第1章-入侵检测技术简介

入侵检测技术简介IntrusionDetection(ID)参考资料教材：《入侵检测技术》唐正军清华大学出版社《入侵检测技术》曹元大人民邮电出版社参考书：《网络攻防技术》吴灏机械工业出版社《网络攻击原理与技术》连一峰科学出版社《黑客攻击与防御》StuartMcClure清华大学出版社第1章入侵检测技术的历史1.1主机审计——入侵检测的起点1.2入侵检测基本模型的建立1.3技术发展的历程主机审计出现在入侵检测技术之前;其定义为：产生、记录并检查按照时间顺序排列的系统事件记录的过程。统计用户的上机时间，便于进行计费管理。跟踪记录计算机系统的资源使用情况追踪调查计算机系统中用户的不正当使用行为的目的。1.1主机审计——入侵检测的起点20世纪70年代TCSEC（可信计算机系统评估准则）首次定义了计算机系统的安全等级评估标准，并且给出了满足各个安全等级的计算机系统所应满足的各方面的条件。TCSEC准则规定，作为C2和C2等级以上的计算机系统必须包括审计机制，并给出满足要求的审计机制所应达到的诸多安全目标。James-Anderson在1980年首次明确提出安全审计的目标，并强调应该对计算机审计机制做出若干修改，以便计算机安全人员能够方便地检查和分析审计数据。Anderson在报告中定义了3种类型的恶意用户。①伪装者（masquerader）:此类用户试图绕过系统安全访问控制机制，利用合法用户的系统账户。②违法者（misfeasor）:在计算机系统上执行非法活动的合法用户。③秘密活动者（clandestineduser）:此类用户在获取系统最高权限后，利用此种权限以一种审计机制难以发现的方式进行秘密活动，或者干脆关闭审计记录过程。Anderson指出，可以通过观察在审计数据记录中的偏离历史正常行为模式的用户活动来检查和发现伪装者和一定程度上的违法者。Anderson对此问题的建议，实质上就是入侵检测中异常检测技术的基本假设和检测思路，为后来的入侵检测技术发展奠定了早期的思想基础。计算机网络的威胁安全事件模式病毒破坏（灰鸽子、熊猫烧香）黑客入侵（五一中美黑客大战）内部越权（75%的安全问题来自内部）信息泄漏（军事间谍、商业间谍）人为因素（操作失误）不可抗力（自然灾害、战争）现代网络面临的安全威胁现代入侵技术发展2002年度全球黑客聚会现代入侵技术发展各国黑客在进行攻击经验切磋现代入侵技术发展新一代恶意代码（蠕虫、木马）2002新一代恶意代码July1901:05:002001蠕虫的传播速度现代入侵技术发展July1920:15:002001蠕虫的传播速度现代入侵技术发展传统的安全措施

加密数字签名身份鉴别：口令、鉴别交换协议、生物特征访问控制安全协议：IPSec、SSL网络安全产品与技术：防火墙、VPN（防火墙在大多数机构的网络安全策略中起到支柱作用）传统的安全保护主要从被动防御的角度出发，增加攻击者对网络系统破坏的难度.防火墙的位置防火墙STOP!1.验明正身2.检查权限防火墙的作用阻绝非法进出防火墙办不到的事防火墙病毒等恶性程序可利用email夹带闯关防火墙无法有效解决自身的安全问题防火墙只是按照固定的工作模式来防范已知的威胁

防火墙不能阻止来自内部的攻击与防火墙的被动防御不同，由于入侵检测通过对系统、应用程序的日志文件及网络数据流量的分析实现主动检测，因此入侵检测被认为是防火墙之后的第二道安全闸门。入侵检测已经成为边界防护技术的合理补充，扩展系统管理员的安全管理能力，提高了信息安全的结构。IDS置于防火墙与内部网之间入侵检测系统的部署对于入侵检测系统来说，其类型不同、应用环境不同，部署方案也就会有所差别。对于基于主机的入侵检测系统来说，它一般是用于保护关键主机或服务器，因此只要将它部署到这些关键主机或服务器中即可。但是对于基于网络的入侵检测系统来说，根据网络环境的不同，其部署方案也就会有所不同。入侵检测系统部署方式检测器部署位置放在边界防火墙之内放在边界防火墙之外放在主要的网络中枢放在一些安全级别需求高的子网检测器部署示意图NIDS的位置必须要看到所有数据包1987年,Denning发表了入侵检测领域内的经典论文《入侵检测模型》。这篇文献正式启动了入侵检测领域内的研究工作，被公认为是IDS领域的又一篇开山之作。

Denning提出的统计分析模型在早期研发的入侵检测专家系统（IDES）中得到较好的实现。IDES系统主要采纳了Anderson的技术报告中所给出的检测建议，但是，Denning的论文中还包括了其他检测模型。1.2入侵检测基本模型的建立图1-1通用入侵检测模型Denning对入侵检测的基本模型给出了建议，如图1-1所示。入侵检测技术自20世纪80年代早期提出以来，经过30多年的不断发展，从最初的一种有价值的研究想法和单纯的理论模型，迅速发展出种类繁多的各种实际原型系统，并且在近10年内涌现出许多商用入侵检测系统产品，成为计算机安全防护领域内不可缺少的一种重要的安全防护技术。1.3技术发展的历程1980年，Anderson在其完成的一份技术报告中提出了改进安全审计系统的建议，以便用于检测计算机用户的非授权活动，同时，提出了基本的检测思路。1984—1986年，Denning和Neumann在SRI公司内设计和实现了著名的IDES，该系统是早期入侵检测系统中最有影响力的一个。1987年，DorothyDenning发表的经典论文“AnIntrusionDetectionModel”中提出入侵检测的基本模型，并提出了几种可用于入侵检测的统计分析模型。Denning的论文正式启动了入侵检测领域内的研究工作。EDUCATION:

PhD-PurdueUniversity,ComputerScience,1975

MA-UniversityofMichigan,Mathematics,1969

BA-UniversityofMichigan,Mathematics,1967

同年，在SRI召开了首次入侵检测方面的专题研讨会。1989—1991年，StephenSmaha设计开发了Haystack入侵检测系统，该系统用于美国空军内部网络的安全检测目的。1990年，加州大学Davis分校的ToddHeberlien发表在IEEE上的论文“ANetworkSecurityMonitor”，标志着入侵检测第一次将网络数据包作为实际输入的信息源。NSM系统截获TCP/IP分组数据，可用于监控异构网络环境下的异常活动。1991年，在多个部门的赞助支持下，在NSM系统和Haystack系统的基础上，StephenSmaha主持设计开发了DIDS（分布式入侵检测系统）。1992年，加州大学圣巴巴拉分校的Porras和Ilgun提出状态转移分析的入侵检测技术，并实现了原型系统USTAT，之后发展出NSTAT、NetSTAT等系统。差不多同一时期，KathleenJackson在LosAlamos国家实验室设计开发了NADIR入侵检测系统。而SAIC和HaystackLabs分别开发出了CMDS系统和Stalker系统，这两个系统是首批投入商用的主机入侵检测系统。1994年，Porras在SRI开发出IDES系统的后继版本NIDES系统，后者在系统整体结构设计和统计分析算法上有了较大改进。1995年，普渡大学的S.Kumar在STAT的思路基础上，提出了基于有色Petri网的模式匹配计算模型，并实现了IDIOT原型系统。1996年，新墨西哥大学的Forrest提出了基于计算机免疫学的入侵检测技术。1997年，Cisco公司开始将入侵检测技术嵌入到路由器，同时，ISS公司发布了基于Windows平台的RealSecure入侵检测系统，自此拉开商用网络入侵检测系统的发展序幕。1998年，MIT的RichardLippmann等人为DARPA进行了一次入侵检测系统的离线评估活动，该评估活动使用的是人工合成的模拟数据，最后的测试结果对于后来的入侵检测系统开发和评估工作都产生了较大影响。1999年，LosAlamos的V.Paxson开发了Bro系统，用于高速网络环境下的入侵检测。Bro系统在设计上考虑了鲁棒性、安全性，并且处理了许多反规避的技术问题。同年，加州大学的Davis分校发布了GrIDS系统，该系统试图为入侵检测技术扩展到大型网络环境提供一个实际的解决方案。WenkeLee提出用于入侵检测的数据挖掘技术框架。2000年，普渡大学的DiegoZamboni和E.Spafford提出了入侵检测的自治代理结构，并实现了原型系统AAFID系统。值得指出的是，在发展的早期阶段，入侵检测还没有获得计算机用户的足够注意。早期的入侵检测系统几乎都是基于主机的，但是过去的10年里最流行的商业入侵检测系统大多却是基于网络的。现在和未来几年内的发展趋势似乎是混合型以及分布式系统的发展。第2章入侵检测的相关概念2.1入侵的定义2.2什么是入侵检测2.3入侵检测与P2DR模型通常，计算机安全的3个基本目标是机密性、完整性和可用性。安全的计算机系统应该实现上述3个目标，即保护自身的信息和资源不被非授权访问、修改和拒绝服务攻击。2.1入侵的定义任何潜在的危害系统安全状况的事件和情况都可称为“威胁”。Anderson在其1980年的技术报告中，建立了关于威胁的早期模型，并按照威胁的来源，分为如下3类。⑴外部入侵者：系统的非授权用户。⑵内部入侵者：超越合法权限的系统授权用户。其中，又可分为“伪装者”和“秘密活动者”。⑶违法者：在计算机系统上执行非法活动的合法用户。在入侵检测中，术语“入侵”（intrusion）表示系统内部发生的任何违反安全策略的事件，其中包括了上面Anderson模型中提到的所有威胁类型，同时还包括如下的威胁类型：●恶意程序的威胁，例如病毒、特洛伊木马程序、恶意Java或ActiveX程序等；●探测和扫描系统配置信息和安全漏洞，为未来攻击进行准备工作的活动。美国国家安全通信委员会（NSTAC）下属的入侵检测小组（IDSG）在1997年给出的关于“入侵”的定义是：入侵是对信息系统的非授权访问以及（或者）未经许可在信息系统中进行的操作。美国国家安全通信委员会下属的入侵检测小组在1997年给出的关于“入侵检测”的定义如下：入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。2.2什么是入侵检测入侵检测的概念内网Internet入侵检测即是对入侵行为的发觉

入侵检测系统是入侵检测的软件与硬件的有机组合入侵检测系统是处于防火墙之后对网络活动的实时监控入侵检测系统是不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动入侵检测的定义IDS:IntrusionDetectionSystem

图2-1通用入侵检测系统模型常用术语Alert（警报）当一个入侵正在发生或者试图发生时，IDS系统将发布一个alert信息通知系统管理员如果控制台与IDS系统同在一台机器，alert信息将显示在监视器上，也可能伴随着声音提示如果是远程控制台，那么alert将通过IDS系统内置方法（通常是加密的）、SNMP（简单网络管理协议，通常不加密）、email、SMS（短信息）或者以上几种方法的混合方式传递给管理员Anomaly（异常）当有某个事件与一个已知攻击的信号相匹配时，多数IDS都会告警一个基于anomaly（异常）的IDS会构造一个当时活动的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时，IDS就会告警有些IDS厂商将此方法看做启发式功能，但一个启发式的IDS应该在其推理判断方面具有更多的智能攻击(Attacks)攻击可以定义为试图渗透系统或者绕过系统安全策略获取信息，更改信息或者中断目标网络或者系统的正常运行的活动。下面是一些IDS可以检测的常见攻击DOS、DDOS、Smurf、Trojans首先，可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流;其次，通过在网络上发送reset包切断连接但是这两种方式都有问题，攻击者可以反过来利用重新配置的设备，其方法是：通过伪装成一个友方的地址来发动攻击，然后IDS就会配置路由器和防火墙来拒绝这些地址，这样实际上就是对“自己人”拒绝服务了AutomatedResponse（自动响应）IDS的核心是攻击特征，它使IDS在事件发生时触发特征信息过短会经常触发IDS，导致误报或错报，过长则会减慢IDS的工作速度有人将IDS所支持的特征数视为IDS好坏的标准，但是有的产商用一个特征涵盖许多攻击，而有些产商则会将这些特征单独列出，这就会给人一种印象，好像它包含了更多的特征，是更好的IDSSignatures（特征）漏报(FalseNegatives)

漏报：攻击事件没有被IDS检测到或者逃过分析员的眼睛。误报(FalsePositives)

误报：IDS对正常事件识别为攻击并进行报警。Promiscuous（混杂模式）默认状态下，IDS网络接口只能看到进出主机的信息，也就是所谓的non-promiscuous（非混杂模式）如果网络接口是混杂模式，就可以看到网段中所有的网络通信量，不管其来源或目的地这对于网络IDS是必要的，但同时可能被信息包嗅探器所利用来监控网络通信量评估IDS的性能指标入侵检测系统本身的抗攻击能力延迟时间资源的占用情况系统的可用性。系统使用的友好程度。日志、报警、报告以及响应能力性能指标（ROC）曲线

误报率ROC曲线是平面直角坐标曲线，其纵轴表示IDS的检测率，横轴表示IDS的误报率。通过改变算法的阈值，将检测算法在同一数据集上多次运行，就可以得到一系列（TP，FP）坐标点，将这些点连接成线，就得到ROC曲线。容易看出，ROC曲线越靠近坐标平面的左上方的检测方法，其准确率越高，误报率越低，性能越好。ROC曲线从DARPA1998离线检测评估（1998年，在DARPA（美国国防部高级研究计划署）资助下，麻省理工学院Lincoln实验室开展了计算机入侵检测系统评估的研究成果）被用来度量检测能力，后来一直被研究者广泛采用。

P2DR模型是一个动态的计算机系统安全理论模型。P2DR特点是动态性和基于时间的特性。图2-2P2DR安全模型2.3入侵检测与P2DR模型具体而言，P2DR模型的内容包括如下。⑴策略：P2DR模型的核心内容。具体实施过程中，策略规定了系统所要达到的安全目标和为达到目标所采取的各种具体安全措施及其实施强度等。⑵防护：具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备。⑶检测：在采取各种安全措施后，根据系统运行情况的变化，对系统安全状态进行实时的动态监控。⑷响应：当发现了入侵活动或入侵结果后，需要系统作出及时的反应并采取措施，其中包括记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。P2DR模型阐述了如下结论：安全的目标实际上就是尽可能地增大保护时间，尽量减少检测时间和响应时间。入侵检测技术（intrusiondetection）就是实现P2DR模型中“Detection”部分的主要技术手段。安全策略处于中心地位，但是从另一个角度来看，安全策略也是制定入侵检测中检测策略的一个重要信息来源，入侵检测系统需要根据现有已知的安全策略信息，来更好地配置系统模块参数信息。当发现入侵行为后，入侵检测系统会通过响应模块改变系统的防护措施，改善系统的防护能力，从而实现动态的系统安全模型。因此，从技术手段上分析，入侵检测可以看作是实现P2DR模型的承前启后的关键环节。第2章入侵方法与手段入侵方法与手段:黑客入侵模型与原理漏洞扫描口令破解拒绝服务攻击SQLInjection攻击缓冲区溢出攻击格式化字符串攻击跨站脚本攻击黑客入侵的步骤确定目标信息收集攻击网络攻击系统留下后门漏洞挖掘清除日志结束攻击2.1

信息收集概述什么是信息收集？信息收集是指——黑客为了更加有效地实施攻击而在攻击前或攻击过程中对目标的所有探测活动信息收集的内容是什么？哪些信息对攻击是有意义的、是攻击者（当然也是网络防卫者）所关心的？2.1信息收集概述信息收集的内容域名和IP地址操作系统类型端口应用程序类型防火墙、入侵检测等安全防范措施内部网络结构、域组织2.2.1网络信息挖掘利用公用信息服务进行信息收集WEB与搜索引擎服务USENET（新闻组服务）WhoIs服务DNS（域名系统）服务(1)WEB与搜索引擎服务目标：获取目标公司或网站的域名或网站地址直接进入目标网站或通过搜索引擎获得主页地址(1)WEB与搜索引擎服务目标：获取目标网络拓扑结构网络拓扑图IP分配表网络设备，安全设施…………EXAMPLE(1)WEB与搜索引擎服务WEB与搜索引擎服务公开的网页目标域名或网站地址网络拓扑结构网络管理员公司人员名单、电话、Email…………(1)WEB与搜索引擎服务WEB与搜索引擎服务搜索引擎GoogleBaiduYahoo搜索引擎为我们提供了在WEB检索信息的能力。能否在WEB中找到所需要的信息，关键在于能否合理地提取搜索的关键字搜索引擎服务搜索基本指令搜索技巧+/and强制包含检索项-排除某检索项“”组合多个检索词|或.匹配任意字符*匹配任意检索词site:搜索具体服务器或域名的网页filetype:搜索以特定文件扩展名结尾的URLintitle:搜索网页标题中的词汇inurl:搜索URL中的词汇intext:搜索正文中的词汇link:搜索连接到指定网页的网页如：通过搜索下面的关键词，可以找到不少不同类型的分布在世界各地的网络摄像头：

inurl:viewerframe?mode=

inurl:indexFrame.shtmlAxis

intext:"MOBOTIXM1"intext:"OpenMenu"

intitle:"WJ-NT104MainPage

搜索引擎服务GoogleHacking搜索密码文件搜索管理员后台URL搜索CGI漏洞搜索黑客留下的后门…………EXAMPLE选择目标下载GoogleHacking使用数据库中的帐号口令对登录GoogleHacking成功进入管理页面GoogleHackingGoogle

Hacking

的特点快速搜索引擎预先准备了大量处理好的信息以供检索准确搜索引擎做了关联性、重要性等各种过滤处理措施隐蔽搜索、查询都是通过搜索引擎的数据库进行智能搜索引擎自身的智能特性缓存保留了已经实际不存在的敏感信息(2)USENET（新闻组服务）USENETUSENET使用客户/服务器的工作方式使用NNTP（NetworkNewsTransportProtocol，TCP端口119）协议来完成客户和服务器间的交互用户使用新闻阅读器(newsreader)程序阅读Usenet文章新闻组阅读器软件一般具备在新闻组文章中进行搜索的功能，可以使用关键字对文章的发件人、文章的收件人、文章的标题或是文章的内容进行搜索WhoIs服务功能：查询已注册域名的拥有者信息域名登记人信息联系方式域名注册时间和更新时间权威DNS的IP地址使用方法：SamSpade等网络实用工具(SamSpade提供了一个友好的GUI界面，能方便地完成多种网络查询任务，开发的本意是用于追查垃圾邮件制造者，也用于其它大量的网络探测、网络管理和与安全有关的任务，包括ping、nslookup、whois、dig、traceroute、finger、rawHTTPwebbrowser、DNSzonetransfer、SMTPrelaycheck、websitesearch等工具，是一个集成的工具箱。)(3)WhoIs服务(4)DNS（域名系统）服务DNS：提供域名到IP地址的映射权威DNS——主DNSCashe-OnlyDNS——副DNSPing(4)DNS（域名系统）服务如，nslookup命令2.2.2IP扫描与端口扫描扫描——Scan扫描目的：查看目标网络中哪些主机是存活的（Alive）查看存活的主机运行了哪些服务WWWFTPEMAILTELNET查看主机提供的服务有无漏洞常见的安全威胁口令破解拒绝服务（DoS）攻击缓冲区溢出攻击格式化字符串攻击特洛伊木马网络监听病毒攻击社会工程攻击主要网络入侵攻击方法网络信息丢失、篡改、销毁内部、外部泄密拒绝服务攻击逻辑炸弹黑客攻击计算机病毒后门、隐蔽通道蠕虫特洛伊木马口令破解自己姓名的拼音37%常用英文单词23%计算机中经常出现的单词18%自己的出生日期7%良好的密码15%口令破解通过破解获得系统管理员口令，进而掌握服务器的控制权是黑客的一个重要手段。破解获得管理员口令的方法有很多，下面是3种最为常见的方法。(1)猜解简单口令：(2)字典攻击：(3)暴力猜解：iOpusPasswordRecovery软件口令重现没有采用很强的口令策略（如口令的尝试次数的限制）时，强力攻击还是很有效的。强力攻击可以通过字典加速找到不安全的口令。一些常用的不安全口令：password、secret、sex、money、love、computer、football、hello、morning、ibm、work、office、online、terminal、internet选择口令的要点是：长度要足够，数字、字母、符号都要有，字母要大小写都有，不能使用有意义的单词等等。强力口令破解口令破解软件

JohnTheRipperL0phtCrack

NtcrackCrackerJackDictionaryMakerBrutus等过程：从字典中取出一个词加密密文比较该方法比较有效，大概60%的口令会被攻破破解口令文件Brutus可以对本机和远程主机的Windows2000操作系统的Admin管理员或其他用户口令进行穷举攻击。远程主机口令破解成功,管理员口令为ada拒绝服务攻击DoS1.DoS拒绝服务即DenialofService，简称DoS服务-——是指系统提供的，用户在对其使用中会受益的功能。拒绝服务（DoS）——任何对服务的干涉如果使得其可用性降低或者失去可用性均称为拒绝服务。如果一个计算机系统崩溃、或其带宽耗尽、或其硬盘填满，导致其不能提供正常的服务，就构成拒绝服务。拒绝服务攻击——是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低。拒绝服务攻击DoS2.DDoS分布式拒绝服务攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般采用一对一的方式，随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的效果不明显，攻击的难度加大了，目标系统对恶意攻击包有足够的消化处理能力。3、DOS攻击过程

(1)准备阶段，收集目标信息

(2)占领傀儡机和控制台

(3)攻击的实施4、Dos攻击的种类

(1)利用系统缺陷进行攻击非法包攻击协议缺陷攻击

(2)利用放大原理进行攻击

(3)分布式DOS攻击5、系统缺陷攻击

1)teardrop2)Land攻击

3)Pingofdeath4)循环攻击(Echo-chargen)5)SYN洪水攻击（1）碎片攻击(teardrop)它利用Windows95、WindowsNT和Windows3.1中处理IP分片（IPfragment）的漏洞，向受害者发送偏移地址重叠的分片的UDP数据包，使得目标机器在将分片重组时出现异常错误，导致目标系统崩溃或重启（2）LAND攻击利用TCP三次握手来进行的攻击

Land是向受害者发送TCPSYN包，而这些包的源IP地址和目的IP地址被伪造成相同的。目标主机收到这样的连接请求时会向自己发送SYN/ACK数据包，结果导致目标主机向自己发回ACK数据包并创建一个连接。大量的这样的数据包将使目标主机建立很多无效的连接，每一个这样的连接都将保留到超时，从而系统资源被大量的占用。遭遇Land攻击时，许多UNIX将崩溃，而WindowsNT会变得极其缓慢。(3)Pingofdeath攻击向受害者发送超长的ping数据包，导致受害者系统异常根据TCP/IP规范要求，数据包的长度不得超过64K个字节，其中包括至少20字节的包头和0字节或更多字节的选项信息，其余的则为数据。而Internet控制消息协议ICMP是基于IP的，ICMP包要封装到IP包中。ICMP的头有8字节，因此，一个ICMP包的数据不能超过65535-20-8＝65507字节事实上，对于有的系统，攻击者只需向其发送载荷数据超过4000字节的ping包就可以达到目的，而不用使数据超过65507（4）循环攻击也称为死锁或振荡攻击如：Echo-chargen攻击

Chargen(UDP端口号19)echo(UDP端口号7)echo、time、daytime和chargen的任何组合都可能构成一个循环

chargen:收到每一个数据包时随机反馈一些字符。通过伪造与某一主机的Chargen服务之间的一次UDP连接，恢复地址指向开着Echo服务的一台主机，通过将Chargen和Echo服务互指，来回传送毫无用处且占满宽带的垃圾数据，在两台主机之间生成足够多的无用数据流，这一拒绝服务攻击飞快地导致网络可用带宽耗尽。

正常的三次握手过程SYN攻击过程(5)SYN洪水攻击6、基于放大原理的攻击一是在报文数量上放大(广播地址)

二是在包长上放大（如DNS查询）Smurf攻击攻击者用广播的方式发送回复地址为受害者地址的ICMP请求数据包，每个收到这个数据包的主机都进行回应，大量的回复数据包发给受害者，导致受害主机崩溃。7、分布式拒绝服务攻击sniffer(网络侦听、嗅探)sniffer类的软件能把本地网卡设置成工作在“混杂”(promiscuous)方式，使该网卡能接收所有数据帧，从而获取别人的口令、金融帐号或其他敏感机密信息等嗅探软件：Windump(Windows)Tcpdump(Unix)…Ethernet网络侦听原理：

网卡完成收发数据包的工作，两种接收模式

混杂模式：不管数据帧的目的地址是否与本地地址匹配，都接收下来非混杂模式只接收目的地址相匹配的数据帧，以及广播数据包(和组播数据包)POP帐号的用户名（Ethereal）其他攻击方法病毒攻击随着蠕虫病毒的泛滥以及蠕虫、计算机病毒、木马和黑客攻击程序的结合，病毒攻击成为了互联网发展以来遇到的巨大挑战。社会工程攻击社会工程学其实就是一个陷阱，黑客通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密，

SQLInjection

攻击目前，大部分应用程序的架构都采用了三层架构，都存在后台数据库，以存储大量信息。而数据库中以结构化查询语言（SQL,StructureQueryLanguage）为基础的关系数据库（RDBMS,RelationalDatabaseManagementSystem）最为流行。在应用程序中，往往采用VisualBasic等第三代语言来组织SQL语句，然后传递给后台执行，以建立、删除、查询和管理后台数据库资料。由于数据库资料非常敏感，因此利用SQL实现的渗透和信息窃取，一般危害较大。缓冲区溢出攻击一个简单的堆栈例子example1.c:voidfunction(inta,intb,intc){

charbuffer1[5];

charbuffer2[10];

}voidmain(){function(1,2,3);}格式化字符串攻击普通的缓冲区溢出就是利用了堆栈生长方向和数据存储方向相反的特点，用后存入的数据覆盖先前压栈的数据，一般是覆盖返回地址，从而改变程序的流程，这样子函数返回时就跳到了黑客指定的地址，就可以按照黑客意愿做任何事情了。所谓格式化串，就是在*printf()系列函数中按照一定的格式对数据进行输出，可以输出到标准输出，即printf()，也可以输出到文件句柄，字符串等，对应的函数有fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。能被黑客利用的地方也就出在这一系列的*printf()函数中，可能有人会问：这些函数只是把数据输出了，怎么能造成安全隐患呢？在正常情况下当然不会造成什么问题，但是*printf()系列函数有三条特殊的性质，这些特殊性质如果被黑客结合起来利用，就会形成漏洞。跨站脚本攻击因为CGI程序没有对用户提交的变量中的HTML代码进行过滤或转换，从而导致了跨站脚本执行的漏洞。CGI输入的形式，主要分为两种：显示输入；隐式输入。其中显示输入明确要求用户输入数据，而隐式输入则本来并不要求用户输入数据，但是用户却可以通过输入数据来进行干涉。显示输入又可以分为两种：输入完成立刻输出结果；输入完成先存储在文本文件或数据库中，然后再输出结果。后者可能会导致网站显示中的问题。而隐式输入除了一些正常的情况外，还可以利用服务器或CGI程序处理错误信息的方式来实施。攻击检测工具端口扫描和信息收集nmap、finger、rpcinfo、DNSquery漏洞扫描nessus常见攻击手法bufferoverflow（IIS、SunRPC、Linux）后门木马NetBus、BO2K拒绝服务SYNFlood、UDPBomb、IPFrag、DDoS小结黑客入侵模型与原理漏洞扫描口令破解拒绝服务攻击分布式拒绝服务攻击缓冲区溢出攻击格式化字符串攻击跨站脚本攻击SQLInjection攻击第3章入侵检测技术的分类3.1入侵检测的信息源3.2分类方法3.3具体的入侵检测系统3.1入侵检测的信息源入侵检测的基本问题如何充分、可靠地提取描述行为特征的数据；如何根据特征数据，高效、准确地判断行为的性质；……数据源类型数据来源可分为四类：来自主机的基于主机的监测收集通常在操作系统层的来自计算机内部的数据，包括操作系统审计跟踪信息和系统日志来自网络的检测收集网络的数据来自应用程序的监测收集来自运行着的应用程序的数据，包括应用程序事件日志和其它存储在应用程序内部的数据来自目标机的使用散列函数来检测对系统对象的修改。117审计记录由审计子系统产生；用于反映系统活动的信息集合；将这些信息按照时间顺序组织成为一个或多个审计文件；遵循美国可信计算机安全评价标准（TCSEC）；118审计记录的优点可信度高得益于操作系统的保护审计记录没有经过高层的抽象最“原始”的信息来源了解系统事件的细节不易被篡改和破坏审计记录的缺点不同的系统在审计事件的选择、审计记录的选择和内容组织等诸多方面都存在着兼容性的问题。另外一个存在的问题是，操作系统审计机制的设计和开发的初始目标，并不是为了满足后来才出现的入侵检测技术的需求目的。120审计记录内容响应事件的主体和涉及事件的目标信息主体对象进程用户id系统调用的参数返回值特定应用事件的数据……1.SunSolarisBSMSun公司的Solaris操作系统是目前流行的服务器UNIX操作系统。BSM安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等，其中审计日志由一个或多个审计文件组成，每个审计文件包含多个审计记录，而每个审计记录则由一组审计令牌（audittoken）构成。图3-1所示为BSM审计记录的格式。每个审计令牌包括若干字段，如图3-2所示。图3-1BSM审计记录格式Header*Process*［Argumnet］*［Attribute］*［Data］［In_addr］［Ip］［Ipc_perm］［Ipc］［Iport］［Path］*［Text］［Groups］［Opaque］［Return］*［Trailer］首令牌字段审计进程信息系统调用参数信息属性信息当前根目录、工作目录及其绝对路径请求（系统调用）返回值图3-2BSM审计令牌格式HeaderTokentokenIDrecordsizeeventtype*timeofqueue*ProcessTokentokenIDauditID*userID*fealuserIDrealgroupID*processID*ArgumentTokentokenIDargumentIDargumentvalue*stringlengthtextReturnTokentokenIDusererrorreturnvalue*TrailerTokentokenIDmagicnumberrecordsizePathTokentokenIDsizeofrootcurrentrootsizeofdircurrentdirsizeofpathpathargument*AttributeTokentokenIDvnodemode*vnode

uid*vnode

gid*vnode

fsid*vnode

nodeid*vnode

rdev*Windows日志监测

1．Windows日志Windows中也一样使用“事件查看器”来管理日志系统，也同样需要用系统管理员身份进入系统后方可进行操作，如图所示。图3-5事件属性信息通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等，可能会根据服务器所开启的服务不同而略有变化。启动Windows时，事件日志服务会自动启动，所有用户都可以查看“应用程序日志”，但是只有系统管理员才能访问“安全日志”和“系统日志”。应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认文件大小512KB，但有经验的系统管理员往往都会改变这个默认大小。安全日志文件：c:\systemroot\system32\config\SecEvent.EVT系统日志文件：c:\systemroot\system32\config\SysEvent.EVT应用程序日志文件：c:\systemroot\system32\config\AppEvent.EVTInternet信息服务FTP日志默认位置：c:\systemroot\system32\logfiles\msftpsvc1\。Internet信息服务WWW日志默认位置：c:\systemroot\system32\logfiles\w3svc1\。130系统日志系统日志是反映各种系统事件和设置的文件；Unix系统提供了分类齐全的系统日志，如登录日志、进程统计日志；131安全性对比系统使用日志机制记录下主机上发生的事情，系统日志的安全性与操作系统的审计记录比较而言，要差一些，其原因如下：⑴产生系统日志的软件通常是在内核外运行的应用程序，因而这些软件容易受到恶意的修改或攻击。⑵系统日志通常是存储在普通的不受保护的文件目录里，容易受到恶意的篡改和删除等操作。3.1.2系统日志尽管如此，系统日志仍然以其简单易读、容易处理等优势成为入侵检测的一个重要输入数据源。UNIX操作系统的主要日志文件可以分成3类：①登录日志文件，写入到/var/log/wtmp和/var/run/utmp，系统程序负责更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。②进程日志，由系统内核生成。当一个进程终止时，系统内核为每个进程在进程日志文件（pacct或acct）中写入一条记录。③syslogd日志，由syslogd生成并维护。各种系统守护进程、内核、模块使用syslogd记录下自己发出的消息。1343.1.3应用程序日志应用日志通常代表了系统活动的用户级抽象信息，相对于系统级的安全数据来说，去除了大量的冗余信息，更易于管理员浏览和理解。但是由于缺乏系统保护，因此也存在风险，存在可信度的问题。典型的有：WWWServer日志数据库系统日志135WWWServer日志通用日志格式（CLF）

-user1[27/Nov/2000:10:00:00+0600]“GET/page1/HTTP1.0”2001893字段格式访问者主机名“H”rfc931服务器返回给访问用户的信息；如果不存在，为-用户名（如果用户提交了用于认证的ID）UserID请求日期及时间（包括时区信息）[DD/MMM/YYYY:HH:MM:SS+TimeZone]请求的页面及服务器使用的页面通信协议“GET”请求的返回码（200代表成功）NNN，如果没有则以“-”表示返回的字节数NNNNN，如果没有则以“-”表示136WWWServer日志扩展日志文件格式字段格式访问者主机名“H”rfc931由identd返回的该用户信息用户名（如果用户提交了用于认证的ID）UserID请求日期及时间（包括时区信息）[DD/MMM/YYYY:HH:MM:SS+TimeZone]请求的页面及服务器使用的页面通信协议“GET”请求的返回码（200代表成功）NNN，如果没有则以“-”表示返回的字节数NNNNN，如果没有则以“-”表示请求的URL的地址http:///dir/page访问者使用的浏览器及其版本“browser/version”（操作系统）WWW日志#Software:MicrosoftInternetInformationServices5.0

#Version:1.0

#Date:2004041903:091

#Fields:datetimecip

csusernamesipsportcsmethod

csuristem

csuriquery

scstatus

cs(UserAgent)

2004041903:0916780GET/iisstart.asp200Mozilla/4.0+(compatible\\;+MSIE+5.0\\;+Windows+98\\;+DigExt)

2004041903:0946780GET/pagerror.gif200Mozilla/4.0+(compatible\\;+MSIE+5.0\\;+Windows+98\\;+DigExt)

FTP日志FTP日志每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex（年份）（月份）（日期）。例如ex040419，就是2004年4月19日产生的日志，用记事本可直接打开，普通的有入侵行为的日志一般是这样的：

#Software:MicrosoftInternetInformationServices5.0（微软IIS5.0）

#Version:1.0（版本1.0）

#Date:200404190315（服务启动时间日期）

#Fields:timecip

csmethod

csuristem

scstatus

0315[1]USERadministator331（IP地址为用户名为administator试图登录）

0318[1]PASS–530（登录失败）

032:04[1]USERnt331（IP地址为用户名为nt的用户试图登录）

032:06[1]PASS–530（登录失败）

032:09[1]USERcyz331（IP地址为用户名为cyz的用户试图登录）

0322[1]PASS–530（登录失败）

0322[1]USERadministrator331（IP地址为用户名为administrator试图登录）

0324[1]PASS–230（登录成功）

0321[1]MKDnt550（新建目录失败）

0325[1]QUIT–550（退出FTP程序）

从日志里就能看出IP地址为的用户一直试图登录系统，换了四次用户名和密码才成功，管理员立即就可以得知这个IP至少有入侵企图！而他的入侵时间、IP地址以及探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用Administrator用户名进入的，那么就要考虑此用户名是不是密码失窃？还是被别人利用？接下来就要想想系统出什么问题了。

1393.1.4网络信息源的优势可以对整个子网进行检测不影响现存的数据源，不改变系统和网络的工作模式不影响主机性能和网络性能被动接收方式，隐蔽性好对基于网络协议的入侵手段有较强的分析能力140网络信息源的缺陷检测效率网络流量日益增大的挑战虚警和漏警的平衡应用于交换环境出现的问题在交换网络环境中应该考虑的问题每个端口的忙碌状况

如何识别和跟踪错误源？

广播风暴的源头是什么？

交换转发表是否运行正常?

哪个站点连接在这个端口上？

交换机对协议或端口是否有速率限制？1413.1.5来自其它安全产品的信息防火墙认证系统访问控制系统其它安全设备——提高分析的准确性和全面性3.1.6信息源的选择问题基本原则：根据检测目标来选择数据源；最少数目的输入数据源3.2入侵检测的分类对入侵检测系统可以根据所采用的审计数据源、检测策略、检测的实时性、对抗措施、体系结构等方面进行划分。入侵检测系统的分类1.基于网络的系统VS基于主机的系统根据入侵检测系统分析的数据来源：主机系统日志原始的网络数据包应用程序的日志防火墙报警日志其它入侵检测系统的报警信息入侵检测实质上可以归结为对安全审计数据的处理，这种处理可以针对网络数据，也可以针对主机的审计记录或应用程序日志。依据审计数据源的不同可将IDS分为基于网络的IDS、基于主机的IDS和基于主机/网络混合型的IDS。基于网络的IDS利用网络数据包作为审计数据源，其优点是隐蔽性好，不容易遭受攻击，对主机资源消耗少。并且由于网络协议是标准的，可以对网络提供通用的保护而无需顾及异构主机的不同架构。基于主机的IDS所分析的安全审计数据主要来自主机日志、应用程序所产生的日志以及特权程序所产生的系统调用序列日志。其优点是检测精度高，但是只能检测针对本机的攻击，不适合检测针对网络协议漏洞的攻击。混合型IDS结合两种数据源，最大限度提高对网络及主机系统的信息收集，实现准确且高效的入侵检测。2．滥用检测VS异常检测滥用检测又称为基于知识的入侵检测，是对利用已知的系统缺陷和已知的入侵方法进行入侵活动的检测。入侵者常常利用系统和应用软件的弱点来实施攻击，将这些弱点编成某种模式，如果入侵者的攻击方式正好与检测系统的模式库中某些模式匹配，则认为有入侵行为发生。滥用检测的关键在于如何通过入侵模式准确地描述入侵活动的特征、条件、排列和关系，从而有效地检测入侵。系统需要对已知的入侵行为进行分析，提取检测特征，构建攻击模式。对观察到的审计数据进行分析检测，通过系统当前状态与攻击模式进行匹配，判断是否有入侵行为。滥用检测方法的优点是可以针对性地建立高效的入侵检测系统，对已知攻击检测准确率高。缺点是不能检测未知攻击或已知攻击的变种，需要对入侵模式不断进行维护升级；异常检测前提是假定所有入侵行为都有区别于正常行为的异常特性。异常检测是根据系统或用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。因此首先建立目标系统及其用户的活动模型，然后基于这个模型对系统和用户的实际活动进行审计，通过比较差异来判断是否有入侵行为。优点是不受已知知识的限制，因而它可以检测未知的攻击行为。关键问题在于正常使用模式的建立及如何利用该模式对当前系统/用户行为进行比较（即系统特征量以及阈值的选取），从而判断出与正常模式的偏离程度。异常检测方法存在的主要问题：如何有效地表示用户的正常行为模式？即选择哪些数据才能有效的反映用户的行为，而且正常模式具有时效性，需要不断修正和更新。当用户行为突然改变时，容易引起误报。阈值的确定比较困难。阈值太高则容易引起漏报，而太低容易引起误报。异常检测方法大多训练时间较长。3．实时检测VS事后检测按IDS处理数据的实时性，IDS分为实时攻击检测和事后攻击检测。实时检测是实时监测系统及用户行为，根据系统及用户的历史行为模型、安全策略或知识等，实时分析并判断行为性质，一旦发现攻击及时响应。优点是可以对出现的攻击快速作出响应，但它对系统的软件硬件要求较高，缺点是对慢扫描等攻击难以检测，不能检测一些复杂的攻击。事后攻击检测采用批处理的策略，将一段时间内的数据收集起来，系统定时或周期性地进行处理分析。如果在该段时间内发现攻击则作出响应。可以运用复杂且细致的分析策略，发现某些复杂的攻击。因此，两者结合可以取长补短，用实时检测对审计数据实现粗检测，实时检测的实时性。复杂的分析用于事后检测，分析的结果可以进一步完善实时检测结果，提高检测的准确性。4．主动检测VS被动检测主动检测切断连接或预先关闭服务、注销可能的攻击者的登陆等主动措施对抗攻击；被动检测仅产生报警信号，对抗措施由管理人员实现。5．集中式检测与分布式检测集中式采用单一的模块运行，或由一系列可交互的具有相同功能的实体完成；系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行，这种方式适用于网络环境比较简单的情况。分布式检测由不同的实体构成，每个实体执行自己的任务，实体之间通过消息或其他机制进行交互。系统的各个模块分布在网络中不同的计算机、设备上，一般来说分布性主要体现在数据收集模块上，如果网络环境比较复杂、数据量比较大，那么数据分析模块也会分布，一般是按照层次性的原则进行组织的。3.3主要商用入侵检测系统常见的IDSComputerAssociates’SessionWallSnort()ISSRealSecure()SymantecIntrusionAlert()NetWork

Assoxiates’CyberCopMonitor(workassociates,com)CiscoSecureIDS(www.cisco,com)4.1审计数据的获取4.2用于入侵检测的统计模型4.3入侵检测的专家系统4.4基于状态转移分析的入侵检测技术4.5文件完整性检查4.6系统配置分析技术第4章基于主机的入侵检测技术根据目标系统的不同类型和主机入侵检测的不同要求，所需要收集的审计数据的类型不尽相同。首先，从目标主机的类型来看，不同操作系统的审计机制设计存在差异，主机活动的审计范围和类型也不同。其次，根据不同主机入侵检测系统的设计要求和需要，其具体选取的审计数据类型和来源也各有侧重。以IDES系统为例。IDES在SunUNIX目标系统环境下所收集到的审计数据，主要分为4个典型类型。①文件访问:包括对文件和目录进行的操作，如读取、写入、创建、删除和访问控制列表的修改。4.1.1审计数据的获取②系统访问:包括登录、退出、调用以及终止超级用户权限等。③资源消耗:包括CPU、I/O和内存的使用情况。④进程创建命令的调用:指示一个进程的创建。IDES必须从Sun环境中的多个不同信息源来收集审计数据。这些信息源包括：SunOS4.0标准审计系统、SunC2安全审计包和UNIX记账系统。然而，仅从这两种审计系统得到的信息对于IDES的入侵检测分析还是不够的。还可以对系统另外配置一些其他的审计工具。如Sendmail,Netlog等。对于其他的主机入侵检测系统，例如STAT系统，它所使用的审计数据来源主要就是SunOSC2安全审计包（BSM），针对的是BSM审计记录。基于主机的入侵检测技术1684.1.2审计数据的预处理审计日志信息非常庞大；存在杂乱性、重复性和不完整性；杂乱性：代理的审计机制不完全相同，所产生的日志信息存在差异；重复性：对于同一个客观事物系统中存在多个物理描述；不完整性：由于实际系统缺陷和人为因素所造成的记录中出现数据属性的值丢失或不确定的情况。审计数据的预处理数据的预处理就是对系统获取到的各种相关数据进行归纳、转换等处理，使其符合系统的需求。一般采用从大量的数据属性中，提取出部分对目标输出有重大影响的属性，通过降低原始数据的维数来达到改善质量的目的。基于主机的入侵检测技术170审计数据的预处理通常数据预处理应该包括以下功能。

数据集成涉及数据的选择、数据的冲突以及数据的不一致问题的解决；并非简单的数据合并，对数据进行统一化；

数据清理：除去噪音数据和无关数据，处理遗漏数据等。数据变换：规范化处理。根据其属性值的量纲进行归一化处理。

数据简化：数据属性的约简。降低数据分析的维数。

数据融合：对多种IDS检测结果的融合和决策。基于主机的入侵检测技术171审计数据的预处理

（a）数据集成

（b）数据清理

–2,32,100,59,48

–0.02,0.32,1.00,0.59,0.48

（c）数据变换

A126

…

A2

A1

T1

T2

…

T2000

A115

…

A2

A1

T1

T2

…

T1400

（d）数据简化/融合数据的规范化数据的规范化处理有两种比较常用的方法：①

其中，x为要规范化的数值；x′为规范化后的数值；avg为x所在向量组X的平均值；std（X）为向量组X的标准差。②

其中，x为要规范化的数值；x′为规范化后的数值；max是x所在向量组中元素的最大值；min是x所在向量组中元素的最小值；new_max是规范化后的目标区间的上限；new_min是规范化后的目标区间的下限；通过这个公式可以将数据规范化到指定区间。首先，讨论标准审计记录格式的设计问题。以IDES系统为例，IDES审计记录格式是基于若干设计考虑的。首先，它必须通用程度足够高，以便能够表示目标监控系统的所有可能事件类型。其次，它应该是该机器中最有效的数据表示形式，以将处理开销降低到最小程度。第三，记录格式应该按标准化设计，使IDES能够从多个不同类型的机器处接收输入记录，而无须进行任何的数据转换。理想的情况下，审计记录只进行一次格式化。4.1.2审计数据的预处理IDES审计记录用动作类型来进行分类。共有约30种不同的动作类型。每个IDES审计记录包括一个动作类型和若干字段，用于对该动作进行参数化取值。以下是为IDES入侵检测分析而定义的动作类型。IA_VOID：此为没有操作。IA_ACCESS：指定的文件被引用（但是没有读写）。IA_WRITE：文件被打开以备写入或者已经写入。IA_READ：文件被打开以备读取或者已经读取。IA_DELETE：所指定的文件已被删除。IA_CREATE：所指定的文件被创建。IA_RMDIR：所指定的目录被删除。IA_XHMOD：所指定文件的访问模式已经改变。IA_EXEC：所指定的命令已经被调用。IA_XHOWN：所指定对象（文件）的所有权已经改变。IA_LINK：已建立起到指定文件的一个连接。IA_CHDIR：工作目录已经改变。IA_RENAME：文件被重命名。IA_MKDIR：目录被创建。IA_LOGIN：指定用户登录进入系统。IA_BAD_LOGIN：指定用户的登录尝试失败。IA_SU：调用超级用户权限。IA_BAD_SU：调用超级用户权限的尝试。IA_RESOURCE：资源（内存、CPU时间、I/O）被消耗。IA_LOGOUT：所指定的用户退出系统。IA_UNCAT：其他所有未指定的动作。IA_RSH：远程外壳调用。IA_BAD_RSH：被拒绝的远程外壳调用。IA_PASSWD：口令更改。IA_RMOUNT：远程文件系统安全请求（网络文件服务器）。IA_BAD_RMOUNT：拒绝文件系统安装。IA_PASSWD_AUTH：口令确认。IA_BAD_PASSWD_AUTH：拒绝口令确认。IA_DISCON：Agen断开与Arpool的连接(伪记录)。以下为表示IDES审计记录的C语言结构。struct

ides_audit_header{unsignedlongtseq;charhostname[32];charremotehost[32];charttyname[16];charcmd[18];char_pad1[2];charjobname[16];enum

ides_audit_actionaction;time_ttime;/*thissectionisunixspecific*/longsyscall;unsignedlongevent;longerrno;longrval;longpid;/*unix:thesefieldsare0inmost(butnotall)cases*/structresource_inforesource;enumides_audit_typeact_type;longsubjtype;charuname[IDES_UNAME_LEN];charauname[IDES_UNAME_LEN];charouname[IDES_UNAME_LEN];longarglen;};ides_audit_block结构定义如下所示：typedef

struct{longab_size;aud_type

ab_type;unsignedlongrseq;time_t

rectime;ides_audit_headerah;unionab_args{charmaxbuf[AUP_USER];ides_path_desc_ipd[2];#defineab_path0_ipd[0].path#defineab_path1_ipd[1].path}arg_un;}ides_audit_block;图4-1STAT审计记录格式STAT系统的标准审计记录格式由3个部分定义组成：〈Subject,Action,Object〉每个部分都进一步包括更详细的字段定义，如图4-1所示。图4-2从BSM审计记录到STAT审计记录的映射关系审计数据获取模块的主要作用是获取目标系统的审计数据，并经过预处理工作后，最终目标是为入侵检测的处理模块提供一条单一的审计记录块数据流，供其使用。其使用的处理算法流程如下所示：4.1.3审计数据获取模块的设计//ProcessingProcedureforPreprocessor1WhileTruedobegin2IfAudit_state=STARTthenbegin3Allocatememoryforauditrecord4AllocatememoryfortheptrofsizeBLOCK_SIZE5Audit_state=NEXT_FILE6Endif7IfAudit_state=NEXT_FILEthenbegin8Openauditfile9Readablockfromauditfiletoptr10Advanceptrtothebeginningofthefirstrecord11Obtainprecedingfilename12Audit_state=READ_FILE13Endif14IfAudit_state=READ_FILEthenbegin15Attempttoreadablockfromauditfiletoptr16Ifsuccessfulthenbegin17IfptrindicatesAUT_OTHER_FILEthen18Audit_state=CLOSE_FILE19Elsebegin20Callfilter_ittofilterthenextrecord21Ifrecordpassedthroughthefilterthen22return(audit_record)23Endelse24Endif25Else26Reopenauditfile27Endif28IfAud