基于系统调用的入侵检测实验指导书(sr).pdfVIP

实验三： 基于系统调用的入侵检测 一、实验目的 了解基于系统调用序列的入侵检测技术的原理；设计 STIDE 检测的各项参 数，并分析所设计检测方案的检测性能。 二、实验内容 1）获得某个特权进程的系统调用迹审计数据包； 2）熟悉 STIDE 工具的命令与输出格式； 3）了解不同检测参数与异常信号阈值的作用。 4）采用不同检测参数与阈值对特权进程的行为迹进行检测； 5）分析不同参数与阈值下的检测性能。 三、实验准备 1．特权进程的系统调用行为迹 系统调用： 操作系统提供给用户的两个接口之一。应用程序要求访问系统资源 时，均通过系统调用实现。操作系统内对系统调用都规定有相应的系统 调用名以及系统调用号。 特权进程： 执行过程中，为了完成用户的任务，需要从进程的用戶空间切换至 内核空间的进程。典型的特权进程有 lpr,sendmail等。 进程的系统调用行为迹： 进程从开始运行直到运行结束所发出的系统调用序列。进程的系统 调用行为迹的存储格式一般采用二元组表示，前一个数字是进程 ID， 后一个数字表示该进程所发出的系统调用。同一个系统调用迹文件中， 可能包括有多个进程的系统调用系列。这些系统调用序列相互交错在一 起，但同一进程 ID 的各个系统调用是依次发出的，且属于同一进程。 一组进程ID 和系统调用号采用两个数字表示，称为一个输入数字对 ( pair number)。 2．STIDE 工具的命令与输出格式 STIDE 是美国新墨西哥大学计算机科学技术系 Hofmeyr 等在研究基于系 统调用的入侵检测的过程中开发的一个工具，目前最新版本为 1.2。实验中 涉及到的命令及参数如下： 2.1 指定数据库的名称： -d our_data.db. 其中，－d 选项表示后面的文件名为所采用的数据库文件名。 2.2 指定配置文件：－c stide.config。 表示在生成正常库或进行检测时所采用的配置文件名。配置文件中 设置有各项参数，STIDE初始化时自己也设置有缺省参数。这些参数的 优先顺序为，配置文件中的参数优先于 STIDE的缺省参数，STIDE 调用 时的指令参数又优先于配置文件中的参数。 2.3 指定STIDE的工作模式：-a/空缺 STIDE可工作于两种模式，第一种模式是正常库生成模式，第二种 模式为检测模式。处于正常库生成模式时用选项参数 -a 表示。－a 即 向正常库中添加记录。处于检测模式时，简单地在命令行去掉-a 选项 即可。 2.4 指定STIDE的终端信息输出模式：-v STIDE在建立正常库过程中，会通过终端向用户显示建库的相关信 息。选项－v 表示，按统计信息格式详细地输出建库时与每一个加入正 常库的系统调用短序列相关的信息。 2.4 正常库统计信息生成格式：-aof “%p\t%s\t%d\n” 指定终端操作提示信息的格式。没有特殊要求时建议采用“%p/ t%s\t%d\n”。与-v 选项配合使用，表示按以下格式显示正在加入正常 库的系统调用短序列的以下信息。 %p: 显示当前系统调用短序列加入正常库时所读入的最后一个进程 ID/系统调用号数据对； %s: 显示进程 ID； %d: 显示以系统调用短序列个数表达的当前正常库的大小。 %t：各个显示数据项之间以 TAB 分隔。 2.5 输入数据：＜data.file 输入数据分为两种，一种是建正常库时所用的系统调用行为迹数据 文件，另一种则时在检测时，输入的被测进程的系统调用行为迹数据文 件。