基于主机的IDS与syscall监控

Question

嘿，伙计们，我是安全方面的新手，现在我正在做关于基于主机的IDS的最后一个项目。我有一些问题要问你们

1. 一个rootkit能被归类为入侵吗?它是恶意软件还是两者兼而有之？那么入侵和恶意软件有什么区别呢？
2. 系统调用序列能否确定系统中存在入侵？或者无效的syscall序列只能检测恶意软件。
3. 如果我想监视syscall，我是否可以在用户空间(例如使用systrace )进行监视，或者只能在内核空间进行监视？最好的方法是什么？

Answer 1

一个rootkit能被归类为入侵吗?它是恶意软件还是两者兼而有之？那么入侵和恶意软件有什么区别呢？

恶意软件本身并不是入侵。但是，如果恶意软件已经感染了系统，那么您就会受到入侵。但也可能存在无恶意软件的入侵，即使用被盗的凭据登录。而rootkit只是一种特殊的恶意软件。

系统调用序列能否确定系统中存在入侵？或者无效的syscall序列只能检测恶意软件。

通常不完全确定，而只是建议。如果序列看起来与已知的恶意软件相似，或者如果访问了特定文件，则如果注册表被更改.那么这些可能都是潜在恶意软件的指标。但也可能是非恶意软件。

我想监视syscall，我是否可以在用户空间(例如使用systrace )进行监视，或者只能在内核空间进行监视？最好的方法是什么？

在Linux中，您可以使用processes来跟踪您拥有的其他进程(只有这些进程)。或者在其他UNIXes中使用strace命令或类似的命令，比如桁架或ktrace。