基於主機的入侵檢測技術

基於主機的入侵檢測技術

• 審計數據的獲取
• 審計數據的預處理
• 基於統計模型的入侵檢測技術
• 基於專家系統的入侵檢測技術
• 基於狀態轉移分析的入侵檢測技術
• 基於完整性檢查的入侵檢測技術
• 基於智能體的入侵檢測技術
• 系統配置分析技術

審計數據的獲取

數據獲取劃分爲直接監測和間接監測兩種方法。

（1）直接監測——直接監測從數據產生或從屬的對象直接獲得數據。例如，爲了直接監測主機CPU的負荷，必須直接從主機相應內核的結構獲得數據。要監測ietd進程提供的網絡訪問服務，必須直接從 inetd進程獲得關於那些訪問的數據；

（2）間接監測—從反映被監測對象行爲的某個源獲得數據。間接監測主機CPU的負荷可以通過讀取一個記錄CPU負荷的日誌文件獲得。間接監測訪問網絡服務可以通過讀取 inetd進程產生的日誌文件或輔助程序獲得。間接監測還可以通過查看發往主機的特定端口的網絡數據包。

---

入侵檢測時，直接監測要好於間接監測，原因如下：

（1）間接數據源（如審計跟蹤）的數據可能在IDS使用這些數據之前被篡改。

（2）一些事件可能沒有被間接數據源記錄。

（3）使用間接監測，數據是通過某些機制產生的，這些機制並不知道哪些數據是IDS真正需要的。

（4）間接數據源通常在數據產生時刻和IDS能夠訪問這些數據的時刻之間引入時延。而直接監測時延更短，確保IDS能更及時地做出反應。

---

系統日誌與審計信息：

• Acct或pacct：記錄每個用戶使用的命令記錄

• Aculog：保存着用戶撥出去的 Modems記錄

• Loginlog：記錄一些不正常的 Login記錄。

• Wtmp：記錄當前登錄到系統中的所有用戶，這個文件伴隨着用戶進入和離開系統而不斷變化。

• Syslog：重要的日誌文件，使用 syslogd守護程序來獲得日誌信息

• Uucp：記錄的UUCP的信息，可以被本地UUCP活動更新，也可由遠程站點發起的動作修改。

• Access log：主要使用於運行了 NCSA HTTPD的服務器，這記錄文件記錄有什麼站點連接過該服務器。

• Lastlog：記錄了用戶最近的 Login記錄和每個用戶的最初目的地，有時是最後不成功的 Login的記錄。

• Messages：記錄輸出到系統控制檯的記錄，另外的信息由 syslog來生成。

• Sulog：記錄使用su命令的記錄。

• Utmp：記錄用戶登錄和退出事件

• ftp日誌：執行帶-l選項的ftpd能夠獲得記錄功能。

• htpd日誌：HTTPD服務器在日誌中記錄每一個Web訪問記錄。

• history日誌：這個文件保存了用戶最近輸入命令的記錄

• secure：記錄一些使用遠程登錄及本地登錄的事件。

Windows系統審計信息

• 以 windows10爲例，windows註冊表路徑\HKEY LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog記錄了相關日誌信息的文件存儲路徑。

• Windows中的審覈是對計算機上用戶活動和系統活動過程（稱之爲事件）的跟蹤。

• 事件被分別記錄到六種日誌中

• 應用服務日誌

  • 記錄了應用程序和系統產生的事件

  • 任何廠商開發的應用程序都可以用審覈系統將自己註冊，並嚮應用程序日誌中寫入事件。

• 系統日誌

  • 含有 Windows 2000系統自身產生的事件，以及驅動程序等組件產生的事件。

• 安全日誌

  • 含有關於安全事件的信息，其中包含與監視系統，用戶和進程的活動相關的信息，以及關於啓動失敗等安全服務的消息

轉存事件日誌

• 方法一：使用事件查看器轉存
• 方法二：使用 Dumpel命令轉存

數據獲取系統的結構圖

審計數據的預處理

審計數據預處理原因

網絡入侵檢測系統分析數據的來源與數據結構的異構性，實際系統所提供數據的不完全相關性、冗餘性、概念上的模糊性以及海量審計數據中可能存在大量的無意義信息等問題，使得系統提供的原始信息很難直接被檢測系統使用，而且還可能造成檢測結果的偏差，降低系統的檢測性能。

審計數據預處理功能

• 數據集成

  • 主要是將來自不同探測器的結果或者附加信息進行合併處理，解決的是語義的模糊性問題。
  • 數據的集成不是簡單的數據合併，而是把數據進行統化、規範化處理的過程。是將原來的不一致的地方（同名異義、異名同義、計量單位不一致、字長不一致等）加以解決。

• 數據清理

  • 去除源數據集中的噪聲數據和無關數據

• 數據變換

  • 主要是尋求數據的特徵表示。用維變換或者其他的轉化方法減少有效變量的數量，尋找數據的不變式、包括規格化、規約等操作。

• 數據簡化

  • 在對檢測機制或者數據內容本身理解的基礎上，通過尋找描述入侵或者系統正常行爲的有效數據特徵。

• 數據融合

  • 爲了有效第識別出針對網絡系統的入侵企圖，往往入侵檢測系統能夠集成入侵檢測的多種技術，通過對被監控系統的不同級別的審計信息進行分析。
  • 不同檢測技術和模型的檢測模塊，在功能上具有各自的優勢。將這些不同模塊的分析結果進行融合和決策，能更好地提高系統的檢測率。

基於統計模型的入侵檢測技術

異常檢測模型

異常檢測模型是基於正常行爲的統計，根據在過去一段時間內正常行爲的觀測，得到當前活動觀測值的“可信區間”。

異常檢測模型可以通過不斷學習使模型趨於精確、完善，相比於特權濫用檢測模型，能在一定程度上識別未知類型的攻擊及資源的非授權訪問。

原始特徵數據

在檢測系統中，從警報數據可獲取的並能衡量異常發生的原始特徵數據如下。

• 客戶網絡發生的攻擊數目總量。
• 客戶網絡發起攻擊和受攻擊主機數目。
• 邊緣網絡（Internet）的發起攻擊和受攻擊主機和網絡數目。
• 用戶主機和網絡被攻擊的分佈概率。

異常分析特徵值

基於上述分析，異常分析的特徵值如下。

• 攻擊強度特徵值：基於攻擊數目總量統計值的特徵值。
• 攻擊實體量特徵值：基於發起攻擊和被攻擊的主機數目總量的統計值的特徵值。
• 攻擊分佈特徵值：基於攻擊數目最大值的特徵值。

異常判斷方法

根據這些特徵值，異常判斷方法概括如下。

• 當攻擊實體量在正常區間內，即檢測環境中沒有明顯的變化，採用攻擊強度判斷當前狀態是否異常。
• 當攻擊強度在正常區間內，即攻擊強度表示沒有明顯變化，採用攻擊實體量判斷當前狀態是否異常。
• 當攻擊強度和攻擊實體量都不在正常區間，即表示兩者都發生明顯變化，採用比較兩者的變化幅度的方法判斷異常。
• 對上述方法判斷爲正常的數據，採用離線計算攻擊分佈概率判斷異常。

基於專家系統的入侵檢測技術

基於規則方法的優點

採用基於規則的方法，主要具備以下幾個優點。

• 模塊化特徵。規則使得知識容易封裝並不斷擴充。
• 解釋機制。通過規則容易建立解釋機，這是因爲一個規則的前件指明瞭激活這個規則的條件。通過追蹤已觸發的規則，解釋機可以得到推出某個結論的推理鏈。
• 類似人類認知過程。規則似乎是模擬人類怎樣解決問題的一個自然方法。規則的簡單表示方法“if…then”使得容易解釋知識的結構。

功能模塊

基於規則的專家系統總體功能模塊

專家系統問題

專家系統可有針對性地建立高效的入侵檢測系統，檢測準確度高。但在具體實現中，專家系統主要面臨如下問題。

• 專家知識獲取問題，即由於專家系統的檢測規則由安全專家用專家知識構造，因此難以科學地從各種入侵手段中抽象出全面的規則化知識。
• 規則動態更新問題，用戶行爲模式的動態性要求入侵檢測系統具有自學習、自適應的功能。

專家系統模型結構圖

基於狀態轉移分析的入侵檢測技術

當前的基於特徵的檢測方法過渡依賴審計數據，而對IP欺騙攻擊而言依賴審計數據的規則很難定義，狀態分析法的基本思想是將攻擊看成一個連續的、分步驟的並且各個步驟之間有一定關聯的過程。

• 在網絡中發生入侵時及時阻斷入侵行爲。
• 防範可能還會進一步發生的類似攻擊行爲。

入侵檢測系統STAT通過分析系統的各種狀態，及狀態轉移過程中的各種特徵操作制訂各種基於狀態轉移的入侵規則，完成系統的入侵檢測。

在狀態轉移分析方法中，一個滲透過程可以看作是由攻擊者做出的一系列的行爲而導致系統從某個初始狀態轉變爲最終某種被危害了的狀態。在這個狀態轉變過程，對應着系統的一連串行爲，那些關鍵的行爲就稱爲特徵行爲。

基於完整性檢查的入侵檢測技術

通常入侵者入侵時都會對一些文件進行改動，因此採用對文件系統進行完整性檢驗的入侵檢測方式能夠檢測出對文件內容的非法更改，從而可判定入侵，與其他檢測技術相結合將增強現有的入侵檢測能力。

文件完整性檢驗根據用戶定製的配置文件對需要校驗的文件系統內容進行散列計算，將生成的散列值與文件完整性數據庫中存儲的預先計算好的文件內容的散列值進行比較。不一致則說明文件被非法更改，並可判定發生入侵。

文件完整性校驗

文件備份主機B上存儲了主機A上的文件系統的備份。主機A上的文件完整性數據庫存儲的是需要被檢測的文件的各種 inode屬性值和文件內容的散列值。檢測時主機A首先與文件備份主機B認證，然後對A上的配置文件和預先生成的文件完整性數據庫的內容分別進行散列計算，將生成的散列值傳輸給B進行校驗。如果該散列值與B上存儲的值不一致，則B將存儲的配置文件和文件完整性數據庫的備份加密傳輸給A，進行文件恢復，然後再進行完整性校驗。

散列算法

常用的散列算法有MD5，CRC16，CRC32，Snefru，MD4，MD2，SHA和 Haval等。散列算法通常實現了將任意長度的消息m壓縮成一固定長度的散列值h，通過對散列值的校驗能檢測到對消息m的篡改、抵賴或僞造。它有下列特性。

（1）易用性：對任意長度的m，計算h=H（m）很容易。

（2）單向性：給定h，計算m，使得m=F（h）很困難。

（3）無碰撞性：給定m，要找到另一個消息m’，滿足H（m’）=H（m）很困難，這就保證了對原文有改動，但很難使文件內容的散列值保持不變

基於智能體的入侵檢測技術

智能體的定義

智能體又稱智能代理，是人工智能研宄的新成果，它是在用戶沒有明確具體要求的情況下，根據用戶需要，能自動執行用戶委託的任務的計算實體。像郵件過濾智能體、信息獲取智能體、桌面自動智能體等，將使Web站點、應用程序更加智能化和實用化。

從技術的角度看，智能體是由各種技術支撐着的、許多實用的應用特性的集合，開發者正是使用這些應用特性來擴展應用的功能和價值，從而達到應用能自動執行用戶委託的任務的目的。

智能體的特點

• 智能性
• 代理性
• 移動性
• 主動性
• 協作性

---

在入侵檢測中，採用智能體採集和分析數據有以下主要特點。

（1）因爲智能體是獨立的運行實體，因此，不需改變其他的組件，即可向系統中增加或從系統中移走智能體。

（2）如果一個智能體由於某種原因（如下線維護）而停止了工作，損失只侷限在有限的範圍內，不會造成整個系統的癱瘓，這就保證了系統的連續運行。

（3）如果將智能體以分級結構的形式組織起來，可以使得系統的可伸縮性更好。

（4）系統開銷小、智能體的編程可以很靈活

（5）自主智能體採集數據的方法很靈活，

系統配置分析技術

系統配置分析（又可稱爲靜態分析）的技術目標是檢查系統是否已經受到入侵活動的侵害，或者存在有可能被入侵的危險。靜態分析技術通過檢査系統的當前配置情況，例如，系統文件的內容以及相關的數據表等，來判斷系統的當前安全狀況。之所以稱爲“靜態”分析，是因爲該技術只檢查系統的靜態特性，並不分析系統的活動情況。

配置分析技術的基本原理是基於如下兩個觀點：

（1）一次成功的入侵活動可能會在系統中留下痕跡，這可以通過檢查系統當前的狀態來發現。

（2）系統管理員和用戶經常會錯誤地配置系統，從而給攻擊者以入侵的可乘之機。