基于主机的入侵检测技术
- 审计数据的获取
- 审计数据的预处理
- 基于统计模型的入侵检测技术
- 基于专家系统的入侵检测技术
- 基于状态转移分析的入侵检测技术
- 基于完整性检查的入侵检测技术
- 基于智能体的入侵检测技术
- 系统配置分析技术
审计数据的获取
数据获取划分为直接监测和间接监测两种方法。
(1)直接监测——直接监测从数据产生或从属的对象直接获得数据。例如,为了直接监测主机CPU的负荷,必须直接从主机相应内核的结构获得数据。要监测ietd进程提供的网络访问服务,必须直接从 inetd进程获得关于那些访问的数据;
(2)间接监测—从反映被监测对象行为的某个源获得数据。间接监测主机CPU的负荷可以通过读取一个记录CPU负荷的日志文件获得。间接监测访问网络服务可以通过读取 inetd进程产生的日志文件或辅助程序获得。间接监测还可以通过查看发往主机的特定端口的网络数据包。
入侵检测时,直接监测要好于间接监测,原因如下:
(1)间接数据源(如审计跟踪)的数据可能在IDS使用这些数据之前被篡改。
(2)一些事件可能没有被间接数据源记录。
(3)使用间接监测,数据是通过某些机制产生的,这些机制并不知道哪些数据是IDS真正需要的。
(4)间接数据源通常在数据产生时刻和IDS能够访问这些数据的时刻之间引入时延。而直接监测时延更短,确保IDS能更及时地做出反应。
系统日志与审计信息:
-
Acct或pacct:记录每个用户使用的命令记录
-
Aculog:保存着用户拨出去的 Modems记录
-
Loginlog:记录一些不正常的 Login记录。
-
Wtmp:记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化。
-
Syslog:重要的日志文件,使用 syslogd守护程序来获得日志信息
-
Uucp:记录的UUCP的信息,可以被本地UUCP活动更新,也可由远程站点发起的动作修改。
-
Access log:主要使用于运行了 NCSA HTTPD的服务器,这记录文件记录有什么站点连接过该服务器。
-
Lastlog:记录了用户最近的 Login记录和每个用户的最初目的地,有时是最后不成功的 Login的记录。
-
Messages:记录输出到系统控制台的记录,另外的信息由 syslog来生成。
-
Sulog:记录使用su命令的记录。
-
Utmp:记录用户登录和退出事件
-
ftp日志:执行带-l选项的ftpd能够获得记录功能。
-
htpd日志:HTTPD服务器在日志中记录每一个Web访问记录。