基于P2DR模型的IDS告警實時化研究

張卷卷，蔣　熠，張海濤（中國移動通信集團浙江有限公司，杭州 310051）

基于P2DR模型的IDS告警實時化研究

張卷卷，蔣熠，張海濤
（中國移動通信集團浙江有限公司，杭州 310051）

隨著互聯網發展，網絡安全風險日益提高。IDS入侵檢測作為移動業務網中主要檢測手段，目前存在日志量過大、誤報率高、無法深度挖掘和告警關聯等問題，因此在全國移動范圍內應用效果不佳，無法起到實時檢測的目的。本文基于P2DR模型，對IDS策略進行優化，對IDS告警進行過濾和聚合，并建立實時告警派單電子化流程。本文依托P2DR思想實現海量IDS告警過濾和實時派單，有效解決了IDS事件告警有效性問題，并實現了告警實時化需求。

P2DR；告警實時化；IDS策略優化

1　項目背景和意義

近年隨著互聯網的發展，網絡安全風險日益增高，同時，隨著IT基礎架構的逐步云化，網絡入口愈加集中，導致信息安全事件后果極其嚴重，無論考慮到國家、部委的重視，還是從實際生產出發都非常有必要做好信息安全防護工作。

云化以后的系統要求具備完整、科學的安全體系，而完整、科學的安全體系需要嚴密的安全模型作支撐。P2DR模型提出了全新的安全概念，強調安全是一個動態的過程，是一個綜合作用的體系。安全不能依靠單純的靜態防護，也不能依靠單純的技術手段來解決，而是需要把技術和管理很好地結合起來，才能達到較好的安全防護效果。

而在P2DR模型下，及時的檢測和響應就是安全，相應的檢測手段就成為了重要的工作。IDS是目前業務網中入侵檢測的主要手段，目前網絡入侵行為激增，上半年已經發生多起網絡入侵事件，但目前全國同行業范圍內IDS利用效果不佳，IDS無法起到實時檢測的目的，只能做事后佐證用途。因此在信息安全檢測方面存在以下問題。

（1）網絡攻擊確實存在，且愈發嚴重，后果也及其嚴重。

（2）網絡攻擊行為難以監控，雖有IDS監控，但從現網設備日志告警量過大，單臺設備告警量達到了1 000萬條/周，基本已經處于無法監控的狀態。

（3）IDS設備本身性能能力有限，安全攻擊行為深度挖掘能力不足。

本項目主要為了研究和解決目前IDS事件有效性問題，并實現IDS告警實時化需求。

2　項目特點和功能描述

2.1P2DR模型

隨著計算機和網絡技術的發展，傳統的計算機安全管理理論側重于靜態防御，不再適應動態變化的、多維互聯的網絡環境，ISS公司提出了P2DR模型，也稱可適應網絡安全模型如圖1所示。

收稿日期：2015-11-16

圖1　P2DR模型示意圖

該模型包含4個主要部分：Policy（安全策略）、Protection（防護）、Detection（檢測）和Response（響應）。在安全策略的指導下，防護、檢測和響應組成了一個完整的、動態的安全循環，以及一個螺旋上升的過程。安全策略在安全管理中占核心地位，安全技術措施產品不是盲目引進，而是圍繞整體安全策略的需求有序地組織在一起，架構一個動態的安全防范體系。防御指安全規章的制定、安全配置的落實和安全措施設備的采用。檢測針對網絡的動態變化，彌補漏洞發現或攻擊手段發明與相應的防護措施的建立之間的時間差，包括異常監視和攻擊發現。響應在發現攻擊企圖或攻擊之后，報告、記錄、反應、恢復等活動，負責事件處理并將系統調到“最安全”或“風險最低”的狀態。P2DR模型強調在整體的安全目標和連續的管理周期。作為一個防護體系，當入侵者要發起攻擊時，每一步都需要花費時間。如果用Pt代表系統為了保護安全目標進行相關設置的防護時間，即入侵者攻擊安全目標所花費的時間；Dt代表從入侵者發動入侵開始，系統能夠檢測到入侵行為所花費的時間；Rt代表從發現入侵行為開始，系統能夠做出足夠的響應，將系統調整到正常狀態的時間。

P2DR模型就可以用一些典型的數學公式來表達安全的要求：

那么，針對于需要保護的安全目標，如果上述數學公式滿足，即防護時間大于檢測時間加上響應時間，也就是在入侵者危害安全目標之前就能夠被檢測到并及時處理。

另外，如果用Et代表安全目標系統的暴露時間，即系統處于受威脅狀態的時間，那么

如果Pt=0，式（2）的前提是假設防護時間為0。這種假設對WebServer這樣的系統可以成立。

即表明：針對需要保護的安全目標，如果Et越小，系統就越安全。通過上面兩個公式的描述，實際上給出了安全一個這樣的定義：及時的檢測和響應就是安全，及時的檢測和恢復就是安全。而且，這樣的定義為安全問題的解決明確了方向——提高系統的防護時間Pt，降低檢測時間Dt和響應時間Rt。

P2DR模型理論給人們提出了全新的安全概念：安全是以一種目標、思想、策略為中心的，需要全局的指導思想和自上而下的完整策略，是個動態的過程。片面依靠被動的靜態防護是難以保證安全的，需要提高主動檢測的意識和能力，以及響應的及時性和效率，不能依靠單純的技術手段來解決。

2.2方案特點

縮短DT時間，通過對IDS策略的優化來實現DT時間的縮短，主要措施如下。

（1）IDS降噪。通過優化IDS設備的部署位置等機制來降低多個流量對IDS設備本身監控帶來的干擾。采用近業務部署，如圖2所示，可以有效降低單個IDS處理流量，提升IDS分析性能；可以避免重復告警，只關注最后進出業務的流量。

（2）IDS設備優化。對IDS設備本身的檢測機制及檢測結果進行優化，提高IDS設備本身的檢測準確性。

（3）建設告警過濾平臺，對IDS告警進行二次處理，實現IDS告警的實時檢測，框架如圖3所示。

縮短RT時間，建立應急處置機制，通過工單系統將檢測異常信息形成事件工單快速傳遞至維護人員及時進行處理，縮短響應時間。

表1　梳理的告警事件字段格式

圖2　IDS部署位置優化示意圖

圖3　IDS告警過濾流程

3　項目主要內容

3.3告警過濾（如表3所示）

通過二次過濾平臺主要是接收到IDS的告警進行二次過濾，根據周期性手工分析及目前較為流行的網絡攻擊行為，共計梳理相關過濾策略攻擊21條，基本涵蓋了目前所有的安全相關的攻擊事件。

3.4告警合并

接入上級網管后，根據合并后的IDS事件，根據安全事件的特點，為了進一步進行告警聚合，提高告警有效性，根據實踐又提出以下的策略。

（1）“組”創建：系統收到第一條IDS事件后，創建一個“組”，“組”至少具有“開始時間”“結束時間”，“事件ID”，“事件名稱”等屬性。

（2）“組”成員添加：在“組”未關閉前，收到“特定條件”的事件歸納到“組”中，并把這條事件更新為組的最后一條IDS事件。

表2　已優化的IDS策略

3.1完成現有IDS策略的文檔化

對IDS策略進行優化和處理，如表1所示，通過以下字段對IDS已有告警事件進行梳理，共計梳理中風險事件1541條，高風險事件808條。梳理完成后，對目前IDS的能力有了基本的了解。

3.2IDS策略優化工作

截止當前，IDS共計提出IDS優化策略共13條，如表2所示。

（3）“組”的關閉：在組最后一條IDS事件發生時間的15 min內沒有添加新的事件后，組關閉，下面新收到符合“組”的事件再重新創建一個“組”。或者在“組”收到第一條事件2 h后關閉。

（4）特定條件：針對不同類型的事件有不同的條件。針對事件ID為1、2、3、5、10、11、12、17、18、19、20、21的事件，特定條件為相同源并且相同目的并且相同事件ID。針對事件ID為4、6、7、13的事件，特定條件為相同源并且相同的事件ID。針對事件ID為8、14、15、16的事件，特定條件為相同目的地址并且相同的事件ID。

（5）根據安全事件等級將此類事件設置為1級告警，上級網管收到即下發通知。

3.5 實時告警處理流程（如圖4所示）

IDS告警經過生成、匯聚、預處理、整改和報結形成一套完善的處理機制。全流程實現自動電子化派單，流程可跟蹤可追溯。

4　主要創新點

首次在網管網絡安全維護中引入P2DR模型指導安全運維工作。

采用二次策略過濾手段提升事件有效性從而提升檢測時效性。

誤報過濾：針對IDS中的一些因事件規則導致的誤報，由IDS廠家去優化結果往往周期比較長，而且許多事件IDS廠家由于設備性能等原因，廠家并不準備進行優化。所以把IDS上的告警事件上傳到二次過濾系統上面，在二次過濾系統上通過對IDS告警事件中的協議摘要、原始報文等內容進行匹配，大幅度提升IDS告警事件的準確性。

采用事件單形式，納入現網成熟維護流程，縮短響應時延。

聯合告警：在二次過濾系統上采用滿足在一定時間內觸發N條A事件并且觸發N條B事件或觸發共計N條A或B或C事件的方式進行統計。如在3 s內同一源地址和目標地址存在10條FTP登陸失敗并且使用的密碼每次都不同，并且在這10條后的5s內該源地址成功登陸了目的FTP，則在二次過濾系統上提示【FTP口令被暴力猜解成功】。在使用聯合告警后，在二次過濾系統上的告警日志大大降低，并且告警內容的準確性有了明顯的提高。

IDS實時告警：在二次過濾系統上的告警事件接入上級網管告警系統，在上級網管告警系統中對二次過濾系統告警事件進行2 h內去重，并且進行短信告警。

首次建立一套完整的、可落地執行的安全專業工單處理體系。明確了安全人員和業務人員分工職責，為后續其它安全手段接入告警監控提供了借鑒。

圖4　實時告警處理和派單流程

5　實際應用效果總結

IDS實時告警量大幅下降。單臺IDS告警量優化前為每周200 W條左右的日志，接入二次過濾平臺后日志量大概在每周400條左右（包含重復的），接入告警系統實現去重功能的話，每周告警會在50條左右（實際情況中可能一條攻擊事件會觸發多條告警，所實際攻擊事件為10條左右）。基本達到了優化前的目的。

實現信息安全事件的實時發現。從告警生成到安全組合業務人員發現平均時間不超過10 min，確保常安全事件的及時有效發現。以某大會保障為例，在大會保障的一周內共發現18條攻擊事件并且日志時延不超過10 min。

The study on real time IDS alarm based on the P2DR model

ZHANG Juan-juan， JIANG Yi， ZHANG Hai-tao
（China Mobile Group Zhejiang Co.， Ltd.， Hangzhou 310051， China）

With the development of the Internet， the network security risks are increasing day by day. IDS， as the main intrusion detection method in the mobile service network， existing the problems of the large amount of log， high misinformation rate， low excavation depth and lack of alarm correlation. Therefore the application effect is not good in the whole company， and can not play the purpose of real-time detection. Based on the P2DR model， the IDS strategy is optimized， the IDS warning is fi ltered and aggregated， and the real-time alarm process is establishmented. This paper based on P2DR idea to achieve massive IDS alarm fi ltering and real-time dispatching， effectively solve the problem of IDS event alarm， and realize the real-time requirements of alarm.

P2DR； real-time alarm； IDS strategy optimization

TN918

A

1008-5599（2015）12-0026-05