入侵检测技术 教学课件 作者 曹元大 IDS5.pptVIP

* * * 基于主机的入侵检测技术 * 系统配置分析技术 配置分析技术的基本原理是基于如下两个观点： （1）一次成功的入侵活动可能会在系统中留下痕迹，这可以通过检查系统当前的状态来发现。 （2）系统管理员和用户经常会错误地配置系统，从而给攻击者以入侵的可乘之机。 系统配置分析技术的一个最著名的实现工具是COPS系统（Computer Oracle and Password System）。COPS是功能强大的系统安全检查工具，可检查系统的安全漏洞并以邮件或文件的形式报告给用户；还可以普通用户的身份运行，进行一些常规检查。COPS的检查方法为以后的许多系统安全扫描商业软件所借鉴。 基于主机的入侵检测技术 * 小结 审计数据的获取与预处理 基于统计模型的入侵检测技术 基于专家系统的入侵检测技术 基于状态转移分析的入侵检测技术 基于完整性检查的入侵检测技术 基于智能体的入侵检测技术 系统配置分析技术 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 基于主机的入侵检测技术 * 第5章 基于主机的入侵检测技术 曹元大主编，人民邮电出版社，2007年 基于主机的入侵检测技术 * 第5章 基于主机的入侵检测技术 基于主机的入侵检测技术: 审计数据的获取 审计数据的预处理 基于统计模型的入侵检测技术 基于专家系统的入侵检测技术 基于状态转移分析的入侵检测技术 基于完整性检查的入侵检测技术 基于智能体的入侵检测技术 系统配置分析技术 基于主机的入侵检测技术 * 审计数据的获取 数据获取划分为直接监测和间接监测两种方法。 （1）直接监测——直接监测从数据产生或从属的对象直接获得数据。例如，为了直接监测主机CPU的负荷，必须直接从主机相应内核的结构获得数据。要监测inetd进程提供的网络访问服务，必须直接从inetd进程获得关于那些访问的数据； （2）间接监测——从反映被监测对象行为的某个源获得数据。间接监测主机CPU的负荷可以通过读取一个记录CPU负荷的日志文件获得。间接监测访问网络服务可以通过读取inetd进程产生的日志文件或辅助程序获得。间接监测还可以通过查看发往主机的特定端口的网络数据包。 基于主机的入侵检测技术 * 审计数据的获取 入侵检测时，直接监测要好于间接监测，原因如下： （1）间接数据源（如审计跟踪）的数据可能在IDS使用这些数据之前被篡改。 （2）一些事件可能没有被间接数据源记录。 （3）使用间接监测，数据是通过某些机制产生的，这些机制并不知道哪些数据是IDS真正需要的。 （4）间接数据源通常在数据产生时刻和IDS能够访问这些数据的时刻之间引入时延。而直接监测时延更短，确保IDS能更及时地做出反应。 基于主机的入侵检测技术 * 审计数据的获取 系统日志与审计信息： ? Acct或pacct：记录每个用户使用的命令记录。 ? Aculog：保存着用户拨出去的Modems记录。 ? Loginlog：记录一些不正常的Login记录。 ? Wtmp：记录当前登录到系统中的所有用户，这个文件伴随着用户进入和离开系统而不断变化。 ? Syslog：重要的日志文件，使用syslogd守护程序来获得日志信息。 ? Uucp：记录的UUCP的信息，可以被本地UUCP活动更新，也可由远程站点发起的动作修改。 基于主机的入侵检测技术 * 审计数据的获取 系统日志与审计信息： ? Acct或pacct：记录每个用户使用的命令记录。 ? Aculog：保存着用户拨出去的Modems记录。 ? Loginlog：记录一些不正常的Login记录。 ? Wtmp：记录当前登录到系统中的所有用户，这个文件伴随着用户进入和离开系统而不断变化。 ? Syslog：重要的日志文件，使用syslogd守护程序来获得日志信息。 ? Uucp：记录的UUCP的信息，可以被本地UUCP活动更新，也可由远程站点发起的动作修改。 基于主机的入侵检测技术 * 审计数据的获取 系统日志与审计信息： ? Access_log：主要使用于运行了NCSA HTTPD的服务器，这记录文件记录有什么站点连接过该服务器。 ? Lastlog：记录了用户最近的Login记录和每个用户的最初目的地，有时是最后不成功的Login的记录。 ? Messages：记录输出到系统控制台的记录，另外的信息由syslog来生成。 ? Sulog：记录使用su命令的记录。 ? Utmp：记录用户登录和退出事件。 基于主机的入侵检测技术 * 审计数据的获取 系统日志与审计信息： ? ftp日志：执行带-l选项的ftpd能够获得记录功能。 ? httpd