第3章 入侵检测技术的分类

1、第第3章章 入侵检测技术的分类入侵检测技术的分类3.1 入侵检测的信息源入侵检测的信息源3.2 分类方法分类方法3.3 具体的入侵检测系统具体的入侵检测系统3.1 入侵检测的信息源入侵检测的信息源 入侵检测的基本问题 如何充分、可靠地提取描述行为特征的数据； 如何根据特征数据，高效、准确地判断行为的性质； 数据源类型数据源类型 数据来源可分为四类：数据来源可分为四类： 来自主机的来自主机的 基于主机的监测收集通常在操作系统层的来自计算机内部的数基于主机的监测收集通常在操作系统层的来自计算机内部的数据，包括操作系统审计跟踪信息和系统日志据，包括操作系统审计跟踪信息和系统日志 来自网络的来自网络的

2、 检测收集网络的数据检测收集网络的数据 来自应用程序的来自应用程序的 监测收集来自运行着的应用程序的数据，包括应用程序事件日监测收集来自运行着的应用程序的数据，包括应用程序事件日志和其它存储在应用程序内部的数据志和其它存储在应用程序内部的数据 来自目标机的来自目标机的 使用散列函数来检测对系统对象的修改。使用散列函数来检测对系统对象的修改。4审计记录审计记录 由审计子系统产生；由审计子系统产生； 用于反映系统活动的信息集合；用于反映系统活动的信息集合； 将这些信息按照时间顺序组织成为一个或将这些信息按照时间顺序组织成为一个或多个审计文件；多个审计文件； 遵循美国可信计算机安全评价标准遵循美国可

3、信计算机安全评价标准（TCSEC）；）；5审计记录的优点审计记录的优点 可信度高可信度高 得益于操作系统的保护得益于操作系统的保护 审计记录没有经过高层的抽象审计记录没有经过高层的抽象 最最“原始原始”的信息来源的信息来源 了解系统事件的细节了解系统事件的细节 不易被篡改和破坏不易被篡改和破坏审审计计记录的缺点记录的缺点 不同的系统在审计事件的选择、审计记录不同的系统在审计事件的选择、审计记录的选择和内容组织等诸多方面都存在着兼的选择和内容组织等诸多方面都存在着兼容性的问题。容性的问题。 另外一个存在的问题是，操作系统审计机另外一个存在的问题是，操作系统审计机制的设计和开发的初始目标，并不是为

4、了制的设计和开发的初始目标，并不是为了满足后来才出现的入侵检测技术的需求目满足后来才出现的入侵检测技术的需求目的。的。7审计记录内容审计记录内容 响应事件的主体和涉及事件的目标信息响应事件的主体和涉及事件的目标信息 主体主体 对象对象 进程进程 用户用户id 系统调用的参数系统调用的参数 返回值返回值 特定应用事件的数据特定应用事件的数据 1. Sun Solaris BSM Sun公司的公司的Solaris操作系统是目前流行的服务器操作系统是目前流行的服务器UNIX操作系统。操作系统。 BSM安全审计子系统的主要概念包括审计日志、安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计

5、令牌等，其中审计日审计文件、审计记录和审计令牌等，其中审计日志由一个或多个审计文件组成，每个审计文件包志由一个或多个审计文件组成，每个审计文件包含多个审计记录，而每个审计记录则由一组审计含多个审计记录，而每个审计记录则由一组审计令牌（令牌（audit token）构成。）构成。 图图3-1所示为所示为BSM审计记录的格式。审计记录的格式。 每个审计令牌包括若干字段，如图每个审计令牌包括若干字段，如图3-2所示。所示。图图3-1 BSM审计记录格式审计记录格式Header*Process*Argumnet*Attribute*DataIn_addrIpIpc_permIpcIportPath*T

6、extGroupsOpaqueReturn*Trailer首令牌字段首令牌字段审计进程信息审计进程信息系统调用参数信息系统调用参数信息属性信息属性信息当前根目录、工作目录及其绝对路径当前根目录、工作目录及其绝对路径请求（系统调用）返回值请求（系统调用）返回值图图3-2 BSM审计令牌格式审计令牌格式Header Tokentoken IDrecord sizeevent type *time of queue *Process Tokentoken IDaudit ID *user ID *feal user IDreal group ID*process ID*Argument Tokent

7、oken IDargument IDargument value *string lengthtextReturn Tokentoken IDuser errorreturn value *Trailer Tokentoken IDmagic numberrecord sizePath Tokentoken IDsize of rootcurrent rootsize of dircurrent dirsize of pathpath argument *Attribute Tokentoken IDvnode mode *vnode uid *vnode gid *vnode fsid *v

8、node nodeid *vnode rdev *Windows日志监测 1Windows日志 Windows中也一样使用中也一样使用“事件查看器事件查看器”来管来管理日志系统，也同样需要用系统管理员身份进理日志系统，也同样需要用系统管理员身份进入系统后方可进行操作，如图所示。入系统后方可进行操作，如图所示。 图3-5 事件属性信息 通常有应用程序日志，安全日志、系统日志、通常有应用程序日志，安全日志、系统日志、DNS服务器日志、服务器日志、FTP日志、日志、WWW日志等等，日志等等，可能会根据服务器所开启的服务不同而略有变可能会根据服务器所开启的服务不同而略有变化。启动化。启动Windows

9、时，事件日志服务会自动时，事件日志服务会自动启动，所有用户都可以查看启动，所有用户都可以查看“应用程序日志应用程序日志”，但是只有系统管理员才能访问但是只有系统管理员才能访问“安全日志安全日志”和和“系统日志系统日志”。 应用程序日志、安全日志、系统日志、应用程序日志、安全日志、系统日志、DNS日日志 默 认 位 置 ：志 默 认 位 置 ： % s y s t e m r o o t % s y s tem32config，默认文件大小默认文件大小512KB，但有经但有经验的系统管理员往往都会改变这个默认大小。验的系统管理员往往都会改变这个默认大小。 安全日志文件：安全日志文件： c:sys

10、temrootsystem32configSecEvent.EVT 系统日志文件：系统日志文件： c:systemrootsys tem32configSysEvent.EVT 应用程序日志文件：应用程序日志文件： c:systemrootsys tem32configAppEvent.EVT I n t e r n e t 信 息 服 务信 息 服 务 F T P 日 志 默 认 位 置 ：日 志 默 认 位 置 ：c:systemrootsys tem32logfilesmsftpsvc1。 I n t e r n e t 信 息 服 务信 息 服 务 W W W 日 志 默 认 位 置

11、：日 志 默 认 位 置 ：c:systemrootsystem32logfilesw3svc1。17系统日志系统日志 系统日志是反映各种系统事件和设置的文件； Unix系统提供了分类齐全的系统日志，如登录日志、进程统计日志；18 系系统统日日志志 审审计计记记录录 运运行行方方式式 应用程序 操作系统子系统 存存储储目目录录 未受保护 受系统保护 存存储储格格式式 文本 带加密和校验 安全性对比安全性对比系统使用日志机制记录下主机上发生的事情系统使用日志机制记录下主机上发生的事情，系系统日志的安全性与操作系统的审计记录比较统日志的安全性与操作系统的审计记录比较而言，要差一些，其原因如下：而言

12、，要差一些，其原因如下： 产生系统日志的软件通常是在内核外运行产生系统日志的软件通常是在内核外运行的应用程序，因而这些软件容易受到恶意的修的应用程序，因而这些软件容易受到恶意的修改或攻击。改或攻击。 系统日志通常是存储在普通的不受保护的系统日志通常是存储在普通的不受保护的文件目录里，容易受到恶意的篡改和删除等操文件目录里，容易受到恶意的篡改和删除等操作。作。3.1.2 系统日志系统日志尽管如此，系统日志仍然以其简单易读、容易处理等优尽管如此，系统日志仍然以其简单易读、容易处理等优势成为入侵检测的一个重要输入数据源。势成为入侵检测的一个重要输入数据源。UNIX操作系统的主要日志文件可以分成操作系

13、统的主要日志文件可以分成3类：类： 登录登录日志日志文件，写入到文件，写入到/var/log/wtmp和和/var/run/utmp，系统程序负责更新系统程序负责更新wtmp和和utmp文件，文件，使系统管理员能够跟踪谁在何时登录到系统。使系统管理员能够跟踪谁在何时登录到系统。进程日志，由系统内核生成。当一个进程终止时，系进程日志，由系统内核生成。当一个进程终止时，系统内核为每个进程在进程日志文件（统内核为每个进程在进程日志文件（pacct或或acct）中中写入一条记录。写入一条记录。syslogd日志，由日志，由syslogd生成并维护。各种系统守生成并维护。各种系统守护进程、内核、模块使用

14、护进程、内核、模块使用syslogd记录下自己发出的消记录下自己发出的消息。息。213.1.3 应用程序日志应用程序日志 应用日志通常代表了系统活动的用户级抽应用日志通常代表了系统活动的用户级抽象信息，相对于系统级的安全数据来说，象信息，相对于系统级的安全数据来说，去除了大量的冗余信息，更易于管理员浏去除了大量的冗余信息，更易于管理员浏览和理解。览和理解。 但是由于缺乏系统保护，因但是由于缺乏系统保护，因此也存在风险，存在可信度的问题。此也存在风险，存在可信度的问题。 典型的有：典型的有： WWW Server日志日志 数据库系统日志数据库系统日志22WWW Server日志日志 通用日志格式

15、（通用日志格式（CLF） -user1 27/Nov/2000:10:00:00 +0600 “GET /page1/HTTP 1.0” 200 1893字段字段格式格式访问者主机名访问者主机名“H”rfc931服务器返回给访问用户的信息；如果不存在，为服务器返回给访问用户的信息；如果不存在，为-用户名（如果用户提交了用于认证的用户名（如果用户提交了用于认证的ID）UserID请求日期及时间（包括时区信息）请求日期及时间（包括时区信息）DD/MMM/YYYY:HH:MM:SS+TimeZone请求的页面及服务器使用的页面通信协议请求的页面及服务器使用的页面通信协议“GET ”请求的返回码（请求

16、的返回码（200代表成功）代表成功）NNN，如果没有则以，如果没有则以“-”表示表示返回的字节数返回的字节数NNNNN，如果没有则以，如果没有则以“-”表示表示23WWW Server日志日志 扩展日志文件格式扩展日志文件格式字段字段格式格式访问者主机名访问者主机名“H”rfc931由由identd返回的该用户信息返回的该用户信息用户名（如果用户提交了用于认证的用户名（如果用户提交了用于认证的ID）UserID请求日期及时间（包括时区信息）请求日期及时间（包括时区信息）DD/MMM/YYYY:HH:MM:SS+TimeZone请求的页面及服务器使用的页面通信协议请求的页面及服务器使用的页面通信

17、协议“GET ”请求的返回码（请求的返回码（200代表成功）代表成功）NNN，如果没有则以，如果没有则以“-”表示表示返回的字节数返回的字节数NNNNN，如果没有则以，如果没有则以“-”表示表示请求的请求的URL的地址的地址http:/ #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20040419 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(Use

18、rAgent) 20040419 03:091 6 7 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 20040419 03:094 6 7 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) FTP日志日志FTP日志每天生成一个日志文件，包含了该日的一切记录，文件名通常为日志每天生成一个

19、日志文件，包含了该日的一切记录，文件名通常为ex（年份）（年份）（月份）（日期）。例如（月份）（日期）。例如ex040419，就是，就是2004年年4月月19日产生的日志，用记事本可直接日产生的日志，用记事本可直接打开，普通的有入侵行为的日志一般是这样的：打开，普通的有入侵行为的日志一般是这样的： #Software: Microsoft Internet Information Services 5.0（微软（微软IIS5.0） #Version: 1.0 （版本（版本1.0） #Date: 20040419 0315 （服务启动时间日期）（服务启动时间日期） #Fields: time c

20、ip csmethod csuristem scstatus 0315 1USER administator 331（IP地址为地址为用户名为用户名为administator试图登录）试图登录） 0318 1PASS 530（登录失败）（登录失败） 032:04 1USER nt 331（IP地址为地址为用户名为用户名为nt的用户试图登录）的用户试图登录） 032:06 1PASS 530（登录失败）（登录失败） 032:09 1USER cyz 331（IP

21、地址为地址为用户名为用户名为cyz的用户试图登录）的用户试图登录） 0322 1PASS 530（登录失败）（登录失败） 0322 1USER administrator 331（IP地址为地址为用户名为用户名为administrator试图登录）试图登录） 0324 1PASS 230（登录成功）（登录成功） 0321 1MKD nt 550（新建目录失败）（新建目录失败） 0325 1QUIT 550（退出（退出FTP程序）程序） 从日志里就能看出从日志里

22、就能看出IP地址为地址为的用户一直试图登录系统，换了四次用户名和密码的用户一直试图登录系统，换了四次用户名和密码才成功，管理员立即就可以得知这个才成功，管理员立即就可以得知这个IP至少有入侵企图！而他的入侵时间、至少有入侵企图！而他的入侵时间、IP地址以及地址以及探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用 Administrator用户名用户名进入的，那么就要考虑此用户名是不是密码失窃？还是被别人利用？接下来就要想想系进入的，那么就要考虑此用户名是不是密码失窃？还是被别人利用？接下来就要想想系统出什么问题了

23、。统出什么问题了。 263.1.4 网络信息源的优势网络信息源的优势 可以对整个子网进行检测可以对整个子网进行检测 不影响现存的数据源，不影响现存的数据源，不改变系统和网络不改变系统和网络的工作模式的工作模式 不影响主机性能和网络性能不影响主机性能和网络性能 被动接收方式被动接收方式，隐蔽性好，隐蔽性好 对基于网络协议的入侵手段有较强的分析对基于网络协议的入侵手段有较强的分析能力能力27网络信息源的缺陷网络信息源的缺陷 检测效率检测效率 网络流量日益增大的挑战网络流量日益增大的挑战 虚警和漏警的平衡虚警和漏警的平衡 应用于交换环境出现的问题应用于交换环境出现的问题 在交换网络环境中应该考虑的问

24、题在交换网络环境中应该考虑的问题 每个端口的忙碌状况每个端口的忙碌状况 如何识别和跟踪错误源？如何识别和跟踪错误源？ 广播风暴的源头是什么？广播风暴的源头是什么？ 交换转发表是否运行正常交换转发表是否运行正常? 哪个站点连接在这个端口上？哪个站点连接在这个端口上？ 交换机对协议或端口是否有速率限制？交换机对协议或端口是否有速率限制？283.1.5 来自其它安全产品的信息来自其它安全产品的信息 防火墙防火墙 认证系统认证系统 访问控制系统访问控制系统 其它安全设备其它安全设备 提高分析的准确性和全面性提高分析的准确性和全面性3.1.6 信息源的选择问题信息源的选择问题 基本原则：基本原则： 根据

25、检测目标来选择数据源；根据检测目标来选择数据源； 最少数目的输入数据源最少数目的输入数据源3.2 入侵检测的分类入侵检测的分类 对入侵检测系统可以根据所采用的审计数对入侵检测系统可以根据所采用的审计数据源、检测策略、检测的实时性、对抗措据源、检测策略、检测的实时性、对抗措施、体系结构等方面进行划分。施、体系结构等方面进行划分。入侵检测系统的分类入侵检测系统的分类1.基于网络的系统基于网络的系统VS基于主机的系统基于主机的系统根据入侵检测系统分析的数据来源 ： 主机系统日志 原始的网络数据包 应用程序的日志 防火墙报警日志 其它入侵检测系统的报警信息 入侵检测实质上可以归结为对安全审计数据的处理

26、，这种处理可以针对网络数据，也可以针对主机的审计记录或应用程序日志。依据审计数据源的不同可将IDS分为基于网络的IDS、基于主机的IDS和基于主机/网络混合型的IDS。 基于网络的IDS利用网络数据包作为审计数据源，其优点是隐蔽性好，不容易遭受攻击，对主机资源消耗少。并且由于网络协议是标准的，可以对网络提供通用的保护而无需顾及异构主机的不同架构。 基于主机的IDS所分析的安全审计数据主要来自主机日志、应用程序所产生的日志以及特权程序所产生的系统调用序列日志。其优点是检测精度高，但是只能检测针对本机的攻击，不适合检测针对网络协议漏洞的攻击。 混合型IDS结合两种数据源，最大限度提高对网络及主机系

27、统的信息收集，实现准确且高效的入侵检测。2滥用检测滥用检测VS异常检测异常检测 滥用检测又称为基于知识的入侵检测，是对利用已知的系统缺陷和已知的入侵方法进行入侵活动的检测。入侵者常常利用系统和应用软件的弱点来实施攻击，将这些弱点编成某种模式，如果入侵者的攻击方式正好与检测系统的模式库中某些模式匹配，则认为有入侵行为发生。 滥用检测的关键在于如何通过入侵模式准确地描述入侵活动的特征、条件、排列和关系，从而有效地检测入侵。系统需要对已知的入侵行为进行分析，提取检测特征，构建攻击模式。对观察到的审计数据进行分析检测，通过系统当前状态与攻击模式进行匹配，判断是否有入侵行为。 滥用检测方法的优点是可以针

28、对性地建立高效的入侵检测系统，对已知攻击检测准确率高。缺点是不能检测未知攻击或已知攻击的变种，需要对入侵模式不断进行维护升级； 异常检测前提是假定所有入侵行为都有区别于正常行为的异常特性。 异常检测是根据系统或用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。 因此首先建立目标系统及其用户的活动模型，然后基于这个模型对系统和用户的实际活动进行审计，通过比较差异来判断是否有入侵行为。 优点是不受已知知识的限制，因而它可以检测未知的攻击行为。 关键问题在于正常使用模式的建立及如何利用该模式对当前系统/用户行为进行比较（即系统特征量以及阈值的选取），从而判断出与正常模式的偏离程度。 异常检测方法存在的主要问题： 如何有效地表示用户的正常行为模式？即选择哪些数据才能有效的反映用户的行为，而且正常模式具有时效性，需要不断修正和更新。当用户行为突然改变时，容易引起