课件：第十四章 入侵侦测与网路病毒.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 第十四章 入侵偵測與網路病毒 14-1 入侵偵測簡介 14-2 入侵偵測與防火牆 14-3 駭客身份 14-4 入侵技巧 14-5 入侵偵測系統 14-6 入侵偵測技術 14-7 主機型入侵偵測系統 14-8 網路型入侵偵測系統 14-9 誘捕型防禦系統 14-10 網路病毒 * 14-1 入侵偵測系統簡介 入侵偵測系統 (Intrusion Detection System, IDS)種類? 主機型入侵偵測系統 (Host-based IDS, HIDS) 防火牆入侵偵測 主機入侵偵測 網路型入侵偵測系統 (Network-based IDS, NIDS) 誘捕防禦系統 (Deception Defense System, DDS) * 14-2 入侵偵測與防火牆 (1) 入侵偵測與防火牆架設 * 14-2 入侵偵測與防火牆 (2) 私有網路的安全措施 * 14-3 駭客身份 駭客 (Hacker) 身份 網路安全專家 學生 犯罪型入侵者 商業間諜 恐怖份子 內部使用者 * 14-4 入侵技巧 入侵步驟 選定入侵目標 目標確認 攻擊方法選取 展開攻擊 入侵技巧 竊聽與窺視 停止服務 取代服務 扮演中間人 * 14-4-1 竊聽與窺視技巧 竊取密碼 訊務分析 網路位址掃描 連接埠口掃描 網路命令探索 SNMP 資料蒐集 * 14-4-2 阻斷服務技巧 阻斷服務 (Denial of Service, DoS) 技巧 Ping 到死 SYN 攻擊 ICMP 氾濫 弱點攻擊 DNS Cache 污染 路由重導 * 14-4-3 取代服務 取代服務技巧 來源路由替換 伺服器取代 登入伺服器取代 * 14-4-4 中間人扮演 中間人扮演技巧 路由重導 DNS cache 污染 * 14-5 入侵偵測系統 Intrusion Detection System (IDS) 監視並分析用戶與系統的活動 檢查系統配置與漏洞 評估系統關鍵性資源與資料的完整性 辨識已知的攻擊行為 * 14-5-1 入侵偵測元件 入侵偵測系統之元件 事件產生器 (Event Generator) 事件分析器 (Event Analysis) 事件資料庫 (Event Database) 反應元件 (Response Units) * 14-5-2 入侵事件來源 系統和網路日誌 目錄及檔案稽核 程式執行稽核 訊務收集 實體網路架構 * 14-6 入侵偵測技術 入侵偵測技術 異常偵測 (Anomaly Detection)： 如果訊息的行為超出正常範圍之外，或出現有『不應該出現的動作』，則判斷為入侵行為。 　 誤用偵測 (Misuse Detection)： 如果訊息的行為與其它入侵行為相同 (或類似 )時，則判斷為入侵行為。 * 14-6-1 特徵型偵測技術 誤用偵測 (Misuse Detection) 或 特徵型偵測 (Signature-based Detection) 可能出現的問題： 攻擊特徵的更新 可能的規避手法 將完整連線分割 分割封包 淹沒攻擊 編碼問題 警報誤報問題 * 14-6-2 異常型偵測技術 異常偵測 (Anomaly Detection) 或異常行為偵測 (Behavioral Anomaly Detection) 協定異常偵測 (Protocol Anomaly Detection) 異常範例： 使用伺服器不支援之命令 伺服器超出協定範位或預期的回應訊息 封包重組會造成資料重疊或被覆蓋的現象 ICMP 封包超出正常比率 異常封包標頭 來源 IP, Port 與目的 IP, Port 相同 在 HTTP, POP, IMAP 協定中出現 Shell 命令 * 14-6-3資料引擎 (1) 檢測與判斷依據 誤用偵測： 假設所有都是不符合入侵行為，再找出符合入侵行為 異常偵測： 假設所有都是異常行為，再找出正常行為 * 14-6-3資料引擎 (2) 正常與非正常活動 資料引擎 (Data Engine) 專家系統 (Export System) 有限狀態機 (Finite State Machine) 統計分析 (Statistical Measure) 類神經網路 (Neural Network) 資料探勘 (Data Mining) * 14-7 主機型入侵