入侵侦测防御系统.PPT

第七章 入侵偵測防禦系統 第七章 入侵偵測防禦系統 前言 7.1 Detection Technology 7.2 Host-Based Intrusion Detection Systems 7.3 Network-Based Intrusion Detection Systems 7.4 Configure Intrusion Prevention on a Router 隨著網路入侵手法不斷更新，使得網路安全遭受到更嚴厲的挑戰，在目前各種防禦機制中，入侵偵測系統(Intrusion Detection System，簡稱IDS)能偵測出可能的入侵行為，並發出警報通知網管人員，提高系統的防禦能力。 本章先介紹入侵偵測系統的技術與方法，接著說明二種入侵偵測的基本架構: 網路型入侵偵測系統(Network-based IDS，簡稱NIDS)與主機型入侵偵測系統(Host-based IDS，簡稱HIDS) ；最後我們會介紹如何在Router上啟動入侵偵測功能。 7.1 Detection Technology and Techniques Intrusion Detection（入侵偵測）的定義為「偵測不適當、不正確或是異常活動的技術」。入侵偵測系統可以補強防火牆不足的功能，一般防火牆只能對某個服務存取進行限制，但是無法偵測通過的封包是否異常。而IDS可以分析通過的封包或系統的日誌檔，並根據所建立好的入侵特徵資料庫作比對，以偵測出異常事件並發出警報。 如左圖所示，入侵偵測系統依照佈署位置及檢查重點的不同，可分為下列兩種： 網路型入侵偵測系統(Network-based Intrusion Detection System，簡稱NIDS)，NIDS通常佈署在一個網段(Segment)上，監看及分析流經此網段的網路封包，以偵測出可能帶有入侵行為的封包。 主機型入侵偵測系統(Host-based Intrusion Detection System，簡稱HIDS)，HIDS則是佈署在主機或是伺服器上，主要的功能在於分析主機(Host)或是伺服器(Server)上被呼叫或執行的指令，由此偵測出可能帶有惡意的系統呼叫(System Call)指令。 7.1 Detection Technology and Techniques 入侵偵測如果依照偵測的技術做分類，則可以分成，錯誤偵測(Misuse-based Detection)與異常偵測(Anomaly-based Detection) 錯誤偵測(如左上圖所示) ： 此為最常用於IDS上的偵測方式，它又稱為特徵偵測（Signature-based Detection）」，顧名思義就是系統會先針對入侵特徵建立一個資料庫，只要偵測的封包與資料庫的某個特徵相符，系統就會將它視為入侵。 優點：與異常偵測方式相比，誤報率(False Positive Rate)較低。 缺點：因為未知型態的入侵行為並未建立在特徵資料庫中，故新型態的入侵行為無法偵測出來。 異常偵測(如左下圖所示) ： 此方法則是對正常的使用者或網路流量先建立一個描述「正常」行為的行為資料庫，再對通過的封包去做比對，假如超過正常行為的門檻值就可視為異常。 優點：可以偵測未知型態的入侵。 缺點：與錯誤偵測方式相比，誤報率(False Positive Rate)會較高，因為我們很難去正確定義何謂「正常」? 況且使用者的行為也經常在變，導致誤報經常發生。 7.1 Detection Technology and Techniques 目前常用來實現IDS的技術(Techniques)大致可分為下列幾種： 專家系統 (Expert System)：雇請專家來分析攻擊行為，並將其轉換成系統可用之「攻擊特徵碼」或攻擊規則，IDS便依照此攻擊特徵碼來判斷是否有攻擊發生。 統計分析 (Statistical Measure)：此種方式會蒐集網路的歷史封包記錄，建立屬於正常連線或行為的Model，往後只要當網路封包或使用者的流量超過Model所定義的範圍時，將認為發生異常事件或是有入侵行為產生。 類神經網路 (Neural Network)：此種方式需先蒐集正常或攻擊的封包，並將這些封包丟給神經網路做訓練(training)，讓神經網路學習何為正常，何為攻擊，再將訓練完成的神經網路拿來當做偵測引擎，當神經網路認為是入侵行為時，則發出警報。 資料探勘 (Data Mining)：此種方式可在一群正常或是攻擊的封包中，去尋找出最經常出現的正常(或是攻擊)特徵；若是對攻擊封包做探勘，則可以得到此攻擊的攻擊特徵碼。在偵測階段，只要偵測引擎發現封包與攻擊特徵碼相同時，則發出警報。 7.1 Detection Techn