基于主机的入侵检测技术概述.pptVIP

4.1 审计数据的获取 4.2 用于入侵检测的统计模型 4.3 入侵检测的专家系统 4.4 基于状态转移分析的入侵检测技术 4.5 文件完整性检查 4.6 系统配置分析技术 4.1.1 审计数据的获取 根据目标系统的不同类型和主机入侵检测的不同要求，所需要收集的审计数据的类型不尽相同。 首先，从目标主机的类型来看，不同操作系统的审计机制设计存在差异，主机活动的审计范围和类型也不同。 其次，根据不同主机入侵检测系统的设计要求和需要，其具体选取的审计数据类型和来源也各有侧重。 以IDES系统为例。IDES在Sun UNIX目标系统环境下所收集到的审计数据，主要分为4个典型类型。 ① 文件访问: 包括对文件和目录进行的操作，如读取、写入、创建、删除和访问控制列表的修改。 ② 系统访问: 包括登录、退出、调用以及终止超级用户权限等。 ③ 资源消耗: 包括CPU、I/O和内存的使用情况。 ④ 进程创建命令的调用: 指示一个进程的创建。 IDES必须从Sun环境中的多个不同信息源来收集审计数据。这些信息源包括： Sun OS 4.0 标准审计系统、Sun C2 安全审计包和UNIX记账系统。 然而，仅从这两种审计系统得到的信息对于IDES的入侵检测分析还是不够的。还可以对系统另外配置一些其他的审计工具。如Sendmail,Netlog等。 对于其他的主机入侵检测系统，例如