返回
基于存储器的入侵检测系统

基于存储器的入侵检测系统

ID:13266110

大小:102.00 KB

页数:7页

时间:2018-07-21

基于存储器的入侵检测系统_第1页
基于存储器的入侵检测系统_第2页
基于存储器的入侵检测系统_第3页
基于存储器的入侵检测系统_第4页
基于存储器的入侵检测系统_第5页
资源描述:

《基于存储器的入侵检测系统》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、基于存储器的入侵检测系统基于存储器的入侵检测系统,是存储器系统对其数据修改进行监测以检测可疑行为,主要是监视系统入侵的数据修改特征。这种技术可以用来让存储器系统跟踪一些常见的入侵行为,如加后门程序,加特洛伊木马,篡改审计日志等。更进一步的话,即使在客户机器已经受到危害好后,存储器中嵌入的入侵检测系统仍然可以继续工作。这篇文章描述了入侵时存储接口上可以见到的一系列特定的警告标志。作者使用18种真实的入侵工具表明了大部分可以在其对存储文件修改时被检测出来,还提出并评估了一种存储器入侵检测系统的原型,将其置于NFS服务器中进行测试。以往的入侵检测系统可归纳为两种:基于网

2、络的或基于主机的【1】。网络入侵检测系统实际上是嵌入在防火墙或嗅探器中的,对来自可疑目标进行消息包的扫描,以监测可疑的消息包或攻击特征【2】。基于主机的入侵检测系统部分或全部嵌入到每个主机的操作系统中。它对本地信息进行检查,如系统调用【3】等,目的是检测入侵或可疑行为的特征。一些常见的入侵行为【4】在存储器接口上是可见的,因此基于存储器的入侵检测系统是很有用处的。这些行为包括对系统文件的操作(如安装后门程序或特洛伊木马等),篡改系统审计日子(常用于销毁入侵痕迹)。存储服务器对所以修改其持久化数据的改变都是清楚的,因此它可以监控任何可疑的修改并通知相应的客户系统。类

3、似网络入侵检测系统,存储入侵检测系统也必须与主机操作系统独立开来,这样在入侵者绕过主机操作系统层次的保护时不会被禁止掉。作者使用了16种”rootkits”和两种蠕虫病毒对存储器入侵检测系统进行了测试,结果发现15种迅速被存储器入侵检测系统给暴露了。这15种大部分都是因为修改系统二进制代码,往系统目录中增加文件,篡改系统日志文件,或使用可疑的文件名而被检测出来的。在这15种里面,三个对系统内核进行了修改以躲避基于主机的检测机制,包括文件系统完整性检测工具像Tripwire。但其要修改存储文件,就不能躲避开存储器设备的入侵检测。一个存储器入侵检测系统可以嵌入到许多种

4、类的存储器系统中。大部分的检测规则也需要文件系统级别对存储数据的了解,这就好比是网络入侵检测系统对于应用协议的理解。作者在一台NFS服务器上配置了一个存储器入侵检测系统来在线支持对可疑修改的基于规则的检测。这个存储器IDS支持四类可疑活动的检测。第一,它可以对重要系统文件和二进制代码的未预料的修改,这个使用的规则集与Tripwire的类似。第二,它可以检测到像非附加性修改(如对系统日志文件)的修改模式。第三,它可以检测对于关键文件禁止内容修改。第四,检测特定的文件名或内容(如知名的病毒或攻击工具)。并提供一个管理接口来提供检测规则,这些规则在每次NFS请求得到处理

5、时进行检查。当一个检测规则被激发时,服务器会给管理员发送一个包含被修改文件的全路径名,所违反的规则,以及违法的NFS操作的警告信息。基于存储器的入侵检测系统使存储器设备可以对于来自客户的服务请求进行检测以发现可疑行为。首先,存储设备与主机的操作系统独立,即使在受攻击时也可以继续进行入侵检测,而基于主机的IDS却可能被入侵者给禁止掉。其次,由于大部分计算机系统的操作依赖于永久性的存储,许多入侵动作都会产生能被捕获和分析的存储活动。存储器IDS主要关注攻击者在一个受控计算环境中对主机系统的攻击带来的威胁。这意味着攻击者对主机软件系统进行攻击,尝试获得OS级别特权来在主

6、机上执行任意软件,这可以通过技术手段(如寻找软件漏洞或松懈的系统安全策略)或非技术手段(如行贿)来实现。一旦攻击发生,大部分管理员希望能尽快检测到攻击并解决它。而攻击者则希望隐藏自己并保持其对系统的访问。不幸的是,一旦攻击者攻击了一台机器,传统的入侵检测机制将会变得很困难。基于主机的IDS可能被攻击软件禁止掉或者喂给虚假信息,从而失去效用。网络IDS可以继续寻找可疑行为,但要找到一个已经成功入侵的攻击者会很困难,因为大部分网络入侵检测系统只是对攻击和入侵的尝试进行检测,而不对已存在的入侵者对系统的使用进行检测。存储器IDS可以在这方面提供帮助。上述威胁模型的一个关

7、键特性是攻击者对主机拥有软件控制,但对其硬件却没有控制,而且假设存储设备和管理员控制台都未被攻击。即使客户的操作系统被攻击了,存储器IDS仍然可以继续对可疑活动进行监视。存储器设备在不同硬件上运行不同的软件,这使得服务器端嵌入的安全功能不会被任何运行在客户系统上的软件(包括操作系统内核)给禁止掉.更进一步,存储器设备一般网络接口很少(例如,RPC+SNMP+HTTP或只有SCSI)并且没有本地用户。因此,攻击一个存储服务器比攻击一个客户端系统要困难的多。当然,这样的服务器对于系统活动的视角有限,因此它们无法区别合法用户和冒充者。但是,在物理存储接口背后,一个存储器

8、IDS可以

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。