第7讲：第5章基于主机的入侵检测技术

0入侵检测技术分析北京信息科技大学刘凯liukai@第7讲1入侵检测技术分析

第五章基于主机的入侵检测技术2课程安排

入侵检测概述

5学时入侵检测技术分类3学时基于主机的入侵检测技术

2学时基于网络的入侵检测技术

3学时混合型的入侵检测技术

2学时先进的入侵检测技术

3学时分布式入侵检测架构

3学时设计考虑及响应问题

2学时入侵检测系统的评估与测试

3学时Snort分析

4学时入侵检测技术的发展趋势

2学时3教材及参考书《入侵检测技术》唐正军等清华大学出版社

《入侵检测技术》曹元大人民邮电出版社

《入侵检测》罗守山北京邮电大学出版社4第五章基于主机的入侵检测技术

审计数据的获取

审计数据的预处理基于统计模型的入侵检测技术基于专家系统的入侵检测技术基于状态转移分析的入侵检测技术

基于完整性检查的入侵检测技术基于智能体的入侵检测技术系统配置分析技术检测实例分析5上一章回顾

审计数据的获取和预处理基于统计模型的入侵检测技术基于专家系统的入侵检测模型基于状态转移分析的入侵检测技术65.6基于完整性检查的入侵检测技术

通常入侵者入侵时都会对一些文件进行改动，因此采用对文件系统进行完整性检验的入侵检测方式能够检测出对文件内容的非法更改，从而可判定入侵，与其他检测技术相结合将增强现有的入侵检测能力。文件完整性检验根据用户定制的配置文件对需要校验的文件系统内容进行散列计算，将生成的散列值与文件完整性数据库中存储的预先计算好的文件内容的散列值进行比较。不一致则说明文件被非法更改，并可判定发生入侵。75.6基于完整性检查的入侵检测技术

5.6.1文件完整性校验

文件备份主机B上存储了主机A上的文件系统的备份。主机B上的文件完整性数据库存储的是需要被检测的文件的各种inode属性值和文件内容的散列值。检测时主机A首先与文件备份主机B认证，然后对A上的配置文件和预先生成的文件完整性数据库的内容分别进行散列计算，将生成的散列值传输给B进行校验。如果该散列值与B上存储的值不一致，则B将存储的配置文件和文件完整性数据库的备份加密传输给A，进行文件恢复，然后再进行完整性校验。85.6基于完整性检查的入侵检测技术

5.6.2散列算法和计算速度常用的散列算法有MD5，CRC16，CRC32，Snefru，MD4，MD2，SHA和Haval等。散列算法通常实现了将任意长度的消息m压缩成一固定长度的散列值h，通过对散列值的校验能检测到对消息m的篡改、抵赖或伪造。它有下列特性。（1）易用性：对任意长度的m，计算h=H（m）很容易。（2）单向性：给定h，计算m，使得m=F（h）很困难。（3）无碰撞性：给定m，要找到另一个消息m’，满足H（m’）=H（m）很困难，这就保证了对原文有改动，但很难使文件内容的散列值保持不变。95.6基于完整性检查的入侵检测技术

5.6.3基于文件完整性检验的检测技术的检测能力

只有对文件进行非法修改后,该方法才能发挥作用.

通常无法用当前日志文件内容的散列值来判定是否被非法更改.

对于利用网络协议的脆弱性对网络服务质量的攻击,该方法无能为力.

该技术不具备对入侵检测行为的实时性由于大部分入侵系统都会对文件系统进行非法修改,它的作用不容忽视.

105.6基于完整性检查的入侵检测技术

5.6.4基于文件完整性检验的检测技术的工具

G.Kim设计开发了TripWire的系统原型，并发展成为文件完整性检查领域内最著名的工具软件.115.6基于完整性检查的入侵检测技术

5.6.4基于文件完整性检验的检测技术的工具

Tripwire的组成：Tripwire主要由策略和数据库组成。策略不仅指出Tripwire应检测的对象即文件和目录，而且还规定了用于鉴定违规行为的规则。数据库则用来存放策略中规定的检测对象的快照。除了策略和数据库外，Tripwire还有一个配置文件，用以控制数据库、策略文件和Tripwire可执行程序的位置等。

为了防止被篡改，Tripwire对其自身的一些重要文件进行了加密和签名处理。这里涉及到两个密钥：site密钥和local密钥。125.7基于智能体的入侵检测技术5.7.1智能体的定义和特点

智能体又称智能代理，是人工智能研究的新成果，它是在用户没有明确具体要求的情况下，根据用户需要，能自动执行用户委托的任务的计算实体。像邮件过滤智能体、信息获取智能体、桌面自动智能体等，将使Web站点、应用程序更加智能化和实用化。从技术的角度看，智能体是由各种技术支撑着的、许多实用的应用特性的集合，开发者正是使用这些应用特性来扩展应用的功能和价值，从而达到应用能自动执行用户委托的任务的目的。135.7基于智能体的入侵检测技术5.7.2智能体的定义和特点（1）智能性（2）代理性（3）移动性（4）主动性（5）协作性145.7基于智能体的入侵检测技术

5.7.3基于智能体的入侵检测技术采用智能体采集和分析数据有以下主要特点。（1）因为智能体是独立的运行实体，因此，不需改变其他的组件，即可向系统中增加或从系统中移走智能体。（2）如果一个智能体由于某种原因（如下线维护）而停止了工作，损失只局限在有限的范围内，不会造成整个系统的瘫痪，这就保证了系统的连续运行。（3）如果将智能体以分级结构的形式组织起来，可以使得系统的可伸缩性更好。（4）系统开销小、智能体的编程可以很灵活。（5）自主智能体采集数据的方法很灵活.155.7基于智能体的入侵检测技术

5.7.3基于智能体的入侵检测系统的典型结构

165.8系统配置分析技术

系统配置分析（又可称为静态分析）的技术目标是检查系统是否已经受到入侵活动的侵害，或者存在有可能被入侵的危险。静态分析技术通过检查系统的当前配置情况，例如，系统文件的内容以及相关的数据表等，来判断系统的当前安全状况。之所以称为“静态”分析，是因为该技术只检查系统的静态特性，并不分析系统的活动情况。175.8系统配置分析技术

配置分析技术的基本原理是基于如下两个观点：（1）一次成功的入侵活动可能会在系统中留下痕迹，这可以通过检查系统当前的状态来发现。（2）系统管理员和用户经常会错误地配置系统，从而给攻击者以入侵的可乘之机。185.8系统配置分析技术系统配置分析技术的一个最著名的实现工具是COPS系统。COPS系统所检查的系统安全范围包括如下类型：

⑴检查文件、目录和设备的访问权限模式。⑵脆弱的口令设置。⑶检查口令文件和组用户文件的安全性、格式和内容。⑷检查在/etc/rc*目录和cron中指定运行的文件和程序。⑸具有rootSUID属性的文件，检查它们是否可写，以及是否脚本程序。195.8系统配置分析技术系统配置分析技术的一个最著名的实现工具是COPS系统。COPS系统所检查的系统安全范围包括如下类型：

⑹对重要的二进制文件和其他文件计算CRC校验和，检查是否发生更改。⑺检查用户主目录下文件是否可写。⑻是否具有匿名FTP登录服务账户。⑼是否存在TFTP服务、Sendmail中别名情况以及在inetd.conf文件中隐藏的启动脚本程序等。

205.8系统配置分析技术系统配置分析技术的一个最著名的实现工具是COPS系统。COPS系统所检查的系统安全范围包括如下类型：

⑽各种类型的根权限检查。⑾按照CERT安全报告的发布日期，检查关键文件是否已经及时进行了升级或打上了补丁。

COPS系统负责报告所发现的安全问题，但是并不试图修复安全漏洞，这点与基本的入侵检测系统的设计理念相符合。215.9检测实例分析

5.9.1入侵行为1及应对措施入侵行为通过发现信息的一系列操作,黑客执行端口扫描,注意到许多机器的135,139,389和445端口都是开放的.

检测创建一个预设定流量的性能警报信息为网络适配器建立一个任务栏图标输入命令netstat–ptcp-n225.9检测实例分析

5.9.2入侵行为2及应对措施入侵行为试探帐号以图登录运行Whisker

检测设置和检查webservice-connectionattempts/sec

设置和检查webservice-notfounderrors/sec

设置和检查Server-Logon/sec

设置检查Server-errorLogon235.9检测实例分析

5.9.3入侵行为3及应对措施入侵行为若黑客发现网络中一台计算机的系统管理员口令为空,表明该系统刚刚安装不久.黑客要做的第一件事是上传木马程序和运行状况检测程序.如nc.exe,lsadump2.exe,tlist.exe等检测

打开任务管理器,会注意到cmd.exe和nc.exe使用explorer的查找功能,找到最新的生成文件

查看事件日志可以显示攻击者的计算机名称输入命令netstat–a–n可以找到与本地端口处于连接状态的IP地址信息245.9检测实例分析

5.9.4入侵行为4及应对措施

入侵行为黑客通过nc的远程命令行对你的内部网络计算机进行了扫描,发现了某文件服务器上的一个共享目录PUBLIC,并将此共享目录进行映射.

检测在命令行中输入命令:netview,可以观察到对内部文件服务器的驱动器映射情况.255.9检测实例分析

5.9.5小结

理论上只要坚持跟踪以下信息,几乎所有基于网络的攻击都能被检测出来.

网络上的拥挤程度和网络连接情况

Web拥挤程度和”pagesnotfound”错误的发生次数成功及失败的登录尝试对文件系统所进行的改变当前运行的应用程序和服务定时运行的应用程序或在启动时运行的应用程序265.10免费产品OSSEC

5.10.1简介

OSSEC属于基于主机和应用的入侵检测系统，通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用。

OSSEC是一款开源的多平台的入侵检测系统，可以运行于Windows,Linux,OpenBSD/FreeBSD,以及MacOS等操作系统中

主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。

275.10免费产品OSSEC

5.10.1简介除了具有入侵检测系统功能外，它还一般被用在SEM/SIM(安全事件管理(SEM：SecurityEventManagement)/安全信息管理(SIM：SecurityInformationManagement))解决方案中。因其强大的日志分析引擎，ISP(Internetserviceprovider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、入侵检测系统、网页服务和验证等产生的日志。285.10免费产品OSSEC

5.10.2工作原理

(1)administrator是一个Unix和linux平台下的命令行的用户接口(GUI)，主要起管理维护作用，对OSSEC的大部分管理、配置工作都在这里进行。

(2)eventview。这是一个单独的Unix、linux平台下的图形化用户界面，用于查看从Agent中获取的各种事件数据，也就是报警的窗口。

295.10免费产品OSSEC

5.10.2工作原理

(3)manager。是一个运行在后台的应用软件，Manager没有图形化界面，其主要功能是维护与所有注册代理(Agent)的安全通讯;维护域的主列表和把相应的策略分发到每一个代理(Agent);

(4)主要起如下作用：监视时间收集器;在发现攻击时，执行相应的动作如通知用户、发送E-mail、通知管理员、终止会话、关闭机器等。

305.10免费产品OSSEC

5.10.4技术特点DROPanddetect技术监视操作系统种类全面Administrator可以运行于Linux、BSD、SunSolaris;Manager可以运行于Linux、BSD、SunSolaris;Agent可以运行于Linux、BSD、SunSolaris、Windows等。防火墙联动日志管理

315.10免费产品OSSEC5.10.5在Solaris服务器下配置ossec-hids-1.5系统要求：首先必须配置好C编译器和make工具.硬件方面根据监控主机的数量不同有所不同.有三种安装选项:服务器端安装(server),代理端(agent)或本地安装(local).如果选择'服务器端安装(server)',您将可以分析所有日志,发送e-mail告警及联动，接收远端机器的syslog日志,接收代理端发回的日志(代理端发回的日志是经过加密的).

325.10免费产品OSSEC5.10.5在Solaris服务器下配置ossec-hids-1.5如果您选择'代理端安装(agent)',您将可以读取本机文件(syslog,snort,apache等)并将它们发送给服务器端(加密过后)进行分析.如果选择'本地安装(local)',除了不能接收远程机器或代理端发回的信息外,你可以作服务器(server)安装能做的任何事情。

335.10免费产品OSSEC5.10.5在Solaris服务器下配置ossec-hids-1.5如果您希望安装一个日志分析服务器,请选择'server'.如果您已经有一台日志分析服务器并且希望将本机的日志传送给它,请选择‘agent’.(这是web服务器,数据库服务器等的理想配置方法)，如果您只有一台机器要监控,那么请选择'local'。

34小结

基于完整性检查的入侵检测技术基于智能体入侵检测技术系统配置分析技术检测实例●——重要知识点35思考题

基于主机的数据源主要有哪些?

获取审计数据后,为什么要对这