第1章-入侵檢測(cè)技術(shù)簡(jiǎn)介

入侵檢測(cè)技術(shù)簡(jiǎn)介IntrusionDetection(ID)參考資料教材：《入侵檢測(cè)技術(shù)》唐正軍清華大學(xué)出版社《入侵檢測(cè)技術(shù)》曹元大人民郵電出版社參考書(shū)：《網(wǎng)絡(luò)攻防技術(shù)》吳灝機(jī)械工業(yè)出版社《網(wǎng)絡(luò)攻擊原理與技術(shù)》連一峰科學(xué)出版社《黑客攻擊與防御》StuartMcClure清華大學(xué)出版社第1章入侵檢測(cè)技術(shù)的歷史1.1主機(jī)審計(jì)——入侵檢測(cè)的起點(diǎn)1.2入侵檢測(cè)基本模型的建立1.3技術(shù)發(fā)展的歷程主機(jī)審計(jì)出現(xiàn)在入侵檢測(cè)技術(shù)之前;其定義為：產(chǎn)生、記錄并檢查按照時(shí)間順序排列的系統(tǒng)事件記錄的過(guò)程。統(tǒng)計(jì)用戶的上機(jī)時(shí)間，便于進(jìn)行計(jì)費(fèi)管理。跟蹤記錄計(jì)算機(jī)系統(tǒng)的資源使用情況追蹤調(diào)查計(jì)算機(jī)系統(tǒng)中用戶的不正當(dāng)使用行為的目的。1.1主機(jī)審計(jì)——入侵檢測(cè)的起點(diǎn)20世紀(jì)70年代TCSEC（可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則）首次定義了計(jì)算機(jī)系統(tǒng)的安全等級(jí)評(píng)估標(biāo)準(zhǔn)，并且給出了滿足各個(gè)安全等級(jí)的計(jì)算機(jī)系統(tǒng)所應(yīng)滿足的各方面的條件。TCSEC準(zhǔn)則規(guī)定，作為C2和C2等級(jí)以上的計(jì)算機(jī)系統(tǒng)必須包括審計(jì)機(jī)制，并給出滿足要求的審計(jì)機(jī)制所應(yīng)達(dá)到的諸多安全目標(biāo)。James-Anderson在1980年首次明確提出安全審計(jì)的目標(biāo)，并強(qiáng)調(diào)應(yīng)該對(duì)計(jì)算機(jī)審計(jì)機(jī)制做出若干修改，以便計(jì)算機(jī)安全人員能夠方便地檢查和分析審計(jì)數(shù)據(jù)。Anderson在報(bào)告中定義了3種類型的惡意用戶。①偽裝者（masquerader）:此類用戶試圖繞過(guò)系統(tǒng)安全訪問(wèn)控制機(jī)制，利用合法用戶的系統(tǒng)賬戶。②違法者（misfeasor）:在計(jì)算機(jī)系統(tǒng)上執(zhí)行非法活動(dòng)的合法用戶。③秘密活動(dòng)者（clandestineduser）:此類用戶在獲取系統(tǒng)最高權(quán)限后，利用此種權(quán)限以一種審計(jì)機(jī)制難以發(fā)現(xiàn)的方式進(jìn)行秘密活動(dòng)，或者干脆關(guān)閉審計(jì)記錄過(guò)程。Anderson指出，可以通過(guò)觀察在審計(jì)數(shù)據(jù)記錄中的偏離歷史正常行為模式的用戶活動(dòng)來(lái)檢查和發(fā)現(xiàn)偽裝者和一定程度上的違法者。Anderson對(duì)此問(wèn)題的建議，實(shí)質(zhì)上就是入侵檢測(cè)中異常檢測(cè)技術(shù)的基本假設(shè)和檢測(cè)思路，為后來(lái)的入侵檢測(cè)技術(shù)發(fā)展奠定了早期的思想基礎(chǔ)。計(jì)算機(jī)網(wǎng)絡(luò)的威脅安全事件模式病毒破壞（灰鴿子、熊貓燒香）黑客入侵（五一中美黑客大戰(zhàn)）內(nèi)部越權(quán)（75%的安全問(wèn)題來(lái)自內(nèi)部）信息泄漏（軍事間諜、商業(yè)間諜）人為因素（操作失誤）不可抗力（自然災(zāi)害、戰(zhàn)爭(zhēng)）現(xiàn)代網(wǎng)絡(luò)面臨的安全威脅現(xiàn)代入侵技術(shù)發(fā)展2002年度全球黑客聚會(huì)現(xiàn)代入侵技術(shù)發(fā)展各國(guó)黑客在進(jìn)行攻擊經(jīng)驗(yàn)切磋現(xiàn)代入侵技術(shù)發(fā)展新一代惡意代碼（蠕蟲(chóng)、木馬）2002新一代惡意代碼July1901:05:002001蠕蟲(chóng)的傳播速度現(xiàn)代入侵技術(shù)發(fā)展July1920:15:002001蠕蟲(chóng)的傳播速度現(xiàn)代入侵技術(shù)發(fā)展傳統(tǒng)的安全措施

加密數(shù)字簽名身份鑒別：口令、鑒別交換協(xié)議、生物特征訪問(wèn)控制安全協(xié)議：IPSec、SSL網(wǎng)絡(luò)安全產(chǎn)品與技術(shù)：防火墻、VPN（防火墻在大多數(shù)機(jī)構(gòu)的網(wǎng)絡(luò)安全策略中起到支柱作用）傳統(tǒng)的安全保護(hù)主要從被動(dòng)防御的角度出發(fā)，增加攻擊者對(duì)網(wǎng)絡(luò)系統(tǒng)破壞的難度.防火墻的位置防火墻STOP!1.驗(yàn)明正身2.檢查權(quán)限防火墻的作用阻絕非法進(jìn)出防火墻辦不到的事防火墻病毒等惡性程序可利用email夾帶闖關(guān)防火墻無(wú)法有效解決自身的安全問(wèn)題防火墻只是按照固定的工作模式來(lái)防范已知的威脅

防火墻不能阻止來(lái)自內(nèi)部的攻擊與防火墻的被動(dòng)防御不同，由于入侵檢測(cè)通過(guò)對(duì)系統(tǒng)、應(yīng)用程序的日志文件及網(wǎng)絡(luò)數(shù)據(jù)流量的分析實(shí)現(xiàn)主動(dòng)檢測(cè)，因此入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)。入侵檢測(cè)已經(jīng)成為邊界防護(hù)技術(shù)的合理補(bǔ)充，擴(kuò)展系統(tǒng)管理員的安全管理能力，提高了信息安全的結(jié)構(gòu)。IDS置于防火墻與內(nèi)部網(wǎng)之間入侵檢測(cè)系統(tǒng)的部署對(duì)于入侵檢測(cè)系統(tǒng)來(lái)說(shuō)，其類型不同、應(yīng)用環(huán)境不同，部署方案也就會(huì)有所差別。對(duì)于基于主機(jī)的入侵檢測(cè)系統(tǒng)來(lái)說(shuō)，它一般是用于保護(hù)關(guān)鍵主機(jī)或服務(wù)器，因此只要將它部署到這些關(guān)鍵主機(jī)或服務(wù)器中即可。但是對(duì)于基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)來(lái)說(shuō)，根據(jù)網(wǎng)絡(luò)環(huán)境的不同，其部署方案也就會(huì)有所不同。入侵檢測(cè)系統(tǒng)部署方式檢測(cè)器部署位置放在邊界防火墻之內(nèi)放在邊界防火墻之外放在主要的網(wǎng)絡(luò)中樞放在一些安全級(jí)別需求高的子網(wǎng)檢測(cè)器部署示意圖NIDS的位置必須要看到所有數(shù)據(jù)包1987年,Denning發(fā)表了入侵檢測(cè)領(lǐng)域內(nèi)的經(jīng)典論文《入侵檢測(cè)模型》。這篇文獻(xiàn)正式啟動(dòng)了入侵檢測(cè)領(lǐng)域內(nèi)的研究工作，被公認(rèn)為是IDS領(lǐng)域的又一篇開(kāi)山之作。

Denning提出的統(tǒng)計(jì)分析模型在早期研發(fā)的入侵檢測(cè)專家系統(tǒng)（IDES）中得到較好的實(shí)現(xiàn)。IDES系統(tǒng)主要采納了Anderson的技術(shù)報(bào)告中所給出的檢測(cè)建議，但是，Denning的論文中還包括了其他檢測(cè)模型。1.2入侵檢測(cè)基本模型的建立圖1-1通用入侵檢測(cè)模型Denning對(duì)入侵檢測(cè)的基本模型給出了建議，如圖1-1所示。入侵檢測(cè)技術(shù)自20世紀(jì)80年代早期提出以來(lái)，經(jīng)過(guò)30多年的不斷發(fā)展，從最初的一種有價(jià)值的研究想法和單純的理論模型，迅速發(fā)展出種類繁多的各種實(shí)際原型系統(tǒng)，并且在近10年內(nèi)涌現(xiàn)出許多商用入侵檢測(cè)系統(tǒng)產(chǎn)品，成為計(jì)算機(jī)安全防護(hù)領(lǐng)域內(nèi)不可缺少的一種重要的安全防護(hù)技術(shù)。1.3技術(shù)發(fā)展的歷程1980年，Anderson在其完成的一份技術(shù)報(bào)告中提出了改進(jìn)安全審計(jì)系統(tǒng)的建議，以便用于檢測(cè)計(jì)算機(jī)用戶的非授權(quán)活動(dòng)，同時(shí)，提出了基本的檢測(cè)思路。1984—1986年，Denning和Neumann在SRI公司內(nèi)設(shè)計(jì)和實(shí)現(xiàn)了著名的IDES，該系統(tǒng)是早期入侵檢測(cè)系統(tǒng)中最有影響力的一個(gè)。1987年，DorothyDenning發(fā)表的經(jīng)典論文“AnIntrusionDetectionModel”中提出入侵檢測(cè)的基本模型，并提出了幾種可用于入侵檢測(cè)的統(tǒng)計(jì)分析模型。Denning的論文正式啟動(dòng)了入侵檢測(cè)領(lǐng)域內(nèi)的研究工作。EDUCATION:

PhD-PurdueUniversity,ComputerScience,1975

MA-UniversityofMichigan,Mathematics,1969

BA-UniversityofMichigan,Mathematics,1967

同年，在SRI召開(kāi)了首次入侵檢測(cè)方面的專題研討會(huì)。1989—1991年，StephenSmaha設(shè)計(jì)開(kāi)發(fā)了Haystack入侵檢測(cè)系統(tǒng)，該系統(tǒng)用于美國(guó)空軍內(nèi)部網(wǎng)絡(luò)的安全檢測(cè)目的。1990年，加州大學(xué)Davis分校的ToddHeberlien發(fā)表在IEEE上的論文“ANetworkSecurityMonitor”，標(biāo)志著入侵檢測(cè)第一次將網(wǎng)絡(luò)數(shù)據(jù)包作為實(shí)際輸入的信息源。NSM系統(tǒng)截獲TCP/IP分組數(shù)據(jù)，可用于監(jiān)控異構(gòu)網(wǎng)絡(luò)環(huán)境下的異?；顒?dòng)。1991年，在多個(gè)部門(mén)的贊助支持下，在NSM系統(tǒng)和Haystack系統(tǒng)的基礎(chǔ)上，StephenSmaha主持設(shè)計(jì)開(kāi)發(fā)了DIDS（分布式入侵檢測(cè)系統(tǒng)）。1992年，加州大學(xué)圣巴巴拉分校的Porras和Ilgun提出狀態(tài)轉(zhuǎn)移分析的入侵檢測(cè)技術(shù)，并實(shí)現(xiàn)了原型系統(tǒng)USTAT，之后發(fā)展出NSTAT、NetSTAT等系統(tǒng)。差不多同一時(shí)期，KathleenJackson在LosAlamos國(guó)家實(shí)驗(yàn)室設(shè)計(jì)開(kāi)發(fā)了NADIR入侵檢測(cè)系統(tǒng)。而SAIC和HaystackLabs分別開(kāi)發(fā)出了CMDS系統(tǒng)和Stalker系統(tǒng)，這兩個(gè)系統(tǒng)是首批投入商用的主機(jī)入侵檢測(cè)系統(tǒng)。1994年，Porras在SRI開(kāi)發(fā)出IDES系統(tǒng)的后繼版本NIDES系統(tǒng)，后者在系統(tǒng)整體結(jié)構(gòu)設(shè)計(jì)和統(tǒng)計(jì)分析算法上有了較大改進(jìn)。1995年，普渡大學(xué)的S.Kumar在STAT的思路基礎(chǔ)上，提出了基于有色Petri網(wǎng)的模式匹配計(jì)算模型，并實(shí)現(xiàn)了IDIOT原型系統(tǒng)。1996年，新墨西哥大學(xué)的Forrest提出了基于計(jì)算機(jī)免疫學(xué)的入侵檢測(cè)技術(shù)。1997年，Cisco公司開(kāi)始將入侵檢測(cè)技術(shù)嵌入到路由器，同時(shí)，ISS公司發(fā)布了基于Windows平臺(tái)的RealSecure入侵檢測(cè)系統(tǒng)，自此拉開(kāi)商用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的發(fā)展序幕。1998年，MIT的RichardLippmann等人為DARPA進(jìn)行了一次入侵檢測(cè)系統(tǒng)的離線評(píng)估活動(dòng)，該評(píng)估活動(dòng)使用的是人工合成的模擬數(shù)據(jù)，最后的測(cè)試結(jié)果對(duì)于后來(lái)的入侵檢測(cè)系統(tǒng)開(kāi)發(fā)和評(píng)估工作都產(chǎn)生了較大影響。1999年，LosAlamos的V.Paxson開(kāi)發(fā)了Bro系統(tǒng)，用于高速網(wǎng)絡(luò)環(huán)境下的入侵檢測(cè)。Bro系統(tǒng)在設(shè)計(jì)上考慮了魯棒性、安全性，并且處理了許多反規(guī)避的技術(shù)問(wèn)題。同年，加州大學(xué)的Davis分校發(fā)布了GrIDS系統(tǒng)，該系統(tǒng)試圖為入侵檢測(cè)技術(shù)擴(kuò)展到大型網(wǎng)絡(luò)環(huán)境提供一個(gè)實(shí)際的解決方案。WenkeLee提出用于入侵檢測(cè)的數(shù)據(jù)挖掘技術(shù)框架。2000年，普渡大學(xué)的DiegoZamboni和E.Spafford提出了入侵檢測(cè)的自治代理結(jié)構(gòu)，并實(shí)現(xiàn)了原型系統(tǒng)AAFID系統(tǒng)。值得指出的是，在發(fā)展的早期階段，入侵檢測(cè)還沒(méi)有獲得計(jì)算機(jī)用戶的足夠注意。早期的入侵檢測(cè)系統(tǒng)幾乎都是基于主機(jī)的，但是過(guò)去的10年里最流行的商業(yè)入侵檢測(cè)系統(tǒng)大多卻是基于網(wǎng)絡(luò)的?，F(xiàn)在和未來(lái)幾年內(nèi)的發(fā)展趨勢(shì)似乎是混合型以及分布式系統(tǒng)的發(fā)展。第2章入侵檢測(cè)的相關(guān)概念2.1入侵的定義2.2什么是入侵檢測(cè)2.3入侵檢測(cè)與P2DR模型通常，計(jì)算機(jī)安全的3個(gè)基本目標(biāo)是機(jī)密性、完整性和可用性。安全的計(jì)算機(jī)系統(tǒng)應(yīng)該實(shí)現(xiàn)上述3個(gè)目標(biāo)，即保護(hù)自身的信息和資源不被非授權(quán)訪問(wèn)、修改和拒絕服務(wù)攻擊。2.1入侵的定義任何潛在的危害系統(tǒng)安全狀況的事件和情況都可稱為“威脅”。Anderson在其1980年的技術(shù)報(bào)告中，建立了關(guān)于威脅的早期模型，并按照威脅的來(lái)源，分為如下3類。⑴外部入侵者：系統(tǒng)的非授權(quán)用戶。⑵內(nèi)部入侵者：超越合法權(quán)限的系統(tǒng)授權(quán)用戶。其中，又可分為“偽裝者”和“秘密活動(dòng)者”。⑶違法者：在計(jì)算機(jī)系統(tǒng)上執(zhí)行非法活動(dòng)的合法用戶。在入侵檢測(cè)中，術(shù)語(yǔ)“入侵”（intrusion）表示系統(tǒng)內(nèi)部發(fā)生的任何違反安全策略的事件，其中包括了上面Anderson模型中提到的所有威脅類型，同時(shí)還包括如下的威脅類型：●惡意程序的威脅，例如病毒、特洛伊木馬程序、惡意Java或ActiveX程序等；●探測(cè)和掃描系統(tǒng)配置信息和安全漏洞，為未來(lái)攻擊進(jìn)行準(zhǔn)備工作的活動(dòng)。美國(guó)國(guó)家安全通信委員會(huì)（NSTAC）下屬的入侵檢測(cè)小組（IDSG）在1997年給出的關(guān)于“入侵”的定義是：入侵是對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)以及（或者）未經(jīng)許可在信息系統(tǒng)中進(jìn)行的操作。美國(guó)國(guó)家安全通信委員會(huì)下屬的入侵檢測(cè)小組在1997年給出的關(guān)于“入侵檢測(cè)”的定義如下：入侵檢測(cè)是對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程。2.2什么是入侵檢測(cè)入侵檢測(cè)的概念內(nèi)網(wǎng)Internet入侵檢測(cè)即是對(duì)入侵行為的發(fā)覺(jué)

入侵檢測(cè)系統(tǒng)是入侵檢測(cè)的軟件與硬件的有機(jī)組合入侵檢測(cè)系統(tǒng)是處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)的實(shí)時(shí)監(jiān)控入侵檢測(cè)系統(tǒng)是不僅能檢測(cè)來(lái)自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)入侵檢測(cè)的定義IDS:IntrusionDetectionSystem

圖2-1通用入侵檢測(cè)系統(tǒng)模型常用術(shù)語(yǔ)Alert（警報(bào)）當(dāng)一個(gè)入侵正在發(fā)生或者試圖發(fā)生時(shí)，IDS系統(tǒng)將發(fā)布一個(gè)alert信息通知系統(tǒng)管理員如果控制臺(tái)與IDS系統(tǒng)同在一臺(tái)機(jī)器，alert信息將顯示在監(jiān)視器上，也可能伴隨著聲音提示如果是遠(yuǎn)程控制臺(tái)，那么alert將通過(guò)IDS系統(tǒng)內(nèi)置方法（通常是加密的）、SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，通常不加密）、email、SMS（短信息）或者以上幾種方法的混合方式傳遞給管理員Anomaly（異常）當(dāng)有某個(gè)事件與一個(gè)已知攻擊的信號(hào)相匹配時(shí)，多數(shù)IDS都會(huì)告警一個(gè)基于anomaly（異常）的IDS會(huì)構(gòu)造一個(gè)當(dāng)時(shí)活動(dòng)的主機(jī)或網(wǎng)絡(luò)的大致輪廓，當(dāng)有一個(gè)在這個(gè)輪廓以外的事件發(fā)生時(shí)，IDS就會(huì)告警有些IDS廠商將此方法看做啟發(fā)式功能，但一個(gè)啟發(fā)式的IDS應(yīng)該在其推理判斷方面具有更多的智能攻擊(Attacks)攻擊可以定義為試圖滲透系統(tǒng)或者繞過(guò)系統(tǒng)安全策略獲取信息，更改信息或者中斷目標(biāo)網(wǎng)絡(luò)或者系統(tǒng)的正常運(yùn)行的活動(dòng)。下面是一些IDS可以檢測(cè)的常見(jiàn)攻擊DOS、DDOS、Smurf、Trojans首先，可以通過(guò)重新配置路由器和防火墻，拒絕那些來(lái)自同一地址的信息流;其次，通過(guò)在網(wǎng)絡(luò)上發(fā)送reset包切斷連接但是這兩種方式都有問(wèn)題，攻擊者可以反過(guò)來(lái)利用重新配置的設(shè)備，其方法是：通過(guò)偽裝成一個(gè)友方的地址來(lái)發(fā)動(dòng)攻擊，然后IDS就會(huì)配置路由器和防火墻來(lái)拒絕這些地址，這樣實(shí)際上就是對(duì)“自己人”拒絕服務(wù)了AutomatedResponse（自動(dòng)響應(yīng)）IDS的核心是攻擊特征，它使IDS在事件發(fā)生時(shí)觸發(fā)特征信息過(guò)短會(huì)經(jīng)常觸發(fā)IDS，導(dǎo)致誤報(bào)或錯(cuò)報(bào)，過(guò)長(zhǎng)則會(huì)減慢IDS的工作速度有人將IDS所支持的特征數(shù)視為IDS好壞的標(biāo)準(zhǔn)，但是有的產(chǎn)商用一個(gè)特征涵蓋許多攻擊，而有些產(chǎn)商則會(huì)將這些特征單獨(dú)列出，這就會(huì)給人一種印象，好像它包含了更多的特征，是更好的IDSSignatures（特征）漏報(bào)(FalseNegatives)

漏報(bào)：攻擊事件沒(méi)有被IDS檢測(cè)到或者逃過(guò)分析員的眼睛。誤報(bào)(FalsePositives)

誤報(bào)：IDS對(duì)正常事件識(shí)別為攻擊并進(jìn)行報(bào)警。Promiscuous（混雜模式）默認(rèn)狀態(tài)下，IDS網(wǎng)絡(luò)接口只能看到進(jìn)出主機(jī)的信息，也就是所謂的non-promiscuous（非混雜模式）如果網(wǎng)絡(luò)接口是混雜模式，就可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來(lái)源或目的地這對(duì)于網(wǎng)絡(luò)IDS是必要的，但同時(shí)可能被信息包嗅探器所利用來(lái)監(jiān)控網(wǎng)絡(luò)通信量評(píng)估IDS的性能指標(biāo)入侵檢測(cè)系統(tǒng)本身的抗攻擊能力延遲時(shí)間資源的占用情況系統(tǒng)的可用性。系統(tǒng)使用的友好程度。日志、報(bào)警、報(bào)告以及響應(yīng)能力性能指標(biāo)（ROC）曲線

誤報(bào)率ROC曲線是平面直角坐標(biāo)曲線，其縱軸表示IDS的檢測(cè)率，橫軸表示IDS的誤報(bào)率。通過(guò)改變算法的閾值，將檢測(cè)算法在同一數(shù)據(jù)集上多次運(yùn)行，就可以得到一系列（TP，F(xiàn)P）坐標(biāo)點(diǎn)，將這些點(diǎn)連接成線，就得到ROC曲線。容易看出，ROC曲線越靠近坐標(biāo)平面的左上方的檢測(cè)方法，其準(zhǔn)確率越高，誤報(bào)率越低，性能越好。ROC曲線從DARPA1998離線檢測(cè)評(píng)估（1998年，在DARPA（美國(guó)國(guó)防部高級(jí)研究計(jì)劃署）資助下，麻省理工學(xué)院Lincoln實(shí)驗(yàn)室開(kāi)展了計(jì)算機(jī)入侵檢測(cè)系統(tǒng)評(píng)估的研究成果）被用來(lái)度量檢測(cè)能力，后來(lái)一直被研究者廣泛采用。

P2DR模型是一個(gè)動(dòng)態(tài)的計(jì)算機(jī)系統(tǒng)安全理論模型。P2DR特點(diǎn)是動(dòng)態(tài)性和基于時(shí)間的特性。圖2-2P2DR安全模型2.3入侵檢測(cè)與P2DR模型具體而言，P2DR模型的內(nèi)容包括如下。⑴策略：P2DR模型的核心內(nèi)容。具體實(shí)施過(guò)程中，策略規(guī)定了系統(tǒng)所要達(dá)到的安全目標(biāo)和為達(dá)到目標(biāo)所采取的各種具體安全措施及其實(shí)施強(qiáng)度等。⑵防護(hù)：具體包括制定安全管理規(guī)則、進(jìn)行系統(tǒng)安全配置工作以及安裝各種安全防護(hù)設(shè)備。⑶檢測(cè)：在采取各種安全措施后，根據(jù)系統(tǒng)運(yùn)行情況的變化，對(duì)系統(tǒng)安全狀態(tài)進(jìn)行實(shí)時(shí)的動(dòng)態(tài)監(jiān)控。⑷響應(yīng)：當(dāng)發(fā)現(xiàn)了入侵活動(dòng)或入侵結(jié)果后，需要系統(tǒng)作出及時(shí)的反應(yīng)并采取措施，其中包括記錄入侵行為、通知管理員、阻斷進(jìn)一步的入侵活動(dòng)以及恢復(fù)系統(tǒng)正常運(yùn)行等。P2DR模型闡述了如下結(jié)論：安全的目標(biāo)實(shí)際上就是盡可能地增大保護(hù)時(shí)間，盡量減少檢測(cè)時(shí)間和響應(yīng)時(shí)間。入侵檢測(cè)技術(shù)（intrusiondetection）就是實(shí)現(xiàn)P2DR模型中“Detection”部分的主要技術(shù)手段。安全策略處于中心地位，但是從另一個(gè)角度來(lái)看，安全策略也是制定入侵檢測(cè)中檢測(cè)策略的一個(gè)重要信息來(lái)源，入侵檢測(cè)系統(tǒng)需要根據(jù)現(xiàn)有已知的安全策略信息，來(lái)更好地配置系統(tǒng)模塊參數(shù)信息。當(dāng)發(fā)現(xiàn)入侵行為后，入侵檢測(cè)系統(tǒng)會(huì)通過(guò)響應(yīng)模塊改變系統(tǒng)的防護(hù)措施，改善系統(tǒng)的防護(hù)能力，從而實(shí)現(xiàn)動(dòng)態(tài)的系統(tǒng)安全模型。因此，從技術(shù)手段上分析，入侵檢測(cè)可以看作是實(shí)現(xiàn)P2DR模型的承前啟后的關(guān)鍵環(huán)節(jié)。第2章入侵方法與手段入侵方法與手段:黑客入侵模型與原理漏洞掃描口令破解拒絕服務(wù)攻擊SQLInjection攻擊緩沖區(qū)溢出攻擊格式化字符串攻擊跨站腳本攻擊黑客入侵的步驟確定目標(biāo)信息收集攻擊網(wǎng)絡(luò)攻擊系統(tǒng)留下后門(mén)漏洞挖掘清除日志結(jié)束攻擊2.1

信息收集概述什么是信息收集？信息收集是指——黑客為了更加有效地實(shí)施攻擊而在攻擊前或攻擊過(guò)程中對(duì)目標(biāo)的所有探測(cè)活動(dòng)信息收集的內(nèi)容是什么？哪些信息對(duì)攻擊是有意義的、是攻擊者（當(dāng)然也是網(wǎng)絡(luò)防衛(wèi)者）所關(guān)心的？2.1信息收集概述信息收集的內(nèi)容域名和IP地址操作系統(tǒng)類型端口應(yīng)用程序類型防火墻、入侵檢測(cè)等安全防范措施內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、域組織2.2.1網(wǎng)絡(luò)信息挖掘利用公用信息服務(wù)進(jìn)行信息收集WEB與搜索引擎服務(wù)USENET（新聞組服務(wù)）WhoIs服務(wù)DNS（域名系統(tǒng)）服務(wù)(1)WEB與搜索引擎服務(wù)目標(biāo)：獲取目標(biāo)公司或網(wǎng)站的域名或網(wǎng)站地址直接進(jìn)入目標(biāo)網(wǎng)站或通過(guò)搜索引擎獲得主頁(yè)地址(1)WEB與搜索引擎服務(wù)目標(biāo)：獲取目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)拓?fù)鋱DIP分配表網(wǎng)絡(luò)設(shè)備，安全設(shè)施…………EXAMPLE(1)WEB與搜索引擎服務(wù)WEB與搜索引擎服務(wù)公開(kāi)的網(wǎng)頁(yè)目標(biāo)域名或網(wǎng)站地址網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)管理員公司人員名單、電話、Email…………(1)WEB與搜索引擎服務(wù)WEB與搜索引擎服務(wù)搜索引擎GoogleBaiduYahoo搜索引擎為我們提供了在WEB檢索信息的能力。能否在WEB中找到所需要的信息，關(guān)鍵在于能否合理地提取搜索的關(guān)鍵字搜索引擎服務(wù)搜索基本指令搜索技巧+/and強(qiáng)制包含檢索項(xiàng)-排除某檢索項(xiàng)“”組合多個(gè)檢索詞|或.匹配任意字符*匹配任意檢索詞site:搜索具體服務(wù)器或域名的網(wǎng)頁(yè)filetype:搜索以特定文件擴(kuò)展名結(jié)尾的URLintitle:搜索網(wǎng)頁(yè)標(biāo)題中的詞匯inurl:搜索URL中的詞匯intext:搜索正文中的詞匯link:搜索連接到指定網(wǎng)頁(yè)的網(wǎng)頁(yè)如：通過(guò)搜索下面的關(guān)鍵詞，可以找到不少不同類型的分布在世界各地的網(wǎng)絡(luò)攝像頭：

inurl:viewerframe?mode=

inurl:indexFrame.shtmlAxis

intext:"MOBOTIXM1"intext:"OpenMenu"

intitle:"WJ-NT104MainPage

搜索引擎服務(wù)GoogleHacking搜索密碼文件搜索管理員后臺(tái)URL搜索CGI漏洞搜索黑客留下的后門(mén)…………EXAMPLE選擇目標(biāo)下載GoogleHacking使用數(shù)據(jù)庫(kù)中的帳號(hào)口令對(duì)登錄GoogleHacking成功進(jìn)入管理頁(yè)面GoogleHackingGoogle

Hacking

的特點(diǎn)快速搜索引擎預(yù)先準(zhǔn)備了大量處理好的信息以供檢索準(zhǔn)確搜索引擎做了關(guān)聯(lián)性、重要性等各種過(guò)濾處理措施隱蔽搜索、查詢都是通過(guò)搜索引擎的數(shù)據(jù)庫(kù)進(jìn)行智能搜索引擎自身的智能特性緩存保留了已經(jīng)實(shí)際不存在的敏感信息(2)USENET（新聞組服務(wù)）USENETUSENET使用客戶/服務(wù)器的工作方式使用NNTP（NetworkNewsTransportProtocol，TCP端口119）協(xié)議來(lái)完成客戶和服務(wù)器間的交互用戶使用新聞閱讀器(newsreader)程序閱讀Usenet文章新聞組閱讀器軟件一般具備在新聞組文章中進(jìn)行搜索的功能，可以使用關(guān)鍵字對(duì)文章的發(fā)件人、文章的收件人、文章的標(biāo)題或是文章的內(nèi)容進(jìn)行搜索WhoIs服務(wù)功能：查詢已注冊(cè)域名的擁有者信息域名登記人信息聯(lián)系方式域名注冊(cè)時(shí)間和更新時(shí)間權(quán)威DNS的IP地址使用方法：SamSpade等網(wǎng)絡(luò)實(shí)用工具(SamSpade提供了一個(gè)友好的GUI界面，能方便地完成多種網(wǎng)絡(luò)查詢?nèi)蝿?wù)，開(kāi)發(fā)的本意是用于追查垃圾郵件制造者，也用于其它大量的網(wǎng)絡(luò)探測(cè)、網(wǎng)絡(luò)管理和與安全有關(guān)的任務(wù)，包括ping、nslookup、whois、dig、traceroute、finger、rawHTTPwebbrowser、DNSzonetransfer、SMTPrelaycheck、websitesearch等工具，是一個(gè)集成的工具箱。)(3)WhoIs服務(wù)(4)DNS（域名系統(tǒng)）服務(wù)DNS：提供域名到IP地址的映射權(quán)威DNS——主DNSCashe-OnlyDNS——副DNSPing(4)DNS（域名系統(tǒng)）服務(wù)如，nslookup命令2.2.2IP掃描與端口掃描掃描——Scan掃描目的：查看目標(biāo)網(wǎng)絡(luò)中哪些主機(jī)是存活的（Alive）查看存活的主機(jī)運(yùn)行了哪些服務(wù)WWWFTPEMAILTELNET查看主機(jī)提供的服務(wù)有無(wú)漏洞常見(jiàn)的安全威脅口令破解拒絕服務(wù)（DoS）攻擊緩沖區(qū)溢出攻擊格式化字符串攻擊特洛伊木馬網(wǎng)絡(luò)監(jiān)聽(tīng)病毒攻擊社會(huì)工程攻擊主要網(wǎng)絡(luò)入侵攻擊方法網(wǎng)絡(luò)信息丟失、篡改、銷毀內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈黑客攻擊計(jì)算機(jī)病毒后門(mén)、隱蔽通道蠕蟲(chóng)特洛伊木馬口令破解自己姓名的拼音37%常用英文單詞23%計(jì)算機(jī)中經(jīng)常出現(xiàn)的單詞18%自己的出生日期7%良好的密碼15%口令破解通過(guò)破解獲得系統(tǒng)管理員口令，進(jìn)而掌握服務(wù)器的控制權(quán)是黑客的一個(gè)重要手段。破解獲得管理員口令的方法有很多，下面是3種最為常見(jiàn)的方法。(1)猜解簡(jiǎn)單口令：(2)字典攻擊：(3)暴力猜解：iOpusPasswordRecovery軟件口令重現(xiàn)沒(méi)有采用很強(qiáng)的口令策略（如口令的嘗試次數(shù)的限制）時(shí)，強(qiáng)力攻擊還是很有效的。強(qiáng)力攻擊可以通過(guò)字典加速找到不安全的口令。一些常用的不安全口令：password、secret、sex、money、love、computer、football、hello、morning、ibm、work、office、online、terminal、internet選擇口令的要點(diǎn)是：長(zhǎng)度要足夠，數(shù)字、字母、符號(hào)都要有，字母要大小寫(xiě)都有，不能使用有意義的單詞等等。強(qiáng)力口令破解口令破解軟件

JohnTheRipperL0phtCrack

NtcrackCrackerJackDictionaryMakerBrutus等過(guò)程：從字典中取出一個(gè)詞加密密文比較該方法比較有效，大概60%的口令會(huì)被攻破破解口令文件Brutus可以對(duì)本機(jī)和遠(yuǎn)程主機(jī)的Windows2000操作系統(tǒng)的Admin管理員或其他用戶口令進(jìn)行窮舉攻擊。遠(yuǎn)程主機(jī)口令破解成功,管理員口令為ada拒絕服務(wù)攻擊DoS1.DoS拒絕服務(wù)即DenialofService，簡(jiǎn)稱DoS服務(wù)-——是指系統(tǒng)提供的，用戶在對(duì)其使用中會(huì)受益的功能。拒絕服務(wù)（DoS）——任何對(duì)服務(wù)的干涉如果使得其可用性降低或者失去可用性均稱為拒絕服務(wù)。如果一個(gè)計(jì)算機(jī)系統(tǒng)崩潰、或其帶寬耗盡、或其硬盤(pán)填滿，導(dǎo)致其不能提供正常的服務(wù)，就構(gòu)成拒絕服務(wù)。拒絕服務(wù)攻擊——是指攻擊者通過(guò)某種手段，有意地造成計(jì)算機(jī)或網(wǎng)絡(luò)不能正常運(yùn)轉(zhuǎn)從而不能向合法用戶提供所需要的服務(wù)或者使得服務(wù)質(zhì)量降低。拒絕服務(wù)攻擊DoS2.DDoS分布式拒絕服務(wù)攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般采用一對(duì)一的方式，隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得DoS攻擊的效果不明顯，攻擊的難度加大了，目標(biāo)系統(tǒng)對(duì)惡意攻擊包有足夠的消化處理能力。3、DOS攻擊過(guò)程

(1)準(zhǔn)備階段，收集目標(biāo)信息

(2)占領(lǐng)傀儡機(jī)和控制臺(tái)

(3)攻擊的實(shí)施4、Dos攻擊的種類

(1)利用系統(tǒng)缺陷進(jìn)行攻擊非法包攻擊協(xié)議缺陷攻擊

(2)利用放大原理進(jìn)行攻擊

(3)分布式DOS攻擊5、系統(tǒng)缺陷攻擊

1)teardrop2)Land攻擊

3)Pingofdeath4)循環(huán)攻擊(Echo-chargen)5)SYN洪水攻擊（1）碎片攻擊(teardrop)它利用Windows95、WindowsNT和Windows3.1中處理IP分片（IPfragment）的漏洞，向受害者發(fā)送偏移地址重疊的分片的UDP數(shù)據(jù)包，使得目標(biāo)機(jī)器在將分片重組時(shí)出現(xiàn)異常錯(cuò)誤，導(dǎo)致目標(biāo)系統(tǒng)崩潰或重啟（2）LAND攻擊利用TCP三次握手來(lái)進(jìn)行的攻擊

Land是向受害者發(fā)送TCPSYN包，而這些包的源IP地址和目的IP地址被偽造成相同的。目標(biāo)主機(jī)收到這樣的連接請(qǐng)求時(shí)會(huì)向自己發(fā)送SYN/ACK數(shù)據(jù)包，結(jié)果導(dǎo)致目標(biāo)主機(jī)向自己發(fā)回ACK數(shù)據(jù)包并創(chuàng)建一個(gè)連接。大量的這樣的數(shù)據(jù)包將使目標(biāo)主機(jī)建立很多無(wú)效的連接，每一個(gè)這樣的連接都將保留到超時(shí)，從而系統(tǒng)資源被大量的占用。遭遇Land攻擊時(shí)，許多UNIX將崩潰，而WindowsNT會(huì)變得極其緩慢。(3)Pingofdeath攻擊向受害者發(fā)送超長(zhǎng)的ping數(shù)據(jù)包，導(dǎo)致受害者系統(tǒng)異常根據(jù)TCP/IP規(guī)范要求，數(shù)據(jù)包的長(zhǎng)度不得超過(guò)64K個(gè)字節(jié)，其中包括至少20字節(jié)的包頭和0字節(jié)或更多字節(jié)的選項(xiàng)信息，其余的則為數(shù)據(jù)。而Internet控制消息協(xié)議ICMP是基于IP的，ICMP包要封裝到IP包中。ICMP的頭有8字節(jié)，因此，一個(gè)ICMP包的數(shù)據(jù)不能超過(guò)65535-20-8＝65507字節(jié)事實(shí)上，對(duì)于有的系統(tǒng)，攻擊者只需向其發(fā)送載荷數(shù)據(jù)超過(guò)4000字節(jié)的ping包就可以達(dá)到目的，而不用使數(shù)據(jù)超過(guò)65507（4）循環(huán)攻擊也稱為死鎖或振蕩攻擊如：Echo-chargen攻擊

Chargen(UDP端口號(hào)19)echo(UDP端口號(hào)7)echo、time、daytime和chargen的任何組合都可能構(gòu)成一個(gè)循環(huán)

chargen:收到每一個(gè)數(shù)據(jù)包時(shí)隨機(jī)反饋一些字符。通過(guò)偽造與某一主機(jī)的Chargen服務(wù)之間的一次UDP連接，恢復(fù)地址指向開(kāi)著Echo服務(wù)的一臺(tái)主機(jī)，通過(guò)將Chargen和Echo服務(wù)互指，來(lái)回傳送毫無(wú)用處且占滿寬帶的垃圾數(shù)據(jù)，在兩臺(tái)主機(jī)之間生成足夠多的無(wú)用數(shù)據(jù)流，這一拒絕服務(wù)攻擊飛快地導(dǎo)致網(wǎng)絡(luò)可用帶寬耗盡。

正常的三次握手過(guò)程SYN攻擊過(guò)程(5)SYN洪水攻擊6、基于放大原理的攻擊一是在報(bào)文數(shù)量上放大(廣播地址)

二是在包長(zhǎng)上放大（如DNS查詢）Smurf攻擊攻擊者用廣播的方式發(fā)送回復(fù)地址為受害者地址的ICMP請(qǐng)求數(shù)據(jù)包，每個(gè)收到這個(gè)數(shù)據(jù)包的主機(jī)都進(jìn)行回應(yīng)，大量的回復(fù)數(shù)據(jù)包發(fā)給受害者，導(dǎo)致受害主機(jī)崩潰。7、分布式拒絕服務(wù)攻擊sniffer(網(wǎng)絡(luò)偵聽(tīng)、嗅探)sniffer類的軟件能把本地網(wǎng)卡設(shè)置成工作在“混雜”(promiscuous)方式，使該網(wǎng)卡能接收所有數(shù)據(jù)幀，從而獲取別人的口令、金融帳號(hào)或其他敏感機(jī)密信息等嗅探軟件：Windump(Windows)Tcpdump(Unix)…Ethernet網(wǎng)絡(luò)偵聽(tīng)原理：

網(wǎng)卡完成收發(fā)數(shù)據(jù)包的工作，兩種接收模式

混雜模式：不管數(shù)據(jù)幀的目的地址是否與本地地址匹配，都接收下來(lái)非混雜模式只接收目的地址相匹配的數(shù)據(jù)幀，以及廣播數(shù)據(jù)包(和組播數(shù)據(jù)包)POP帳號(hào)的用戶名（Ethereal）其他攻擊方法病毒攻擊隨著蠕蟲(chóng)病毒的泛濫以及蠕蟲(chóng)、計(jì)算機(jī)病毒、木馬和黑客攻擊程序的結(jié)合，病毒攻擊成為了互聯(lián)網(wǎng)發(fā)展以來(lái)遇到的巨大挑戰(zhàn)。社會(huì)工程攻擊社會(huì)工程學(xué)其實(shí)就是一個(gè)陷阱，黑客通常以交談、欺騙、假冒或口語(yǔ)等方式，從合法用戶中套取用戶系統(tǒng)的秘密，

SQLInjection

攻擊目前，大部分應(yīng)用程序的架構(gòu)都采用了三層架構(gòu)，都存在后臺(tái)數(shù)據(jù)庫(kù)，以存儲(chǔ)大量信息。而數(shù)據(jù)庫(kù)中以結(jié)構(gòu)化查詢語(yǔ)言（SQL,StructureQueryLanguage）為基礎(chǔ)的關(guān)系數(shù)據(jù)庫(kù)（RDBMS,RelationalDatabaseManagementSystem）最為流行。在應(yīng)用程序中，往往采用VisualBasic等第三代語(yǔ)言來(lái)組織SQL語(yǔ)句，然后傳遞給后臺(tái)執(zhí)行，以建立、刪除、查詢和管理后臺(tái)數(shù)據(jù)庫(kù)資料。由于數(shù)據(jù)庫(kù)資料非常敏感，因此利用SQL實(shí)現(xiàn)的滲透和信息竊取，一般危害較大。緩沖區(qū)溢出攻擊一個(gè)簡(jiǎn)單的堆棧例子example1.c:voidfunction(inta,intb,intc){

charbuffer1[5];

charbuffer2[10];

}voidmain(){function(1,2,3);}格式化字符串攻擊普通的緩沖區(qū)溢出就是利用了堆棧生長(zhǎng)方向和數(shù)據(jù)存儲(chǔ)方向相反的特點(diǎn)，用后存入的數(shù)據(jù)覆蓋先前壓棧的數(shù)據(jù)，一般是覆蓋返回地址，從而改變程序的流程，這樣子函數(shù)返回時(shí)就跳到了黑客指定的地址，就可以按照黑客意愿做任何事情了。所謂格式化串，就是在*printf()系列函數(shù)中按照一定的格式對(duì)數(shù)據(jù)進(jìn)行輸出，可以輸出到標(biāo)準(zhǔn)輸出，即printf()，也可以輸出到文件句柄，字符串等，對(duì)應(yīng)的函數(shù)有fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。能被黑客利用的地方也就出在這一系列的*printf()函數(shù)中，可能有人會(huì)問(wèn)：這些函數(shù)只是把數(shù)據(jù)輸出了，怎么能造成安全隱患呢？在正常情況下當(dāng)然不會(huì)造成什么問(wèn)題，但是*printf()系列函數(shù)有三條特殊的性質(zhì)，這些特殊性質(zhì)如果被黑客結(jié)合起來(lái)利用，就會(huì)形成漏洞?？缯灸_本攻擊因?yàn)镃GI程序沒(méi)有對(duì)用戶提交的變量中的HTML代碼進(jìn)行過(guò)濾或轉(zhuǎn)換，從而導(dǎo)致了跨站腳本執(zhí)行的漏洞。CGI輸入的形式，主要分為兩種：顯示輸入；隱式輸入。其中顯示輸入明確要求用戶輸入數(shù)據(jù)，而隱式輸入則本來(lái)并不要求用戶輸入數(shù)據(jù)，但是用戶卻可以通過(guò)輸入數(shù)據(jù)來(lái)進(jìn)行干涉。顯示輸入又可以分為兩種：輸入完成立刻輸出結(jié)果；輸入完成先存儲(chǔ)在文本文件或數(shù)據(jù)庫(kù)中，然后再輸出結(jié)果。后者可能會(huì)導(dǎo)致網(wǎng)站顯示中的問(wèn)題。而隱式輸入除了一些正常的情況外，還可以利用服務(wù)器或CGI程序處理錯(cuò)誤信息的方式來(lái)實(shí)施。攻擊檢測(cè)工具端口掃描和信息收集nmap、finger、rpcinfo、DNSquery漏洞掃描nessus常見(jiàn)攻擊手法bufferoverflow（IIS、SunRPC、Linux）后門(mén)木馬NetBus、BO2K拒絕服務(wù)SYNFlood、UDPBomb、IPFrag、DDoS小結(jié)黑客入侵模型與原理漏洞掃描口令破解拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊緩沖區(qū)溢出攻擊格式化字符串攻擊跨站腳本攻擊SQLInjection攻擊第3章入侵檢測(cè)技術(shù)的分類3.1入侵檢測(cè)的信息源3.2分類方法3.3具體的入侵檢測(cè)系統(tǒng)3.1入侵檢測(cè)的信息源入侵檢測(cè)的基本問(wèn)題如何充分、可靠地提取描述行為特征的數(shù)據(jù)；如何根據(jù)特征數(shù)據(jù)，高效、準(zhǔn)確地判斷行為的性質(zhì)；……數(shù)據(jù)源類型數(shù)據(jù)來(lái)源可分為四類：來(lái)自主機(jī)的基于主機(jī)的監(jiān)測(cè)收集通常在操作系統(tǒng)層的來(lái)自計(jì)算機(jī)內(nèi)部的數(shù)據(jù)，包括操作系統(tǒng)審計(jì)跟蹤信息和系統(tǒng)日志來(lái)自網(wǎng)絡(luò)的檢測(cè)收集網(wǎng)絡(luò)的數(shù)據(jù)來(lái)自應(yīng)用程序的監(jiān)測(cè)收集來(lái)自運(yùn)行著的應(yīng)用程序的數(shù)據(jù)，包括應(yīng)用程序事件日志和其它存儲(chǔ)在應(yīng)用程序內(nèi)部的數(shù)據(jù)來(lái)自目標(biāo)機(jī)的使用散列函數(shù)來(lái)檢測(cè)對(duì)系統(tǒng)對(duì)象的修改。117審計(jì)記錄由審計(jì)子系統(tǒng)產(chǎn)生；用于反映系統(tǒng)活動(dòng)的信息集合；將這些信息按照時(shí)間順序組織成為一個(gè)或多個(gè)審計(jì)文件；遵循美國(guó)可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)（TCSEC）；118審計(jì)記錄的優(yōu)點(diǎn)可信度高得益于操作系統(tǒng)的保護(hù)審計(jì)記錄沒(méi)有經(jīng)過(guò)高層的抽象最“原始”的信息來(lái)源了解系統(tǒng)事件的細(xì)節(jié)不易被篡改和破壞審計(jì)記錄的缺點(diǎn)不同的系統(tǒng)在審計(jì)事件的選擇、審計(jì)記錄的選擇和內(nèi)容組織等諸多方面都存在著兼容性的問(wèn)題。另外一個(gè)存在的問(wèn)題是，操作系統(tǒng)審計(jì)機(jī)制的設(shè)計(jì)和開(kāi)發(fā)的初始目標(biāo)，并不是為了滿足后來(lái)才出現(xiàn)的入侵檢測(cè)技術(shù)的需求目的。120審計(jì)記錄內(nèi)容響應(yīng)事件的主體和涉及事件的目標(biāo)信息主體對(duì)象進(jìn)程用戶id系統(tǒng)調(diào)用的參數(shù)返回值特定應(yīng)用事件的數(shù)據(jù)……1.SunSolarisBSMSun公司的Solaris操作系統(tǒng)是目前流行的服務(wù)器UNIX操作系統(tǒng)。BSM安全審計(jì)子系統(tǒng)的主要概念包括審計(jì)日志、審計(jì)文件、審計(jì)記錄和審計(jì)令牌等，其中審計(jì)日志由一個(gè)或多個(gè)審計(jì)文件組成，每個(gè)審計(jì)文件包含多個(gè)審計(jì)記錄，而每個(gè)審計(jì)記錄則由一組審計(jì)令牌（audittoken）構(gòu)成。圖3-1所示為BSM審計(jì)記錄的格式。每個(gè)審計(jì)令牌包括若干字段，如圖3-2所示。圖3-1BSM審計(jì)記錄格式Header*Process*［Argumnet］*［Attribute］*［Data］［In_addr］［Ip］［Ipc_perm］［Ipc］［Iport］［Path］*［Text］［Groups］［Opaque］［Return］*［Trailer］首令牌字段審計(jì)進(jìn)程信息系統(tǒng)調(diào)用參數(shù)信息屬性信息當(dāng)前根目錄、工作目錄及其絕對(duì)路徑請(qǐng)求（系統(tǒng)調(diào)用）返回值圖3-2BSM審計(jì)令牌格式HeaderTokentokenIDrecordsizeeventtype*timeofqueue*ProcessTokentokenIDauditID*userID*fealuserIDrealgroupID*processID*ArgumentTokentokenIDargumentIDargumentvalue*stringlengthtextReturnTokentokenIDusererrorreturnvalue*TrailerTokentokenIDmagicnumberrecordsizePathTokentokenIDsizeofrootcurrentrootsizeofdircurrentdirsizeofpathpathargument*AttributeTokentokenIDvnodemode*vnode

uid*vnode

gid*vnode

fsid*vnode

nodeid*vnode

rdev*Windows日志監(jiān)測(cè)

1．Windows日志W(wǎng)indows中也一樣使用“事件查看器”來(lái)管理日志系統(tǒng)，也同樣需要用系統(tǒng)管理員身份進(jìn)入系統(tǒng)后方可進(jìn)行操作，如圖所示。圖3-5事件屬性信息通常有應(yīng)用程序日志，安全日志、系統(tǒng)日志、DNS服務(wù)器日志、FTP日志、WWW日志等等，可能會(huì)根據(jù)服務(wù)器所開(kāi)啟的服務(wù)不同而略有變化。啟動(dòng)Windows時(shí)，事件日志服務(wù)會(huì)自動(dòng)啟動(dòng)，所有用戶都可以查看“應(yīng)用程序日志”，但是只有系統(tǒng)管理員才能訪問(wèn)“安全日志”和“系統(tǒng)日志”。應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認(rèn)位置：%systemroot%\system32\config，默認(rèn)文件大小512KB，但有經(jīng)驗(yàn)的系統(tǒng)管理員往往都會(huì)改變這個(gè)默認(rèn)大小。安全日志文件：c:\systemroot\system32\config\SecEvent.EVT系統(tǒng)日志文件：c:\systemroot\system32\config\SysEvent.EVT應(yīng)用程序日志文件：c:\systemroot\system32\config\AppEvent.EVTInternet信息服務(wù)FTP日志默認(rèn)位置：c:\systemroot\system32\logfiles\msftpsvc1\。Internet信息服務(wù)WWW日志默認(rèn)位置：c:\systemroot\system32\logfiles\w3svc1\。130系統(tǒng)日志系統(tǒng)日志是反映各種系統(tǒng)事件和設(shè)置的文件；Unix系統(tǒng)提供了分類齊全的系統(tǒng)日志，如登錄日志、進(jìn)程統(tǒng)計(jì)日志；131安全性對(duì)比系統(tǒng)使用日志機(jī)制記錄下主機(jī)上發(fā)生的事情，系統(tǒng)日志的安全性與操作系統(tǒng)的審計(jì)記錄比較而言，要差一些，其原因如下：⑴產(chǎn)生系統(tǒng)日志的軟件通常是在內(nèi)核外運(yùn)行的應(yīng)用程序，因而這些軟件容易受到惡意的修改或攻擊。⑵系統(tǒng)日志通常是存儲(chǔ)在普通的不受保護(hù)的文件目錄里，容易受到惡意的篡改和刪除等操作。3.1.2系統(tǒng)日志盡管如此，系統(tǒng)日志仍然以其簡(jiǎn)單易讀、容易處理等優(yōu)勢(shì)成為入侵檢測(cè)的一個(gè)重要輸入數(shù)據(jù)源。UNIX操作系統(tǒng)的主要日志文件可以分成3類：①登錄日志文件，寫(xiě)入到/var/log/wtmp和/var/run/utmp，系統(tǒng)程序負(fù)責(zé)更新wtmp和utmp文件，使系統(tǒng)管理員能夠跟蹤誰(shuí)在何時(shí)登錄到系統(tǒng)。②進(jìn)程日志，由系統(tǒng)內(nèi)核生成。當(dāng)一個(gè)進(jìn)程終止時(shí)，系統(tǒng)內(nèi)核為每個(gè)進(jìn)程在進(jìn)程日志文件（pacct或acct）中寫(xiě)入一條記錄。③syslogd日志，由syslogd生成并維護(hù)。各種系統(tǒng)守護(hù)進(jìn)程、內(nèi)核、模塊使用syslogd記錄下自己發(fā)出的消息。1343.1.3應(yīng)用程序日志應(yīng)用日志通常代表了系統(tǒng)活動(dòng)的用戶級(jí)抽象信息，相對(duì)于系統(tǒng)級(jí)的安全數(shù)據(jù)來(lái)說(shuō)，去除了大量的冗余信息，更易于管理員瀏覽和理解。但是由于缺乏系統(tǒng)保護(hù)，因此也存在風(fēng)險(xiǎn)，存在可信度的問(wèn)題。典型的有：WWWServer日志數(shù)據(jù)庫(kù)系統(tǒng)日志135WWWServer日志通用日志格式（CLF）

-user1[27/Nov/2000:10:00:00+0600]“GET/page1/HTTP1.0”2001893字段格式訪問(wèn)者主機(jī)名“H”rfc931服務(wù)器返回給訪問(wèn)用戶的信息；如果不存在，為-用戶名（如果用戶提交了用于認(rèn)證的ID）UserID請(qǐng)求日期及時(shí)間（包括時(shí)區(qū)信息）[DD/MMM/YYYY:HH:MM:SS+TimeZone]請(qǐng)求的頁(yè)面及服務(wù)器使用的頁(yè)面通信協(xié)議“GET”請(qǐng)求的返回碼（200代表成功）NNN，如果沒(méi)有則以“-”表示返回的字節(jié)數(shù)NNNNN，如果沒(méi)有則以“-”表示136WWWServer日志擴(kuò)展日志文件格式字段格式訪問(wèn)者主機(jī)名“H”rfc931由identd返回的該用戶信息用戶名（如果用戶提交了用于認(rèn)證的ID）UserID請(qǐng)求日期及時(shí)間（包括時(shí)區(qū)信息）[DD/MMM/YYYY:HH:MM:SS+TimeZone]請(qǐng)求的頁(yè)面及服務(wù)器使用的頁(yè)面通信協(xié)議“GET”請(qǐng)求的返回碼（200代表成功）NNN，如果沒(méi)有則以“-”表示返回的字節(jié)數(shù)NNNNN，如果沒(méi)有則以“-”表示請(qǐng)求的URL的地址http:///dir/page訪問(wèn)者使用的瀏覽器及其版本“browser/version”（操作系統(tǒng)）WWW日志#Software:MicrosoftInternetInformationServices5.0

#Version:1.0

#Date:2004041903:091

#Fields:datetimecip

csusernamesipsportcsmethod

csuristem

csuriquery

scstatus

cs(UserAgent)

2004041903:0916780GET/iisstart.asp200Mozilla/4.0+(compatible\\;+MSIE+5.0\\;+Windows+98\\;+DigExt)

2004041903:0946780GET/pagerror.gif200Mozilla/4.0+(compatible\\;+MSIE+5.0\\;+Windows+98\\;+DigExt)

FTP日志FTP日志每天生成一個(gè)日志文件，包含了該日的一切記錄，文件名通常為ex（年份）（月份）（日期）。例如ex040419，就是2004年4月19日產(chǎn)生的日志，用記事本可直接打開(kāi)，普通的有入侵行為的日志一般是這樣的：

#Software:MicrosoftInternetInformationServices5.0（微軟IIS5.0）

#Version:1.0（版本1.0）

#Date:200404190315（服務(wù)啟動(dòng)時(shí)間日期）

#Fields:timecip

csmethod

csuristem

scstatus

0315[1]USERadministator331（IP地址為用戶名為administator試圖登錄）

0318[1]PASS–530（登錄失?。?/p>

032:04[1]USERnt331（IP地址為用戶名為nt的用戶試圖登錄）

032:06[1]PASS–530（登錄失?。?/p>

032:09[1]USERcyz331（IP地址為用戶名為cyz的用戶試圖登錄）

0322[1]PASS–530（登錄失?。?/p>

0322[1]USERadministrator331（IP地址為用戶名為administrator試圖登錄）

0324[1]PASS–230（登錄成功）

0321[1]MKDnt550（新建目錄失?。?/p>

0325[1]QUIT–550（退出FTP程序）

從日志里就能看出IP地址為的用戶一直試圖登錄系統(tǒng)，換了四次用戶名和密碼才成功，管理員立即就可以得知這個(gè)IP至少有入侵企圖！而他的入侵時(shí)間、IP地址以及探測(cè)的用戶名都很清楚的記錄在日志上。如上例入侵者最終是用Administrator用戶名進(jìn)入的，那么就要考慮此用戶名是不是密碼失竊？還是被別人利用？接下來(lái)就要想想系統(tǒng)出什么問(wèn)題了。

1393.1.4網(wǎng)絡(luò)信息源的優(yōu)勢(shì)可以對(duì)整個(gè)子網(wǎng)進(jìn)行檢測(cè)不影響現(xiàn)存的數(shù)據(jù)源，不改變系統(tǒng)和網(wǎng)絡(luò)的工作模式不影響主機(jī)性能和網(wǎng)絡(luò)性能被動(dòng)接收方式，隱蔽性好對(duì)基于網(wǎng)絡(luò)協(xié)議的入侵手段有較強(qiáng)的分析能力140網(wǎng)絡(luò)信息源的缺陷檢測(cè)效率網(wǎng)絡(luò)流量日益增大的挑戰(zhàn)虛警和漏警的平衡應(yīng)用于交換環(huán)境出現(xiàn)的問(wèn)題在交換網(wǎng)絡(luò)環(huán)境中應(yīng)該考慮的問(wèn)題每個(gè)端口的忙碌狀況

如何識(shí)別和跟蹤錯(cuò)誤源？

廣播風(fēng)暴的源頭是什么？

交換轉(zhuǎn)發(fā)表是否運(yùn)行正常?

哪個(gè)站點(diǎn)連接在這個(gè)端口上？

交換機(jī)對(duì)協(xié)議或端口是否有速率限制？1413.1.5來(lái)自其它安全產(chǎn)品的信息防火墻認(rèn)證系統(tǒng)訪問(wèn)控制系統(tǒng)其它安全設(shè)備——提高分析的準(zhǔn)確性和全面性3.1.6信息源的選擇問(wèn)題基本原則：根據(jù)檢測(cè)目標(biāo)來(lái)選擇數(shù)據(jù)源；最少數(shù)目的輸入數(shù)據(jù)源3.2入侵檢測(cè)的分類對(duì)入侵檢測(cè)系統(tǒng)可以根據(jù)所采用的審計(jì)數(shù)據(jù)源、檢測(cè)策略、檢測(cè)的實(shí)時(shí)性、對(duì)抗措施、體系結(jié)構(gòu)等方面進(jìn)行劃分。入侵檢測(cè)系統(tǒng)的分類1.基于網(wǎng)絡(luò)的系統(tǒng)VS基于主機(jī)的系統(tǒng)根據(jù)入侵檢測(cè)系統(tǒng)分析的數(shù)據(jù)來(lái)源：主機(jī)系統(tǒng)日志原始的網(wǎng)絡(luò)數(shù)據(jù)包應(yīng)用程序的日志防火墻報(bào)警日志其它入侵檢測(cè)系統(tǒng)的報(bào)警信息入侵檢測(cè)實(shí)質(zhì)上可以歸結(jié)為對(duì)安全審計(jì)數(shù)據(jù)的處理，這種處理可以針對(duì)網(wǎng)絡(luò)數(shù)據(jù)，也可以針對(duì)主機(jī)的審計(jì)記錄或應(yīng)用程序日志。依據(jù)審計(jì)數(shù)據(jù)源的不同可將IDS分為基于網(wǎng)絡(luò)的IDS、基于主機(jī)的IDS和基于主機(jī)/網(wǎng)絡(luò)混合型的IDS?；诰W(wǎng)絡(luò)的IDS利用網(wǎng)絡(luò)數(shù)據(jù)包作為審計(jì)數(shù)據(jù)源，其優(yōu)點(diǎn)是隱蔽性好，不容易遭受攻擊，對(duì)主機(jī)資源消耗少。并且由于網(wǎng)絡(luò)協(xié)議是標(biāo)準(zhǔn)的，可以對(duì)網(wǎng)絡(luò)提供通用的保護(hù)而無(wú)需顧及異構(gòu)主機(jī)的不同架構(gòu)?；谥鳈C(jī)的IDS所分析的安全審計(jì)數(shù)據(jù)主要來(lái)自主機(jī)日志、應(yīng)用程序所產(chǎn)生的日志以及特權(quán)程序所產(chǎn)生的系統(tǒng)調(diào)用序列日志。其優(yōu)點(diǎn)是檢測(cè)精度高，但是只能檢測(cè)針對(duì)本機(jī)的攻擊，不適合檢測(cè)針對(duì)網(wǎng)絡(luò)協(xié)議漏洞的攻擊?；旌闲虸DS結(jié)合兩種數(shù)據(jù)源，最大限度提高對(duì)網(wǎng)絡(luò)及主機(jī)系統(tǒng)的信息收集，實(shí)現(xiàn)準(zhǔn)確且高效的入侵檢測(cè)。2．濫用檢測(cè)VS異常檢測(cè)濫用檢測(cè)又稱為基于知識(shí)的入侵檢測(cè)，是對(duì)利用已知的系統(tǒng)缺陷和已知的入侵方法進(jìn)行入侵活動(dòng)的檢測(cè)。入侵者常常利用系統(tǒng)和應(yīng)用軟件的弱點(diǎn)來(lái)實(shí)施攻擊，將這些弱點(diǎn)編成某種模式，如果入侵者的攻擊方式正好與檢測(cè)系統(tǒng)的模式庫(kù)中某些模式匹配，則認(rèn)為有入侵行為發(fā)生。濫用檢測(cè)的關(guān)鍵在于如何通過(guò)入侵模式準(zhǔn)確地描述入侵活動(dòng)的特征、條件、排列和關(guān)系，從而有效地檢測(cè)入侵。系統(tǒng)需要對(duì)已知的入侵行為進(jìn)行分析，提取檢測(cè)特征，構(gòu)建攻擊模式。對(duì)觀察到的審計(jì)數(shù)據(jù)進(jìn)行分析檢測(cè)，通過(guò)系統(tǒng)當(dāng)前狀態(tài)與攻擊模式進(jìn)行匹配，判斷是否有入侵行為。濫用檢測(cè)方法的優(yōu)點(diǎn)是可以針對(duì)性地建立高效的入侵檢測(cè)系統(tǒng)，對(duì)已知攻擊檢測(cè)準(zhǔn)確率高。缺點(diǎn)是不能檢測(cè)未知攻擊或已知攻擊的變種，需要對(duì)入侵模式不斷進(jìn)行維護(hù)升級(jí)；異常檢測(cè)前提是假定所有入侵行為都有區(qū)別于正常行為的異常特性。異常檢測(cè)是根據(jù)系統(tǒng)或用戶的非正常行為和使用計(jì)算機(jī)資源的非正常情況來(lái)檢測(cè)入侵行為。因此首先建立目標(biāo)系統(tǒng)及其用戶的活動(dòng)模型，然后基于這個(gè)模型對(duì)系統(tǒng)和用戶的實(shí)際活動(dòng)進(jìn)行審計(jì)，通過(guò)比較差異來(lái)判斷是否有入侵行為。優(yōu)點(diǎn)是不受已知知識(shí)的限制，因而它可以檢測(cè)未知的攻擊行為。關(guān)鍵問(wèn)題在于正常使用模式的建立及如何利用該模式對(duì)當(dāng)前系統(tǒng)/用戶行為進(jìn)行比較（即系統(tǒng)特征量以及閾值的選取），從而判斷出與正常模式的偏離程度。異常檢測(cè)方法存在的主要問(wèn)題：如何有效地表示用戶的正常行為模式？即選擇哪些數(shù)據(jù)才能有效的反映用戶的行為，而且正常模式具有時(shí)效性，需要不斷修正和更新。當(dāng)用戶行為突然改變時(shí)，容易引起誤報(bào)。閾值的確定比較困難。閾值太高則容易引起漏報(bào)，而太低容易引起誤報(bào)。異常檢測(cè)方法大多訓(xùn)練時(shí)間較長(zhǎng)。3．實(shí)時(shí)檢測(cè)VS事后檢測(cè)按IDS處理數(shù)據(jù)的實(shí)時(shí)性，IDS分為實(shí)時(shí)攻擊檢測(cè)和事后攻擊檢測(cè)。實(shí)時(shí)檢測(cè)是實(shí)時(shí)監(jiān)測(cè)系統(tǒng)及用戶行為，根據(jù)系統(tǒng)及用戶的歷史行為模型、安全策略或知識(shí)等，實(shí)時(shí)分析并判斷行為性質(zhì)，一旦發(fā)現(xiàn)攻擊及時(shí)響應(yīng)。優(yōu)點(diǎn)是可以對(duì)出現(xiàn)的攻擊快速作出響應(yīng)，但它對(duì)系統(tǒng)的軟件硬件要求較高，缺點(diǎn)是對(duì)慢掃描等攻擊難以檢測(cè)，不能檢測(cè)一些復(fù)雜的攻擊。事后攻擊檢測(cè)采用批處理的策略，將一段時(shí)間內(nèi)的數(shù)據(jù)收集起來(lái)，系統(tǒng)定時(shí)或周期性地進(jìn)行處理分析。如果在該段時(shí)間內(nèi)發(fā)現(xiàn)攻擊則作出響應(yīng)。可以運(yùn)用復(fù)雜且細(xì)致的分析策略，發(fā)現(xiàn)某些復(fù)雜的攻擊。因此，兩者結(jié)合可以取長(zhǎng)補(bǔ)短，用實(shí)時(shí)檢測(cè)對(duì)審計(jì)數(shù)據(jù)實(shí)現(xiàn)粗檢測(cè)，實(shí)時(shí)檢測(cè)的實(shí)時(shí)性。復(fù)雜的分析用于事后檢測(cè)，分析的結(jié)果可以進(jìn)一步完善實(shí)時(shí)檢測(cè)結(jié)果，提高檢測(cè)的準(zhǔn)確性。4．主動(dòng)檢測(cè)VS被動(dòng)檢測(cè)主動(dòng)檢測(cè)切斷連接或預(yù)先關(guān)閉服務(wù)、注銷可能的攻擊者的登陸等主動(dòng)措施對(duì)抗攻擊；被動(dòng)檢測(cè)僅產(chǎn)生報(bào)警信號(hào)，對(duì)抗措施由管理人員實(shí)現(xiàn)。5．集中式檢測(cè)與分布式檢測(cè)集中式采用單一的模塊運(yùn)行，或由一系列可交互的具有相同功能的實(shí)體完成；系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)都集中在一臺(tái)主機(jī)上運(yùn)行，這種方式適用于網(wǎng)絡(luò)環(huán)境比較簡(jiǎn)單的情況。分布式檢測(cè)由不同的實(shí)體構(gòu)成，每個(gè)實(shí)體執(zhí)行自己的任務(wù)，實(shí)體之間通過(guò)消息或其他機(jī)制進(jìn)行交互。系統(tǒng)的各個(gè)模塊分布在網(wǎng)絡(luò)中不同的計(jì)算機(jī)、設(shè)備上，一般來(lái)說(shuō)分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上，如果網(wǎng)絡(luò)環(huán)境比較復(fù)雜、數(shù)據(jù)量比較大，那么數(shù)據(jù)分析模塊也會(huì)分布，一般是按照層次性的原則進(jìn)行組織的。3.3主要商用入侵檢測(cè)系統(tǒng)常見(jiàn)的IDSComputerAssociates’SessionWallSnort()ISSRealSecure()SymantecIntrusionAlert()NetWork

Assoxiates’CyberCopMonitor(workassociates,com)CiscoSecureIDS(www.cisco,com)4.1審計(jì)數(shù)據(jù)的獲取4.2用于入侵檢測(cè)的統(tǒng)計(jì)模型4.3入侵檢測(cè)的專家系統(tǒng)4.4基于狀態(tài)轉(zhuǎn)移分析的入侵檢測(cè)技術(shù)4.5文件完整性檢查4.6系統(tǒng)配置分析技術(shù)第4章基于主機(jī)的入侵檢測(cè)技術(shù)根據(jù)目標(biāo)系統(tǒng)的不同類型和主機(jī)入侵檢測(cè)的不同要求，所需要收集的審計(jì)數(shù)據(jù)的類型不盡相同。首先，從目標(biāo)主機(jī)的類型來(lái)看，不同操作系統(tǒng)的審計(jì)機(jī)制設(shè)計(jì)存在差異，主機(jī)活動(dòng)的審計(jì)范圍和類型也不同。其次，根據(jù)不同主機(jī)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)要求和需要，其具體選取的審計(jì)數(shù)據(jù)類型和來(lái)源也各有側(cè)重。以IDES系統(tǒng)為例。IDES在SunUNIX目標(biāo)系統(tǒng)環(huán)境下所收集到的審計(jì)數(shù)據(jù)，主要分為4個(gè)典型類型。①文件訪問(wèn):包括對(duì)文件和目錄進(jìn)行的操作，如讀取、寫(xiě)入、創(chuàng)建、刪除和訪問(wèn)控制列表的修改。4.1.1審計(jì)數(shù)據(jù)的獲取②系統(tǒng)訪問(wèn):包括登錄、退出、調(diào)用以及終止超級(jí)用戶權(quán)限等。③資源消耗:包括CPU、I/O和內(nèi)存的使用情況。④進(jìn)程創(chuàng)建命令的調(diào)用:指示一個(gè)進(jìn)程的創(chuàng)建。IDES必須從Sun環(huán)境中的多個(gè)不同信息源來(lái)收集審計(jì)數(shù)據(jù)。這些信息源包括：SunOS4.0標(biāo)準(zhǔn)審計(jì)系統(tǒng)、SunC2安全審計(jì)包和UNIX記賬系統(tǒng)。然而，僅從這兩種審計(jì)系統(tǒng)得到的信息對(duì)于IDES的入侵檢測(cè)分析還是不夠的。還可以對(duì)系統(tǒng)另外配置一些其他的審計(jì)工具。如Sendmail,Netlog等。對(duì)于其他的主機(jī)入侵檢測(cè)系統(tǒng)，例如STAT系統(tǒng)，它所使用的審計(jì)數(shù)據(jù)來(lái)源主要就是SunOSC2安全審計(jì)包（BSM），針對(duì)的是BSM審計(jì)記錄。基于主機(jī)的入侵檢測(cè)技術(shù)1684.1.2審計(jì)數(shù)據(jù)的預(yù)處理審計(jì)日志信息非常龐大；存在雜亂性、重復(fù)性和不完整性；雜亂性：代理的審計(jì)機(jī)制不完全相同，所產(chǎn)生的日志信息存在差異；重復(fù)性：對(duì)于同一個(gè)客觀事物系統(tǒng)中存在多個(gè)物理描述；不完整性：由于實(shí)際系統(tǒng)缺陷和人為因素所造成的記錄中出現(xiàn)數(shù)據(jù)屬性的值丟失或不確定的情況。審計(jì)數(shù)據(jù)的預(yù)處理數(shù)據(jù)的預(yù)處理就是對(duì)系統(tǒng)獲取到的各種相關(guān)數(shù)據(jù)進(jìn)行歸納、轉(zhuǎn)換等處理，使其符合系統(tǒng)的需求。一般采用從大量的數(shù)據(jù)屬性中，提取出部分對(duì)目標(biāo)輸出有重大影響的屬性，通過(guò)降低原始數(shù)據(jù)的維數(shù)來(lái)達(dá)到改善質(zhì)量的目的?；谥鳈C(jī)的入侵檢測(cè)技術(shù)170審計(jì)數(shù)據(jù)的預(yù)處理通常數(shù)據(jù)預(yù)處理應(yīng)該包括以下功能。

數(shù)據(jù)集成涉及數(shù)據(jù)的選擇、數(shù)據(jù)的沖突以及數(shù)據(jù)的不一致問(wèn)題的解決；并非簡(jiǎn)單的數(shù)據(jù)合并，對(duì)數(shù)據(jù)進(jìn)行統(tǒng)一化；

數(shù)據(jù)清理：除去噪音數(shù)據(jù)和無(wú)關(guān)數(shù)據(jù)，處理遺漏數(shù)據(jù)等。數(shù)據(jù)變換：規(guī)范化處理。根據(jù)其屬性值的量綱進(jìn)行歸一化處理。

數(shù)據(jù)簡(jiǎn)化：數(shù)據(jù)屬性的約簡(jiǎn)。降低數(shù)據(jù)分析的維數(shù)。

數(shù)據(jù)融合：對(duì)多種IDS檢測(cè)結(jié)果的融合和決策?；谥鳈C(jī)的入侵檢測(cè)技術(shù)171審計(jì)數(shù)據(jù)的預(yù)處理

（a）數(shù)據(jù)集成

（b）數(shù)據(jù)清理

–2,32,100,59,48

–0.02,0.32,1.00,0.59,0.48

（c）數(shù)據(jù)變換

A126

…

A2

A1

T1

T2

…

T2000

A115

…

A2

A1

T1

T2

…

T1400

（d）數(shù)據(jù)簡(jiǎn)化/融合數(shù)據(jù)的規(guī)范化數(shù)據(jù)的規(guī)范化處理有兩種比較常用的方法：①

其中，x為要規(guī)范化的數(shù)值；x′為規(guī)范化后的數(shù)值；avg為x所在向量組X的平均值；std（X）為向量組X的標(biāo)準(zhǔn)差。②

其中，x為要規(guī)范化的數(shù)值；x′為規(guī)范化后的數(shù)值；max是x所在向量組中元素的最大值；min是x所在向量組中元素的最小值；new_max是規(guī)范化后的目標(biāo)區(qū)間的上限；new_min是規(guī)范化后的目標(biāo)區(qū)間的下限；通過(guò)這個(gè)公式可以將數(shù)據(jù)規(guī)范化到指定區(qū)間。首先，討論標(biāo)準(zhǔn)審計(jì)記錄格式的設(shè)計(jì)問(wèn)題。以IDES系統(tǒng)為例，IDES審計(jì)記錄格式是基于若干設(shè)計(jì)考慮的。首先，它必須通用程度足夠高，以便能夠表示目標(biāo)監(jiān)控系統(tǒng)的所有可能事件類型。其次，它應(yīng)該是該機(jī)器中最有效的數(shù)據(jù)表示形式，以將處理開(kāi)銷降低到最小程度。第三，記錄格式應(yīng)該按標(biāo)準(zhǔn)化設(shè)計(jì)，使IDES能夠從多個(gè)不同類型的機(jī)器處接收輸入記錄，而無(wú)須進(jìn)行任何的數(shù)據(jù)轉(zhuǎn)換。理想的情況下，審計(jì)記錄只進(jìn)行一次格式化。4.1.2審計(jì)數(shù)據(jù)的預(yù)處理IDES審計(jì)記錄用動(dòng)作類型來(lái)進(jìn)行分類。共有約30種不同的動(dòng)作類型。每個(gè)IDES審計(jì)記錄包括一個(gè)動(dòng)作類型和若干字段，用于對(duì)該動(dòng)作進(jìn)行參數(shù)化取值。以下是為IDES入侵檢測(cè)分析而定義的動(dòng)作類型。IA_VOID：此為沒(méi)有操作。IA_ACCESS：指定的文件被引用（但是沒(méi)有讀寫(xiě)）。IA_WRITE：文件被打開(kāi)以備寫(xiě)入或者已經(jīng)寫(xiě)入。IA_READ：文件被打開(kāi)以備讀取或者已經(jīng)讀取。IA_DELETE：所指定的文件已被刪除。IA_CREATE：所指定的文件被創(chuàng)建。IA_RMDIR：所指定的目錄被刪除。IA_XHMOD：所指定文件的訪問(wèn)模式已經(jīng)改變。IA_EXEC：所指定的命令已經(jīng)被調(diào)用。IA_XHOWN：所指定對(duì)象（文件）的所有權(quán)已經(jīng)改變。IA_LINK：已建立起到指定文件的一個(gè)連接。IA_CHDIR：工作目錄已經(jīng)改變。IA_RENAME：文件被重命名。IA_MKDIR：目錄被創(chuàng)建。IA_LOGIN：指定用戶登錄進(jìn)入系統(tǒng)。IA_BAD_LOGIN：指定用戶的登錄嘗試失敗。IA_SU：調(diào)用超級(jí)用戶權(quán)限。IA_BAD_SU：調(diào)用超級(jí)用戶權(quán)限的嘗試。IA_RESOURCE：資源（內(nèi)存、CPU時(shí)間、I/O）被消耗。IA_LOGOUT：所指定的用戶退出系統(tǒng)。IA_UNCAT：其他所有未指定的動(dòng)作。IA_RSH：遠(yuǎn)程外殼調(diào)用。IA_BAD_RSH：被拒絕的遠(yuǎn)程外殼調(diào)用。IA_PASSWD：口令更改。IA_RMOUNT：遠(yuǎn)程文件系統(tǒng)安全請(qǐng)求（網(wǎng)絡(luò)文件服務(wù)器）。IA_BAD_RMOUNT：拒絕文件系統(tǒng)安裝。IA_PASSWD_AUTH：口令確認(rèn)。IA_BAD_PASSWD_AUTH：拒絕口令確認(rèn)。IA_DISCON：Agen斷開(kāi)與Arpool的連接(偽記錄)。以下為表示IDES審計(jì)記錄的C語(yǔ)言結(jié)構(gòu)。struct

ides_audit_header{unsignedlongtseq;charhostname[32];charremotehost[32];charttyname[16];charcmd[18];char_pad1[2];charjobname[16];enum

ides_audit_actionaction;time_ttime;/*thissectionisunixspecific*/longsyscall;unsignedlongevent;longerrno;longrval;longpid;/*unix:thesefieldsare0inmost(butnotall)cases*/structresource_inforesource;enumides_audit_typeact_type;longsubjtype;charuname[IDES_UNAME_LEN];charauname[IDES_UNAME_LEN];charouname[IDES_UNAME_LEN];longarglen;};ides_audit_block結(jié)構(gòu)定義如下所示：typedef

struct{longab_size;aud_type

ab_type;unsignedlongrseq;time_t

rectime;ides_audit_headerah;unionab_args{charmaxbuf[AUP_USER];ides_path_desc_ipd[2];#defineab_path0_ipd[0].path#defineab_path1_ipd[1].path}arg_un;}ides_audit_block;圖4-1STAT審計(jì)記錄格式STAT系統(tǒng)的標(biāo)準(zhǔn)審計(jì)記錄格式由3個(gè)部分定義組成：〈Subject,Action,Object〉每個(gè)部分都進(jìn)一步包括更詳細(xì)的字段定義，如圖4-1所示。圖4-2從BSM審計(jì)記錄到STAT審計(jì)記錄的映射關(guān)系審計(jì)數(shù)據(jù)獲取模塊的主要作用是獲取目標(biāo)系統(tǒng)的審計(jì)數(shù)據(jù)，并經(jīng)過(guò)預(yù)處理工作后，最終目標(biāo)是為入侵檢測(cè)的處理模塊提供一條單一的審計(jì)記錄塊數(shù)據(jù)流，供其使用。其使用的處理算法流程如下所示：4.1.3審計(jì)數(shù)據(jù)獲取模塊的設(shè)計(jì)//ProcessingProcedureforPreprocessor1WhileTruedobegin2IfAudit_state=STARTthenbegin3Allocatememoryforauditrecord4AllocatememoryfortheptrofsizeBLOCK_SIZE5Audit_state=NEXT_FILE6Endif7IfAudit_state=NEXT_FILEthenbegin8Openauditfile9Readablockfromauditfiletoptr10Advanceptrtothebeginningofthefirstrecord11Obtainprecedingfilename12Audit_state=READ_FILE13Endif14IfAudit_state=READ_FILEthenbegin15Attempttoreadablockfromauditfiletoptr16Ifsuccessfulthenbegin17IfptrindicatesAUT_OTHER_FILEthen18Audit_state=CLOSE_FILE19Elsebegin20Callfilter_ittofilterthenextrecord21Ifrecordpassedthroughthefilterthen22return(audit_record)23Endelse24Endif25Else26Reopenauditfile27Endif28IfAud