"  >  <idmef:Reference  origin=  "cve"  >  <idmef:name>  CVE-1999-128  </idmef:name>  <idmef:url>  http://www.cve.mitre.org/cgi- bin/cvename.cgi?name=CVE-1999-128  </idmef:url>  </idmef:Reference>  </idmef:Classification>  </idmef:Alert>  </idmef:IDMEF-Message> 

Verktyg som implementerar IDMEF-protokollet

• Prelude (Intrångsdetektionssystem)
• NIDS Snor
• NIDS Suricata Arkiverad 2018-01-31 på Wayback Machine ( [1] )
• HIDS Ossec ( [2] )
• HIDS Samhain ( [3] )
• Sagan
• Barngård 2
• Orkidéer
• LibPrelude : En del av Prelude OSS Project tillåter libprelude att kommunicera mellan agenter med hjälp av IDMEF-formatet. Libprelude är kodad i C men flera bindningar är tillgängliga (Python, Lua, Perl, etc.). Det kan användas i alla IDS-verktyg med öppen källkod.
• LibIDMEF : LibIDMEF är en implementering av IETF ( Internet Engineering Task Force ), IDWG ( Intrusion Detection Exchange Format Charter Working Group ), utkast till standard IDMEF-protokoll.
• IDMEF Framework Dotnet : Dotnet-bibliotek för att skapa IDMEF-objekt och exportera dem i XML.
• DILCA – Distributed IDMEF Logical Correlation Architecture: DILCA är en distribuerad logisk korrelations- och reaktionsarkitektur som innehåller insamling och korrelation av IDMEF-formaterade logghändelser (Intrusion Detection Message Exchange Format – RFC 4765) genom ett flerstegssignaturbaserat system.
• XML::IDMEF – En Perl-modul för att bygga/tolka IDMEF-meddelanden: IDMEF.pm är ett gränssnitt för att enkelt skapa och analysera IDMEF-meddelanden. IDMEF är ett XML-baserat protokoll designat huvudsakligen för att representera Intrusion Detection (IDS) varningsmeddelanden.
• Annan modul för att skapa/tolka IDMEF-meddelanden
• Snort IDMEF Plugin : Snort IDMEF är ett IDMEF XML-plugin för Snort för att mata ut varningshändelser i form av IDMEF-meddelanden. Plugin-programmet är kompatibelt med Snort 2.x
• En broccoliserver för att skicka IDMEF-varningar via Prelude
• Konverterare för IDMEF-formatet
• IDMEF Parser
• Ett IDMEF-varningsbibliotek för distribuerad IDPS

Konkurrerande ramverk

Många element i telekommunikationsnätverket producerar säkerhetslarm som adresserar intrångsdetektering i enlighet med internationella standarder. Dessa säkerhetslarm infogas i den normala larmströmmen, där de kan ses och åtgärdas omedelbart av personal i en nätverksdriftscentral .

externa länkar

• (på engelska) RFC 4765, The Intrusion Detection Message Exchange Format (IDMEF)
• (på engelska) RFC 4766, Intrusion Detection Message Exchange Requirements (IDMEF)
• (på engelska) RFC 4767, The Intrusion Detection Exchange Protocol (IDXP)
• (på engelska) Pravin Kothari, Intrusion Detection Interoperability and Standardization , SANS Institute InfoSec Reading Room, 19 februari 2002
• (på engelska) SECEF , Projekt för främjande av formaten IDMEF och IODEF

Handledningar

• Format , Snabbintroduktion om varningsformat och vad de är
• Jämförelse av varningsformat , Lång jämförelse av befintliga format (CEF, LEEF, SDEE, etc.)
• Format IDMEF , Detaljerad beskrivning av IDMEF-formatet
• Format SDEE , detaljerat schema för SDEE-format
• Hur man använder IDMEF , handledning om IDMEF-innehåll och hur man använder det
• Hur man använder LibPrelude , Detaljerad handledning om hur man använder LibPrelude och kodar en IDMEF-klient (Python, C, Ruby, etc.)
• Hur man bygger en sensor , Detaljerad handledning om hur man skapar en ny sensor som kan kommunicera i IDMEF genom LibPrelude Library.
• LibPrelude IDMEF , Detaljerad beskrivning av alla IDMEF-fält