网路即时监控及入侵侦测.ppt

網路即時監控及入侵偵測 劉凱維 鄭黃翔 朱文藝 謝其璋 Outline 駭客入侵手法分析與舉例 各手法簡介 Buffer overflow demo 駭客會怎麼做?!Think like a Cracker 攻擊方式簡介(DDoS) DoS/DDoS 資源耗竭 SYN flooding ping flooding 頻寬消耗 ICMP Broadcast UDP Broadcast DDoS的處理 DDOS 發生: 通知 ISP (如果目標為單一主機)改變DNS伺服器上的IP位址 (如果攻擊並不複雜)利用防火牆的規則或是router的access control lists來過濾封包 阻擋特定來源的所有封包 攻擊方式簡介(U2R) Remote Gain Root (U2R) 針對系統漏洞使用exploit code取得root權限的一種攻擊 例如使用緩衝區溢位(Buffer Overflow)技巧 攻擊方式簡介(R2L) Remote File Access (R2L) 運用服務(Service)的弱點 存取系統安全相關檔案或使用者密碼檔 例如: 某機器開啟IIS web service http://target/scripts/..%c1..%lc../winnt/system32/cmd.exe?/c+dir 攻擊方式簡介(Backdoor) Backdoor 誘使受害者執行伺服端後門程式 ex：Subseven, BO2K 於受害主機上Listen一個port等待駭客建立連線 缺點：無法穿越防火牆 (∵一般防火牆允許內部向外建立連線) 不主動Listen一個port，相反的駭客可於中繼站Listen一個port，由後門程式週期性地嘗試向中繼站建立連線 目前後門程式發展的趨勢 E-Mail欺騙實例 惡意網站攻擊範例 未來的後門程式 攻擊方式簡介(Port Scan) Port Scan 取得受害端主機 的相關資訊 nmap 認識入侵偵測技術 Outline 入侵偵測技術理論介紹 基礎概念 偵測分析方法 入侵偵測技術的型態 網路型﹙network-based﹚ 主機型﹙host-based﹚ 不當行為偵測﹙ misuse detection﹚ 異常偵測﹙ anomaly detection﹚ 網路型入侵偵測系統 網路型入侵偵測系統(NIDS) 分析網路封包 比對資料庫的已知攻擊特徵 主機型入侵偵測系統 主機型入侵偵測系統(HIDS) 稽核日誌檔(log file) 代理程式(Agent) 拿系統事件與攻擊特徵資料庫做比對 監控應用程式 系統檔案是否被更改過 現行入侵偵測技術的限制 攻擊模式判斷上的限制 誤判率 缺乏立即的回應 入侵偵測系統的偵測效能 影響因子： 訂立適當偵測特徵 Data Mining特徵分類技術 偵測分析方法選取 入侵特徵選取方法 計算所有特徵發生之機率 分類、聯合規則、頻繁片段 RIPPER 入侵偵測系統的偵測效能 偵測分析方法選取 有限狀態機 (Finite State Machine) 統計分析 (Statistical Analysis) 類神經網路 (Neural Network) 貝氏網路 (Bayesian Network) 模糊理論 (Fuzzy Theory) 偵測分析方法(FSM) 有限狀態機 起始狀態、輸出狀態、狀態轉變函數、輸出函數 一個入侵行為就是一連串系統的狀態改變 偵測分析方法(SA) 統計分析 建立規則(normal profile) 監控模式 V.S 預期模式 偵測分析方法(NN) 類神經網路 屬於異常偵測模式 缺點 很長的訓練時間 新增訓練規則得重新訓練 好的訓練資料取樣 偵測分析方法(NN) 類神經分析技術 Self-organization Map 偵測分析方法(NN) 偵測分析方法(NN) 偵測分析方法(BN) 貝氏網路 運用條件機率 有預測未知事件發生的能力 兩個階段： 架構出特徵與入侵攻擊關係圖 訓練取得正常行為模式 透過計算定義好的公式來偵測入侵 偵測分析方法(BN) 貝氏分析方法實作舉例(SYN Flooding) 偵測分析方法(BN) If Pm(tcp) 0.91 V(R) 1 Vm(syn) 1.15 Vm(syn+ack) 1.15 Vm(sip) 80 Vm(dip) 80 then SYN Flooder happen 偵測分析方法(FT) 模糊理論(Fuzzy Theory) 偵測分析方法(FT) Fuzzy Inputs： COUN