入侵检测技术第3章

1、第3章入侵检测技术的分类3.1入侵检测的信息源3.2分类方法3.3具体的入侵检测系 统3.1入侵检测的信息源对于入侵检测系统而言， 要解决的问题：(1) 入侵检测的输岀结果， 输入数据的数量和质输入数据的选择是首先需首先取决于所能获得的(2) 具体采用的入侵检测技术类型，也常常内为所 选择的输入数据的类型不同而各不和同。3.1.1操作系统的审计记录在入侵检测技术的发展历史中，最早采用的用于入 侵检测任务的输入数据源就是操作系统的审计记录。 操作系统的审计记录是由操作系统软件内部的专门审 计子系统所产生的，其目的是记录当前系统的活动信 息，并将这些信息按照时间顺序组织成为一个或多个 审计文祚。不

2、同的系统在审计事件的选择、审计记录的选择和 内容组织等诸多方面个存在的问题是，操作系统审计机制的设计和开发的 初始目标，并不是为了满足后来才出现的入侵检测技 术的需求目的。操作系统审计记录被认为是基于主机入侵检测技术 叶首选数据源：|（!）操作系统的审计系统在设计时，就考虑了审计 记录他结构化组织工作以及对审计记录内容的保护机 制，因此操作系统审计记录的安全性得到了较好的保 护。（2）操作系统审计记录提供了在系统内核级的事件 发生情况，反映的是系统底层的活动情况并提供了相 关的详尽信息，为发 好的基础。下面分别介绍两种流行的操作系统Sun Solaris和Windows 2000的审计系统机制

3、及审计记录格式。1. Sun Solaris BSMSun公司的Solaris操作系统是目前流行的服务器 UNIX操作系统，其中包含的BSM安全模块使得 Solaris系统满足TCSEC标准的C2级审计功能要求。 BSM安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等，其中审计日志由一个或多个审计文件组成，每个审计文件包含多个审计记录，而每个审计记jtoken）构成。 1图3-1所示为BSM审计记录的格式。每个审计令牌包括若干字段，如图32所示。Header*Process*Argumnet *Attribute *Dataln addrIplpc_permIpcportP

4、ath *Text首令牌字段 审计进程信息 系统调用参数信息 属性信息出前根冃录、工作冃录及其绝对路径Opaque Return *请求（系统调用）返回值+BSIM宙计记录格式Header TokenArgument Toke nPath Tokentoken IDtoken IDrecord sizeargument IDeve nt type *argument value *time of queue *string lengthtextProcess TokenReturn Tokentoken IDtoken IDaudit ID *user erroruser ID *return

5、 value *feal user IDTrailer Toke nreal group ID*token IDprocess ID*token IDsize of rootcurrent rootsize of dircurrent dirsize of path path argument *Attribute Tokentoken IDvnode mode *record sizevnode nodeid *vnode fsid *vnode uid *图32 BSM审计令牌格式vnode rdev *每个BSM审计记录都揭示了一次审计事件(audit event)的发生。BSM审计机制

6、中定义了若干审计事 件类型，而通常的入侵检测系统仅使用了其中部分事 件类型，其他则丢弃。不同的审计事件类型所生成的 审计记录，都会包含不同的审计令牌组合。一般而言, Header、Process> Return和Trailer令牌字段是固定 字段。BSM审计记录以二进制的形式进行存储，其字段结 构和数据结构大小都实现了预先定义，从而提供了在 不同平台系统间进行移植的兼容性。2. Windows 2000韵ndows 2000以事件日志机制形式提供数据源， 使用事件查看器进行查看和管理。可以根据事件的日 志记录来识别和跟踪安全性事件、资源使用情况，以 及系统和应用程序中发生単错误等。Win

7、dows 2000事件日志机制收集3种类型的系统事 件：应用程序日志、安全日志和系统口志，如图33 所示。右击某个记录，在“属性”中可以看到关于此 记录的详细说明。记录本身又分为几种情况：“错 误”是指比较严重的功能丢失；“警告”则表明情况暂时不严重，但可能 会在将来引起错误，比如磁盘空间太小等；“信息” 是记录运行成功的事件。V/HV/HV/Ntf/N V/W V/h V/N V/h V/N V/H V/NV/M V/h V/N v/n v/n V/N tf/N V/N V/H器皇皐曲重000乙SMOPUIM £-£® TQWPN屮从担心 粘績环 ”jof帕aw

8、屮恥和 >(X)43N F砂和"rpOMEhi qjcwqmw 平爾叭刊>0陽程w 竹皿和H53N耳0从和 ”XWiy5SISSI&JlACd5W.JWdWA対幻対対対SS1SSI9+笔 £："ere-cooz9血勞61ei-e-£Oi»Z+!SC：6ter-s-cow9S：S£6lei-e-coos9£：筑：61ere-coceIO：9S：6Ioi-q-coozIC：9£：6fer-9«coozIC：9£：6Iei-Q-coazIOJ$£-6181-8-SOWIO

9、：9E<61er-s-coiKT0：9E：6Ter-e-soos【0；9£；“81-8-EOIKIC：9£-6J8 -8-8005T0£:6I8【兮S00210*9618I-8-C002W9£08P-8-4B0280：9E：6ler-e-£OQ<:60%©6er-e-cowl【咤&et-e-cowtl：9£-6ter-s-sotK6U9O6Iei-e-coa?叶 9：6!ec-e-coo2B4A聊 13±3金_金金金住住金住金金住住金住住金金©詰 犁刃划l'?JrIJ?3=Jm

10、I£JrSJI1BJ岂9IEIIr2lrgJ辱宀 "©酉哥宵酉越宵尊砂©©可苕封宜劉部空目彩却宙£（：§3 11U 0 t1 ST 国 i * 应用程序日志记载应用程序运行方面的错误。 安全日志记全性相关的事件，例如与资 源使用有关的事件，还包括合法和非法的登录企图。 管理员可以指定将哪些事件记录在安全日志中。安全 性事件根据审计策略被记录在安全性日志中。注意， Windows 2000的默认茨装是不打开任何安全日志审 核的，需要在“本地安全设置”-“本地策喻”-> “审核策略”中打开相应的审核，如图34所o事件，系统

11、事件由Wi 在系统日志中。（1）系统日志包括由Windows 2000系统组件记录的所有用户都能够查看应用程序日志和系统日志，但 安全性日志只能由系统管理员访问。> /叶户越略 JJ本地第昭送宿用尸权利淄祈“0妄全遶项4 _|公时賭S彭P安金第昭，在本士錮审核策暗更敢 蒯审核登录爭件 風审核对題访闫 錮审馳煜追赊 鈿不核目录眼务访问裂1审核系妊爭件 阀剧郊沪番录爭坤卿审楼除户骨甘i丰地世匿 失败 失败 无宙弦 无輙 无皤 失眩 无社 失败 无审核歿核核 核 核 败败审胡轲赎币败京 失失无无无夷无失无q|1J图34审核策略的指定Windows 2000的事件呼志由多个事件记录组成， 如图3

12、-3所示，事件查看器中的3种类型日志，其所包 含的事件日志的格式统一如下所示。类型错误事件查看器显示以下5种事件类型。 重要的问题，如数据丢失或功能丧失。警告：不是非常重要但将来可能出现的问题的 事件。信息：描述应用程序、驱动程序或服务的成功操作的事件。成功审核:失败审核：审核安全访问尝试失败。日期：事件产生的详细日期。 时间：事件产生的详细时间，精确到秒。 来源：事件的生成者，有很多种类的来源。例 如disk、Srv、SNMP、Windows File Protection等, 这其中有来自操作系统内部程序的，也有来自应用程 序 分类：对事件的分类，如系统事件、特权使用、 登录/注销、Fir

13、ing Agent等。 事件：事件ID。Windows 2000用不同的ID来表 明惟一的事件。 用户：用户名利Administrator等。 计算机：计算机名称。可以是本地计算机，也 可以是远程计算机。右击每条日志，选择属性，可以看见对此日志条目 的具体描述。描述信息清晰地说明了此事件相关的情 况，如图35所艺利用事件查看器可以根誦特定需求快速地查看和筛 选事件日志。事件查看器还可以管理事件日志。通过查看和分析事件日志,可以检测出需要系统管理员加以重点考虑的事件。根据对这些事件日志的分 析，可能需要解决相对资源进行重新分配等。另外，可能还需要就审核策 略、监视设置值、安全性设置值、应用程序配

14、置，以 及系统配置问题等提供改进建议。失败审核屈性?J2£1事件详细信息1日期：2003-8-18来源:Securt时间：19:33类别：特权使用类型.失做审核事件IB 578用尸 QJ): IDSAdm ini strat or|计算机 IDS(C)：描谨）：特许的对象按住：对象服算器Sacuri ty对黎句柄：4294967295过程标识：196主要用户名：IBS$zl士西尉 wnTCRni rr灰据d）庁字节C宇他4确定| 取消 I 应用® |I冬13七爭件丿禹性信思3.1.2系统日志系统使用日志机制记录下主机上发生的事情，无论 是对日常管理维护，还是对追踪入侵者的痕

15、迹都非常 关罐-日志可分为操作系统日志和应用程序日志两部 分。操作系统日志从不同的方面记录了系统中发生的 事情，对于入侵检测而言具备重要的价值。系统日志的安全性与操作系统的审计记录比较而言, 要差一些，其原因如下：用程序，因而这些软(2)系统日志通常是存储在普通的不受保护的文件 目录里，容易受到恶意的篡改和删除等操作。尽管如此，系统Fl志仍然以其简单易读、容易处理 等优势成为入侵检测的一个重要输入数据源。UNIX操作系统提供门类齐全的系统日志文件，并 且能够通过通用日志服务后台程序syslogd来提供标 准化电日志服务。UNIX操作系统的主要日志文件可 以分成3类： 二进制连接时间日志文件，由

16、多个程序生成， 消息写入到/var/log/wtmp和/var/run/utmp, login等系 统程序负责更新wtmp和utmp文件，使系统管理员能 够跟踪谁在何时登录 进程日志，由系统内核仆:成。当个进程终止时, 系统内核为每个进程走进程F1志文件（pacct或acct） 中写入一条记录。 syslogd H志,由syslogd生成并维护。各种系统 守护建程、内核、模块使用syslogd记录下自己发出 的消息。直许多UNIX程序创建日志，像http或ftp这 样提供网络服务的服务器也保持详细的日志。常用的 日志文件如表3-1所示。utmp、wtmp和lastlog PI丿忐文件是多数主要

17、UNIX日 志子系统的关键保持用户登录进入和退出的记录。 数据交换、关机和重的记录都包含时间戳。这些文件的规模（除Tlastlog） 在拥有大量用户的繁忙系统中，将会增长得非常迅速。 许多系统以天或周为单位把wtmp配置成循环使用。utmp、wtmp和lastlog是二进制文件，不能用普通 文木备看器查看，只能通过系统命令来查看，主要包 括用户名、终端、登录ip、CPU使用时间、正在运行 的进程、登录时间和退出时间等内容。UNIX可以跟踪每个用户运行的每条命令。该功能 （称为进程日志）对于跟踪系统问题十分有用。它还 对跟踪特定入侵者（或恶意用户）的活动很有帮助， 但它的缺点是不能记录命令的参数

18、。进程日志文件的 名称和位置在不同UNIX版木中有所不同。lastcomm命令报告以前执行的命令。sa命令报告、 清理并维护进程日志文件。syslog可以记录系统事件，可以写消息到一个文件 或设备，或是直接给用户发送一个信息。它能记录本 地日志或通过网络记录另一个主机上的日志。syslog 设备包括两个重要元素：/etc/syslogd （守护程序） 和/etc/syslog.conf 配置文件。syslogd可以处理的消息类型在 /usr/include/sys/syslog.h中进行定义。一个消息可以 分成两个部分：“设备”和“优先级”。“设备” 标识发岀消息的子系统，这是内核定义的所有的

19、设备, 女 口表 3-2 所不。下面是在内核头文件中定义的所有消息优先级。“优先级”表示消息的重要性，其范围从7 （最低） 到0 （最高）。Luei_izMtznei u / system is unusaoie /LOG_ALERT 1 /* action must be taken immediately */ LOG_CRIT 2 /* critical conditions 7LOG_ERR 3 r error conditions */LOG_WARNING 4 /* warning conditions */ LOG_NOTICE 5 /* normal but significa

20、nt condition 7 LOGJNFO 6 r informational VLOG_DEBUG 7 /* debug-level messages */syslogd的配置文件syslog .conf定义了根据设备和优先级，消息应该发到哪个日志文件中。在图36中 可以看到在SI ackware 4.0中命令运行的结果。# /etc/syslog.conf# For info about the format of this file, see "man syslog.conf" (the BSD man/us r/ad m*=debug /usr/adm/debug

21、*=eir /usr/adm/syslog图 36 /etc/syslog.conf 内容编辑完/etc/syslog.conf文件后，还必须执行以下命# killall-HUP syslogd这样所做齟这个命令发送HUP信号 给syslogd守护进程，通知守护进程重新读取配置文 件。通过syslogd生成的文件有着如下的统一格式：时 间邈：主机名：消息发送者：消息描述。例如下面 _行，名为Inven啲 描述用户guest的口令被root改变了。Jun 12 11 ： 06 ： 11 Invent passwd 337 : password for'progs' changed

22、 by 'root3.1.3应用程序的日志信息日血复杂化的系统设计，使得单纯从内核底层级别 的数据来源来分析判断当前整个系统活动的情况，变 得越来越困难；同时，底层级别安全数据的规模也迅 速膨胀，增加了分析的难度。此时，需要采用反映系 统活动的较高层次信息，例如应用程序H志，作为分 析检测的数据源。应ggg 统活动抽象信息，所以更加容易理解和处理。其次， 网络化计算环境的普及，导致入侵攻击行为的目标越 来越集中于提供网络服务的各种特定应用程序。同样，采用应用程序Fl志作为入侵检测的输入数据源，也存在着问题和风险。首要的问题是应用程序的日志信息通常更易遭到恶意的攻击，包括篡改和删除等操作

23、。其次，尽管很多操作系统提供应用程序级别的审计功能, 些审计特性, 信息。最后,但是很多特定的应用程序中并不包括这或者是审计功能并没有提供足够详细的特定应用程序同样存在是否值得信赖的问题。下面以Web服务器为例来介绍应用程序产生的日志信息。IWeb服务器通常支車志文通用日志格式（CLF） 义及内容如表3-3所示。o CLF日志包含的字段定典型的CLF日志记录举例如下: -alice10/Aug/2003:20:10:10 + 0800 “GET /docs/HTTP /10 200 2049扩展日志文件格式(ELFF),除了CLF所定义 的数据字段外，还扩展包含了其他的附加信息。 ELFF日志

24、包含的附加信息如表3-4所示。其他类型应用程序服务器、SQL Server数据库服务器等，也是进行入 侵检测时所能采用的重要输入数据源。具体进行入侵 检测工作时，必须具体分析各自的特定日志格式。3.1.4基于网络数据的信息源近年来流行的商用入侵检测系统大多采用了网络数 据作为其主要的输入数据源。采用网络数据源具有以 下优势：(1) 通过网络被动监听的方式来获取网络数据包， 作为入侵检测系统输入信息源的工作过程，对目标监 控系统的运行性能几乎没有任何影响，并且通常无须 改变原 有网络 的结构嗅探器(sniffer)模块在工作时，可以采用对网 络用户透明的模式，因而降低了其本身遭到入侵者攻 击的概

25、率。基于网络数据的输入信息源，可以发现许多基于 主机数据源所无法发现的攻击手段。网络数据包的标准化程度，相对主机数据源而言 要高许多。因此，采用网络数据作为输入信息源，有 助于入侵检测系统在不同目标系统平台环境下的移植 工作。目前，大部分的网耆议作为通信协议，因此大部分的入侵检测系统的数据 分析的重点也放在了对TCP/IP协议数据包的截获和 分析工作上。3.1.5其他的数据来源(1)来自其他安全产品的数据源入侵检测只是整体安全防护模型中的一部分。在目 标系统内部还可能存在许多其他独立运行的安全产品。 无疑，来自安全产品的数据信息是进行更加有效的准 确的入侵检测所必须考虑的输入数据源。入侵检测系

26、统采用其他安全产品的事件日志作为自 己的输入数据源，可以凸现入侵检测在整个动态计算 机安全模型中的关键 全监控的能力在应付当前 所发挥的不可或缺的作用。表35为Firewall-I防火墙日志记录的内容格式信息。(2) 来自网络设备的数据源除了直接从网络截获数据包作为输入数据外，入侵 检测系统还能够利用其他网络设备所提供的关于网络 数据流量的各种信息数据。通过采用网络管理系统提供的信息，入侵检测系统 可以更好地确定输出的检测结果是与系统安全方面相 关的问题，还是与其他方面相关的问题，从而有助于 降低检测的误报概率。另外一个有用的网络设备数据来源，是路由器或者 交换机提供的数据信 大多是反映了当前

27、网络活动情况的统计数据，利用这 些输入数据源，入侵检测同样可以提高自身检测结果 的准确性和精确性。(3) 带外(out of band)数据源所谓“带外”数据源通常是指由人工方式提供的数 据信息。带外数据源的例子还包括系统管理员对入侵 检测系统所进行的各种管理控制操作。目前的入侵检测技;"带外”数据源方面除了上面所述的全部数据源之外，还有一种特殊的 数据源类型，即来自文件系统的信息源。3.1.6信息源的选择问题基本的原则是根据入侵检测系统喪计的检测目标来 选择所需的输入数据源。如果设计要求检测主机用户 的异常活动，或者是特定应用程序的运行情况等，采 用主机数据源是比较合适的；如果需要

28、发现通过网络 协议发动的入侵攻击就要采用来自网络数据的输入信 息。如果系统设计要求监控整个目标系统内的总体安 全状况等，此时就需要同时采用来自主机和网络的数 据源；在分布式的环境下，或许述要考虑到包括带外 数据在内的其他类型另外需要考虑的 行性能和实现安全检测目标的前提下，最少需要多少 信息，或者是采用最少数目的输入数据源。3.2分类方法3.2.1按照信息源的分类从数据来源看，入侵检测通常可以分为两类：基 于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测通常从主机的审计记录和日志 文件中获得所需的主要数据源，并辅之以主机上的其 他信息，农止匕基础上完成弦测攻击行为的任务。特别的，从主机

29、入償拉观 基于应用的入侵检测 任务的应用程序而设计的入侵检测技术，采用的输入 数据源是应用程序的日志信息。基于网络的入侵检测通过监听网络中的数据包来获 得必要的数据来源，并通过协议分析、特征匹配、统 计分析等手段发现当前发生的攻击行为。网络入侵检测技术也有一种特殊的情况，即所谓基 于网络结軽LA侵测,其输入数据来源仅为检测模 块所在主机的网络进出流量信息。结点入侵检测技术 的目的在于减轻数据处理的负担，将计算量分散在各 个网络结点主机之上。基于主机的入侵检测能够较为准确地监测到发生在 主机系统高层的复杂用进程级别的攻击行为是无法依靠基于网络的入侵检 测来完成的。同时，基于主机的入侵检测系统也有

30、若 干显而易见的缺点：首先，由于它严重依赖于特定的操作系统平台。其次，它在所保护主 机上运行，这影响宿主机的运行性能。另外，它通常 无法对网络环境下发生的大量攻击行为作出及时的反应。基于网络的入侵检测能够实时监控网络中的数据流量，并发现潜在的攻击行为和作出迅速的响应。另 夕卜，它的分析对象是网络协议，一般没有移植性的问运行，因为基于网络 机和被动监听的工作题。同时，它的运行丝毫不影响主机或服务器的自身进入20世纪90年代后，出现了把基于主机和基于网 络的入侵检测结合起来的早期尝试。3.2.2按照检测方法的分类从数据分析手段看，入侵检测通常可以分为滥用(misuse)入侵检测和异常(anomal

31、y)入侵检测。滥用入侵检测的技术基础是分析各种类型的攻击手 段，并找出可能的“攻击特征”集合。滥用入侵检测 利用这些特征集合或者是对应的规则集合，对当前的 数据来源进行各种处理后，再进行特征匹配或者规则 匹配工作，如果发现满足条件的匹配，则指示发生了 一次攻击行为。异常入侵检测的假设条件是对攻击行为的检测可以 通过观察当前活动与系统历史正常活动情况之间的差 异来实现。比较而言厂滥用入侵检测比异常入侵检测具备更好 的确定解释能力，即明确指示当前发生的攻击手段类 型，因而在诸多商用系统中得到广泛应用。另一方面, 滥用入侵检测具备较高的检测率和较低的虚警率，开 发规则库和特征集合相对于建立系统正常模

32、型而言， 也要更方便、更容易。滥用检测的主要缺点在于一般 只能检测到已知的攻击模式。而异常检测的优点是可 以检测到未知的入侵行为。从现有的实际商用系统来看，大多数都是基于滥用 入侵检测技术。不过中，也采用了不同形為 检测模块。联合使用这两种检测技术势在必行。3.2.3另外的分类标准入侵检测的分类标准还可以列举其他，例如实时和 非实时处理系统非实时的检测系统通常百事后收集的审计日志文件 基础上，进行离线分析处理，并找出可能的攻击行为 踪迹，目的是进行系统配置的修补工作，防范以后的 攻击。实时处理系统实时做出反应。实时的概念是一个根据用户需求而定的变 量，当系统分析和处理的速度处于用户需求范围内时, 就可以称为实时入侵检测系统。3.3具体的入侵检测系统3.3.1 NFR公司的NID系统NFR公司的NID系统，基本上是一种基于规则检测 的网络入侵检测系统，鈕寸具备一些异常入侵检测功 能。NFR公司的入侵检测产品，其最大特点体现在独一 无二的设计架构上，它设计了一套用于网络管理和安 全检测的脚本语言N-Code,可以用来创建入侵检测 的检测特征库。NFR公司联合其他公司创建大量的N-Code语言编 写的检测组件程序。大部分N-Code组件是公开的。3.3.2 ISS公司的Real