Anda di halaman 1dari 51

IDS & IPS

主講:陳建民
IDS

 入侵偵測系統的起源
 入侵偵測系統的基本組成
 資訊來源(information source)
 分析架構(analysis scheme)
 反應機制(response)
入侵偵測系統的起源
 稽核(audit):產生、紀錄、和檢視系
統事件的過程。
 為了系統活動的運作正常,劃分和維護個人的
權責範圍(accountability)。
 重建事件的原貌。
 評估災害所造成的損失。
 監控系統中發生問題的區域。
 允許有效率的災害復原
 遏止不正常的系統使用。
入侵偵測系統的基本組成

 監控方法(資訊來源)
 分析架構
 反應機制
入侵偵測系統的基本組成

 監控方法(資訊來源)
 主機型(host-based, HIDS)
 網路型(network-based, NIDS)
 應用程型式(application-based)
 目標型(target-based)
 分析架構
 反應機制
主機型的監控(host-based monitor)

 HIDS是安裝在主機上的機制,可以偵測任何嘗試入侵主
機的企圖。
 NIDS是安裝在單一系統,用來偵測網路流量、找尋企圖
跨越部分網路的攻擊行為。
 HIDS是一種安裝在組織範圍的許多系統上的偵測器
(sensor),並以中控化管理方式控制的軟體程序。
 偵測器可以找尋許多不同的事件類型,並在主機系統採取
回應行為或傳送通知。
 收集電腦內部的資料,通常都是作業系統層次。
 包括作業系統的稽核軌跡和系統日誌。
主機型的監控(cont.)
 確定駭客是否成功入侵
 監測特定主機系統的活動
 補救網路型式IDS錯失偵測的入侵事件
 較適合有加密及網路交換器(Switch)的環境
 伺服器的處理器能力也是HIDS系統的其他問題之一。
 在主機上執行的偵測器程序,約需5%到15%整體CPU
時間。
 如果現有系統的偵測器負載非常重,也可能會影響到
偵測器的效率,此時或許就需要選購等級更高的系統。
HIDS偵測器的五種基本類型:

 記錄分析器(Log analyzer)
 特徵型偵測器(Signature-based sensor)
 系統呼叫分析器(System call analyzer)
 應用程式行為分析器(Application behavior
analyzer)
 檔案完整性檢查器(File integrity checker)
記錄分析器
(Log analyzer)
 記錄分析器是一種在伺服器上執行的程序,並用來適當地
監視系統的記錄檔案。
 如果記錄的項目符合HIDS偵測器程序的某些項目,就會
適時採取回應的措施。
 多數的記錄分析器,主要是用來找尋可能的安全事件。
 系統管理員通常也可以定義其他可能有幫助的記錄入口。
 記錄分析器是屬於回應系統。
 記錄分析器特別適用於追蹤內部系統授權使用者的行為。
 如果組織非常注重系統管理員或其他系統的使用者行為時,
就可以使用記錄分析器來追蹤這些行為;並可依據記錄內
容,排除管理員或使用者對系統造成的問題
特徵型偵測器
(Signature-based sensor)
 這種類型的偵測器,具有內建(built-in)的安全事件特徵,
也就是說針對內送(incoming)網路流量或記錄入口的安
全事件特徵。
 特徵型和記錄分析器偵測器之間的區別,主要是增加分析
內送流量的能力。
 特徵型系統具有偵測攻擊系統的能力,因此也可指定某種
攻擊行為的警訊。
 在攻擊行為成功或失敗之前,不論是其他類型的HIDS偵
測器或特徵型偵測器就會採取回應的行動。
 特徵型HIDS偵測器還可用於追蹤內部系統授權使用者的
行為
系統呼叫分析器
(System call analyzer)
 系統呼叫分析器可以分析應用程式和作業系統之間的呼叫,
並可以辨識安全事件。
 這種類型的HIDS偵測器,是架構在作業系統和應用程式
之間軟體。
 在希望執行應用程式的時候,就會比對特徵資料庫,來分
析應用程式執行作業系統呼叫的行為。
 特徵是屬於多種攻擊行為的範本,不過也可能是一種對
IDS系統管理員有幫助的事件。
 系統呼叫分析器、記錄分析器和特徵型HIDS偵測器,它
們防止發生的活動類型有所不同。
 如果系統呼叫符合緩衝區溢位(舉例來說)的特徵時,偵
測器就可以防止這種類型的呼叫,並因而保護系統免於遭
受到侵害。
應用程式行為分析器
(Application behavior analyzer)
 應用程式行為分析器和系統呼叫分析器非常類似,這是因
為它們也是建置在應用程式和作業系統之間的間隙之中。
 這種類型的行為分析器,它們的偵測器會先調查是否屬於
核准執行的應用程式行為,而不是先調查是否類似攻擊的
呼叫行為。
 在設定這種類型的偵測器時,應該要建立每一種允許每一
種應用程式行為的清單。
 這些商品的供應商,都會提供共通應用程式的樣本。
 需要事先分析過組織自行發展的任何應用程式,並查看允
許執行的一般性行為,並在偵測器的範本之中記錄應用程
式的行為。
檔案完整性檢查器
(File integrity checker)
 檔案完整性檢查器可以用來檢查檔案的變化情形。可透過
檔案的密碼檢查或數位簽章而達成的功能。
 如果原始檔案的任何位元發生變化(例如建檔時間和容量
等屬性),特徵的內容也會跟著發生變化。
 在檔案發生變化之後,即使利用建立這些特徵內容的演算
法,也難以建立相同的特徵。
 在設定偵測器的初始組態方面,最初用來建立特徵的演算
法也必須監視檔案的變化,且將特徵的內容儲存在安全的
地點。
 以階段性來說,監測過的檔案也都需要重新計算特徵的內
容,並和原始特徵進行比對。
 如果特徵的內容不符,也就表示檔案的內容已經發生變化。
檔案完整性檢查器
(File integrity checker)cont..
 檔案完整性檢查器本身,無法察覺任何攻擊的徵兆。
 可提供檔案完整性的檢查結果。
 如果網路伺服器遭到攻擊時,偵測器雖然無法察覺攻擊的
行為,但可確認網站的首頁是否毀損或遭到竄改。
 由於許多類似的攻擊也都含有竄改系統檔案的行為在內,
因此利用檔案完整性檢查也可偵測出系統是否遭受到侵害。
網路型的監控
(network-based monitor)

 網路型式的入侵偵測系統以原始網路封包作為資料來源
 通常把網路設備設定成”混亂模式”(promiscuous mode)
來偵測及分析所有過往的網路通訊,使得它們可以聽到網
路上經過的任何封包,藉此收集相關攻擊特徵。
 可偵測到主機型式監控偵測不到的
 駭客消除入侵證據較困難
 即時偵測及反應
 可偵測到未成功或惡意的入侵攻擊
 與作業系統無關
網路型IDS
 NIDS是一種專門用於硬體系統的軟體程序。
 NIDS軟體會監視所有流經網路介面卡的網路(不是只有
單一系統的流量)流量。接著,就可以分析、判斷是否屬
於符合攻擊規則和特徵的流量。
 NIDS系統主要是做為特徵型的偵測器。
 系統已經內建攻擊特徵資料庫,並用以比對網路線上的流
量。
 如果是屬於沒有特徵檔案的攻擊類型,NIDS也一樣無法
防範。
 NIDS也可以根據來源位址、目的地位址、來源連接埠、
目的地連接埠等,檢測網路特定流量的能力。這種功能可
以讓組織得以監控攻擊特徵之外的網路流量。
在網路環境之中配置IDS的範例
應用程式型的監控
(application-based monitor)
 從執行的應用程式中收集資料。這些資料來源包含應用程
式事件日誌,和應用程式內部產生的紀錄。
 主要是針對輸入值的辨認來偵測攻擊行動的發生,可能的
話可以直接攔截此輸入值,不讓應用程式執行到惡意的攻
擊碼。
 Malicious injection attack
 應用 protocol analysis 的觀念
 client->server 的 client flow

 server->client 的 server flow


目標式的監控
(target-based monitor)

 會自己產生資料。
 目標式的監視器使用密碼學的雜湊函式來
偵測系統物件的修改,然後和安全政策做
比較。因為這些目標物體狀態的改變會隨
時被監控,所以這種監控機制對某些系統
還滿有效的,尤其是當這些系統不能使用
其它方法時。
入侵偵測系統的基本組成

 監控方法(資訊來源)
 分析架構
 誤用偵測(misuse detection)
 異常偵測(anomaly detection)
 其它的偵測架構
 分析時機:批次vs.即時
 反應機制
誤用偵測(misuse detection)

 Misuse Detection (誤用偵測)


 Signature Based Detection (特徵型偵測
技術)
 Knowledge-based intrusion detection (知
識基礎型入侵偵測)
誤用偵測(misuse detection)

 以已知的網路攻擊手法及系統安全漏洞的資訊為
基礎,將網路攻擊或試圖利用系統安全漏洞入侵
的過程中所會產生的”特徵”累積成為一個知識庫。
入侵偵測系統會將實際發生的事件(無論是否為惡
意意圖)與此一知識庫進行特徵比對(樣版比對
pattern matching),作為評斷是否為攻擊或是可
疑的事件的依據。
 負向表列
 現今大部分的入侵偵測系統都是採用此方法。
異常偵測(anomaly detection)

 以系統正常運作為基準,所有不依照協定
規範運作的事件都會被視為是異常的事件,
不是攻擊就是程式異常。如通訊協定異常、
流量異常(Flooding、Scan...)
 正向表列
 採取統計的技巧找出不尋常活動的樣本。
 入侵其實是異常活動的某些子集合。
被認為是正常的活動 已知的異常活動
(異常偵測) (誤用偵測)

所有的系統活動
誤判率
 False positives v.s. False negatives
 主動錯誤訊息(false positives) 指的是當組
織由於惡意活動而被通知警報時候,經檢
查其實沒有任何事情發生。
 被動錯誤訊息(false negatives) 就是對於真
實的惡意攻擊者或者未授權活動偵測失敗。
其它的偵測架構
 免疫系統方法(Immune System Approaches)
 美國新墨西哥州立大學所發展
 基因演算法(Genetic Algorithm)
 代理人式的偵測(Agent-Based Detection)
 自發性代理人入侵偵測系統(Autonomous Agent for
Intrusion Detection,AAFID)
 資料採礦(Data Mining)
分析時機:批次vs.即時

 批次的分析模式意謂著資訊是以檔案的方
式傳遞給分析器,然後每隔一段時間才會
做處理。最後,當入侵事件發生時,結果
會傳回給使用者。批次方式對早期的入侵
偵測是很普遍的,因為當時的通訊頻寬和
系統處理速度都不足以支援即時的入侵監
控機制。
分析時機:批次vs.即時(cont.)
 隨著系統的速度和通訊頻寬的增加,大部分的入
侵偵測系統已經轉成即時的分析方式。
 在即時的分析過程中,當事件發生時,資訊源會
立刻傳到分析引擎,並馬上做處理。
 使用『即時』這個字眼,是因為入侵偵測系統已
經快到當攻擊事件還在進行時,就可以馬上中斷
它,並立刻做出反應。
入侵偵測系統的基本組成

 監控方法(資訊來源)
 分析架構
 反應機制
 被動vs.主動
 產生報表
反應機制—被動vs.主動
 被動:console messages、e-mail、cell phones or
pagers、和report。有些還會產生SNMP alarms和
alert。
 主動:
 修正系統弱點
 強制登出使用者
 中斷連線(發出TCP RST封包)
 加強監控、採取進一步的行動(鎖定某個可疑的來源位址)
 重新設定防火牆(阻擋可以的來源位址、管制某個port的網路
流量)
 中斷某個port的對外連線(例如HTTP)
反應機制—產生報表

 定期產生報表
 時間
 入侵事件
 來源位址/通訊埠
 目的位址/通訊埠
 使用者登入/登出紀錄
 使用者活動紀錄
CIDF
Common Intrusion Detection Framework

 CIDF Working Group (IETF)


 Set of Components
 Event Generator (E-Boxes)
 Analysis Engines (A-Boxes)
 Storage Mechanisms (D-Boxes)
 Countermeasures (C-Boxes)
 http://www.isi.edu/gost/cidf/
IDS on Linux
 Linux Intrusion Detection System
 http://www.lids.org/
 Snort
 http://www.snort.org/

 Integrity Checking
 Access Control
LIDS
Linux Intrusion Detection/Defense System

 Host-Based IDS
 Kernel Patch and Utility
 Port Scanner Detection
 Process Control
 File Control
 Trojan Protection
 Real-time Security Alert
Snort
Lightweight Intrusion Detection for Networks

 Network-Based IDS
 Packet Logging
 Sniffer Mode
 Security Alert
 Pre-processor (Rules Engine)
 Multi-OS (FreeBSD, Win2K)
現行入侵偵測技術的限制
 只能偵測出已知的攻擊模式
 以比對特徵為基礎﹙Signature-based﹚的安全機
制只能辨識出資料庫中有相對應的攻擊特徵之非法
行為,所以攻擊特徵(Signature)的開發速度會
影響安全機制的有效性。
 誤判率
 缺乏立即有效的回應
駭客攻擊程序
駭客攻擊程序
 探測﹙Probe﹚階段:在一開始,駭客最主要的目的是找
出有安全漏洞,可以下手攻擊的主機。
 滲透﹙Penetrate﹚階段:在這個階段,駭客最主要的目
的是利用特定攻擊手法,例如記憶體溢位﹙Buffer
overflow﹚,將攻擊程式傳送到攻擊目的地主機,並執行
此程式。
 常駐﹙Persist﹚階段:當攻擊程式成功的在受害主機上執
行,攻擊程式會讓自己可以常駐在受害主機上,即使受害
主機重新開機也能持續運作,供遠端搖控的駭客使用。
 擴張﹙Propagate﹚階段:是攻擊程式會特續擴張的時候,
駭客利用已經成功侵入並常駐在受害者電腦的攻擊程式尋
找鄰近網路上是否有可以攻擊的新目標。
 癱瘓﹙Paralyze﹚階段:的傷害會在此時發生,受害者電
腦的檔案被刪除,系統當機,DDOS攻擊開始進行。
Firewall & IDS & IPS

 Firewall
 IDS
 Firewall & IDS & IPS
Firewall

 port number & IP address判斷


 SQL Slammer
 SQL Server
 UDP Port 1434傳送大量376 bytes UDP封包
 buffer overflow 攻擊方式
IDS
 網路監控並提供記錄以供審核及事後追蹤
 過多的漏報及誤報
 無法即時防禦
 sniffer mode
 TCP Reset ,透過Firewall修改規則的方式
 回應能力有限
 偽造IP address
 不提供其他protocol的回應處理
 Slammer UDP 1434
 性能有待加強
 software
IDS的防護措施
網安新方向
 以分析攻擊行為為基礎(Behavior-based)的安全技術能更有效的辨
識與防止攻擊。
 以分析攻擊行為為基礎(Behavior-based)的安全機制主要優勢在:
 可以有效回應已知與未知的攻擊,預防對伺服器與一般個人電腦
造成損害;

 對攻擊的預防近乎零誤判率;

 不需陷入攻擊特徵(Signature)與安全漏洞在數目上的競爭;

 無須更新,因為入侵預防﹙Intrusion Prevention﹚系統並不會使用
到攻擊特徵(Signature)。
 以分析攻擊行為為基礎(Behavior-based)的安全機制真正做到入侵
預防而非只是偵測攻擊,於是也稱之為入侵預防﹙Intrusion
Prevention﹚,可以提供更實質的保障。
IPS
 IPS (Intrusion Prevention System)
 為IDS延伸及功能增強的產品
 關鍵差異:主動防禦及IN-line mode

 即時偵測發揮主動防禦功能
 線速運行(wire-line speed)
 多重回應能力
 block packet、block connection 、 e-mail alarm 、
log event
IPS
 多種監控模式
 inline Mode - Detect and Action
 monitor Mode - Detect Only
 tap Mode - Detect and Send TCP Reset
 bypass Mode - Bypass all packets
 stop Mode - Drop all packets
 span Mode - Detect and Send TCP Reset two network
segment at same time
 多種檢測技術
 DDOS 、 Buffer Overflow 、 Access Control 、 Trojan
、 Scan 、 Other
IPS運行架構
Fire Wall vs. IPS
Application
Presentation

Session

Transport

Network

Data Link
Physical
Fire Wall vs. IPS
Firewall IPS

主要功能 資源控管 入侵防禦

控管層級 Layer 4 Layer 7

防毒功能 無 少部份功能

Log Traffic Log 可詳細檢測


封包內容

取代性 IPS與Firewall兩者需相互搭配達更佳的安全性
IDS vs. IPS
├ Passive IDS ( sniffer mode)
Hub
LAN
WAN

IDS
Intrusion Prevention System (IPS)
├ In-Line mode

WAN LAN
IPS
IDS vs. IPS
IDS IPS

防禦方式 Passive Active


sniffer mode in-line mode

防禦動作作 通知防火牆 丟棄惡意封包


TCP reset 中斷連線
中斷連線
入侵偵測防禦 先進攻擊分析 完整攻擊蒐證 自動網路系統 可靠之軟硬體
報表 強化更新 整合設備
BroadWeb 主動阻隔非法 內含完整先進 連線記錄及完 網路更新偵測 最佳化之軟硬
入侵 攻擊分析報表 整封包記錄 引擎及攻擊辨 體整合產品
(AIDP) 識碼/UD
CA eTrust Firewall 另購管理軟體 Log封包頭 N/A Software
reconfigure
Cisco Router 另購管理軟體 Log封包頭 僅更新攻擊辨 Appliance
IDS reconfigure 識碼
Enterasys Alert 另購管理軟體 Log封包頭 僅更新攻擊辨 Appliance/
Dragon 或設備 識碼 Software

ISS Firewall 另購管理軟體 Log封包頭 僅更新攻擊辨 Software


Real Secure reconfigure 識碼/UD

Intrusion Firewall 另購管理軟體 Log封包頭 N/A Appliance/


SecurNet reconfigure Software

Symantec Firewall 另購管理軟體 Log封包頭 僅更新攻擊辨 Software


NetProwler reconfigure 識碼/UD
HackerLab Alert 內含簡易分析 N/A 僅更新攻擊辨 Appliance
NIDS 識碼

Anda mungkin juga menyukai