第三講基于主機的入侵檢測技術信息科學與工程學院張琳琳新疆大學《入侵檢測技術》課程ZhanglinlinContents審計數據的獲取1用于入侵檢測的統(tǒng)計模型2入侵檢測的專家系統(tǒng)3基于狀態(tài)轉移的入侵檢測技術4補充：IDS的部署IDS的位置一般選擇在盡可能靠近攻擊源或受保護的資源處通常是在服務器區(qū)域的交換機上Internet接入路由器之后的第一臺交換機上重點保護網段的局域網交換機經典的部署方式基于主機的入侵檢測部署圖基于網絡的部署Zhanglinlin基于主機的IDS部署基于網絡的IDS部署基于網絡的IDS系統(tǒng)由遍及網絡中每個網段的傳感器組成。傳感器是一臺將以太網卡置于混雜模式的計算機，用于嗅探網絡上的數據包基于網絡的IDS部署如圖所示當單位內部網絡存在多個網段時，建議在每個網段分別安裝一個傳感器Zhanglinlin基于網絡的IDS部署基于網絡的IDS部署（續(xù)）對于大型網絡來說，在每個三層交換機上安裝一個網絡傳感器Zhanglinlin基于網絡的IDS部署（續(xù)）對于小型網絡來說，可以僅在中心交換機上安裝一個網絡傳感器Zhanglinlin部署之二Zhanglinlin示例：企業(yè)解決方案-藍盾應用1Zhanglinlin示例：企業(yè)解決方案-藍盾應用2ZhanglinlinZhanglinlinZhanglinlinContents審計數據的獲取1用于入侵檢測的統(tǒng)計模型2入侵檢測的專家系統(tǒng)3基于狀態(tài)轉移的入侵檢測技術4審計數據的獲取審計數據的獲取質量和數量，決定了主機入侵檢測工作的有效程度。審計數據的獲取工作主要需要考慮三個問題Zhanglinlin確定審計數據的來源和類型對審計數據進行預處理記錄標準格式的設計、過濾、映射審計數據的獲取方式獲取模塊的設計、傳輸協(xié)議審計數據類型與來源審計數據類型不盡相同從目標主機的類型來看，不同操作系統(tǒng)的審計機制設計存在差異，主機活動的審計范圍和類型也有不同。根據不同主機入侵檢測系統(tǒng)的設計要求和需要，其具體選取的審計數據類型和來源也各有側重。以IDES系統(tǒng)為例，說明IDES在SunUNIX目標系統(tǒng)環(huán)境下所收集到的審計數據ZhanglinlinIDES系統(tǒng)IDES系統(tǒng)設計模型ZhanglinlinIDES系統(tǒng)設計模型IDES系統(tǒng)結構IDES系統(tǒng)結構IDES在SunUNIX目標系統(tǒng)IDES在SunUNIX目標系統(tǒng)環(huán)境下所收集到的審計數據類型，有四種典型類型Zhanglinlin文件訪問。包括對文件和目錄進行的操作，如讀取、寫入、創(chuàng)建、刪除和訪問控制列表的修改。系統(tǒng)訪問:包括登錄、退出、調用以及終止超級用戶權限等。資源消耗:包括CPU、I/O和內存的使用情況。進程創(chuàng)建命令的調用:指示一個進程的創(chuàng)建。IDES在SunUNIX目標系統(tǒng)審計數據的來源ZhanglinlinSunOS4.0標準審計系統(tǒng)SunC2安全審計包UNIX記賬系統(tǒng)在日志文件中收集所有的審計信息。對于運行在SunOS4.0或者更新版本上的系統(tǒng)，目標系統(tǒng)可以配置成使用該安全包，使得每個目標機器可以在一個審計日志文件中記錄所選擇的系統(tǒng)調用。目的：獲得CPU的使用數據審計數據的獲取審計數據的獲取質量和數量，決定了主機入侵檢測工作的有效程度。審計數據的獲取工作主要需要考慮三個問題Zhanglinlin確定審計數據的來源和類型對審計數據進行預處理記錄標準格式的設計、過濾、映射審計數據的獲取方式獲取模塊的設計、傳輸協(xié)議審計數據的預處理在確定審計數據的類型和來源后，主機入侵檢測所要進行的主要工作就是審計數據的預處理工作，包括映射、過濾和格式轉換等操作。預處理工作的必要性體現在以下幾個方面。有利于系統(tǒng)在不同目標平臺系統(tǒng)之間的移植；便于后繼的處理模塊進行檢測工作。需要對審計記錄流進行必要的映射和過濾等操作。Zhanglinlin審計數據的預處理標準審計記錄格式的設計要求Zhanglinlin通用程度高以便能夠表示目標監(jiān)控系統(tǒng)的所有可能事件類型。最有效的數據表示形式以將處理開銷降低到最小程度。標準化使IDES能夠從多個不同類型的機器處接收輸入記錄，而無須進行任何的數據轉換。理想的情況下，審計記錄只進行一次格式化。Zhanglinlin審計數據的預處理示例-IDES用動作類型來進行分類，共有約30種不同的動作類型。如文件讀取、寫入等；這些動作包括了所有IDES所要監(jiān)控的事件類型。IDES審計記錄每個IDES審計記錄包括一個動作類型和若干字段，用于對該動作進行參數化取值。固定部分：必須的信息，如timestamp、主體id和目標主機名稱可變部分：根據動作的不同而不同為了適應不同目標系統(tǒng)的有限審計性能，對每一種動作類型的限定都具有較大的靈活性。審計數據的預處理示例-IDESIDES的動作類型ZhanglinlinIA_VOID：此為沒有操作。IA_ACCESS：指定的文件被引用（但是沒有讀寫）。IA_WRITE：文件被打開以備寫入或者已經寫入。IA_READ：文件被打開以備讀取或者已經讀取。IA_DELETE：所指定的文件已被刪除。IA_CREATE：所指定的文件被創(chuàng)建。IA_RMDIR：所指定的目錄被刪除。IA_XHMOD：所指定文件的訪問模式已經改變。IA_EXEC：所指定的命令已經被調用。IA_XHOWN：所指定對象（文件）的所有權已經改變。IA_LINK：已建立起到指定文件的一個連接。IA_CHDIR：工作目錄已經改變。IA_RENAME：文件被重命名。IA_MKDIR：目錄被創(chuàng)建。IA_LOGIN：指定用戶登錄進入系統(tǒng)。IA_BAD_LOGIN：指定用戶的登錄嘗試失敗。IA_SU：調用超級用戶權限。IA_BAD_SU：調用超級用戶權限的嘗試。IA_RESOURCE：資源（內存、CPU時間、I/O）被消耗。IA_LOGOUT：所指定的用戶退出系統(tǒng)。IA_UNCAT：其他所有未指定的動作。IA_RSH：遠程外殼調用。IA_BAD_RSH：被拒絕的遠程外殼調用。IA_PASSWD：口令更改。IA_RMOUNT：遠程文件系統(tǒng)安全請求（網絡文件服務器）。IA_BAD_RMOUNT：拒絕文件系統(tǒng)安裝。IA_PASSWD_AUTH：口令確認。IA_BAD_PASSWD_AUTH：拒絕口令確認。IA_DISCON：Agen斷開與Arpool的連接(偽記錄)。審計數據的預處理示例-IDESIDES審計記錄的C語言結構Zhanglinlinstructides_audit_header{unsignedlongtseq;charhostname[32];charremotehost[32];charttyname[16];charcmd[18];char_pad1[2];charjobname[16];enumides_audit_actionaction;time_ttime;

/*Unix部分*/};包含了每個審計記錄中的固定賦值部分action字段定義了各種動作類型typedefstruct{longab_size;aud_typeab_type;unsignedlongrseq;time_trectime;ides_audit_headerah;unionab_args{charmaxbuf[AUP_USER];ides_path_desc_ipd[2];#defineab_path0_ipd[0].path#defineab_path1_ipd[1].path}arg_un;}ides_audit_block;包含了一個固定的定義（header結構），和一個可變部分（arg_un）可變部分表示可能需要提供的文件目錄信息審計數據的預處理示例-IDESIDES審計記錄設計中若干注意的問題每個審計記錄應盡可能地提供更多的信息，這樣會使IDES的功能更強大；審計記錄中字段的信息應盡可能完整。對某些沒有相關數據的字段，應被設定為默認值；并不是所有的可檢測事件都要報告給IDES。一些冗余數據會增大IDES的處理負擔。Zhanglinlin審計數據的預處理示例-STATSTAT系統(tǒng)的標準審計記錄格式由3個部分定義組成：〈Subject,Action,Object〉Zhanglinlin審計數據的預處理示例-STATBSM審計記錄到STAT審計記錄的映射關系Zhanglinlin在總共239種BSM審計事件中，預處理器模塊僅僅處理其中的28種審計事件，并將其映射到10種STAT操作類型上。審計數據的預處理示例-STAT10種標準的STAT操作類型以及對應的BSM審計事件類型Zhanglinlin審計數據的預處理示例-STAT對STAT預處理的說明預處理包括三個部分記錄格式的設計映射過濾STAT系統(tǒng)還可根據BSM審計記錄中的Return令牌字段值，來決定是否執(zhí)行過濾操作。當該字段值為-1時，表明當前用戶所調用的操作未能成功執(zhí)行。對于沒有成功執(zhí)行的操作，STAT系統(tǒng)認為其沒有導致系統(tǒng)狀態(tài)的轉換，因此可以將對應審計記錄丟棄。Zhanglinlin審計數據的獲取審計數據的獲取質量和數量，決定了主機入侵檢測工作的有效程度。審計數據的獲取工作主要需要考慮三個問題Zhanglinlin確定審計數據的來源和類型對審計數據進行預處理記錄標準格式的設計、過濾、映射審計數據的獲取方式獲取模塊的設計、傳輸協(xié)議審計數據獲取模塊的設計審計數據獲取模塊的主要作用是獲取目標系統(tǒng)的審計數據，并經過預處理工作后，最終目標是為入侵檢測的處理模塊提供一條單一的審計記錄塊數據流，供其使用審計數據獲取模塊的具體設計根據主機入侵檢測系統(tǒng)的具體特點，而有所區(qū)別。最簡單的情況是審計數據獲取模塊與檢測處理模塊同時留駐在目標主機系統(tǒng)上。此時，審計數據獲取模塊的設計就很簡單，只需要提供經處理的審計記錄塊即可。例如，初始版本的STAT系統(tǒng)Zhanglinlin審計數據獲取模塊的設計較為復雜的設計環(huán)境是，負責入侵檢測工作的處理模塊位于目標監(jiān)控主機系統(tǒng)之外的特定控制臺上，而所監(jiān)控目標主機系統(tǒng)的數目又并非單臺主機的情況（通常是一組經過網絡環(huán)境連接起來的主機系統(tǒng)）。設計時需要考慮的問題在各目標主機系統(tǒng)和中央分析控制臺之間處理負荷的平衡問題采用何種傳輸協(xié)議；如何將從多個目標主機獲得的審計數據多路復用成為一條單一審計記錄數據流的問題如何處理諸如網絡傳輸過程中可能出現的延時、遺漏等問題Zhanglinlin審計數據獲取模塊的設計—示例最簡單的情況—初始版本的STAT系統(tǒng)使用的處理算法流程ZhanglinlinWhileTruedobegin

…33Endwhile2IfAudit_state=STARTthenbegin3Allocatememoryforauditrecord4AllocatememoryfortheptrofsizeBLOCK_SIZE5

Audit_state=NEXT_FILE6Endif7IfAudit_state=NEXT_FILEthenbegin8

Openauditfile9

Readablockfromauditfiletoptr10Advanceptrtothebeginningofthefirstrecord11Obtainprecedingfilename12

Audit_state=READ_FILE13Endif審計數據獲取模塊的設計—示例Zhanglinlin14IfAudit_state=READ_FILEthenbegin15Attempttoreadablockfromauditfiletoptr16

Ifsuccessfulthenbegin17IfptrindicatesAUT_OTHER_FILEthen18

Audit_state=CLOSE_FILE19Elsebegin20Callfilter_ittofilterthenextrecord21Ifrecordpassedthroughthefilterthen22

return(audit_record)23Endelse24Endif25Else26Reopenauditfile27Endif最簡單的情況—初始版本的STAT系統(tǒng)使用的處理算法流程(續(xù))28IfAudit_state=CLOSE_FILEthenbegin29Obtainnextauditfilename30Closecurrentauditfile31

Audit_state=NEXT_FILE32EndifZhanglinlinContents審計數據的獲取1用于入侵檢測的統(tǒng)計模型2入侵檢測的專家系統(tǒng)3基于狀態(tài)轉移的入侵檢測技術4用于入侵檢測的統(tǒng)計模型Denning在1986年的經典論文中提出了4種可以用于入侵檢測的統(tǒng)計模型。操作模型均值與標準偏差模型多元模型馬爾可夫過程模型Zhanglinlin(1)主要關心對系統(tǒng)中所發(fā)生事件的計數度量情況，如觀察在特定時間間隔內發(fā)生的失敗登錄事件的次數等。(2)通常的操作包括將所關心的特定事件計數值與某個閾值進行比較，如果超過，則指示生了異常情況(3)可同時應用于異常入侵檢測和濫用入侵檢測技術中(1)基礎：系統(tǒng)當前狀態(tài)特征可以采用數據的均值和標準偏差兩個度量參數來刻畫。(2)在檢測過程中，如果當前用戶行為超出了可信任的區(qū)間范圍，則標示為異常行為。(3)信任區(qū)間的定義通常采用參數度量與其平均值的標準偏差值(1)是模型2的擴展；(2)

思想：在多個參數度量之間進行相關分析，從而擺脫單純依賴單個度量值來判斷系統(tǒng)當前狀態(tài)的限制因素。用于入侵檢測的統(tǒng)計模型操作模型均值與標準偏差模型多元模型馬爾可夫過程模型Zhanglinlin(1)是4個模型中最復雜的統(tǒng)計模型。(2)思想：將每個審計記錄中不同類型事件的出現視為隨機變量的不同取值，然后采用隨機過程模型來刻畫入侵檢測系統(tǒng)的輸入事件流。(3)采用狀態(tài)轉移矩陣表示不同事件序列出現的概率值。如果當前審計事件按照正常的狀態(tài)轉移矩陣所計算出的發(fā)生概率小于某個閾值，則指示為異常行為。在早期的IDS中得到了很多應用。簡單，無法檢測以更多的異常行為類型應用于IDES及其后續(xù)發(fā)展的NIDES等典型應用：TIM(基于時間的推理機)系統(tǒng)用于入侵檢測的統(tǒng)計模型—示例IDES采用入侵檢測向量：當前系統(tǒng)的活動狀態(tài)采用一組測量值參數變量來表示定義了3種不同類型的測量值：用戶主體、目標系統(tǒng)主體和遠程主機主體。4個類別的單獨測量值活動強度測量值審計記錄分布測量值類別測量值序數測量值Zhanglinlin補充：均值和標準偏差均值統(tǒng)計學術語，與“平均”（Average）意義相同表示一系列數據或統(tǒng)計總體的平均特征的值。例如：l、3、6，10、20這5個數的均值是8。Zhanglinlin補充：均值和標準偏差標準偏差(StdDev,StandardDeviation)統(tǒng)計學名詞。一種量度數據分布的分散程度之標準，用以衡量數據值偏離算術平均值的程度。標準偏差越小，這些值偏離平均值就越少，反之亦然。公式示例Zhanglinlin用于入侵檢測的統(tǒng)計模型—示例IDES用戶主體類型的測量值序數測量值類別測量值審計記錄分布測量值活動強度測量值ZhanglinlinCPU使用情況

I/O使用情況使用物理位置●郵件程序使用●編輯器使用●編譯器使用●外殼使用●窗口命令使用●通用程序使用●通用系統(tǒng)調用使用●文件活動●文件使用●所訪問用戶的ID號…對于以上的每個測量值，在審計記錄分布測量值中都有一個對應的類別。如：CPU測量的類型為：審計記錄指示CPU使用的增量大于0每分鐘的流量●每10分鐘的流量●每小時的流量對于用戶所生成的每一個審計記錄，IDES系統(tǒng)經計算生成一個單獨的測試統(tǒng)計值（IDES分數值，表示為T2），用來綜合表明最近用戶行為的異常程度。統(tǒng)計值T2本身是一個對多個測量值異常度的綜合評價。因而IDES很好地體現了模型2和3.ZhanglinlinContents審計數據的獲取1用于入侵檢測的統(tǒng)計模型2入侵檢測的專家系統(tǒng)3基于狀態(tài)轉移的入侵檢測技術4Zhanglinlin入侵檢測的專家系統(tǒng)什么是專家系統(tǒng)根據人們在某一領域內的知識、經驗和技術而建立的解決問題和做決策的計算機軟件系統(tǒng)，它能對復雜問題給出專家水平的結果。入侵檢測的專家系統(tǒng)根據人們在入侵檢測領域的知識、經驗和技術而建立的解決問題和做決策的計算機軟件系統(tǒng)，它能對復雜問題給出專家水平的結果。Zhanglinlin入侵檢測的專家系統(tǒng)在最早期的若干入侵檢測系統(tǒng)中就已經開始使用專家系統(tǒng)了。專家系統(tǒng)在知識庫的基礎上，根據所獲得的事實和已知的規(guī)則進行推導，并得出結論。好處:用戶無須了解具體系統(tǒng)內部的工作原理，只需要解決對問題的描述過程即可。不足：知識庫的構建是一個耗時費力的艱苦過程。專家系統(tǒng)只能基于明確的、可靠的規(guī)則得出結論，對于超出已有規(guī)則范圍的事實無法得出有用的結論Zhanglinlin入侵檢測的專家系統(tǒng)——STAT系統(tǒng)組成STAT系統(tǒng)的架構設計圖ZhanglinlinZhanglinlin規(guī)則事實推理引擎決策表預處理決策引擎入侵檢測的專家系統(tǒng)——STAT系統(tǒng)STAT系統(tǒng)的架構設計圖Zhanglinlin入侵檢測的專家系統(tǒng)—示例（PBEST）規(guī)則翻譯器pbcc接收一組規(guī)則（rule）和事實（fact）的定義后，生成一組C語言的例程，用來“斷言”（assert）事實和處理規(guī)則運行時例程庫包含了所有專家系統(tǒng)中的共享代碼，并且包括支持交互式專家系統(tǒng)引擎的例程。這些交互式的環(huán)境能夠幫助用戶查看程序的運行情況、設置和清除斷點、刪除和“斷言”事實以及觀察規(guī)則點火的影響軌跡等垃圾收集例程刪去不必要的事實，以節(jié)省內存Zhanglinlin入侵檢測的專家系統(tǒng)—示例（PBEST）構建用于入侵檢測的專家系統(tǒng)的步驟S1用戶必須定義模式類型（ptype）和規(guī)則，用于構建專家系統(tǒng)的知識庫S2設計一套用于與外部進行交互的接口機制，用于從外部獲取信息和向外部發(fā)送信息。Zhanglinlin入侵檢測的專家系統(tǒng)—示例（PBEST）模式類型示例ptype[countvalue:int]目的：建立一個關于事實的模式（pattern）或模板（template）。語法：ptype[countvalue:int]Zhanglinlin關鍵字事實類型變量名及類型入侵檢測的專家系統(tǒng)—示例（PBEST）模式類型示例二，包含多個字段的模式類型ptypeZhanglinlinptype[sessionuserid:string,terminal:string,timeoutflag:int]規(guī)則與事實引用特定事實，用于檢查特定類型的事實示例[+sessiontimeoutflag==1]存在性量詞檢查session類型的事實，其timeoutflag字段值是否為1PBEST規(guī)則組成語法Zhanglinlinrule[SimuLogon(#l;*):[+tr:transaction][+se:session|userid==tr.userid][?|se.terminal!=tr.terminal]==>[!|printf(SimuLogon:user%satterminals%s,%s\\n,tr.userid,tr.terminal,se.terminal)][–|tr][–|se]]關鍵字名稱區(qū)優(yōu)先級重復點火前提分隔符結論入侵檢測的專家系統(tǒng)—示例（PBEST）構建用于入侵檢測的專家系統(tǒng)的步驟S1用戶必須定義模式類型（ptype）和規(guī)則，用于構建專家系統(tǒng)的知識庫S2設計一套用于與外部進行交互的接口機制，用于從外部獲取信息和向外部發(fā)送信息，并將其作為新事實加入到知識庫中的主要辦法ZhanglinlinPBEST構建一個輸入接口的必要步驟S1為用戶所需要加入到知識庫中的事實做出對應的ptype類型聲明。S2編寫一個C語言函數，來調用正確的assert_〈ptypename〉()函數。將事實加入到知識庫中S3編寫一條規(guī)則，在其前提或者結論語句中加入對此C語言函數的調用。ZhanglinlinPBEST接口之step1Zhanglinlinptype[transactiondbid:string,cpuid:string,repdate:string,reptime:string,recdate:string,rectime:string,day:string,week:string,recordtype:string,jobname:string,userarea:string,usertype:string,userid:string,altuserid:string,terminal:string,logon:string,program:string,idesfile:string,command:string,

response:string,duration:string,enqueue:string]PBEST接口之step2Zhanglinlinassert_transaction(dbid,cpuid,repdate,reptime,recdate,rectime,day,week,recordtype,jobname,userarea,usertype,userid,altuserid,terminal,logon,program,idesfile,command,response,duration,enqueue,);return(GOOD_DATA);}PBEST接口之step3Zhanglinlin″Thisrulereadsdataintotheknowledgebaseusingthe″get_fact_record()routine.Ithasaverylow″prioritysoitdoesn’taddnewfactsuntiltheoldones″havebeenprocessed.rule[get_fact_record_data(#–99;*):[?|′retval!=′END_OF_FILE][+c:count]==>[/c|value+=1][!|retval=get_fact_record()]]PBESTZhanglinlinintget_fact_record(){inti,reader();/*Readarecordfromthefileintothebufferstrings.*/i=reader(infp,(structiovec*)iov1,26);if(i<1)if(i==-1){fprintf(stderr,Problemwithdatafile,error%d\\n,errno);return(NO_DATA);}ZhanglinlinContents審計數據的獲取1用于入侵檢測的統(tǒng)計模型2入侵檢測的專家系統(tǒng)3基于狀態(tài)轉移的入侵檢測技術4基于狀態(tài)轉移分析的入侵檢測模型歷史及版本歷史最初的明確概念是在20世紀90年代初由美國加州大學圣巴巴拉分校的Porras和Ilgun提出并實現的Purdue大學的S.Kumar于1995年提出，稱為基于有色Petri網（CP-Net）的模式匹配檢測模型。版本USTAT:在UNIX環(huán)境下NSTAT:網絡環(huán)境的多主機檢測NetSTAT：最新一代，脫離了單純進行主機入侵檢測的結構，實現了分布式的入侵檢測架構。實現該檢測模型的原型系統(tǒng)稱為IDIOT系統(tǒng)。Zhanglinlin基于狀態(tài)轉移分析的檢測模型，將攻擊者的入侵行為描繪為一系列的特征操作及其所引起的一系列系統(tǒng)狀態(tài)轉換過程，從而使得目標系統(tǒng)從初始狀態(tài)轉移到攻擊者所期望的危害狀態(tài)?；跔顟B(tài)轉移分析的入侵檢測模型思想采用“狀態(tài)轉移圖”來表示一個具體的入侵攻擊過程示例STAT狀態(tài)轉移圖和目標系統(tǒng)審計記錄的基礎上，不斷跟蹤攻擊者在完成整個攻擊過程中所必須完成的每個關鍵步驟優(yōu)點更直觀更細微更強大（可檢測到協(xié)同攻擊）Zhanglinlin

缺點：STAT屬于基于規(guī)則分析的濫用入侵檢測系統(tǒng)，因此只能檢測到已知的攻擊類型狀態(tài)轉移圖來表示具體的攻擊行為狀態(tài)轉移圖兩個基本組件狀態(tài)轉移圖的示意Zhanglinlin狀態(tài)轉移圖通常包括一個初始狀態(tài)、一個最終狀態(tài)以及若干攻擊行為步驟，及其引起的若干中間狀態(tài)。每個狀態(tài)結點，都對應著一組狀態(tài)斷言。當滿足該組斷言后，本次從上個狀態(tài)到本狀態(tài)的轉移過程才成功發(fā)生。狀態(tài)圖的構建只選取那些最能代表攻擊過程并同時引起系統(tǒng)狀態(tài)改變的關鍵操作。即，找到狀態(tài)和引起狀態(tài)發(fā)生變化的斷言說明：對于每個具體的攻擊行為，都可能存在不同的狀態(tài)轉移圖的表示方法。示例Zhanglinlin%lntarget-x%-x攻擊者對屬主為root且具有setuid特性的shell腳本target，創(chuàng)建一個硬連接（hard-link）文件，該連接文件的名稱以字符‘-’開頭。攻擊者執(zhí)行該連接文件“-x”。狀態(tài)圖的構建S1確定關鍵行為操作用戶創(chuàng)建一個文件執(zhí)行這個文件S2確定這些關鍵操作所引起的狀態(tài)變化從初始狀態(tài)和最終狀態(tài)入手分析中間狀態(tài)Zhanglinlin構建狀態(tài)轉移圖的步驟：①分析具體的攻擊行為，理解內在機理。②確定攻擊過程中的關鍵行為點。③確定初始狀態(tài)和最終狀態(tài)。④從最終狀態(tài)出發(fā)，逐步確定所需的各個中間狀態(tài)及其應該滿足的狀態(tài)斷言組。STAT系統(tǒng)的實現STAT系統(tǒng)設計圖中，規(guī)則庫中的狀態(tài)描述表和特征操作表是系統(tǒng)設計的核心內容之一狀態(tài)描述表狀態(tài)斷言組示例ZhanglinlinSDTnState-list1.State-list2.…#STATEDESCRIPTIONTABLE#FOR#USTAT###Unauthorizedaccesstouserprivileges#StateDescription-1#SD1:name(file1)=″-*″¬owner(file1)=USER&permitted(SUID,file1)&shell_script(file1)&permitted(XGRP,file1)|permitted(XOTH,file1).noteuid=USER.#STAT系統(tǒng)的實現STAT系統(tǒng)設計圖中，規(guī)則庫中的狀態(tài)描述表和特征操作表是系統(tǒng)設計的核心內容之一特征操作表特征活動表示例ZhanglinlinSIGn:Action1;Action2;…#SIGNATUREACTIONSTABLE#for#USTAT##Unauthorizedaccesstouserprivileges#SignatureActions-1#SIG1:hardlink(file1,file2).execute(file1).##Unauthorizedaccesstouserprivileges#SignatureActions-2#SIG2:modify_perm(file1).#STAT系統(tǒng)的實現STAT檢測引擎工作的基本原理STAT系統(tǒng)中引入“推理引擎表”來可視化表述推理引擎的工作原理Zhanglinlin每行都對應著某個具體攻擊過程的活動實例每行對應著某個狀態(tài)轉移圖的表現實例。每列則代表著攻擊過程的某個具體步驟，指示著本次攻擊實例的完成程度當推理引擎工作時，每次接收到一個新審計記錄后，將首先判斷當前哪個狀態(tài)轉移圖的實例匹配當前的特征操作和轉移狀態(tài)，在表中找到該行后，將復制一個新行并加入到現有的推理引擎表中，并在對應的表格單元處進行標注STAT系統(tǒng)的實現STAT檢測引擎工作的基本原理推理引擎表示例假定前例狀態(tài)轉移圖，對應著狀態(tài)描述表中的第h項，記為SDTh初始的推理引擎表ZhanglinlinSTAT系統(tǒng)的實現攻擊過程的關鍵步驟用戶A創(chuàng)建文件file1ZhanglinlinSTAT系統(tǒng)的實現攻擊過程的關鍵步驟用戶A創(chuàng)建文件file1用戶B執(zhí)行文件file2ZhanglinlinSTAT系統(tǒng)的實現攻擊過程的關鍵步驟用戶A創(chuàng)建文件file1用戶B執(zhí)行文件file2用戶B讀取文件file2ZhanglinlinZhanglinlinContents審計數據的獲取1用于入侵檢測的統(tǒng)計模型2入侵檢測的專家系統(tǒng)3基于狀態(tài)轉移的入侵檢測技術4文件完整性檢查檢查文件系統(tǒng)完整性的必要性Zhanglinlin目的是檢查主機系統(tǒng)中文件系統(tǒng)的完整性，及時發(fā)現潛在的針對文件系統(tǒng)的無意或惡意的更改。為了抹去攻擊活動的痕跡，攻擊者還可能刪除若干重要系統(tǒng)日志文件中的審計記錄攻擊者還可能安裝非授權的特定程序，并且替換掉特定的系統(tǒng)程序，以掩蓋非授權程序的存在攻擊者在入侵成功后，經常在文件系統(tǒng)中安裝后門或者木馬程序，以方便后繼的攻擊活動。后門特定程序抹去痕跡為了達成拒絕服務攻擊目的或者破壞目的，惡意修改若干重要服務程序的配置文件或者數據庫數據惡意修改第73頁共49頁

對所要檢查的每個目標文件生成一個惟一標識符，并將它們存儲到一個數據庫中進行檢查時，對每個目標文件重新生成新的標識符，并將新標識符與數據庫中存儲的舊版本進行比較其次

可以確定目標文件是否發(fā)生了更改。最后基本思想文件完整性檢查首先文件完整性檢查的最初實現技術包括“檢查列表”（checklist）技術文件完整性檢查ZhanglinlinG.Kim設計開發(fā)了TripWire的系統(tǒng)原型，是文件完整性檢查領域內最著名的工具軟件。使用單向消息摘要算法，計算每個目標文件的校驗和特征信息，然后將其存儲到可靠的安全存儲介質上（只讀光盤等）；系統(tǒng)定時地計算目標文件的校驗和特征，并與預先存儲的特征信息進行比較，如果出現了差異，則向系統(tǒng)管理員發(fā)出報告信息?；舅悸稵ripWire的系統(tǒng)設計模塊示意圖系統(tǒng)配置分析技術Zhanglinlin檢查系統(tǒng)是否已經受到入侵活動的侵害，或者存在有可能被入侵的危險。技術目標通過檢查系統(tǒng)的當前配置情況，來判斷系統(tǒng)的當前安全狀況。基本原理①一次成功的入侵活動可能會在系統(tǒng)中留下痕跡，這可以通過檢查系統(tǒng)當前的狀態(tài)來發(fā)現；②系統(tǒng)管理員和用戶經常會錯誤地配置系統(tǒng)，從而給攻擊者以入侵的可乘之機。為什么需要該技術COPS系統(tǒng)（ComputerOracleandPasswordSystem）著名實現工具系統(tǒng)配置分析技術—COPS系統(tǒng)COPS系統(tǒng)安全范圍包括檢查文件、目錄和設備的訪問權限模式。脆弱的口令設置。是否具有匿名FTP登錄服務賬戶各種類型的根權限檢查檢查關鍵文件是否已經及時進行了升級或打上了補丁…ZhanglinlinCOPS功能強大檢查系統(tǒng)的安全漏洞并以郵件或文件的形式報告給用戶；以普通用戶的身份運行，進行一些常規(guī)檢查…COPS的檢查方法為以后的許多系統(tǒng)安全掃描商業(yè)軟件所借鑒。COPS系統(tǒng)負責報告所發(fā)現的安全問題，但是并不試圖修復安全漏洞，這點與基本的入侵檢測系統(tǒng)的設計理念相符合。本章小結審計數據的獲取IDES,STAT用于入侵檢測的統(tǒng)計模型IDES入侵檢測的專家系