IDS原理与技术探讨.ppt

經濟部九十年度科技專案國家資通安全技術服務計劃 入侵偵測系統簡介 陳培德 國立成功大學電機所博士候選人 TEL：(06)2757575-62400-675 E-Mail：peder@.tw URL：.tw Outline 入侵偵測系統原理 IDS v.s. Firewall System IDS的分類 網路式入侵偵測系統的安置 二個IDS實例介紹 網路保全系統 結論 入侵與入侵偵測 入侵指試圖破解資訊資源的可用性、必威体育官网网址性和完整性的行動。一般來說，入侵偵測指用以偵測入侵行動的方法。這包括偵測擅自闖入系統的入侵者或誤用系統資源的用戶。 入侵偵測是在一個電腦台系統或者網路中監控入侵的發生，其定義為試圖損害祕密性，完整性，有效性的入侵特徵，並分析他們的入侵事件的過程，或者繞過網路的安全機制的行為。 入侵偵測系統與原理 入侵偵測系統是一種監控工具，大都以解讀網路封包與系統日誌內容、網路流量或流向等方式來即時偵測、回報與反應可疑入侵情事，進而適時提出警訊。 入侵偵測系統 ( IDSs ) 是使在電腦系統或者網路中自動化監控事件發生過程作的軟體或者硬體，並攻擊的特性加以分析。 入侵偵測系統亦可用來進行企業內部相關安全性弱點檢測 入侵偵測系統的要求 應具備 可更新入侵辨識資料庫 簡易之管理與設定介面 具執行時自身隱藏 (passive monitors)等功能 IDS的重要性 防止防火牆和作業系統與應用程式的設定不當 偵測某些被防火牆認為是正常連線的外部入侵 了解和觀察入侵的行為企圖，並蒐集其入侵方式的資訊 監測內部使用者的不當行為 IDS v.s. Firewall System 防火牆的弱點 防火牆只能抵檔外部來的入侵行為 防火牆本身可能也存在弱點，以及其他安全性的設定錯誤 即使透過防火牆的保護，合法的使用者仍會非法的使用系統，甚至提昇自己的權限 防火牆僅能拒絕非法的連線請求，但是對於入侵者的攻擊行為仍一無所知 IDS的分類 根據資料蒐集的型態區分 Network-Based IDS Host-Based IDS Application-Based IDS 根據所使用的偵測方式區分 Misuse IDS Anomaly IDS 以資料蒐集型態區分 Network-Based IDS 以分析網路封包為主 事先預警 Host-Based IDS 以分析Logs為主 事後分析 Application-Based IDS 使用Application Logs 較易受攻擊 Network-Based IDS 網路型式的入侵偵測系統以原始網路封包作為資料來源，它通常運用網路卡於“promiscuous mode”來偵測及分析所有過往的網路通訊 當偵測到有駭客行為時，防衛系統可採多種反應方式應對，各家產品有不同的應對方式，不過，通常都有提供通知管理者、切斷連線或記錄入侵資料作為法院的證據等 網路型式入侵偵測系統的優點 成本較低 可偵測到主機型式入侵偵測系統偵測不到的 駭客消除入侵證據較困難 可偵測到未成功或惡意的入侵攻擊 與作業系統無關 網路型式入侵偵測系統的缺點 若網路的型態過大，NIDS往往會lost掉許多封包，無法完全監控網路上所有流通的封包數 若要擷取大型網路上的流量並分析，往往需要更有效率的CPU處理速度，以及更大的記憶體空間 網路型式入侵偵測系統的缺點 (cont.) 如果封包是已經經由加密過的，則NIDS就無法調查其中的內容。如此一來，可能會錯失包含在封包中的某些攻擊資訊 Network-based IDS 無法偵測目前是哪一個使用者正坐在主機前面使用該主機 Host-Based IDS 主機型式入侵偵測系統發展始於80年代早期，當時網路環境不像現在這樣複雜、交錯及普遍，在單純的主機環境中，通常只觀察、稽核系統日誌檔是否有惡意的行為，入侵行為很少，也只作“事後分析”以防止類似事件再發生。 Host-Based IDS (cont.) 主機型式入侵偵測系統目前仍是很好的工具，使用稽核日誌檔的技術，但是並納入複雜的偵測反應技術。 主機型式入侵偵測系統在Window NT環境下通常監測系統，事件及安全日誌檔，在UNIX環境下，是監測系統日誌。當有事件發生時，它即會作入侵行為的比對，若有符合，即會採取警示系統管理員其它適當的反應。 Host-Based IDS (cont.) 主機型式入侵偵測系統也引用新的技術，較常見的是監測重要的系統檔案或執行檔，在正常的時間內是否有不正常行為發生，以採取適當的反應。 主機型式IDS的優點 確定駭客是否成功入侵 監測特定主機系統的活動 補救網路型式IDS錯失偵測的入侵事件 較適合有加密及網路交換器﹝Switch﹞的環境 近於即時（Near realtime）的偵測與反應 不需另外增加硬體設備 主