入侵侦测与网路病毒.pptxVIP

14-1 入侵偵測系統簡介入侵偵測系統 (Intrusion Detection System, IDS)種類 主機型入侵偵測系統 (Host-based IDS, HIDS) 防火牆入侵偵測 主機入侵偵測 網路型入侵偵測系統 (Network-based IDS, NIDS) 誘捕防禦系統 (Deception Defense System, DDS)14-2 入侵偵測與防火牆 (1)入侵偵測與防火牆架設14-2 入侵偵測與防火牆 (2)私有網路的安全措施14-3 駭客身份駭客 (Hacker) 身份 網路安全專家 學生 犯罪型入侵者 商業間諜 恐怖份子 內部使用者14-4 入侵技巧入侵步驟 選定入侵目標 目標確認 攻擊方法選取 展開攻擊 入侵技巧竊聽與窺視 停止服務 取代服務 扮演中間人 14-4-1 竊聽與窺視技巧竊取密碼 訊務分析 網路位址掃描 連接埠口掃描 網路命令探索 SNMP 資料蒐集14-4-2 阻斷服務技巧阻斷服務 (Denial of Service, DoS) 技巧 Ping 到死 SYN 攻擊 ICMP 氾濫 弱點攻擊 DNS Cache 污染 路由重導 14-4-3 取代服務取代服務技巧 來源路由替換 伺服器取代 登入伺服器取代 14-4-4 中間人扮演中間人扮演技巧路由重導 DNS cache 污染14-5 入侵偵測系統Intrusion Detection System (IDS) 監視並分析用戶與系統的活動 檢查系統配置與漏洞 評估系統關鍵性資源與資料的完整性 辨識已知的攻擊行為 14-5-1 入侵偵測元件入侵偵測系統之元件事件產生器 (Event Generator) 事件分析器 (Event Analysis) 事件資料庫 (Event Database) 反應元件 (Response Units) 14-5-2 入侵事件來源系統和網路日誌 目錄及檔案稽核 程式執行稽核 訊務收集 實體網路架構14-6 入侵偵測技術入侵偵測技術 異常偵測 (Anomaly Detection)：如果訊息的行為超出正常範圍之外，或出現有『不應該出現的動作』，則判斷為入侵行為。　誤用偵測 (Misuse Detection)：如果訊息的行為與其它入侵行為相同 (或類似 )時，則判斷為入侵行為。14-6-1 特徵型偵測技術誤用偵測 (Misuse Detection) 或 特徵型偵測 (Signature-based Detection) 可能出現的問題： 攻擊特徵的更新 可能的規避手法 將完整連線分割 分割封包 淹沒攻擊 編碼問題 警報誤報問題 14-6-2 異常型偵測技術異常偵測 (Anomaly Detection) 或異常行為偵測 (Behavioral Anomaly Detection) 協定異常偵測 (Protocol Anomaly Detection) 異常範例： 使用伺服器不支援之命令 伺服器超出協定範位或預期的回應訊息 封包重組會造成資料重疊或被覆蓋的現象 ICMP 封包超出正常比率 異常封包標頭 來源 IP, Port 與目的 IP, Port 相同 在 HTTP, POP, IMAP 協定中出現 Shell 命令 14-6-3資料引擎 (1)檢測與判斷依據 誤用偵測： 假設所有都是不符合入侵行為，再找出符合入侵行為 異常偵測： 假設所有都是異常行為，再找出正常行為 14-6-3資料引擎 (2)正常與非正常活動 資料引擎 (Data Engine) 專家系統 (Export System) 有限狀態機 (Finite State Machine) 統計分析 (Statistical Measure) 類神經網路 (Neural Network) 資料探勘 (Data Mining) 14-7 主機型入侵偵測系統Host-based IDS (HIDS) 防火牆入侵偵測 伺服主機入侵偵測 14-7-1 防火牆入侵偵測後門 (back Door) 偵測 網路阻斷偵測 服務過載 訊息洪流 阻斷攻擊 14-7-2 伺服主機入侵偵測系統日誌 安全稽核 主機阻斷偵測 14-8 網路型入侵偵測系統 (1)Network-based IDS (NIDS) 可使用誤用偵測、異常偵測，或混合型偵測系統 (Hybrid IDS) 獨立系統 可能無法偵測之封包： 處理能力問題 交換器隔離 HIDS 安全性問題 14-8 網路型入侵偵測系統 (2)NIDS 設備裝置14-8 網路型入侵偵測系統 (3)安全性 NIDS 配置14-9 誘捕型防禦系統誘捕型防禦系統 (Deception Defense System, DDS) 蜜蜂罐 (Honeypot) 功能： 消耗攻擊者時間 錯誤安全措施 降低被攻擊可能 蜜