何谓入侵在现实生活中我们对‘入侵’的定义就是别人不合理不.docVIP

一、何謂入侵 在現實生活中，我們對「」「」。、、、。Misuse Detection)： 統計總結出正常使用行為應該具有的特徵，檢與行為之間的偏差。如果漏報率、誤報率。因為不需要對每種入侵行為進行定義，所以能有效檢測未知的入侵。(Anomaly Detection)： 需事先收集不正常使用的行為特徵，建立特徵資料庫，儲存各種不正常行為的特徵，當受監測的使用者或系統行為與特徵資料庫檢測與已知的不可接受行為。這種檢測模型誤報率低、漏報率高。對於已知的攻擊，它可以詳細、準確地報告出攻擊類型，但是對未知攻擊卻效果有限，而且特徵庫必須不斷更新。Common Intrusion Detection Framework(CIDF，早期由美國國防部高級研究計畫局贊助研究，現在由CIDF工作組負責，是一個開放組織E首先由感測器收集事件資料，並將資訊傳送給A，AD存儲來自A、E的資料，並為額外的分析提供資訊；R從A、E盒中提取資料，D啟動適當的回應。依照資料源的收集方式的不同，可分為兩種類型： 網路型入侵偵測系統(Network-Based IDS，簡稱 NIDS) NIDS建置在網路上的某一個系統上，分析從網路收集來的每一個封包。將從封包取得的資料與特徵資料庫中已知的攻擊特徵資料做檢測，如果封包資料並不符合特徵資料庫中所記錄的攻擊特徵，則網路流量就會被判定為正常的流量；相反的，如果封包的資料符合特徵資料庫中的某項攻擊特徵，反制攻擊的機制就會被啟動。 主機型入侵偵測系統(Host-based IDS , 簡稱 HIDS) HIDS是從主機系統稽核log檔演進而來，建置在每一個重要的系統上，透過檢查檔案異動或不一致的狀況，以監視惡意或可疑的動作，如果有，則採取反制動作。現今的HIDS在每一台主要的主機上安裝一個代理程式(Agent)，執行監控的工作，若有任何系統事件(Event)被記錄至log檔，代理程式便會立即將系統事件與攻擊特徵資料庫做檢測，來判斷主機是否遭到攻擊。 下表為NIDS及HIDS之整合與比較： NIDS HIDS cost 低 (一台IDS即可監控整個區域網路) 高 建置位置 網路入口 重要的Server或主機 監控範圍 廣 狹窄 偵測與回應速度 即時 近乎即時 (如果使用正確) 入侵證據採集 易 難 (log檔可能被修改) OS相容性 較高 較低 遺漏入侵行為的機率 較高 (當網路流量大，封包可能會loss) 較低 加密與交換的環境 不適用 適用 四、誘捕系統 誘捕系統是一種保護的資源，所存在的價值就在於可以探查出攻擊，損壞，就像是一般我們所使用的防火牆，或是IDS Sensor。 若是一般企業每天都遭受別人的入侵攻擊，必定會覺得相當的困擾。因此就有人提出架設一個很容易攻擊的環境，就跟捕鼠器的原理一樣，在捕鼠器上放置一塊乳酪，誘使攻擊者侵入此網站，而這樣的環境當然也必須要有足以吸引攻擊者入侵的資料，真實資料、重要性的資料、否則都是一些無關緊要的資料，不屑一顧一切都是白搭，但是這樣設置的環境，要能夠不影響企業正常的運作，獨立成兩個相同的系統一般。 利用誘捕系統，攻擊者可能會花費大量的時間在攻擊所架設的誘捕系統，而不會真正的去攻擊真實的主機系統，而誘捕系統的安全措施容易攻破，會造成攻擊者的錯誤印象，且攻擊者會花費許多的時間來搜尋攻擊誘捕系統的工具，但並非是可以在真實系統上所使用的工具。而攻擊者逗留的這一段時間是相當重要的，利用這一段時間管理者可以利用監控，蒐集入侵的證據，瞭解分析攻擊者入侵的手法，藉以補強真實主機的漏洞，亦可將此入侵證據訴諸法律。誘捕系統可以降低攻擊者隨機試探或攻擊的機率，對於某些企業的營運上有較高安全性。 誘捕系統的演進： 誘捕系統的演進大致可分為三類，待宰羔羊(sacrificial lamb)、偽裝系統(facade)、以及傀儡系統(instrumented system) 第一代的 “待宰羔羊”通常是由一個現成或現有的系統，像是既有的伺服器、路由器等等，然而這些機器，系統故意留下原來易受攻擊的弱點而不去修正，將其放置在網路上看看會發生哪些事情，而這樣一個多缺點的系統必定會成為攻擊者顯著的目標，留在那裡當誘餌。再由系統管理員定期去檢查系統狀態，判斷它是否曾經遭受入侵。為了蒐集資料，在系統附近部署網路監聽器，雖然能提供詳細的追蹤資訊，但對於主機的動作卻不會提供任何資料，所以在許多情況下，必須利用人工或使用各種廠商的蒐證工具，才能做進一步的調查”偽裝系統”是一套提供目標系統的假象系統，其部屬簡單通常都是使用最簡易的安裝工作和設備，所以成本低廉，偽裝系統只有模擬有漏洞的網路服務。利用用軟體模擬某個特定的服務或應用程式，而當系統遭受試探或攻擊時，系統會蒐集攻擊者相關的資訊以方便提供管理者去分析攻擊記