第7講：第5章基于主機(jī)的入侵檢測(cè)技術(shù)

0入侵檢測(cè)技術(shù)分析北京信息科技大學(xué)劉凱liukai@第7講1入侵檢測(cè)技術(shù)分析

第五章基于主機(jī)的入侵檢測(cè)技術(shù)2課程安排

入侵檢測(cè)概述

5學(xué)時(shí)入侵檢測(cè)技術(shù)分類3學(xué)時(shí)基于主機(jī)的入侵檢測(cè)技術(shù)

2學(xué)時(shí)基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)

3學(xué)時(shí)混合型的入侵檢測(cè)技術(shù)

2學(xué)時(shí)先進(jìn)的入侵檢測(cè)技術(shù)

3學(xué)時(shí)分布式入侵檢測(cè)架構(gòu)

3學(xué)時(shí)設(shè)計(jì)考慮及響應(yīng)問題

2學(xué)時(shí)入侵檢測(cè)系統(tǒng)的評(píng)估與測(cè)試

3學(xué)時(shí)Snort分析

4學(xué)時(shí)入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)

2學(xué)時(shí)3教材及參考書《入侵檢測(cè)技術(shù)》唐正軍等清華大學(xué)出版社

《入侵檢測(cè)技術(shù)》曹元大人民郵電出版社

《入侵檢測(cè)》羅守山北京郵電大學(xué)出版社4第五章基于主機(jī)的入侵檢測(cè)技術(shù)

審計(jì)數(shù)據(jù)的獲取

審計(jì)數(shù)據(jù)的預(yù)處理基于統(tǒng)計(jì)模型的入侵檢測(cè)技術(shù)基于專家系統(tǒng)的入侵檢測(cè)技術(shù)基于狀態(tài)轉(zhuǎn)移分析的入侵檢測(cè)技術(shù)

基于完整性檢查的入侵檢測(cè)技術(shù)基于智能體的入侵檢測(cè)技術(shù)系統(tǒng)配置分析技術(shù)檢測(cè)實(shí)例分析5上一章回顧

審計(jì)數(shù)據(jù)的獲取和預(yù)處理基于統(tǒng)計(jì)模型的入侵檢測(cè)技術(shù)基于專家系統(tǒng)的入侵檢測(cè)模型基于狀態(tài)轉(zhuǎn)移分析的入侵檢測(cè)技術(shù)65.6基于完整性檢查的入侵檢測(cè)技術(shù)

通常入侵者入侵時(shí)都會(huì)對(duì)一些文件進(jìn)行改動(dòng)，因此采用對(duì)文件系統(tǒng)進(jìn)行完整性檢驗(yàn)的入侵檢測(cè)方式能夠檢測(cè)出對(duì)文件內(nèi)容的非法更改，從而可判定入侵，與其他檢測(cè)技術(shù)相結(jié)合將增強(qiáng)現(xiàn)有的入侵檢測(cè)能力。文件完整性檢驗(yàn)根據(jù)用戶定制的配置文件對(duì)需要校驗(yàn)的文件系統(tǒng)內(nèi)容進(jìn)行散列計(jì)算，將生成的散列值與文件完整性數(shù)據(jù)庫(kù)中存儲(chǔ)的預(yù)先計(jì)算好的文件內(nèi)容的散列值進(jìn)行比較。不一致則說明文件被非法更改，并可判定發(fā)生入侵。75.6基于完整性檢查的入侵檢測(cè)技術(shù)

5.6.1文件完整性校驗(yàn)

文件備份主機(jī)B上存儲(chǔ)了主機(jī)A上的文件系統(tǒng)的備份。主機(jī)B上的文件完整性數(shù)據(jù)庫(kù)存儲(chǔ)的是需要被檢測(cè)的文件的各種inode屬性值和文件內(nèi)容的散列值。檢測(cè)時(shí)主機(jī)A首先與文件備份主機(jī)B認(rèn)證，然后對(duì)A上的配置文件和預(yù)先生成的文件完整性數(shù)據(jù)庫(kù)的內(nèi)容分別進(jìn)行散列計(jì)算，將生成的散列值傳輸給B進(jìn)行校驗(yàn)。如果該散列值與B上存儲(chǔ)的值不一致，則B將存儲(chǔ)的配置文件和文件完整性數(shù)據(jù)庫(kù)的備份加密傳輸給A，進(jìn)行文件恢復(fù)，然后再進(jìn)行完整性校驗(yàn)。85.6基于完整性檢查的入侵檢測(cè)技術(shù)

5.6.2散列算法和計(jì)算速度常用的散列算法有MD5，CRC16，CRC32，Snefru，MD4，MD2，SHA和Haval等。散列算法通常實(shí)現(xiàn)了將任意長(zhǎng)度的消息m壓縮成一固定長(zhǎng)度的散列值h，通過對(duì)散列值的校驗(yàn)?zāi)軝z測(cè)到對(duì)消息m的篡改、抵賴或偽造。它有下列特性。（1）易用性：對(duì)任意長(zhǎng)度的m，計(jì)算h=H（m）很容易。（2）單向性：給定h，計(jì)算m，使得m=F（h）很困難。（3）無(wú)碰撞性：給定m，要找到另一個(gè)消息m’，滿足H（m’）=H（m）很困難，這就保證了對(duì)原文有改動(dòng)，但很難使文件內(nèi)容的散列值保持不變。95.6基于完整性檢查的入侵檢測(cè)技術(shù)

5.6.3基于文件完整性檢驗(yàn)的檢測(cè)技術(shù)的檢測(cè)能力

只有對(duì)文件進(jìn)行非法修改后,該方法才能發(fā)揮作用.

通常無(wú)法用當(dāng)前日志文件內(nèi)容的散列值來判定是否被非法更改.

對(duì)于利用網(wǎng)絡(luò)協(xié)議的脆弱性對(duì)網(wǎng)絡(luò)服務(wù)質(zhì)量的攻擊,該方法無(wú)能為力.

該技術(shù)不具備對(duì)入侵檢測(cè)行為的實(shí)時(shí)性由于大部分入侵系統(tǒng)都會(huì)對(duì)文件系統(tǒng)進(jìn)行非法修改,它的作用不容忽視.

105.6基于完整性檢查的入侵檢測(cè)技術(shù)

5.6.4基于文件完整性檢驗(yàn)的檢測(cè)技術(shù)的工具

G.Kim設(shè)計(jì)開發(fā)了TripWire的系統(tǒng)原型，并發(fā)展成為文件完整性檢查領(lǐng)域內(nèi)最著名的工具軟件.115.6基于完整性檢查的入侵檢測(cè)技術(shù)

5.6.4基于文件完整性檢驗(yàn)的檢測(cè)技術(shù)的工具

Tripwire的組成：Tripwire主要由策略和數(shù)據(jù)庫(kù)組成。策略不僅指出Tripwire應(yīng)檢測(cè)的對(duì)象即文件和目錄，而且還規(guī)定了用于鑒定違規(guī)行為的規(guī)則。數(shù)據(jù)庫(kù)則用來存放策略中規(guī)定的檢測(cè)對(duì)象的快照。除了策略和數(shù)據(jù)庫(kù)外，Tripwire還有一個(gè)配置文件，用以控制數(shù)據(jù)庫(kù)、策略文件和Tripwire可執(zhí)行程序的位置等。

為了防止被篡改，Tripwire對(duì)其自身的一些重要文件進(jìn)行了加密和簽名處理。這里涉及到兩個(gè)密鑰：site密鑰和local密鑰。125.7基于智能體的入侵檢測(cè)技術(shù)5.7.1智能體的定義和特點(diǎn)

智能體又稱智能代理，是人工智能研究的新成果，它是在用戶沒有明確具體要求的情況下，根據(jù)用戶需要，能自動(dòng)執(zhí)行用戶委托的任務(wù)的計(jì)算實(shí)體。像郵件過濾智能體、信息獲取智能體、桌面自動(dòng)智能體等，將使Web站點(diǎn)、應(yīng)用程序更加智能化和實(shí)用化。從技術(shù)的角度看，智能體是由各種技術(shù)支撐著的、許多實(shí)用的應(yīng)用特性的集合，開發(fā)者正是使用這些應(yīng)用特性來擴(kuò)展應(yīng)用的功能和價(jià)值，從而達(dá)到應(yīng)用能自動(dòng)執(zhí)行用戶委托的任務(wù)的目的。135.7基于智能體的入侵檢測(cè)技術(shù)5.7.2智能體的定義和特點(diǎn)（1）智能性（2）代理性（3）移動(dòng)性（4）主動(dòng)性（5）協(xié)作性145.7基于智能體的入侵檢測(cè)技術(shù)

5.7.3基于智能體的入侵檢測(cè)技術(shù)采用智能體采集和分析數(shù)據(jù)有以下主要特點(diǎn)。（1）因?yàn)橹悄荏w是獨(dú)立的運(yùn)行實(shí)體，因此，不需改變其他的組件，即可向系統(tǒng)中增加或從系統(tǒng)中移走智能體。（2）如果一個(gè)智能體由于某種原因（如下線維護(hù)）而停止了工作，損失只局限在有限的范圍內(nèi)，不會(huì)造成整個(gè)系統(tǒng)的癱瘓，這就保證了系統(tǒng)的連續(xù)運(yùn)行。（3）如果將智能體以分級(jí)結(jié)構(gòu)的形式組織起來，可以使得系統(tǒng)的可伸縮性更好。（4）系統(tǒng)開銷小、智能體的編程可以很靈活。（5）自主智能體采集數(shù)據(jù)的方法很靈活.155.7基于智能體的入侵檢測(cè)技術(shù)

5.7.3基于智能體的入侵檢測(cè)系統(tǒng)的典型結(jié)構(gòu)

165.8系統(tǒng)配置分析技術(shù)

系統(tǒng)配置分析（又可稱為靜態(tài)分析）的技術(shù)目標(biāo)是檢查系統(tǒng)是否已經(jīng)受到入侵活動(dòng)的侵害，或者存在有可能被入侵的危險(xiǎn)。靜態(tài)分析技術(shù)通過檢查系統(tǒng)的當(dāng)前配置情況，例如，系統(tǒng)文件的內(nèi)容以及相關(guān)的數(shù)據(jù)表等，來判斷系統(tǒng)的當(dāng)前安全狀況。之所以稱為“靜態(tài)”分析，是因?yàn)樵摷夹g(shù)只檢查系統(tǒng)的靜態(tài)特性，并不分析系統(tǒng)的活動(dòng)情況。175.8系統(tǒng)配置分析技術(shù)

配置分析技術(shù)的基本原理是基于如下兩個(gè)觀點(diǎn)：（1）一次成功的入侵活動(dòng)可能會(huì)在系統(tǒng)中留下痕跡，這可以通過檢查系統(tǒng)當(dāng)前的狀態(tài)來發(fā)現(xiàn)。（2）系統(tǒng)管理員和用戶經(jīng)常會(huì)錯(cuò)誤地配置系統(tǒng)，從而給攻擊者以入侵的可乘之機(jī)。185.8系統(tǒng)配置分析技術(shù)系統(tǒng)配置分析技術(shù)的一個(gè)最著名的實(shí)現(xiàn)工具是COPS系統(tǒng)。COPS系統(tǒng)所檢查的系統(tǒng)安全范圍包括如下類型：

⑴檢查文件、目錄和設(shè)備的訪問權(quán)限模式。⑵脆弱的口令設(shè)置。⑶檢查口令文件和組用戶文件的安全性、格式和內(nèi)容。⑷檢查在/etc/rc*目錄和cron中指定運(yùn)行的文件和程序。⑸具有rootSUID屬性的文件，檢查它們是否可寫，以及是否腳本程序。195.8系統(tǒng)配置分析技術(shù)系統(tǒng)配置分析技術(shù)的一個(gè)最著名的實(shí)現(xiàn)工具是COPS系統(tǒng)。COPS系統(tǒng)所檢查的系統(tǒng)安全范圍包括如下類型：

⑹對(duì)重要的二進(jìn)制文件和其他文件計(jì)算CRC校驗(yàn)和，檢查是否發(fā)生更改。⑺檢查用戶主目錄下文件是否可寫。⑻是否具有匿名FTP登錄服務(wù)賬戶。⑼是否存在TFTP服務(wù)、Sendmail中別名情況以及在inetd.conf文件中隱藏的啟動(dòng)腳本程序等。

205.8系統(tǒng)配置分析技術(shù)系統(tǒng)配置分析技術(shù)的一個(gè)最著名的實(shí)現(xiàn)工具是COPS系統(tǒng)。COPS系統(tǒng)所檢查的系統(tǒng)安全范圍包括如下類型：

⑽各種類型的根權(quán)限檢查。⑾按照CERT安全報(bào)告的發(fā)布日期，檢查關(guān)鍵文件是否已經(jīng)及時(shí)進(jìn)行了升級(jí)或打上了補(bǔ)丁。

COPS系統(tǒng)負(fù)責(zé)報(bào)告所發(fā)現(xiàn)的安全問題，但是并不試圖修復(fù)安全漏洞，這點(diǎn)與基本的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)理念相符合。215.9檢測(cè)實(shí)例分析

5.9.1入侵行為1及應(yīng)對(duì)措施入侵行為通過發(fā)現(xiàn)信息的一系列操作,黑客執(zhí)行端口掃描,注意到許多機(jī)器的135,139,389和445端口都是開放的.

檢測(cè)創(chuàng)建一個(gè)預(yù)設(shè)定流量的性能警報(bào)信息為網(wǎng)絡(luò)適配器建立一個(gè)任務(wù)欄圖標(biāo)輸入命令netstat–ptcp-n225.9檢測(cè)實(shí)例分析

5.9.2入侵行為2及應(yīng)對(duì)措施入侵行為試探帳號(hào)以圖登錄運(yùn)行Whisker

檢測(cè)設(shè)置和檢查webservice-connectionattempts/sec

設(shè)置和檢查webservice-notfounderrors/sec

設(shè)置和檢查Server-Logon/sec

設(shè)置檢查Server-errorLogon235.9檢測(cè)實(shí)例分析

5.9.3入侵行為3及應(yīng)對(duì)措施入侵行為若黑客發(fā)現(xiàn)網(wǎng)絡(luò)中一臺(tái)計(jì)算機(jī)的系統(tǒng)管理員口令為空,表明該系統(tǒng)剛剛安裝不久.黑客要做的第一件事是上傳木馬程序和運(yùn)行狀況檢測(cè)程序.如nc.exe,lsadump2.exe,tlist.exe等檢測(cè)

打開任務(wù)管理器,會(huì)注意到cmd.exe和nc.exe使用explorer的查找功能,找到最新的生成文件

查看事件日志可以顯示攻擊者的計(jì)算機(jī)名稱輸入命令netstat–a–n可以找到與本地端口處于連接狀態(tài)的IP地址信息245.9檢測(cè)實(shí)例分析

5.9.4入侵行為4及應(yīng)對(duì)措施

入侵行為黑客通過nc的遠(yuǎn)程命令行對(duì)你的內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)進(jìn)行了掃描,發(fā)現(xiàn)了某文件服務(wù)器上的一個(gè)共享目錄PUBLIC,并將此共享目錄進(jìn)行映射.

檢測(cè)在命令行中輸入命令:netview,可以觀察到對(duì)內(nèi)部文件服務(wù)器的驅(qū)動(dòng)器映射情況.255.9檢測(cè)實(shí)例分析

5.9.5小結(jié)

理論上只要堅(jiān)持跟蹤以下信息,幾乎所有基于網(wǎng)絡(luò)的攻擊都能被檢測(cè)出來.

網(wǎng)絡(luò)上的擁擠程度和網(wǎng)絡(luò)連接情況

Web擁擠程度和”pagesnotfound”錯(cuò)誤的發(fā)生次數(shù)成功及失敗的登錄嘗試對(duì)文件系統(tǒng)所進(jìn)行的改變當(dāng)前運(yùn)行的應(yīng)用程序和服務(wù)定時(shí)運(yùn)行的應(yīng)用程序或在啟動(dòng)時(shí)運(yùn)行的應(yīng)用程序265.10免費(fèi)產(chǎn)品OSSEC

5.10.1簡(jiǎn)介

OSSEC屬于基于主機(jī)和應(yīng)用的入侵檢測(cè)系統(tǒng)，通過監(jiān)視企業(yè)重要服務(wù)器和各種應(yīng)用以避免企業(yè)資源被攻擊、濫用和誤用。

OSSEC是一款開源的多平臺(tái)的入侵檢測(cè)系統(tǒng)，可以運(yùn)行于Windows,Linux,OpenBSD/FreeBSD,以及MacOS等操作系統(tǒng)中

主要功能有日志分析、完整性檢查、rootkit檢測(cè)、基于時(shí)間的警報(bào)和主動(dòng)響應(yīng)。

275.10免費(fèi)產(chǎn)品OSSEC

5.10.1簡(jiǎn)介除了具有入侵檢測(cè)系統(tǒng)功能外，它還一般被用在SEM/SIM(安全事件管理(SEM：SecurityEventManagement)/安全信息管理(SIM：SecurityInformationManagement))解決方案中。因其強(qiáng)大的日志分析引擎，ISP(Internetserviceprovider)(網(wǎng)絡(luò)服務(wù)提供商)、大學(xué)和數(shù)據(jù)中心用其監(jiān)控和分析他們的防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)頁(yè)服務(wù)和驗(yàn)證等產(chǎn)生的日志。285.10免費(fèi)產(chǎn)品OSSEC

5.10.2工作原理

(1)administrator是一個(gè)Unix和linux平臺(tái)下的命令行的用戶接口(GUI)，主要起管理維護(hù)作用，對(duì)OSSEC的大部分管理、配置工作都在這里進(jìn)行。

(2)eventview。這是一個(gè)單獨(dú)的Unix、linux平臺(tái)下的圖形化用戶界面，用于查看從Agent中獲取的各種事件數(shù)據(jù)，也就是報(bào)警的窗口。

295.10免費(fèi)產(chǎn)品OSSEC

5.10.2工作原理

(3)manager。是一個(gè)運(yùn)行在后臺(tái)的應(yīng)用軟件，Manager沒有圖形化界面，其主要功能是維護(hù)與所有注冊(cè)代理(Agent)的安全通訊;維護(hù)域的主列表和把相應(yīng)的策略分發(fā)到每一個(gè)代理(Agent);

(4)主要起如下作用：監(jiān)視時(shí)間收集器;在發(fā)現(xiàn)攻擊時(shí)，執(zhí)行相應(yīng)的動(dòng)作如通知用戶、發(fā)送E-mail、通知管理員、終止會(huì)話、關(guān)閉機(jī)器等。

305.10免費(fèi)產(chǎn)品OSSEC

5.10.4技術(shù)特點(diǎn)DROPanddetect技術(shù)監(jiān)視操作系統(tǒng)種類全面Administrator可以運(yùn)行于Linux、BSD、SunSolaris;Manager可以運(yùn)行于Linux、BSD、SunSolaris;Agent可以運(yùn)行于Linux、BSD、SunSolaris、Windows等。防火墻聯(lián)動(dòng)日志管理

315.10免費(fèi)產(chǎn)品OSSEC5.10.5在Solaris服務(wù)器下配置ossec-hids-1.5系統(tǒng)要求：首先必須配置好C編譯器和make工具.硬件方面根據(jù)監(jiān)控主機(jī)的數(shù)量不同有所不同.有三種安裝選項(xiàng):服務(wù)器端安裝(server),代理端(agent)或本地安裝(local).如果選擇'服務(wù)器端安裝(server)',您將可以分析所有日志,發(fā)送e-mail告警及聯(lián)動(dòng)，接收遠(yuǎn)端機(jī)器的syslog日志,接收代理端發(fā)回的日志(代理端發(fā)回的日志是經(jīng)過加密的).

325.10免費(fèi)產(chǎn)品OSSEC5.10.5在Solaris服務(wù)器下配置ossec-hids-1.5如果您選擇'代理端安裝(agent)',您將可以讀取本機(jī)文件(syslog,snort,apache等)并將它們發(fā)送給服務(wù)器端(加密過后)進(jìn)行分析.如果選擇'本地安裝(local)',除了不能接收遠(yuǎn)程機(jī)器或代理端發(fā)回的信息外,你可以作服務(wù)器(server)安裝能做的任何事情。

335.10免費(fèi)產(chǎn)品OSSEC5.10.5在Solaris服務(wù)器下配置ossec-hids-1.5如果您希望安裝一個(gè)日志分析服務(wù)器,請(qǐng)選擇'server'.如果您已經(jīng)有一臺(tái)日志分析服務(wù)器并且希望將本機(jī)的日志傳送給它,請(qǐng)選擇‘a(chǎn)gent’.(這是web服務(wù)器,數(shù)據(jù)庫(kù)服務(wù)器等的理想配置方法)，如果您只有一臺(tái)機(jī)器要監(jiān)控,那么請(qǐng)選擇'local'。

34小結(jié)

基于完整性檢查的入侵檢測(cè)技術(shù)基于智能體入侵檢測(cè)技術(shù)系統(tǒng)配置分析技術(shù)檢測(cè)實(shí)例●——重要知識(shí)點(diǎn)35思考題

基于主機(jī)的數(shù)據(jù)源主要有哪些?

獲取審計(jì)數(shù)據(jù)后,為什么要對(duì)這