结合入侵侦测与蜜罐之分散式预警系统的设计与实现.pdf

結合入侵偵測和蜜罐之分散式預警系統的設計與實現 黃培生 高雄師範大學資訊教育研究所 blhtw@ 楊中皇 高雄師範大學資訊教育研究所 chyang@.tw 摘要摘要 摘要摘要 網路世界的攻防是永無止境的戰爭 。伴隨著網際網路的快速發展，網路攻擊也隨之增加且 多樣化，面對不斷變種的惡意程式和推陳出新的攻擊手法 ，僅使用傳統防火牆和入侵偵測技術 的系統已無法對應此一快速變化 。為因應此一趨勢，可藉蜜罐吸引惡意攻擊 ，並將攻擊過程記 錄下來 ，藉蜜罐收集的資訊(如：攻擊類型 、惡意程式檔案、執行的程序和指令等) ，分析惡意 攻擊所使用的方法、工具及動機，以作為預測或防治攻擊的參考資料。 本研究結合開放原始碼軟體建立一套分散式預警系統 ，收集大範圍的網路攻擊趨勢包含惡( 意程式活動和駭客攻擊行為 )及警示訊息通知 ，藉由彙整過的資訊 ，讓資訊安全人員提前收到警 訊通知 ，並瞭解目前網路攻擊的行為與意圖，以擬定應變措施 、確保網路安全 。本系統結合 Snort 、Nepenthes 、Sebek等入侵偵測及蜜罐工具 ，增加不同攻擊面向的記錄、分析能力。若發 生攻擊行為，管理者可收到正在進行的攻擊警告，並使用統計攻擊資訊，來瞭解攻擊行為特性、 推論發動攻擊的工具與方式 。建置完成的分散式預警系統可安裝於一Live USB ，藉由Live USB 的高可攜性與隨插即用的特色 ，降低分散式預警系統部署的負擔 。 關鍵字關鍵字 : 防火牆、入侵偵測系統、蜜罐、Live USB 。 關鍵字關鍵字 一、一、前言前言 明擁有 防毒軟體並使用傳統防火牆搭配入侵 一一、、前言前言 近年來網際網路的蓬勃進展，讓訊息得以 偵測的系統 ，已無法有效遏止網路攻擊的 威 快速傳遞 、資訊能迅速流通 ，進而帶動了全球 脅。如果能在電腦遭受攻擊的第一時間，立即 化網路和電子商務的發展熱潮 ；然而網際網路 記錄攻擊事件的來源 、手法，對其進行分析比 如此快速地發展，若未能同步重視網路安全基 對與推論後續可能的攻擊 ，並提供給資訊安全 礎建置 ，將招致駭客利用惡意程式 、系統漏洞 人員相關警示和資訊，藉以發佈安全警訊 、研 和程式弱點等影響網路安全 ，進而入侵、破壞 判攻擊型態 、可能造成的危害、採用的方法或 系統和竊取、竄改資料，使得個人、企業資料 工具，對潛在的攻擊與損害預先掌握 ，能有效 的外洩 ，造成侵犯他人隱私、引發財物損失等 減緩 並降低資訊安全風險 。 問題 。 傳統惡意程式 （Malicious Code/Malware ） 傳統防禦網路攻擊行為是以防火牆搭配 之定義為 ：任何惡意、未經授權存取 、不符合 入侵偵測系統實行[12] ，但如此一來會造成二 預期的程式 [17] 。比如電腦病毒 (Virus) 、蠕蟲 種問題 [6] ：第一，攻擊者只要得知防火牆允 (Worm) 、木馬/後門程式 (Trojan/Backdoor 許外界存取哪些服務 ，便可通過防火牆存取內 Software) 、危險程式(Riskware) 等威脅程式皆 部伺服器 ，進行下一步攻擊；第二，入侵偵測 為惡意程式。根據賽門鐵克第十三 期網路安全 系統無法提供後續攻擊資訊 來瞭解敵人，降低 威脅研究報告[7] ，2007 年偵測到71萬 1912件 攻擊造成的損失 。根據CSI/FBI (Computer 全新威脅，較2006年增加468% ；迄2007年底 Security Institute / Federal Bureau of 所偵測之惡意程式碼威脅總數已增至 112萬 Investigation) 2008 年的電腦犯罪與安