Embed Size (px)
DESCRIPTION
IDS & IPS. 主講:陳建民. IDS. 入侵偵測系統的起源 入侵偵測系統的基本組成 資訊來源 ( information source ) 分析架構 ( analysis scheme ) 反應機制 ( response ). 入侵偵測系統的起源. 稽核( audit ) : 產生、紀錄、和檢視系統事件的過程。 為了系統活動的運作正常,劃分和維護個人的權責範圍( accountability )。 重建事件的原貌。 評估災害所造成的損失。 監控系統中發生問題的區域。 允許有效率的災害復原 遏止不正常的系統使用。. 入侵偵測系統的基本組成. - PowerPoint PPT Presentation
Citation preview
IDS & IPSIDS & IPS
主講:陳建民
IDSIDS
入侵偵測系統的起源 入侵偵測系統的基本組成
資訊來源( information source ) 分析架構( analysis scheme ) 反應機制( response )
入侵偵測系統的起源入侵偵測系統的起源 稽核( audit ) : 產生、紀錄、和檢視
系統事件的過程。 為了系統活動的運作正常,劃分和維護個人的
權責範圍( accountability )。 重建事件的原貌。 評估災害所造成的損失。 監控系統中發生問題的區域。 允許有效率的災害復原 遏止不正常的系統使用。
監控方法(資訊來源) 分析架構 反應機制
入侵偵測系統的基本組成入侵偵測系統的基本組成
監控方法(資訊來源) 主機型( host-based, HIDS ) 網路型( network-based, NIDS ) 應用程型式( application-based ) 目標型( target-based )
分析架構 反應機制
入侵偵測系統的基本組成入侵偵測系統的基本組成
HIDS 是安裝在主機上的機制,可以偵測任何嘗試入侵主機的企圖。
NIDS 是安裝在單一系統,用來偵測網路流量、找尋企圖跨越部分網路的攻擊行為。
HIDS 是一種安裝在組織範圍的許多系統上的偵測器( sensor ),並以中控化管理方式控制的軟體程序。
偵測器可以找尋許多不同的事件類型,並在主機系統採取回應行為或傳送通知。
收集電腦內部的資料,通常都是作業系統層次。 包括作業系統的稽核軌跡和系統日誌。
主機型的監控主機型的監控(( host-based monitorhost-based monitor ))
確定駭客是否成功入侵 監測特定主機系統的活動 補救網路型式 IDS 錯失偵測的入侵事件 較適合有加密及網路交換器 (Switch) 的環境 伺服器的處理器能力也是 HIDS 系統的其他問題之一。 在主機上執行的偵測器程序,約需 5% 到 15% 整體 C
PU 時間。 如果現有系統的偵測器負載非常重,也可能會影響到
偵測器的效率,此時或許就需要選購等級更高的系統。
主機型的監控主機型的監控(( cont.cont. ))
HIDS 偵測器的五種基本類型:
記錄分析器( Log analyzer ) 特徵型偵測器( Signature-based sensor ) 系統呼叫分析器( System call analyzer ) 應用程式行為分析器( Application behavior analy
zer ) 檔案完整性檢查器( File integrity checker )
記錄分析器( Log analyzer ) 記錄分析器是一種在伺服器上執行的程序,並用來適當地
監視系統的記錄檔案。 如果記錄的項目符合 HIDS 偵測器程序的某些項目,就會
適時採取回應的措施。 多數的記錄分析器,主要是用來找尋可能的安全事件。 系統管理員通常也可以定義其他可能有幫助的記錄入口。 記錄分析器是屬於回應系統。 記錄分析器特別適用於追蹤內部系統授權使用者的行為。 如果組織非常注重系統管理員或其他系統的使用者行為時,
就可以使用記錄分析器來追蹤這些行為;並可依據記錄內容,排除管理員或使用者對系統造成的問題
特徵型偵測器( Signature-based sensor ) 這種類型的偵測器,具有內建( built-in )的安全事件特
徵,也就是說針對內送( incoming )網路流量或記錄入口的安全事件特徵。
特徵型和記錄分析器偵測器之間的區別,主要是增加分析內送流量的能力。
特徵型系統具有偵測攻擊系統的能力,因此也可指定某種攻擊行為的警訊。
在攻擊行為成功或失敗之前,不論是其他類型的 HIDS 偵測器或特徵型偵測器就會採取回應的行動。
特徵型 HIDS 偵測器還可用於追蹤內部系統授權使用者的行為
系統呼叫分析器( System call analyzer ) 系統呼叫分析器可以分析應用程式和作業系統之間的呼叫,並
可以辨識安全事件。 這種類型的 HIDS 偵測器,是架構在作業系統和應用程式之間
軟體。 在希望執行應用程式的時候,就會比對特徵資料庫,來分析應
用程式執行作業系統呼叫的行為。 特徵是屬於多種攻擊行為的範本,不過也可能是一種對 IDS 系
統管理員有幫助的事件。 系統呼叫分析器、記錄分析器和特徵型 HIDS 偵測器,它們防
止發生的活動類型有所不同。 如果系統呼叫符合緩衝區溢位(舉例來說)的特徵時,偵測器
就可以防止這種類型的呼叫,並因而保護系統免於遭受到侵害。
應用程式行為分析器( Application behavior analyzer ) 應用程式行為分析器和系統呼叫分析器非常類似,這是因
為它們也是建置在應用程式和作業系統之間的間隙之中。 這種類型的行為分析器,它們的偵測器會先調查是否屬於
核准執行的應用程式行為,而不是先調查是否類似攻擊的呼叫行為。
在設定這種類型的偵測器時,應該要建立每一種允許每一種應用程式行為的清單。
這些商品的供應商,都會提供共通應用程式的樣本。 需要事先分析過組織自行發展的任何應用程式,並查看允
許執行的一般性行為,並在偵測器的範本之中記錄應用程式的行為。
檔案完整性檢查器( File integrity checker ) 檔案完整性檢查器可以用來檢查檔案的變化情形。可透過檔
案的密碼檢查或數位簽章而達成的功能。 如果原始檔案的任何位元發生變化(例如建檔時間和容量等
屬性),特徵的內容也會跟著發生變化。 在檔案發生變化之後,即使利用建立這些特徵內容的演算法,
也難以建立相同的特徵。 在設定偵測器的初始組態方面,最初用來建立特徵的演算法
也必須監視檔案的變化,且將特徵的內容儲存在安全的地點。 以階段性來說,監測過的檔案也都需要重新計算特徵的內容,
並和原始特徵進行比對。 如果特徵的內容不符,也就表示檔案的內容已經發生變化。
檔案完整性檢查器本身,無法察覺任何攻擊的徵兆。 可提供檔案完整性的檢查結果。 如果網路伺服器遭到攻擊時,偵測器雖然無法察覺攻擊的
行為,但可確認網站的首頁是否毀損或遭到竄改。 由於許多類似的攻擊也都含有竄改系統檔案的行為在內,因此利用檔案完整性檢查也可偵測出系統是否遭受到侵害。
檔案完整性檢查器( File integrity checker ) cont..
網路型的監控網路型的監控(( network-based monitornetwork-based monitor ))
網路型式的入侵偵測系統以原始網路封包作為資料來源 通常把網路設備設定成”混亂模式”( promiscuous mod
e )來偵測及分析所有過往的網路通訊,使得它們可以聽到網路上經過的任何封包,藉此收集相關攻擊特徵。
可偵測到主機型式監控偵測不到的 駭客消除入侵證據較困難 即時偵測及反應 可偵測到未成功或惡意的入侵攻擊 與作業系統無關
網路型 IDS
NIDS 是一種專門用於硬體系統的軟體程序。 NIDS 軟體會監視所有流經網路介面卡的網路(不是只有單
一系統的流量)流量。接著,就可以分析、判斷是否屬於符合攻擊規則和特徵的流量。
NIDS 系統主要是做為特徵型的偵測器。 系統已經內建攻擊特徵資料庫,並用以比對網路線上的流量。 如果是屬於沒有特徵檔案的攻擊類型, NIDS 也一樣無法防
範。 NIDS 也可以根據來源位址、目的地位址、來源連接埠、目
的地連接埠等,檢測網路特定流量的能力。這種功能可以讓組織得以監控攻擊特徵之外的網路流量。
在網路環境之中配置 IDS 的範例
應用程式型的監控應用程式型的監控(( application-based monitorapplication-based monitor ))
從執行的應用程式中收集資料。這些資料來源包含應用程式事件日誌,和應用程式內部產生的紀錄。
主要是針對輸入值的辨認來偵測攻擊行動的發生,可能的話可以直接攔截此輸入值,不讓應用程式執行到惡意的攻擊碼。 Malicious injection attack
應用 protocol analysis 的觀念 client->server 的 client flow server->client 的 server flow
目標式的監控目標式的監控(( target-based monitortarget-based monitor ))
會自己產生資料。 目標式的監視器使用密碼學的雜湊函式來
偵測系統物件的修改,然後和安全政策做比較。因為這些目標物體狀態的改變會隨時被監控,所以這種監控機制對某些系統還滿有效的,尤其是當這些系統不能使用其它方法時。
監控方法(資訊來源) 分析架構
誤用偵測( misuse detection ) 異常偵測( anomaly detection ) 其它的偵測架構 分析時機:批次 vs.即時
反應機制
入侵偵測系統的基本組成入侵偵測系統的基本組成
誤用偵測誤用偵測(( misuse detectionmisuse detection ))
Misuse Detection ( 誤用偵測 ) Signature Based Detection ( 特徵型偵測技術 )
Knowledge-based intrusion detection ( 知識基礎型入侵偵測 )
以已知的網路攻擊手法及系統安全漏洞的資訊為基礎,將網路攻擊或試圖利用系統安全漏洞入侵的過程中所會產生的”特徵”累積成為一個知識庫。入侵偵測系統會將實際發生的事件 (無論是否為惡意意圖 )與此一知識庫進行特徵比對 (樣版比對 pattern matching ),作為評斷是否為攻擊或是可疑的事件的依據。
負向表列 現今大部分的入侵偵測系統都是採用此方法。
誤用偵測誤用偵測(( misuse detectionmisuse detection ))
異常偵測異常偵測(( anomaly detectionanomaly detection ))
以系統正常運作為基準,所有不依照協定規範運作的事件都會被視為是異常的事件,不是攻擊就是程式異常。如通訊協定異常、流量異常 (Flooding 、 Scan...)
正向表列 採取統計的技巧找出不尋常活動的樣本。 入侵其實是異常活動的某些子集合。
所有的系統活動
被認為是正常的活動( )異常偵測
已知的異常活動( )誤用偵測
誤判率 False positives v.s. False negatives 主動錯誤訊息 (false positives) 指的是當組
織由於惡意活動而被通知警報時候,經檢查其實沒有任何事情發生。
被動錯誤訊息 (false negatives) 就是對於真實的惡意攻擊者或者未授權活動偵測失敗。
其它的偵測架構其它的偵測架構免疫系統方法( Immune System Approaches )
美國新墨西哥州立大學所發展 基因演算法( Genetic Algorithm )代理人式的偵測( Agent-Based Detection )
自發性代理人入侵偵測系統( Autonomous Agent for Intrusion Detection , AAFID )
資料採礦( Data Mining )
分析時機:批次分析時機:批次 vs.vs. 即時即時
批次的分析模式意謂著資訊是以檔案的方式傳遞給分析器,然後每隔一段時間才會做處理。最後,當入侵事件發生時,結果會傳回給使用者。批次方式對早期的入侵偵測是很普遍的,因為當時的通訊頻寬和系統處理速度都不足以支援即時的入侵監控機制。
分析時機:批次分析時機:批次 vs.vs. 即時即時 (cont.)(cont.)隨著系統的速度和通訊頻寬的增加,大部分的入
侵偵測系統已經轉成即時的分析方式。 在即時的分析過程中,當事件發生時,資訊源會立刻傳到分析引擎,並馬上做處理。
使用『即時』這個字眼,是因為入侵偵測系統已經快到當攻擊事件還在進行時,就可以馬上中斷它,並立刻做出反應。
監控方法(資訊來源) 分析架構 反應機制
被動 vs. 主動 產生報表
入侵偵測系統的基本組成入侵偵測系統的基本組成
反應機制—被動反應機制—被動 vs.vs.主動主動被動: console messages 、 e-mail 、 cell phones
or pagers 、和 report 。有些還會產生 SNMP alarms 和 alert 。
主動: 修正系統弱點 強制登出使用者 中斷連線(發出 TCP RST封包) 加強監控、採取進一步的行動(鎖定某個可疑的來源位址) 重新設定防火牆(阻擋可以的來源位址、管制某個 port 的網路
流量) 中斷某個 port 的對外連線(例如 HTTP )
反應機制—產生報表反應機制—產生報表
定期產生報表 時間 入侵事件 來源位址 / 通訊埠 目的位址 / 通訊埠 使用者登入 /登出紀錄 使用者活動紀錄
CIDFCommon Intrusion Detection Framework
CIDF Working Group (IETF) Set of Components
Event Generator (E-Boxes) Analysis Engines (A-Boxes) Storage Mechanisms (D-Boxes) Countermeasures (C-Boxes)
http://www.isi.edu/gost/cidf/
IDS on Linux
Linux Intrusion Detection System http://www.lids.org/
Snort http://www.snort.org/
Integrity Checking Access Control
LIDSLinux Intrusion Detection/Defense System
Host-Based IDS Kernel Patch and Utility Port Scanner Detection Process Control File Control Trojan Protection Real-time Security Alert
SnortLightweight Intrusion Detection for Networks
Network-Based IDS Packet Logging Sniffer Mode Security Alert Pre-processor (Rules Engine) Multi-OS (FreeBSD, Win2K)
現行入侵偵測技術的限制 只能偵測出已知的攻擊模式
以比對特徵為基礎﹙ Signature-based﹚的安全機制只能辨識出資料庫中有相對應的攻擊特徵之非法行為,所以攻擊特徵( Signature )的開發速度會影響安全機制的有效性。
誤判率 缺乏立即有效的回應
駭客攻擊程序
駭客攻擊程序 探測﹙ Probe﹚階段:在一開始,駭客最主要的目的是找出有安全漏洞,可以下手攻擊的主機。
滲透﹙ Penetrate﹚階段:在這個階段,駭客最主要的目的是利用特定攻擊手法,例如記憶體溢位﹙ Buffer overflow﹚,將攻擊程式傳送到攻擊目的地主機,並執行此程式。
常駐﹙ Persist﹚階段:當攻擊程式成功的在受害主機上執行,攻擊程式會讓自己可以常駐在受害主機上,即使受害主機重新開機也能持續運作,供遠端搖控的駭客使用。
擴張﹙ Propagate﹚階段:是攻擊程式會特續擴張的時候,駭客利用已經成功侵入並常駐在受害者電腦的攻擊程式尋找鄰近網路上是否有可以攻擊的新目標。
癱瘓﹙ Paralyze﹚階段:的傷害會在此時發生,受害者電腦的檔案被刪除,系統當機, DDOS 攻擊開始進行。
Firewall & IDS & IPSFirewall & IDS & IPS
Firewall IDS Firewall & IDS & IPS
FirewallFirewall
port number & IP address判斷 SQL Slammer
SQL Server UDP Port 1434 傳送大量 376 bytes UDP封包 buffer overflow 攻擊方式
IDSIDS
網路監控並提供記錄以供審核及事後追蹤 過多的漏報及誤報 無法即時防禦
sniffer mode TCP Reset ,透過 Firewall修改規則的方式
回應能力有限 偽造 IP address 不提供其他 protocol 的回應處理
Slammer UDP 1434 性能有待加強
software
IDSIDS 的防護措施的防護措施
網安新方向 以分析攻擊行為為基礎( Behavior-based )的安全技術能更有效的辨識與防止攻擊。
以分析攻擊行為為基礎( Behavior-based )的安全機制主要優勢在: 可以有效回應已知與未知的攻擊,預防對伺服器與一般個人電腦造
成損害;
對攻擊的預防近乎零誤判率;
不需陷入攻擊特徵( Signature )與安全漏洞在數目上的競爭;
無須更新,因為入侵預防﹙ Intrusion Prevention﹚系統並不會使用到攻擊特徵( Signature )。
以分析攻擊行為為基礎( Behavior-based )的安全機制真正做到入侵預防而非只是偵測攻擊,於是也稱之為入侵預防﹙ Intrusion Prevention﹚,可以提供更實質的保障。
IPSIPS IPS (Intrusion Prevention System)(Intrusion Prevention System)
為 IDS延伸及功能增強的產品 關鍵差異 : 主動防禦及 IN-line mode
即時偵測發揮主動防禦功能 線速運行( wire-line speed ) 多重回應能力
block packet 、 block connection 、 e-mail alarm 、log event
IPSIPS
多種監控模式 inline Mode - Detect and Action monitor Mode - Detect Only tap Mode - Detect and Send TCP Reset bypass Mode - Bypass all packets stop Mode - Drop all packets span Mode - Detect and Send TCP Reset two network seg
ment at same time
多種檢測技術 DDOS 、 Buffer Overflow 、 Access Control 、 Troj
an 、 Scan 、 Other
IPSIPS 運行架構運行架構
Fire Wall vs. IPSFire Wall vs. IPS
Presentation
Session
Transport
Network
Data Link
Application
Physical
Fire Wall vs. IPSFire Wall vs. IPS
Firewall IPS
主要功能 資源控管 入侵防禦
控管層級 Layer 4 Layer 7
防毒功能 無 少部份功能
Log Traffic Log 可詳細檢測封包內容
取代性 IPS與 Firewall兩者需相互搭配達更佳的安全性
├ Passive IDS ( sniffer mode)
Intrusion Prevention SystemIntrusion Prevention System (IPS) ├ In-Line mode
POWERFAULT DATA ALARM
WANLAN
IDS
Hub
IDS vs. IPSIDS vs. IPS
WAN LAN
IPS
IDS vs. IPSIDS vs. IPS
IDS IPS
防禦方式 Passivesniffer mode
Activein-line mode
防禦動作作 通知防火牆TCP reset中斷連線
丟棄惡意封包中斷連線
入侵偵測防禦 先進攻擊分析報表
完整攻擊蒐證 自動網路系統強化更新
可靠之軟硬體整合設備
BroadWeb 主動阻隔非法入侵(AIDP)
內含完整先進攻擊分析報表
連線記錄及完整封包記錄
網路更新偵測引擎及攻擊辨識碼 /UD
最佳化之軟硬體整合產品
CA eTrust Firewall reconfigure
另購管理軟體 Log封包頭 N/A Software
CiscoIDS
Router reconfigure
另購管理軟體 Log封包頭 僅更新攻擊辨識碼
Appliance
EnterasysDragon
Alert 另購管理軟體或設備
Log封包頭 僅更新攻擊辨識碼
Appliance/Software
ISSReal Secure
Firewall reconfigure
另購管理軟體 Log封包頭 僅更新攻擊辨識碼 /UD
Software
IntrusionSecurNet
Firewall reconfigure
另購管理軟體 Log封包頭 N/A Appliance/Software
Symantec NetProwler
Firewall reconfigure
另購管理軟體 Log封包頭 僅更新攻擊辨識碼 /UD
Software
HackerLabNIDS
Alert 內含簡易分析 N/A 僅更新攻擊辨識碼
Appliance
