网路即时监控及入侵侦测.ppt

網路即時監控及入侵偵測,B91902007劉凱維B91902025鄭黃翔B91902039朱文藝B91902095謝其璋,Outline,駭客入侵手法分析與舉例各手法簡介Buffer overflow demo,駭客會怎麼做?!Think like a Cracker,第1階段：入侵前的準備(資料收集、掃瞄等),第2階段：入侵系統，取得受害主機控制權，並安裝後門程式以建立管道進入受害單位內部網路,第3-1階段：擴散受害範圍,第3-2階段：持續維護所取得之存取控制權,第3-3階段：竊取重要資料及檔案,時間軸,刪除紀錄檔(log file)，隱藏植入的攻擊程式或更換檔案名稱,5P:ProbePenetratePersistPropagateParalyze,攻擊方式簡介(DDoS),DoS/DDoS資源耗竭 SYN floodingping flooding頻寬消耗ICMP BroadcastUDP Broadcast,DDoS的處理,DDOS 發生:通知 ISP(如果目標為單一主機)改變DNS伺服器上的IP位址(如果攻擊並不複雜)利用防火牆的規則或是router的access control lists來過濾封包阻擋特定來源的所有封包,攻擊方式簡介(U2R),Remote Gain Root(U2R)針對系統漏洞使用exploit code取得root權限的一種攻擊例如使用緩衝區溢位(Buffer Overflow)技巧,攻擊方式簡介(R2L),Remote File Access(R2L)運用服務(Service)的弱點存取系統安全相關檔案或使用者密碼檔例如:某機器開啟IIS web servicehttp:/target/scripts/.%c1.%lc./winnt/system32/cmd.exe?/c+dir,攻擊方式簡介(Backdoor),Backdoor誘使受害者執行伺服端後門程式ex：Subseven,BO2K於受害主機上Listen一個port等待駭客建立連線缺點：無法穿越防火牆(一般防火牆允許內部向外建立連線)不主動Listen一個port，相反的駭客可於中繼站Listen一個port，由後門程式週期性地嘗試向中繼站建立連線目前後門程式發展的趨勢,E-Mail欺騙實例,惡意網站攻擊範例,未來的後門程式,攻擊方式簡介(Port Scan),Port Scan取得受害端主機 的相關資訊nmap,認識入侵偵測技術,Outline,入侵偵測技術理論介紹基礎概念偵測分析方法,入侵偵測技術的型態,網路型network-based主機型host-based不當行為偵測 misuse detection異常偵測 anomaly detection,網路型入侵偵測系統,網路型入侵偵測系統(NIDS)分析網路封包比對資料庫的已知攻擊特徵,主機型入侵偵測系統,主機型入侵偵測系統(HIDS)稽核日誌檔(log file)代理程式(Agent)拿系統事件與攻擊特徵資料庫做比對監控應用程式系統檔案是否被更改過,現行入侵偵測技術的限制,攻擊模式判斷上的限制誤判率缺乏立即的回應,入侵偵測系統的偵測效能,影響因子：訂立適當偵測特徵Data Mining特徵分類技術偵測分析方法選取,入侵特徵選取方法,計算所有特徵發生之機率分類、聯合規則、頻繁片段RIPPER,入侵偵測系統的偵測效能,偵測分析方法選取有限狀態機(Finite State Machine)統計分析(Statistical Analysis)類神經網路(Neural Network)貝氏網路(Bayesian Network)模糊理論(Fuzzy Theory),偵測分析方法(FSM),有限狀態機起始狀態、輸出狀態、狀態轉變函數、輸出函數一個入侵行為就是一連串系統的狀態改變,偵測分析方法(SA),統計分析建立規則(normal profile)監控模式 V.S 預期模式,偵測分析方法(NN),類神經網路屬於異常偵測模式缺點很長的訓練時間新增訓練規則得重新訓練好的訓練資料取樣,偵測分析方法(NN),類神經分析技術Self-organization Map,偵測分析方法(NN),1.初始化各個weight向量2.呈交向量到輸入層3.找出最接近的向量單位-winner4.修改winner旁的weight向量5.重複 2-5 的步驟,偵測分析方法(NN),偵測分析方法(BN),貝氏網路運用條件機率有預測未知事件發生的能力兩個階段：架構出特徵與入侵攻擊關係圖&訓練取得正常行為模式透過計算定義好的公式來偵測入侵,偵測分析方法(BN),貝氏分析方法實作舉例(SYN Flooding),(Relation)SYN Flooder,TCP Pakcet,SYN,SIP,DIP,ACK,偵測分析方法(BN),If Pm(tcp)0.91&V(R)1&Vm(syn)1.15 Vm(syn+ack)1.15&Vm(sip)80&Vm(dip)80then SYN Flooder happen,偵測分析方法(FT),模糊理論(Fuzzy Theory),A local network,Network DataCollector(NDC),Network DataProcessor(NDP),Raw data,Mined data,A local network,Network DataCollector(NDC),Raw data,Fuzzy Threat Analyzer(FTA),Network DataProcessor(NDP),Mined data,Fuzzy Input,Fuzzy Input,FuzzyAlerts,偵測分析方法(FT),Fuzzy Inputs：COUNT，UIQUENESS，VARIANCE,偵測分析方法(FT),Example Rules：If(COUNT of SDPs=MEDIUM)AND(UNIQUENESS of SDPs Observed=HIGH)THEN“Port Scan”=HIGH,Reference,李駿偉,入侵偵測系統分析方法效能之定量評估,私立中原大學資訊工程研究所碩士之學位論文An Eye on Network Intruder-Administrator ShootoutsLuc Girardin,UBS,UbilabJ.E.Dickerson,J.A.Dickerson,Fuzzy Network Profiling for Intrusion Detection.Proceedings of NAFIPS 19th International Conference of the North American Fuzzy Information Processing Society,Atlanta,July,301-306,2000.,