第9讲：第五章-基于主机的入侵检测技术讲解

（3）如果将智能体以分级结构的形式组织起来， 可以使得系统的可伸缩性更好。
（4）系统开销小、智能体的编程可以很灵活。 （5）自主智能体采集数据的方法很灵活.
14
5.7 基于智能体的入侵检测技术
5.7.3 基于智能体的入侵检测系统的典型结构

15
5.8 系统配置分析技术
系统配置分析（又可称为静态分析）的技术目 标是检查系统是否已经受到入侵活动的侵害， 或者存在有可能被入侵的危险。静态分析技术 通过检查系统的当前配置情况，例如，系统文 件的内容以及相关的数据表等，来判断系统的 当前安全状况。之所以称为“静态”分析，是 因为该技术只检查系统的静态特性，并不分析 系统的活动情况。
以及在inetd.conf文件中隐藏的启动脚本程序 等。
19
5.8 系统配置分析技术
系统配置分析技术的一个最著名的实现工具是 COPS系统。 COPS系统所检查的系统安全范围 包括如下类型：
⑽ 各种类型的根权限检查。 ⑾按照CERT安全报告的发布日期，检查关键文
件是否已经及时进行了升级或打上了补丁。
检测
创建一个预设定流量的性能警报信息 为网络适配器建立一个任务栏图标 输入命令netstat –p tcp -n
21
5.9 检测实例分析
5.9.2 入侵行为2及应对措施
入侵行为
试探帐号以图登录 运行Whisker
检测
设置和检查web service-connection attempts/sec
入侵行为
黑客通过nc的远程命令行对你的内部网络计算机 进行了扫描,发现了某文件服务器上的一个共享 目录PUBLIC, 并将此共享目录进行映射.
检测
在命令行中输入命令:net view, 可以观察到对 内部文件服务器的驱动器映射情况.
24
5.9 检测实例分析
5.9.5 小结
理论上只要坚持跟踪以下信息, 几乎所有基于 网络的攻击都能被检测出来.
入侵检测技术分析
第9讲
北京信息科技大学
刘凯
liukai@
0
入侵检测技术分析
第五章 基于主机的入侵检测技术
1
课程安排
入侵检测概述
5学时
入侵检测技术分类
3学时
基于主机的入侵检测技术
2学时
基于网络的入侵检测技术
3学时
混合型的入侵检测技术
2学时
先进的入侵检测技术
3学时
分布式入侵检测架构
3学时
设计考虑及响应问题
2学时
入侵检测系统的评估与测试
3学时
Snort分析
4学时
入侵检测技术的发展趋势
2学时
2
教材及参考书
《入侵检测技术》唐正军等 清华大学出版社 《入侵检测技术》曹元大 人民邮电出版社 《入侵检测》罗守山 北京邮电大学出版社
(2) event view。这是一个单独的Unix、 linux平台下的图形化用户界面，用于查看从 Agent中获取的各种事件数据，也就是报警的窗 口。
28
5.10 免费产品OSSEC
5.10.2 工作原理
16
5.8 系统配置分析技术
配置分析技术的基本原理是基于如下两个观 点：
（1）一次成功的入侵活动可能会在系统中留 下痕迹，这可以通过检查系统当前的状态来发 现。
（2）系统管理员和用户经常会错误地配置系 统，从而给攻击者以入侵的可乘之机。
17
5.8 系统配置分析技术
系统配置分析技术的一个最著名的实现工具是 COPS系统。 COPS系统所检查的系统安全范围 包括如下类型：
从技术的角度看，智能体是由各种技术支撑 着的、许多实用的应用特性的集合，开发者正 是使用这些应用特性来扩展应用的功能和价值， 从而达到应用能自动执行用户委托的任务的目 的。
12
5.7 基于智能体的入侵检测技术
5.7.2 智能体的定义和特点
（1）智能性 （2）代理性 （3）移动性 （4）主动性 （5）协作性
网络上的拥挤程度和网络连接情况 Web拥挤程度和”pages not found”错误的发生
次数 成功及失败的登录尝试 对文件系统所进行的改变 当前运行的应用程序和服务 定时运行的应用程序或在启动时运行的应用程
序
25
5.10 免费产品OSSEC
5.10.1 简介
OSSEC属于基于主机和应用的入侵检测系统，通 过监视企业重要服务器和各种应用以避免企业 资源被攻击、滥用和误用。
11
5.7 基于智能体的入侵检测技术
5.7.1 智能体的定义和特点
智能体又称智能代理，是人工智能研究的新成 果，它是在用户没有明确具体要求的情况下， 根据用户需要，能自动执行用户委托的任务的 计算实体。像邮件过滤智能体、信息获取智能 体、桌面自动智能体等，将使Web站点、应用程 序更加智能化和实用化。
（1）易用性：对任意长度的m，计算h=H（m）很容 易。
（2）单向性：给定h，计算m，使得m=F（h）很困难。 （3）无碰撞性：给定m，要找到另一个消息m’，满足
H（m’）=H（m）很困难，这就保证了对原文有改动， 但很难使文件内容的散列值保持不变。
8
5.6 基于完整性检查的入侵检测技术
COPS系统负责报告所发现的安全问题，但是并 不试图修复安全漏洞，这点与基本的入侵检测 系统的设计理念相符合。
20
5.9 检测实例分析
5.9.1 入侵行为1及应对措施
入侵行为
通过发现信息的一系列操作, 黑客执行端口扫描, 注意到许多机器的135, 139,389和445端口都是 开放的.
因其强大的日志分析引擎，ISP(Internet service provider)(网络服务提供商)、大学和 数据中心用其监控和分析他们的防火墙、入侵 检测系统、网页服务和验证等产生的日志。
27
5.10 免费产品OSSEC
5.10.2 工作原理
(1) administrator 是一个Unix和linux平台 下的命令行的用户接口(GUI)，主要起管理维护 作用，对OSSEC的大部分管理、配置工作都在这 里进行。
⑴ 检查文件、目录和设备的访问权限模式。 ⑵ 脆弱的口令设置。 ⑶ 检查口令文件和组用户文件的安全性、格
式和内容。 ⑷检查在/etc/rc*目录和cron中指定运行的文
件和程序。 ⑸ 具有root SUID属性的文件，检查它们是否
可写，以及是否脚本程序。
18
5.8 系统配置分析技术
设置和检查web service-not found errors/sec
设置和检查Server-Logon/sec 设置检查Server-errorLogon
22
5.9 检测实例分析
5.9.3 入侵行为3及应对措施
入侵行为
若黑客发现网络中一台计算机的系统管理员口 令为空,表明该系统刚刚安装不久. 黑客要做的 第一件事是上传木马程序和运行状况检测程序. 如nc.exe, lsadump2.exe, tlist.exe等
Tripwire的组成 ：Tripwire主要由策略和数据库 组成。策略不仅指出Tripwire应检测的对象即 文件和目录，而且还规定了用于鉴定违规行为 的规则。数据库则用来存放策略中规定的检测 对象的快照。除了策略和数据库外，Tripwire 还有一个配置文件，用以控制数据库、策略文 件和Tripwire可执行程序的位置等。 为了防止被篡改，Tripwire对其自身的一些 重要文件进行了加密和签名处理。这里涉及到 两个密钥：site密钥和local密钥。
6
5.6 基于完整性检查的入侵检测技术
5.6.1 文件完整性校验
文件备份主机B上存储了主机A上的文件系 统的备份。主机B上的文件完整性数据库存储的 是需要被检测的文件的各种inode属性值和文件 内容的散列值。检测时主机A首先与文件备份主 机B认证，然后对A上的配置文件和预先生成的 文件完整性数据库的内容分别进行散列计算， 将生成的散列值传输给B进行校验。如果该散列 值与B上存储的值不一致，则B将存储的配置文 件和文件完整性数据库的备份加密传输给A，进 行文件恢复，然后再进行完整性校验。
3
第五章 基于主机的入侵检测技术
审计数据的获取 审计数据的预处理 基于统计模型的入侵检测技术 基于专家系统的入侵检测技术 基于状态转移分析的入侵检测技术 基于完整性检查的入侵检测技术 基于智能体的入侵检测技术 系统配置分析技术 检测实例分析
4
上一章回顾
审计数据的获取和预处理 基于统计模型的入侵检测技术 基于专家系统的入侵检测模型 基于状态转移分析的入侵检测技术Βιβλιοθήκη 修改,它的作用不容忽视.9
5.6 基于完整性检查的入侵检测技术
5.6.4 基于文件完整性检验的检测技术的工具
G.Kim设计开发了TripWire的系统原型，并发展 成为文件完整性检查领域内最著名的工具软件.
10
5.6 基于完整性检查的入侵检测技术
5.6.4 基于文件完整性检验的检测技术的工具
5.6.3 基于文件完整性检验的检测技术的检测能 力
只有对文件进行非法修改后,该方法才能发挥 作用.
通常无法用当前日志文件内容的散列值来判定 是否被非法更改.
对于利用网络协议的脆弱性对网络服务质量的 攻击,该方法无能为力.
该技术不具备对入侵检测行为的实时性 由于大部分入侵系统都会对文件系统进行非法
检测
打开任务管理器,会注意到cmd.exe和nc.exe 使用explorer的查找功能,找到最新的生成文件 查看事件日志可以显示攻击者的计算机名称 输入命令netstat –a –n 可以找到与本地端口