基于主机的入侵检测技术

基于主机的入侵检测技术

• 审计数据的获取
• 审计数据的预处理
• 基于统计模型的入侵检测技术
• 基于专家系统的入侵检测技术
• 基于状态转移分析的入侵检测技术
• 基于完整性检查的入侵检测技术
• 基于智能体的入侵检测技术
• 系统配置分析技术

审计数据的获取

数据获取划分为直接监测和间接监测两种方法。

（1）直接监测——直接监测从数据产生或从属的对象直接获得数据。例如，为了直接监测主机CPU的负荷，必须直接从主机相应内核的结构获得数据。要监测ietd进程提供的网络访问服务，必须直接从 inetd进程获得关于那些访问的数据；

（2）间接监测—从反映被监测对象行为的某个源获得数据。间接监测主机CPU的负荷可以通过读取一个记录CPU负荷的日志文件获得。间接监测访问网络服务可以通过读取 inetd进程产生的日志文件或辅助程序获得。间接监测还可以通过查看发往主机的特定端口的网络数据包。

---

入侵检测时，直接监测要好于间接监测，原因如下：

（1）间接数据源（如审计跟踪）的数据可能在IDS使用这些数据之前被篡改。

（2）一些事件可能没有被间接数据源记录。

（3）使用间接监测，数据是通过某些机制产生的，这些机制并不知道哪些数据是IDS真正需要的。

（4）间接数据源通常在数据产生时刻和IDS能够访问这些数据的时刻之间引入时延。而直接监测时延更短，确保IDS能更及时地做出反应。

---

系统日志与审计信息：

• Acct或pacct：记录每个用户使用的命令记录

• Aculog：保存着用户拨出去的 Modems记录

• Loginlog：记录一些不正常的 Login记录。

• Wtmp：记录当前登录到系统中的所有用户，这个文件伴随着用户进入和离开系统而不断变化。

• Syslog：重要的日志文件，使用 syslogd守护程序来获得日志信息

• Uucp：记录的UUCP的信息，可以被本地UUCP活动更新，也可由远程站点发起的动作修改。

• Access log：主要使用于运行了 NCSA HTTPD的服务器，这记录文件记录有什么站点连接过该服务器。

• Lastlog：记录了用户最近的 Login记录和每个用户的最初目的地，有时是最后不成功的 Login的记录。

• Messages：记录输出到系统控制台的记录，另外的信息由 syslog来生成。

• Sulog：记录使用su命令的记录。

• Utmp：记录用户登录和退出事件

• ftp日志：执行带-l选项的ftpd能够获得记录功能。

• htpd日志：HTTPD服务器在日志中记录每一个Web访问记录。