第三講基于主機(jī)的入侵檢測(cè)技術(shù)

第三講基于主機(jī)的入侵檢測(cè)技術(shù)信息科學(xué)與工程學(xué)院張琳琳新疆大學(xué)《入侵檢測(cè)技術(shù)》課程ZhanglinlinContents審計(jì)數(shù)據(jù)的獲取1用于入侵檢測(cè)的統(tǒng)計(jì)模型2入侵檢測(cè)的專(zhuān)家系統(tǒng)3基于狀態(tài)轉(zhuǎn)移的入侵檢測(cè)技術(shù)4補(bǔ)充：IDS的部署IDS的位置一般選擇在盡可能靠近攻擊源或受保護(hù)的資源處通常是在服務(wù)器區(qū)域的交換機(jī)上Internet接入路由器之后的第一臺(tái)交換機(jī)上重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)經(jīng)典的部署方式基于主機(jī)的入侵檢測(cè)部署圖基于網(wǎng)絡(luò)的部署Zhanglinlin基于主機(jī)的IDS部署基于網(wǎng)絡(luò)的IDS部署基于網(wǎng)絡(luò)的IDS系統(tǒng)由遍及網(wǎng)絡(luò)中每個(gè)網(wǎng)段的傳感器組成。傳感器是一臺(tái)將以太網(wǎng)卡置于混雜模式的計(jì)算機(jī)，用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包基于網(wǎng)絡(luò)的IDS部署如圖所示當(dāng)單位內(nèi)部網(wǎng)絡(luò)存在多個(gè)網(wǎng)段時(shí)，建議在每個(gè)網(wǎng)段分別安裝一個(gè)傳感器Zhanglinlin基于網(wǎng)絡(luò)的IDS部署基于網(wǎng)絡(luò)的IDS部署（續(xù)）對(duì)于大型網(wǎng)絡(luò)來(lái)說(shuō)，在每個(gè)三層交換機(jī)上安裝一個(gè)網(wǎng)絡(luò)傳感器Zhanglinlin基于網(wǎng)絡(luò)的IDS部署（續(xù)）對(duì)于小型網(wǎng)絡(luò)來(lái)說(shuō)，可以?xún)H在中心交換機(jī)上安裝一個(gè)網(wǎng)絡(luò)傳感器Zhanglinlin部署之二Zhanglinlin示例：企業(yè)解決方案-藍(lán)盾應(yīng)用1Zhanglinlin示例：企業(yè)解決方案-藍(lán)盾應(yīng)用2ZhanglinlinZhanglinlinZhanglinlinContents審計(jì)數(shù)據(jù)的獲取1用于入侵檢測(cè)的統(tǒng)計(jì)模型2入侵檢測(cè)的專(zhuān)家系統(tǒng)3基于狀態(tài)轉(zhuǎn)移的入侵檢測(cè)技術(shù)4審計(jì)數(shù)據(jù)的獲取審計(jì)數(shù)據(jù)的獲取質(zhì)量和數(shù)量，決定了主機(jī)入侵檢測(cè)工作的有效程度。審計(jì)數(shù)據(jù)的獲取工作主要需要考慮三個(gè)問(wèn)題Zhanglinlin確定審計(jì)數(shù)據(jù)的來(lái)源和類(lèi)型對(duì)審計(jì)數(shù)據(jù)進(jìn)行預(yù)處理記錄標(biāo)準(zhǔn)格式的設(shè)計(jì)、過(guò)濾、映射審計(jì)數(shù)據(jù)的獲取方式獲取模塊的設(shè)計(jì)、傳輸協(xié)議審計(jì)數(shù)據(jù)類(lèi)型與來(lái)源審計(jì)數(shù)據(jù)類(lèi)型不盡相同從目標(biāo)主機(jī)的類(lèi)型來(lái)看，不同操作系統(tǒng)的審計(jì)機(jī)制設(shè)計(jì)存在差異，主機(jī)活動(dòng)的審計(jì)范圍和類(lèi)型也有不同。根據(jù)不同主機(jī)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)要求和需要，其具體選取的審計(jì)數(shù)據(jù)類(lèi)型和來(lái)源也各有側(cè)重。以IDES系統(tǒng)為例，說(shuō)明IDES在SunUNIX目標(biāo)系統(tǒng)環(huán)境下所收集到的審計(jì)數(shù)據(jù)ZhanglinlinIDES系統(tǒng)IDES系統(tǒng)設(shè)計(jì)模型ZhanglinlinIDES系統(tǒng)設(shè)計(jì)模型IDES系統(tǒng)結(jié)構(gòu)IDES系統(tǒng)結(jié)構(gòu)IDES在SunUNIX目標(biāo)系統(tǒng)IDES在SunUNIX目標(biāo)系統(tǒng)環(huán)境下所收集到的審計(jì)數(shù)據(jù)類(lèi)型，有四種典型類(lèi)型Zhanglinlin文件訪問(wèn)。包括對(duì)文件和目錄進(jìn)行的操作，如讀取、寫(xiě)入、創(chuàng)建、刪除和訪問(wèn)控制列表的修改。系統(tǒng)訪問(wèn):包括登錄、退出、調(diào)用以及終止超級(jí)用戶(hù)權(quán)限等。資源消耗:包括CPU、I/O和內(nèi)存的使用情況。進(jìn)程創(chuàng)建命令的調(diào)用:指示一個(gè)進(jìn)程的創(chuàng)建。IDES在SunUNIX目標(biāo)系統(tǒng)審計(jì)數(shù)據(jù)的來(lái)源ZhanglinlinSunOS4.0標(biāo)準(zhǔn)審計(jì)系統(tǒng)SunC2安全審計(jì)包UNIX記賬系統(tǒng)在日志文件中收集所有的審計(jì)信息。對(duì)于運(yùn)行在SunOS4.0或者更新版本上的系統(tǒng)，目標(biāo)系統(tǒng)可以配置成使用該安全包，使得每個(gè)目標(biāo)機(jī)器可以在一個(gè)審計(jì)日志文件中記錄所選擇的系統(tǒng)調(diào)用。目的：獲得CPU的使用數(shù)據(jù)審計(jì)數(shù)據(jù)的獲取審計(jì)數(shù)據(jù)的獲取質(zhì)量和數(shù)量，決定了主機(jī)入侵檢測(cè)工作的有效程度。審計(jì)數(shù)據(jù)的獲取工作主要需要考慮三個(gè)問(wèn)題Zhanglinlin確定審計(jì)數(shù)據(jù)的來(lái)源和類(lèi)型對(duì)審計(jì)數(shù)據(jù)進(jìn)行預(yù)處理記錄標(biāo)準(zhǔn)格式的設(shè)計(jì)、過(guò)濾、映射審計(jì)數(shù)據(jù)的獲取方式獲取模塊的設(shè)計(jì)、傳輸協(xié)議審計(jì)數(shù)據(jù)的預(yù)處理在確定審計(jì)數(shù)據(jù)的類(lèi)型和來(lái)源后，主機(jī)入侵檢測(cè)所要進(jìn)行的主要工作就是審計(jì)數(shù)據(jù)的預(yù)處理工作，包括映射、過(guò)濾和格式轉(zhuǎn)換等操作。預(yù)處理工作的必要性體現(xiàn)在以下幾個(gè)方面。有利于系統(tǒng)在不同目標(biāo)平臺(tái)系統(tǒng)之間的移植；便于后繼的處理模塊進(jìn)行檢測(cè)工作。需要對(duì)審計(jì)記錄流進(jìn)行必要的映射和過(guò)濾等操作。Zhanglinlin審計(jì)數(shù)據(jù)的預(yù)處理標(biāo)準(zhǔn)審計(jì)記錄格式的設(shè)計(jì)要求Zhanglinlin通用程度高以便能夠表示目標(biāo)監(jiān)控系統(tǒng)的所有可能事件類(lèi)型。最有效的數(shù)據(jù)表示形式以將處理開(kāi)銷(xiāo)降低到最小程度。標(biāo)準(zhǔn)化使IDES能夠從多個(gè)不同類(lèi)型的機(jī)器處接收輸入記錄，而無(wú)須進(jìn)行任何的數(shù)據(jù)轉(zhuǎn)換。理想的情況下，審計(jì)記錄只進(jìn)行一次格式化。Zhanglinlin審計(jì)數(shù)據(jù)的預(yù)處理示例-IDES用動(dòng)作類(lèi)型來(lái)進(jìn)行分類(lèi)，共有約30種不同的動(dòng)作類(lèi)型。如文件讀取、寫(xiě)入等；這些動(dòng)作包括了所有IDES所要監(jiān)控的事件類(lèi)型。IDES審計(jì)記錄每個(gè)IDES審計(jì)記錄包括一個(gè)動(dòng)作類(lèi)型和若干字段，用于對(duì)該動(dòng)作進(jìn)行參數(shù)化取值。固定部分：必須的信息，如timestamp、主體id和目標(biāo)主機(jī)名稱(chēng)可變部分：根據(jù)動(dòng)作的不同而不同為了適應(yīng)不同目標(biāo)系統(tǒng)的有限審計(jì)性能，對(duì)每一種動(dòng)作類(lèi)型的限定都具有較大的靈活性。審計(jì)數(shù)據(jù)的預(yù)處理示例-IDESIDES的動(dòng)作類(lèi)型ZhanglinlinIA_VOID：此為沒(méi)有操作。IA_ACCESS：指定的文件被引用（但是沒(méi)有讀寫(xiě)）。IA_WRITE：文件被打開(kāi)以備寫(xiě)入或者已經(jīng)寫(xiě)入。IA_READ：文件被打開(kāi)以備讀取或者已經(jīng)讀取。IA_DELETE：所指定的文件已被刪除。IA_CREATE：所指定的文件被創(chuàng)建。IA_RMDIR：所指定的目錄被刪除。IA_XHMOD：所指定文件的訪問(wèn)模式已經(jīng)改變。IA_EXEC：所指定的命令已經(jīng)被調(diào)用。IA_XHOWN：所指定對(duì)象（文件）的所有權(quán)已經(jīng)改變。IA_LINK：已建立起到指定文件的一個(gè)連接。IA_CHDIR：工作目錄已經(jīng)改變。IA_RENAME：文件被重命名。IA_MKDIR：目錄被創(chuàng)建。IA_LOGIN：指定用戶(hù)登錄進(jìn)入系統(tǒng)。IA_BAD_LOGIN：指定用戶(hù)的登錄嘗試失敗。IA_SU：調(diào)用超級(jí)用戶(hù)權(quán)限。IA_BAD_SU：調(diào)用超級(jí)用戶(hù)權(quán)限的嘗試。IA_RESOURCE：資源（內(nèi)存、CPU時(shí)間、I/O）被消耗。IA_LOGOUT：所指定的用戶(hù)退出系統(tǒng)。IA_UNCAT：其他所有未指定的動(dòng)作。IA_RSH：遠(yuǎn)程外殼調(diào)用。IA_BAD_RSH：被拒絕的遠(yuǎn)程外殼調(diào)用。IA_PASSWD：口令更改。IA_RMOUNT：遠(yuǎn)程文件系統(tǒng)安全請(qǐng)求（網(wǎng)絡(luò)文件服務(wù)器）。IA_BAD_RMOUNT：拒絕文件系統(tǒng)安裝。IA_PASSWD_AUTH：口令確認(rèn)。IA_BAD_PASSWD_AUTH：拒絕口令確認(rèn)。IA_DISCON：Agen斷開(kāi)與Arpool的連接(偽記錄)。審計(jì)數(shù)據(jù)的預(yù)處理示例-IDESIDES審計(jì)記錄的C語(yǔ)言結(jié)構(gòu)Zhanglinlinstructides_audit_header{unsignedlongtseq;charhostname[32];charremotehost[32];charttyname[16];charcmd[18];char_pad1[2];charjobname[16];enumides_audit_actionaction;time_ttime;

/*Unix部分*/};包含了每個(gè)審計(jì)記錄中的固定賦值部分action字段定義了各種動(dòng)作類(lèi)型typedefstruct{longab_size;aud_typeab_type;unsignedlongrseq;time_trectime;ides_audit_headerah;unionab_args{charmaxbuf[AUP_USER];ides_path_desc_ipd[2];#defineab_path0_ipd[0].path#defineab_path1_ipd[1].path}arg_un;}ides_audit_block;包含了一個(gè)固定的定義（header結(jié)構(gòu)），和一個(gè)可變部分（arg_un）可變部分表示可能需要提供的文件目錄信息審計(jì)數(shù)據(jù)的預(yù)處理示例-IDESIDES審計(jì)記錄設(shè)計(jì)中若干注意的問(wèn)題每個(gè)審計(jì)記錄應(yīng)盡可能地提供更多的信息，這樣會(huì)使IDES的功能更強(qiáng)大；審計(jì)記錄中字段的信息應(yīng)盡可能完整。對(duì)某些沒(méi)有相關(guān)數(shù)據(jù)的字段，應(yīng)被設(shè)定為默認(rèn)值；并不是所有的可檢測(cè)事件都要報(bào)告給IDES。一些冗余數(shù)據(jù)會(huì)增大IDES的處理負(fù)擔(dān)。Zhanglinlin審計(jì)數(shù)據(jù)的預(yù)處理示例-STATSTAT系統(tǒng)的標(biāo)準(zhǔn)審計(jì)記錄格式由3個(gè)部分定義組成：〈Subject,Action,Object〉Zhanglinlin審計(jì)數(shù)據(jù)的預(yù)處理示例-STATBSM審計(jì)記錄到STAT審計(jì)記錄的映射關(guān)系Zhanglinlin在總共239種BSM審計(jì)事件中，預(yù)處理器模塊僅僅處理其中的28種審計(jì)事件，并將其映射到10種STAT操作類(lèi)型上。審計(jì)數(shù)據(jù)的預(yù)處理示例-STAT10種標(biāo)準(zhǔn)的STAT操作類(lèi)型以及對(duì)應(yīng)的BSM審計(jì)事件類(lèi)型Zhanglinlin審計(jì)數(shù)據(jù)的預(yù)處理示例-STAT對(duì)STAT預(yù)處理的說(shuō)明預(yù)處理包括三個(gè)部分記錄格式的設(shè)計(jì)映射過(guò)濾STAT系統(tǒng)還可根據(jù)BSM審計(jì)記錄中的Return令牌字段值，來(lái)決定是否執(zhí)行過(guò)濾操作。當(dāng)該字段值為-1時(shí)，表明當(dāng)前用戶(hù)所調(diào)用的操作未能成功執(zhí)行。對(duì)于沒(méi)有成功執(zhí)行的操作，STAT系統(tǒng)認(rèn)為其沒(méi)有導(dǎo)致系統(tǒng)狀態(tài)的轉(zhuǎn)換，因此可以將對(duì)應(yīng)審計(jì)記錄丟棄。Zhanglinlin審計(jì)數(shù)據(jù)的獲取審計(jì)數(shù)據(jù)的獲取質(zhì)量和數(shù)量，決定了主機(jī)入侵檢測(cè)工作的有效程度。審計(jì)數(shù)據(jù)的獲取工作主要需要考慮三個(gè)問(wèn)題Zhanglinlin確定審計(jì)數(shù)據(jù)的來(lái)源和類(lèi)型對(duì)審計(jì)數(shù)據(jù)進(jìn)行預(yù)處理記錄標(biāo)準(zhǔn)格式的設(shè)計(jì)、過(guò)濾、映射審計(jì)數(shù)據(jù)的獲取方式獲取模塊的設(shè)計(jì)、傳輸協(xié)議審計(jì)數(shù)據(jù)獲取模塊的設(shè)計(jì)審計(jì)數(shù)據(jù)獲取模塊的主要作用是獲取目標(biāo)系統(tǒng)的審計(jì)數(shù)據(jù)，并經(jīng)過(guò)預(yù)處理工作后，最終目標(biāo)是為入侵檢測(cè)的處理模塊提供一條單一的審計(jì)記錄塊數(shù)據(jù)流，供其使用審計(jì)數(shù)據(jù)獲取模塊的具體設(shè)計(jì)根據(jù)主機(jī)入侵檢測(cè)系統(tǒng)的具體特點(diǎn)，而有所區(qū)別。最簡(jiǎn)單的情況是審計(jì)數(shù)據(jù)獲取模塊與檢測(cè)處理模塊同時(shí)留駐在目標(biāo)主機(jī)系統(tǒng)上。此時(shí)，審計(jì)數(shù)據(jù)獲取模塊的設(shè)計(jì)就很簡(jiǎn)單，只需要提供經(jīng)處理的審計(jì)記錄塊即可。例如，初始版本的STAT系統(tǒng)Zhanglinlin審計(jì)數(shù)據(jù)獲取模塊的設(shè)計(jì)較為復(fù)雜的設(shè)計(jì)環(huán)境是，負(fù)責(zé)入侵檢測(cè)工作的處理模塊位于目標(biāo)監(jiān)控主機(jī)系統(tǒng)之外的特定控制臺(tái)上，而所監(jiān)控目標(biāo)主機(jī)系統(tǒng)的數(shù)目又并非單臺(tái)主機(jī)的情況（通常是一組經(jīng)過(guò)網(wǎng)絡(luò)環(huán)境連接起來(lái)的主機(jī)系統(tǒng)）。設(shè)計(jì)時(shí)需要考慮的問(wèn)題在各目標(biāo)主機(jī)系統(tǒng)和中央分析控制臺(tái)之間處理負(fù)荷的平衡問(wèn)題采用何種傳輸協(xié)議；如何將從多個(gè)目標(biāo)主機(jī)獲得的審計(jì)數(shù)據(jù)多路復(fù)用成為一條單一審計(jì)記錄數(shù)據(jù)流的問(wèn)題如何處理諸如網(wǎng)絡(luò)傳輸過(guò)程中可能出現(xiàn)的延時(shí)、遺漏等問(wèn)題Zhanglinlin審計(jì)數(shù)據(jù)獲取模塊的設(shè)計(jì)—示例最簡(jiǎn)單的情況—初始版本的STAT系統(tǒng)使用的處理算法流程ZhanglinlinWhileTruedobegin

…33Endwhile2IfAudit_state=STARTthenbegin3Allocatememoryforauditrecord4AllocatememoryfortheptrofsizeBLOCK_SIZE5

Audit_state=NEXT_FILE6Endif7IfAudit_state=NEXT_FILEthenbegin8

Openauditfile9

Readablockfromauditfiletoptr10Advanceptrtothebeginningofthefirstrecord11Obtainprecedingfilename12

Audit_state=READ_FILE13Endif審計(jì)數(shù)據(jù)獲取模塊的設(shè)計(jì)—示例Zhanglinlin14IfAudit_state=READ_FILEthenbegin15Attempttoreadablockfromauditfiletoptr16

Ifsuccessfulthenbegin17IfptrindicatesAUT_OTHER_FILEthen18

Audit_state=CLOSE_FILE19Elsebegin20Callfilter_ittofilterthenextrecord21Ifrecordpassedthroughthefilterthen22

return(audit_record)23Endelse24Endif25Else26Reopenauditfile27Endif最簡(jiǎn)單的情況—初始版本的STAT系統(tǒng)使用的處理算法流程(續(xù))28IfAudit_state=CLOSE_FILEthenbegin29Obtainnextauditfilename30Closecurrentauditfile31

Audit_state=NEXT_FILE32EndifZhanglinlinContents審計(jì)數(shù)據(jù)的獲取1用于入侵檢測(cè)的統(tǒng)計(jì)模型2入侵檢測(cè)的專(zhuān)家系統(tǒng)3基于狀態(tài)轉(zhuǎn)移的入侵檢測(cè)技術(shù)4用于入侵檢測(cè)的統(tǒng)計(jì)模型Denning在1986年的經(jīng)典論文中提出了4種可以用于入侵檢測(cè)的統(tǒng)計(jì)模型。操作模型均值與標(biāo)準(zhǔn)偏差模型多元模型馬爾可夫過(guò)程模型Zhanglinlin(1)主要關(guān)心對(duì)系統(tǒng)中所發(fā)生事件的計(jì)數(shù)度量情況，如觀察在特定時(shí)間間隔內(nèi)發(fā)生的失敗登錄事件的次數(shù)等。(2)通常的操作包括將所關(guān)心的特定事件計(jì)數(shù)值與某個(gè)閾值進(jìn)行比較，如果超過(guò)，則指示生了異常情況(3)可同時(shí)應(yīng)用于異常入侵檢測(cè)和濫用入侵檢測(cè)技術(shù)中(1)基礎(chǔ)：系統(tǒng)當(dāng)前狀態(tài)特征可以采用數(shù)據(jù)的均值和標(biāo)準(zhǔn)偏差兩個(gè)度量參數(shù)來(lái)刻畫(huà)。(2)在檢測(cè)過(guò)程中，如果當(dāng)前用戶(hù)行為超出了可信任的區(qū)間范圍，則標(biāo)示為異常行為。(3)信任區(qū)間的定義通常采用參數(shù)度量與其平均值的標(biāo)準(zhǔn)偏差值(1)是模型2的擴(kuò)展；(2)

思想：在多個(gè)參數(shù)度量之間進(jìn)行相關(guān)分析，從而擺脫單純依賴(lài)單個(gè)度量值來(lái)判斷系統(tǒng)當(dāng)前狀態(tài)的限制因素。用于入侵檢測(cè)的統(tǒng)計(jì)模型操作模型均值與標(biāo)準(zhǔn)偏差模型多元模型馬爾可夫過(guò)程模型Zhanglinlin(1)是4個(gè)模型中最復(fù)雜的統(tǒng)計(jì)模型。(2)思想：將每個(gè)審計(jì)記錄中不同類(lèi)型事件的出現(xiàn)視為隨機(jī)變量的不同取值，然后采用隨機(jī)過(guò)程模型來(lái)刻畫(huà)入侵檢測(cè)系統(tǒng)的輸入事件流。(3)采用狀態(tài)轉(zhuǎn)移矩陣表示不同事件序列出現(xiàn)的概率值。如果當(dāng)前審計(jì)事件按照正常的狀態(tài)轉(zhuǎn)移矩陣所計(jì)算出的發(fā)生概率小于某個(gè)閾值，則指示為異常行為。在早期的IDS中得到了很多應(yīng)用。簡(jiǎn)單，無(wú)法檢測(cè)以更多的異常行為類(lèi)型應(yīng)用于IDES及其后續(xù)發(fā)展的NIDES等典型應(yīng)用：TIM(基于時(shí)間的推理機(jī))系統(tǒng)用于入侵檢測(cè)的統(tǒng)計(jì)模型—示例IDES采用入侵檢測(cè)向量：當(dāng)前系統(tǒng)的活動(dòng)狀態(tài)采用一組測(cè)量值參數(shù)變量來(lái)表示定義了3種不同類(lèi)型的測(cè)量值：用戶(hù)主體、目標(biāo)系統(tǒng)主體和遠(yuǎn)程主機(jī)主體。4個(gè)類(lèi)別的單獨(dú)測(cè)量值活動(dòng)強(qiáng)度測(cè)量值審計(jì)記錄分布測(cè)量值類(lèi)別測(cè)量值序數(shù)測(cè)量值Zhanglinlin補(bǔ)充：均值和標(biāo)準(zhǔn)偏差均值統(tǒng)計(jì)學(xué)術(shù)語(yǔ)，與“平均”（Average）意義相同表示一系列數(shù)據(jù)或統(tǒng)計(jì)總體的平均特征的值。例如：l、3、6，10、20這5個(gè)數(shù)的均值是8。Zhanglinlin補(bǔ)充：均值和標(biāo)準(zhǔn)偏差標(biāo)準(zhǔn)偏差(StdDev,StandardDeviation)統(tǒng)計(jì)學(xué)名詞。一種量度數(shù)據(jù)分布的分散程度之標(biāo)準(zhǔn)，用以衡量數(shù)據(jù)值偏離算術(shù)平均值的程度。標(biāo)準(zhǔn)偏差越小，這些值偏離平均值就越少，反之亦然。公式示例Zhanglinlin用于入侵檢測(cè)的統(tǒng)計(jì)模型—示例IDES用戶(hù)主體類(lèi)型的測(cè)量值序數(shù)測(cè)量值類(lèi)別測(cè)量值審計(jì)記錄分布測(cè)量值活動(dòng)強(qiáng)度測(cè)量值ZhanglinlinCPU使用情況

I/O使用情況使用物理位置●郵件程序使用●編輯器使用●編譯器使用●外殼使用●窗口命令使用●通用程序使用●通用系統(tǒng)調(diào)用使用●文件活動(dòng)●文件使用●所訪問(wèn)用戶(hù)的ID號(hào)…對(duì)于以上的每個(gè)測(cè)量值，在審計(jì)記錄分布測(cè)量值中都有一個(gè)對(duì)應(yīng)的類(lèi)別。如：CPU測(cè)量的類(lèi)型為：審計(jì)記錄指示CPU使用的增量大于0每分鐘的流量●每10分鐘的流量●每小時(shí)的流量對(duì)于用戶(hù)所生成的每一個(gè)審計(jì)記錄，IDES系統(tǒng)經(jīng)計(jì)算生成一個(gè)單獨(dú)的測(cè)試統(tǒng)計(jì)值（IDES分?jǐn)?shù)值，表示為T(mén)2），用來(lái)綜合表明最近用戶(hù)行為的異常程度。統(tǒng)計(jì)值T2本身是一個(gè)對(duì)多個(gè)測(cè)量值異常度的綜合評(píng)價(jià)。因而IDES很好地體現(xiàn)了模型2和3.ZhanglinlinContents審計(jì)數(shù)據(jù)的獲取1用于入侵檢測(cè)的統(tǒng)計(jì)模型2入侵檢測(cè)的專(zhuān)家系統(tǒng)3基于狀態(tài)轉(zhuǎn)移的入侵檢測(cè)技術(shù)4Zhanglinlin入侵檢測(cè)的專(zhuān)家系統(tǒng)什么是專(zhuān)家系統(tǒng)根據(jù)人們?cè)谀骋活I(lǐng)域內(nèi)的知識(shí)、經(jīng)驗(yàn)和技術(shù)而建立的解決問(wèn)題和做決策的計(jì)算機(jī)軟件系統(tǒng)，它能對(duì)復(fù)雜問(wèn)題給出專(zhuān)家水平的結(jié)果。入侵檢測(cè)的專(zhuān)家系統(tǒng)根據(jù)人們?cè)谌肭謾z測(cè)領(lǐng)域的知識(shí)、經(jīng)驗(yàn)和技術(shù)而建立的解決問(wèn)題和做決策的計(jì)算機(jī)軟件系統(tǒng)，它能對(duì)復(fù)雜問(wèn)題給出專(zhuān)家水平的結(jié)果。Zhanglinlin入侵檢測(cè)的專(zhuān)家系統(tǒng)在最早期的若干入侵檢測(cè)系統(tǒng)中就已經(jīng)開(kāi)始使用專(zhuān)家系統(tǒng)了。專(zhuān)家系統(tǒng)在知識(shí)庫(kù)的基礎(chǔ)上，根據(jù)所獲得的事實(shí)和已知的規(guī)則進(jìn)行推導(dǎo)，并得出結(jié)論。好處:用戶(hù)無(wú)須了解具體系統(tǒng)內(nèi)部的工作原理，只需要解決對(duì)問(wèn)題的描述過(guò)程即可。不足：知識(shí)庫(kù)的構(gòu)建是一個(gè)耗時(shí)費(fèi)力的艱苦過(guò)程。專(zhuān)家系統(tǒng)只能基于明確的、可靠的規(guī)則得出結(jié)論，對(duì)于超出已有規(guī)則范圍的事實(shí)無(wú)法得出有用的結(jié)論Zhanglinlin入侵檢測(cè)的專(zhuān)家系統(tǒng)——STAT系統(tǒng)組成STAT系統(tǒng)的架構(gòu)設(shè)計(jì)圖ZhanglinlinZhanglinlin規(guī)則事實(shí)推理引擎決策表預(yù)處理決策引擎入侵檢測(cè)的專(zhuān)家系統(tǒng)——STAT系統(tǒng)STAT系統(tǒng)的架構(gòu)設(shè)計(jì)圖Zhanglinlin入侵檢測(cè)的專(zhuān)家系統(tǒng)—示例（PBEST）規(guī)則翻譯器pbcc接收一組規(guī)則（rule）和事實(shí)（fact）的定義后，生成一組C語(yǔ)言的例程，用來(lái)“斷言”（assert）事實(shí)和處理規(guī)則運(yùn)行時(shí)例程庫(kù)包含了所有專(zhuān)家系統(tǒng)中的共享代碼，并且包括支持交互式專(zhuān)家系統(tǒng)引擎的例程。這些交互式的環(huán)境能夠幫助用戶(hù)查看程序的運(yùn)行情況、設(shè)置和清除斷點(diǎn)、刪除和“斷言”事實(shí)以及觀察規(guī)則點(diǎn)火的影響軌跡等垃圾收集例程刪去不必要的事實(shí)，以節(jié)省內(nèi)存Zhanglinlin入侵檢測(cè)的專(zhuān)家系統(tǒng)—示例（PBEST）構(gòu)建用于入侵檢測(cè)的專(zhuān)家系統(tǒng)的步驟S1用戶(hù)必須定義模式類(lèi)型（ptype）和規(guī)則，用于構(gòu)建專(zhuān)家系統(tǒng)的知識(shí)庫(kù)S2設(shè)計(jì)一套用于與外部進(jìn)行交互的接口機(jī)制，用于從外部獲取信息和向外部發(fā)送信息。Zhanglinlin入侵檢測(cè)的專(zhuān)家系統(tǒng)—示例（PBEST）模式類(lèi)型示例ptype[countvalue:int]目的：建立一個(gè)關(guān)于事實(shí)的模式（pattern）或模板（template）。語(yǔ)法：ptype[countvalue:int]Zhanglinlin關(guān)鍵字事實(shí)類(lèi)型變量名及類(lèi)型入侵檢測(cè)的專(zhuān)家系統(tǒng)—示例（PBEST）模式類(lèi)型示例二，包含多個(gè)字段的模式類(lèi)型ptypeZhanglinlinptype[sessionuserid:string,terminal:string,timeoutflag:int]規(guī)則與事實(shí)引用特定事實(shí)，用于檢查特定類(lèi)型的事實(shí)示例[+sessiontimeoutflag==1]存在性量詞檢查session類(lèi)型的事實(shí)，其timeoutflag字段值是否為1PBEST規(guī)則組成語(yǔ)法Zhanglinlinrule[SimuLogon(#l;*):[+tr:transaction][+se:session|userid==tr.userid][?|se.terminal!=tr.terminal]==>[!|printf(SimuLogon:user%satterminals%s,%s\\n,tr.userid,tr.terminal,se.terminal)][–|tr][–|se]]關(guān)鍵字名稱(chēng)區(qū)優(yōu)先級(jí)重復(fù)點(diǎn)火前提分隔符結(jié)論入侵檢測(cè)的專(zhuān)家系統(tǒng)—示例（PBEST）構(gòu)建用于入侵檢測(cè)的專(zhuān)家系統(tǒng)的步驟S1用戶(hù)必須定義模式類(lèi)型（ptype）和規(guī)則，用于構(gòu)建專(zhuān)家系統(tǒng)的知識(shí)庫(kù)S2設(shè)計(jì)一套用于與外部進(jìn)行交互的接口機(jī)制，用于從外部獲取信息和向外部發(fā)送信息，并將其作為新事實(shí)加入到知識(shí)庫(kù)中的主要辦法ZhanglinlinPBEST構(gòu)建一個(gè)輸入接口的必要步驟S1為用戶(hù)所需要加入到知識(shí)庫(kù)中的事實(shí)做出對(duì)應(yīng)的ptype類(lèi)型聲明。S2編寫(xiě)一個(gè)C語(yǔ)言函數(shù)，來(lái)調(diào)用正確的assert_〈ptypename〉()函數(shù)。將事實(shí)加入到知識(shí)庫(kù)中S3編寫(xiě)一條規(guī)則，在其前提或者結(jié)論語(yǔ)句中加入對(duì)此C語(yǔ)言函數(shù)的調(diào)用。ZhanglinlinPBEST接口之step1Zhanglinlinptype[transactiondbid:string,cpuid:string,repdate:string,reptime:string,recdate:string,rectime:string,day:string,week:string,recordtype:string,jobname:string,userarea:string,usertype:string,userid:string,altuserid:string,terminal:string,logon:string,program:string,idesfile:string,command:string,

response:string,duration:string,enqueue:string]PBEST接口之step2Zhanglinlinassert_transaction(dbid,cpuid,repdate,reptime,recdate,rectime,day,week,recordtype,jobname,userarea,usertype,userid,altuserid,terminal,logon,program,idesfile,command,response,duration,enqueue,);return(GOOD_DATA);}PBEST接口之step3Zhanglinlin″Thisrulereadsdataintotheknowledgebaseusingthe″get_fact_record()routine.Ithasaverylow″prioritysoitdoesn’taddnewfactsuntiltheoldones″havebeenprocessed.rule[get_fact_record_data(#–99;*):[?|′retval!=′END_OF_FILE][+c:count]==>[/c|value+=1][!|retval=get_fact_record()]]PBESTZhanglinlinintget_fact_record(){inti,reader();/*Readarecordfromthefileintothebufferstrings.*/i=reader(infp,(structiovec*)iov1,26);if(i<1)if(i==-1){fprintf(stderr,Problemwithdatafile,error%d\\n,errno);return(NO_DATA);}ZhanglinlinContents審計(jì)數(shù)據(jù)的獲取1用于入侵檢測(cè)的統(tǒng)計(jì)模型2入侵檢測(cè)的專(zhuān)家系統(tǒng)3基于狀態(tài)轉(zhuǎn)移的入侵檢測(cè)技術(shù)4基于狀態(tài)轉(zhuǎn)移分析的入侵檢測(cè)模型歷史及版本歷史最初的明確概念是在20世紀(jì)90年代初由美國(guó)加州大學(xué)圣巴巴拉分校的Porras和Ilgun提出并實(shí)現(xiàn)的Purdue大學(xué)的S.Kumar于1995年提出，稱(chēng)為基于有色Petri網(wǎng)（CP-Net）的模式匹配檢測(cè)模型。版本USTAT:在UNIX環(huán)境下NSTAT:網(wǎng)絡(luò)環(huán)境的多主機(jī)檢測(cè)NetSTAT：最新一代，脫離了單純進(jìn)行主機(jī)入侵檢測(cè)的結(jié)構(gòu)，實(shí)現(xiàn)了分布式的入侵檢測(cè)架構(gòu)。實(shí)現(xiàn)該檢測(cè)模型的原型系統(tǒng)稱(chēng)為IDIOT系統(tǒng)。Zhanglinlin基于狀態(tài)轉(zhuǎn)移分析的檢測(cè)模型，將攻擊者的入侵行為描繪為一系列的特征操作及其所引起的一系列系統(tǒng)狀態(tài)轉(zhuǎn)換過(guò)程，從而使得目標(biāo)系統(tǒng)從初始狀態(tài)轉(zhuǎn)移到攻擊者所期望的危害狀態(tài)。基于狀態(tài)轉(zhuǎn)移分析的入侵檢測(cè)模型思想采用“狀態(tài)轉(zhuǎn)移圖”來(lái)表示一個(gè)具體的入侵攻擊過(guò)程示例STAT狀態(tài)轉(zhuǎn)移圖和目標(biāo)系統(tǒng)審計(jì)記錄的基礎(chǔ)上，不斷跟蹤攻擊者在完成整個(gè)攻擊過(guò)程中所必須完成的每個(gè)關(guān)鍵步驟優(yōu)點(diǎn)更直觀更細(xì)微更強(qiáng)大（可檢測(cè)到協(xié)同攻擊）Zhanglinlin

缺點(diǎn)：STAT屬于基于規(guī)則分析的濫用入侵檢測(cè)系統(tǒng)，因此只能檢測(cè)到已知的攻擊類(lèi)型狀態(tài)轉(zhuǎn)移圖來(lái)表示具體的攻擊行為狀態(tài)轉(zhuǎn)移圖兩個(gè)基本組件狀態(tài)轉(zhuǎn)移圖的示意Zhanglinlin狀態(tài)轉(zhuǎn)移圖通常包括一個(gè)初始狀態(tài)、一個(gè)最終狀態(tài)以及若干攻擊行為步驟，及其引起的若干中間狀態(tài)。每個(gè)狀態(tài)結(jié)點(diǎn)，都對(duì)應(yīng)著一組狀態(tài)斷言。當(dāng)滿(mǎn)足該組斷言后，本次從上個(gè)狀態(tài)到本狀態(tài)的轉(zhuǎn)移過(guò)程才成功發(fā)生。狀態(tài)圖的構(gòu)建只選取那些最能代表攻擊過(guò)程并同時(shí)引起系統(tǒng)狀態(tài)改變的關(guān)鍵操作。即，找到狀態(tài)和引起狀態(tài)發(fā)生變化的斷言說(shuō)明：對(duì)于每個(gè)具體的攻擊行為，都可能存在不同的狀態(tài)轉(zhuǎn)移圖的表示方法。示例Zhanglinlin%lntarget-x%-x攻擊者對(duì)屬主為root且具有setuid特性的shell腳本target，創(chuàng)建一個(gè)硬連接（hard-link）文件，該連接文件的名稱(chēng)以字符‘-’開(kāi)頭。攻擊者執(zhí)行該連接文件“-x”。狀態(tài)圖的構(gòu)建S1確定關(guān)鍵行為操作用戶(hù)創(chuàng)建一個(gè)文件執(zhí)行這個(gè)文件S2確定這些關(guān)鍵操作所引起的狀態(tài)變化從初始狀態(tài)和最終狀態(tài)入手分析中間狀態(tài)Zhanglinlin構(gòu)建狀態(tài)轉(zhuǎn)移圖的步驟：①分析具體的攻擊行為，理解內(nèi)在機(jī)理。②確定攻擊過(guò)程中的關(guān)鍵行為點(diǎn)。③確定初始狀態(tài)和最終狀態(tài)。④從最終狀態(tài)出發(fā)，逐步確定所需的各個(gè)中間狀態(tài)及其應(yīng)該滿(mǎn)足的狀態(tài)斷言組。STAT系統(tǒng)的實(shí)現(xiàn)STAT系統(tǒng)設(shè)計(jì)圖中，規(guī)則庫(kù)中的狀態(tài)描述表和特征操作表是系統(tǒng)設(shè)計(jì)的核心內(nèi)容之一狀態(tài)描述表狀態(tài)斷言組示例ZhanglinlinSDTnState-list1.State-list2.…#STATEDESCRIPTIONTABLE#FOR#USTAT###Unauthorizedaccesstouserprivileges#StateDescription-1#SD1:name(file1)=″-*″¬owner(file1)=USER&permitted(SUID,file1)&shell_script(file1)&permitted(XGRP,file1)|permitted(XOTH,file1).noteuid=USER.#STAT系統(tǒng)的實(shí)現(xiàn)STAT系統(tǒng)設(shè)計(jì)圖中，規(guī)則庫(kù)中的狀態(tài)描述表和特征操作表是系統(tǒng)設(shè)計(jì)的核心內(nèi)容之一特征操作表特征活動(dòng)表示例ZhanglinlinSIGn:Action1;Action2;…#SIGNATUREACTIONSTABLE#for#USTAT##Unauthorizedaccesstouserprivileges#SignatureActions-1#SIG1:hardlink(file1,file2).execute(file1).##Unauthorizedaccesstouserprivileges#SignatureActions-2#SIG2:modify_perm(file1).#STAT系統(tǒng)的實(shí)現(xiàn)STAT檢測(cè)引擎工作的基本原理STAT系統(tǒng)中引入“推理引擎表”來(lái)可視化表述推理引擎的工作原理Zhanglinlin每行都對(duì)應(yīng)著某個(gè)具體攻擊過(guò)程的活動(dòng)實(shí)例每行對(duì)應(yīng)著某個(gè)狀態(tài)轉(zhuǎn)移圖的表現(xiàn)實(shí)例。每列則代表著攻擊過(guò)程的某個(gè)具體步驟，指示著本次攻擊實(shí)例的完成程度當(dāng)推理引擎工作時(shí)，每次接收到一個(gè)新審計(jì)記錄后，將首先判斷當(dāng)前哪個(gè)狀態(tài)轉(zhuǎn)移圖的實(shí)例匹配當(dāng)前的特征操作和轉(zhuǎn)移狀態(tài)，在表中找到該行后，將復(fù)制一個(gè)新行并加入到現(xiàn)有的推理引擎表中，并在對(duì)應(yīng)的表格單元處進(jìn)行標(biāo)注STAT系統(tǒng)的實(shí)現(xiàn)STAT檢測(cè)引擎工作的基本原理推理引擎表示例假定前例狀態(tài)轉(zhuǎn)移圖，對(duì)應(yīng)著狀態(tài)描述表中的第h項(xiàng)，記為SDTh初始的推理引擎表ZhanglinlinSTAT系統(tǒng)的實(shí)現(xiàn)攻擊過(guò)程的關(guān)鍵步驟用戶(hù)A創(chuàng)建文件file1ZhanglinlinSTAT系統(tǒng)的實(shí)現(xiàn)攻擊過(guò)程的關(guān)鍵步驟用戶(hù)A創(chuàng)建文件file1用戶(hù)B執(zhí)行文件file2ZhanglinlinSTAT系統(tǒng)的實(shí)現(xiàn)攻擊過(guò)程的關(guān)鍵步驟用戶(hù)A創(chuàng)建文件file1用戶(hù)B執(zhí)行文件file2用戶(hù)B讀取文件file2ZhanglinlinZhanglinlinContents審計(jì)數(shù)據(jù)的獲取1用于入侵檢測(cè)的統(tǒng)計(jì)模型2入侵檢測(cè)的專(zhuān)家系統(tǒng)3基于狀態(tài)轉(zhuǎn)移的入侵檢測(cè)技術(shù)4文件完整性檢查檢查文件系統(tǒng)完整性的必要性Zhanglinlin目的是檢查主機(jī)系統(tǒng)中文件系統(tǒng)的完整性，及時(shí)發(fā)現(xiàn)潛在的針對(duì)文件系統(tǒng)的無(wú)意或惡意的更改。為了抹去攻擊活動(dòng)的痕跡，攻擊者還可能刪除若干重要系統(tǒng)日志文件中的審計(jì)記錄攻擊者還可能安裝非授權(quán)的特定程序，并且替換掉特定的系統(tǒng)程序，以掩蓋非授權(quán)程序的存在攻擊者在入侵成功后，經(jīng)常在文件系統(tǒng)中安裝后門(mén)或者木馬程序，以方便后繼的攻擊活動(dòng)。后門(mén)特定程序抹去痕跡為了達(dá)成拒絕服務(wù)攻擊目的或者破壞目的，惡意修改若干重要服務(wù)程序的配置文件或者數(shù)據(jù)庫(kù)數(shù)據(jù)惡意修改第73頁(yè)共49頁(yè)

對(duì)所要檢查的每個(gè)目標(biāo)文件生成一個(gè)惟一標(biāo)識(shí)符，并將它們存儲(chǔ)到一個(gè)數(shù)據(jù)庫(kù)中進(jìn)行檢查時(shí)，對(duì)每個(gè)目標(biāo)文件重新生成新的標(biāo)識(shí)符，并將新標(biāo)識(shí)符與數(shù)據(jù)庫(kù)中存儲(chǔ)的舊版本進(jìn)行比較其次

可以確定目標(biāo)文件是否發(fā)生了更改。最后基本思想文件完整性檢查首先文件完整性檢查的最初實(shí)現(xiàn)技術(shù)包括“檢查列表”（checklist）技術(shù)文件完整性檢查ZhanglinlinG.Kim設(shè)計(jì)開(kāi)發(fā)了TripWire的系統(tǒng)原型，是文件完整性檢查領(lǐng)域內(nèi)最著名的工具軟件。使用單向消息摘要算法，計(jì)算每個(gè)目標(biāo)文件的校驗(yàn)和特征信息，然后將其存儲(chǔ)到可靠的安全存儲(chǔ)介質(zhì)上（只讀光盤(pán)等）；系統(tǒng)定時(shí)地計(jì)算目標(biāo)文件的校驗(yàn)和特征，并與預(yù)先存儲(chǔ)的特征信息進(jìn)行比較，如果出現(xiàn)了差異，則向系統(tǒng)管理員發(fā)出報(bào)告信息。基本思路TripWire的系統(tǒng)設(shè)計(jì)模塊示意圖系統(tǒng)配置分析技術(shù)Zhanglinlin檢查系統(tǒng)是否已經(jīng)受到入侵活動(dòng)的侵害，或者存在有可能被入侵的危險(xiǎn)。技術(shù)目標(biāo)通過(guò)檢查系統(tǒng)的當(dāng)前配置情況，來(lái)判斷系統(tǒng)的當(dāng)前安全狀況?；驹恝僖淮纬晒Φ娜肭只顒?dòng)可能會(huì)在系統(tǒng)中留下痕跡，這可以通過(guò)檢查系統(tǒng)當(dāng)前的狀態(tài)來(lái)發(fā)現(xiàn)；②系統(tǒng)管理員和用戶(hù)經(jīng)常會(huì)錯(cuò)誤地配置系統(tǒng)，從而給攻擊者以入侵的可乘之機(jī)。為什么需要該技術(shù)COPS系統(tǒng)（ComputerOracleandPasswordSystem）著名實(shí)現(xiàn)工具系統(tǒng)配置分析技術(shù)—COPS系統(tǒng)COPS系統(tǒng)安全范圍包括檢查文件、目錄和設(shè)備的訪問(wèn)權(quán)限模式。脆弱的口令設(shè)置。是否具有匿名FTP登錄服務(wù)賬戶(hù)各種類(lèi)型的根權(quán)限檢查檢查關(guān)鍵文件是否已經(jīng)及時(shí)進(jìn)行了升級(jí)或打上了補(bǔ)丁…ZhanglinlinCOPS功能強(qiáng)大檢查系統(tǒng)的安全漏洞并以郵件或文件的形式報(bào)告給用戶(hù)；以普通用戶(hù)的身份運(yùn)行，進(jìn)行一些常規(guī)檢查…COPS的檢查方法為以后的許多系統(tǒng)安全掃描商業(yè)軟件所借鑒。COPS系統(tǒng)負(fù)責(zé)報(bào)告所發(fā)現(xiàn)的安全問(wèn)題，但是并不試圖修復(fù)安全漏洞，這點(diǎn)與基本的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)理念相符合。本章小結(jié)審計(jì)數(shù)據(jù)的獲取IDES,STAT用于入侵檢測(cè)的統(tǒng)計(jì)模型IDES入侵檢測(cè)的專(zhuān)家系