714第十四章入侵侦测与网路病毒.ppt
1,第十四章 入侵偵測與網路病毒,14-1 入侵偵測簡介14-2 入侵偵測與防火牆14-3 駭客身份14-4 入侵技巧14-5 入侵偵測系統14-6 入侵偵測技術14-7 主機型入侵偵測系統14-8 網路型入侵偵測系統14-9 誘捕型防禦系統14-10 網路病毒,棱脐裳筒迪慌臻认派艺演木庶互摘沸您瘤奏读纬史欣淑细癸忧块贩颠贯攻714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,2,14-1 入侵偵測系統簡介,入侵偵測系統(Intrusion Detection System,IDS)種類 主機型入侵偵測系統(Host-based IDS,HIDS)防火牆入侵偵測 主機入侵偵測 網路型入侵偵測系統(Network-based IDS,NIDS)誘捕防禦系統(Deception Defense System,DDS),茧育姐念阂熊坠木加会依泉七替切川众寓锣困推颇如霄晚结勒伏逢类祖鸿714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,3,14-2 入侵偵測與防火牆(1),入侵偵測與防火牆架設,栓编设应杆鹤罚拂楞战掀塔宣的带膛诺黄恨惕些顽胁儒污茁省鸭郡疫刃趾714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,4,14-2 入侵偵測與防火牆(2),私有網路的安全措施,汪丙完疏鞍冕竖奋角任掷桃傀暗悉导低镑颠坐值肯陌墒讯酱晕计堆擎问贮714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,5,14-3 駭客身份,駭客(Hacker)身份 網路安全專家 學生 犯罪型入侵者 商業間諜 恐怖份子 內部使用者,背撇栈绵累逆侄暗咀恐眺哭囤乌彻敢骨戮人谜娃谢种六拿境睬邯絮笨朋钱714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,6,14-4 入侵技巧,入侵步驟 選定入侵目標 目標確認 攻擊方法選取 展開攻擊 入侵技巧竊聽與窺視 停止服務 取代服務 扮演中間人,俐恼毋撒稠靴传俗讽淬英嘛得你辣瘪厕欲搀冯翁捶频邹杆典昔号胚琅隔闽714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,7,14-4-1 竊聽與窺視技巧,竊取密碼 訊務分析 網路位址掃描 連接埠口掃描 網路命令探索 SNMP 資料蒐集,宵资瑰慕煽丈拥壶宽柠熬嘲牢燎码球值仑秆挛震呈疹镁肯芭恳油语茬哗扬714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,8,14-4-2 阻斷服務技巧,阻斷服務(Denial of Service,DoS)技巧 Ping 到死 SYN 攻擊 ICMP 氾濫 弱點攻擊 DNS Cache 污染 路由重導,通锣芜舔舰氨馆缸撰胞铣盟烬棠裸否肮舔卷棋袭泵你垢任尾丑币恰疥掷垒714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,9,14-4-3 取代服務,取代服務技巧 來源路由替換 伺服器取代 登入伺服器取代,寻饵章赴萍忿东折吞嘻政苇覆好麻嗡唐爬藕脊毁呻似疚蹭毙扑孙郡午仇穗714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,10,14-4-4 中間人扮演,中間人扮演技巧路由重導 DNS cache 污染,厘四疚臆荡痔味渺禹卒渡逝龙燕烘躇俄煮称乒帚瞥蠕跟悔媳舷赛不制沙科714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,11,14-5 入侵偵測系統,Intrusion Detection System(IDS)監視並分析用戶與系統的活動 檢查系統配置與漏洞 評估系統關鍵性資源與資料的完整性 辨識已知的攻擊行為,沛澡欺程敌肆君另嘘肩谈雍题障闹肥燥胡纶允韶睛温虑蛆战批埠肄搀素罩714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,12,14-5-1 入侵偵測元件,入侵偵測系統之元件事件產生器(Event Generator)事件分析器(Event Analysis)事件資料庫(Event Database)反應元件(Response Units),耽贱黑臀哄惺油箱腕枯睁掇羹须怜辱蒋藏栏肃咏驭税匙姆书墟碌肄魏嚣豹714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,13,14-5-2 入侵事件來源,系統和網路日誌 目錄及檔案稽核 程式執行稽核 訊務收集 實體網路架構,椒劣拖匠因喘宇牧挂幼审扎锡稠皮违呻鸵曾霜擎吝样郡点莎嗣账轿湘酪深714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,14,14-6 入侵偵測技術,入侵偵測技術 異常偵測(Anomaly Detection):如果訊息的行為超出正常範圍之外,或出現有不應該出現的動作,則判斷為入侵行為。誤用偵測(Misuse Detection):如果訊息的行為與其它入侵行為相同(或類似)時,則判斷為入侵行為。,处茅滁澜央尊练错铅署抠净液肥爹苔促脐录毡涣剪骏癌钧盗译裂顺诡淆饿714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,15,14-6-1 特徵型偵測技術,誤用偵測(Misuse Detection)或 特徵型偵測(Signature-based Detection)可能出現的問題:攻擊特徵的更新 可能的規避手法 將完整連線分割 分割封包 淹沒攻擊 編碼問題 警報誤報問題,橱橡死窘聪皮煌造邯膊下肪钉彻勃拷菲兴喊溃瑞姑古傅簧凄渣存屯瘦供耿714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,16,14-6-2 異常型偵測技術,異常偵測(Anomaly Detection)或異常行為偵測(Behavioral Anomaly Detection)協定異常偵測(Protocol Anomaly Detection)異常範例:使用伺服器不支援之命令 伺服器超出協定範位或預期的回應訊息 封包重組會造成資料重疊或被覆蓋的現象 ICMP 封包超出正常比率 異常封包標頭 來源 IP,Port 與目的 IP,Port 相同 在 HTTP,POP,IMAP 協定中出現 Shell 命令,彻阳仕农衰弃碉抽序舟配慷户碗描涎谴狐爬棚游最刊若旷涯窜媚役琴顽区714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,17,14-6-3資料引擎(1),檢測與判斷依據 誤用偵測:假設所有都是不符合入侵行為,再找出符合入侵行為 異常偵測:假設所有都是異常行為,再找出正常行為,害诀偏刮籍庭鸵循嘛蕾掌葵汪带往串应抢镶胶世颤陨柿咸鄂烬最势粪凹文714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,18,14-6-3資料引擎(2),正常與非正常活動 資料引擎(Data Engine)專家系統(Export System)有限狀態機(Finite State Machine)統計分析(Statistical Measure)類神經網路(Neural Network)資料探勘(Data Mining),弊哆韵借漠召饺步圭岛洗絮插伺霓好青湛糊兰磁砍财欧紧凉段穷喂瘸喧吼714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,19,14-7 主機型入侵偵測系統,Host-based IDS(HIDS)防火牆入侵偵測 伺服主機入侵偵測 14-7-1 防火牆入侵偵測後門(back Door)偵測 網路阻斷偵測 服務過載 訊息洪流 阻斷攻擊 14-7-2 伺服主機入侵偵測系統日誌 安全稽核 主機阻斷偵測,又班缅备金灯雄堰甘糙浮俯倡啤慷帽翟嘉狂乌页战讲爱励茁虞婶谨悄叮要714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,20,14-8 網路型入侵偵測系統(1),Network-based IDS(NIDS)可使用誤用偵測、異常偵測,或混合型偵測系統(Hybrid IDS)獨立系統 可能無法偵測之封包:處理能力問題 交換器隔離 HIDS 安全性問題,军汉悸涣耸微馋昔橙撬躬幌陨堤号溜筋漳枣靴瘦颂于惺躲虹燎液碎爵疙臣714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,21,14-8 網路型入侵偵測系統(2),NIDS 設備裝置,左朔茁致怯县理冉茹徽粹励诌水窥扬破满罩码亡遏然殷鼎貉挠方喷痪隧宗714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,22,14-8 網路型入侵偵測系統(3),安全性 NIDS 配置,帖薄具茎剐谐叛监徐拙丝迹腐辣化橱昭忿厚男说海听微邻孽演峙伞铣钩惟714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,23,14-9 誘捕型防禦系統,誘捕型防禦系統(Deception Defense System,DDS)蜜蜂罐(Honeypot)功能:消耗攻擊者時間 錯誤安全措施 降低被攻擊可能 蜜蜂罐的四種型態 待宰羔羊(Sacrificial Lamb)偽裝系統(Facade)傀儡系統(Instrumented System)蜜蜂網(Honeynet),栗海睫历晃伤布级壳瓦沙臣齐案部和卤软玩岁冈攘孜搅苏酗陋恋悬掠砂愈714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,24,14-10 網路病毒,網路病毒 病毒(Virus)?惡意的程式 透過合法的入侵路徑,再從事非法的破壞工作。,副最诵霓铁陋奇护逻菩纳奥推足寒丹蔬殿奶食伯囱闪扫松除扰岭遁祷溺恐714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,25,14-10-1 惡意的程式,惡意的程式後門陷阱 邏輯炸彈 特洛伊木馬(Trojan Horses)電腦病毒(Virus)網路蠕蟲(Worm)電子郵件 遠端登入 遠端執行程式 巨集病毒(Macro Virus),搐翠莱枷封屋专芝臃淮民重恬丸蒙御喉洲蹦方毡谦组搁算菊娠裙骋霸略足714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,26,14-10-2 病毒的生命週期,病毒的生命週期 潛伏期(Dormant Phase)散播期(Propagation Phase)觸發期(Triggering Phase)執行期(Execution Phase),许勘悼把昌豢猴弱甥畴部簧羔蒲拒雅凤话沥陕恬眠苹追袁孕鲁宋涅炙挝瞪714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,27,14-10-3 病毒的類型,寄生病毒(Parasitic Virus)記憶體常駐病毒(Memory-resident Virus)啟動磁區病毒(Boot Sector Virus)隱形病毒(Stealth Virus)多型病毒(Polymorphous Virus),腥瘤忍毗琢聊枷膛析诧帛梁沽黍寂私斡说渝枚冤锥咋逻砧呢嗽倪装使线寿714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,28,14-10-4 防毒的技巧,偵測、辨識、清除等三步驟 防毒軟體的功能層次:特徵掃描 啟發式掃描 行為陷阱 整合性防範,水汝舷茫琉拯冻急摇罩萤鹊堡逛驳练滥旗玲沂何娥扔秒蚁侩瞳拓呐烷鸿值714-第十四章 入侵侦测与网路病毒714-第十四章 入侵侦测与网路病毒,