600 likes | 790 Views
經濟部九十年度科技專案 國家資通安全技術服務計劃 入侵偵測系統簡介. 陳培德 國立成功大學電機所博士候選人 TEL : (06)2757575-62400-675 E-Mail : peder@crypto.ee.ncku.edu.tw URL : http://crypto.ee.ncku.edu.tw. Outline. 入侵偵測系統原理 IDS v.s. Firewall System IDS 的分類 網路式入侵偵測系統的安置 二個 IDS 實例介紹 網路保全系統 結論. 入侵與入侵偵測.
E N D
經濟部九十年度科技專案國家資通安全技術服務計劃入侵偵測系統簡介經濟部九十年度科技專案國家資通安全技術服務計劃入侵偵測系統簡介 陳培德 國立成功大學電機所博士候選人 TEL:(06)2757575-62400-675 E-Mail:peder@crypto.ee.ncku.edu.tw URL:http://crypto.ee.ncku.edu.tw
Outline • 入侵偵測系統原理 • IDS v.s. Firewall System • IDS的分類 • 網路式入侵偵測系統的安置 • 二個IDS實例介紹 • 網路保全系統 • 結論
入侵與入侵偵測 • 入侵指試圖破解資訊資源的可用性、保密性和完整性的行動。一般來說,入侵偵測指用以偵測入侵行動的方法。這包括偵測擅自闖入系統的入侵者或誤用系統資源的用戶。 • 入侵偵測是在一個電腦台系統或者網路中監控入侵的發生,其定義為試圖損害祕密性,完整性,有效性的入侵特徵,並分析他們的入侵事件的過程,或者繞過網路的安全機制的行為。
入侵偵測系統與原理 • 入侵偵測系統是一種監控工具,大都以解讀網路封包與系統日誌內容、網路流量或流向等方式來即時偵測、回報與反應可疑入侵情事,進而適時提出警訊。 • 入侵偵測系統 ( IDSs ) 是使在電腦系統或者網路中自動化監控事件發生過程作的軟體或者硬體,並攻擊的特性加以分析。 • 入侵偵測系統亦可用來進行企業內部相關安全性弱點檢測
入侵偵測系統的要求 • 應具備 • 可更新入侵辨識資料庫 • 簡易之管理與設定介面 • 具執行時自身隱藏 (passive monitors)等功能
使用者 目前的操作 使用者的歷史行為 攻擊檢測 繼續監測 專家系統 類神經網路模型 攻擊? NO YES 中斷連線 紀錄其攻擊證據 恢復受攻擊的資料 即時入侵偵測的功能原理圖
IDS的重要性 • 防止防火牆和作業系統與應用程式的設定不當 • 偵測某些被防火牆認為是正常連線的外部入侵 • 了解和觀察入侵的行為企圖,並蒐集其入侵方式的資訊 • 監測內部使用者的不當行為
IDS v.s. Firewall System • 防火牆的弱點 • 防火牆只能抵檔外部來的入侵行為 • 防火牆本身可能也存在弱點,以及其他安全性的設定錯誤 • 即使透過防火牆的保護,合法的使用者仍會非法的使用系統,甚至提昇自己的權限 • 防火牆僅能拒絕非法的連線請求,但是對於入侵者的攻擊行為仍一無所知
IDS的分類 • 根據資料蒐集的型態區分 • Network-Based IDS • Host-Based IDS • Application-Based IDS • 根據所使用的偵測方式區分 • Misuse IDS • Anomaly IDS
以資料蒐集型態區分 • Network-Based IDS • 以分析網路封包為主 • 事先預警 • Host-Based IDS • 以分析Logs為主 • 事後分析 • Application-Based IDS • 使用Application Logs • 較易受攻擊
Network-Based IDS • 網路型式的入侵偵測系統以原始網路封包作為資料來源,它通常運用網路卡於“promiscuous mode”來偵測及分析所有過往的網路通訊 • 當偵測到有駭客行為時,防衛系統可採多種反應方式應對,各家產品有不同的應對方式,不過,通常都有提供通知管理者、切斷連線或記錄入侵資料作為法院的證據等
網路型式入侵偵測系統的優點 • 成本較低 • 可偵測到主機型式入侵偵測系統偵測不到的 • 駭客消除入侵證據較困難 • 可偵測到未成功或惡意的入侵攻擊 • 與作業系統無關
網路型式入侵偵測系統的缺點 • 若網路的型態過大,NIDS往往會lost掉許多封包,無法完全監控網路上所有流通的封包數 • 若要擷取大型網路上的流量並分析,往往需要更有效率的CPU處理速度,以及更大的記憶體空間
網路型式入侵偵測系統的缺點 (cont.) • 如果封包是已經經由加密過的,則NIDS就無法調查其中的內容。如此一來,可能會錯失包含在封包中的某些攻擊資訊 • Network-based IDS 無法偵測目前是哪一個使用者正坐在主機前面使用該主機
Host-Based IDS • 主機型式入侵偵測系統發展始於80年代早期,當時網路環境不像現在這樣複雜、交錯及普遍,在單純的主機環境中,通常只觀察、稽核系統日誌檔是否有惡意的行為,入侵行為很少,也只作“事後分析”以防止類似事件再發生。
Host-Based IDS (cont.) • 主機型式入侵偵測系統目前仍是很好的工具,使用稽核日誌檔的技術,但是並納入複雜的偵測反應技術。 • 主機型式入侵偵測系統在Window NT環境下通常監測系統,事件及安全日誌檔,在UNIX環境下,是監測系統日誌。當有事件發生時,它即會作入侵行為的比對,若有符合,即會採取警示系統管理員其它適當的反應。
Host-Based IDS (cont.) • 主機型式入侵偵測系統也引用新的技術,較常見的是監測重要的系統檔案或執行檔,在正常的時間內是否有不正常行為發生,以採取適當的反應。
主機型式IDS的優點 • 確定駭客是否成功入侵 • 監測特定主機系統的活動 • 補救網路型式IDS錯失偵測的入侵事件 • 較適合有加密及網路交換器﹝Switch﹞的環境 • 近於即時(Near realtime)的偵測與反應 • 不需另外增加硬體設備
主機型式IDS的缺點 • 所有的主機可能安裝不同版本或完全不同的作業平台,而這些作業系統有各種不同的稽核紀錄檔,因此必須針對各不同主機安裝各種HIDS • 如果入侵者可能經由其他系統漏洞入侵系統並得到系統管理者的權限,那麼將會導致HIDS失去其效用 • Host-based IDSs可能會因為denial-of-service而失去作用
主機型式IDS的缺點 (cont.) • Host-based IDSs 並不能用來做網路的監測與掃描主機所在的整個網域,因為HIDSs僅能看到經由該主機所接收到的網路封包資訊 • 由於當Host-based IDSs處於監測狀態時也是消耗該主機的系統資源,因此可能會影響被監測主機本身的效能
Network-Based 與Host-Based IDS 之比較 • 共同點是不論是那種型式,他們「大都」是使用“入侵比對”(attack signatures )方法,來判斷是否為駭客行為 • 入侵偵測與預警機制比較 • 環境限制之比較
入侵偵測與預警機制比較 • Network-Based IDS 會檢測所有的原始網路封包Header 以及使用的指令及語法,以判別是否為駭客行為,所以能在偵測攻擊行為的同時,就進行反制作為或提早預警 • Host-Based IDS 則以檢查系統日誌檔中確實發生的事件(包括檔案存取、嘗試加入新的執行檔及嘗試使用某特殊系統服務等),能比網路型式IDS 更精確無誤的衡量駭客是否已經入侵成功,屬事後分析。
環境限制之比較 • Network-Based IDS 可策略性運用來觀察特定網段或含有多種不同電腦主機所在的網路通訊環境,但不適合有加密及網路交換器(Switch )的環境 • Host-Based IDS 則是安裝在重要的特定主機上,所以沒有上述之限制
Application-Based IDSs • Application-Based IDSs是在軟體應用之內分析事件的Host-Based IDSs 的一特別子集。 • 對應用界面的能力, 以包括在分析發動機裡的重要領域或者應用專門的知識, 直接允許Application-Based IDSs 由於超過他們的授權的批准的用戶探查懷疑行為。
根據偵測方式的不同區分 • Misuse Detection • Anomaly Detection
Misuse Detection • 採負面表列。 • 累積已知攻擊行為特徵(attack pattern),符合樣式者表異常 • 此種技術通常適合偵測如root 權限被入侵、系統日誌檔被異動或病毒碼程式植入等攻擊 • 亦會因為正常之行為中有攻擊行為特徵而被誤解為有攻擊行為
Advantages of Misuse Detection • Misuse detectors are very effective at detecting attacks without generating an overwhelming number of false alarms. • Misuse detectors can quickly and reliably diagnose the use of a specific attack tool or technique. This can help security managers prioritize corrective measures. • Misuse detectors can allow system managers, regardless of their level of security expertise, to track security problems on their systems, initiating incident handling procedures.
Disadvantages of Misuse Detection • Misuse detectors can only detect those attacks they know about – therefore they must be constantly updated with signatures of new attacks. • Many misuse detectors are designed to use tightly defined signatures that prevent them from detecting variants of common attacks. State-based misuse detectors can overcome this limitation, but are not commonly used in commercial IDSs.
Anomaly Detection • 採正面表列 • 正面表列規範網路正常行為,凡不在此正常行為範圍者都視為異常 • 常造成誤判而拒絕正常網路連線
Advantages of Anomaly Detection • IDSs based on anomaly detection detect unusual behavior and thus have the ability to detect symptoms of attacks without specific knowledge of details. • Anomaly detectors can produce information that can in turn be used to define signatures for misuse detectors.
Disadvantages of Anomaly Detection • Anomaly detection approaches usually produce a large number of false alarms due to the unpredictable behaviors of users and networks. • Anomaly detection approaches often require extensive “training sets” of system event records in order to characterize normal behavior patterns.
Network-Based IDSs的安置 • Location 1: Behind each external firewall, in the network DMZ • Location 2: Outside an external firewall • Location 3: On major network backbones • Location 4: On critical subnets
Location 1Advantages • Sees attacks,originating from the outside world,that penetrate the network’s perimeter defenses. • Highlights problems with the network firewall policy or performance • Sees attacks that might target the web server or ftp server, which commonly reside in this DMZ • Even if the incoming attack is not recognized,the IDS can sometimes recognize the outgoing traffic that results from the compromised server
Location 2Advantages • Documents number of attacks originating on the Internet that target the network. • Documents types of attacks originating on the Internet that target the network
Location 3Advantages • Monitors a large amount of a network’s traffic, thus increasing the possibility of spotting attacks. • Detects unauthorized activity by authorized users within the organization’s security perimeter.
Location 4Advantages • Detects attacks targeting critical systems and resources. • Allows focusing of limited resources to the network assets considered of greatest value.
兩種網路式入侵偵測系統實例 • 成大密碼與網路安全研究室所發展的兩種Network-based IDS • RD-NIDS (Distributed Network Intrusion Detection System with the Reconnaissance ability ) • Neuro-IDS (Neural Network based Intrusion Detection System)
Neuro IDS原理 • Multilayer perceptron (MLP) with back-propagation algorithm • Forward pass • Backward pass
System Characteristics • Efficient • Real time • Intelligent • Adaptive • User friendly
Detection Model • Service-specific Model (FTP) • Attack Category Model (Probing) • General TCP Model • Training • DDoS, DNS, DoS, Lpr, RPC, SMTP, Telnet, Trojan, Remote file access, Useless service, Abnormal TCP, FTP.
# of system inputs # of alert outputs False positives False negatives TCP 31435 6 6 0 Probe 564 0 0 0 System Performance Experiment I: • Connections: All normal.