基于主机的入侵检测技术精品.ppt

4.1 审计数据的获取 4.2 用于入侵检测的统计模型 4.3 入侵检测的专家系统 4.4 基于状态转移分析的入侵检测技术 4.5 文件完整性检查 4.6 系统配置分析技术 4.1.1 审计数据的获取 根据目标系统的不同类型和主机入侵检测的不同要求，所需要收集的审计数据的类型不尽相同。 首先，从目标主机的类型来看，不同操作系统的审计机制设计存在差异，主机活动的审计范围和类型也不同。 其次，根据不同主机入侵检测系统的设计要求和需要，其具体选取的审计数据类型和来源也各有侧重。 以IDES系统为例。IDES在Sun UNIX目标系统环境下所收集到的审计数据，主要分为4个典型类型。 ① 文件访问: 包括对文件和目录进行的操作，如读取、写入、创建、删除和访问控制列表的修改。 ② 系统访问: 包括登录、退出、调用以及终止超级用户权限等。 ③ 资源消耗: 包括CPU、I/O和内存的使用情况。 ④ 进程创建命令的调用: 指示一个进程的创建。 IDES必须从Sun环境中的多个不同信息源来收集审计数据。这些信息源包括： Sun OS 4.0 标准审计系统、Sun C2 安全审计包和UNIX记账系统。 然而，仅从这两种审计系统得到的信息对于IDES的入侵检测分析还是不够的。还可以对系统另外配置一些其他的审计工具。如Sendmail,Netlog等。 对于其他的主机入侵检测系统，例如STAT系统，它所使用的审计数据来源主要就是Sun OS C2安全审计包（BSM），针对的是BSM审计记录。 审计数据的预处理 数据的预处理就是对系统获取到的各种相关数据进行归纳、转换等处理，使其符合系统的需求。 一般采用从大量的数据属性中，提取出部分对目标输出有重大影响的属性，通过降低原始数据的维数来达到改善质量的目的。 数据的规范化 数据的规范化处理有两种比较常用的方法： ① 其中，x为要规范化的数值；x′为规范化后的数值；avg为x所在向量组X的平均值；std（X）为向量组X的标准差。 ② 其中，x为要规范化的数值；x′为规范化后的数值；max是x所在向量组中元素的最大值；min是x所在向量组中元素的最小值；new_max是规范化后的目标区间的上限；new_min是规范化后的目标区间的下限；通过这个公式可以将数据规范化到指定区间。 4.1.2 审计数据的预处理 首先，讨论标准审计记录格式的设计问题。 以IDES系统为例，IDES审计记录格式是基于若干设计考虑的。 首先，它必须通用程度足够高，以便能够表示目标监控系统的所有可能事件类型。 其次，它应该是该机器中最有效的数据表示形式，以将处理开销降低到最小程度。 第三，记录格式应该按标准化设计，使IDES能够从多个不同类型的机器处接收输入记录，而无须进行任何的数据转换。理想的情况下，审计记录只进行一次格式化。 IDES审计记录用动作类型来进行分类。共有约30种不同的动作类型。 每个IDES审计记录包括一个动作类型和若干字段，用于对该动作进行参数化取值。 以下是为IDES入侵检测分析而定义的动作类型。 IA_VOID： 此为没有操作。 IA_ACCESS： 指定的文件被引用（但是没有读写）。 IA_WRITE： 文件被打开以备写入或者已经写入。 IA_READ： 文件被打开以备读取或者已经读取。 IA_DELETE： 所指定的文件已被删除。 IA_CREATE： 所指定的文件被创建。 IA_RMDIR： 所指定的目录被删除。 IA_XHMOD： 所指定文件的访问模式已经改变。 IA_EXEC： 所指定的命令已经被调用。 IA_XHOWN： 所指定对象（文件）的所有权已经改变。 IA_LINK： 已建立起到指定文件的一个连接。 IA_CHDIR： 工作目录已经改变。 IA_RENAME： 文件被重命名。 IA_MKDIR： 目录被创建。 IA_LOGIN： 指定用户登录进入系统。 IA_BAD_LOGIN： 指定用户的登录尝试失败。 IA_SU： 调用超级用户权限。 IA_BAD_SU： 调用超级用户权限的尝试。 IA_RESOURCE： 资源（内存、CPU时