主机端入侵侦测系统.PPT

第7章 網路安全 大綱 網路架構 (OSI、TCP/IP、IEEE 802) 網路安全防護系統 (防火牆與入侵偵測) 認識駭客 電腦病毒介紹 網路安全防護系統 (防火牆與入侵偵測) 防火牆(Firewall)與入侵偵測系統(Intrusion Detection System；IDS) 防火牆：固定式的保險箱； 入侵偵測系統：可隨需要動態新增與變更安裝位置的影像監視器。 網路安全防護系統 入侵偵測模式 不當行為偵測(misuse detection) 異常行為偵測(anomaly detection) 混和模式偵測(mixed and hybrid mode detection) 網路安全防護系統 入侵偵測模式比較 網路安全防護系統 入侵偵測系統的類別 主機端入侵偵測(Host-IDS；H-IDS) 記錄並分析在電腦主機上的各項活動程序，以偵測是否有不適當的存取行為 網路端入侵偵測(Network-IDS；N-IDS) 記錄並分析網路封包的方式來偵測入侵行為，其系統主要建置在網路的骨幹上 網路安全防護系統 主機端VS網路端入侵偵測系統 認識駭客 駭客(Hacker) 可追溯到第一台電腦誕生及ARPAnet開始實驗的時代。那時有一群具有分享特質的程式設計專家和網路高手，他們便自稱為Hackers 真正駭客的價值觀是所有資訊都應該「分享」，而非從事破壞性的活動或是為了金錢或不良目的而入侵他人的電腦網路中 認識駭客 常見網路攻擊五部曲 Step1 鎖定特定目標並蒐集資料 Step2 弱點掃描與刺探 Step3 主機掃描 Step4 取得主機權限 Step5 植入後門程式 認識駭客 特洛依木馬(Trojan Horse) 或木馬程式 不需使用者的允許即可獲得電腦資源使用權。 程式體積小，執行時不會佔用太多系統資源。 執行時不會在系統中顯示出來。 會自動登錄在系統啟動區，當作業系統啟動時便自動執行。 當執行後可能會自動變更檔名或隱形。 當執行後會自動複製到其他資料夾中。 執行連使用者本身都無法進行的動作。 認識駭客 特洛依木馬的偽裝方式 圖片檔 應用程式 應用程式延伸元件 透過電子郵件傳播 ※ 特洛伊木馬的傳遞方式，大多透過如第3章的「社交工程」所描述 電腦病毒介紹 電腦病毒通常泛指「會影響電腦作常運作的有害程式」 種類包括： 開機型病毒(Boot Strap Sector Virus) 檔案型病毒(File Infector Virus) 複合型病毒(Multi-Partite Virus) 巨集病毒(Macro Virus) 千面人病毒(Polymorphic/Mutation Virus) 蠕蟲(Warm) 電腦病毒介紹 如何防範電腦病毒與木馬程式 安裝防毒軟體 勿開啟用途不明的檔案 勿隨意下載資料 勿隨意開啟電子郵件的附件檔 定期檢視電腦內容 資料備份 * 防火牆 入侵偵測系統 容易產生大量錯誤警訊 需要大量經過篩選的系統事件記錄，以便確實描述一般正常行為的特徵 不需經過特定的設定即可偵測到各種不同的攻擊行為，因此也不需經常更新及維護入侵攻擊模式資料庫 收集的資訊可提供「不當行為偵測」系統作為各種入侵攻擊方式特徵的定義 異常行為偵測 (負面行為模式) 系統必須經常手動設定以有效偵測各種新型的攻擊行為 系統以縮小入侵攻擊方式特徵的定義範圍避免偵測到不同版本的攻擊行為。雖然提高偵測的準確率，但卻犧牲了偵測的彈性空間 偵測攻擊行為較有效率且誤判警訊少 對於特定攻擊手法的偵測快且準確，可有效幫助資訊安全人員迅速地找出應對之策 不當行為偵測 (正面行為模式) 缺 點 優 點 偵 測 模 式 不完全適用於交換式網路環境。當交換式網路沒有提供通用的監聽埠時，N-IDS就僅能監聽單一主機 只要發生攻擊行為時N-IDS就會回報系統管理者，而管理者必須自行對疑似被攻擊的主機進行檢視以判斷該攻擊行為是否成功 N-IDS無法對加密的網路資訊進行分析 每一部監聽主機都必須安裝H-IDS 當所監聽的主機受到攻擊時，H-IDS系統本身可能也會受到攻擊 在運作時會佔用被監聽主機的硬體資源 不能對整個網路區段進行有效偵測，因為H-IDS只能偵測到監聽主機所接收的封包 對於阻斷服務式攻擊(DOS)的偵測效果較差 缺點 因為網路端入侵偵測系統(N-IDS)為被動式裝置，因此其建置與部署並不會對原本的網路流量及效能有明顯的影響 可被設定為隱形模式，能夠更安全地保護主機以避免成為攻擊者的目標 量少、但位置配置妥當的N-IDS，對偵測大型網路活動具有較佳的效率 可在交換式網路(switched network)環境下運作使用 因為H-IDS是針對主機進行事件記錄的檢視，因此可以偵測到網路端入侵偵測系統所偵測不到的攻擊