第3章 入侵检测技术的分类

1、第第3章章 入侵检测技术的分类入侵检测技术的分类 3.1 入侵检测的信息源入侵检测的信息源 3.2 分类方法分类方法 3.3 具体的入侵检测系统具体的入侵检测系统 3.1 入侵检测的信息源入侵检测的信息源 入侵检测的基本问题 如何充分、可靠地提取描述行为特征的数据； 如何根据特征数据，高效、准确地判断行为的 性质； 数据源类型数据源类型 数据来源可分为四类：数据来源可分为四类： 来自主机的来自主机的 基于主机的监测收集通常在操作系统层的来自计算机内部的数基于主机的监测收集通常在操作系统层的来自计算机内部的数 据，包括操作系统审计跟踪信息和系统日志据，包括操作系统审计跟踪信息和系统日志 来自网络

2、的来自网络的 检测收集网络的数据检测收集网络的数据 来自应用程序的来自应用程序的 监测收集来自运行着的应用程序的数据，包括应用程序事件日监测收集来自运行着的应用程序的数据，包括应用程序事件日 志和其它存储在应用程序内部的数据志和其它存储在应用程序内部的数据 来自目标机的来自目标机的 使用散列函数来检测对系统对象的修改。使用散列函数来检测对系统对象的修改。 4 审计记录审计记录 由审计子系统产生；由审计子系统产生； 用于反映系统活动的信息集合；用于反映系统活动的信息集合； 将这些信息按照时间顺序组织成为一个或将这些信息按照时间顺序组织成为一个或 多个审计文件；多个审计文件； 遵循美国可信计算机安

3、全评价标准遵循美国可信计算机安全评价标准 （TCSEC）；）； 5 审计记录的优点审计记录的优点 可信度高可信度高 得益于操作系统的保护得益于操作系统的保护 审计记录没有经过高层的抽象审计记录没有经过高层的抽象 最最“原始原始”的信息来源的信息来源 了解系统事件的细节了解系统事件的细节 不易被篡改和破坏不易被篡改和破坏 审计记录的缺点审计记录的缺点 不同的系统在审计事件的选择、审计记录不同的系统在审计事件的选择、审计记录 的选择和内容组织等诸多方面都存在着兼的选择和内容组织等诸多方面都存在着兼 容性的问题。容性的问题。 另外一个存在的问题是，操作系统审计机另外一个存在的问题是，操作系统审计机

4、制的设计和开发的初始目标，并不是为了制的设计和开发的初始目标，并不是为了 满足后来才出现的入侵检测技术的需求目满足后来才出现的入侵检测技术的需求目 的。的。 7 审计记录内容审计记录内容 响应事件的主体和涉及事件的目标信息响应事件的主体和涉及事件的目标信息 主体主体 对象对象 进程进程 用户用户id 系统调用的参数系统调用的参数 返回值返回值 特定应用事件的数据特定应用事件的数据 1. Sun Solaris BSM Sun公司的公司的Solaris操作系统是目前流行的服务器操作系统是目前流行的服务器 UNIX操作系统。操作系统。 BSM安全审计子系统的主要概念包括审计日志、安全审计子系统的主

5、要概念包括审计日志、 审计文件、审计记录和审计令牌等，其中审计日审计文件、审计记录和审计令牌等，其中审计日 志由一个或多个审计文件组成，每个审计文件包志由一个或多个审计文件组成，每个审计文件包 含多个审计记录，而每个审计记录则由一组审计含多个审计记录，而每个审计记录则由一组审计 令牌（令牌（audit token）构成。）构成。 图图3-1所示为所示为BSM审计记录的格式。审计记录的格式。 每个审计令牌包括若干字段，如图每个审计令牌包括若干字段，如图3-2所示。所示。 图图3-1 BSM审计记录格式审计记录格式 Header* Process* Argumnet* Attribute* Dat

6、a In_addr Ip Ipc_perm Ipc Iport Path* Text Groups Opaque Return* Trailer 首令牌字段首令牌字段 审计进程信息审计进程信息 系统调用参数信息系统调用参数信息 属性信息属性信息 当前根目录、工作目录及其绝对路径当前根目录、工作目录及其绝对路径 请求（系统调用）返回值请求（系统调用）返回值 图图3-2 BSM审计令牌格式审计令牌格式 Header Token token ID record size event type * time of queue * Process Token token ID audit ID * us

7、er ID * feal user ID real group ID* process ID* Argument Token token ID argument ID argument value * string length text Return Token token ID user error return value * Trailer Token token ID magic number record size Path Token token ID size of root current root size of dir current dir size of path p

8、ath argument * Attribute Token token ID vnode mode * vnode uid * vnode gid * vnode fsid * vnode nodeid * vnode rdev * Windows日志监测 1Windows日志 Windows中也一样使用中也一样使用“事件查看器事件查看器”来管来管 理日志系统，也同样需要用系统管理员身份进理日志系统，也同样需要用系统管理员身份进 入系统后方可进行操作，如图所示。入系统后方可进行操作，如图所示。 图3-5 事件属性信息 通常有应用程序日志，安全日志、系统日志、通常有应用程序日志，安全日志、系统

9、日志、 DNS服务器日志、服务器日志、FTP日志、日志、WWW日志等等，日志等等， 可能会根据服务器所开启的服务不同而略有变可能会根据服务器所开启的服务不同而略有变 化。启动化。启动Windows时，事件日志服务会自动时，事件日志服务会自动 启动，所有用户都可以查看启动，所有用户都可以查看“应用程序日志应用程序日志”， 但是只有系统管理员才能访问但是只有系统管理员才能访问“安全日志安全日志”和和 “系统日志系统日志”。 应用程序日志、安全日志、系统日志、应用程序日志、安全日志、系统日志、DNS日日 志 默 认 位 置 ：志 默 认 位 置 ： % s y s t e m r o o t % s

10、 y s tem32config，默认文件大小，默认文件大小512KB，但有经，但有经 验的系统管理员往往都会改变这个默认大小。验的系统管理员往往都会改变这个默认大小。 安全日志文件：安全日志文件： c:systemrootsystem32configSecEvent.EVT 系统日志文件：系统日志文件： c:systemrootsys tem32configSysEvent.EVT 应用程序日志文件：应用程序日志文件： c:systemrootsys tem32configAppEvent.EVT I n t e r n e t 信 息 服 务信 息 服 务 F T P 日 志 默 认 位

11、置 ：日 志 默 认 位 置 ： c:systemrootsys tem32logfilesmsftpsvc1。 I n t e r n e t 信 息 服 务信 息 服 务 W W W 日 志 默 认 位 置 ：日 志 默 认 位 置 ： c:systemrootsystem32logfilesw3svc1。 17 系统日志系统日志 系统日志是反映各种系统事件和设置的文件； Unix系统提供了分类齐全的系统日志，如登 录日志、进程统计日志； 18 系系统统日日志志 审审计计记记录录 运运行行方方式式 应用程序 操作系统子系统 存存储储目目录录 未受保护 受系统保护 存存储储格格式式 文本 带

12、加密和校验 安全性对比安全性对比 系统使用日志机制记录下主机上发生的事情，系统使用日志机制记录下主机上发生的事情， 系统日志的安全性与操作系统的审计记录比较系统日志的安全性与操作系统的审计记录比较 而言，要差一些，其原因如下：而言，要差一些，其原因如下： 产生系统日志的软件通常是在内核外运行产生系统日志的软件通常是在内核外运行 的应用程序，因而这些软件容易受到恶意的修的应用程序，因而这些软件容易受到恶意的修 改或攻击。改或攻击。 系统日志通常是存储在普通的不受保护的系统日志通常是存储在普通的不受保护的 文件目录里，容易受到恶意的篡改和删除等操文件目录里，容易受到恶意的篡改和删除等操 作。作。

13、3.1.2 系统日志系统日志 尽管如此，系统日志仍然以其简单易读、容易处理等优尽管如此，系统日志仍然以其简单易读、容易处理等优 势成为入侵检测的一个重要输入数据源。势成为入侵检测的一个重要输入数据源。 UNIX操作系统的主要日志文件可以分成操作系统的主要日志文件可以分成3类：类： 登录登录日志日志文件，写入到文件，写入到/var/log/wtmp和和 /var/run/utmp，系统程序负责更新，系统程序负责更新wtmp和和utmp文件，文件， 使系统管理员能够跟踪谁在何时登录到系统。使系统管理员能够跟踪谁在何时登录到系统。 进程日志，由系统内核生成。当一个进程终止时，系进程日志，由系统内核生

14、成。当一个进程终止时，系 统内核为每个进程在进程日志文件（统内核为每个进程在进程日志文件（pacct或或acct）中）中 写入一条记录。写入一条记录。 syslogd日志，由日志，由syslogd生成并维护。各种系统守生成并维护。各种系统守 护进程、内核、模块使用护进程、内核、模块使用syslogd记录下自己发出的消记录下自己发出的消 息。息。 21 3.1.3 应用程序日志应用程序日志 应用日志通常代表了系统活动的用户级抽应用日志通常代表了系统活动的用户级抽 象信息，相对于系统级的安全数据来说，象信息，相对于系统级的安全数据来说， 去除了大量的冗余信息，更易于管理员浏去除了大量的冗余信息，更

15、易于管理员浏 览和理解。览和理解。 但是由于缺乏系统保护，因但是由于缺乏系统保护，因 此也存在风险，存在可信度的问题。此也存在风险，存在可信度的问题。 典型的有：典型的有： WWW Server日志日志 数据库系统日志数据库系统日志 22 WWW Server日志日志 通用日志格式（通用日志格式（CLF） -user1 27/Nov/2000:10:00:00 +0600 “GET /page1/HTTP 1.0” 200 1893 字段字段格式格式 访问者主机名访问者主机名“H” rfc931 服务器返回给访问用户的信息；如果不存在，为服务器返回给访问用户的信息；如果不存在，为- 用户名（如

16、果用户提交了用于认证的用户名（如果用户提交了用于认证的ID） UserID 请求日期及时间（包括时区信息）请求日期及时间（包括时区信息）DD/MMM/YYYY:HH:MM:SS+TimeZone 请求的页面及服务器使用的页面通信协议请求的页面及服务器使用的页面通信协议 “GET ” 请求的返回码（请求的返回码（200代表成功）代表成功）NNN，如果没有则以，如果没有则以“-”表示表示 返回的字节数返回的字节数NNNNN，如果没有则以，如果没有则以“-”表示表示 23 WWW Server日志日志 扩展日志文件格式扩展日志文件格式 字段字段格式格式 访问者主机名访问者主机名“H” rfc931由

17、由identd返回的该用户信息返回的该用户信息 用户名（如果用户提交了用于认证的用户名（如果用户提交了用于认证的ID）UserID 请求日期及时间（包括时区信息）请求日期及时间（包括时区信息）DD/MMM/YYYY:HH:MM:SS+TimeZone 请求的页面及服务器使用的页面通信协议请求的页面及服务器使用的页面通信协议“GET ” 请求的返回码（请求的返回码（200代表成功）代表成功）NNN，如果没有则以，如果没有则以“-”表示表示 返回的字节数返回的字节数NNNNN，如果没有则以，如果没有则以“-”表示表示 请求的请求的URL的地址的地址http:/ 访问者使用的浏览器及其版本访问者使用

18、的浏览器及其版本“browser/version”（操作系统）（操作系统） WWW日志日志 #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20040419 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20040419 03:091 6 7 80 GET /iisstart.asp 20

19、0 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+ DigExt) 20040419 03:094 6 7 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+ DigExt) FTP日志日志 FTP日志每天生成一个日志文件，包含了该日的一切记录，文件名通常为日志每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex（年份）（年份） （月份）（日期）。例如（月份）（日期）。例如ex040419，就是，就是2

20、004年年4月月19日产生的日志，用记事本可直接日产生的日志，用记事本可直接 打开，普通的有入侵行为的日志一般是这样的：打开，普通的有入侵行为的日志一般是这样的： #Software: Microsoft Internet Information Services 5.0（微软（微软IIS5.0） #Version: 1.0 （版本（版本1.0） #Date: 20040419 0315 （服务启动时间日期）（服务启动时间日期） #Fields: time cip csmethod csuristem scstatus 0315 1USER administator 331

21、（IP地址为地址为用户名为用户名为administator 试图登录）试图登录） 0318 1PASS 530（登录失败）（登录失败） 032:04 1USER nt 331（IP地址为地址为用户名为用户名为nt的用户试图登录）的用户试图登录） 032:06 1PASS 530（登录失败）（登录失败） 032:09 1USER cyz 331（IP地址为地址为用户名为用户名为cyz的用户试图登录）的用户试图登录） 0322 1PASS 530

22、（登录失败）（登录失败） 0322 1USER administrator 331（IP地址为地址为用户名为用户名为 administrator试图登录）试图登录） 0324 1PASS 230（登录成功）（登录成功） 0321 1MKD nt 550（新建目录失败）（新建目录失败） 0325 1QUIT 550（退出（退出FTP程序）程序） 从日志里就能看出从日志里就能看出IP地址为地址为的用户一直试图登录系统，换了四次用户名和密码的用户一直试图登录系统，换了四次用户名和密码

23、才成功，管理员立即就可以得知这个才成功，管理员立即就可以得知这个IP至少有入侵企图！而他的入侵时间、至少有入侵企图！而他的入侵时间、IP地址以及地址以及 探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用 Administrator用户名用户名 进入的，那么就要考虑此用户名是不是密码失窃？还是被别人利用？接下来就要想想系进入的，那么就要考虑此用户名是不是密码失窃？还是被别人利用？接下来就要想想系 统出什么问题了。统出什么问题了。 26 3.1.4 网络信息源的优势网络信息源的优势 可以对整个子网进行检测可以对整个子网进行检测 不影响

24、现存的数据源，不影响现存的数据源，不改变系统和网络不改变系统和网络 的工作模式的工作模式 不影响主机性能和网络性能不影响主机性能和网络性能 被动接收方式被动接收方式，隐蔽性好，隐蔽性好 对基于网络协议的入侵手段有较强的分析对基于网络协议的入侵手段有较强的分析 能力能力 27 网络信息源的缺陷网络信息源的缺陷 检测效率检测效率 网络流量日益增大的挑战网络流量日益增大的挑战 虚警和漏警的平衡虚警和漏警的平衡 应用于交换环境出现的问题应用于交换环境出现的问题 在交换网络环境中应该考虑的问题在交换网络环境中应该考虑的问题 每个端口的忙碌状况每个端口的忙碌状况 如何识别和跟踪错误源？如何识别和跟踪错误源

25、？ 广播风暴的源头是什么？广播风暴的源头是什么？ 交换转发表是否运行正常交换转发表是否运行正常? 哪个站点连接在这个端口上？哪个站点连接在这个端口上？ 交换机对协议或端口是否有速率限制？交换机对协议或端口是否有速率限制？ 28 3.1.5 来自其它安全产品的信息来自其它安全产品的信息 防火墙防火墙 认证系统认证系统 访问控制系统访问控制系统 其它安全设备其它安全设备 提高分析的准确性和全面性提高分析的准确性和全面性 3.1.6 信息源的选择问题信息源的选择问题 基本原则：基本原则： 根据检测目标来选择数据源；根据检测目标来选择数据源； 最少数目的输入数据源最少数目的输入数据源 3.2 入侵检测

26、的分类入侵检测的分类 对入侵检测系统可以根据所采用的审计数对入侵检测系统可以根据所采用的审计数 据源、检测策略、检测的实时性、对抗措据源、检测策略、检测的实时性、对抗措 施、体系结构等方面进行划分。施、体系结构等方面进行划分。 入侵检测系统的分类入侵检测系统的分类 1.基于网络的系统基于网络的系统VS基于主机的系统基于主机的系统 根据入侵检测系统分析的数据来源 ： 主机系统日志 原始的网络数据包 应用程序的日志 防火墙报警日志 其它入侵检测系统的报警信息 入侵检测实质上可以归结为对安全审计数 据的处理，这种处理可以针对网络数据， 也可以针对主机的审计记录或应用程序日 志。依据审计数据源的不同可

27、将IDS分为基 于网络的IDS、基于主机的IDS和基于主机/ 网络混合型的IDS。 基于网络的IDS利用网络数据包作为审计数 据源，其优点是隐蔽性好，不容易遭受攻 击，对主机资源消耗少。并且由于网络协 议是标准的，可以对网络提供通用的保护 而无需顾及异构主机的不同架构。 基于主机的IDS所分析的安全审计数据主要来自 主机日志、应用程序所产生的日志以及特权程序 所产生的系统调用序列日志。其优点是检测精度 高，但是只能检测针对本机的攻击，不适合检测 针对网络协议漏洞的攻击。 混合型IDS结合两种数据源，最大限度提高对网 络及主机系统的信息收集，实现准确且高效的入 侵检测。 2滥用检测滥用检测VS异

28、常检测异常检测 滥用检测又称为基于知识的入侵检测，是 对利用已知的系统缺陷和已知的入侵方法 进行入侵活动的检测。入侵者常常利用系 统和应用软件的弱点来实施攻击，将这些 弱点编成某种模式，如果入侵者的攻击方 式正好与检测系统的模式库中某些模式匹 配，则认为有入侵行为发生。 滥用检测的关键在于如何通过入侵模式准 确地描述入侵活动的特征、条件、排列和 关系，从而有效地检测入侵。系统需要对 已知的入侵行为进行分析，提取检测特征， 构建攻击模式。对观察到的审计数据进行 分析检测，通过系统当前状态与攻击模式 进行匹配，判断是否有入侵行为。 滥用检测方法的优点是可以针对性地建立 高效的入侵检测系统，对已知攻

29、击检测准 确率高。缺点是不能检测未知攻击或已知 攻击的变种，需要对入侵模式不断进行维 护升级； 异常检测前提是假定所有入侵行为都有区别于正 常行为的异常特性。 异常检测是根据系统或用户的非正常行为和使用 计算机资源的非正常情况来检测入侵行为。 因此首先建立目标系统及其用户的活动模型，然 后基于这个模型对系统和用户的实际活动进行审 计，通过比较差异来判断是否有入侵行为。 优点是不受已知知识的限制，因而它可以检测未 知的攻击行为。 关键问题在于正常使用模式的建立及如何 利用该模式对当前系统/用户行为进行比较 （即系统特征量以及阈值的选取），从而 判断出与正常模式的偏离程度。 异常检测方法存在的主要问题： 如何有效地表示用户的正常行为模式？即选择 哪些数据才能有效的反映用户的行为，而且正 常模式具有时效性，需要不断修正和更新。当 用户行为突然改变