0入侵檢測技術分析北京信息科技大學劉凱liukai@第7講1入侵檢測技術分析

第五章基于主機的入侵檢測技術2課程安排

入侵檢測概述

5學時入侵檢測技術分類3學時基于主機的入侵檢測技術

2學時基于網絡的入侵檢測技術

3學時混合型的入侵檢測技術

2學時先進的入侵檢測技術

3學時分布式入侵檢測架構

3學時設計考慮及響應問題

2學時入侵檢測系統的評估與測試

3學時Snort分析

4學時入侵檢測技術的發展趨勢

2學時3教材及參考書《入侵檢測技術》唐正軍等清華大學出版社

《入侵檢測技術》曹元大人民郵電出版社

《入侵檢測》羅守山北京郵電大學出版社4第五章基于主機的入侵檢測技術

審計數據的獲取

審計數據的預處理基于統計模型的入侵檢測技術基于專家系統的入侵檢測技術基于狀態轉移分析的入侵檢測技術

基于完整性檢查的入侵檢測技術基于智能體的入侵檢測技術系統配置分析技術檢測實例分析5上一章回顧

審計數據的獲取和預處理基于統計模型的入侵檢測技術基于專家系統的入侵檢測模型基于狀態轉移分析的入侵檢測技術65.6基于完整性檢查的入侵檢測技術

通常入侵者入侵時都會對一些文件進行改動，因此采用對文件系統進行完整性檢驗的入侵檢測方式能夠檢測出對文件內容的非法更改，從而可判定入侵，與其他檢測技術相結合將增強現有的入侵檢測能力。文件完整性檢驗根據用戶定制的配置文件對需要校驗的文件系統內容進行散列計算，將生成的散列值與文件完整性數據庫中存儲的預先計算好的文件內容的散列值進行比較。不一致則說明文件被非法更改，并可判定發生入侵。75.6基于完整性檢查的入侵檢測技術

5.6.1文件完整性校驗

文件備份主機B上存儲了主機A上的文件系統的備份。主機B上的文件完整性數據庫存儲的是需要被檢測的文件的各種inode屬性值和文件內容的散列值。檢測時主機A首先與文件備份主機B認證，然后對A上的配置文件和預先生成的文件完整性數據庫的內容分別進行散列計算，將生成的散列值傳輸給B進行校驗。如果該散列值與B上存儲的值不一致，則B將存儲的配置文件和文件完整性數據庫的備份加密傳輸給A，進行文件恢復，然后再進行完整性校驗。85.6基于完整性檢查的入侵檢測技術

5.6.2散列算法和計算速度常用的散列算法有MD5，CRC16，CRC32，Snefru，MD4，MD2，SHA和Haval等。散列算法通常實現了將任意長度的消息m壓縮成一固定長度的散列值h，通過對散列值的校驗能檢測到對消息m的篡改、抵賴或偽造。它有下列特性。（1）易用性：對任意長度的m，計算h=H（m）很容易。（2）單向性：給定h，計算m，使得m=F（h）很困難。（3）無碰撞性：給定m，要找到另一個消息m’，滿足H（m’）=H（m）很困難，這就保證了對原文有改動，但很難使文件內容的散列值保持不變。95.6基于完整性檢查的入侵檢測技術

5.6.3基于文件完整性檢驗的檢測技術的檢測能力

只有對文件進行非法修改后,該方法才能發揮作用.

通常無法用當前日志文件內容的散列值來判定是否被非法更改.

對于利用網絡協議的脆弱性對網絡服務質量的攻擊,該方法無能為力.

該技術不具備對入侵檢測行為的實時性由于大部分入侵系統都會對文件系統進行非法修改,它的作用不容忽視.

105.6基于完整性檢查的入侵檢測技術

5.6.4基于文件完整性檢驗的檢測技術的工具

G.Kim設計開發了TripWire的系統原型，并發展成為文件完整性檢查領域內最著名的工具軟件.115.6基于完整性檢查的入侵檢測技術

5.6.4基于文件完整性檢驗的檢測技術的工具

Tripwire的組成：Tripwire主要由策略和數據庫組成。策略不僅指出Tripwire應檢測的對象即文件和目錄，而且還規定了用于鑒定違規行為的規則。數據庫則用來存放策略中規定的檢測對象的快照。除了策略和數據庫外，Tripwire還有一個配置文件，用以控制數據庫、策略文件和Tripwire可執行程序的位置等。

為了防止被篡改，Tripwire對其自身的一些重要文件進行了加密和簽名處理。這里涉及到兩個密鑰：site密鑰和local密鑰。125.7基于智能體的入侵檢測技術5.7.1智能體的定義和特點

智能體又稱智能代理，是人工智能研究的新成果，它是在用戶沒有明確具體要求的情況下，根據用戶需要，能自動執行用戶委托的任務的計算實體。像郵件過濾智能體、信息獲取智能體、桌面自動智能體等，將使Web站點、應用程序更加智能化和實用化。從技術的角度看，智能體是由各種技術支撐著的、許多實用的應用特性的集合，開發者正是使用這些應用特性來擴展應用的功能和價值，從而達到應用能自動執行用戶委托的任務的目的。135.7基于智能體的入侵檢測技術5.7.2智能體的定義和特點（1）智能性（2）代理性（3）移動性（4）主動性（5）協作性145.7基于智能體的入侵檢測技術

5.7.3基于智能體的入侵檢測技術采用智能體采集和分析數據有以下主要特點。（1）因為智能體是獨立的運行實體，因此，不需改變其他的組件，即可向系統中增加或從系統中移走智能體。（2）如果一個智能體由于某種原因（如下線維護）而停止了工作，損失只局限在有限的范圍內，不會造成整個系統的癱瘓，這就保證了系統的連續運行。（3）如果將智能體以分級結構的形式組織起來，可以使得系統的可伸縮性更好。（4）系統開銷小、智能體的編程可以很靈活。（5）自主智能體采集數據的方法很靈活.155.7基于智能體的入侵檢測技術

5.7.3基于智能體的入侵檢測系統的典型結構

165.8系統配置分析技術

系統配置分析（又可稱為靜態分析）的技術目標是檢查系統是否已經受到入侵活動的侵害，或者存在有可能被入侵的危險。靜態分析技術通過檢查系統的當前配置情況，例如，系統文件的內容以及相關的數據表等，來判斷系統的當前安全狀況。之所以稱為“靜態”分析，是因為該技術只檢查系統的靜態特性，并不分析系統的活動情況。175.8系統配置分析技術

配置分析技術的基本原理是基于如下兩個觀點：（1）一次成功的入侵活動可能會在系統中留下痕跡，這可以通過檢查系統當前的狀態來發現。（2）系統管理員和用戶經常會錯誤地配置系統，從而給攻擊者以入侵的可乘之機。185.8系統配置分析技術系統配置分析技術的一個最著名的實現工具是COPS系統。COPS系統所檢查的系統安全范圍包括如下類型：

⑴檢查文件、目錄和設備的訪問權限模式。⑵脆弱的口令設置。⑶檢查口令文件和組用戶文件的安全性、格式和內容。⑷檢查在/etc/rc*目錄和cron中指定運行的文件和程序。⑸具有rootSUID屬性的文件，檢查它們是否可寫，以及是否腳本程序。195.8系統配置分析技術系統配置分析技術的一個最著名的實現工具是COPS系統。COPS系統所檢查的系統安全范圍包括如下類型：

⑹對重要的二進制文件和其他文件計算CRC校驗和，檢查是否發生更改。⑺檢查用戶主目錄下文件是否可寫。⑻是否具有匿名FTP登錄服務賬戶。⑼是否存在TFTP服務、Sendmail中別名情況以及在inetd.conf文件中隱藏的啟動腳本程序等。

205.8系統配置分析技術系統配置分析技術的一個最著名的實現工具是COPS系統。COPS系統所檢查的系統安全范圍包括如下類型：

⑽各種類型的根權限檢查。⑾按照CERT安全報告的發布日期，檢查關鍵文件是否已經及時進行了升級或打上了補丁。

COPS系統負責報告所發現的安全問題，但是并不試圖修復安全漏洞，這點與基本的入侵檢測系統的設計理念相符合。215.9檢測實例分析

5.9.1入侵行為1及應對措施入侵行為通過發現信息的一系列操作,黑客執行端口掃描,注意到許多機器的135,139,389和445端口都是開放的.

檢測創建一個預設定流量的性能警報信息為網絡適配器建立一個任務欄圖標輸入命令netstat–ptcp-n225.9檢測實例分析

5.9.2入侵行為2及應對措施入侵行為試探帳號以圖登錄運行Whisker

檢測設置和檢查webservice-connectionattempts/sec

設置和檢查webservice-notfounderrors/sec

設置和檢查Server-Logon/sec

設置檢查Server-errorLogon235.9檢測實例分析

5.9.3入侵行為3及應對措施入侵行為若黑客發現網絡中一臺計算機的系統管理員口令為空,表明該系統剛剛安裝不久.黑客要做的第一件事是上傳木馬程序和運行狀況檢測程序.如nc.exe,lsadump2.exe,tlist.exe等檢測

打開任務管理器,會注意到cmd.exe和nc.exe使用explorer的查找功能,找到最新的生成文件

查看事件日志可以顯示攻擊者的計算機名稱輸入命令netstat–a–n可以找到與本地端口處于連接狀態的IP地址信息245.9檢測實例分析

5.9.4入侵行為4及應對措施

入侵行為黑客通過nc的遠程命令行對你的內部網絡計算機進行了掃描,發現了某文件服務器上的一個共享目錄PUBLIC,并將此共享目錄進行映射.

檢測在命令行中輸入命令:netview,可以觀察到對內部文件服務器的驅動器映射情況.255.9檢測實例分析

5.9.5小結

理論上只要堅持跟蹤以下信息,幾乎所有基于網絡的攻擊都能被檢測出來.

網絡上的擁擠程度和網絡連接情況

Web擁擠程度和”pagesnotfound”錯誤的發生次數成功及失敗的登錄嘗試對文件系統所進行的改變當前運行的應用程序和服務定時運行的應用程序或在啟動時運行的應用程序265.10免費產品OSSEC

5.10.1簡介

OSSEC屬于基于主機和應用的入侵檢測系統，通過監視企業重要服務器和各種應用以避免企業資源被攻擊、濫用和誤用。

OSSEC是一款開源的多平臺的入侵檢測系統，可以運行于Windows,Linux,OpenBSD/FreeBSD,以及MacOS等操作系統中

主要功能有日志分析、完整性檢查、rootkit檢測、基于時間的警報和主動響應。

275.10免費產品OSSEC

5.10.1簡介除了具有入侵檢測系統功能外，它還一般被用在SEM/SIM(安全事件管理(SEM：SecurityEventManagement)/安全信息管理(SIM：SecurityInformationManagement))解決方案中。因其強大的日志分析引擎，ISP(Internetserviceprovider)(網絡服務提供商)、大學和數據中心用其監控和分析他們的防火墻、入侵檢測系統、網頁服務和驗證等產生的日志。285.10免費產品OSSEC

5.10.2工作原理

(1)administrator是一個Unix和linux平臺下的命令行的用戶接口(GUI)，主要起管理維護作用，對OSSEC的大部分管理、配置工作都在這里進行。

(2)eventview。這是一個單獨的Unix、linux平臺下的圖形化用戶界面，用于查看從Agent中獲取的各種事件數據，也就是報警的窗口。

295.10免費產品OSSEC

5.10.2工作原理

(3)manager。是一個運行在后臺的應用軟件，Manager沒有圖形化界面，其主要功能是維護與所有注冊代理(Agent)的安全通訊;維護域的主列表和把相應的策略分發到每一個代理(Agent);

(4)主要起如下作用：監視時間收集器;在發現攻擊時，執行相應的動作如通知用戶、發送E-mail、通知管理員、終止會話、關閉機器等。

305.10免費產品OSSEC

5.10.4技術特點DROPanddetect技術監視操作系統種類全面Administrator可以運行于Linux、BSD、SunSolaris;Manager可以運行于Linux、BSD、SunSolaris;Agent可以運行于Linux、BSD、SunSolaris、Windows等。防火墻聯動日志管理

315.10免費產品OSSEC5.10.5在Solaris服務器下配置ossec-hids-1.5系統要求：首先必須配置好C編譯器和make工具.硬件方面根據監控主機的數量不同有所不同.有三種安裝選項:服務器端安裝(server),代理端(agent)或本地安裝(local).如果選擇'服務器端安裝(server)',您將可以分析所有日志,發送e-mail告警及聯動，接收遠端機器的syslog日志,接收代理端發回的日志(代理端發回的日志是經過加密的).

325.10免費產品OSSEC5.10.5在Solaris服務器下配置ossec-hids-1.5如果您選擇'代理端安裝(agent)',您將可以讀取本機文件(syslog,snort,apache等)并將它們發送給服務器端(加密過后)進行分析.如果選擇'本地安裝(local)',除了不能接收遠程機器或代理端發回的信息外,你可以作服務器(server)安裝能做的任何事情。

335.10免費產品OSSEC5.10.5在Solaris服務器下配置ossec-hids-1.5如果您希望安裝一個日志分析服務器,請選擇'server'.如果您已經有一臺日志分析服務器并且希望將本機的日志傳送給它,請選擇‘agent’.(這是web服務器,數據庫服務器等的理想配置方法)，如果您只有一臺機器要監控,那么請選擇'local'。

34小結

基于完整性檢查的入侵檢測技術基于智能體入侵檢測技術系統配置分析技術檢測實例●——重要知識點35思考題

基于主機的數據源主要有哪些?

獲取審計數據后,為什么要對這