第二讲 入侵检测技术的分类

第二讲入侵检测技术的分类

第二讲入侵检测技术的分类

第一节入侵检测的信息源

对于入侵检测系统而言，输入数据的选择是首要解决的问题：

⏹入侵检测的输出结果，取决于所能获得的输入

数据的数量和质量。

⏹具体采用的入侵检测技术类型，也常常因为所

选择的输入数据的类型不同而各不相同。

几种常用输入数据来源

▪操作系统的审计记录

▪系统日志

▪应用程序的日志信息

▪基于网络数据的信息源

▪其它的数据来源

操作系统的审计记录

▪在入侵检测技术的发展历史中，最早采用的用于入侵检测任务的输入数据源

▪操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的，其目的是记

录当前系统的活动信息，并将这些信息按照时间顺序组织成为一个或多个审计文件。▪不同的系统在审计事件的选择、审计记录的选择和内容组织等诸多方面都存在着兼容性的问题。

▪操作系统审计机制的设计和开发的初始目标，并不是为了满足后来才出现的入侵检测技术的需求目的，因此无法提供所需的关键事件信息（不足），或者是提供了冗余的记录信息（过）。

操作系统审计记录做为是基于主机入侵检测技术的首选数据源的原因：

⏹安全性有保障。操作系统的审计系统在设计

时，就考虑了审计记录的结构化组织工作以及对审计记录内容的保护机制，因此操作系统审计记录的安全性得到了较好的保护。

⏹没有经过高层抽象、详尽。操作系统审计记

录提供了在系统内核级的事件发生情况，反映的是系统底层的活动情况并提供了相关的详尽信息，为发现潜在的异常行为特征奠定了良好的基础。

审计记录的优点

▪可信度高

⏹得益于操作系统的保护▪审计记录没有经过高层的抽象

⏹最“原始”的信息来源

⏹了解系统事件的细节

⏹实现准确的入侵匹配

⏹不易被篡改和破坏

审计记录的问题

▪过于细节化的问题

▪缺乏足够细节的问题

▪缺乏说明文档

▪不同系统审计记录的不兼容审计记录级别

审计记录内容

▪响应事件的主题和涉及事件的目标信息

⏹主体

⏹对象

⏹进程

⏹用户id

⏹系统调用的参数

⏹返回值

⏹特定应用事件的数据

⏹...

OS审计纪录示例之一—Sun Solaris BSM

▪BSM安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等信息▪其中审计日志由一个或多个审计文件组成，每个审计文件包含多个审计记录，而每个审计记录则由一组审计令牌（audit token）构成。

Windows 的系统事件

事件日志的格式

审计日志

1

1..*审计文件

审计记录

审计令牌

1

*1

*

▪类型：事件查看器显示5种事件类型。

⏹错误、警告、信息、成功审核、失败审

核

▪日期：事件产生的详细日期。

▪时间：事件产生的详细时间，精确到秒。▪来源：事件的生成者。

▪分类：对事件的分类，如系统事件、特权

使用、登录/注销等

▪事件：事件ID。

▪用户：用户名称。

▪计算机：计算机名称。可以是本地计算机，也可以是远程计算机。

事件类型

审计记录

Windows审计管理

审计数据的提炼

▪操作系统的复杂化

▪审计数据量的庞大

▪审计数据的提炼、过滤、去冗余

▪可信进程的审计记录精简

系统日志和应用程序日志

▪系统日志是反映各种系统事件和设置的文件

▪系统使用日志机制记录下主机上发生的事情，无论是对日常管理维护，还是对追踪入侵者的痕迹都非常关键。

▪日志可分为操作系统日志和应用程序日志两部分。

系统日志的安全性

▪系统日志的来源

⏹产生系统日志的软件是在内核外运行的

应用程序，易受到恶意的修改或攻击

⏹而操作系统审计记录是由系统内核模块

生成的

▪系统日志的存储方式

⏹存储在不受保护的文件目录里

⏹审计记录以二进制文件形式存放，具备

较强的保护机制

▪提高系统日志的安全性：加密和校验机制

应用程序日志

▪应用程序日志通常代表了系统活动的用户级抽象信息，相对于系统级的安全数据来说，去除了大量的冗余信息，更易于管理员浏览和理解。

▪典型的有

⏹Web服务器日志

⏹数据库系统日志

▪Web服务器通常支持两种标准格式的日志文件：

⏹通用日志格式（CLF）

⏹扩展日志文件格式（ELFF），除了CLF

所定义的数据字段外，还扩展包含了其

他的附加信息。

▪扩展日志文件格式（ELFF）

基于网络数据的信息源

▪近年来流行的商用入侵检测系统大多采用了网络数据作为其主要的输入数据源。

▪优势

⏹占用资源少。

⏹在被保护的设备上不用几乎占用任

何资源。

⏹通过网络被动监听的方式来获取网

络数据包，作为入侵检测系统输入

信息源的工作过程，对目标监控系

统的运行性能几乎没有任何影响，

并且通常无须改变。

⏹隐蔽性好

⏹一个网络上的监测器不像一个主机

那样显眼和易被存取，因而也不那

么容易遭受攻击。由于不是主机，

因此一个基于网络的监视器不用去

响应ping，不允许别人存取其本地

存储器，不能让别人运行程序，而

且不让多个用户使用它。

其它的数据来源