返回
入侵检测技术第3章

入侵检测技术第3章

ID:37501280

大小:276.10 KB

页数:44页

时间:2019-05-11

入侵检测技术第3章_第1页
入侵检测技术第3章_第2页
入侵检测技术第3章_第3页
入侵检测技术第3章_第4页
入侵检测技术第3章_第5页
资源描述:

《入侵检测技术第3章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、3.1入侵检测的信息源3.2分类方法3.3具体的入侵检测系统第3章入侵检测技术的分类对于入侵检测系统而言,输入数据的选择是首先需要解决的问题:⑴入侵检测的输出结果,首先取决于所能获得的输入数据的数量和质量。⑵具体采用的入侵检测技术类型,也常常因为所选择的输入数据的类型不同而各不相同。3.1入侵检测的信息源在入侵检测技术的发展历史中,最早采用的用于入侵检测任务的输入数据源就是操作系统的审计记录。操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的,其目的是记录当前系统的活动信息,并将这些信息按照时间顺序组织成为一个或多个审计文件。不同的系统在审计事件的选择、审计记录

2、的选择和内容组织等诸多方面都存在着兼容性的问题。另外一个存在的问题是,操作系统审计机制的设计和开发的初始目标,并不是为了满足后来才出现的入侵检测技术的需求目的。3.1.1操作系统的审计记录操作系统审计记录被认为是基于主机入侵检测技术的首选数据源:⑴操作系统的审计系统在设计时,就考虑了审计记录的结构化组织工作以及对审计记录内容的保护机制,因此操作系统审计记录的安全性得到了较好的保护。⑵操作系统审计记录提供了在系统内核级的事件发生情况,反映的是系统底层的活动情况并提供了相关的详尽信息,为发现潜在的异常行为特征奠定了良好的基础。下面分别介绍两种流行的操作系统SunSolaris和

3、Windows2000的审计系统机制及审计记录格式。1.SunSolarisBSMSun公司的Solaris操作系统是目前流行的服务器UNIX操作系统,其中包含的BSM安全模块使得Solaris系统满足TCSEC标准的C2级审计功能要求。BSM安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等,其中审计日志由一个或多个审计文件组成,每个审计文件包含多个审计记录,而每个审计记录则由一组审计令牌(audittoken)构成。图3-1所示为BSM审计记录的格式。每个审计令牌包括若干字段,如图3-2所示。图3-1BSM审计记录格式Header*Process*[A

4、rgumnet]*[Attribute]*[Data][In_addr][Ip][Ipc_perm][Ipc][Iport][Path]*[Text][Groups][Opaque][Return]*[Trailer]首令牌字段审计进程信息系统调用参数信息属性信息当前根目录、工作目录及其绝对路径请求(系统调用)返回值图3-2BSM审计令牌格式HeaderTokentokenIDrecordsizeeventtype*timeofqueue*ProcessTokentokenIDauditID*userID*fealuserIDrealgroupID*processID*Ar

5、gumentTokentokenIDargumentIDargumentvalue*stringlengthtextReturnTokentokenIDusererrorreturnvalue*TrailerTokentokenIDmagicnumberrecordsizePathTokentokenIDsizeofrootcurrentrootsizeofdircurrentdirsizeofpathpathargument*AttributeTokentokenIDvnodemode*vnodeuid*vnodegid*vnodefsid*vnodenodeid*vno

6、derdev*每个BSM审计记录都揭示了一次审计事件(auditevent)的发生。BSM审计机制中定义了若干审计事件类型,而通常的入侵检测系统仅使用了其中部分事件类型,其他则丢弃。不同的审计事件类型所生成的审计记录,都会包含不同的审计令牌组合。一般而言,Header、Process、Return和Trailer令牌字段是固定字段。BSM审计记录以二进制的形式进行存储,其字段结构和数据结构大小都实现了预先定义,从而提供了在不同平台系统间进行移植的兼容性。2.Windows2000Windows2000以事件日志机制形式提供数据源,使用事件查看器进行查看和管理。可以根据事件的

7、日志记录来识别和跟踪安全性事件、资源使用情况,以及系统和应用程序中发生的错误等。Windows2000事件日志机制收集3种类型的系统事件:应用程序日志、安全日志和系统日志,如图3-3所示。右击某个记录,在“属性”中可以看到关于此记录的详细说明。记录本身又分为几种情况:“错误”是指比较严重的问题,通常是出现了数据丢失或功能丢失;“警告”则表明情况暂时不严重,但可能会在将来引起错误,比如磁盘空间太小等;“信息”是记录运行成功的事件。图3-3Windows2000事件查看器①应用程序日志记载应用程序运行方面的错误。②安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。