一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测网络攻击。
1.1操作系统的审计
审计是指收集有关系统资源使用情况的数据。审计数据提供安全相关的系统事件的记录。以后便可以使用此数据来指定系统上执行的操作的职责。成功的审计应包括识别和验证。
通常审计服务的操作:
(1)监视系统上发生的与安全相关的事件
(2)在网络范围的审计迹中记录事件
(3)检测误用或未经授权的活动
(4)查看访问模式以及个人和对象的访问历史记录
(5)发现绕过保护机制的尝试
(6)发现用户更改身份时对特权的扩展使用
工作原理
审计在发生指定的事件时生成审计记录。通常情况下,生成审计记录的事件包括:
(1)系统启动和系统关闭 登录和注销
(2)进程创建或进程销毁,或线程创建或线程销毁
(3)打开、关闭、创建、销毁或重命名对象
(4)使用权限
(5)识别操作和验证操作
(6)由进程或用户执行的权限更改
(7)管理操作,例如安装软件包
(8)特定于站点的应用程序
例:Windows NT/2000主要有以下三类日志记录系统事件:
1.应用程序日志
记录由应用程序产生的事件。例如,某个数据库程序可能设定为每次成功完成备份后都向应用程序日志发送事件记录信息。应用程序日志中记录的时间类型由应用程序的开发者决定,并提供相应的系统工具帮助用户查看应用程序日志。
2.系统日志
记录由WindowsNT/2000操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
3.安全日志
记录与安全相关的事件,包括成功和不成功的登录或退出、系统资源使用事件(系统文件的创建、删除、更改)等。与系统日志和应用程序日志不同,安全日志只有系统管理员才可以访问。在WindowsXP中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志,用户可以获取有关硬件、软件和系统组件的信息,并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源,还可以帮助用户预测潜在的系统问题。WindowsNT/2000的系统日志由事件记录组成。每个事件记录为三个功能区:记录头区、事件描述区和附加数据区。