第7講：第5章基于主機的入侵檢測技術(shù)

0入侵檢測技術(shù)分析北京信息科技大學劉凱liukai@第7講1入侵檢測技術(shù)分析

第五章基于主機的入侵檢測技術(shù)2課程安排

入侵檢測概述

5學時入侵檢測技術(shù)分類3學時基于主機的入侵檢測技術(shù)

2學時基于網(wǎng)絡(luò)的入侵檢測技術(shù)

3學時混合型的入侵檢測技術(shù)

2學時先進的入侵檢測技術(shù)

3學時分布式入侵檢測架構(gòu)

3學時設(shè)計考慮及響應問題

2學時入侵檢測系統(tǒng)的評估與測試

3學時Snort分析

4學時入侵檢測技術(shù)的發(fā)展趨勢

2學時3教材及參考書《入侵檢測技術(shù)》唐正軍等清華大學出版社

《入侵檢測技術(shù)》曹元大人民郵電出版社

《入侵檢測》羅守山北京郵電大學出版社4第五章基于主機的入侵檢測技術(shù)

審計數(shù)據(jù)的獲取

審計數(shù)據(jù)的預處理基于統(tǒng)計模型的入侵檢測技術(shù)基于專家系統(tǒng)的入侵檢測技術(shù)基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)

基于完整性檢查的入侵檢測技術(shù)基于智能體的入侵檢測技術(shù)系統(tǒng)配置分析技術(shù)檢測實例分析5上一章回顧

審計數(shù)據(jù)的獲取和預處理基于統(tǒng)計模型的入侵檢測技術(shù)基于專家系統(tǒng)的入侵檢測模型基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)65.6基于完整性檢查的入侵檢測技術(shù)

通常入侵者入侵時都會對一些文件進行改動，因此采用對文件系統(tǒng)進行完整性檢驗的入侵檢測方式能夠檢測出對文件內(nèi)容的非法更改，從而可判定入侵，與其他檢測技術(shù)相結(jié)合將增強現(xiàn)有的入侵檢測能力。文件完整性檢驗根據(jù)用戶定制的配置文件對需要校驗的文件系統(tǒng)內(nèi)容進行散列計算，將生成的散列值與文件完整性數(shù)據(jù)庫中存儲的預先計算好的文件內(nèi)容的散列值進行比較。不一致則說明文件被非法更改，并可判定發(fā)生入侵。75.6基于完整性檢查的入侵檢測技術(shù)

5.6.1文件完整性校驗

文件備份主機B上存儲了主機A上的文件系統(tǒng)的備份。主機B上的文件完整性數(shù)據(jù)庫存儲的是需要被檢測的文件的各種inode屬性值和文件內(nèi)容的散列值。檢測時主機A首先與文件備份主機B認證，然后對A上的配置文件和預先生成的文件完整性數(shù)據(jù)庫的內(nèi)容分別進行散列計算，將生成的散列值傳輸給B進行校驗。如果該散列值與B上存儲的值不一致，則B將存儲的配置文件和文件完整性數(shù)據(jù)庫的備份加密傳輸給A，進行文件恢復，然后再進行完整性校驗。85.6基于完整性檢查的入侵檢測技術(shù)

5.6.2散列算法和計算速度常用的散列算法有MD5，CRC16，CRC32，Snefru，MD4，MD2，SHA和Haval等。散列算法通常實現(xiàn)了將任意長度的消息m壓縮成一固定長度的散列值h，通過對散列值的校驗能檢測到對消息m的篡改、抵賴或偽造。它有下列特性。（1）易用性：對任意長度的m，計算h=H（m）很容易。（2）單向性：給定h，計算m，使得m=F（h）很困難。（3）無碰撞性：給定m，要找到另一個消息m’，滿足H（m’）=H（m）很困難，這就保證了對原文有改動，但很難使文件內(nèi)容的散列值保持不變。95.6基于完整性檢查的入侵檢測技術(shù)

5.6.3基于文件完整性檢驗的檢測技術(shù)的檢測能力

只有對文件進行非法修改后,該方法才能發(fā)揮作用.

通常無法用當前日志文件內(nèi)容的散列值來判定是否被非法更改.

對于利用網(wǎng)絡(luò)協(xié)議的脆弱性對網(wǎng)絡(luò)服務質(zhì)量的攻擊,該方法無能為力.

該技術(shù)不具備對入侵檢測行為的實時性由于大部分入侵系統(tǒng)都會對文件系統(tǒng)進行非法修改,它的作用不容忽視.

105.6基于完整性檢查的入侵檢測技術(shù)

5.6.4基于文件完整性檢驗的檢測技術(shù)的工具

G.Kim設(shè)計開發(fā)了TripWire的系統(tǒng)原型，并發(fā)展成為文件完整性檢查領(lǐng)域內(nèi)最著名的工具軟件.115.6基于完整性檢查的入侵檢測技術(shù)

5.6.4基于文件完整性檢驗的檢測技術(shù)的工具

Tripwire的組成：Tripwire主要由策略和數(shù)據(jù)庫組成。策略不僅指出Tripwire應檢測的對象即文件和目錄，而且還規(guī)定了用于鑒定違規(guī)行為的規(guī)則。數(shù)據(jù)庫則用來存放策略中規(guī)定的檢測對象的快照。除了策略和數(shù)據(jù)庫外，Tripwire還有一個配置文件，用以控制數(shù)據(jù)庫、策略文件和Tripwire可執(zhí)行程序的位置等。

為了防止被篡改，Tripwire對其自身的一些重要文件進行了加密和簽名處理。這里涉及到兩個密鑰：site密鑰和local密鑰。125.7基于智能體的入侵檢測技術(shù)5.7.1智能體的定義和特點

智能體又稱智能代理，是人工智能研究的新成果，它是在用戶沒有明確具體要求的情況下，根據(jù)用戶需要，能自動執(zhí)行用戶委托的任務的計算實體。像郵件過濾智能體、信息獲取智能體、桌面自動智能體等，將使Web站點、應用程序更加智能化和實用化。從技術(shù)的角度看，智能體是由各種技術(shù)支撐著的、許多實用的應用特性的集合，開發(fā)者正是使用這些應用特性來擴展應用的功能和價值，從而達到應用能自動執(zhí)行用戶委托的任務的目的。135.7基于智能體的入侵檢測技術(shù)5.7.2智能體的定義和特點（1）智能性（2）代理性（3）移動性（4）主動性（5）協(xié)作性145.7基于智能體的入侵檢測技術(shù)

5.7.3基于智能體的入侵檢測技術(shù)采用智能體采集和分析數(shù)據(jù)有以下主要特點。（1）因為智能體是獨立的運行實體，因此，不需改變其他的組件，即可向系統(tǒng)中增加或從系統(tǒng)中移走智能體。（2）如果一個智能體由于某種原因（如下線維護）而停止了工作，損失只局限在有限的范圍內(nèi)，不會造成整個系統(tǒng)的癱瘓，這就保證了系統(tǒng)的連續(xù)運行。（3）如果將智能體以分級結(jié)構(gòu)的形式組織起來，可以使得系統(tǒng)的可伸縮性更好。（4）系統(tǒng)開銷小、智能體的編程可以很靈活。（5）自主智能體采集數(shù)據(jù)的方法很靈活.155.7基于智能體的入侵檢測技術(shù)

5.7.3基于智能體的入侵檢測系統(tǒng)的典型結(jié)構(gòu)

165.8系統(tǒng)配置分析技術(shù)

系統(tǒng)配置分析（又可稱為靜態(tài)分析）的技術(shù)目標是檢查系統(tǒng)是否已經(jīng)受到入侵活動的侵害，或者存在有可能被入侵的危險。靜態(tài)分析技術(shù)通過檢查系統(tǒng)的當前配置情況，例如，系統(tǒng)文件的內(nèi)容以及相關(guān)的數(shù)據(jù)表等，來判斷系統(tǒng)的當前安全狀況。之所以稱為“靜態(tài)”分析，是因為該技術(shù)只檢查系統(tǒng)的靜態(tài)特性，并不分析系統(tǒng)的活動情況。175.8系統(tǒng)配置分析技術(shù)

配置分析技術(shù)的基本原理是基于如下兩個觀點：（1）一次成功的入侵活動可能會在系統(tǒng)中留下痕跡，這可以通過檢查系統(tǒng)當前的狀態(tài)來發(fā)現(xiàn)。（2）系統(tǒng)管理員和用戶經(jīng)常會錯誤地配置系統(tǒng)，從而給攻擊者以入侵的可乘之機。185.8系統(tǒng)配置分析技術(shù)系統(tǒng)配置分析技術(shù)的一個最著名的實現(xiàn)工具是COPS系統(tǒng)。COPS系統(tǒng)所檢查的系統(tǒng)安全范圍包括如下類型：

⑴檢查文件、目錄和設(shè)備的訪問權(quán)限模式。⑵脆弱的口令設(shè)置。⑶檢查口令文件和組用戶文件的安全性、格式和內(nèi)容。⑷檢查在/etc/rc*目錄和cron中指定運行的文件和程序。⑸具有rootSUID屬性的文件，檢查它們是否可寫，以及是否腳本程序。195.8系統(tǒng)配置分析技術(shù)系統(tǒng)配置分析技術(shù)的一個最著名的實現(xiàn)工具是COPS系統(tǒng)。COPS系統(tǒng)所檢查的系統(tǒng)安全范圍包括如下類型：

⑹對重要的二進制文件和其他文件計算CRC校驗和，檢查是否發(fā)生更改。⑺檢查用戶主目錄下文件是否可寫。⑻是否具有匿名FTP登錄服務賬戶。⑼是否存在TFTP服務、Sendmail中別名情況以及在inetd.conf文件中隱藏的啟動腳本程序等。

205.8系統(tǒng)配置分析技術(shù)系統(tǒng)配置分析技術(shù)的一個最著名的實現(xiàn)工具是COPS系統(tǒng)。COPS系統(tǒng)所檢查的系統(tǒng)安全范圍包括如下類型：

⑽各種類型的根權(quán)限檢查。⑾按照CERT安全報告的發(fā)布日期，檢查關(guān)鍵文件是否已經(jīng)及時進行了升級或打上了補丁。

COPS系統(tǒng)負責報告所發(fā)現(xiàn)的安全問題，但是并不試圖修復安全漏洞，這點與基本的入侵檢測系統(tǒng)的設(shè)計理念相符合。215.9檢測實例分析

5.9.1入侵行為1及應對措施入侵行為通過發(fā)現(xiàn)信息的一系列操作,黑客執(zhí)行端口掃描,注意到許多機器的135,139,389和445端口都是開放的.

檢測創(chuàng)建一個預設(shè)定流量的性能警報信息為網(wǎng)絡(luò)適配器建立一個任務欄圖標輸入命令netstat–ptcp-n225.9檢測實例分析

5.9.2入侵行為2及應對措施入侵行為試探帳號以圖登錄運行Whisker

檢測設(shè)置和檢查webservice-connectionattempts/sec

設(shè)置和檢查webservice-notfounderrors/sec

設(shè)置和檢查Server-Logon/sec

設(shè)置檢查Server-errorLogon235.9檢測實例分析

5.9.3入侵行為3及應對措施入侵行為若黑客發(fā)現(xiàn)網(wǎng)絡(luò)中一臺計算機的系統(tǒng)管理員口令為空,表明該系統(tǒng)剛剛安裝不久.黑客要做的第一件事是上傳木馬程序和運行狀況檢測程序.如nc.exe,lsadump2.exe,tlist.exe等檢測

打開任務管理器,會注意到cmd.exe和nc.exe使用explorer的查找功能,找到最新的生成文件

查看事件日志可以顯示攻擊者的計算機名稱輸入命令netstat–a–n可以找到與本地端口處于連接狀態(tài)的IP地址信息245.9檢測實例分析

5.9.4入侵行為4及應對措施

入侵行為黑客通過nc的遠程命令行對你的內(nèi)部網(wǎng)絡(luò)計算機進行了掃描,發(fā)現(xiàn)了某文件服務器上的一個共享目錄PUBLIC,并將此共享目錄進行映射.

檢測在命令行中輸入命令:netview,可以觀察到對內(nèi)部文件服務器的驅(qū)動器映射情況.255.9檢測實例分析

5.9.5小結(jié)

理論上只要堅持跟蹤以下信息,幾乎所有基于網(wǎng)絡(luò)的攻擊都能被檢測出來.

網(wǎng)絡(luò)上的擁擠程度和網(wǎng)絡(luò)連接情況

Web擁擠程度和”pagesnotfound”錯誤的發(fā)生次數(shù)成功及失敗的登錄嘗試對文件系統(tǒng)所進行的改變當前運行的應用程序和服務定時運行的應用程序或在啟動時運行的應用程序265.10免費產(chǎn)品OSSEC

5.10.1簡介

OSSEC屬于基于主機和應用的入侵檢測系統(tǒng)，通過監(jiān)視企業(yè)重要服務器和各種應用以避免企業(yè)資源被攻擊、濫用和誤用。

OSSEC是一款開源的多平臺的入侵檢測系統(tǒng)，可以運行于Windows,Linux,OpenBSD/FreeBSD,以及MacOS等操作系統(tǒng)中

主要功能有日志分析、完整性檢查、rootkit檢測、基于時間的警報和主動響應。

275.10免費產(chǎn)品OSSEC

5.10.1簡介除了具有入侵檢測系統(tǒng)功能外，它還一般被用在SEM/SIM(安全事件管理(SEM：SecurityEventManagement)/安全信息管理(SIM：SecurityInformationManagement))解決方案中。因其強大的日志分析引擎，ISP(Internetserviceprovider)(網(wǎng)絡(luò)服務提供商)、大學和數(shù)據(jù)中心用其監(jiān)控和分析他們的防火墻、入侵檢測系統(tǒng)、網(wǎng)頁服務和驗證等產(chǎn)生的日志。285.10免費產(chǎn)品OSSEC

5.10.2工作原理

(1)administrator是一個Unix和linux平臺下的命令行的用戶接口(GUI)，主要起管理維護作用，對OSSEC的大部分管理、配置工作都在這里進行。

(2)eventview。這是一個單獨的Unix、linux平臺下的圖形化用戶界面，用于查看從Agent中獲取的各種事件數(shù)據(jù)，也就是報警的窗口。

295.10免費產(chǎn)品OSSEC

5.10.2工作原理

(3)manager。是一個運行在后臺的應用軟件，Manager沒有圖形化界面，其主要功能是維護與所有注冊代理(Agent)的安全通訊;維護域的主列表和把相應的策略分發(fā)到每一個代理(Agent);

(4)主要起如下作用：監(jiān)視時間收集器;在發(fā)現(xiàn)攻擊時，執(zhí)行相應的動作如通知用戶、發(fā)送E-mail、通知管理員、終止會話、關(guān)閉機器等。

305.10免費產(chǎn)品OSSEC

5.10.4技術(shù)特點DROPanddetect技術(shù)監(jiān)視操作系統(tǒng)種類全面Administrator可以運行于Linux、BSD、SunSolaris;Manager可以運行于Linux、BSD、SunSolaris;Agent可以運行于Linux、BSD、SunSolaris、Windows等。防火墻聯(lián)動日志管理

315.10免費產(chǎn)品OSSEC5.10.5在Solaris服務器下配置ossec-hids-1.5系統(tǒng)要求：首先必須配置好C編譯器和make工具.硬件方面根據(jù)監(jiān)控主機的數(shù)量不同有所不同.有三種安裝選項:服務器端安裝(server),代理端(agent)或本地安裝(local).如果選擇'服務器端安裝(server)',您將可以分析所有日志,發(fā)送e-mail告警及聯(lián)動，接收遠端機器的syslog日志,接收代理端發(fā)回的日志(代理端發(fā)回的日志是經(jīng)過加密的).

325.10免費產(chǎn)品OSSEC5.10.5在Solaris服務器下配置ossec-hids-1.5如果您選擇'代理端安裝(agent)',您將可以讀取本機文件(syslog,snort,apache等)并將它們發(fā)送給服務器端(加密過后)進行分析.如果選擇'本地安裝(local)',除了不能接收遠程機器或代理端發(fā)回的信息外,你可以作服務器(server)安裝能做的任何事情。

335.10免費產(chǎn)品OSSEC5.10.5在Solaris服務器下配置ossec-hids-1.5如果您希望安裝一個日志分析服務器,請選擇'server'.如果您已經(jīng)有一臺日志分析服務器并且希望將本機的日志傳送給它,請選擇‘a(chǎn)gent’.(這是web服務器,數(shù)據(jù)庫服務器等的理想配置方法)，如果您只有一臺機器要監(jiān)控,那么請選擇'local'。

34小結(jié)

基于完整性檢查的入侵檢測技術(shù)基于智能體入侵檢測技術(shù)系統(tǒng)配置分析技術(shù)檢測實例●——重要知識點35思考題

基于主機的數(shù)據(jù)源主要有哪些?

獲取審計數(shù)據(jù)后,為什么要對這