III.5 Định dạng gói tin thông báo sự kiện

NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN



- Mô tả

• EVENT: từ khóa xác định thông báo kiểu sự kiện

• type: kiểu event, detector hoặc monitor

• date: thời gian phát sinh event

• plugin_id: id của plugin phát sinh event (nhận được từ

CONNECT msg), dùng để phân biệt giữa các plugin

• plugin_sid: plugin class, dùng để phân biệt giữa các message từ

1 plugin

• interface: giao diện mạng

• sensor: địa chỉ IP của sensor phát sinh event

• priority: mức độ ưu tiên của event (deprecated)

• protocol: một trong các giao thức TCP, UDP hoặc ICMP

• src_ip: IP nguồn của event (do sensor nhận ra)

• src_port: cổng nguồn (do sensor nhận ra)

• dst_ip: IP đích của event (do sensor nhận ra)

• dst_port: cổng đích (do sensor nhận ra)

• log: nội dung log

• data: event payload (hoặc bất cứ nội dung gì)

• username: user phát sinh event (thường dùng trong HIDS event)

• password: password cho event

• filename: file dùng trong event (thường dùng trong HIDS event)

• userdata1: các trường do user định nghĩa trong file config. tối đa

9 trường với mỗi plugin. Có thể chứa nội dung bất kỳ, thường là

các nội dung trong log mà không nằm trong các trường còn lại.

III.5.2



Sự kiện MAC



Sự kiện MAC EVENT phát sinh khi có sự thay đổi địa chỉ MAC

- Định dạng gói tin sự kiện mác bao gồm

10



NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN



• host-mac-event

host="183.127.115.4"

interface="eth1"

mac="0:4:23:80:fb:ha" vendor="Intel Corporation" date="200603-17 11:30:09" sensor="163.117.131.11" plugin_id="1512"

plugin_sid="1" log="ip address: 163.117.155.2 interface: eth1

ethernet address: 0:4:23:88:fb:8a ethernet vendor: Intel

Corporation timestamp: Friday, March 17, 2006 11:30:09

+0100"

- Mô tả:

• Host-mac-event : Từ khóa xác định gói tin loại MAC EVENT

• host: IP của máy phát sinh event

• mac: địa chỉ MAC (dạng hexa)

• vendor: nhà sản xuất

• sensor: địa chỉ IP của sensor phát sinh event

• interface: giao diện mạng

• date: thời gian

• plugin_id: Mã Plugin (giá trị mặc định là 1512)

• log: nhật ký

• Các trường được dành riêng:

• userdata1: Bản sao của trường mac

• userdata2: Bản sao của trường vendor

III.5.3



Sự kiện hệ điều hành



Thông báo sự thay đổi trong hệ điều hành

- Định dạng biểu diễn:

• host-os-event host="192.168.1.81" os="Windows" date="200612-23 22:56:13" sensor="192.168.1.10" plugin_id="1511"

plugin_sid="1" log="Windows XP" interface="eth1"

- Mô tả:

• Host-os-event : Từ khóa xác định gói tin loại OS Event

• host: IP của máy phát sinh event

• os: tên hệ điều hành (Windows, Linux...)

11



NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN



• sensor: địa chỉ IP của sensor phát sinh event

• interface: giao diện mạng

• date: thời gian

• plugin_id: Mã Plugin (giá trị mặc định là 1512)

• log: nhật ký

• Các trường được dành riêng:

• userdata1: bản sao của trường os

III.5.4



Sự kiện dịch vụ (Service event)



Lưu lại thông tin các máy tính trong mạng, khi các ứng dụng được chạy,

hoặc các cổng được mở.

- Định dạng biểu diễn:

• host-service-event host="192.168.1.77" sensor="192.168.1.10"

interface="eth1" port="80" protocol="6" service="www"

application="CCO/4.0.3 (Unix) tomcat" date="2006-03-27

07:59:54"

plugin_id="1516"

plugin_sid="1"

log="blablablablabla"

- Mô tả:

• host: IP của máy phát sinh event

• sensor: địa chỉ IP của sensor phát sinh event

• interface: giao diện mạng

• port: Cổng được mở trong máy host

• protocol: một trong các giao thức TCP, UDP hoặc ICMP

• service: Tên loại dịch vụ ở cổng được nêu trong port (www,

http...)

• application: Tên ứng dụng thực thi dịch vụ

• date: thời gian phát sinh event

• plugin_id: Thường là 1516

• plugin_sid: Do OSSIM server gán giá trị

• log: nhật ký

12



NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN



• Các trường được dành riêng:

• userdata1: Bản sao của trường application

• userdata2: Bản sao của trường service



IV.



Phân tích yêu cầu hệ thống giám sát ATM

Thiết kế tổng thể hệ thống giám sát ATM bao gồm năm thành phần chính



sau đây:

- Hệ thống tiếp nhận thông tin an toàn mạng – SIGS:

Phân hệ thu thập thông tin an toàn mạng tự động SIGS bao gồm hai thành

phần chính đóng vai trò tiếp nhận hai loại thông báo sự cố với đặc tính

khác nhau, bao gồm:

+ Phân hệ thu thập thông tin an toàn mạng tự động (NSIAR) có chức năng

tiếp nhận thông tin an toàn mạng từ các phần mềm thu thập thông tin an

toàn mạng và sensor tự phát triển

+ Phân hệ thu thập thông tin từ các kênh thông báo (SAM) có chức năng

hỗ trợ tiếp nhận và xử lý các thông báo sự cố an toàn mạng

- Phân hệ các bộ cảm biến giám sát chuyên dụng

- Phân hệ phần mềm chuyên dụng thu thập thông tin

- Phần mềm thu thập thông tin từ các thiết bị bảo vệ mạng thương mại

- Phân hệ cơ sở dữ liệu và phần mềm xử lý thông tin trung tâm.

- Phân hệ hỗ trợ chỉ huy và điều hành ứng cứu sự cố.



13



NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN



14