入侵检测技术第3章.pptVIP

第3章 入侵检测技术的分类 3.1 入侵检测的信息源 3.2 分类方法 3.3 具体的入侵检测系统 3.1 入侵检测的信息源 对于入侵检测系统而言，输入数据的选择是首先需要解决的问题： ⑴ 入侵检测的输出结果，首先取决于所能获得的输入数据的数量和质量。 ⑵ 具体采用的入侵检测技术类型，也常常因为所选择的输入数据的类型不同而各不相同。 3.1.1 操作系统的审计记录 在入侵检测技术的发展历史中，最早采用的用于入侵检测任务的输入数据源就是操作系统的审计记录。操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的，其目的是记录当前系统的活动信息，并将这些信息按照时间顺序组织成为一个或多个审计文件。 不同的系统在审计事件的选择、审计记录的选择和内容组织等诸多方面都存在着兼容性的问题。另外一个存在的问题是，操作系统审计机制的设计和开发的初始目标，并不是为了满足后来才出现的入侵检测技术的需求目的。 操作系统审计记录被认为是基于主机入侵检测技术的首选数据源： ⑴ 操作系统的审计系统在设计时，就考虑了审计记录的结构化组织工作以及对审计记录内容的保护机制，因此操作系统审计记录的安全性得到了较好的保护。 ⑵ 操作系统审计记录提供了在系统内核级的事件发生情况，反映的是系统底层的活动情况并提供了相关的详尽信息，为发现潜在的异常行为特征奠定了良好的基础。 下面分别介绍两种流行的操作系统Sun Solaris和Windows 2000的审计系统机制及审计记录格式。 1. Sun Solaris BSM Sun公司的Solaris操作系统是目前流行的服务器UNIX操作系统，其中包含的BSM安全模块使得Solaris系统满足TCSEC标准的C2级审计功能要求。BSM安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等，其中审计日志由一个或多个审计文件组成，每个审计文件包含多个审计记录，而每个审计记录则由一组审计令牌（audit token）构成。 图3-1所示为BSM审计记录的格式。 每个审计令牌包括若干字段，如图3-2所示。 图3-1 BSM审计记录格式 图3-2 BSM审计令牌格式 每个BSM审计记录都揭示了一次审计事件（audit event）的发生。BSM审计机制中定义了若干审计事件类型，而通常的入侵检测系统仅使用了其中部分事件类型，其他则丢弃。不同的审计事件类型所生成的审计记录，都会包含不同的审计令牌组合。一般而言，Header、Process、Return和Trailer令牌字段是固定字段。 BSM审计记录以二进制的形式进行存储，其字段结构和数据结构大小都实现了预先定义，从而提供了在不同平台系统间进行移植的兼容性。 2. Windows 2000 Windows 2000以事件日志机制形式提供数据源，使用事件查看器进行查看和管理。可以根据事件的日志记录来识别和跟踪安全性事件、资源使用情况，以及系统和应用程序中发生的错误等。 Windows 2000事件日志机制收集3种类型的系统事件： 应用程序日志、安全日志和系统日志，如图3-3所示。右击某个记录，在“属性”中可以看到关于此记录的详细说明。记录本身又分为几种情况： “错误”是指比较严重的问题，通常是出现了数据丢失或功能丢失；“警告”则表明情况暂时不严重，但可能会在将来引起错误，比如磁盘空间太小等；“信息”是记录运行成功的事件。 图3-3 Windows 2000事件查看器 ① 应用程序日志记载应用程序运行方面的错误。 ② 安全日志记录与安全性相关的事件，例如与资源使用有关的事件，还包括合法和非法的登录企图。管理员可以指定将哪些事件记录在安全日志中。安全性事件根据审计策略被记录在安全性日志中。注意，Windows 2000的默认安装是不打开任何安全日志审核的，需要在“本地安全设置”→“本地策略”→“审核策略”中打开相应的审核，如图3-4所示。 ③ 系统日志包括由Windows 2000系统组件记录的事件，系统事件由Windows 2000自动配置，并记录在系统日志中。 所有用户都能够查看应用程序日志和系统日志，但安全性日志只能由系统管理员访问。 图3-4 审核策略的指定 Windows 2000的事件日志由多个事件记录组成，如图3-3所示，事件查看器中的3种类型日志，其所包含的事件日志的格式统一如下所示。 ① 类型： 事件查看器显示以下5种事件类型。 ● 错误： 重要的问题，如数据丢失或功能丧失。 ● 警告： 不是非常重要但将来可能出现的问题的事件。 ● 信息： 描述应用程序、驱动程序或服务的成功操作的事件。 ● 成功审核： 审核安全访问尝试成功。 ● 失败审核： 审核安全访问尝试失