浅谈大型网络入侵检测建设（四）

4.2、检测思路

通过对上述漏洞的分析和测试，我们会发现一个提权攻击中的特点，那就是exploit工具自身在执行时是低权限，而得到的shell是高权限。

有了对场景的清晰认识，检测逻辑也就很清楚了：

某个高权限（system?uid=0?）进程（bash?cmd.exe?）的父进程为低权限，则告警。

4.3、系统实现

数据采集需求：根据前面大节中的思路，我们有了场景有了规则，可以考虑采集那些数据以及数据纬度了。在这个场景中，规则分析至少需要用到几个必备的进程数据纬度：进程权限；进程ID；父进程ID

以上检测规则基本上能满足多数提权场景，但实际运用中还有一些细节需读者自己去思考完善：

1、同样满足父进程权限低，子进程权限高的正常场景有哪些，如何去除误报？

2、数据关联分析中，分析流程向前追溯还是向后追溯更易实现，更符合你自己分析系统的架构？

3、提权攻击除了上述提到的场景，还有那些？

我们可以看到，从行为描述很容易刻画攻击场景，从而实现检测，纵使攻击手法千变万化，而关键路径是不易改变的。通过行为模型实现检测能力，避免了各自漏洞技术细节差异带来的规则库冗余（且影响安全系统性能），也避免因检测规则过分针对细节（特征库\漏洞库）可能导致的被绕过。