入侵检测系统

格式 “” 由identd返回的该用户信息 UserID [DD/MMM/YYYY:HH:MM:SS+TimeZone] “GET ” NNN，如果没有则以“-”表示 NNNNN，如果没有则以“-”表示 /dir/page “browser/version”（操作系统）
日期
时间
主体标识
事件标号
事件来源
事件等级
计算机名 事件类别
事件描述区的内容取决于具体的事件，可以是事件的名称、详 细说明、产生该事件的原因、建议的解决方案等信息。
附加数据
可选数据区，通常包含可以以16进制方式显示的二进制数据。 具体内容由产生事件记录的应用程序决定。
2021/2/4
1
33
33
系统日志
2021/2/4
1
15
15
审计记录的问题
• 过于细节化的问题 • 缺乏足够细节的问题 • 缺乏说明文档 • 不同系统审计记录的不兼容
– 最让入侵检测系统头疼的问题！
2021/2/4
1
16
16
审计记录内容
• 响应事件的主题和涉及事件的目标信息
– 主体
– 对象
– 进程
– 用户id
– 系统调用的参数
– 返回值
– 基于主机的监测收集通常在操作系统层的来自计算机内 部的数据，包括操作系统审计跟踪信息和系统日志
• 来自网络的 – 检测收集网络的数据
• 来自应用程序的
– 监测收集来自运行着的应用程序的数据，包括应用程序 事件日志和其它存储在应用程序内部的数据
• 来自目标机的 – 使用散列函数来检测对系统对象的修改。
2021/2/4
1
5
（2）信息分析
• 模式匹配（误用检测） • 统计分析（异常检测） • 完整性分析，往往用于事后分析
2021/2/4
1
6
模式匹配
• 模式匹配就是将收集到的信息与已知的网络入侵和系 统误用模式数据库进行比较，从而发现违背安全策略 的行为
• 一般来讲，一种攻击模式可以用一个过程（如执行一 条指令）或一个输出（如获得权限）来表示。该过程 可以很简单（如通过字符串匹配以寻找一个简单的条 目或指令），也可以很复杂（如利用正规的数学表达 式来表示安全状态的变化）
入侵检测系统
2.1 入侵检测流程
• 简单地说，入侵检测系统包括三个功能部 件：
– （1）信息收集 – （2）信息分析 – （3）结果处理
2021/2/4
1
2
（1）信息收集
• 入侵检测的第一步是信息收集，收集内容包括系统、 网络、数据及用户活动的状态和行为
• 需要在计算机网络系统中的若干不同关键点（不同 网段和不同主机）收集信息
2021/2/4
1
21
2021/2/4
1
22
NT审计机制
• Windows NT的审计机制
–以事件日志（event-logging）的形式提供数据 源
–融合了从操作系统和其它系统数据源处收集到 的事件信息
–由操作系统内部的安全参考监视器（SRM）、 本地安全中心（LSA）和事件记录器（Event Logger）共同完成
2021/2/4
1
37
37
安全性对比
系统日志 审计记录
运行方式 应用程序 操作系统子系统
存储目录 未受保护 受系统保护
存储格式 文本
带加密和校验
2021/2/4
1
38
38
应用日志
• 应用日志通常代表了系统活动的用户级抽 象信息，相对于系统级的安全数据来说， 去除了大量的冗余信息，更易于管理员浏 览和理解。
• 系统日志是反映各种系统事件和设置的文 件；
• Unix系统提供了分类齐全的系统日志，如 登录日志、进程统计日志；
• Unix提供通用的服务（syslog，几乎所有的UNIX
和Linux操作系统都是采用syslog进行系统日志的管理和
配置 ）用于支持产生和更新事件日志，任何 程序都可以通过syslog记录事件；
2021/2/4
1
7
统计分析
• 统计分析方法首先给系统对象（如用户、文件、目录 和设备等）创建一个统计描述，统计正常使用时的一 些测量属性（如访问次数、操作失败次数和延时等）
• 测量属性的平均值和方差将被用来与网络、系统的行 为进行比较，任何观察值在正常值范围之外时，就认 为有入侵发生
2021/2/4
字段 访问者主机名
rfc931
用户名（如果用户提交了用于认证的ID）
请求日期及时间（包括时区信息）
请求的页面及服务器使用的页面通信协议
请求的返回码（200代表成功） 返回的字节数
2021/2/4
格式
“” 由identd返回的该用户信息
UserID
[DD/MMM/YYYY:HH:MM:SS+TimeZone]
2021/2/4
1
13
13
审计记录
• 由审计子系统产生； • 用于反映系统活动的信息集合； • 遵循美国可信计算机安全评价标准
（TCSEC）；
2021/2/4
1
14
14
审计记录的优点
• 可信度高
– 得益于操作系统的保护
• 审计记录没有经过高层的抽象
– 最“原始”的信息来源 – 了解系统事件的细节 – 实现准确的入侵匹配 – 不易被篡改和破坏
1
10
2.2 入侵检测的数据源
• 入侵检测的基本问题
– 如何充分、可靠地提取描述行为特征的数据； – 如何根据特征数据，高效、准确地判断行为的性质； – ……
2021/2/4
1
11
11
• 主机信息源 • 网络信息源
数据源
2021/2/4
1
12
12
主机信息源
• 操作系统审计记录（Audit Trails） • 系统日志（System Logs） • 应用程序日志（Application Logs） • 目标信息（Objects）
26
26
对象访问
对象访问 （Object Access）
打开对象 关闭句柄
SRM SRM
2021/2/4
1
27
27
特权使用
特权使用 （Privilege Use）
分配特权 特权服务
特权对象访问
SRM SRM SRM
2021/2/4
1
28
28
细节跟踪
细节跟踪 （Detailed Tracking）
2021/2/4
1
23
23
NT审计事件
• NT包含7种类型的审计事件组：
–系统 –登录/退出 –对象访问 –特权使用 –细节跟踪 –策略更改 –帐号管理
2021/2/4
1
NT审计事件组
24
24
类别 系统 （System）
2021/2/4
系统事件
事件类型 系统重启 系统关机 认证包载入 注册登录进程 审计日志清除
• 系统日志文件：
• c:\systemroot\sys tem32\config\SysEvent.EVT
• 应用程序日志文件：
• c:\systemroot\sys tem32\config\AppEvent.EVT
• Internet 信 息 服 务 FTP 日 志 默 认 位 置 ： c:\systemroot\sys tem32\logfiles\msftpsvc1\。
• 典型的有：
– WWW Server日志 – 数据库系统日志
2021/2/4
1
39
39
WWW Server日志
• 通用日志格式（CLF）
-user1 [27/Nov/2000:10:00:00 +0600] “GET /page1/HTTP 1.0” 200 1893
• 应用程序日志、安全日志、系统日志、DNS日 志 默 认 位 置 ： %systemroot%\sys tem32\config，默认文件大小512KB，但有经 验的系统管理员往往都会改变这个默认大小。
2021/2/4
1
19
• 安全日志文件：
• c:\systemroot\system32\config\SecEvent.EVT
1
LSA LSA LSA LSA LSA LSA LSA LSA LSA LSA LSA
31
31
NT审计内容
• NT的事件日志机制
– 系统日志
• 记录操作系统事件
– 应用日志
• 记录应用程序事件
– 安全日志
• 记录与安全相关的事件
2021/2/4
1
32
32
NT审计记录
• NT事件记录结构
记录头 事件描述
审计数据丢弃（内部队列满）
来源 SRM SRM LSA LSA SRM SRM
25
1
25
登录/退出事件
登录/退出 （Logon/Logoff）
登录成功 未知用户或密码 超时登录失败 帐号禁用 帐号过期 无效工作站 登录类型限制 密码过期 登录失败 退出
2021/2/4
1
LSA LSA LSA LSA LSA LSA LSA LSA LSA LSA
– 尽可能扩大数据收集范围 – 从一个源来的信息有可能看不出疑点，进行多点
收集。
2021/2/4
1
3
信息收集
• 入侵检测很大程度上依赖于收集信息 的可靠性和正确性
• 入侵检测系统软件本身应具有相当强 的坚固性，防止被篡改而收集到错误 的信息
2021/2/4
1
4
信息收集的来源
• 数据来源可分为四类： • 来自主机的
• 一旦黑客在获得服务器的系统管理员权限之后 就可以随意破坏系统上的文件了，包括日志文 件，想要隐藏自己的入侵踪迹，就必须对日志 进行修改。
• 对事件日志移位能做到很好的保护。移位虽是 一 种 保 护 方 法 ， 但 只 要 在 命 令 行 输 入 dir c:\*.evt/s（如系统安装在D盘，则盘符为D）， 一下就可查找到事件日志位置。
1
8
完整性分析
• 完整性分析主要关注某个文件或对象是否被更改 • 这经常包括文件和目录的内容及属性 • 在发现被更改的、被安装木马的应用程序方面特
别有效
2021/2/4
1
9
（3）结果处理
• 告警与响应 • 当一个攻击事件被检测出来以后，IDS就应该根据入侵事
件的类型或性质做出相应的告警与响应。常见的方式有：
– 自动终止攻击过程； – 终止用户连接； – 禁止用户账号； – 重新配置防火墙阻塞攻击的源地址； – 向管理控制平台发出警告指出事件的发生； – 向网络管理平台发出SNMP TRAP; – 记录事件的日志，包括日期、时间、源地址、目的地址、描述与
事件相关的原始数据； – 执行一个用户自定义程序
2021/2/4
“GET ”
NNN，如果没有则以“-”表示
NNNNN，如果没有则以“-”表示
1
40
40
WWW Server日志
• 扩展日志文件格式
字段 访问者主机名 rfc931 用户名（如果用户提交了用于认证的ID） 请求日期及时间（包括时区信息） 请求的页面及服务器使用的页面通信协议 请求的返回码（200代表成功） 返回的字节数 请求的URL的地址 访问者使用的浏览器及其版本
进程创建 进程终止 复制句柄 间接参考
SRM SRM SRM SRM
2021/2/4
1
29
29
策略更改
策略更改
特权已分配
LSA
（Policy Changes）
特权已取消
LSA
审计策略改变
LSA
2021/2/4
1
30
30
帐号管理
帐号管理 （Account Management）
2021/2/4
改变域 更改用户 创建用户 删除用户 删除全局组成员 添加全局组成员 更改本地组 创建本地组 删除本地组成员 添加本地组成员 删除本地组
2021/2/4
1
34
34
默认配置syslog日志
2021/2/4
1
35
系统日志的安全性
• 系统日志的来源：产生日志的软件作为一个应用 程序
• 系统日志的存储方式：存储在不受保护的目录里
• 提高系统日志的安全性 – 加密和校验机制 – 日志重定向
2021/2/4
1
36
36
系统日志的优点
• 面向管理员而非面向计算机 • 与审计记录相比，更为人性化 • 易于浏览、便于理解
– 特定应用事件的数据
–… …
2021/2/4
1
17
17
Windows日志监测
• 1．Windows日志 • Windows中也一样使用“事件查看器”来管理
日志系统，也同样需要用系统管理员身份进入 系统后方可进行操作，如图所示。
2021/2/4
1
18
• 通常有应用程序日志，安全日志、系统日志、 DNS服务器日志、FTP日志、WWW日志等等， 可能会根据服务器所开启的服务不同而略有变 化。启动Windows时，事件日志服务会自动启 动，所有用户都可以查看“应用程序日志”， 但是只有系统管理员才能访问“安全日志”和 “系统日志”。
• Internet 信 息 服 务 WWW 日 志 默 认 位 置 ： c:\systemroot\system32\logfiles\w3svc1\。
2021/2/4
1
20
• Windows 2000中提供了一个叫做安全日志分 析器(CyberSafe Log Analyst，CLA)的工具， 有很强的日志管理功能。