入侵侦测与网路病毒.ppt

1,第十四章 入侵偵測與網路病毒,14-1 入侵偵測簡介14-2 入侵偵測與防火牆14-3 駭客身份14-4 入侵技巧14-5 入侵偵測系統14-6 入侵偵測技術14-7 主機型入侵偵測系統14-8 網路型入侵偵測系統14-9 誘捕型防禦系統14-10 網路病毒,2,14-1 入侵偵測系統簡介,入侵偵測系統(Intrusion Detection System,IDS)種類 主機型入侵偵測系統(Host-based IDS,HIDS)防火牆入侵偵測 主機入侵偵測 網路型入侵偵測系統(Network-based IDS,NIDS)誘捕防禦系統(Deception Defense System,DDS),3,14-2 入侵偵測與防火牆(1),入侵偵測與防火牆架設,4,14-2 入侵偵測與防火牆(2),私有網路的安全措施,5,14-3 駭客身份,駭客(Hacker)身份 網路安全專家 學生 犯罪型入侵者 商業間諜 恐怖份子 內部使用者,6,14-4 入侵技巧,入侵步驟 選定入侵目標 目標確認 攻擊方法選取 展開攻擊 入侵技巧竊聽與窺視 停止服務 取代服務 扮演中間人,7,14-4-1 竊聽與窺視技巧,竊取密碼 訊務分析 網路位址掃描 連接埠口掃描 網路命令探索 SNMP 資料蒐集,8,14-4-2 阻斷服務技巧,阻斷服務(Denial of Service,DoS)技巧 Ping 到死 SYN 攻擊 ICMP 氾濫 弱點攻擊 DNS Cache 污染 路由重導,9,14-4-3 取代服務,取代服務技巧 來源路由替換 伺服器取代 登入伺服器取代,10,14-4-4 中間人扮演,中間人扮演技巧路由重導 DNS cache 污染,11,14-5 入侵偵測系統,Intrusion Detection System(IDS)監視並分析用戶與系統的活動 檢查系統配置與漏洞 評估系統關鍵性資源與資料的完整性 辨識已知的攻擊行為,12,14-5-1 入侵偵測元件,入侵偵測系統之元件事件產生器(Event Generator)事件分析器(Event Analysis)事件資料庫(Event Database)反應元件(Response Units),13,14-5-2 入侵事件來源,系統和網路日誌 目錄及檔案稽核 程式執行稽核 訊務收集 實體網路架構,14,14-6 入侵偵測技術,入侵偵測技術 異常偵測(Anomaly Detection)：如果訊息的行為超出正常範圍之外，或出現有不應該出現的動作，則判斷為入侵行為。誤用偵測(Misuse Detection)：如果訊息的行為與其它入侵行為相同(或類似)時，則判斷為入侵行為。,15,14-6-1 特徵型偵測技術,誤用偵測(Misuse Detection)或 特徵型偵測(Signature-based Detection)可能出現的問題：攻擊特徵的更新 可能的規避手法 將完整連線分割 分割封包 淹沒攻擊 編碼問題 警報誤報問題,16,14-6-2 異常型偵測技術,異常偵測(Anomaly Detection)或異常行為偵測(Behavioral Anomaly Detection)協定異常偵測(Protocol Anomaly Detection)異常範例：使用伺服器不支援之命令 伺服器超出協定範位或預期的回應訊息 封包重組會造成資料重疊或被覆蓋的現象 ICMP 封包超出正常比率 異常封包標頭 來源 IP,Port 與目的 IP,Port 相同 在 HTTP,POP,IMAP 協定中出現 Shell 命令,17,14-6-3資料引擎(1),檢測與判斷依據 誤用偵測：假設所有都是不符合入侵行為，再找出符合入侵行為 異常偵測：假設所有都是異常行為，再找出正常行為,18,14-6-3資料引擎(2),正常與非正常活動 資料引擎(Data Engine)專家系統(Export System)有限狀態機(Finite State Machine)統計分析(Statistical Measure)類神經網路(Neural Network)資料探勘(Data Mining),19,14-7 主機型入侵偵測系統,Host-based IDS(HIDS)防火牆入侵偵測 伺服主機入侵偵測 14-7-1 防火牆入侵偵測後門(back Door)偵測 網路阻斷偵測 服務過載 訊息洪流 阻斷攻擊 14-7-2 伺服主機入侵偵測系統日誌 安全稽核 主機阻斷偵測,20,14-8 網路型入侵偵測系統(1),Network-based IDS(NIDS)可使用誤用偵測、異常偵測，或混合型偵測系統(Hybrid IDS)獨立系統 可能無法偵測之封包：處理能力問題 交換器隔離 HIDS 安全性問題,21,14-8 網路型入侵偵測系統(2),NIDS 設備裝置,22,14-8 網路型入侵偵測系統(3),安全性 NIDS 配置,23,14-9 誘捕型防禦系統,誘捕型防禦系統(Deception Defense System,DDS)蜜蜂罐(Honeypot)功能：消耗攻擊者時間 錯誤安全措施 降低被攻擊可能 蜜蜂罐的四種型態 待宰羔羊(Sacrificial Lamb)偽裝系統(Facade)傀儡系統(Instrumented System)蜜蜂網(Honeynet),24,14-10 網路病毒,網路病毒 病毒(Virus)?惡意的程式 透過合法的入侵路徑，再從事非法的破壞工作。,25,14-10-1 惡意的程式,惡意的程式後門陷阱 邏輯炸彈 特洛伊木馬(Trojan Horses)電腦病毒(Virus)網路蠕蟲(Worm)電子郵件 遠端登入 遠端執行程式 巨集病毒(Macro Virus),26,14-10-2 病毒的生命週期,病毒的生命週期 潛伏期(Dormant Phase)散播期(Propagation Phase)觸發期(Triggering Phase)執行期(Execution Phase),27,14-10-3 病毒的類型,寄生病毒(Parasitic Virus)記憶體常駐病毒(Memory-resident Virus)啟動磁區病毒(Boot Sector Virus)隱形病毒(Stealth Virus)多型病毒(Polymorphous Virus),28,14-10-4 防毒的技巧,偵測、辨識、清除等三步驟 防毒軟體的功能層次：特徵掃描 啟發式掃描 行為陷阱 整合性防範,