入侵防御系统取代入侵侦测系统.PPT

IPS (Intrusion Prevention System)入侵防禦系統 簡報目錄 為何需要防禦系統 資安應用現況與瓶頸 入侵防禦系統取代入侵偵測系統 -何謂入侵偵測系統(IDS) -何謂入侵防禦系統(IPS) 網路防禦系統整合趨勢 入侵防禦系統技術的發展與運用 結論 Q A 為何需要防禦系統? 《原因》： 資安事件頻傳，安全機制不足。 ISO 17799 BS7799 的安全規範趨勢。 防毒防駭法令規章三讀通過，避免無知觸法行為。(2003年6月底) 《目標》： 防火：將網路資源進行有效的安全控管。 防毒：防止病毒的散播。 防駭：防禦攻擊事件的入侵。 資安應用現況與瓶頸 2002年MIC資通安全軟硬體的應用調查： 實體與人員安全管理觀念普及。 病毒感染事件頻傳，防毒軟體成為最普遍的應用。 網路安全管理工具仍流於被動式應用。 《解讀》： 顯示國內對主動式防禦系統的觀念仍然未普遍建立，導致在資安事件頻傳的同時，仍不免受到災害波及。 防毒軟體多數環境雖已建立，但未建置全面性的防毒系統，仍將導致徒勞無功而飽受病毒威脅。 入侵防禦系統取代入侵偵測系統 防火牆防不到的攻擊 緩衝區溢位攻擊(Buffer Overflows) 通訊埠掃瞄攻擊(Port Scans) 木馬程式攻擊(Trojan Horses) 碎片封包攻擊(IP Fragmentation) 蠕蟲攻擊(Worms) 系統與應用程式漏洞攻擊(System Application Vulnerabilities) 防毒軟體解不了的攻擊 緩衝區溢位攻擊(Buffer Overflows) 通訊埠掃瞄攻擊(Port Scans) 系統與應用程式漏洞攻擊(System Application Vulnerabilities) 阻斷服務與分散式阻斷服務攻擊(DoS/DDoS) 何謂入侵偵測系統?(Intrusion Detection System) 《源起》： 防火牆無法偵測駭客的攻擊行為。 無法獲得普遍認同的原因： 採用監聽方式，無法有效阻擋攻擊入侵。 使用艱澀難懂的技術語言，維護困難。 建置成本過高。 誤判率太高，經常收到錯誤訊息。 傳統建置解決方案 何謂入侵防禦系統?(Intrusion Prevention System) 《源起》： 入侵偵測系統無法有效防禦攻擊。 獲得青睞的原因： 採用In-line(即時分析)模式，能於第一時間阻絕攻擊封包。 多種檢測方法，高準確度時代來臨。 硬體技術提昇快速，彌補以往處理效能不足的困惑。 入侵防禦系統基本三要件 主動式防禦In-Line mode(即時分析)架構，即時阻絕過濾攻擊封包的技術： 設在網路進出的咽喉點上。 過濾的是攻擊的封包而非攻擊的來源 。 多種檢測技術，高準確度： 特徵資料庫分析（Signature Analysis）。 異常通訊協定分析（Protocol Anomaly Analysis）。 異常行為模型分析（Behavior Anomaly Analysis）。 能進行封包正規化 (Normalization)與組合（Assembly）。 高處理效能，不能影響既有網路的運作： Hardware Bypass與 Software Bypass功能或Cluster架構 。 網路處理器(Network Processor）或整合式處理晶片（ASIC） 。 入侵防禦即時阻絕攻擊 真防禦與假防禦的簡單驗證法 內外兼具的防禦系統 Network IDS的發展演進 傳統式的NIDS 被動式入侵偵測系統 (監聽封包) 開放式的作業系統 攻擊特徵資料庫比對 目前潮流的NIDS 主動式入侵偵測防禦系統 (阻絕封包) 專屬的安全作業系統 攻擊特徵資料比對, 異常通訊協定檢測 未來新趨勢的NIDS 主動式入侵偵測防禦系統 (阻絕封包) 專屬的安全作業系統 攻擊特徵資料比對, 異常通訊協定檢測, 異常行為模型分析 網路防禦系統整合趨勢 主動防禦系統還要搭配主動偵測工具。 主動防禦系統 ? Firewall、IPS、Anti-Virus Scan 主動偵測弱點的工具 ? Vulnerability Assessment Scanner 入侵防禦系統技術的發展與運用(1) 《遭受問題》  難以完全融入大型交換式網路。 假警報影響正常流量。 偵測能力不足，惡意攻擊程序趁隙滲入內部。 越趨複雜的技術與產品，增加網路管理、建置的複雜度。 入侵防禦系統技術的發展與運用(2) 《理想方案》 採用同質（homogeneous）平台，整合安全措施與網路設備。 防禦零日（zero-day）攻擊：採用更精明的特徵過濾與網路協定分析工具，過濾網路流量。 入侵防禦系統、防火牆、代理伺服器等