第3章入侵检测技术的分类解析：.pptVIP

第3章 入侵检测技术的分类 3.1 入侵检测的信息源 3.2 分类方法 3.3 具体的入侵检测系统 3.1 入侵检测的信息源 入侵检测的基本问题 如何充分、可靠地提取描述行为特征的数据； 如何根据特征数据，高效、准确地判断行为的性质； … … 数据源类型 数据来源可分为四类： 来自主机的 基于主机的监测收集通常在操作系统层的来自计算机内部的数据，包括操作系统审计跟踪信息和系统日志 来自网络的 检测收集网络的数据 来自应用程序的 监测收集来自运行着的应用程序的数据，包括应用程序事件日志和其它存储在应用程序内部的数据 来自目标机的 使用散列函数来检测对系统对象的修改。 审计记录的缺点 不同的系统在审计事件的选择、审计记录的选择和内容组织等诸多方面都存在着兼容性的问题。 另外一个存在的问题是，操作系统审计机制的设计和开发的初始目标，并不是为了满足后来才出现的入侵检测技术的需求目的。 1. Sun Solaris BSM Sun公司的Solaris操作系统是目前流行的服务器UNIX操作系统。 BSM安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等，其中审计日志由一个或多个审计文件组成，每个审计文件包含多个审计记录，而每个审计记录则由一组审计令牌（audit token）构成。 图3-1所示为BSM审计记录的格式。 每个审计令牌包括若干字段，如图3-2所示。 图3-2 BSM审计令牌格式 Windows日志监测 1．Windows日志 Windows中也一样使用“事件查看器”来管理日志系统，也同样需要用系统管理员身份进入系统后方可进行操作，如图所示。 图3-5 事件属性信息 通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等，可能会根据服务器所开启的服务不同而略有变化。启动Windows时，事件日志服务会自动启动，所有用户都可以查看“应用程序日志”，但是只有系统管理员才能访问“安全日志”和“系统日志”。 应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\sys tem32\config，默认文件大小512KB，但有经验的系统管理员往往都会改变这个默认大小。 安全日志文件： c:\systemroot\system32\config\SecEvent.EVT 系统日志文件： c:\systemroot\sys tem32\config\SysEvent.EVT 应用程序日志文件： c:\systemroot\sys tem32\config\AppEvent.EVT Internet信息服务FTP日志默认位置：c:\systemroot\sys tem32\logfiles\msftpsvc1\。 Internet信息服务WWW日志默认位置：c:\systemroot\system32\logfiles\w3svc1\。 3.1.2 系统日志 系统使用日志机制记录下主机上发生的事情，系统日志的安全性与操作系统的审计记录比较而言，要差一些，其原因如下： ⑴ 产生系统日志的软件通常是在内核外运行的应用程序，因而这些软件容易受到恶意的修改或攻击。 ⑵ 系统日志通常是存储在普通的不受保护的文件目录里，容易受到恶意的篡改和删除等操作。 尽管如此，系统日志仍然以其简单易读、容易处理等优势成为入侵检测的一个重要输入数据源。 UNIX操作系统的主要日志文件可以分成3类： ① 登录日志文件，写入到/var/log/wtmp和/var/run/utmp，系统程序负责更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。 ②进程日志，由系统内核生成。当一个进程终止时，系统内核为每个进程在进程日志文件（pacct或acct）中写入一条记录。 ③syslogd日志，由syslogd生成并维护。各种系统守护进程、内核、模块使用syslogd记录下自己发出的消息。 WWW日志 #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date:03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 03:091 6 7 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible\\;+MSIE+5.0\\;+Windows+98\\;+DigExt) 03:094