侦测器的敏感度.ppt

資訊安全─入門手冊 第 13 章 入侵偵測 第 13 章 入侵偵測 入侵偵測（Intrusion Detection，IDS）是另外一種防止組織遭到入侵的工具。 入侵偵測是一種回應型的概念，它可以用來辨識駭客是否嘗試入侵。 理論上來說，只有在偵測到攻擊的時候才會發出警報。 入侵偵測系統也可以做為早期預警系統，因為它可以在發現攻擊行為時蒐集攻擊所需的資訊。 最早的入侵系統包含守門人和看門狗。在這些範例中，守門人和看門狗負責兩種功能：提供察覺是否發生某些壞事，且可提供遏止入侵的行為。 門窗防盜器和汽車防盜器也是屬於IDS應用的一種。 這些範例都有共同的單一目標：偵測任何嘗試滲透防護主體（企業、建物、汽車等）的行為。 如果將警報系統的概念轉換成電腦系統的概念，也就可以得到IDS的基本概念。 電腦系統或網路的安全界線，並不如實體世界那般明確。 網路系統所談到的安全界線，是指環繞組織所有電腦系統的虛擬環境。 環境的定義可以從防火牆、電信設備分接點開始劃分，也可以從含有數據機的桌上型電腦系統開始劃分。 如果組織允許員工使用家用電腦系統，或是允許商業夥伴使用撥接連線的方式，直接連線到內部網路的情況下，這些連線需求可能都需要包含在安全界線的範圍內。 如果在使用無線網路的商業環境中，無線網路信號的涵蓋範圍也必須納入安全界線的範圍中。 防盜器主要是設計用於非佔用時段，偵測任何嘗試闖入無人區域的行為。IDS則是設計用來區分『獲得授權進入』和『惡意入侵』的行為，這種目標的難度更高。 本章的內容如下： 13-1 定義入侵偵測系統類型 13-2 設定IDS 13-3 管理IDS 13-4 認識入侵防範 13-1 定義入侵偵測系統類型 入侵偵測系統主要分為『主機型（Host-base，HIDS）』和『網路型（network-base，NIDS）』兩種。 HIDS是安裝在主機上的機制，可以偵測任何嘗試入侵主機的企圖。 NIDS是安裝在單一系統，用來偵測網路流量、找尋企圖跨越部分網路的攻擊行為。 圖13-1顯現出含有這兩種IDS的網路架構。 本節的內容如下： 13-1-1 主機型IDS 13-1-2 網路型IDS 13-1-3 哪一種IDS比較好？ 13-1-1 主機型IDS HIDS是一種安裝在組織範圍的許多系統上的偵測器（sensor），並以中控化管理方式控制的軟體程序。 偵測器可以找尋許多不同的事件類型（本章後續內容會詳細說明），並在主機系統採取回應行為或傳送通知。 HIDS偵測器會監視主機上安裝任何事項的相關事件。 HIDS可能也會判斷在偵測器的主機系統上，是否已經遭到成功的攻擊或正要發起的攻擊。 不同類型的HIDS偵測器，允許執行不同類型的IDS目標。 不是每一種類型的偵測器，可以適用於任何組織或任何組織的主機系統。 選擇適合每一種伺服器的偵測器類型，也是一件非常重要的事情。 伺服器的處理器能力也是HIDS系統的其他問題之一。 在主機上執行的偵測器程序，約需5%到15%整體CPU時間。 如果現有系統的偵測器負載非常重，也可能會影響到偵測器的效率，此時或許就需要選購等級更高的系統。 HIDS偵測器的五種基本類型如下： 記錄分析器（Log analyzer） 特徵型偵測器（Signature-based sensor） 系統呼叫分析器（System call analyzer） 應用程式行為分析器（Application behavior analyzer） 檔案完整性檢查器（File integrity checker） 記錄分析器（Log analyzer） 記錄分析器是一種在伺服器上執行的程序，並用來適當地監視系統的記錄檔案。 如果記錄的項目符合HIDS偵測器程序的某些項目，就會適時採取回應的措施。 多數的記錄分析器，主要是用來找尋可能的安全事件。 系統管理員通常也可以定義其他可能有幫助的記錄入口。 記錄分析器是屬於回應系統。 記錄分析器特別適用於追蹤內部系統授權使用者的行為。 如果組織非常注重系統管理員或其他系統的使用者行為時，就可以使用記錄分析器來追蹤這些行為；並可依據記錄內容，排除管理員或使用者對系統造成的問題。 特徵型偵測器（Signature-based sensor） 這種類型的偵測器，具有內建（built-in）的安全事件特徵，也就是說針對內送（incoming）網路流量或記錄入口的安全事件特徵。 特徵型和記錄分析器偵測器之間的區別，主要是增加分析內送流量的能力。 特徵型系統具有偵測攻擊系統的能力，因此也可指定某種攻擊行為的警訊。 在攻擊行為成功或失敗之前，不論是其他類型的HIDS偵測器或特徵型偵測器就會採取回應的行動。 特徵型HIDS偵測器還可用於追蹤內部系統授權使用者的行為。 系統呼叫分析器（S