IDS入侵检测系统存在与发展的必然性.PPT

Intrusion Detection System 劉博瑋 M9305905 大綱 ?? What is IDS? ?? IDS的分類 ?? IDS的發展 Why we use IDS? 防火牆的弱點 防火牆只能抵檔外部來的入侵行為 防火牆本身可能也存在弱點，以及其他安全性的設定錯誤 即使透過防火牆的保護，合法的使用者仍會非法的使用系統，甚至提昇自己的權限 防火牆僅能拒絕非法的連線請求，但是對於入侵者的攻擊行為仍一無所知 常見攻擊行為(1) Virus Worm 攻擊 CodeRed,Nimda, SQL Slammer Blaster Backdoor Trojan 惡意網頁popup程式 病毒郵件 peep.exe peepbrowser.exe win.ini、system.ini、系統服務、registry 常見攻擊行為(2) IP spoofing攻擊 DOS DDOS 拒絕服務攻擊 SYN Flood DDOS攻擊示意圖 What is IDS 入侵偵測系統就是一種網路安全監測工具，藉由解讀系統稽核檔或網路封包內容，即時偵測出對系統所進行的攻擊行為，並回報給系統管理者 一個入侵檢測系統通常由三部分組成：感測器(Sensor) 、控制臺(Console)與回應模組(Response module) 入侵偵測系統之功用 很快偵測與確認入侵者，在危及任何資料或發生損失前將入侵者逐出系統就算無法在入侵者作非法存取前就偵測出來，越快偵測到非法的侵入行為，受到的損失就越少，越快能達到復原動作 IDS的分類 根據資料蒐集的型態區分 ?? Network-Based IDS(NIDS) ?? Host-Based IDS(HIDS) 根據所使用的偵測方式區分 ?? Misuse Detection (負面表列) ?? Anomaly Detection (正面表列) NIDS 網路型式的入侵偵測系統以原始網路封包作為資料來源，它通常運用網路卡於“promiscuous mode”(混亂模式)來偵測及分析所有過往的網路通訊 如果資料封包與系統內置的某些規則吻合，入侵檢測系統就會發出警報甚至直接切斷網路連接 NIDS (cont.) 目前大部分入侵檢測産品是NIDS Open Source Software Snort、NFR、Shadow 簡易的NIDS ?? Libpcap() 網路抓封包庫 ?? Snort() 網路入侵探測器 ?? MySQL() 入侵事件資料庫 NIDS優點 檢測那些來自網路的攻擊，以及檢測超過授權的非法訪問 不需要改變伺服器等主機的配置，不會影響業務系統的性能 網路入侵檢測系統發生故障不會影響正常業務的運行。部署一個網路入侵檢測系統的風險比主機入侵檢測系統的風險少得多 NIDS限制 準確度較低 不能檢測在不同網段的網路封包 在使用交換乙太網的環境中就會出現監測範圍的局限 隨著網路流量的增大，處理峰值流量的難度加大 HIDS 安裝在被重點檢測的主機之上 主要是對該主機的網路即時連接以及系統審計日誌進行智慧分析和判斷 主機型式入侵偵測系統在Window NT環境下通常監測系統，事件及安全日誌檔，在UNIX環境下，是監測系統日誌 Host-based HIDS優點 分析“可能的攻擊行為” 入侵者試圖執行一些“危險的命令” 執行了什麽程式、打開了哪些文件、執行了哪些系統調用 誤報率比網路入侵檢測系統要低 檢測主機上執行命令序列比檢測網路流量簡單 較適合有加密及Switch的環境 不需另外增加硬體設備 HIDS限制 很難將所有主機用主機入侵檢測系統保護，只能選擇部分主機保護 入侵者可利用未安裝HIDS的機器到達攻擊目標 在反應的時間上依賴於定期檢測的時間間隔，反應較慢 不同的系統需要不同的引擎。系統的升級時，需要升級引擎，安裝和維護不方便，同時無法發現網路上的攻擊事件 根據偵測方式的不同區分 Misuse Detection Anomaly Detection Misuse Detection 又稱特徵檢測(Signature-based detection) 目前基於封包特徵描述的模式匹配應用較為廣泛 檢測方法上與電腦病毒的檢測方式類似 Misuse Detection Misuse Detection (cont.) 將所有入侵行為和手段及其變種，包括系統的誤用，表達為一種模式或特徵，建立一個入侵模式庫 主要判別主機或者網路中所搜集到的資料特徵是否在所收集到的入侵模式庫中出現 匹配可以是簡單的字串匹配，也可以是正則的數學運算式所表示的安全狀態的變化 Misuse Detection (cont.) 在系統實現中，將有關入侵的知識轉化為if-then結構，條件部分為入侵特徵，the