A system and method are disclosed for detecting intrusions in a host system
on a network. The intrusion detection system comprises an analysis engine
configured to use continuations and apply forward- and backward-chaining
using rules. Also provided are sensors, which communicate with the
analysis engine using a meta-protocol in which the data packet comprises a
4-tuple. A configuration discovery mechanism locates host system files and
communicates the locations to the analysis engine. A file processing
mechanism matches contents of a deleted file to a directory or filename,
and a directory processing mechanism extracts deallocated directory
entries from a directory, creating a partial ordering of the entries. A
signature checking mechanism computes the signature of a file and compares
it to previously computed signatures. A buffer overflow attack detector
compares access times of commands and their associated files. The
intrusion detection system further includes a mechanism for checking
timestamps to identify and analyze forward and backward time steps in a
log file.
Un système et une méthode sont révélés pour détecter des intrusions dans un système hôte sur un réseau. Le système de détection d'intrusion comporte un moteur d'analyse configuré pour employer des suites et pour s'appliquer en avant et vers l'arrière-enchaînant en utilisant des règles. En outre fournies sont des sondes, qui communiquent avec le moteur d'analyse en utilisant un méta-protocole dans lequel le paquet de données comporte un 4-tuple. Un mécanisme de découverte de configuration localise le système hôte classe et communique les endroits au moteur d'analyse. Un mécanisme de traitement de fichier assortit le contenu d'un dossier supprimé à un annuaire ou à un nom de fichier, et un annuaire traitant le mécanisme extrait les entrées de répertoire désaffectées à partir d'un annuaire, créant une commande partielle des entrées. Une signature vérifiant le mécanisme calcule la signature d'un dossier et la compare aux signatures précédemment calculées. Un détecteur d'attaque de débordement d'amortisseur compare des temps d'accès des commandes et de leurs dossiers associés. Le système de détection d'intrusion autre inclut un mécanisme pour vérifier des horodateurs pour identifier et analyser des étapes avant et en arrière de temps dans un dossier de notation.
