Download
1 / 51
520 likes | 626 Views
IDS & IPS. 主講:陳建民. IDS. 入侵偵測系統的起源 入侵偵測系統的基本組成 資訊來源 ( information source ) 分析架構 ( analysis scheme ) 反應機制 ( response ). 入侵偵測系統的起源. 稽核( audit ) : 產生、紀錄、和檢視系統事件的過程。 為了系統活動的運作正常,劃分和維護個人的權責範圍( accountability )。 重建事件的原貌。 評估災害所造成的損失。 監控系統中發生問題的區域。 允許有效率的災害復原 遏止不正常的系統使用。. 入侵偵測系統的基本組成.
E N D
IDS & IPS 主講:陳建民
IDS • 入侵偵測系統的起源 • 入侵偵測系統的基本組成 • 資訊來源(information source) • 分析架構(analysis scheme) • 反應機制(response)
入侵偵測系統的起源 • 稽核(audit):產生、紀錄、和檢視系統事件的過程。 • 為了系統活動的運作正常,劃分和維護個人的權責範圍(accountability)。 • 重建事件的原貌。 • 評估災害所造成的損失。 • 監控系統中發生問題的區域。 • 允許有效率的災害復原 • 遏止不正常的系統使用。
入侵偵測系統的基本組成 • 監控方法(資訊來源) • 分析架構 • 反應機制
入侵偵測系統的基本組成 • 監控方法(資訊來源) • 主機型(host-based, HIDS) • 網路型(network-based, NIDS) • 應用程型式(application-based) • 目標型(target-based) • 分析架構 • 反應機制
主機型的監控(host-based monitor) • HIDS是安裝在主機上的機制,可以偵測任何嘗試入侵主機的企圖。 • NIDS是安裝在單一系統,用來偵測網路流量、找尋企圖跨越部分網路的攻擊行為。 • HIDS是一種安裝在組織範圍的許多系統上的偵測器(sensor),並以中控化管理方式控制的軟體程序。 • 偵測器可以找尋許多不同的事件類型,並在主機系統採取回應行為或傳送通知。 • 收集電腦內部的資料,通常都是作業系統層次。 • 包括作業系統的稽核軌跡和系統日誌。
主機型的監控(cont.) • 確定駭客是否成功入侵 • 監測特定主機系統的活動 • 補救網路型式IDS錯失偵測的入侵事件 • 較適合有加密及網路交換器(Switch)的環境 • 伺服器的處理器能力也是HIDS系統的其他問題之一。 • 在主機上執行的偵測器程序,約需5%到15%整體CPU時間。 • 如果現有系統的偵測器負載非常重,也可能會影響到偵測器的效率,此時或許就需要選購等級更高的系統。
HIDS偵測器的五種基本類型: • 記錄分析器(Log analyzer) • 特徵型偵測器(Signature-based sensor) • 系統呼叫分析器(System call analyzer) • 應用程式行為分析器(Application behavior analyzer) • 檔案完整性檢查器(File integrity checker)
記錄分析器(Log analyzer) • 記錄分析器是一種在伺服器上執行的程序,並用來適當地監視系統的記錄檔案。 • 如果記錄的項目符合HIDS偵測器程序的某些項目,就會適時採取回應的措施。 • 多數的記錄分析器,主要是用來找尋可能的安全事件。 • 系統管理員通常也可以定義其他可能有幫助的記錄入口。 • 記錄分析器是屬於回應系統。 • 記錄分析器特別適用於追蹤內部系統授權使用者的行為。 • 如果組織非常注重系統管理員或其他系統的使用者行為時,就可以使用記錄分析器來追蹤這些行為;並可依據記錄內容,排除管理員或使用者對系統造成的問題
特徵型偵測器(Signature-based sensor) • 這種類型的偵測器,具有內建(built-in)的安全事件特徵,也就是說針對內送(incoming)網路流量或記錄入口的安全事件特徵。 • 特徵型和記錄分析器偵測器之間的區別,主要是增加分析內送流量的能力。 • 特徵型系統具有偵測攻擊系統的能力,因此也可指定某種攻擊行為的警訊。 • 在攻擊行為成功或失敗之前,不論是其他類型的HIDS偵測器或特徵型偵測器就會採取回應的行動。 • 特徵型HIDS偵測器還可用於追蹤內部系統授權使用者的行為
系統呼叫分析器(System call analyzer) • 系統呼叫分析器可以分析應用程式和作業系統之間的呼叫,並可以辨識安全事件。 • 這種類型的HIDS偵測器,是架構在作業系統和應用程式之間軟體。 • 在希望執行應用程式的時候,就會比對特徵資料庫,來分析應用程式執行作業系統呼叫的行為。 • 特徵是屬於多種攻擊行為的範本,不過也可能是一種對IDS系統管理員有幫助的事件。 • 系統呼叫分析器、記錄分析器和特徵型HIDS偵測器,它們防止發生的活動類型有所不同。 • 如果系統呼叫符合緩衝區溢位(舉例來說)的特徵時,偵測器就可以防止這種類型的呼叫,並因而保護系統免於遭受到侵害。
應用程式行為分析器(Application behavior analyzer) • 應用程式行為分析器和系統呼叫分析器非常類似,這是因為它們也是建置在應用程式和作業系統之間的間隙之中。 • 這種類型的行為分析器,它們的偵測器會先調查是否屬於核准執行的應用程式行為,而不是先調查是否類似攻擊的呼叫行為。 • 在設定這種類型的偵測器時,應該要建立每一種允許每一種應用程式行為的清單。 • 這些商品的供應商,都會提供共通應用程式的樣本。 • 需要事先分析過組織自行發展的任何應用程式,並查看允許執行的一般性行為,並在偵測器的範本之中記錄應用程式的行為。
檔案完整性檢查器(File integrity checker) • 檔案完整性檢查器可以用來檢查檔案的變化情形。可透過檔案的密碼檢查或數位簽章而達成的功能。 • 如果原始檔案的任何位元發生變化(例如建檔時間和容量等屬性),特徵的內容也會跟著發生變化。 • 在檔案發生變化之後,即使利用建立這些特徵內容的演算法,也難以建立相同的特徵。 • 在設定偵測器的初始組態方面,最初用來建立特徵的演算法也必須監視檔案的變化,且將特徵的內容儲存在安全的地點。 • 以階段性來說,監測過的檔案也都需要重新計算特徵的內容,並和原始特徵進行比對。 • 如果特徵的內容不符,也就表示檔案的內容已經發生變化。
檔案完整性檢查器(File integrity checker)cont.. • 檔案完整性檢查器本身,無法察覺任何攻擊的徵兆。 • 可提供檔案完整性的檢查結果。 • 如果網路伺服器遭到攻擊時,偵測器雖然無法察覺攻擊的行為,但可確認網站的首頁是否毀損或遭到竄改。 • 由於許多類似的攻擊也都含有竄改系統檔案的行為在內,因此利用檔案完整性檢查也可偵測出系統是否遭受到侵害。
網路型的監控(network-based monitor) • 網路型式的入侵偵測系統以原始網路封包作為資料來源 • 通常把網路設備設定成”混亂模式”(promiscuous mode)來偵測及分析所有過往的網路通訊,使得它們可以聽到網路上經過的任何封包,藉此收集相關攻擊特徵。 • 可偵測到主機型式監控偵測不到的 • 駭客消除入侵證據較困難 • 即時偵測及反應 • 可偵測到未成功或惡意的入侵攻擊 • 與作業系統無關
網路型IDS • NIDS是一種專門用於硬體系統的軟體程序。 • NIDS軟體會監視所有流經網路介面卡的網路(不是只有單一系統的流量)流量。接著,就可以分析、判斷是否屬於符合攻擊規則和特徵的流量。 • NIDS系統主要是做為特徵型的偵測器。 • 系統已經內建攻擊特徵資料庫,並用以比對網路線上的流量。 • 如果是屬於沒有特徵檔案的攻擊類型,NIDS也一樣無法防範。 • NIDS也可以根據來源位址、目的地位址、來源連接埠、目的地連接埠等,檢測網路特定流量的能力。這種功能可以讓組織得以監控攻擊特徵之外的網路流量。
應用程式型的監控(application-based monitor) • 從執行的應用程式中收集資料。這些資料來源包含應用程式事件日誌,和應用程式內部產生的紀錄。 • 主要是針對輸入值的辨認來偵測攻擊行動的發生,可能的話可以直接攔截此輸入值,不讓應用程式執行到惡意的攻擊碼。 • Malicious injection attack • 應用 protocol analysis的觀念 • client->server 的 client flow • server->client 的 server flow
目標式的監控(target-based monitor) • 會自己產生資料。 • 目標式的監視器使用密碼學的雜湊函式來偵測系統物件的修改,然後和安全政策做比較。因為這些目標物體狀態的改變會隨時被監控,所以這種監控機制對某些系統還滿有效的,尤其是當這些系統不能使用其它方法時。
入侵偵測系統的基本組成 • 監控方法(資訊來源) • 分析架構 • 誤用偵測(misuse detection) • 異常偵測(anomaly detection) • 其它的偵測架構 • 分析時機:批次vs.即時 • 反應機制
誤用偵測(misuse detection) • Misuse Detection (誤用偵測) • Signature Based Detection (特徵型偵測技術) • Knowledge-based intrusion detection (知識基礎型入侵偵測)
誤用偵測(misuse detection) • 以已知的網路攻擊手法及系統安全漏洞的資訊為基礎,將網路攻擊或試圖利用系統安全漏洞入侵的過程中所會產生的”特徵”累積成為一個知識庫。入侵偵測系統會將實際發生的事件(無論是否為惡意意圖)與此一知識庫進行特徵比對(樣版比對pattern matching),作為評斷是否為攻擊或是可疑的事件的依據。 • 負向表列 • 現今大部分的入侵偵測系統都是採用此方法。
異常偵測(anomaly detection) • 以系統正常運作為基準,所有不依照協定規範運作的事件都會被視為是異常的事件,不是攻擊就是程式異常。如通訊協定異常、流量異常(Flooding、Scan...) • 正向表列 • 採取統計的技巧找出不尋常活動的樣本。 • 入侵其實是異常活動的某些子集合。
誤判率 • False positives v.s. False negatives • 主動錯誤訊息(false positives) 指的是當組織由於惡意活動而被通知警報時候,經檢查其實沒有任何事情發生。 • 被動錯誤訊息(false negatives) 就是對於真實的惡意攻擊者或者未授權活動偵測失敗。
其它的偵測架構 • 免疫系統方法(Immune System Approaches) • 美國新墨西哥州立大學所發展 • 基因演算法(Genetic Algorithm) • 代理人式的偵測(Agent-Based Detection) • 自發性代理人入侵偵測系統(Autonomous Agent for Intrusion Detection,AAFID) • 資料採礦(Data Mining)
分析時機:批次vs.即時 • 批次的分析模式意謂著資訊是以檔案的方式傳遞給分析器,然後每隔一段時間才會做處理。最後,當入侵事件發生時,結果會傳回給使用者。批次方式對早期的入侵偵測是很普遍的,因為當時的通訊頻寬和系統處理速度都不足以支援即時的入侵監控機制。
分析時機:批次vs.即時(cont.) • 隨著系統的速度和通訊頻寬的增加,大部分的入侵偵測系統已經轉成即時的分析方式。 • 在即時的分析過程中,當事件發生時,資訊源會立刻傳到分析引擎,並馬上做處理。 • 使用『即時』這個字眼,是因為入侵偵測系統已經快到當攻擊事件還在進行時,就可以馬上中斷它,並立刻做出反應。
入侵偵測系統的基本組成 • 監控方法(資訊來源) • 分析架構 • 反應機制 • 被動vs.主動 • 產生報表
反應機制—被動vs.主動 • 被動:console messages、e-mail、cell phones or pagers、和report。有些還會產生SNMP alarms和alert。 • 主動: • 修正系統弱點 • 強制登出使用者 • 中斷連線(發出TCP RST封包) • 加強監控、採取進一步的行動(鎖定某個可疑的來源位址) • 重新設定防火牆(阻擋可以的來源位址、管制某個port的網路流量) • 中斷某個port的對外連線(例如HTTP)
反應機制—產生報表 • 定期產生報表 • 時間 • 入侵事件 • 來源位址/通訊埠 • 目的位址/通訊埠 • 使用者登入/登出紀錄 • 使用者活動紀錄
CIDFCommon Intrusion Detection Framework • CIDF Working Group (IETF) • Set of Components • Event Generator (E-Boxes) • Analysis Engines (A-Boxes) • Storage Mechanisms (D-Boxes) • Countermeasures (C-Boxes) • http://www.isi.edu/gost/cidf/
IDS on Linux • Linux Intrusion Detection System • http://www.lids.org/ • Snort • http://www.snort.org/ • Integrity Checking • Access Control
LIDSLinux Intrusion Detection/Defense System • Host-Based IDS • Kernel Patch and Utility • Port Scanner Detection • Process Control • File Control • Trojan Protection • Real-time Security Alert
SnortLightweight Intrusion Detection for Networks • Network-Based IDS • Packet Logging • Sniffer Mode • Security Alert • Pre-processor (Rules Engine) • Multi-OS (FreeBSD, Win2K)
現行入侵偵測技術的限制 • 只能偵測出已知的攻擊模式 • 以比對特徵為基礎﹙Signature-based﹚的安全機制只能辨識出資料庫中有相對應的攻擊特徵之非法行為,所以攻擊特徵(Signature)的開發速度會影響安全機制的有效性。 • 誤判率 • 缺乏立即有效的回應
駭客攻擊程序 • 探測﹙Probe﹚階段:在一開始,駭客最主要的目的是找出有安全漏洞,可以下手攻擊的主機。 • 滲透﹙Penetrate﹚階段:在這個階段,駭客最主要的目的是利用特定攻擊手法,例如記憶體溢位﹙Buffer overflow﹚,將攻擊程式傳送到攻擊目的地主機,並執行此程式。 • 常駐﹙Persist﹚階段:當攻擊程式成功的在受害主機上執行,攻擊程式會讓自己可以常駐在受害主機上,即使受害主機重新開機也能持續運作,供遠端搖控的駭客使用。 • 擴張﹙Propagate﹚階段:是攻擊程式會特續擴張的時候,駭客利用已經成功侵入並常駐在受害者電腦的攻擊程式尋找鄰近網路上是否有可以攻擊的新目標。 • 癱瘓﹙Paralyze﹚階段:的傷害會在此時發生,受害者電腦的檔案被刪除,系統當機,DDOS攻擊開始進行。
Firewall & IDS & IPS • Firewall • IDS • Firewall & IDS & IPS
Firewall • port number & IP address判斷 • SQL Slammer • SQL Server • UDP Port 1434傳送大量376 bytes UDP封包 • buffer overflow 攻擊方式
IDS • 網路監控並提供記錄以供審核及事後追蹤 • 過多的漏報及誤報 • 無法即時防禦 • sniffer mode • TCP Reset ,透過Firewall修改規則的方式 • 回應能力有限 • 偽造IP address • 不提供其他protocol的回應處理 • Slammer UDP 1434 • 性能有待加強 • software
網安新方向 • 以分析攻擊行為為基礎(Behavior-based)的安全技術能更有效的辨識與防止攻擊。 • 以分析攻擊行為為基礎(Behavior-based)的安全機制主要優勢在: • 可以有效回應已知與未知的攻擊,預防對伺服器與一般個人電腦造成損害; • 對攻擊的預防近乎零誤判率; • 不需陷入攻擊特徵(Signature)與安全漏洞在數目上的競爭; • 無須更新,因為入侵預防﹙Intrusion Prevention﹚系統並不會使用到攻擊特徵(Signature)。 • 以分析攻擊行為為基礎(Behavior-based)的安全機制真正做到入侵預防而非只是偵測攻擊,於是也稱之為入侵預防﹙Intrusion Prevention﹚,可以提供更實質的保障。
IPS • IPS (Intrusion Prevention System) • 為IDS延伸及功能增強的產品 • 關鍵差異:主動防禦及IN-line mode • 即時偵測發揮主動防禦功能 • 線速運行(wire-line speed) • 多重回應能力 • block packet、block connection 、 e-mail alarm 、log event
IPS • 多種監控模式 • inline Mode - Detect and Action • monitor Mode - Detect Only • tap Mode - Detect and Send TCP Reset • bypass Mode - Bypass all packets • stop Mode - Drop all packets • span Mode - Detect and Send TCP Reset two network segment at same time • 多種檢測技術 • DDOS 、 Buffer Overflow 、 Access Control 、 Trojan、 Scan 、 Other
Application Presentation Session Transport Network Data Link Physical Fire Wall vs. IPS
WAN LAN IPS Hub LAN WAN IDS IDS vs. IPS ├ Passive IDS ( sniffer mode) Intrusion Prevention System(IPS) ├ In-Line mode
