第三讲基于主机的入侵检测技术

第三讲基于主机的入侵检测技术信息科学与工程学院张琳琳新疆大学《入侵检测技术》课程ZhanglinlinContents审计数据的获取1用于入侵检测的统计模型2入侵检测的专家系统3基于状态转移的入侵检测技术4补充：IDS的部署IDS的位置一般选择在尽可能靠近攻击源或受保护的资源处通常是在服务器区域的交换机上Internet接入路由器之后的第一台交换机上重点保护网段的局域网交换机经典的部署方式基于主机的入侵检测部署图基于网络的部署Zhanglinlin基于主机的IDS部署基于网络的IDS部署基于网络的IDS系统由遍及网络中每个网段的传感器组成。传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包基于网络的IDS部署如图所示当单位内部网络存在多个网段时，建议在每个网段分别安装一个传感器Zhanglinlin基于网络的IDS部署基于网络的IDS部署（续）对于大型网络来说，在每个三层交换机上安装一个网络传感器Zhanglinlin基于网络的IDS部署（续）对于小型网络来说，可以仅在中心交换机上安装一个网络传感器Zhanglinlin部署之二Zhanglinlin示例：企业解决方案-蓝盾应用1Zhanglinlin示例：企业解决方案-蓝盾应用2ZhanglinlinZhanglinlinZhanglinlinContents审计数据的获取1用于入侵检测的统计模型2入侵检测的专家系统3基于状态转移的入侵检测技术4审计数据的获取审计数据的获取质量和数量，决定了主机入侵检测工作的有效程度。审计数据的获取工作主要需要考虑三个问题Zhanglinlin确定审计数据的来源和类型对审计数据进行预处理记录标准格式的设计、过滤、映射审计数据的获取方式获取模块的设计、传输协议审计数据类型与来源审计数据类型不尽相同从目标主机的类型来看，不同操作系统的审计机制设计存在差异，主机活动的审计范围和类型也有不同。根据不同主机入侵检测系统的设计要求和需要，其具体选取的审计数据类型和来源也各有侧重。以IDES系统为例，说明IDES在SunUNIX目标系统环境下所收集到的审计数据ZhanglinlinIDES系统IDES系统设计模型ZhanglinlinIDES系统设计模型IDES系统结构IDES系统结构IDES在SunUNIX目标系统IDES在SunUNIX目标系统环境下所收集到的审计数据类型，有四种典型类型Zhanglinlin文件访问。包括对文件和目录进行的操作，如读取、写入、创建、删除和访问控制列表的修改。系统访问:包括登录、退出、调用以及终止超级用户权限等。资源消耗:包括CPU、I/O和内存的使用情况。进程创建命令的调用:指示一个进程的创建。IDES在SunUNIX目标系统审计数据的来源ZhanglinlinSunOS4.0标准审计系统SunC2安全审计包UNIX记账系统在日志文件中收集所有的审计信息。对于运行在SunOS4.0或者更新版本上的系统，目标系统可以配置成使用该安全包，使得每个目标机器可以在一个审计日志文件中记录所选择的系统调用。目的：获得CPU的使用数据审计数据的获取审计数据的获取质量和数量，决定了主机入侵检测工作的有效程度。审计数据的获取工作主要需要考虑三个问题Zhanglinlin确定审计数据的来源和类型对审计数据进行预处理记录标准格式的设计、过滤、映射审计数据的获取方式获取模块的设计、传输协议审计数据的预处理在确定审计数据的类型和来源后，主机入侵检测所要进行的主要工作就是审计数据的预处理工作，包括映射、过滤和格式转换等操作。预处理工作的必要性体现在以下几个方面。有利于系统在不同目标平台系统之间的移植；便于后继的处理模块进行检测工作。需要对审计记录流进行必要的映射和过滤等操作。Zhanglinlin审计数据的预处理标准审计记录格式的设计要求Zhanglinlin通用程度高以便能够表示目标监控系统的所有可能事件类型。最有效的数据表示形式以将处理开销降低到最小程度。标准化使IDES能够从多个不同类型的机器处接收输入记录，而无须进行任何的数据转换。理想的情况下，审计记录只进行一次格式化。Zhanglinlin审计数据的预处理示例-IDES用动作类型来进行分类，共有约30种不同的动作类型。如文件读取、写入等；这些动作包括了所有IDES所要监控的事件类型。IDES审计记录每个IDES审计记录包括一个动作类型和若干字段，用于对该动作进行参数化取值。固定部分：必须的信息，如timestamp、主体id和目标主机名称可变部分：根据动作的不同而不同为了适应不同目标系统的有限审计性能，对每一种动作类型的限定都具有较大的灵活性。审计数据的预处理示例-IDESIDES的动作类型ZhanglinlinIA_VOID：此为没有操作。IA_ACCESS：指定的文件被引用（但是没有读写）。IA_WRITE：文件被打开以备写入或者已经写入。IA_READ：文件被打开以备读取或者已经读取。IA_DELETE：所指定的文件已被删除。IA_CREATE：所指定的文件被创建。IA_RMDIR：所指定的目录被删除。IA_XHMOD：所指定文件的访问模式已经改变。IA_EXEC：所指定的命令已经被调用。IA_XHOWN：所指定对象（文件）的所有权已经改变。IA_LINK：已建立起到指定文件的一个连接。IA_CHDIR：工作目录已经改变。IA_RENAME：文件被重命名。IA_MKDIR：目录被创建。IA_LOGIN：指定用户登录进入系统。IA_BAD_LOGIN：指定用户的登录尝试失败。IA_SU：调用超级用户权限。IA_BAD_SU：调用超级用户权限的尝试。IA_RESOURCE：资源（内存、CPU时间、I/O）被消耗。IA_LOGOUT：所指定的用户退出系统。IA_UNCAT：其他所有未指定的动作。IA_RSH：远程外壳调用。IA_BAD_RSH：被拒绝的远程外壳调用。IA_PASSWD：口令更改。IA_RMOUNT：远程文件系统安全请求（网络文件服务器）。IA_BAD_RMOUNT：拒绝文件系统安装。IA_PASSWD_AUTH：口令确认。IA_BAD_PASSWD_AUTH：拒绝口令确认。IA_DISCON：Agen断开与Arpool的连接(伪记录)。审计数据的预处理示例-IDESIDES审计记录的C语言结构Zhanglinlinstructides_audit_header{unsignedlongtseq;charhostname[32];charremotehost[32];charttyname[16];charcmd[18];char_pad1[2];charjobname[16];enumides_audit_actionaction;time_ttime;

/*Unix部分*/};包含了每个审计记录中的固定赋值部分action字段定义了各种动作类型typedefstruct{longab_size;aud_typeab_type;unsignedlongrseq;time_trectime;ides_audit_headerah;unionab_args{charmaxbuf[AUP_USER];ides_path_desc_ipd[2];#defineab_path0_ipd[0].path#defineab_path1_ipd[1].path}arg_un;}ides_audit_block;包含了一个固定的定义（header结构），和一个可变部分（arg_un）可变部分表示可能需要提供的文件目录信息审计数据的预处理示例-IDESIDES审计记录设计中若干注意的问题每个审计记录应尽可能地提供更多的信息，这样会使IDES的功能更强大；审计记录中字段的信息应尽可能完整。对某些没有相关数据的字段，应被设定为默认值；并不是所有的可检测事件都要报告给IDES。一些冗余数据会增大IDES的处理负担。Zhanglinlin审计数据的预处理示例-STATSTAT系统的标准审计记录格式由3个部分定义组成：〈Subject,Action,Object〉Zhanglinlin审计数据的预处理示例-STATBSM审计记录到STAT审计记录的映射关系Zhanglinlin在总共239种BSM审计事件中，预处理器模块仅仅处理其中的28种审计事件，并将其映射到10种STAT操作类型上。审计数据的预处理示例-STAT10种标准的STAT操作类型以及对应的BSM审计事件类型Zhanglinlin审计数据的预处理示例-STAT对STAT预处理的说明预处理包括三个部分记录格式的设计映射过滤STAT系统还可根据BSM审计记录中的Return令牌字段值，来决定是否执行过滤操作。当该字段值为-1时，表明当前用户所调用的操作未能成功执行。对于没有成功执行的操作，STAT系统认为其没有导致系统状态的转换，因此可以将对应审计记录丢弃。Zhanglinlin审计数据的获取审计数据的获取质量和数量，决定了主机入侵检测工作的有效程度。审计数据的获取工作主要需要考虑三个问题Zhanglinlin确定审计数据的来源和类型对审计数据进行预处理记录标准格式的设计、过滤、映射审计数据的获取方式获取模块的设计、传输协议审计数据获取模块的设计审计数据获取模块的主要作用是获取目标系统的审计数据，并经过预处理工作后，最终目标是为入侵检测的处理模块提供一条单一的审计记录块数据流，供其使用审计数据获取模块的具体设计根据主机入侵检测系统的具体特点，而有所区别。最简单的情况是审计数据获取模块与检测处理模块同时留驻在目标主机系统上。此时，审计数据获取模块的设计就很简单，只需要提供经处理的审计记录块即可。例如，初始版本的STAT系统Zhanglinlin审计数据获取模块的设计较为复杂的设计环境是，负责入侵检测工作的处理模块位于目标监控主机系统之外的特定控制台上，而所监控目标主机系统的数目又并非单台主机的情况（通常是一组经过网络环境连接起来的主机系统）。设计时需要考虑的问题在各目标主机系统和中央分析控制台之间处理负荷的平衡问题采用何种传输协议；如何将从多个目标主机获得的审计数据多路复用成为一条单一审计记录数据流的问题如何处理诸如网络传输过程中可能出现的延时、遗漏等问题Zhanglinlin审计数据获取模块的设计—示例最简单的情况—初始版本的STAT系统使用的处理算法流程ZhanglinlinWhileTruedobegin

…33Endwhile2IfAudit_state=STARTthenbegin3Allocatememoryforauditrecord4AllocatememoryfortheptrofsizeBLOCK_SIZE5

Audit_state=NEXT_FILE6Endif7IfAudit_state=NEXT_FILEthenbegin8

Openauditfile9

Readablockfromauditfiletoptr10Advanceptrtothebeginningofthefirstrecord11Obtainprecedingfilename12

Audit_state=READ_FILE13Endif审计数据获取模块的设计—示例Zhanglinlin14IfAudit_state=READ_FILEthenbegin15Attempttoreadablockfromauditfiletoptr16

Ifsuccessfulthenbegin17IfptrindicatesAUT_OTHER_FILEthen18

Audit_state=CLOSE_FILE19Elsebegin20Callfilter_ittofilterthenextrecord21Ifrecordpassedthroughthefilterthen22

return(audit_record)23Endelse24Endif25Else26Reopenauditfile27Endif最简单的情况—初始版本的STAT系统使用的处理算法流程(续)28IfAudit_state=CLOSE_FILEthenbegin29Obtainnextauditfilename30Closecurrentauditfile31

Audit_state=NEXT_FILE32EndifZhanglinlinContents审计数据的获取1用于入侵检测的统计模型2入侵检测的专家系统3基于状态转移的入侵检测技术4用于入侵检测的统计模型Denning在1986年的经典论文中提出了4种可以用于入侵检测的统计模型。操作模型均值与标准偏差模型多元模型马尔可夫过程模型Zhanglinlin(1)主要关心对系统中所发生事件的计数度量情况，如观察在特定时间间隔内发生的失败登录事件的次数等。(2)通常的操作包括将所关心的特定事件计数值与某个阈值进行比较，如果超过，则指示生了异常情况(3)可同时应用于异常入侵检测和滥用入侵检测技术中(1)基础：系统当前状态特征可以采用数据的均值和标准偏差两个度量参数来刻画。(2)在检测过程中，如果当前用户行为超出了可信任的区间范围，则标示为异常行为。(3)信任区间的定义通常采用参数度量与其平均值的标准偏差值(1)是模型2的扩展；(2)

思想：在多个参数度量之间进行相关分析，从而摆脱单纯依赖单个度量值来判断系统当前状态的限制因素。用于入侵检测的统计模型操作模型均值与标准偏差模型多元模型马尔可夫过程模型Zhanglinlin(1)是4个模型中最复杂的统计模型。(2)思想：将每个审计记录中不同类型事件的出现视为随机变量的不同取值，然后采用随机过程模型来刻画入侵检测系统的输入事件流。(3)采用状态转移矩阵表示不同事件序列出现的概率值。如果当前审计事件按照正常的状态转移矩阵所计算出的发生概率小于某个阈值，则指示为异常行为。在早期的IDS中得到了很多应用。简单，无法检测以更多的异常行为类型应用于IDES及其后续发展的NIDES等典型应用：TIM(基于时间的推理机)系统用于入侵检测的统计模型—示例IDES采用入侵检测向量：当前系统的活动状态采用一组测量值参数变量来表示定义了3种不同类型的测量值：用户主体、目标系统主体和远程主机主体。4个类别的单独测量值活动强度测量值审计记录分布测量值类别测量值序数测量值Zhanglinlin补充：均值和标准偏差均值统计学术语，与“平均”（Average）意义相同表示一系列数据或统计总体的平均特征的值。例如：l、3、6，10、20这5个数的均值是8。Zhanglinlin补充：均值和标准偏差标准偏差(StdDev,StandardDeviation)统计学名词。一种量度数据分布的分散程度之标准，用以衡量数据值偏离算术平均值的程度。标准偏差越小，这些值偏离平均值就越少，反之亦然。公式示例Zhanglinlin用于入侵检测的统计模型—示例IDES用户主体类型的测量值序数测量值类别测量值审计记录分布测量值活动强度测量值ZhanglinlinCPU使用情况

I/O使用情况使用物理位置●邮件程序使用●编辑器使用●编译器使用●外壳使用●窗口命令使用●通用程序使用●通用系统调用使用●文件活动●文件使用●所访问用户的ID号…对于以上的每个测量值，在审计记录分布测量值中都有一个对应的类别。如：CPU测量的类型为：审计记录指示CPU使用的增量大于0每分钟的流量●每10分钟的流量●每小时的流量对于用户所生成的每一个审计记录，IDES系统经计算生成一个单独的测试统计值（IDES分数值，表示为T2），用来综合表明最近用户行为的异常程度。统计值T2本身是一个对多个测量值异常度的综合评价。因而IDES很好地体现了模型2和3.ZhanglinlinContents审计数据的获取1用于入侵检测的统计模型2入侵检测的专家系统3基于状态转移的入侵检测技术4Zhanglinlin入侵检测的专家系统什么是专家系统根据人们在某一领域内的知识、经验和技术而建立的解决问题和做决策的计算机软件系统，它能对复杂问题给出专家水平的结果。入侵检测的专家系统根据人们在入侵检测领域的知识、经验和技术而建立的解决问题和做决策的计算机软件系统，它能对复杂问题给出专家水平的结果。Zhanglinlin入侵检测的专家系统在最早期的若干入侵检测系统中就已经开始使用专家系统了。专家系统在知识库的基础上，根据所获得的事实和已知的规则进行推导，并得出结论。好处:用户无须了解具体系统内部的工作原理，只需要解决对问题的描述过程即可。不足：知识库的构建是一个耗时费力的艰苦过程。专家系统只能基于明确的、可靠的规则得出结论，对于超出已有规则范围的事实无法得出有用的结论Zhanglinlin入侵检测的专家系统——STAT系统组成STAT系统的架构设计图ZhanglinlinZhanglinlin规则事实推理引擎决策表预处理决策引擎入侵检测的专家系统——STAT系统STAT系统的架构设计图Zhanglinlin入侵检测的专家系统—示例（PBEST）规则翻译器pbcc接收一组规则（rule）和事实（fact）的定义后，生成一组C语言的例程，用来“断言”（assert）事实和处理规则运行时例程库包含了所有专家系统中的共享代码，并且包括支持交互式专家系统引擎的例程。这些交互式的环境能够帮助用户查看程序的运行情况、设置和清除断点、删除和“断言”事实以及观察规则点火的影响轨迹等垃圾收集例程删去不必要的事实，以节省内存Zhanglinlin入侵检测的专家系统—示例（PBEST）构建用于入侵检测的专家系统的步骤S1用户必须定义模式类型（ptype）和规则，用于构建专家系统的知识库S2设计一套用于与外部进行交互的接口机制，用于从外部获取信息和向外部发送信息。Zhanglinlin入侵检测的专家系统—示例（PBEST）模式类型示例ptype[countvalue:int]目的：建立一个关于事实的模式（pattern）或模板（template）。语法：ptype[countvalue:int]Zhanglinlin关键字事实类型变量名及类型入侵检测的专家系统—示例（PBEST）模式类型示例二，包含多个字段的模式类型ptypeZhanglinlinptype[sessionuserid:string,terminal:string,timeoutflag:int]规则与事实引用特定事实，用于检查特定类型的事实示例[+sessiontimeoutflag==1]存在性量词检查session类型的事实，其timeoutflag字段值是否为1PBEST规则组成语法Zhanglinlinrule[SimuLogon(#l;*):[+tr:transaction][+se:session|userid==tr.userid][?|se.terminal!=tr.terminal]==>[!|printf(SimuLogon:user%satterminals%s,%s\\n,tr.userid,tr.terminal,se.terminal)][–|tr][–|se]]关键字名称区优先级重复点火前提分隔符结论入侵检测的专家系统—示例（PBEST）构建用于入侵检测的专家系统的步骤S1用户必须定义模式类型（ptype）和规则，用于构建专家系统的知识库S2设计一套用于与外部进行交互的接口机制，用于从外部获取信息和向外部发送信息，并将其作为新事实加入到知识库中的主要办法ZhanglinlinPBEST构建一个输入接口的必要步骤S1为用户所需要加入到知识库中的事实做出对应的ptype类型声明。S2编写一个C语言函数，来调用正确的assert_〈ptypename〉()函数。将事实加入到知识库中S3编写一条规则，在其前提或者结论语句中加入对此C语言函数的调用。ZhanglinlinPBEST接口之step1Zhanglinlinptype[transactiondbid:string,cpuid:string,repdate:string,reptime:string,recdate:string,rectime:string,day:string,week:string,recordtype:string,jobname:string,userarea:string,usertype:string,userid:string,altuserid:string,terminal:string,logon:string,program:string,idesfile:string,command:string,

response:string,duration:string,enqueue:string]PBEST接口之step2Zhanglinlinassert_transaction(dbid,cpuid,repdate,reptime,recdate,rectime,day,week,recordtype,jobname,userarea,usertype,userid,altuserid,terminal,logon,program,idesfile,command,response,duration,enqueue,);return(GOOD_DATA);}PBEST接口之step3Zhanglinlin″Thisrulereadsdataintotheknowledgebaseusingthe″get_fact_record()routine.Ithasaverylow″prioritysoitdoesn’taddnewfactsuntiltheoldones″havebeenprocessed.rule[get_fact_record_data(#–99;*):[?|′retval!=′END_OF_FILE][+c:count]==>[/c|value+=1][!|retval=get_fact_record()]]PBESTZhanglinlinintget_fact_record(){inti,reader();/*Readarecordfromthefileintothebufferstrings.*/i=reader(infp,(structiovec*)iov1,26);if(i<1)if(i==-1){fprintf(stderr,Problemwithdatafile,error%d\\n,errno);return(NO_DATA);}ZhanglinlinContents审计数据的获取1用于入侵检测的统计模型2入侵检测的专家系统3基于状态转移的入侵检测技术4基于状态转移分析的入侵检测模型历史及版本历史最初的明确概念是在20世纪90年代初由美国加州大学圣巴巴拉分校的Porras和Ilgun提出并实现的Purdue大学的S.Kumar于1995年提出，称为基于有色Petri网（CP-Net）的模式匹配检测模型。版本USTAT:在UNIX环境下NSTAT:网络环境的多主机检测NetSTAT：最新一代，脱离了单纯进行主机入侵检测的结构，实现了分布式的入侵检测架构。实现该检测模型的原型系统称为IDIOT系统。Zhanglinlin基于状态转移分析的检测模型，将攻击者的入侵行为描绘为一系列的特征操作及其所引起的一系列系统状态转换过程，从而使得目标系统从初始状态转移到攻击者所期望的危害状态。基于状态转移分析的入侵检测模型思想采用“状态转移图”来表示一个具体的入侵攻击过程示例STAT状态转移图和目标系统审计记录的基础上，不断跟踪攻击者在完成整个攻击过程中所必须完成的每个关键步骤优点更直观更细微更强大（可检测到协同攻击）Zhanglinlin

缺点：STAT属于基于规则分析的滥用入侵检测系统，因此只能检测到已知的攻击类型状态转移图来表示具体的攻击行为状态转移图两个基本组件状态转移图的示意Zhanglinlin状态转移图通常包括一个初始状态、一个最终状态以及若干攻击行为步骤，及其引起的若干中间状态。每个状态结点，都对应着一组状态断言。当满足该组断言后，本次从上个状态到本状态的转移过程才成功发生。状态图的构建只选取那些最能代表攻击过程并同时引起系统状态改变的关键操作。即，找到状态和引起状态发生变化的断言说明：对于每个具体的攻击行为，都可能存在不同的状态转移图的表示方法。示例Zhanglinlin%lntarget-x%-x攻击者对属主为root且具有setuid特性的shell脚本target，创建一个硬连接（hard-link）文件，该连接文件的名称以字符‘-’开头。攻击者执行该连接文件“-x”。状态图的构建S1确定关键行为操作用户创建一个文件执行这个文件S2确定这些关键操作所引起的状态变化从初始状态和最终状态入手分析中间状态Zhanglinlin构建状态转移图的步骤：①分析具体的攻击行为，理解内在机理。②确定攻击过程中的关键行为点。③确定初始状态和最终状态。④从最终状态出发，逐步确定所需的各个中间状态及其应该满足的状态断言组。STAT系统的实现STAT系统设计图中，规则库中的状态描述表和特征操作表是系统设计的核心内容之一状态描述表状态断言组示例ZhanglinlinSDTnState-list1.State-list2.…#STATEDESCRIPTIONTABLE#FOR#USTAT###Unauthorizedaccesstouserprivileges#StateDescription-1#SD1:name(file1)=″-*″¬owner(file1)=USER&permitted(SUID,file1)&shell_script(file1)&permitted(XGRP,file1)|permitted(XOTH,file1).noteuid=USER.#STAT系统的实现STAT系统设计图中，规则库中的状态描述表和特征操作表是系统设计的核心内容之一特征操作表特征活动表示例ZhanglinlinSIGn:Action1;Action2;…#SIGNATUREACTIONSTABLE#for#USTAT##Unauthorizedaccesstouserprivileges#SignatureActions-1#SIG1:hardlink(file1,file2).execute(file1).##Unauthorizedaccesstouserprivileges#SignatureActions-2#SIG2:modify_perm(file1).#STAT系统的实现STAT检测引擎工作的基本原理STAT系统中引入“推理引擎表”来可视化表述推理引擎的工作原理Zhanglinlin每行都对应着某个具体攻击过程的活动实例每行对应着某个状态转移图的表现实例。每列则代表着攻击过程的某个具体步骤，指示着本次攻击实例的完成程度当推理引擎工作时，每次接收到一个新审计记录后，将首先判断当前哪个状态转移图的实例匹配当前的特征操作和转移状态，在表中找到该行后，将复制一个新行并加入到现有的推理引擎表中，并在对应的表格单元处进行标注STAT系统的实现STAT检测引擎工作的基本原理推理引擎表示例假定前例状态转移图，对应着状态描述表中的第h项，记为SDTh初始的推理引擎表ZhanglinlinSTAT系统的实现攻击过程的关键步骤用户A创建文件file1ZhanglinlinSTAT系统的实现攻击过程的关键步骤用户A创建文件file1用户B执行文件file2ZhanglinlinSTAT系统的实现攻击过程的关键步骤用户A创建文件file1用户B执行文件file2用户B读取文件file2ZhanglinlinZhanglinlinContents审计数据的获取1用于入侵检测的统计模型2入侵检测的专家系统3基于状态转移的入侵检测技术4文件完整性检查检查文件系统完整性的必要性Zhanglinlin目的是检查主机系统中文件系统的完整性，及时发现潜在的针对文件系统的无意或恶意的更改。为了抹去攻击活动的痕迹，攻击者还可能删除若干重要系统日志文件中的审计记录攻击者还可能安装非授权的特定程序，并且替换掉特定的系统程序，以掩盖非授权程序的存在攻击者在入侵成功后，经常在文件系统中安装后门或者木马程序，以方便后继的攻击活动。后门特定程序抹去痕迹为了达成拒绝服务攻击目的或者破坏目的，恶意修改若干重要服务程序的配置文件或者数据库数据恶意修改第73页共49页

对所要检查的每个目标文件生成一个惟一标识符，并将它们存储到一个数据库中进行检查时，对每个目标文件重新生成新的标识符，并将新标识符与数据库中存储的旧版本进行比较其次

可以确定目标文件是否发生了更改。最后基本思想文件完整性检查首先文件完整性检查的最初实现技术包括“检查列表”（checklist）技术文件完整性检查ZhanglinlinG.Kim设计开发了TripWire的系统原型，是文件完整性检查领域内最著名的工具软件。使用单向消息摘要算法，计算每个目标文件的校验和特征信息，然后将其存储到可靠的安全存储介质上（只读光盘等）；系统定时地计算目标文件的校验和特征，并与预先存储的特征信息进行比较，如果出现了差异，则向系统管理员发出报告信息。基本思路TripWire的系统设计模块示意图系统配置分析技术Zhanglinlin检查系统是否已经受到入侵活动的侵害，或者存在有可能被入侵的危险。技术目标通过检查系统的当前配置情况，来判断系统的当前安全状况。基本原理①一次成功的入侵活动可能会在系统中留下痕迹，这可以通过检查系统当前的状态来发现；②系统管理员和用户经常会错误地配置系统，从而给攻击者以入侵的可乘之机。为什么需要该技术COPS系统（ComputerOracleandPasswordSystem）著名实现工具系统配置分析技术—COPS系统COPS系统安全范围包括检查文件、目录和设备的访问权限模式。脆弱的口令设置。是否具有匿名FTP登录服务账户各种类型的根权限检查检查关键文件是否已经及时进行了升级或打上了补丁…ZhanglinlinCOPS功能强大检查系统的安全漏洞并以邮件或文件的形式报告给用户；以普通用户的身份运行，进行一些常规检查…COPS的检查方法为以后的许多系统安全扫描商业软件所借鉴。COPS系统负责报告所发现的安全问题，但是并不试图修复安全漏洞，这点与基本的入侵检测系统的设计理念相符合。本章小结审计数据的获取IDES,STAT用于入侵检测的统计模型IDES入侵检测的专家系