第4章基于主机的入侵检测技术ppt课件.ppt

4 1审计数据的获取4 2用于入侵检测的统计模型4 3入侵检测的专家系统4 4基于状态转移分析的入侵检测技术4 5文件完整性检查4 6系统配置分析技术 第4章基于主机的入侵检测技术 根据目标系统的不同类型和主机入侵检测的不同要求 所需要收集的审计数据的类型不尽相同 首先 从目标主机的类型来看 不同操作系统的审计机制设计存在差异 主机活动的审计范围和类型也不同 其次 根据不同主机入侵检测系统的设计要求和需要 其具体选取的审计数据类型和来源也各有侧重 以IDES系统为例 IDES在SunUNIX目标系统环境下所收集到的审计数据 主要分为4个典型类型 文件访问 包括对文件和目录进行的操作 如读取 写入 创建 删除和访问控制列表的修改 4 1 1审计数据的获取 系统访问 包括登录 退出 调用以及终止超级用户权限等 资源消耗 包括CPU I O和内存的使用情况 进程创建命令的调用 指示一个进程的创建 IDES必须从Sun环境中的多个不同信息源来收集审计数据 这些信息源包括 SunOS4 0标准审计系统 SunC2安全审计包和UNIX记账系统 然而 仅从这两种审计系统得到的信息对于IDES的入侵检测分析还是不够的 还可以对系统另外配置一些其他的审计工具 如Sendmail Netlog等 对于其他的主机入侵检测系统 例如STAT系统 它所使用的审计数据来源主要就是SunOSC2安全审计包 BSM 针对的是BSM审计记录 基于主机的入侵检测技术 5 4 1 2审计数据的预处理 审计日志信息非常庞大 存在杂乱性 重复性和不完整性 杂乱性 代理的审计机制不完全相同 所产生的日志信息存在差异 重复性 对于同一个客观事物系统中存在多个物理描述 不完整性 由于实际系统缺陷和人为因素所造成的记录中出现数据属性的值丢失或不确定的情况 审计数据的预处理 数据的预处理就是对系统获取到的各种相关数据进行归纳 转换等处理 使其符合系统的需求 一般采用从大量的数据属性中 提取出部分对目标输出有重大影响的属性 通过降低原始数据的维数来达到改善质量的目的 基于主机的入侵检测技术 7 审计数据的预处理 通常数据预处理应该包括以下功能 数据集成涉及数据的选择 数据的冲突以及数据的不一致问题的解决 并非简单的数据合并 对数据进行统一化 数据清理 除去噪音数据和无关数据 处理遗漏数据等 数据变换 规范化处理 根据其属性值的量纲进行归一化处理 数据简化 数据属性的约简 降低数据分析的维数 数据融合 对多种IDS检测结果的融合和决策 基于主机的入侵检测技术 8 审计数据的预处理 a 数据集成 b 数据清理 2 32 100 59 48 0 02 0 32 1 00 0 59 0 48 c 数据变换 A126 A2 A1 T1 T2 T2 000 A 115 A2 A1 T1 T2 T 1400 d 数据简化 融合 数据的规范化 数据的规范化处理有两种比较常用的方法 其中 x为要规范化的数值 x 为规范化后的数值 avg为x所在向量组X的平均值 std X 为向量组X的标准差 其中 x为要规范化的数值 x 为规范化后的数值 max是x所在向量组中元素的最大值 min是x所在向量组中元素的最小值 new max是规范化后的目标区间的上限 new min是规范化后的目标区间的下限 通过这个公式可以将数据规范化到指定区间 首先 讨论标准审计记录格式的设计问题 以IDES系统为例 IDES审计记录格式是基于若干设计考虑的 首先 它必须通用程度足够高 以便能够表示目标监控系统的所有可能事件类型 其次 它应该是该机器中最有效的数据表示形式 以将处理开销降低到最小程度 第三 记录格式应该按标准化设计 使IDES能够从多个不同类型的机器处接收输入记录 而无须进行任何的数据转换 理想的情况下 审计记录只进行一次格式化 4 1 2审计数据的预处理 IDES审计记录用动作类型来进行分类 共有约30种不同的动作类型 每个IDES审计记录包括一个动作类型和若干字段 用于对该动作进行参数化取值 以下是为IDES入侵检测分析而定义的动作类型 IA VOID 此为没有操作 IA ACCESS 指定的文件被引用 但是没有读写 IA WRITE 文件被打开以备写入或者已经写入 IA READ 文件被打开以备读取或者已经读取 IA DELETE 所指定的文件已被删除 IA CREATE 所指定的文件被创建 IA RMDIR 所指定的目录被删除 IA XHMOD 所指定文件的访问模式已经改变 IA EXEC 所指定的命令已经被调用 IA XHOWN 所指定对象 文件 的所有权已经改变 IA LINK 已建立起到指定文件的一个连接 IA CHDIR 工作目录已经改变 IA RENAME 文件被重命名 IA MKDIR 目录被创建 IA LOGIN 指定用户登录进入系统 IA BAD LOGIN 指定用户的登录尝试失败 IA SU 调用超级用户权限 IA BAD SU 调用超级用户权限的尝试 IA RESOURCE 资源 内存 CPU时间 I O 被消耗 IA LOGOUT 所指定的用户退出系统 IA UNCAT 其他所有未指定的动作 IA RSH 远程外壳调用 IA BAD RSH 被拒绝的远程外壳调用 IA PASSWD 口令更改 IA RMOUNT 远程文件系统安全请求 网络文件服务器 IA BAD RMOUNT 拒绝文件系统安装 IA PASSWD AUTH 口令确认 IA BAD PASSWD AUTH 拒绝口令确认 IA DISCON Agen断开与Arpool的连接 伪记录 以下为表示IDES审计记录的C语言结构 structides audit header unsignedlongtseq charhostname 32 charremotehost 32 charttyname 16 charcmd 18 char pad1 2 charjobname 16 enumides audit actionaction time ttime thissectionisunixspecific longsyscall unsignedlongevent longerrno longrval longpid unix thesefieldsare0inmost butnotall cases structresource inforesource enumides audit typeact type longsubjtype charuname IDES UNAME LEN charauname IDES UNAME LEN charouname IDES UNAME LEN longarglen ides audit block结构定义如下所示 typedefstruct longab size aud typeab type unsignedlongrseq time trectime ides audit headerah unionab args charmaxbuf AUP USER ides path desc ipd 2 defineab path0 ipd 0 path defineab path1 ipd 1 path arg un ides audit block 图4 1STAT审计记录格式 STAT系统的标准审计记录格式由3个部分定义组成 Subject Action Object 每个部分都进一步包括更详细的字段定义 如图4 1所示 图4 2从BSM审计记录到STAT审计记录的映射关系 审计数据获取模块的主要作用是获取目标系统的审计数据 并经过预处理工作后 最终目标是为入侵检测的处理模块提供一条单一的审计记录块数据流 供其使用 其使用的处理算法流程如下所示 4 1 3审计数据获取模块的设计 ProcessingProcedureforPreprocessor1WhileTruedobegin2IfAudit state STARTthenbegin3Allocatememoryforauditrecord4AllocatememoryfortheptrofsizeBLOCK SIZE5Audit state NEXT FILE6Endif7IfAudit state NEXT begin8Openauditfile9Readablockfromauditptr10Advanceptrtothebeginningofthefirstrecord11Obtainpreceding12Audit state READ FILE13Endif 14IfAudit state READ begin15Attempttoreadablockfromauditptr16Ifsuccessfulthenbegin17IfptrindicatesAUT OTHER 18Audit state CLOSE FILE19Elsebegin20Callfilter ittofilterthenextrecord21Ifrecordpassedthroughthefilterthen22return audit record 23Endelse24Endif25Else26Reopenauditfile27Endif28IfAudit state CLOSE begin29Obtainnextaudit30Closecurrentauditfile31Audit state NEXT FILE32Endif33Endwhile Denning在1986年的经典论文中提出了4种可以用于入侵检测的统计模型 1 操作模型 2 均值与标准偏差模型 3 多元模型 4 马尔可夫过程模型 4 2用于入侵检测的统计模型 统计分析方法 是异常检测技术中应用最早也是最多的一种方法 首先为系统对象 如用户 文件 创建一个统计描述 统计正常使用时的一些测量属性 如访问次数 CPU使用 操作失败次数和延时 根据异常检测器观察主体活动 然后产生刻画这些活动的行为轮廓 用户特征表 每一个轮廓保存记录主体当前行为 并定时将当前轮廓与历史轮廓合并形成统计轮廓 更新 通过比较当前轮廓与统计轮廓来判定异常行为测量属性的平均值被用来与网络 系统的行为进行比较 如果观察值在正常范围之外 就认为有入侵发生 优点 可应用成熟的概率统计理论缺点 由于用户行为的复杂性 要想准确地匹配一个用户的行为非常困难 容易造成系统误报和漏报定义入侵阈值比较困难 阈值高则漏报率高 阈值低则误报率高 举例 IDES统计异常检测引擎观测在所监控计算机系统上的活动行为 并自适应地学习主体正常行为模式 在IDES系统的统计分析组件中 当前系统的活动状态采用一组测量值参数变量来表示 称为 入侵检测向量 根据目标主体类型的不同 IDES定义了3种不同类型的测量值 分别针对用户主体 目标系统主体和远程主机主体 同时 又可以把IDES统计分析系统中不同类型的单独测量值分为以下4个类别 1 活动强度测量值 2 审计记录分布测量值 3 类别测量值 4 序数测量值 以IDES系统中应用于用户主体类型的测量值为例 它们包括下列定义的类型 1 序数测量值 活动的输出结果 以数字值来表示 CPU使用情况I O使用情况 2 类别测量值 描述特定活动的测量值 其输出为类别值 使用的物理位置 邮件程序的使用 编译器 编辑器 窗口命令 通用程序使用等的相关使用 3 审计记录分布测量值描述最近审计记录中所有活动类型分布状况 如特定用户在整个系统使用中文件访问和I O活动分布 例如115个审计记录中 有25个记录表示文件访问 50个记录表示CPU使用时间的递增 4 活动强度测量值统计在不同时间间隔内所出现的审计记录数目 在IDES中使用了以下3种审计记录强度测量值 每分钟的流量每10分钟的流量每小时的流量对于用户所生成的每一个审计记录 IDES系统经计算生成一个单独的测试统计值 IDES分数值 表示为T2 用来综合表明最近用户行为的异常程度 统计值T2本身是一个对多个测量值异常度的综合评价 基于统计分析的IDS举例 假如对一般的员工来说 正常使用某台计算机的时间是8 00 23 00 如果在系统日志中发现在凌晨2 00有人使用此机器 那么就可认为是异常情况 有可能是入侵行为或非授权访问 可描述如下 Setnormal time 8 00 23 00 Setstate normal Get login time If login time normal time Setstate abnormal 进行异常处理 在最早期的若干入侵检测系统中就已经开始使用专家系统了 专家系统在知识库的基础上 根据所获得的事实和已知的规则进行推导 并得出结论 使用专家系统的好处是用户无须了解具体系统内部的工作原理 只需要解决对问题的描述过程即可 但是 知识库的构建是一个耗时费力的艰苦过程 专家系统只能基于明确的 可靠的规则得出结论 对于超出已有规则范围的事实无法得出有用的结论 下面以PBEST为例 介绍专家系统在入侵检测中的应用 4 3入侵检测的专家系统 PBEST系统包括一个规则翻译器pbcc 一个运行时例程库和一组垃圾收集例程 规则翻译器接收一组规则 rule 和事实 fact 的定义后 生成一组C语言的例程 用来 断言 assert 事实和处理规则 运行时例程库中包含了所有专家系统中的共享代码 并且包括支持交互式专家系统引擎的例程 这些交互式的环境将能够帮助用户查看程序的运行情况 设置和清除断点 删除和 断言 事实以及观察规则点火的影响轨迹等 在构建一个专家系统之前 用户必须首先定义规则 和模式类型 ptype 下面是一个ptype的声明示例 ptype countvalue int 以上声明的目的在于建立一个关于事实的模式 pattern 或模板 template 专家系统知识库中的每条事实都是某个ptype类型的一个实例 ptype类型为count的事实包含一个整数字段value 前述声明将允许规则引用count类型的事实 并检查和修改这些事实的value字段值 对于某一个给定类型 总是存在多条事实与之对应 一个模式类型ptype可以包括多个字段 如下所示 ptype sessionuserid string terminal string timeoutflag int 以上ptype声明建立了一个事实模式 包括了3个字段 其中 userid和terminal字段都是字符串类型 而timeoutflag字段为整数类型 规则可以引用特定事实 其包括匹配特定条件或值的字段 例如 一条规则可以检查一个session类型的事实 视其timeoutflag字段值是否为1 这可以通过在其前提句中包含以下语句来实现 sessiontimeoutflag 1 在起始方括号后的 符 是用作某种类型的 存在性量词 这就是说 它允许规则来查看是否存在任何满足特定条件的事实 以上的语句将匹配任何其timeoutflag字段值为1的session类型的事实 规则也可以使用 符 来确定是否不存在给定类型的事实 下例将查看是否不存在userid字段为THISUSER的session类型的事实 sessionuserid THISUSER c value l etc Incrementcountfact svaluefield注意 这里对事实的字段值做了修改 此时 原始的事实失效 而具有修改后字段值的新事实将被加入到知识库中 如果使用交互式操作环境时 用户就能看到当一个事实被修改后 它将得到一个新的号码 这表示系统将把规则优先绑定到修改后的事实上 而不是先前创建但是已经失效的事实 下面是一个完整的规则声明 rule SimuLogon l tr transaction se session userid tr userid se terminal tr terminal printf SimuLogon user satterminals s s n tr userid tr terminal se terminal tr se 该条规则检测一个正在当前终端上登录 但是以前已经在别处登录的用户 它通过检查若干transaction事实 这些事实必须是以前用户已声明transaction类型的实例 看其是否存在一个session事实 其userid字段值与任何transaction事实中对应字段值相同 如果存在这样的session事实 则比较二者的terminal字段值 看是否相同 如果不相同 则该规则 点火 这条规则的假设前提是其他的规则将检查登录活动 并为每个登录活动创建一个session事实 一条规则的语法完全由分隔符 方括号和 来决定 一个规则声明由关键词rule起头 然后是一个名称区 后跟一个冒号 上述规则的名称区包括名称SimuLogon 后面是一组包括在圆括号内的选项参数 这里 1选项表示该规则的等级为1 这意味着如果多个规则都可以点火 则该规则将比较低级别的规则先点火 星号 选项表示该规则是可重复的 这意味着该规则可以重复点火 而无需其他规则同时点火 若默认则表示该规则是不可重复的 因为一旦规则的前提被满足 它将永远都满足条件 则规则将一次次地点火 但上述规则将删除满足条件的事实 从而避免类似的循环点火过程 规则的体部分包括一系列的前提语句 分隔符 和一系列的结论语句 每个前提语句都包括某种条件测试 第一条前提语句 tr transaction 检查一条transaction事实 它赋以其别名tr 下一条语句 se session userid tr userid 检查是否存在一个session事实 其userid字段值与已发现的tr事实的对应字段值相等 如果发现这样的一个事实 则赋予别名se 第三条语句 se terminal tr terminal 检查在发现的session事实中的terminal字段值是否与transaction事实的对应字段值不同 如果上述的所有前提语句都满足了 该规则 点火 即结论语句开始执行 此条规则包括3条结论语句 第一条语句 printf SimuLogon user satterminals s s n tr userid tr terminal se terminal 调用对应的C语言函数 符表示这样的一个调用 这里可以调用任意的C函数例程 pbcc能够识别大多数内建的C函数 如果是用户自己创建的 则必须事先声明 这里 可以像C语言中的结构一样 引用事实中的字段值 表示形式为事实的别名 后跟点号 和字段名 语句 tr 和 se 将tr和se类型的事实从知识库中删除 这样做有3个原因 第一 可以避免规则因为 同样的满足条件而循环点火 第二 将不需要的事实从知识库中删除 有助于提高系统的运行速度 第三个原因是节约内存 对于入侵检测而言 专家系统检测引擎必须从目标审计数据源中获取数据 然后才能进行后继的规则检测工作 PBEST提供了一套用于与外部进行交互的接口机制 用于从外部获取信息和向外部发送信息 发送信息的方法主要可采用调用外部C语言函数来实现 下面主要介绍PBEST实现从外部获取信息 并将其作为新事实加入到知识库中的主要办法 对于要加入到知识库中的事实 必须进行 断言 assert 操作 从C语言的角度看 这是通过用 适当的参数来调用函数assert ptypename 来实现的 这就是说 对于每种类型 pbcc翻译器都生成一个函数 将该类型的事实加入到知识库中 为了使用这些函数 用户可以编写如下所示的规则文件 Thisrulereadsdataintotheknowledgebaseusingthe get fact record routine Ithasaverylow prioritysoitdoesn taddnewfactsuntiltheoldones havebeenprocessed rule get fact record data 99 retval END OF FILE c count c value 1 retval get fact record 本条规则的核心部分就是对C函数get fact record 的调用 除此之外 该条规则检查文件的尾部 并维持一个对已读记录的计数值 函数get fact record 从一个文件中读入一条记录 将其移入到一组变量中 然后以其为参数调用函数assert transaction 下面是函数get fact record 的示例代码片段 intget fact record inti reader Readarecordfromthethebufferstrings i reader infp structiovec iov1 26 if i 1 if i 1 fprintf stderr Problemwithdatafile error d n errno return NO DATA else fprintf stderr Reachedendoffile n return END OF FILE assert transaction dbid cpuid repdate reptime recdate rectime day week recordtype jobname userarea usertype userid altuserid terminal logon program idesfile command response duration enqueue return GOOD DATA 为了清晰起见 上述范例中省略了许多细节部分 函数get fact record 只是简单地调用reader 读入一个记录到合适的缓冲字符串中 然后 调用函数assert transaction将一个具备该记录内容的transaction类型事实加入到知识库中 注意 reader 函数必须由用户自己编写 而assert transaction 函数将由pbcc翻译器生成 条件是规则文件中出现下面的ptype类型声明语句 ptype transactiondbid string cpuid string repdate string reptime string recdate string rectime string day string week string recordtype string jobname string userarea string usertype string userid string altuserid string terminal string logon string program string ides command string response string duration string enqueue string 由上可以归纳出构建一个输入接口的必要步骤 为用户所需要加入到知识库中的事实做出对应的ptype类型声明 编写一个C语言函数 来调用正确的assert ptypename 函数 编写一条规则 在其前提或者结论语句中加入对此C语言函数的调用 基于状态转移分析的入侵检测模型 最初的明确概念是在20世纪90年代初由美国加州大学圣巴巴拉分校的Porras和Ilgun提出并实现的 最新一代的采用STAT技术的系统称为NetSTAT系统 其特点是脱离了单纯进行主机入侵检测的结构 实现了分布式的入侵检测架构 基于状态转移分析的检测模型 将攻击者的入侵行为描绘为一系列的特征操作及其所引起的一系列系统状态转换过程 从而使得目标系统从初始状态转移到攻击者所期望的危害状态 4 4基于状态转移分析的入侵检测技术 在状态转移分析技术中 具体采用 状态转移图 来表示一个具体的入侵攻击过程 它所具有的优点如下 直接采用审计记录序列来表示攻击行为的方法不具备直观性 而STAT采用高层的状态转移表示方法来表示攻击过程 避免了这一问题 对于同一种攻击行为可能对应着不同的审计记录序列 这些不同审计记录序列可能仅仅因为一些细微的差别而无法被采用直接匹配技术的检测系统察觉 而STAT可以较好地处理这种情况 STAT能够检测到由多个攻击者所共同发起的协同攻击 以及跨越多个进程的攻击行为 另外 STAT的一大特色就是具备在某种攻击行为尚未造成实质危害时 就及时检测到并采取某种响应措施的能力 从本质上看 STAT属于基于规则分析的滥用入侵检测系统 因此只能检测到已知的攻击类型 但是STAT能够较好地处理已知攻击类型的变种行为 图4 3状态转移图的基本组件 下面介绍如何使用状态转移图来表示具体的攻击行为 状态转移图就是对攻击行为的图形化表示方法 状态转移图由两个基本组件构成 表示系统状态的结点和表示特征行为的弧线 如图4 3所示 状态转移图通常包括一个初始状态 一个最终状态以及若干攻击行为步骤 及其引起的若干中间状态 如图4 4所示 图4 4状态转移图的示意 在构建状态转移图的过程中 通常只选取那些最能代表攻击过程并同时引起系统状态改变的关键操作 对于每个具体的攻击行为 都可能存在不同的状态转移图的表示方法 对于每个状态结点 都对应着一组状态断言 当满足该组断言后 本次从上个状态到本状态的转移过程才成功发生 状态断言的选择和关键行为的选择一样 都是构成状态转移图的关键所在 下面以一个简单的例子来展示状态转移图的构成过程 该例子代表着UNIX环境下的一次攻击行为 其步骤如下 lntarget x x 这里 文件target代表一个setuid的shell脚本 其属主为根用户 root 文件target中首行包含字符串 bin sh 上述的攻击步骤过程说明如下 攻击者对属主为root且具有setuid特性的shell脚本target 创建一个硬连接 hard link 文件 该连接文件的名称以字符 开头 攻击者执行该连接文件 x 为了创建对应的状态转移图 首先确定在上述攻击行为中 必须包含两个关键的操作行为 首先是用户创建一个所需的文件 然后执行这个文件 两个关键行为可以表示为 CREATE 和 EXECUTE 此时 对应的不完整状态转移图如图4 5所示 图4 5构建状态转移图Step 1第二步 确定这些关键操作所引起的状态变化 对于第一个操作而言 并不需要任何前提状态条件 因此初始状态为NULL 攻击者执行攻击步骤后 最后所导致的最终状态是获得了root的访问权限 即其有效用户ID effectiveuserId 变为root 所以 最终状态可以采用下面的断言来定义 euid user root 接下来的问题就是如何确定中间状态 此时就要用到前述对攻击过程的分析知识了 新创建的文件名称应该以 开头 后面接任意字符串 表示为 name 新创建的文件与所连接的目标文件具有相同的属主信息 因此 owner 该连接文件应该是一个具备setuid特性的脚本文件 所以应该满足 access trueshell script 最后 显而易见 该文件属于连接文件 应该满足 link 经过上面的分析 最终形成的状态转移图如图4 6所示 图4 6最终的状态转移图 从上述的分析过程可以看出 构建状态转移图的过程大致分为如下步骤 分析具体的攻击行为 理解内在机理 确定攻击过程中的关键行为点 确定初始状态和最终状态 从最终状态出发 逐步确定所需的各个中间状态及其应该满足的状态断言组 从系统设计角度看 STAT系统包含如下的构成组件 预处理器 Preprocessor STAT系统 知识库 KnowledgeBase 事实库 FactBase 规则库 RuleBase 初始化模块 更新模块 状态描述表 StateDescriptionTable 特征操作表 SignatureActionTable 推理引擎 InferenceEngine 决策引擎 DecisionEngine 图4 7STAT系统架构示意图 在状态描述表中 对每个状态转移图 都对应一组状态断言集合 每组断言集合在文件中以字段串 SDTn 起头 数字n代表第n个状态转移图 下接若干行断言组 形式如下所示 SDTnState list1 State list2 每个断言组State list都包含若干个状态断言 表明当前状态的情况 每行以 和换行符结束 状态断言之间以 符号连接表明逻辑 与 关系 以符号 连接表明逻辑 或 关系 在断言前加上关键字not 则表示对断言值求反 STAT的状态描述表文件示例如下 STATEDESCRIPTIONTABLE FOR USTAT Unauthorizedaccesstouserprivileges StateDescription 1 SD1 name file1 notowner file1 USER permitted SUID file1 shell script file1 permitted XGRP file1 permitted XOTH file1 noteuid USER 特征操作表的结构与状态描述表类似 对于每个状态转移图 都对应一组特征操作集合 形式如下所示 SIGn Action1 Action2 STAT的特征操作表文件示例如下 SIGNATUREACTIONSTABLE for USTAT Unauthorizedaccesstouserprivileges SignatureActions 1 SIG1 hardlink file1 file2 execute file1 Unauthorizedaccesstouserprivileges SignatureActions 2 SIG2 modify perm file1 从状态描述表和特征操作表的结构可以看出 对于每组状态断言而言 都对应着一组特征操作 两张表之间存在着一一对应的关系 其中每个特征操作都对应着用来表明某一个状态的一组状态断言 在后继的STAT版本中 采用了STATL语言来描述每一种攻击过程所代表的状态转移图 STATL语言具备自己的语法和语义定义 但是其中最核心的概念定义还是两个 状态和转移 下面给出一个用STATL语言表示攻击过程的简化例子 Scenarioexample constintthreshold 64 intcounter initialstates1 states2 counter threshold log counteroverthreshold transitiont1 s1 s2 READr r euid r uid 下面简要介绍STAT检测引擎工作的基本原理 推理引擎是整个系统的核心部件 如图4 8所示 正如状态转移图是用来表示具体攻击过程的图形化方法 STAT系统中引入 推理引擎表 来可视化表述推理引擎的工作原理 图4 8推理引擎表 图4 9表示假想实例所对应的状态转移图 对应着状态描述表中的第h项 记为SDTh 图4 9假想的状态转移图SDTh初始的推理引擎表如图4 10所示 表中第h行对应着假想的状态转移图SDTh 图4 10初始推理引擎表 图4 11第一个操作后的推理引擎表 图4 12第二个操作后的推理引擎表 文件完整性检查的目的是检查主机系统中文件系统的完整性 及时发现潜在