STAT-基于状态转移分析的系统.pptVIP

第六章STAT-基于状态转移分析的系统  6.1系统简介 STAT的全名是State Tradition Analysis Tool，意思是基于状态转移分析的入侵检测工具，在UNIX环境下的具体实现又称为USTAT (STAT for UNIX)。该系统于20世纪90年代初由美国加州大学圣巴巴拉分校提出并实现．采用了当时全新的 “状态转移分析”检测模型。 基于状态转移分析的检测模型: 将攻击者的入侵行为描绘为一系列的特征操作及其所引起的一系列系统状态转换过程: 目标系统从初始状态转移到攻击者所期望的危害状态。 6.1系统简介 在状态转移分析技术中，具体采用: “状态转移图”(State Transition Diagram)来表示一个具体的入侵攻击过程。 STAT系统的原理: 在状态转移图和目标系统审计记录的基础上，不断跟踪攻击者在完成整个攻击过程中所必须完成的每个关键步骤。 检测方法明显不同于其他的基于审计记录直接匹配的检测技术。 6.1系统简介 STAT系统所具有的优点包括： 1)采用“状态转移图”表示直观 因为直接采用审计记录序列来表示攻击行为的方法不具备直观性，它需要专门的知识才能理解一个具体攻击行为所对应的审计记录序列，使得难以快速直观地更新检测规则库。而STAT采用高层的状态转移表示方法来表示攻击过程，避免了这一问题； 6.1系统简介 2)敏感性好 对于同一种攻击行为可能对应着不同的审计记录序列，这些不同审计记录序列可能仅因为一些细微的差别而无法被采用直接匹配技术的检测系统察觉，从而造成漏警。STAT可以较好地处理该种情况。 3)能检测分布式攻击 STAT能够检测到由多个攻击者所共同发起的协同攻击，以及跨越多个进程的攻击行为。 6.1系统简介 4) 可进行预测 STAT的一大特色就是具备在某种攻击行为尚未造成实质危害时，就及时检测到并采取某种响应措施的能力。 从本质上看，STAT属于基于规则分析的误用入侵检测系统，因此只能检测到已知的攻击类型，但是STAT能够较好地处理已知攻击类型的变种行为。 6.1系统简介 状态转移图：对攻击行为的图形化表示方法。状态转移图由两个基本组件构成：表示系统状态的节点和表示特征行为的弧线，如图4-1所示： 图4-1 状态转移图的基本组件 6.1系统简介 状态转移图通常包括:一个初始状态、一个最终状态以及若干攻击行为步骤，及其引起的若干中间状态。 初始状态表示的是所有攻击者在实施攻击前，所共有的若干受限的系统访问权限。攻击者之后通过执行若干攻击操作后(从而引起若干中间状态的转移)，最后获得所需的系统访问权限(如根权限等)，此时的系统状态就是最终状态。 6.1系统简介 构建状态转移图，通常只选取最能代表攻击过程并同时引起系统状态改变的关键操作。 由关键操作步骤及其引起的状态改变就构成了完整的状态转移图。也代表一次具体的攻击行为过程。 对于每个具体的攻击行为，可能存在不同的状态转移图，需要选取最具代表性的关键操作步骤。 每个状态节点，都对应着一组状态断言。当满足该组状态断言后，将从上个状态发生转移到本状态。 6.1系统简介 构建状态转移图的过程大致分为如下步骤： 1)分析具体的攻击行为，理解内在机理。 2)确定攻击过程中的关键行为点。 3)确定初始状态和最终状态。 4)从最终状态出发，逐步确定所需的各个中间状态及其应该满足的状态断言组。 构建状态转移图 例：一个UNIX环境下的一次攻击行为步骤如下： % ln target –x % –x 构建最终的状态转移图 6.1系统简介 例：一个最终的状态转移图  STAT系统包含如下的构成组件： (1)预处理器(Preprocessor)。 (2)知识库(Knowledge Base)，其中包含： 1)事实库(Fact Base)，包括： ①初始化模块。 ②更新模块。 2)规则库(Rule Base)，包括： ①状态描述表(State Description Table)。 ②特征操作表(Signature Operation Table)。 (3)推理引擎(Inference Engine)。 (4)决策引擎(Decision Engine)。 6.2 总体架构设计 系统的总体设计强调模块性，各个模块独立设计并通过规定的接口进行相互操作。从本质上看，除了预处理器模块之外的系统．其他部分构成了一个典型的专家系统架构。其中，最为关键的部分就是知识库的创建和使用，而知识库中的主要部分规则库是整个系统具备独立性的基石。对于不同