dos类型的攻击行为.ppt

網路入侵行為分析與探勘 (Network Intrusion Analysis and Mining) 內容概要 簡介 網路入侵 網路入侵與攻擊行為 入侵偵測系統 網路入侵行為分析與探勘 資料來源分析與整合：以KDD CUP ’99為例 入侵偵測的資料分析與探勘：以KDD CUP ’99為例 總結 簡介(1) 網際網路普及與網路應用蓬勃發展 優點：資訊傳遞、交換的便利性 缺點：利用網路作為攻擊各類重要應用的管道、破壞與癱瘓網路或主機 非法侵入並竊取機密 寄發廣告與垃圾信件 佔據網路頻寬並癱瘓網路或主機 如何對網路入侵與破壞行為進行偵測、防範與緊急處理，成為網路時代重要的議題 簡介(2) 入侵偵測系統(IDS) 透過專家與領域知識，找出網路攻擊行為的特徵與模式，瞭解現階段網路行為和可能遭遇的弱點，來輔助管理人員對網路異常行為的偵測與緊急處理 資料探勘對入侵偵測系統所提供的幫助 隨著網路行為的複雜化，越來越多可供侵入的弱點，導致許多既存的保護機制因無法調整或更新其防禦方式，無法阻絕攻擊發揮保護能力 利用資料探勘技術，從網路資訊、流量及系統記錄檔中探勘出有用的知識 對於傳統防護機制設定固定規則來阻斷可疑攻擊的方式，資料探勘技術可以分析正常與異常網路使用上的差異，動態更新防禦機制 網路入侵(1) 網路入侵與攻擊事件通報的趨勢 根據電腦網路危機處理暨協調中心(CERT/CC)所提供的的統計資訊，網路入侵與攻擊事件逐年不斷的攀升，自1999年後更是年年呈倍數的成長 2003 年電腦入侵與攻擊事件的通報數量相較於1992年便增加了約37 倍之多 FBI 於 2002年提出的一項電腦安全調查報告顯示，有90%的單位發現過去一年內有安全入侵事件發生，74%指出網路為常見的入侵管道，內部系統入侵為33%，損失總額高達455,848,000美元 網路入侵(2) 網路入侵(3) 根據美國國防部資訊部門的統計顯示，透過網路入侵被發現的比例卻低於百分之四 電腦系統與網路應用的多樣，增加了被入侵的管道 系統與軟體公司為了市場競爭，壓縮產品發展時程，造成系統與軟體出現瑕疵與漏洞 入侵者也由早期針對單一主機、猜測密碼與手動處理的方式，演變為以下的趨勢 透過各方技術知識以及對網路結構、作業方式的了解，採用了更加複雜的攻擊手法。 不單只針對提供主機入侵與攻擊，對於網路基礎建設的攻擊事件也越來越常見。 利用各種隱藏身分的技巧，並採用自動化的攻擊工具進行攻擊 網路入侵(4) 攻擊者進行網路入侵與攻擊的流程 網路入侵(5) 入侵動機 報復心態、商業競爭、竊取資料等等 隱藏身份 為了保護自己，攻擊者會盡力將自己真正的身分以及網路位址 (IP) 隱藏起來，以防止被追踨 也可能利用假造他人、間接入侵 (或稱跳板入侵) 的方式，藉由他人身分來攻擊目標主機 攻擊目標選擇 透過正常管道先來了解對方的網路位址，或利用普及的網路位址掃描工具，隨機尋找下手的目標 網路入侵(6) 瞭解目標主機存在之網路服務或系統弱點 利用掃瞄工具對主機進行服務與系統資訊掃瞄 主機必須透過不同的通訊埠 (port) 來提供不同的網路服務(WWW通常利用80此通訊埠、FTP通常利用21通訊埠等等) 得知目標主機有哪些服務通訊埠是開啟的 進行攻擊與入侵 針對目標主機之網路服務或系統本身所存在的弱點進行攻擊 癱瘓與阻絕服務攻擊(DoS) 利用緩衝區溢位(buffer overflow)使主機當機或取得主控權 網路入侵(7) 入侵和攻擊階段的主要步驟 (1)攻擊端利用特定程式，對目標主機的網路服務或系統資訊發動惡意掃瞄，確認目標主機所提供之網路服務或系統本身存在的弱點 (2)若受害端在不知情或是疏忽的狀況下，回應這些惡意掃瞄，攻擊端便可得到受害端的弱點資訊 (3)分析與確認受害端的弱點，攻擊端便可發動正式的攻擊，使受害端服務癱瘓或是使其遭受感染而成為攻擊端的跳板主機 (4)利用遭受感染的主機，對其他目標主機發動下一波的惡意掃瞄或是攻擊 網路入侵(8) 入侵和攻擊階段的主要步驟 網路入侵與攻擊行為 Probe User to Root (U2R) Remote to Local (R2L) Denial of Service (DoS) Probe User to Root (U2R) Remote to Local (R2L) Denial of Service (DoS) Probe(1) 概念 利用正常的網路連線行為，來嘗試取得特定主機的各類資訊 目標主機提供哪些公用服務(WWW服務、FTP服務等等)，或取得詳細的系統資料(作業平台等等) 此類行為並不能算是攻擊行為，而是在為後續的攻擊行為做試探的動作 雖然Probe不會對系統或網路造成直接損害，但是因其伴隨而來的攻擊行為可