基于主机的信息源主要包括操作系统审计迹-Read.pptVIP

入侵检测 易 卫 E-mail: hnyiwei@126.com 2008.2.10 第四章 入侵检测的信息源 信息源是指可以用于分析和处理的原始数据或中间数据。在入侵检测系统中信息源是指可供入侵检测系统处理的各种原始数据，这主要包括主机系统中的各类数据和网络中传输的数据包。 全面了解入侵检测中使用的信息源，了解获取数据源的方法和途径，对于设计高效的入侵检测系统，提高系统的检测准确率，对于读者全面认识入侵检测系统的功能，都具有重要的意义。 4.1 概　　述(1) 早期的入侵检测系统都是基于主机的，但随着网络技术的不断发展，网络遭受的攻击越来越多，基于主机的入侵检测系统难以完成入侵检测任务。因此，基于网络的入侵检测系统被人们提出，并得到了很快发展，现在基于网络的入侵检测系统已经成为主流，是入侵检测的主要研究方向和应用方向。 基于主机的IDS: 分析来自单个的计算机系统的系统审计迹(Operating System Audit Trail)和系统日志来检测攻击，它主要是用来保护网络中比较重要的主机。 操作系统审计迹一般是由操作系统的内核产生，它比系统日志保护得更好，更加详细。系统日志则比较简单明了，比较容易理解。 基于主机的IDS分析的信息来自于单个的计算机系统，因此视野比较集中，这个优点使得它能够相对精确、相对可靠地分析入侵活动，确定是否存在针对某台主机的攻击，是谁进行的攻击。 主要缺点是：它会占用主机的资源，在服务器上产生额外的负载；缺乏平台支持，可移植性差，因而应用范围受到严重限制. 4.1 概　　述(2) 基于网络的IDS在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。它们在关键的网段或交换部位侦听，一般监控流经该网段多个主机的网络通信流量. 优点：基于网络的IDS可以配置在专门的机器上，不会占用被保护的设备上的任何资源，对系统资源的占用比较少，本身的抗攻击性比较好，可以实施实时的网络监视。它检测速度快，视野更宽，可做到与操作系统无关。 基于网络的入侵检测系统的主要缺点是：只能监视本网段的活动，比较容易受网络流量的影响，对入侵的检测能力相对较差，误报和漏报比较多，精确度不高；在交换环境下难以配置；防入侵欺骗的能力较差；难以定位入侵者。 4.1 概　　述(3) 基于网络为了发挥基于主机的IDS和基于网络的IDS的长处，弥补它们本身的局限性，现在有的入侵检测系统把二者混合起来使用，即入侵检测系统既有主机检测功能，又有网络检测功能，我们称之为混合型入侵检测系统。如图：按照信息源的不同分类： 4.1 概　　述(4) 信息源分为如下三个层次，如图4.2所示。 4.1 概　　述(5) 最下网络层，处理所有的TCP/IP或SMB传输。在这一层，需要查找的有用数据包括可能出现在网络数据包报头域中的任何信息，主要有： IP地址 端口号 顺序号 协议类型 网络实体名，如SMB中的服务器名字 校验和 设置选项，如IP的源路由等。 以上是在检测网络攻击是要检查的域，然而在这一级上许多事件如登录失败、文件删除是很难发现的。网络层自身还可以进一步细分为许多分层部件。 4.1 概　　述(6) 中间一层是操作系统，它可以为所有不直接负责处理网络层信息的部件。这一层的部件有命令、库、备份程序、登录程序以及其他核心子系统。系统的许多功能是由操作系统完成的，操作系统对于一些系统的行为也进行了详细的记录，这些记录对于检测攻击很有帮助。 最上层是应用层，包括所有的应用产品，这些应用产品也往往会记录产品运行过程中的一些事件，其中的攻击事件也可能被记录在案。因此，这些应用产品的日志记录也可以作为入侵检测的数据源。 4.2 基于主机的信息源(1) 在入侵检测技术的发展历史中，最早采用的用于入侵检测任务的输入数据源就是操作系统的审计记录。操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的，其目的是记录当前系统的活动信息，并将这些信息按照时间顺序组织成为一个或多个审计文件。 不同的系统在审计事件的选择、审计记录的选择和内容组织等诸多方面都存在着兼容性的问题。另外一个存在的问题是，操作系统审计机制的设计和开发的初始目标，并不是为了满足后来才出现的入侵检测技术的需求目的。 4.2 基于主机的信息源(1) 操作系统审计记录被认为是基于主机入侵检测技术的首选数据源： ⑴ 操作系统的审计系统在设计时，就考虑了审计记录的结构化组织工作以及对审计记录内容的保护机制，因此操作系统审计记录的安全性得到了较好的保护。 ⑵ 操作系统审计记录提供了在系统内核级的事件发生情况，反映的是系统底层的活动情况并提供了相关的详尽信息，为发现潜在的异常行为特征奠定了良