網路即時監控及入侵偵測

• B91902007 劉凱維• B91902025 鄭黃翔• B91902039 朱文藝• B91902095 謝其璋

Outline

• 駭客入侵手法分析與舉例– 各手法簡介– Buffer overflow demo

駭客會怎麼做 ?!Think like a Cracker

第 1階段：入侵前的準備

(資料收集、掃瞄等 )

第 2階段：入侵系統，取得受害主機控制權，並安裝後門程式以建立管道進入受害單位內部網路

第 3-1 階段：擴散受害範圍

第 3-2 階段：持續維護所取得之存取控制權

第 3-3 階段：竊取重要資料及檔案

時間軸刪除紀錄檔 (log file) ，隱藏植入的攻擊程式或更換檔案名稱

5P:ProbePenetratePersistPropagateParalyze

5P:ProbePenetratePersistPropagateParalyze

攻擊方式簡介 (DDoS)

• DoS/DDoS– 資源耗竭

• SYN flooding• ping flooding

– 頻寬消耗• ICMP Broadcast• UDP Broadcast

DDoS 的處理• DDOS 發生 :1. 通知 ISP

2. ( 如果目標為單一主機 ) 改變 DNS 伺服器上的 IP 位址

3. ( 如果攻擊並不複雜 ) 利用防火牆的規則或是 router 的 access control lists 來過濾封包

4. 阻擋特定來源的所有封包

攻擊方式簡介 (U2R)

• Remote Gain Root (U2R)– 針對系統漏洞使用 exploit code 取得 root 權限

的一種攻擊– 例如使用緩衝區溢位 (Buffer Overflow) 技巧

攻擊方式簡介 (R2L)

• Remote File Access (R2L)– 運用服務 (Service) 的弱點– 存取系統安全相關檔案或使用者密碼檔– 例如 : 某機器開啟 IIS web service

http://target/scripts/..%c1..%lc../winnt/system32/cmd.exe?/c+dir

攻擊方式簡介 (Backdoor)• Backdoor

誘使受害者執行伺服端後門程式ex ： Subseven, BO2K

於受害主機上 Listen 一個 port 等待駭客建立連線缺點：無法穿越防火牆

(∵ 一般防火牆允許內部向外建立連線 )不主動 Listen 一個 port ，相反的駭客可於中繼站 Listen一個 port ，由後門程式週期性地嘗試向中繼站建立連線

目前後門程式發展的趨勢

E-Mail 欺騙實例

惡意網站攻擊範例

未來的後門程式

攻擊方式簡介 (Port Scan)

• Port Scan

• 取得受害端主機 的相關資訊

– nmap

認識入侵偵測技術

Outline

• 入侵偵測技術理論介紹– 基礎概念– 偵測分析方法

入侵偵測技術的型態• 網路型﹙ network-based﹚• 主機型﹙ host-based﹚• 不當行為偵測﹙ misuse detection﹚• 異常偵測﹙ anomaly detection﹚

網路型入侵偵測系統 • 網路型入侵偵測系統 (NIDS)

– 分析網路封包– 比對資料庫的已知攻擊特徵

主機型入侵偵測系統 • 主機型入侵偵測系統 (HIDS)

– 稽核日誌檔 (log file)– 代理程式 (Agent)

• 拿系統事件與攻擊特徵資料庫做比對• 監控應用程式• 系統檔案是否被更改過

現行入侵偵測技術的限制1. 攻擊模式判斷上的限制2. 誤判率3. 缺乏立即的回應

入侵偵測系統的偵測效能• 影響因子：• 訂立適當偵測特徵

– Data Mining 特徵分類技術• 偵測分析方法選取

入侵特徵選取方法• 計算所有特徵發生之機率• 分類、聯合規則、頻繁片段• RIPPER

入侵偵測系統的偵測效能• 偵測分析方法選取

1.有限狀態機 (Finite State Machine)

2.統計分析 (Statistical Analysis)

3.類神經網路 (Neural Network)

4.貝氏網路 (Bayesian Network)

5.模糊理論 (Fuzzy Theory)

偵測分析方法 (FSM)

• 有限狀態機• 起始狀態、輸出狀態、狀態轉變函數、輸

出函數• 一個入侵行為就是一連串系統的狀態改變

偵測分析方法 (SA)

• 統計分析• 建立規則 (normal profile)

• 監控模式 V.S 預期模式

偵測分析方法 (NN)

• 類神經網路• 屬於異常偵測模式• 缺點

– 很長的訓練時間– 新增訓練規則得重新訓練– 好的訓練資料取樣

偵測分析方法 (NN)

• 類神經分析技術– Self-organization Map

偵測分析方法 (NN)

1. 初始化各個 weight 向量

2. 呈交向量到輸入層

3. 找出最接近的向量單位 -> winner

4. 修改 winner 旁的 weight 向量

5. 重複 2-5 的步驟

偵測分析方法 (NN)

偵測分析方法 (BN)

• 貝氏網路• 運用條件機率• 有預測未知事件發生的能力• 兩個階段：

1. 架構出特徵與入侵攻擊關係圖 &

訓練取得正常行為模式2. 透過計算定義好的公式來偵測入侵

偵測分析方法 (BN)

• 貝氏分析方法實作舉例 (SYN Flooding)

(Relation)SYN Flooder

TCP Pakcet

SYN

SIP DIP

ACK

偵測分析方法 (BN)

• If Pm(tcp) > 0.91 && V(R) > 1 &&

Vm(syn) >1.15 Vm(syn+ack) > 1.15 &&

Vm(sip) > 80 && Vm(dip) > 80

then SYN Flooder happen

偵測分析方法 (FT)• 模糊理論 (Fuzzy Theory)

A local network

Network DataCollector(NDC)

Network DataProcessor(NDP)

Raw data Mined data

A local network

Network DataCollector(NDC) Raw data

Fuzzy Threat Analyzer(FTA)

Network DataProcessor(NDP)

Mined data

Fuzzy Input

Fuzzy Input

FuzzyAlerts

偵測分析方法 (FT)

• Fuzzy Inputs ：• COUNT ， UIQUENESS ， VARIANCE

偵測分析方法 (FT)

• Example Rules ：

If (COUNT of SDPs == MEDIUM) AND (UNIQUENESS of SDPs Observed == HIGH)

THEN “Port Scan” == HIGH

Reference

• 李駿偉 , 入侵偵測系統分析方法效能之定量評估 , 私立中原大學資訊工程研究所碩士之學位論文

• An Eye on Network Intruder-Administrator ShootoutsLuc Girardin, UBS, Ubilab

• J.E. Dickerson, J.A. Dickerson, "Fuzzy Network Profiling for Intrusion Detection." Proceedings of NAFIPS 19th International Conference of the North American Fuzzy Information Processing Society, Atlanta, July, 301-306, 2000.