5第五章 基于主機(jī)的入侵檢測技術(shù)

基于主機(jī)的入侵檢測技術(shù)1第5章

基于主機(jī)的入侵檢測技術(shù)基于主機(jī)的入侵檢測技術(shù)2第5章基于主機(jī)的入侵檢測技術(shù)基于主機(jī)的入侵檢測技術(shù):審計(jì)數(shù)據(jù)的獲取審計(jì)數(shù)據(jù)的預(yù)處理基于統(tǒng)計(jì)模型的入侵檢測技術(shù)基于專家系統(tǒng)的入侵檢測技術(shù)基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)基于完整性檢查的入侵檢測技術(shù)基于智能體的入侵檢測技術(shù)系統(tǒng)配置分析技術(shù)基于主機(jī)的入侵檢測技術(shù)3審計(jì)數(shù)據(jù)的獲取數(shù)據(jù)獲取劃分為直接監(jiān)測和間接監(jiān)測兩種方法。（1）直接監(jiān)測——直接監(jiān)測從數(shù)據(jù)產(chǎn)生或從屬的對(duì)象直接獲得數(shù)據(jù)。例如，為了直接監(jiān)測主機(jī)CPU的負(fù)荷，必須直接從主機(jī)相應(yīng)內(nèi)核的結(jié)構(gòu)獲得數(shù)據(jù)。要監(jiān)測inetd進(jìn)程提供的網(wǎng)絡(luò)訪問服務(wù)，必須直接從inetd進(jìn)程獲得關(guān)于那些訪問的數(shù)據(jù)；（2）間接監(jiān)測——從反映被監(jiān)測對(duì)象行為的某個(gè)源獲得數(shù)據(jù)。間接監(jiān)測主機(jī)CPU的負(fù)荷可以通過讀取一個(gè)記錄CPU負(fù)荷的日志文件獲得。間接監(jiān)測訪問網(wǎng)絡(luò)服務(wù)可以通過讀取inetd進(jìn)程產(chǎn)生的日志文件或輔助程序獲得。間接監(jiān)測還可以通過查看發(fā)往主機(jī)的特定端口的網(wǎng)絡(luò)數(shù)據(jù)包?；谥鳈C(jī)的入侵檢測技術(shù)4審計(jì)數(shù)據(jù)的獲取入侵檢測時(shí)，直接監(jiān)測要好于間接監(jiān)測，原因如下：（1）間接數(shù)據(jù)源（如審計(jì)跟蹤）的數(shù)據(jù)可能在IDS使用這些數(shù)據(jù)之前被篡改。（2）一些事件可能沒有被間接數(shù)據(jù)源記錄。（3）使用間接監(jiān)測，數(shù)據(jù)是通過某些機(jī)制產(chǎn)生的，這些機(jī)制并不知道哪些數(shù)據(jù)是IDS真正需要的。（4）間接數(shù)據(jù)源通常在數(shù)據(jù)產(chǎn)生時(shí)刻和IDS能夠訪問這些數(shù)據(jù)的時(shí)刻之間引入時(shí)延。而直接監(jiān)測時(shí)延更短，確保IDS能更及時(shí)地做出反應(yīng)?；谥鳈C(jī)的入侵檢測技術(shù)5審計(jì)數(shù)據(jù)的獲取系統(tǒng)日志與審計(jì)信息：

Acct或pacct：記錄每個(gè)用戶使用的命令記錄。

Aculog：保存著用戶撥出去的Modems記錄。

Loginlog：記錄一些不正常的Login記錄。

Wtmp：記錄當(dāng)前登錄到系統(tǒng)中的所有用戶，這個(gè)文件伴隨著用戶進(jìn)入和離開系統(tǒng)而不斷變化。

Syslog：重要的日志文件，使用syslogd守護(hù)程序來獲得日志信息。

Uucp：記錄的UUCP的信息，可以被本地UUCP活動(dòng)更新，也可由遠(yuǎn)程站點(diǎn)發(fā)起的動(dòng)作修改。基于主機(jī)的入侵檢測技術(shù)6審計(jì)數(shù)據(jù)的獲取系統(tǒng)日志與審計(jì)信息：

Access_log：主要使用于運(yùn)行了NCSAHTTPD的服務(wù)器，這記錄文件記錄有什么站點(diǎn)連接過該服務(wù)器。

Lastlog：記錄了用戶最近的Login記錄和每個(gè)用戶的最初目的地，有時(shí)是最后不成功的Login的記錄。

Messages：記錄輸出到系統(tǒng)控制臺(tái)的記錄，另外的信息由syslog來生成。

Sulog：記錄使用su命令的記錄。

Utmp：記錄用戶登錄和退出事件?；谥鳈C(jī)的入侵檢測技術(shù)7審計(jì)數(shù)據(jù)的獲取系統(tǒng)日志與審計(jì)信息：

ftp日志：執(zhí)行帶-l選項(xiàng)的ftpd能夠獲得記錄功能。

httpd日志：HTTPD服務(wù)器在日志中記錄每一個(gè)Web訪問記錄。

history日志：這個(gè)文件保存了用戶最近輸入命令的記錄。

secure：記錄一些使用遠(yuǎn)程登錄及本地登錄的事件?；谥鳈C(jī)的入侵檢測技術(shù)8審計(jì)數(shù)據(jù)的獲取數(shù)據(jù)獲取系統(tǒng)的結(jié)構(gòu)圖基于主機(jī)的入侵檢測技術(shù)9審計(jì)數(shù)據(jù)的預(yù)處理網(wǎng)絡(luò)入侵檢測系統(tǒng)分析數(shù)據(jù)的來源與數(shù)據(jù)結(jié)構(gòu)的異構(gòu)性，實(shí)際系統(tǒng)所提供數(shù)據(jù)的不完全相關(guān)性、冗余性、概念上的模糊性以及海量審計(jì)數(shù)據(jù)中可能存在大量的無意義信息等問題，使得系統(tǒng)提供的原始信息很難直接被檢測系統(tǒng)使用，而且還可能造成檢測結(jié)果的偏差，降低系統(tǒng)的檢測性能。在被檢測模塊使用之前，如何對(duì)不理想的原始數(shù)據(jù)進(jìn)行有效的歸納、進(jìn)行格式統(tǒng)一、轉(zhuǎn)換和處理，是網(wǎng)絡(luò)入侵檢測系統(tǒng)需要研究的關(guān)鍵問題之一?；谥鳈C(jī)的入侵檢測技術(shù)10審計(jì)數(shù)據(jù)的預(yù)處理通常數(shù)據(jù)預(yù)處理應(yīng)該包括以下功能。

數(shù)據(jù)集成。

數(shù)據(jù)清理。

數(shù)據(jù)變換。

數(shù)據(jù)簡化。

數(shù)據(jù)融合。基于主機(jī)的入侵檢測技術(shù)11審計(jì)數(shù)據(jù)的預(yù)處理基于主機(jī)的入侵檢測技術(shù)12審計(jì)數(shù)據(jù)的預(yù)處理預(yù)處理方法

基于粗糙集理論的約簡法

基于粗糙集理論的屬性離散化

屬性的約簡基于主機(jī)的入侵檢測技術(shù)13基于統(tǒng)計(jì)模型的入侵檢測技術(shù)異常檢測模型異常檢測模型是基于正常行為的統(tǒng)計(jì)，根據(jù)在過去一段時(shí)間內(nèi)正常行為的觀測，得到當(dāng)前活動(dòng)觀測值的“可信區(qū)間”。異常檢測模型可以通過不斷學(xué)習(xí)使模型趨于精確、完善，相比于特權(quán)濫用檢測模型，能在一定程度上識(shí)別未知類型的攻擊及資源的非授權(quán)訪問?；谥鳈C(jī)的入侵檢測技術(shù)14基于統(tǒng)計(jì)模型的入侵檢測技術(shù)在檢測系統(tǒng)中，從警報(bào)數(shù)據(jù)可獲取的并能衡量異常發(fā)生的原始特征數(shù)據(jù)如下。

客戶網(wǎng)絡(luò)發(fā)生的攻擊數(shù)目總量。

客戶網(wǎng)絡(luò)發(fā)起攻擊和受攻擊主機(jī)數(shù)目。

邊緣網(wǎng)絡(luò)（Internet）的發(fā)起攻擊和受攻擊主機(jī)和網(wǎng)絡(luò)數(shù)目。

用戶主機(jī)和網(wǎng)絡(luò)被攻擊的分布概率。基于主機(jī)的入侵檢測技術(shù)15基于統(tǒng)計(jì)模型的入侵檢測技術(shù)基于上述分析，異常分析的特征值如下。

攻擊強(qiáng)度特征值：基于攻擊數(shù)目總量統(tǒng)計(jì)值的特征值。

攻擊實(shí)體量特征值：基于發(fā)起攻擊和被攻擊的主機(jī)數(shù)目總量的統(tǒng)計(jì)值的特征值。

攻擊分布特征值：基于攻擊數(shù)目最大值的特征值?；谥鳈C(jī)的入侵檢測技術(shù)16基于統(tǒng)計(jì)模型的入侵檢測技術(shù)根據(jù)這些特征值，異常判斷方法概括如下。

當(dāng)攻擊實(shí)體量在正常區(qū)間內(nèi)，即檢測環(huán)境中沒有明顯的變化，采用攻擊強(qiáng)度判斷當(dāng)前狀態(tài)是否異常。

當(dāng)攻擊強(qiáng)度在正常區(qū)間內(nèi)，即攻擊強(qiáng)度表示沒有明顯變化，采用攻擊實(shí)體量判斷當(dāng)前狀態(tài)是否異常。

當(dāng)攻擊強(qiáng)度和攻擊實(shí)體量都不在正常區(qū)間，即表示兩者都發(fā)生明顯變化，采用比較兩者的變化幅度的方法判斷異常。

對(duì)上述方法判斷為正常的數(shù)據(jù)，采用離線計(jì)算攻擊分布概率判斷異常?；谥鳈C(jī)的入侵檢測技術(shù)17基于專家系統(tǒng)的入侵檢測技術(shù)基于規(guī)則的專家系統(tǒng)的工作過程基于主機(jī)的入侵檢測技術(shù)18基于專家系統(tǒng)的入侵檢測技術(shù)采用基于規(guī)則的方法，主要具備以下幾個(gè)優(yōu)點(diǎn)。

模塊化特征。規(guī)則使得知識(shí)容易封裝并不斷擴(kuò)充。

解釋機(jī)制。通過規(guī)則容易建立解釋機(jī)，這是因?yàn)橐粋€(gè)規(guī)則的前件指明了激活這個(gè)規(guī)則的條件。通過追蹤已觸發(fā)的規(guī)則，解釋機(jī)可以得到推出某個(gè)結(jié)論的推理鏈。

類似人類認(rèn)知過程。規(guī)則似乎是模擬人類怎樣解決問題的一個(gè)自然方法。規(guī)則的簡單表示方法“if…then”使得容易解釋知識(shí)的結(jié)構(gòu)?；谥鳈C(jī)的入侵檢測技術(shù)19基于專家系統(tǒng)的入侵檢測技術(shù)基于規(guī)則的專家系統(tǒng)總體功能模塊基于主機(jī)的入侵檢測技術(shù)20基于專家系統(tǒng)的入侵檢測技術(shù)專家系統(tǒng)可有針對(duì)性地建立高效的入侵檢測系統(tǒng)，檢測準(zhǔn)確度高。但在具體實(shí)現(xiàn)中，專家系統(tǒng)主要面臨如下問題。

專家知識(shí)獲取問題，即由于專家系統(tǒng)的檢測規(guī)則由安全專家用專家知識(shí)構(gòu)造，因此難以科學(xué)地從各種入侵手段中抽象出全面的規(guī)則化知識(shí)。

規(guī)則動(dòng)態(tài)更新問題，用戶行為模式的動(dòng)態(tài)性要求入侵檢測系統(tǒng)具有自學(xué)習(xí)、自適應(yīng)的功能?；谥鳈C(jī)的入侵檢測技術(shù)21基于專家系統(tǒng)的入侵檢測技術(shù)自適應(yīng)入侵檢測專家系統(tǒng)模型結(jié)構(gòu)圖基于主機(jī)的入侵檢測技術(shù)22基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)當(dāng)前的基于特征的檢測方法過渡依賴審計(jì)數(shù)據(jù)，而對(duì)IP欺騙攻擊而言依賴審計(jì)數(shù)據(jù)的規(guī)則很難定義，狀態(tài)分析法的基本思想是將攻擊看成一個(gè)連續(xù)的、分步驟的并且各個(gè)步驟之間有一定關(guān)聯(lián)的過程。

在網(wǎng)絡(luò)中發(fā)生入侵時(shí)及時(shí)阻斷入侵行為。

防范可能還會(huì)進(jìn)一步發(fā)生的類似攻擊行為?；谥鳈C(jī)的入侵檢測技術(shù)23基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)入侵檢測系統(tǒng)STAT通過分析系統(tǒng)的各種狀態(tài)，及狀態(tài)轉(zhuǎn)移過程中的各種特征操作制訂各種基于狀態(tài)轉(zhuǎn)移的入侵規(guī)則，完成系統(tǒng)的入侵檢測。在狀態(tài)轉(zhuǎn)移分析方法中，一個(gè)滲透過程可以看作是由攻擊者做出的一系列的行為而導(dǎo)致系統(tǒng)從某個(gè)初始狀態(tài)轉(zhuǎn)變?yōu)樽罱K某種被危害了的狀態(tài)。在這個(gè)狀態(tài)轉(zhuǎn)變過程，對(duì)應(yīng)著系統(tǒng)的一連串行為，那些關(guān)鍵的行為就稱為特征行為。基于主機(jī)的入侵檢測技術(shù)24基于完整性檢查的入侵檢測技術(shù)通常入侵者入侵時(shí)都會(huì)對(duì)一些文件進(jìn)行改動(dòng)，因此采用對(duì)文件系統(tǒng)進(jìn)行完整性檢驗(yàn)的入侵檢測方式能夠檢測出對(duì)文件內(nèi)容的非法更改，從而可判定入侵，與其他檢測技術(shù)相結(jié)合將增強(qiáng)現(xiàn)有的入侵檢測能力。文件完整性檢驗(yàn)根據(jù)用戶定制的配置文件對(duì)需要校驗(yàn)的文件系統(tǒng)內(nèi)容進(jìn)行散列計(jì)算，將生成的散列值與文件完整性數(shù)據(jù)庫中存儲(chǔ)的預(yù)先計(jì)算好的文件內(nèi)容的散列值進(jìn)行比較。不一致則說明文件被非法更改，并可判定發(fā)生入侵。基于主機(jī)的入侵檢測技術(shù)25基于完整性檢查的入侵檢測技術(shù)文件完整性校驗(yàn)文件備份主機(jī)B上存儲(chǔ)了主機(jī)A上的文件系統(tǒng)的備份。主機(jī)A上的文件完整性數(shù)據(jù)庫存儲(chǔ)的是需要被檢測的文件的各種inode屬性值和文件內(nèi)容的散列值。檢測時(shí)主機(jī)A首先與文件備份主機(jī)B認(rèn)證，然后對(duì)A上的配置文件和預(yù)先生成的文件完整性數(shù)據(jù)庫的內(nèi)容分別進(jìn)行散列計(jì)算，將生成的散列值傳輸給B進(jìn)行校驗(yàn)。如果該散列值與B上存儲(chǔ)的值不一致，則B將存儲(chǔ)的配置文件和文件完整性數(shù)據(jù)庫的備份加密傳輸給A，進(jìn)行文件恢復(fù)，然后再進(jìn)行完整性校驗(yàn)?；谥鳈C(jī)的入侵檢測技術(shù)26基于完整性檢查的入侵檢測技術(shù)散列算法常用的散列算法有MD5，CRC16，CRC32，Snefru（斯內(nèi)夫魯），MD4，MD2，SHA和Haval（哈弗）等。散列算法通常實(shí)現(xiàn)了將任意長度的消息m壓縮成一固定長度的散列值h，通過對(duì)散列值的校驗(yàn)?zāi)軝z測到對(duì)消息m的篡改、抵賴或偽造。它有下列特性。（1）易用性：對(duì)任意長度的m，計(jì)算h=H（m）很容易。（2）單向性：給定h，計(jì)算m，使得m=F（h）很困難。（3）無碰撞性：給定m，要找到另一個(gè)消息m’，滿足H（m’）=H（m）很困難，這就保證了對(duì)原文有改動(dòng)，但很難使文件內(nèi)容的散列值保持不變。基于主機(jī)的入侵檢測技術(shù)27基于智能體的入侵檢測技術(shù)智能體的定義智能體又稱智能代理，是人工智能研究的新成果，它是在用戶沒有明確具體要求的情況下，根據(jù)用戶需要，能自動(dòng)執(zhí)行用戶委托的任務(wù)的計(jì)算實(shí)體。像郵件過濾智能體、信息獲取智能體、桌面自動(dòng)智能體等，將使Web站點(diǎn)、應(yīng)用程序更加智能化和實(shí)用化。從技術(shù)的角度看，智能體是由各種技術(shù)支撐著的、許多實(shí)用的應(yīng)用特性的集合，開發(fā)者正是使用這些應(yīng)用特性來擴(kuò)展應(yīng)用的功能和價(jià)值，從而達(dá)到應(yīng)用能自動(dòng)執(zhí)行用戶委托的任務(wù)的目的?；谥鳈C(jī)的入侵檢測技術(shù)28基于智能體的入侵檢測技術(shù)智能體的特點(diǎn)（1）智能性（2）代理性（3）移動(dòng)性（4）主動(dòng)性（5）協(xié)作性基于主機(jī)的入侵檢測技術(shù)29基于智能體的入侵檢測技術(shù)在入侵檢測中，采用智能體采集和分析數(shù)據(jù)有以下主要特點(diǎn)。（1）因?yàn)橹悄荏w是獨(dú)立的運(yùn)行實(shí)體，因此，不需改變其他的組件，即可向系統(tǒng)中增加或從系統(tǒng)中移走智能體。（2）如果一個(gè)智能體由于某種原因（如下線維護(hù)）而停止了工作，損失只局限在有限的范圍內(nèi)，不會(huì)造成整個(gè)系統(tǒng)的癱瘓，這就保證了系統(tǒng)的連續(xù)運(yùn)行。（3）如果將智能體以分級(jí)結(jié)構(gòu)的形式組織起來，可以使得系統(tǒng)的可伸縮性更好。（4）系統(tǒng)開銷小、智能體的編程可以很靈活。（5）自主智能體采集數(shù)據(jù)的方法很靈活，基于主機(jī)的入侵檢測技術(shù)30系統(tǒng)配置分析技術(shù)系統(tǒng)配置分析（又可稱為靜態(tài)分析）的技術(shù)目標(biāo)是檢查系統(tǒng)是否已經(jīng)受到入侵活動(dòng)的侵害，或者存在有可能被入侵的危險(xiǎn)。靜態(tài)分析技術(shù)通過檢查系統(tǒng)的當(dāng)前配置情況，例如，系統(tǒng)文件的內(nèi)容以及相關(guān)的數(shù)據(jù)表等，來判斷系統(tǒng)的當(dāng)前安全狀況。之所以稱為“靜態(tài)”分析，是因?yàn)樵摷夹g(shù)只檢查系統(tǒng)的靜態(tài)特性，并不分析系統(tǒng)的活動(dòng)情況?；谥鳈C(jī)的入侵檢測技術(shù)31系統(tǒng)配置分析技術(shù)配置分析技術(shù)的基本原理是基于如下兩個(gè)觀點(diǎn)：（1）一次成功的入侵活動(dòng)可能會(huì)在系統(tǒng)中留下痕跡，這可以通過檢查系統(tǒng)當(dāng)前的狀態(tài)來發(fā)現(xiàn)。（2）系統(tǒng)管理員和用戶經(jīng)常會(huì)錯(cuò)誤地配置系統(tǒng)，從而給攻擊者以入侵的可乘之機(jī)。系