《网络安全》(课件)-6

1、网络安全第 6 讲2第6章 入侵检测技术 入侵检测技术概述入侵检测技术分类基于主机/网络的入侵检测技术混合型的入侵检测技术先进入侵检测技术分布式的入侵检测架构入侵检测系统的设计思路3入侵检测技术概述 主机审计 入侵检测的起点入侵检测基本模型的建立技术发展过程入侵检测定义入侵检测与P2DR模型4主机审计 入侵检测的起点主机审计出现在入侵检测技术之前，其定义为： 产生、记录并检查按照时间顺序排列的系统事件记录的过程。在早期的中央主机集中计算的环境之下，主机审计的主要目的是统计用户的上机时间，便于进行计费管理。不久，随着计算机的普及，审计的用途扩展到跟踪记录计算机系统的资源使用情况。经过进一步的发展

2、，主机审计开始应用于追踪调查计算机系统中用户的不正当使用行为的目的。现在的主机审计，已经逐步开始引入了安全审计的概念。安全审计的主要需求来自于商业领域和军事、行政领域。5主机审计 入侵检测的起点James Anderson在1980年首次明确提出安全审计的目标，并强调应该对计算机审计机制做出若干修改，以便计算机安全人员能够方便地检查和分析审计数据。Anderson在报告中定义了3种类型的恶意用户：伪装者（masquerader）违法者（misfeasor）秘密活动者（clandestined user）6主机审计 入侵检测的起点伪装者： 此类用户试图绕过系统安全访问控制机制，利用合法用户的系统

3、账户。违法者： 在计算机系统上执行非法活动的合法用户。秘密活动者： 此类用户在获取系统最高权限后，利用此种权限以一种审计机制难以发现的方式进行秘密活动，或者干脆关闭审计记录过程。7主机审计 入侵检测的起点Anderson指出，可以通过观察在审计数据记录中的偏离历史正常行为模式的用户活动来检查和发现伪装者和一定程度上的违法者。Anderson对此问题的建议，实质上就是入侵检测中异常检测技术的基本假设和检测思路，为后来的入侵检测技术发展奠定了早期的思想基础。8入侵检测基本模型的建立1987年，Dorothy Denning发表了入侵检测领域内的经典论文入侵检测模型。这篇文献正式启动了入侵检测领域内

4、的研究工作，被认为是入侵检测领域内的开创性成果。Denning提出的统计分析模型在早期研发的入侵检测专家系统（IDES）中得到较好的实现。IDES系统主要采纳了Anderson的技术报告中所给出的检测建议，但是，Denning的论文中还包括了其他检测模型。Denning对入侵检测的基本模型给出了建议，所提出的入侵检测基本模型，其意义在于一般化的模型定义，并不强调具体的实现技术。如图所示。9入侵检测基本模型的建立通用入侵检测模型事件生成器从给定的数据来源中，生成入侵检测事件，并分别送入到活动档案计算模块和规则库检测模块中。活动档案模块根据新生成的事件，自动更新系统行为的活动档案。规则库根据当前系

5、统活动档案和当前事件的情况，发现异常活动情况，并可以按照一定的时间规则自动地删减规则库中的规则集合。10技术发展过程入侵检测技术自20世纪80年代早期提出以来，经过不断发展，从最初的一种有价值的研究想法和单纯的理论模型，迅速发展出种类繁多的各种实际原型系统，并且在近10年内涌现出许多商用入侵检测系统产品，成为计算机安全防护领域内不可缺少的一种重要的安全防护技术。1980年，Anderson在其完成的一份技术报告中提出了改进安全审计系统的建议，以便用于检测计算机用户的非授权活动，同时，提出了基本的检测思路。11技术发展过程1984-1986年，Denning和Neumann在SRI公司内设计和实

6、现了著名的IDES，该系统是早期入侵检测系统中最有影响力的一个。1987年，Dorothy Denning发表的经典论文“An Intrusion Detection Modal”中提出入侵检测的基本模型，并提出了几种可用于入侵检测的统计分析模型。此论文正式启动了入侵检测领域内的研究工作。同年，在SRI召开了首次入侵检测方面的专题研讨会。1989-1991年，Stephen Smaha设计开发了Haystack入侵检测系统，该系统用于美国空军内部网络的安全检测目的。12技术发展过程1990年，加州大学Davis分校的Todd Heberlien的论文“A Network Security Mo

7、nitor”，标志着入侵检测第一次将网络数据包作为实际输入的信息源。NSM系统截获TCP/IP分组数据，可用于监控异构网络环境下的异常活动。1991年，在多个部门的赞助支持下，在NSM系统和Haystack系统的基础上，Stephen Smaha主持设计开发了DIDS（分布式入侵检测系统）。1992年，加州大学圣巴巴拉分校的Porras和Ilgun提出状态转移分析的入侵检测技术，并实现了原型系统USTAT，之后发展出NSTAT、NetSTAT等系统。差不多同一时期，Kathleen Jackson在Los Alamos国家实验室设计开发了NADIR入侵检测系统。13技术发展过程而SAIC和Ha

8、ystack Labs分别开发出了CMDS系统和Stalker系统，这两个系统是首批投入商用的主机入侵检测系统。1994年，Porras在SRI开发出IDES系统的后继版本NIDES系统，后者在系统整体结构设计和统计分析算法上有了较大改进。1995年，普渡大学的S. Kumar在STAT的思路基础上，提出了基于有色Petri网的模式匹配计算模型，并实现了IDIOT原型系统。1996年，新墨西哥大学的Forrest提出了基于计算机免疫学的入侵检测技术。14技术发展过程1997年，Cisco公司开始将入侵检测技术嵌入到路由器，同时，ISS公司发布了基于Windows平台的RealSecure入侵检

9、测系统，自此拉开商用网络入侵检测系统的发展序幕。1998年，MIT的Richard Lippmann等人为DARPA进行了一次入侵检测系统的离线评估活动，该评估活动使用的是人工合成的模拟数据，最后的测试结果对于后来的入侵检测系统开发和评估工作都产生了较大影响。1999年，Los Alamos的V.Paxson开发了Bro系统，用于高速网络环境下的入侵检测。Bro系统在设计上考虑了鲁棒性、安全性，并且处理了许多反规避的技术问题。15技术发展过程1999年，加州大学的Davis分校发布了GrIDS系统，该系统试图为入侵检测技术扩展到大型网络环境提供一个实际的解决方案。Wenke Lee提出用于入侵

10、检测的数据挖掘技术框架。2000年，普渡大学的Diego Zamboni和E.Spafford提出了入侵检测的自治代理结构，并实现了原型系统AAFID系统。早期的入侵检测系统几乎都是基于主机的，过去的10年里最流行的商业入侵检测系统大多却是基于网络的。现在和未来几年内的发展趋势似乎是混合型以及分布式系统的发展。16入侵检测定义一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。 它从计算机系统或者网络中收集、分析信息，检测任何企图破坏计算机资源的完整性、机密性和可用性的行为，即查看是否有违反安全策略的行为和遭到攻击的迹象，并做出相应的反应。美国计算机安全协会关于“入侵检测”的定义：通过从计

11、算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的现象的一种安全技术。违反安全策略的行为：入侵，非法用户的违规行为；误用，用户的违规行为。加载入侵检测技术的系统我们称之为入侵检测系统（IDS，Intrusion Detection System），一般情况下，我们并不严格的去区分入侵检测和入侵检测系统两个概念，而都称为IDS或入侵检测技术。入侵检测的主要目的有：识别入侵者；识别入侵行为；检测和监视已成功的安全突破；为对抗措施即时提供重要信息。因而，入侵检测是非常必要的，可以弥补传统安全保护措施的不足。监控室=控制中心后门保安=防火

12、墙摄像机=探测引擎Card Key形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。18入侵检测定义通用入侵检测系统模型19入侵检测定义通用入侵检测系统模型，主要由以下几部分组成：数据收集器（探测器）： 主要负责收集数据。检测器（分析器或检测引擎）： 负责分析和检测入侵的任务，并发出警报信号。知识库： 提供必要的数据信息支持。控制器： 根据警报信号，

13、人工或自动做出反应动作。另外，绝大多数的入侵检测系统都包含一个用户接口组件，用于观察系统的运行状态和输出信号，并对系统行为进行控制。IDS意义源于信息审计，优于信息审计，信息安全审计的核心技术主动防御的需要，防火墙、VPN通过“阻断”的机制被动式防御，不能抵制复杂和内部的攻击作为与防火墙配合的防护手段（如下图）22入侵检测与P2DR模型P2DR模型的内容包括：策略： P2DR模型的核心内容。具体实施过程中，策略规定了系统所要达到的安全目标和为达到目标所采取的各种具体安全措施及其实施强度等。防护： 具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备。检测： 在采取各种安全措施

14、后，根据系统运行情况的变化，对系统安全状态进行实时的动态监控。响应： 当发现了入侵活动或入侵结果后，需要系统作出及时的反应并采取措施，其中包括记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。23入侵检测与P2DR模型P2DR模型阐述了如下结论： 安全的目标实际上就是尽可能地增大保护时间，尽量减少检测时间和响应时间。 入侵检测技术（intrusion detection）就是实现P2DR模型中“Detection”部分的主要技术手段。在P2DR模型中，安全策略处于中心地位，但是从另一个角度来看，安全策略也是制定入侵检测中检测策略的一个重要信息来源，入侵检测系统需要根据现有已

15、知的安全策略信息，来更好地配置系统模块参数信息。当发现入侵行为后，入侵检测系统会通过响应模块改变系统的防护措施，改善系统的防护能力，从而实现动态的系统安全模型。因此，从技术手段上分析，入侵检测可以看作是实现P2DR模型的承前启后的关键环节。P2DR模型是一个动态的计算机系统安全理论模型。P2DR特点是动态性和基于时间的特性。 IDS功能事前：检测到入侵感觉，利用报警与防护系统驱逐入侵事中：减少入侵所造成的损失；事后：收集入侵攻击的信息，作为防范系统的知识添加到知识库内，以增强系统的防范能力。监控、分析用户和系统活动实现入侵检测任务的前提条件。依据:主机日志和网络数据包发现入侵企图或异常现象入侵

16、检测系统的核心功能 这主要包括两个方面，一是入侵检测系统对进出网络或主机的数据流进行监控，看是否存在对系统的入侵行为，另一个是评估系统关键资源和数据文件的完整性，看系统是否已经遭受了入侵。 记录、报警和响应入侵检测系统在检测到攻击后，应该采取相应的措施来阻止攻击或响应攻击。入侵检测系统作为一种主动防御策略，必然应该具备此功能。 审计系统的配置和弱点、评估关键系统和数据文件的完整性等IDS的两个指标漏报率指攻击事件没有被IDS检测到误报率(false alarm rate)把正常事件识别为攻击并报警误报率与检出率成正比例关系 IDS特点不足不能弥补差的认证机制需要过多的人为干预不知道安全策略的内

17、容不能弥补网络协议上的弱点不能分析一个堵塞的网络不能分析加密的数据优点：提高信息安全构造的其他部分的完整性提高系统的监控能力从入口点到出口点跟踪用户的活动识别和汇报数据文件的变化侦测系统配置错误并纠正识别特殊攻击类型，并向管理人员发出警报28第6章 入侵检测技术 入侵检测技术概述入侵检测技术分类基于主机/网络的入侵检测技术混合型的入侵检测技术先进入侵检测技术分布式的入侵检测架构入侵检测系统的设计思路29入侵检测技术分类 分类方法入侵检测的信息源具体的入侵检测系统30入侵检测技术分类 分类方法按照信息源的分类:基于主机的入侵检测、基于网络的入侵检测、基于应用的入侵检测。按照检测方法的分类：滥用（

18、misuse）入侵检测和异常（anomaly）入侵检测。按照工作方式分类标准：在线检测系统和离线检测系统（实时和非实时处理系统）。按照体系结构：集中式、等级式和协作式。31分类方法按照信息源的分类：从数据来源看，入侵检测通常可以分为两类： 基于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数据源，并辅之以主机上的其他信息，在此基础上完成检测攻击行为的任务。特别的，从主机入侵检测技术中还可以单独分离出基于应用的入侵检测类型，这是特别针对于某个特定任务的应用程序而设计的入侵检测技术，采用的输入数据源是应用程序的日志信息。主机IDS示意图关键问题

19、：监视与分析主机的审计记录可以不运行在监控主机上能否及时采集到审计记录？如何保护作为攻击目标主机审计子系统？主机IDS特点：能够监测的网络和主机活动更加细腻视野集中，比如：一旦入侵者得到了一个主机的用户名和口令，基于主机的代理是最有可能区分正常的活动和非法的活动的易于用户剪裁 对网络流量不敏感：数据来源不完全源于网络适用于被加密的以及切换的环境基于主机的入侵检测能够较为准确地监测到发生在主机系统高层的复杂攻击行为。其中，许多发生在应用进程级别的攻击行为是无法依靠基于网络的入侵检测来完成的。同时，基于主机的入侵检测系统也有若干显而易见的缺点： 首先，它严重依赖于特定的操作系统平台。其次，它在所保

20、护主机上运行，这影响宿主机的运行性能。它通常无法对网络环境下发生的大量攻击行为作出及时的反应。3536分类方法基于网络的入侵检测通过监听网络中的数据包来获得必要的数据来源，并通过协议分析、特征匹配、统计分析等手段发现当前发生的攻击行为。网络入侵检测技术也有一种特殊的情况，即所谓基于网络结点的入侵检测，其输入数据来源仅为检测模块所在主机的网络进出流量信息。结点入侵检测技术的目的在于减轻数据处理的负担，将计算量分散在各个网络结点主机之上。网络IDS示意图关键问题在共享网段上对通信数据进行侦听采集数据 主机资源消耗少 提供对网络通用的保护如何适应高速网络环境？非共享网络上如何采集数据？网络IDS优点

21、侦测速度快隐蔽性好 视野更宽 较少的监测器 攻击者不易转移证据 操作系统无关性 占资源少 网络IDS不足只检查它直接连接网段的通信，不能检测在不同网段的网络包在使用交换以太网的环境中就会出现监测范围的局限而安装多台网络入侵检测系统的传感器会使部署整个系统的成本大大增加。通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。可能会将大量的数据传回分析系统中，在一些系统中监听特定的数据包会产生大量的分析数据流量处理加密的会话过程比较困难，目前通过加密通道的攻击尚不多，但随着IPV6的普及，这个问题会越来越突出。网络节点入侵检测(NNIDS)NNI

22、DS概况也称为Stack-Based IDS安装在网络节点的主机中结合了NIDS和HIDS的技术适合于高速交换环境和加密数据42分类方法按照检测方法的分类：从数据分析手段看，入侵检测通常可以分为滥用（misuse）入侵检测和异常（anomaly）入侵检测。滥用入侵检测的技术基础是分析各种类型的攻击手段，并找出可能的“攻击特征”集合。滥用入侵检测利用这些特征集合或者是对应的规则集合，对当前的数据来源进行各种处理后，再进行特征匹配或者规则匹配工作，如果发现满足条件的匹配，则指示发生了一次攻击行为。异常入侵检测的假设条件是对攻击行为的检测可以通过观察当前活动与系统历史正常活动情况之间的差异来实现。首

23、先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 异常检测（ Anomaly Detection ）思想：任何正常人的行为有一定的规律需要考虑的问题：（1）选择哪些数据来表现用户的行为（2）通过以上数据如何有效地表示用户的行为，主要在于学习和检测方法的不同（3）考虑学习过程的时间长短、用户行为的时效性等问题Below Threshold levelsExceed Threshold LevelsSystem AuditMetricsProfilerIntrusionNormal Activity异常检测模型异常检测过程：前提：入侵是异常活动的子集 用户轮

24、廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围过程 监控 量化 比较 判定 修正指标:漏报(false positive),错报(false negative)优点可以检测到未知的入侵 可以检测冒用他人帐号的行为 具有自适应，自学习功能 不需要系统先验知识缺点漏报、误报率高入侵者可以逐渐改变自己的行为模式来逃避检测合法用户正常行为的突然改变也会造成误警 统计算法的计算量庞大，效率很低 统计点的选取和参考库的建立比较困难activity measuresprobable intrusionRelatively high false positive rate

25、- anomalies can just be new normal activities.误用检测（Misuse Detection）思想：主要是通过某种方式预先定义入侵行为，然后监视系统，从中找出符合预先定义规则的入侵行为误用信号需要对入侵的特征、环境、次序以及完成入侵的事件相互间的关系进行描述重要问题（1）如何全面的描述攻击的特征（2）如何排除干扰，减小误报（3）解决问题的方式System AuditMetricsPattern MatcherIntrusionNormal ActivityNo Signature MatchSignature Match误用检测模型误用检测过程前提：所

26、有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 过程 监控 特征提取 匹配 判定 指标 错报低 漏报高 优点:算法简单、系统开销小、准确率高、效率高缺点：被动：只能检测出已知攻击 、新类型的攻击会对系统造成很大的威胁 模式库的建立和维护难：模式库要不断更新知识依赖于：硬件平台、操作系统、系统中运行的应用程序Intrusion Patternsactivitiespattern matchingintrusionCant detect new attacksExample: if (src_ip = dst_ip) then

27、“land attack”51分类方法比较而言，滥用入侵检测比异常入侵检测具备更好的确定解释能力，即明确指示当前发生的攻击手段类型，因而在诸多商用系统中得到广泛应用。另一方面，滥用入侵检测具备较高的检测率和较低的虚警率，开发规则库和特征集合相对于建立系统正常模型而言，也要更方便、更容易。滥用检测的主要缺点在于一般只能检测到已知的攻击模式。而异常检测的优点是可以检测到未知的入侵行为。从现有的实际商用系统来看，大多数都是基于滥用入侵检测技术。不过，在若干种优秀的入侵检测系统中，也采用了不同形式的异常入侵检测技术和对应的检测模块。联合使用这两种检测技术势在必行。52分类方法另外的分类标准：实时和非实

28、时处理系统。非实时的检测系统通常在事后收集的审计日志文件基础上，进行离线分析处理，并找出可能的攻击行为踪迹，目的是进行系统配置的修补工作，防范以后的攻击。实时处理系统可以实时监控，并在出现异常活动时及时做出反应。实时的概念是一个根据用户需求而定的变量，当系统分析和处理的速度处于用户需求范围内时，就可以称为实时入侵检测系统。入侵检测的步骤 入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生，或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤：信息收集、数据分析和响应。信息收集 入侵检测的第一步就是信息收集，收集的内容包括整个计算机网络中系统、网络、数据及用

29、户活动的状态和行为。入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够防止被篡改而收集到错误的信息。否则，黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。数据分析数据分析（Analysis Schemes）是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵检测两类。 响应 数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应

30、。1、将分析结果记录在日志文件中，并产生相应的报告。2、触发警报：如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。3、修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。57入侵检测技术分类 入侵检测的信息源操作系统的审计记录系统日志应用程序日志信息基于网络数据的信息源其他的数据来源信息源的选择问题58入侵检测的信息源对于入侵检测系统而言，输入数据的选择是首先需要解决的问题： 入侵检测的输出结果，首先取决于所能获得的输入数据的数量和质量。具体采用的入侵检测技术类型，也常常因为所选择的输入数据的类型不同而各不相同。59操作系统的审计记录

31、在入侵检测技术的发展历史中，最早采用的入侵检测源就是操作系统的审计记录。操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的，其目的是记录当前系统的活动信息，并将这些信息按照时间顺序组织成为一个或多个审计文件。存在的问题：不同的系统在审计事件的选择、审计记录的选择和内容组织等诸多方面都存在着兼容性的问题。操作系统审计机制的设计和开发的初始目标，并不是为了满足后来才出现的入侵检测技术的需求目的。60操作系统的审计记录操作系统审计记录被认为是基于主机入侵检测技术的首选数据源：操作系统的审计系统在设计时，就考虑了审计记录的结构化组织工作以及对审计记录内容的保护机制，因此操作系统审计记录的安

32、全性得到了较好的保护。操作系统审计记录提供了在系统内核级的事件发生情况，反映的是系统底层的活动情况并提供了相关的详尽信息，为发现潜在的异常行为特征奠定了良好的基础。下面分别介绍两种流行的操作系统Sun Solaris和Windows 2000的审计系统机制及审计记录格式。61操作系统的审计记录Sun Solaris BSMSun公司的Solaris操作系统是目前流行的服务器UNIX操作系统，其中包含的BSM安全模块使得Solaris系统满足TCSEC标准的C2级审计功能要求。BSM安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等，其中审计日志由一个或多个审计文件组成，每个审

33、计文件包含多个审计记录，而每个审计记录则由一组审计令牌（audit token）构成。图1所示为BSM审计记录的格式。图2所示为每个审计令牌包括的字段。Header*Process*Argumnet*Attribute*DataIn_addrIpIpc_permIpcIportPath*TextGroupsOpaqueReturn*Trailer图1Header Tokentoken IDrecord sizeevent type *time of queue *Process Tokentoken IDaudit ID *user ID *real user IDreal group ID*

34、process ID*Argument Tokentoken IDargument IDargument value *string lengthtextReturn Tokentoken IDuser errorreturn value *Trailer Tokentoken IDmagic numberrecord sizePath Tokentoken IDsize of rootcurrent rootsize of dircurrent dirsize of pathpath argument *Attribute Tokentoken IDvnode mode *vnode uid

35、 *vnode gid *vnode fsid *vnode nodeid *vnode rdev *图263操作系统的审计记录每个BSM审计记录都表示了一次审计事件（audit event）的发生。BSM审计机制中定义了若干审计事件类型，而通常的入侵检测系统仅使用了其中部分事件类型，其他则丢弃。不同的审计事件类型所生成的审计记录，都会包含不同的审计令牌组合。一般而言，Header、Process、Return和Trailer令牌字段是固定字段。BSM审计记录以二进制的形式进行存储，其字段结构和数据结构大小都实现了预先定义，从而提供了在不同平台系统间进行移植的兼容性。64操作系统的审计记录在传

36、统的Unix系统中，没有单独的内核级审计措施。系统通过Syslog和accton等传统日志来实现审计功能的。为了达到C2安全级别，Solaris系统实现了一个单独的安全审计模块BaseSecurityModule (BSM)，BSM默认在系统中不启用。在Solaris 2.3之后的系统中，BSM成为Solaris初始化系统的一部分，因此只要安装了Solaris系统，BSM默认就已存在于您的系统内了。开启BSM: # init 1 (重新引导或改变运行级别到单用户状态) #/etc/security/bsmconv (运行BSM初始化脚本，开启审计功能) # /etc/security/bsmu

37、nconv (关闭审计功能)# reboot (重新启动系统) 65操作系统的审计记录在默认配置情况下，BSM每天(24小时)会生成一个以当天日期为名字的审计日志，存放在/var/audit目录下，这个文档具备自己的数据结构，所以直接查看时是乱码，必须使用系统命令 praudit来查看。 # praudit /var/audit/xxxxxx.xxxxxx.log 另一个可能用到的命令是auditreduce ，这个命令允许管理员对审计日志做一些配置，例如调整审计事件集或调整审计日志生成周期等等。 auditreduce和praudit是系统中BSM管理最基本的两个命令。66操作系统的审计记录

38、Windows 2000Windows 2000以事件日志机制形式提供数据源，使用事件查看器进行查看和管理。可以根据事件的日志记录来识别和跟踪安全性事件、资源使用情况，以及系统和应用程序中发生的错误等。Windows 2000事件日志机制收集3种类型的系统事件： 应用程序日志、安全日志和系统日志。右击某个记录，在“属性”中可以看到关于此记录的详细说明。记录本身又分为几种情况： “错误”是指比较严重的问题，通常是出现了数据丢失或功能丢失；“警告”则表明情况暂时不严重，但可能会在将来引起错误，比如磁盘空间太小等；“信息”是记录运行成功的事件。67操作系统的审计记录Windows 2000事件查看器

39、68操作系统的审计记录应用程序日志记录应用程序运行方面的错误。安全日志记录与安全性相关的事件，Windows 2000的默认安装是不打开任何安全日志审核的，需要在“本地安全设置”“本地策略”“审核策略”中打开相应的审核。系统日志包括由Windows 2000系统组件记录的事件，它由Windows 2000自动配置。所有用户都能够查看应用程序日志和系统日志，但安全性日志只能由系统管理员访问。69操作系统的审计记录Windows 2000的事件日志由多个事件记录组成，事件查看器中所包含的事件日志的格式统一如下：类型：错误： 重要的问题，如数据丢失或功能丧失。警告： 不是非常重要但将来可能出现的问题

40、事件。信息： 描述应用程序、驱动程序或服务的成功操作的事件。成功审核： 审核安全访问尝试成功。失败审核： 审核安全访问尝试失败。日期： 事件产生的详细日期。70操作系统的审计记录时间： 事件产生的详细时间，单位秒。来源： 事件的生成者，有很多种类的来源，其中有来自操作系统内部程序的，也有来自应用程序的。分类： 对事件的分类，如系统事件、特权使用、登录/注销等。事件： 事件ID。Windows 2000用不同的ID来表明惟一的事件。用户： 用户名。包括SYSTEM、Administrator等。计算机： 计算机名称。可以是本地计算机，也可以是远程计算机。71入侵检测技术分类 入侵检测的信息源操作

41、系统的审计记录系统日志应用程序日志信息基于网络数据的信息源其他的数据来源信息源的选择问题72系统日志系统使用日志机制记录下主机上发生的事情，无论是对日常管理维护，还是对追踪入侵者的痕迹都非常关键。日志可分为操作系统日志和应用程序日志两部分。操作系统日志从不同的方面记录了系统中发生的事情，对于入侵检测而言具备重要的价值。系统日志的安全性与操作系统的审计记录比较而言要差一些，其原因如下： 产生系统日志的软件通常是在内核外运行的应用程序，因而这些软件容易受到恶意的修改或攻击。系统日志通常是存储在普通的不受保护的文件目录里，容易受到恶意的篡改和删除等操作。73系统日志尽管如此，系统日志仍然以其简单易读

42、、容易处理等优势成为入侵检测的一个重要输入数据源。UNIX操作系统提供门类齐全的系统日志文件，并且能够通过通用日志服务后台程序syslogd来提供标准化的日志服务。UNIX操作系统的主要日志文件可以分成3类： 二进制连接时间日志文件，由多个程序生成，消息写入到/var/log/wtmp和/var/run/utmp，login等系统程序负责更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。进程日志，由系统内核生成。当一个进程终止时，系统内核为每个进程在进程日志文件（pacct或acct）中写入一条记录。74系统日志syslogd日志，由syslogd生成并维护。各种系统守护进程

43、、内核、模块使用syslogd记录下自己发出的消息。另外还有许多UNIX程序创建日志，像http 或ftp这样提供网络服务的服务器也保持详细的日志。utmp、wtmp和lastlog日志文件是UNIX日志子系统的关键，用于保持用户登录和退出的记录。数据交换、关机和重启也记录在wtmp文件中。所有的记录都包含时间戳。这些文件的规模（除了lastlog）在拥有大量用户的繁忙系统中，将会增长得非常迅速。许多系统以天或周为单位把wtmp配置成循环使用。75系统日志utmp、wtmp和lastlog是二进制文件，不能用普通文本查看器查看，只能通过系统命令来查看，主要包括用户名、终端、登录ip、CPU使用

44、时间、正在运行的进程、登录时间和退出时间等内容。UNIX可以跟踪每个用户运行的每条命令。该功能（称为进程日志）对于跟踪系统问题十分有用。它还对跟踪特定入侵者（或恶意用户）的活动很有帮助，但它的缺点是不能记录命令的参数。进程日志文件的名称和位置在不同UNIX 版本中有所不同。与连接日志不同，进程日志默认时并不激活，它必须显式地启动。 lastcomm命令报告以前执行的命令。sa命令报告、清理并维护进程日志文件。 76系统日志syslog可以记录系统事件，可以写消息到一个文件或设备，或是直接给用户发送一个信息。它能记录本地日志或通过网络记录另一个主机上的日志。syslog设备包括两个重要元素： /

45、etc/syslogd（守护程序）和/etc/syslog.conf （配置文件）。syslogd可以处理的消息类型在/usr/include/sys/syslog.h中进行定义。一个消息可以分成两个部分： “设备”和“优先级”。“设备”标识发出消息的子系统，这是内核定义的所有的设备。“优先级”表示消息的重要性，其范围从7（最低）到0（最高）。77系统日志通过syslogd生成的文件有着的统一格式， 时间戳： 主机名： 消息发送者： 消息描述。例如：Jun 12 110611 Invent passwd337: password for progs changed by root表示6月12日

46、11时6分11秒，名为Invent的主机收到来自passwd的消息，描述用户progs的口令被root改变了。78入侵检测技术分类 入侵检测的信息源操作系统的审计记录系统日志应用程序日志信息基于网络数据的信息源其他的数据来源信息源的选择问题79应用程序日志信息日益复杂化的系统设计，使得单纯从内核底层级的数据源来分析判断当前整个系统活动的情况，变得越来越困难。同时，底层级别安全数据的规模也迅速膨胀，增加了分析的难度。此时，需要采用反映系统活动的较高层次信息，例如应用程序日志，作为分析检测的数据源。应用程序日志因为是用户级别的系统活动抽象信息，所以更加容易理解和处理。其次，网络化计算环境的普及，导

47、致入侵攻击行为的目标越来越集中于提供网络服务的各种特定应用程序。80应用程序日志信息采用应用程序日志作为入侵检测的输入数据源，也存在着问题和风险：应用程序的日志信息通常更易遭到恶意的攻击，包括篡改和删除等操作。尽管很多操作系统提供应用程序级别的审计功能，但是很多特定的应用程序中并不包括这些审计特性，或者是审计功能并没有提供足够详细的信息。81入侵检测技术分类 入侵检测的信息源操作系统的审计记录系统日志应用程序日志信息基于网络数据的信息源其他的数据来源信息源的选择问题82基于网络数据的信息源近年来商用入侵检测系统大多采用了网络数据作为其主要的输入数据源。采用网络数据源具有以下优势：通过网络被动监

48、听的方式来获取网络数据包，作为入侵检测系统输入信息源的工作过程，对目标监控系统的运行性能几乎没有任何影响，并且通常无须改变原有网络的结构和工作方式。嗅探器（sniffer）模块在工作时，可以采用对网络用户透明的模式，因而降低了其本身遭到入侵者攻击的概率。83基于网络数据的信息源基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段。网络数据包的标准化程度，相对主机数据源而言要高许多。因此，采用网络数据作为输入信息源，有助于入侵检测系统在不同目标系统平台环境下的移植工作。目前，大部分的网络环境都采用了标准的TCP/IP协议作为通信协议，因此大部分的入侵检测系统的数据分析的重点也

49、放在了对TCP/IP协议数据包的截获和分析工作上。84入侵检测技术分类 入侵检测的信息源操作系统的审计记录系统日志应用程序日志信息基于网络数据的信息源其他的数据来源信息源的选择问题85其他的数据来源来自其他安全产品的数据源入侵检测只是整体安全防护模型中的一部分。在目标系统内部还可能存在许多其他独立运行的安全产品。无疑，来自安全产品的数据信息是进行更加有效的准确的入侵检测所必须考虑的输入数据源。入侵检测系统采用其他安全产品的事件日志作为自己的输入数据源，可以凸现入侵检测在整个动态计算机安全模型中的关键角色和重要地位，显示出动态安全监控的能力在应付当前日益复杂的安全威胁模式中所发挥的不可或缺的作用

50、。86其他的数据来源来自网络设备的数据源除了直接从网络截获数据包作为输入数据外，入侵检测系统还能够利用其他网络设备所提供的关于网络数据流量的各种信息数据。通过采用网络管理系统提供的信息，入侵检测系统可以更好地确定输出的检测结果是与系统安全方面相关的问题，还是与其他方面相关的问题，从而有助于降低检测的误报概率。另外一个有用的网络设备数据来源，是路由器或者交换机提供的数据信息。这些日志文件中的数据信息大多是反映了当前网络活动情况的统计数据，利用这些输入数据源，入侵检测同样可以提高自身检测结果的准确性和精确性。87其他的数据来源带外（out of band）数据源所谓“带外”数据源通常是指由人工方式

51、提供的数据信息。带外数据源的例子还包括系统管理员对入侵检测系统所进行的各种管理控制操作。目前的入侵检测技术对如何合理有效地利用这些“带外”数据源方面的研究还很不充分。除了上面所述的全部数据源之外，还有一种特殊的数据源类型，即来自文件系统的信息源。88信息源的选择问题基本的原则是根据入侵检测系统设计的检测目标来选择所需的输入数据源。如果设计要求检测主机用户的异常活动，或者是特定应用程序的运行情况等，采用主机数据源是比较合适的；如果需要发现通过网络协议发动的入侵攻击就要采用来自网络数据的输入信息。如果系统设计要求监控整个目标系统内的总体安全状况等，此时就需要同时采用来自主机和网络的数据源；在分布式

52、的环境下，或许还要考虑到包括带外数据在内的其他类型数据源。89第6章 入侵检测技术 入侵检测技术概述入侵检测技术分类基于主机/网络的入侵检测技术混合型的入侵检测技术先进入侵检测技术分布式的入侵检测架构入侵检测系统的设计思路90主机审计数据的获取审计数据的获取质量和数量，决定了主机入侵检测工作的有效程度。审计数据的获取工作主要需要考虑下列问题。 确定审计数据的来源和类型。审计数据的预处理工作，其中包括记录标准格式的设计、过滤和映射操作等。审计数据的获取方式，包括审计数据获取模块的结构设计和传输协议等。91入侵检测的信息源操作系统的审计记录系统日志应用程序日志信息基于网络数据的信息源其他的数据来源

53、信息源的选择问题92主机审计数据的获取根据目标系统的不同类型和主机入侵检测的不同要求，所需要收集的审计数据的类型不尽相同。从目标主机的类型来看，不同操作系统的审计机制设计存在差异，主机活动的审计范围和类型也有不同。根据不同主机入侵检测系统的设计要求和需要，其具体选取的审计数据类型和来源也各有侧重。93主机审计数据的获取以IDES系统为例。IDES在Sun UNIX目标系统环境下所收集到的审计数据，主要分为4个典型类型。文件访问: 包括对文件和目录进行的操作，如读取、写入、创建、删除和访问控制列表的修改。系统访问: 包括登录、退出、调用以及终止超级用户权限等。资源消耗: 包括CPU、I/O和内存

54、的使用情况。进程创建命令的调用: 指示一个进程的创建。94主机审计数据的获取IDES必须从Sun环境中的多个不同信息源来收集审计数据。这些信息源包括： Sun OS 4.0 标准审计系统、Sun C2 安全审计包和UNIX记账系统。标准Sun OS 4.0系统在日志文件中收集所有的审计信息。在所定义的时间间隔内，系统将关闭一个审计文件，并开始写入审计记录到一个新文件。原先所使用的文件将保持不变，直至被系统管理员手工删除（或者被一个授权的自动进程删除）。IDES所用的审计数据来自Sun C2安全包。对于运行在Sun OS 4.0或者更新版本上的系统，目标系统可以通过对该安全包的配置和使用，使得目

55、标机器可以在一个审计日志文件中记录所选择的系统调用。95主机审计数据的获取在确定审计数据的类型和来源后，主机入侵检测所要进行的主要工作就是审计数据的预处理工作，包括映射、过滤和格式转换等操作。预处理工作的必要性体现在以下几个方面。 有利于系统在不同目标平台系统之间的移植；便于后继的处理模块进行检测工作。需要对审计记录流进行必要的映射和过滤等操作。96主机审计数据的获取标准审计记录格式的设计以IDES系统为例，IDES审计记录格式是基于若干设计考虑的。它必须通用程度足够高，以便能够表示目标监控系统的所有可能事件类型。它应该是该机器中最有效的数据表示形式，以将处理开销降低到最小程度。记录格式应该按

56、标准化设计，使IDES能够从多个不同类型的机器处接收输入记录，而无须进行任何的数据转换。理想的情况下，审计记录只进行一次格式化。IDES审计记录用动作类型来进行分类。共有约30种不同的动作类型。每个IDES审计记录包括一个动作类型和若干字段，用于对该动作进行参数化取值。以下是为IDES入侵检测分析而定义的部分动作类型。 97审计数据的获取IA_VOID： 此为没有操作。IA_WRITE： 文件被打开以备写入或者已经写入。IA_READ： 文件被打开以备读取或者已经读取。IA_DELETE： 所指定的文件已被删除。IA_CREATE： 所指定的文件被创建。IA_RMDIR： 所指定的目录被删除。

57、IA_XHMOD： 所指定文件的访问模式已经改变。IA_EXEC： 所指定的命令已经被调用。IA_XHOWN： 所指定对象（文件）的所有权已经改变。IA_RENAME： 文件被重命名。IA_MKDIR： 目录被创建。IA_LOGIN： 指定用户登录进入系统。IA_BAD_LOGIN： 指定用户的登录尝试失败。IA_SU： 调用超级用户权限。IA_RESOURCE： 资源（内存、CPU时间、I/O）被消耗。IA_LOGOUT： 所指定的用户退出系统。IA_UNCAT： 其他所有未指定的动作。98主机审计数据的获取IDES的功能取决于其所接收到的信息。因此，每个审计记录中应该尽可能地提供更多的信息

58、。IDES系统认为并非所有的目标系统都能够提供IDES所期望接收的所有信息，因此在审计记录格式里，能够忽略若干字段以便容纳那些不能提供这些信息的目标主机。在IDES审计记录中所有能够被填入相关信息的字段都应该被填写。如果对某些字段没有相关数据，则这些字段应被设定为某些明显的默认值。并不是所有的可检测事件都需要报告给IDES。99主机审计数据的获取审计数据获取模块的设计审计数据获取模块的主要作用是获取目标系统的审计数据，并经过预处理工作后，最终目标是为入侵检测的处理模块提供一条单一的审计记录块数据流，供其使用。审计数据获取模块的具体设计根据主机入侵检测系统的具体特点，而有所区别。最简单的情况是审

59、计数据获取模块与检测处理模块同时留驻在目标主机系统上。此时，审计数据获取模块的设计就很简单，只需要提供经处理的审计记录块即可。100主机审计数据的获取审计数据获取模块的设计较为复杂的设计环境是，负责入侵检测工作的处理模块位于目标监控主机系统之外的特定控制台上，而所监控目标主机系统的数目又并非单台主机的情况（通常是一组经过网络环境连接起来的主机系统）。以IDES/NIDES系统为例：在IDES系统中，审计数据获取模块体现为“邻域接口”的概念。邻域接口包括两个主要部件： 目标系统组件（Agen）和IDES组件（Arpool）。在Agen和Arpool组件之间采用的是RPC（远程过程调用）通信协议，

60、这就允许在Agen和Arpool之间实现客户机/服务器的通信模式，其中将Arpool作为服务器。Agen是留驻在目标系统上的组件，通常Agen以离散的时间间隔对每一个审计文件进行轮询，以确定目标主机是否已经加入了新的审计数据。101主机审计数据的获取审计数据获取模块的设计Arpool留驻在邻域接口的服务器端，即它的目的是接收从多个目标机器发来的IDES格式的审计记录，并将它们序列化成一个单独的记录流，然后再对数据做进一步的处理。Arpool同时也是一个用来存储等待IDES处理的审计记录的临时缓存。IDES系统中增强了标准的RPC机制，允许RPC服务器进程暂时阻塞一个客户，转而继续其他请求的服务