入侵检测技术第3章.ppt

该【入侵检测技术第3章 】是由【相惜】上传分享，文档一共【44】页，该文档可以免费在线阅读，需要了解更多关于【入侵检测技术第3章 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。,输入数据的选择是首先需要解决的问题:⑴入侵检测的输出结果,首先取决于所能获得的输入数据的数量和质量。⑵具体采用的入侵检测技术类型,也常常因为所选择的输入数据的类型不同而各不相同。,最早采用的用于入侵检测任务的输入数据源就是操作系统的审计记录。操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的,其目的是记录当前系统的活动信息,并将这些信息按照时间顺序组织成为一个或多个审计文件。不同的系统在审计事件的选择、审计记录的选择和内容组织等诸多方面都存在着兼容性的问题。另外一个存在的问题是,操作系统审计机制的设计和开发的初始目标,并不是为了满足后来才出现的入侵检测技术的需求目的。:⑴操作系统的审计系统在设计时,就考虑了审计记录的结构化组织工作以及对审计记录内容的保护机制,因此操作系统审计记录的平安性得到了较好的保护。⑵操作系统审计记录提供了在系统内核级的事件发生情况,反映的是系统底层的活动情况并提供了相关的详尽信息,为发现潜在的异常行为特征奠定了良好的根底。下面分别介绍两种流行的操作系统SunSolaris和Windows2000的审计系统机制及审计记录格式。,其中包含的BSM平安模块使得Solaris系统满足TCSEC标准的C2级审计功能要求。BSM平安审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等,其中审计日志由一个或多个审计文件组成,每个审计文件包含多个审计记录,而每个审计记录那么由一组审计令牌〔audittoken〕构成。图3-1所示为BSM审计记录的格式。每个审计令牌包括假设干字段,如图3-2所示。整理ppt图3-1BSM审计记录格式Header*Process*[]*[Attribute]*[Data][In_addr][Ip][Ipc_perm][Ipc][Iport][Path]*[Text][Groups][Opaque][Return]*[Trailer]首令牌字段审计进程信息系统调用参数信息属性信息当前根目录、工作目录及其绝对路径请求(系统调用)返回值整理ppt图3-2BSM审计令牌格式HeaderTokentokenIDrecordsizeeventtype*timeofqueue*ProcessTokentokenIDauditID*userID*fealuserIDrealgroupID*processID*ArgumentTokentokenIDargumentIDargumentvalue*stringlengthtextReturnTokentokenIDusererrorreturnvalue*TrailerTokentokenIDumberrecordsizePathTokentokenIDsizeofrootcurrentrootsizeofdircurrentdirsizeofpathpathargument*AttributeTokentokenIDvnodemode*vnodeuid*vnodegid*vnodefsid*vnodenodeid*vnoderdev*整理ppt每个BSM审计记录都揭示了一次审计事件〔auditevent〕的发生。BSM审计机制中定义了假设干审计事件类型,而通常的入侵检测系统仅使用了其中局部事件类型,其他那么丢弃。不同的审计事件类型所生成的审计记录,都会包含不同的审计令牌组合。一般而言,Header、Process、Return和Trailer令牌字段是固定字段。BSM审计记录以二进制的形式进行存储,其字段结构和数据结构大小都实现了预先定义,从而提供了在不同平台系统间进行移植的兼容性。,使用事件查看器进行查看和管理。可以根据事件的日志记录来识别和跟踪平安性事件、资源使用情况,以及系统和应用程序中发生的错误等。Windows2000事件日志机制收集3种类型的系统事件:应用程序日志、平安日志和系统日志,如图3-3所示。右击某个记录,在“属性〞中可以看到关于此记录的详细说明。记录本身又分为几种情况:“错误〞是指比较严重的问题,通常是出现了数据丧失或功能丧失;“警告〞那么说明情况暂时不严重,但可能会在将来引起错误,比方磁盘空间太小等;“信息〞是记录运行成功的事件。整理ppt图3-3Windows2000事件查看器整理ppt