5第五章 基于主機的入侵檢測技術(shù)

基于主機的入侵檢測技術(shù)1第5章

基于主機的入侵檢測技術(shù)基于主機的入侵檢測技術(shù)2第5章基于主機的入侵檢測技術(shù)基于主機的入侵檢測技術(shù):審計數(shù)據(jù)的獲取審計數(shù)據(jù)的預處理基于統(tǒng)計模型的入侵檢測技術(shù)基于專家系統(tǒng)的入侵檢測技術(shù)基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)基于完整性檢查的入侵檢測技術(shù)基于智能體的入侵檢測技術(shù)系統(tǒng)配置分析技術(shù)基于主機的入侵檢測技術(shù)3審計數(shù)據(jù)的獲取數(shù)據(jù)獲取劃分為直接監(jiān)測和間接監(jiān)測兩種方法。（1）直接監(jiān)測——直接監(jiān)測從數(shù)據(jù)產(chǎn)生或從屬的對象直接獲得數(shù)據(jù)。例如，為了直接監(jiān)測主機CPU的負荷，必須直接從主機相應內(nèi)核的結(jié)構(gòu)獲得數(shù)據(jù)。要監(jiān)測inetd進程提供的網(wǎng)絡訪問服務，必須直接從inetd進程獲得關(guān)于那些訪問的數(shù)據(jù)；（2）間接監(jiān)測——從反映被監(jiān)測對象行為的某個源獲得數(shù)據(jù)。間接監(jiān)測主機CPU的負荷可以通過讀取一個記錄CPU負荷的日志文件獲得。間接監(jiān)測訪問網(wǎng)絡服務可以通過讀取inetd進程產(chǎn)生的日志文件或輔助程序獲得。間接監(jiān)測還可以通過查看發(fā)往主機的特定端口的網(wǎng)絡數(shù)據(jù)包?；谥鳈C的入侵檢測技術(shù)4審計數(shù)據(jù)的獲取入侵檢測時，直接監(jiān)測要好于間接監(jiān)測，原因如下：（1）間接數(shù)據(jù)源（如審計跟蹤）的數(shù)據(jù)可能在IDS使用這些數(shù)據(jù)之前被篡改。（2）一些事件可能沒有被間接數(shù)據(jù)源記錄。（3）使用間接監(jiān)測，數(shù)據(jù)是通過某些機制產(chǎn)生的，這些機制并不知道哪些數(shù)據(jù)是IDS真正需要的。（4）間接數(shù)據(jù)源通常在數(shù)據(jù)產(chǎn)生時刻和IDS能夠訪問這些數(shù)據(jù)的時刻之間引入時延。而直接監(jiān)測時延更短，確保IDS能更及時地做出反應?；谥鳈C的入侵檢測技術(shù)5審計數(shù)據(jù)的獲取系統(tǒng)日志與審計信息：

Acct或pacct：記錄每個用戶使用的命令記錄。

Aculog：保存著用戶撥出去的Modems記錄。

Loginlog：記錄一些不正常的Login記錄。

Wtmp：記錄當前登錄到系統(tǒng)中的所有用戶，這個文件伴隨著用戶進入和離開系統(tǒng)而不斷變化。

Syslog：重要的日志文件，使用syslogd守護程序來獲得日志信息。

Uucp：記錄的UUCP的信息，可以被本地UUCP活動更新，也可由遠程站點發(fā)起的動作修改?；谥鳈C的入侵檢測技術(shù)6審計數(shù)據(jù)的獲取系統(tǒng)日志與審計信息：

Access_log：主要使用于運行了NCSAHTTPD的服務器，這記錄文件記錄有什么站點連接過該服務器。

Lastlog：記錄了用戶最近的Login記錄和每個用戶的最初目的地，有時是最后不成功的Login的記錄。

Messages：記錄輸出到系統(tǒng)控制臺的記錄，另外的信息由syslog來生成。

Sulog：記錄使用su命令的記錄。

Utmp：記錄用戶登錄和退出事件?；谥鳈C的入侵檢測技術(shù)7審計數(shù)據(jù)的獲取系統(tǒng)日志與審計信息：

ftp日志：執(zhí)行帶-l選項的ftpd能夠獲得記錄功能。

httpd日志：HTTPD服務器在日志中記錄每一個Web訪問記錄。

history日志：這個文件保存了用戶最近輸入命令的記錄。

secure：記錄一些使用遠程登錄及本地登錄的事件。基于主機的入侵檢測技術(shù)8審計數(shù)據(jù)的獲取數(shù)據(jù)獲取系統(tǒng)的結(jié)構(gòu)圖基于主機的入侵檢測技術(shù)9審計數(shù)據(jù)的預處理網(wǎng)絡入侵檢測系統(tǒng)分析數(shù)據(jù)的來源與數(shù)據(jù)結(jié)構(gòu)的異構(gòu)性，實際系統(tǒng)所提供數(shù)據(jù)的不完全相關(guān)性、冗余性、概念上的模糊性以及海量審計數(shù)據(jù)中可能存在大量的無意義信息等問題，使得系統(tǒng)提供的原始信息很難直接被檢測系統(tǒng)使用，而且還可能造成檢測結(jié)果的偏差，降低系統(tǒng)的檢測性能。在被檢測模塊使用之前，如何對不理想的原始數(shù)據(jù)進行有效的歸納、進行格式統(tǒng)一、轉(zhuǎn)換和處理，是網(wǎng)絡入侵檢測系統(tǒng)需要研究的關(guān)鍵問題之一?；谥鳈C的入侵檢測技術(shù)10審計數(shù)據(jù)的預處理通常數(shù)據(jù)預處理應該包括以下功能。

數(shù)據(jù)集成。

數(shù)據(jù)清理。

數(shù)據(jù)變換。

數(shù)據(jù)簡化。

數(shù)據(jù)融合?；谥鳈C的入侵檢測技術(shù)11審計數(shù)據(jù)的預處理基于主機的入侵檢測技術(shù)12審計數(shù)據(jù)的預處理預處理方法

基于粗糙集理論的約簡法

基于粗糙集理論的屬性離散化

屬性的約簡基于主機的入侵檢測技術(shù)13基于統(tǒng)計模型的入侵檢測技術(shù)異常檢測模型異常檢測模型是基于正常行為的統(tǒng)計，根據(jù)在過去一段時間內(nèi)正常行為的觀測，得到當前活動觀測值的“可信區(qū)間”。異常檢測模型可以通過不斷學習使模型趨于精確、完善，相比于特權(quán)濫用檢測模型，能在一定程度上識別未知類型的攻擊及資源的非授權(quán)訪問?；谥鳈C的入侵檢測技術(shù)14基于統(tǒng)計模型的入侵檢測技術(shù)在檢測系統(tǒng)中，從警報數(shù)據(jù)可獲取的并能衡量異常發(fā)生的原始特征數(shù)據(jù)如下。

客戶網(wǎng)絡發(fā)生的攻擊數(shù)目總量。

客戶網(wǎng)絡發(fā)起攻擊和受攻擊主機數(shù)目。

邊緣網(wǎng)絡（Internet）的發(fā)起攻擊和受攻擊主機和網(wǎng)絡數(shù)目。

用戶主機和網(wǎng)絡被攻擊的分布概率?；谥鳈C的入侵檢測技術(shù)15基于統(tǒng)計模型的入侵檢測技術(shù)基于上述分析，異常分析的特征值如下。

攻擊強度特征值：基于攻擊數(shù)目總量統(tǒng)計值的特征值。

攻擊實體量特征值：基于發(fā)起攻擊和被攻擊的主機數(shù)目總量的統(tǒng)計值的特征值。

攻擊分布特征值：基于攻擊數(shù)目最大值的特征值?；谥鳈C的入侵檢測技術(shù)16基于統(tǒng)計模型的入侵檢測技術(shù)根據(jù)這些特征值，異常判斷方法概括如下。

當攻擊實體量在正常區(qū)間內(nèi)，即檢測環(huán)境中沒有明顯的變化，采用攻擊強度判斷當前狀態(tài)是否異常。

當攻擊強度在正常區(qū)間內(nèi)，即攻擊強度表示沒有明顯變化，采用攻擊實體量判斷當前狀態(tài)是否異常。

當攻擊強度和攻擊實體量都不在正常區(qū)間，即表示兩者都發(fā)生明顯變化，采用比較兩者的變化幅度的方法判斷異常。

對上述方法判斷為正常的數(shù)據(jù)，采用離線計算攻擊分布概率判斷異常?；谥鳈C的入侵檢測技術(shù)17基于專家系統(tǒng)的入侵檢測技術(shù)基于規(guī)則的專家系統(tǒng)的工作過程基于主機的入侵檢測技術(shù)18基于專家系統(tǒng)的入侵檢測技術(shù)采用基于規(guī)則的方法，主要具備以下幾個優(yōu)點。

模塊化特征。規(guī)則使得知識容易封裝并不斷擴充。

解釋機制。通過規(guī)則容易建立解釋機，這是因為一個規(guī)則的前件指明了激活這個規(guī)則的條件。通過追蹤已觸發(fā)的規(guī)則，解釋機可以得到推出某個結(jié)論的推理鏈。

類似人類認知過程。規(guī)則似乎是模擬人類怎樣解決問題的一個自然方法。規(guī)則的簡單表示方法“if…then”使得容易解釋知識的結(jié)構(gòu)?；谥鳈C的入侵檢測技術(shù)19基于專家系統(tǒng)的入侵檢測技術(shù)基于規(guī)則的專家系統(tǒng)總體功能模塊基于主機的入侵檢測技術(shù)20基于專家系統(tǒng)的入侵檢測技術(shù)專家系統(tǒng)可有針對性地建立高效的入侵檢測系統(tǒng)，檢測準確度高。但在具體實現(xiàn)中，專家系統(tǒng)主要面臨如下問題。

專家知識獲取問題，即由于專家系統(tǒng)的檢測規(guī)則由安全專家用專家知識構(gòu)造，因此難以科學地從各種入侵手段中抽象出全面的規(guī)則化知識。

規(guī)則動態(tài)更新問題，用戶行為模式的動態(tài)性要求入侵檢測系統(tǒng)具有自學習、自適應的功能?；谥鳈C的入侵檢測技術(shù)21基于專家系統(tǒng)的入侵檢測技術(shù)自適應入侵檢測專家系統(tǒng)模型結(jié)構(gòu)圖基于主機的入侵檢測技術(shù)22基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)當前的基于特征的檢測方法過渡依賴審計數(shù)據(jù)，而對IP欺騙攻擊而言依賴審計數(shù)據(jù)的規(guī)則很難定義，狀態(tài)分析法的基本思想是將攻擊看成一個連續(xù)的、分步驟的并且各個步驟之間有一定關(guān)聯(lián)的過程。

在網(wǎng)絡中發(fā)生入侵時及時阻斷入侵行為。

防范可能還會進一步發(fā)生的類似攻擊行為。基于主機的入侵檢測技術(shù)23基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)入侵檢測系統(tǒng)STAT通過分析系統(tǒng)的各種狀態(tài)，及狀態(tài)轉(zhuǎn)移過程中的各種特征操作制訂各種基于狀態(tài)轉(zhuǎn)移的入侵規(guī)則，完成系統(tǒng)的入侵檢測。在狀態(tài)轉(zhuǎn)移分析方法中，一個滲透過程可以看作是由攻擊者做出的一系列的行為而導致系統(tǒng)從某個初始狀態(tài)轉(zhuǎn)變?yōu)樽罱K某種被危害了的狀態(tài)。在這個狀態(tài)轉(zhuǎn)變過程，對應著系統(tǒng)的一連串行為，那些關(guān)鍵的行為就稱為特征行為?；谥鳈C的入侵檢測技術(shù)24基于完整性檢查的入侵檢測技術(shù)通常入侵者入侵時都會對一些文件進行改動，因此采用對文件系統(tǒng)進行完整性檢驗的入侵檢測方式能夠檢測出對文件內(nèi)容的非法更改，從而可判定入侵，與其他檢測技術(shù)相結(jié)合將增強現(xiàn)有的入侵檢測能力。文件完整性檢驗根據(jù)用戶定制的配置文件對需要校驗的文件系統(tǒng)內(nèi)容進行散列計算，將生成的散列值與文件完整性數(shù)據(jù)庫中存儲的預先計算好的文件內(nèi)容的散列值進行比較。不一致則說明文件被非法更改，并可判定發(fā)生入侵?；谥鳈C的入侵檢測技術(shù)25基于完整性檢查的入侵檢測技術(shù)文件完整性校驗文件備份主機B上存儲了主機A上的文件系統(tǒng)的備份。主機A上的文件完整性數(shù)據(jù)庫存儲的是需要被檢測的文件的各種inode屬性值和文件內(nèi)容的散列值。檢測時主機A首先與文件備份主機B認證，然后對A上的配置文件和預先生成的文件完整性數(shù)據(jù)庫的內(nèi)容分別進行散列計算，將生成的散列值傳輸給B進行校驗。如果該散列值與B上存儲的值不一致，則B將存儲的配置文件和文件完整性數(shù)據(jù)庫的備份加密傳輸給A，進行文件恢復，然后再進行完整性校驗?；谥鳈C的入侵檢測技術(shù)26基于完整性檢查的入侵檢測技術(shù)散列算法常用的散列算法有MD5，CRC16，CRC32，Snefru（斯內(nèi)夫魯），MD4，MD2，SHA和Haval（哈弗）等。散列算法通常實現(xiàn)了將任意長度的消息m壓縮成一固定長度的散列值h，通過對散列值的校驗能檢測到對消息m的篡改、抵賴或偽造。它有下列特性。（1）易用性：對任意長度的m，計算h=H（m）很容易。（2）單向性：給定h，計算m，使得m=F（h）很困難。（3）無碰撞性：給定m，要找到另一個消息m’，滿足H（m’）=H（m）很困難，這就保證了對原文有改動，但很難使文件內(nèi)容的散列值保持不變?；谥鳈C的入侵檢測技術(shù)27基于智能體的入侵檢測技術(shù)智能體的定義智能體又稱智能代理，是人工智能研究的新成果，它是在用戶沒有明確具體要求的情況下，根據(jù)用戶需要，能自動執(zhí)行用戶委托的任務的計算實體。像郵件過濾智能體、信息獲取智能體、桌面自動智能體等，將使Web站點、應用程序更加智能化和實用化。從技術(shù)的角度看，智能體是由各種技術(shù)支撐著的、許多實用的應用特性的集合，開發(fā)者正是使用這些應用特性來擴展應用的功能和價值，從而達到應用能自動執(zhí)行用戶委托的任務的目的?；谥鳈C的入侵檢測技術(shù)28基于智能體的入侵檢測技術(shù)智能體的特點（1）智能性（2）代理性（3）移動性（4）主動性（5）協(xié)作性基于主機的入侵檢測技術(shù)29基于智能體的入侵檢測技術(shù)在入侵檢測中，采用智能體采集和分析數(shù)據(jù)有以下主要特點。（1）因為智能體是獨立的運行實體，因此，不需改變其他的組件，即可向系統(tǒng)中增加或從系統(tǒng)中移走智能體。（2）如果一個智能體由于某種原因（如下線維護）而停止了工作，損失只局限在有限的范圍內(nèi)，不會造成整個系統(tǒng)的癱瘓，這就保證了系統(tǒng)的連續(xù)運行。（3）如果將智能體以分級結(jié)構(gòu)的形式組織起來，可以使得系統(tǒng)的可伸縮性更好。（4）系統(tǒng)開銷小、智能體的編程可以很靈活。（5）自主智能體采集數(shù)據(jù)的方法很靈活，基于主機的入侵檢測技術(shù)30系統(tǒng)配置分析技術(shù)系統(tǒng)配置分析（又可稱為靜態(tài)分析）的技術(shù)目標是檢查系統(tǒng)是否已經(jīng)受到入侵活動的侵害，或者存在有可能被入侵的危險。靜態(tài)分析技術(shù)通過檢查系統(tǒng)的當前配置情況，例如，系統(tǒng)文件的內(nèi)容以及相關(guān)的數(shù)據(jù)表等，來判斷系統(tǒng)的當前安全狀況。之所以稱為“靜態(tài)”分析，是因為該技術(shù)只檢查系統(tǒng)的靜態(tài)特性，并不分析系統(tǒng)的活動情況?；谥鳈C的入侵檢測技術(shù)31系統(tǒng)配置分析技術(shù)配置分析技術(shù)的基本原理是基于如下兩個觀點：（1）一次成功的入侵活動可能會在系統(tǒng)中留下痕跡，這可以通過檢查系統(tǒng)當前的狀態(tài)來發(fā)現(xiàn)。（2）系統(tǒng)管理員和用戶經(jīng)常會錯誤地配置系統(tǒng)，從而給攻擊者以入侵的可乘之機。系