一般主要使用
作業系統的審計、跟蹤日誌
作為資料來源,某些也會主動與主機系統進行互動以
獲得不存在於系統日誌中的資訊
以檢測入侵。這種型別的檢測系統不需要額外的硬體.對網路流量不敏感,效率高,能準確定位入侵並及時進行反應,但是占用主機資源,依賴於主機的可靠性,所能檢測的攻擊型別受限。不能檢測網路攻擊。
1.1
作業系統的審計
審計是指收集有關系統資源使用情況的資料。審計資料提供安全相關的系統事件的記錄。以後便可以使用此資料來指定系統上執行的操作的職責。成功的審計應包括
識別和驗證
。通常審計服務的操作:
(1)監視系統上發生的與安全相關的事件
(2)在網路範圍的審計跡中記錄事件
(3)檢測誤用或未經授權的活動
(4)檢視訪問模式以及個人和物件的訪問歷史記錄
(5)發現繞過保護機制的嘗試
(6)發現使用者更改身份時對特權的擴充套件使用
工作原理
審計在發生指定的事件時生成審計記錄。通常情況下,生成審計
記錄的事件
包括:(
1)系統啟動和系統關閉
登入和登出(2
)程序建立或程序銷毀,或執行緒建立或執行緒銷毀(3
)開啟、關閉、建立、銷毀或重新命名物件(4
)使用許可權(5
)識別操作和驗證操作(6
)由程序或使用者執行的許可權更改(7
)管理操作,例如安裝軟體包(8
)特定於站點的應用程式
例:
windows nt/2000
主要有以下三類日誌記錄系統事件:
1.應用程式日誌
記錄由應用程式產生的事件。例如,某個資料庫程式可能設定為每次成功完成備份後都向應用程式日誌傳送
事件記錄
資訊。應用程式日誌中記錄的時間型別由應用程式的開發者決定,並提供相應的系統工具幫助使用者檢視應用程式日誌。
2.系統日誌
記錄由windowsnt/2000作業系統
元件產生的事件,主要包括驅動程式、系統元件和應用軟體的崩潰以及資料丟失錯誤等。系統日誌中記錄的時間型別由
windows nt/2000作業系統
預先定義。
3.安全日誌
記錄與安全相關的事件,包括成功和不成功的登入或退出、系統資源使用事件
(系統檔案的建立、刪除、更改
)等。與系統日誌和應用程式日誌不同,安全日誌只有系統管理員才可以訪問。在
windowsxp
中,事件是在系統或程式中發生的、要求通知使用者的任何重要事情,或者是新增到日誌中的項。事件日誌服務在事件檢視器中記錄應用程式、安全和系統事件。通過使用事件檢視器中的事件日誌,使用者可以獲取有關硬體、軟體和系統元件的資訊,並可以監視本地或遠端計算機上的安全事件。事件日誌可幫助您確定和診斷當前系統問題的根源,還可以幫助使用者**潛在的系統問題。
windowsnt/2000
的系統日誌由
事件記錄
組成。每個
事件記錄
為三個功能區:記錄頭區、事件描述區和附加資料區。
6 1基於主機的入侵檢測系統
基於主機的入侵檢測系統執行在需要監視的系統上。它們監視系統並判斷系統上的活動是否可接受。如果乙個網路資料報已經到達它要試圖進入的主機,要想準確地檢測出來並進行阻止,除防火牆和網路監視器外,還可用第三道防線來阻止,即 基於主機的入侵檢測 其入侵檢測結構如右圖所示。2種基於主機的入侵檢測型別如下。基於主...
基於主機的入侵檢測技術
資料獲取劃分為直接監測和間接監測兩種方法。1 直接監測 直接監測從資料產生或從屬的物件直接獲得資料。例如,為了直接監測主機cpu的負荷,必須直接從主機相應核心的結構獲得資料。要監測ietd程序提供的網路訪問服務,必須直接從 inetd程序獲得關於那些訪問的資料 2 間接監測 從反映被監測物件行為的某...
入侵檢測系統
網路入侵概念 入侵檢測 通過計算機網路或計算機系統的關鍵點收集資訊並進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統 ids 入侵檢測是軟體與硬體的組合,是防火牆的合理補充,是防火牆之後的第二道安全閘門。檢測的內容 試圖闖入,成功闖入,冒充其他使用者,違反安全策略,...