基于状态转移分析的入侵检测技术.ppt

状态转移分析组件图 每行都对应着某个具体攻击过程的活动实例，而每列则代表着攻击过程的某个具体步骤，指示着本次攻击实例的完成程度。可以得知，推理引擎表的初始行数应该等于规则库中所表示状态转移图的数目，即推理引擎表的每行对应着某个状态转移图的表现实例。当推理引擎工作时，每次接收到一个新审计记录后，将首先判断当前哪个状态转移图的实例匹配当前的特征操作和转移状态，在表中找到该行后，将复制一个新行并加入到现有的推理引擎表中，并在对应的表格单元处进行标注；对匹配行进行复制而不是对原行进行操作的原因是原来的表项仍然可以代表某次部分完成的具体攻击实例。 * 它在发现被更改的被嵌入特洛伊木马的应用程序方面特别有效 * * 完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内 容及属性它在发现被更改的被嵌入特洛伊木马的应用程序方面特别有效完 整性分析利用强有力的加密机制称为消息摘要函数例如MD5 它能识别哪怕 是微小的变化其优点是不管模式匹配方法和统计分析方法能否发现入侵只要 是成功的攻击导致了文件或其它对象的任何改变它都能够发现缺点是一般以 批处理方式实现不用于实时响应尽管如此完整性检测方法还应该是网络安 全产品的必要手段之一例如可以在每一天的某个特定时间内开启完整性分析 模块对网络系统进行全面地扫描检查 * * * * 系统配置分析技术的一个最著名的实现工具是COPS系统（Computer Oracle and Password System）。COPS是功能强大的系统安全检查工具，可检查系统的安全漏洞并以邮件或文件的形式报告给用户；还可以普通用户的身份运行，进行一些常规检查。COPS的检查方法为以后的许多系统安全扫描商业软件所借鉴。 COPS系统负责报告所发现的安全问题，但是并不试图修复安全漏洞，这点与基本的入侵检测系统的设计理念相符合。 值得注意的是，较新版本的COPS系统包含了U-Kuang组件，执行基于规则的安全分析任务。U-Kuang系统由MIT的Robert W. Baldwin开发，目标是对UNIX系统文件系统的配置情况进行基于规则的安全分析。U-Kuang系统所要解决的基本问题是： U-Kuang系统所要解决的基本问题是：如果攻击者拥有一组给定的权限，那么他能否通过一定的攻击步骤获得更高权限，并最后成为根用户呢? U-Kuang系统采用的是反向链规则推导方法，从最终目标出发，推导出每个可能的子目标，直到检查当前的权限状态是否满足目标条件。此种方法在已知安全检查目标的情况下，能够获得较好的效果。值得注意的是，U-Kuang系统的设计目标不是发现UNIX系统的安全漏洞，而是发现安全配置的错误之处。正如系统配置分析的基本原理所示，在多用户多主机的系统环境中，更容易发生用户和管理员错误配置安全策略的情况。 U-Kuang系统所要解决的基本问题是：如果攻击者拥有一组给定的权限，那么他能否通过一定的攻击步骤获得更高权限，并最后成为根用户呢? * 基于主机的入侵检测技术 * 基于智能体的入侵检测技术 在入侵检测中，采用智能体采集和分析数据有以下主要特点。 因为智能体是独立的运行实体，因此，不需改变其他的组件，即可向系统中增加或从系统中移走智能体。 如果一个智能体由于某种原因（如下线维护）而停止了工作，损失只局限在有限的范围内，不会造成整个系统的瘫痪，这就保证了系统的连续运行。 如果将智能体以分级结构的形式组织起来，可以使得系统的可伸缩性更好。 系统开销小、智能体的编程可以很灵活。 自主智能体采集数据的方法很灵活 基于主机的入侵检测技术 * 基于智能体的入侵检测技术 基于智能体的入侵检测系统的典型结构 由智能体、过滤器、收发器、监控器和用户界面组成的分层体系，从左到右，下级受上级控制，并向上级汇报信息。 网络中每个主机上可以安装任意数目的智能体和一个收发器，有些主机上装有一个监控器、主机上的所有智能体向收发器报告他们发现的异常或可疑事件，收发器将不同智能体发来的信息进行综合分析，就能描绘出整个主机的状况，然后向一个或多个监控器报告结果。 一个监控器可以监控几个收发器，也可以按分层结构组织，低层监控器向高层监控器提供信息。 基于主机的入侵检测技术 * 系统配置分析技术 系统配置分析（又可称为静态分析）的技术目标是检查系统是否已经受到入侵活动的侵害，或者存在有可能被入侵的危险。静态分析技术通过检查系统的当前配置情况，例如，系统文件的内容以及相关的数据表等，来判断系统的当前安全状况。之所以称为“静态”分析，是因为该技术只检查系统的静态特性，并不分析系统的活动情况。 基于主机的入侵检测技术 * 系统配置分析技术 配置分析技术的基本原理是基于如下两个观点： 一次成功的入侵活动可能会在系统中留下痕迹，这可以通