第二講 入侵檢測技術(shù)的分類

1、第二講第二講入侵檢測技術(shù)的分類入侵檢測技術(shù)的分類第一節(jié)第一節(jié)入侵檢測的信息源入侵檢測的信息源對于入侵檢測系統(tǒng)而言，輸入數(shù)據(jù)的選擇是首要解決的問題：?入侵檢測的輸出結(jié)果，取決于所能獲得的輸入數(shù)據(jù)的數(shù)量和質(zhì)量。?具體采用的入侵檢測技術(shù)類型，也常常因?yàn)樗x擇的輸入數(shù)據(jù)的類型不同而各不相同。幾種常用輸入數(shù)據(jù)來源幾種常用輸入數(shù)據(jù)來源?操作系統(tǒng)的審計(jì)記錄?系統(tǒng)日志?應(yīng)用程序的日志信息?基于網(wǎng)絡(luò)數(shù)據(jù)的信息源?其它的數(shù)據(jù)來源操作系統(tǒng)的審計(jì)記錄操作系統(tǒng)的

2、審計(jì)記錄?在入侵檢測技術(shù)的發(fā)展歷史中，最早采用的用于入侵檢測任務(wù)的輸入數(shù)據(jù)源?操作系統(tǒng)的審計(jì)記錄是由操作系統(tǒng)軟件內(nèi)部的專門審計(jì)子系統(tǒng)所產(chǎn)生的，其目的是記錄當(dāng)前系統(tǒng)的活動(dòng)信息，并將這些信息按照時(shí)間順序組織成為一個(gè)或多個(gè)審計(jì)文件。?不同的系統(tǒng)在審計(jì)事件的選擇、審計(jì)記錄的選擇和內(nèi)容組織等諸多方面都存在著兼容性的問題。?操作系統(tǒng)審計(jì)機(jī)制的設(shè)計(jì)和開發(fā)的初始目標(biāo)，并不是為了滿足后來才出現(xiàn)的入侵檢測技術(shù)的需求目的，因此無法提供所需的關(guān)鍵事件信息（不足

3、），或者是提供了冗余的記錄信息（過）。操作系統(tǒng)審計(jì)記錄做為是基于主機(jī)入侵檢測技術(shù)的首選數(shù)據(jù)源的原因：?安全性有保障。安全性有保障。操作系統(tǒng)的審計(jì)系統(tǒng)在設(shè)計(jì)時(shí)，就考慮了審計(jì)記錄的結(jié)構(gòu)化組織工作以及對審計(jì)記錄內(nèi)容的保護(hù)機(jī)制，因此操作系統(tǒng)審計(jì)記錄的安全性得到了較好的保護(hù)。?沒有經(jīng)過高層抽象、詳盡。沒有經(jīng)過高層抽象、詳盡。操作系統(tǒng)審計(jì)記錄提供了在系統(tǒng)內(nèi)核級的事件發(fā)生情況，反映的是系統(tǒng)底層的活動(dòng)情況并提供了相關(guān)的詳盡信息，為發(fā)現(xiàn)潛在的異常行為特征

4、奠定了良好的基礎(chǔ)。審計(jì)記錄的優(yōu)點(diǎn)審計(jì)記錄的優(yōu)點(diǎn)?可信度高?得益于操作系統(tǒng)的保護(hù)?審計(jì)記錄沒有經(jīng)過高層的抽象?最“原始”的信息來源?了解系統(tǒng)事件的細(xì)節(jié)?實(shí)現(xiàn)準(zhǔn)確的入侵匹配?不易被篡改和破壞審計(jì)記錄的問題審計(jì)記錄的問題Windows的系統(tǒng)事件的系統(tǒng)事件應(yīng)用程序應(yīng)用程序日志日志?包含由應(yīng)用程序或程序記錄的事件。例如，數(shù)據(jù)庫程序可在應(yīng)用程序日志中記錄文件錯(cuò)誤。?程序開發(fā)人員決定記錄哪些事件。安全日志安全日志?安全日志包含諸如有效和無效的登錄嘗試

5、等事件，以及與資源使用相關(guān)的事件，如創(chuàng)建、打開或刪除文件或其他對象。管理員可以指定在安全日志中記錄什么事件。例如，如果已啟用登錄審核，則對系統(tǒng)的登錄嘗試將記錄在安全日志中。系統(tǒng)日志系統(tǒng)日志?系統(tǒng)日志包含Windows系統(tǒng)組件記錄的事件。例如，在啟動(dòng)過程中加載驅(qū)動(dòng)程序或其他系統(tǒng)組件失敗將記錄在系統(tǒng)日志中。?系統(tǒng)組件所記錄的事件類型由Windows預(yù)先確定。事件日志的格式事件日志的格式?類型：事件查看器顯示5種事件類型。?錯(cuò)誤、警告、信息、