第三章骇客入侵流程解析-云科大计算机网路研究室.ppt

3.4 入侵偵測與防護系統 由於入侵偵測系統無法有效的阻擋網路攻擊，因而發展出入侵防護系統。 入侵防護系統 所有封包都需經過入侵防護系統 採用即時分析(In-line)模式，能在第一時間阻擋攻擊封包 阻擋的是攻擊封包而不是攻擊來源 多種檢測方法，降低誤報率 特徵資料庫分析 (Signature Analysis) 異常通訊協定分析 (Protocol Anomaly Analysis) 異常行為模組分析 (Behavior Anomaly Analysis) 入侵防護系統所面臨的問題 難以使用在大型網路上 若是誤判，會影響到正常使用者 由於要檢查所有的封包，所以會影響到網路速度 隨著網路技術與產品的發展，可能會增加網路管理及建置的困難度 第三章 駭客入侵流程解析 * 3.5 網路誘捕系統 隨著網路技術的發展，現在的資安科技無法提供絕對的安全防護，所以“資訊偽裝”及“誘補與欺敵”是防衛重要資訊的重要手段。 網路誘補系統是經過精心規劃，以大量的陷阱吸引攻擊者，引誘攻擊者發動攻擊，再利用資料擷取工具，加以記錄並分析。 首先出現的商用誘捕系統是DTK Deception ToolKit，其後引發一系列的研究，其中成果最顯著的為 Honeynet Project 及 Honeypot。 Honeynet Project 是透過學習駭客群體的動機、攻擊工具及攻擊策略，分析駭客的行為與威脅，並將結果發表於“Know Your Enemy”系列文章。 Honeypot 是一個故意被設計成有缺陷的系統，讓攻擊者易於攻擊，誘使攻擊者進行攻擊，藉此欺敵來保護重要的系統或是對攻擊者的行為進行分析。 第三章 駭客入侵流程解析 * 3.5 網路誘捕系統 Honeypot 依其回應的方式可分為 低互動型 (low-interaction) 高互動型 (high-interaction) 低互動型 藉由模擬服務與作業系統來達成 較容易部署與維護，風險也比較小 高互動型 使用真正的應用程式與作業系統 通常包括多台主機，這些主機是隱藏在防火牆後面的，所有進出的封包都受到監控、補獲及控制 可經由補獲的封包，進一步分析入侵者使用的工具、方法及動機 第三章 駭客入侵流程解析 * 3.5 網路誘捕系統 Honeyd 低互動型的 Honeypot 主要功能是監控沒有使用的 IP 當Honeyd發現有人企圖對一個不存在的系統進行連線時，便會偽裝成一個系統做回應並記錄對方的行為 缺點 較容易被入侵者識破 第三章 駭客入侵流程解析 * 3.5 網路誘捕系統 Honeynet 高互動型的 Honeypot 分成三大部分 資料控制 (data control) 資料擷取 (data capture) 資料分析 (data analysis) 資料控制 防止入侵者在取得 Honeynet 中的電腦權限後，利用 Honeynet 作為跳板對其他主機進行攻擊，因此我們必須要對入侵者可能得到的權限作限制。 資料擷取 對在 Honeynet 中進行活動的入侵者做監測和記錄的工作。 在不被入侵者發現的情況下獲取最多的資訊。 資料分析 透過蒐集來的系統記錄，統計分析事件、資料關連分析與報表制作等等。 第三章 駭客入侵流程解析 * 3.5 網路誘捕系統 Virtual Honeynet 允許在同一時間，同一硬體平臺上運行多個作業系統的虛擬軟體。 虛擬Honeynet本質上不是一種新技術，它們只是採用了Honeynet技術的概念，而把它們實現在一個系統上。 優點 花費較小 虛擬的系統，不需要額外的設備。 易於管理 集中在一台管理。 缺點 配置限制多 例如無法在一個虛擬Honeynet中配置Alteon switch、Cray computer等。 風險高 破壞虛擬軟體，並且控制整個Honeynet，從而達到對整個系統的控制。 第三章 駭客入侵流程解析 * 3.5 網路誘捕系統 Virtual Honeynet種類 獨立 Virtual Honeynet (Self-Contained Honeynet) 一個獨立虛擬Honeynet是被濃縮到一台電腦上的一個完整的Honeynet網路 。 混合 Virtual Honeynet(Hybrid Honeynet) 不局限於一台機器，而是把它的組成部分分開在多台機器上部署，是傳統Honeynet和虛擬軟體的混合體 。 第三章 駭客入侵流程解析 * 3.5 網路誘捕系統 獨立 Virtual Honeynet 優點 可攜性高 虛擬Honeynet能夠搭建於移動式電腦上，能被帶到任何地方。 資金和空間上的節省 只需要一台電腦，可減少硬體上的開支。 缺點 容錯性差 如果硬體出了問題，整個Honeyne