入侵侦测与网路病毒.pptx

1、114-1入侵偵測系統簡介入侵偵測系統簡介入侵偵測系統入侵偵測系統(IntrusionDetectionSystem,IDS)種類種類主機型入侵偵測系統主機型入侵偵測系統(Host-basedIDS,HIDS)防火牆入侵偵測防火牆入侵偵測主機入侵偵測主機入侵偵測 網路型入侵偵測系統網路型入侵偵測系統(Network-basedIDS,NIDS)誘捕防禦系統誘捕防禦系統(DeceptionDefenseSystem,DDS)214-2入侵偵測與防火牆入侵偵測與防火牆(1)入侵偵測與防火牆架設入侵偵測與防火牆架設314-2入侵偵測與防火牆入侵偵測與防火牆(2)私有網路的安全措施私有網路的安全措施4

2、14-3駭客身份駭客身份駭客駭客(Hacker)身份身份網路安全專家網路安全專家學生學生犯罪型入侵者犯罪型入侵者商業間諜商業間諜恐怖份子恐怖份子內內部使用者部使用者514-4入侵技巧入侵技巧入侵步驟入侵步驟選定入侵目標選定入侵目標目標確認目標確認攻擊方法選取攻擊方法選取展開攻擊展開攻擊入侵技巧入侵技巧竊聽與窺視竊聽與窺視停止服務停止服務取代服務取代服務扮演中間人扮演中間人614-4-1竊聽與窺視技巧竊聽與窺視技巧竊取密碼竊取密碼訊務分析訊務分析網路位址掃描網路位址掃描連接埠口掃描連接埠口掃描網路命令探索網路命令探索SNMP資料蒐集資料蒐集714-4-2阻斷服務技巧阻斷服務技巧阻斷服務阻斷服務(

3、DenialofService,DoS)技巧技巧Ping到死到死SYN攻擊攻擊ICMP氾濫氾濫弱點攻擊弱點攻擊DNSCache污污染染路由重導路由重導814-4-3取代服務取代服務取代服務技巧取代服務技巧來源路由替換來源路由替換伺服器取代伺服器取代登入伺服器取代登入伺服器取代914-4-4中間人扮演中間人扮演中間人扮演技巧中間人扮演技巧路由重導路由重導DNScache污污染染1014-5入侵偵測系統入侵偵測系統IntrusionDetectionSystem(IDS)監視並分析用監視並分析用戶戶與系統的活動與系統的活動檢檢查查系統配置與漏洞系統配置與漏洞評估系統關鍵性資源與資料的完整性評估系統

4、關鍵性資源與資料的完整性辨識已知的攻擊行為辨識已知的攻擊行為1114-5-1入侵偵測元件入侵偵測元件入侵偵測系統之元件入侵偵測系統之元件事件事件產產生器生器(EventGenerator)事件分析器事件分析器(EventAnalysis)事件資料庫事件資料庫(EventDatabase)反應元件反應元件(ResponseUnits)1214-5-2入侵事件來源入侵事件來源系統和網路日誌系統和網路日誌目錄及檔案稽核目錄及檔案稽核程式執行稽核程式執行稽核訊務收集訊務收集實體網路架構實體網路架構1314-6入侵偵測技術入侵偵測技術入侵偵測技術入侵偵測技術異常偵測異常偵測(AnomalyDetecti

5、on)：如果訊息的行為超出正常範圍之外，或出現有如果訊息的行為超出正常範圍之外，或出現有不應該出現不應該出現的動作的動作，則判斷為入侵行為。，則判斷為入侵行為。誤用偵測誤用偵測(MisuseDetection)：如果訊息的行為與其它入侵行為相同如果訊息的行為與其它入侵行為相同(或類似或類似)時，則判斷為時，則判斷為入侵行為。入侵行為。1414-6-1特徵型偵測技術特徵型偵測技術誤用偵測誤用偵測(MisuseDetection)或或特徵型偵測特徵型偵測(Signature-basedDetection)可能出現的問題：可能出現的問題：攻擊特徵的更新攻擊特徵的更新可能的規避手法可能的規避手法將完整

6、連線分割將完整連線分割分割封包分割封包淹沒攻擊淹沒攻擊編碼問題編碼問題警報誤報問題警報誤報問題1514-6-2異常型偵測技術異常型偵測技術異常偵測異常偵測(AnomalyDetection)或異常行為偵測或異常行為偵測(BehavioralAnomalyDetection)協定異常偵測協定異常偵測(ProtocolAnomalyDetection)異常範例：異常範例：使用伺服器不支援之命令使用伺服器不支援之命令伺服器超出協定範位或預期的回應訊息伺服器超出協定範位或預期的回應訊息封包重組會造成資料重疊或被覆蓋的現象封包重組會造成資料重疊或被覆蓋的現象ICMP封包超出正常比率封包超出正常比率異常封

7、包標頭異常封包標頭來源來源IP,Port與目的與目的IP,Port相同相同在在HTTP,POP,IMAP協定中出現協定中出現Shell命令命令1614-6-3資料引擎資料引擎(1)檢測與判斷依據檢測與判斷依據誤用偵測誤用偵測：假設所有都是不符合入侵行為，再找出符合入侵行為假設所有都是不符合入侵行為，再找出符合入侵行為異常偵測異常偵測：假設所有都是異常行為，再找出正常行為假設所有都是異常行為，再找出正常行為1714-6-3資料引擎資料引擎(2)正常與非正常活動正常與非正常活動資料引擎資料引擎(DataEngine)專家系統專家系統(ExportSystem)有限狀態機有限狀態機(FiniteSt

8、ateMachine)統計分析統計分析(StatisticalMeasure)類神經網路類神經網路(NeuralNetwork)資料探勘資料探勘(DataMining)1814-7主機型入侵偵測系統主機型入侵偵測系統Host-basedIDS(HIDS)防火牆入侵偵測防火牆入侵偵測伺服主機入侵偵測伺服主機入侵偵測14-7-1防火牆入侵偵測防火牆入侵偵測後門後門(backDoor)偵測偵測網路阻斷偵測網路阻斷偵測服務過載服務過載訊息洪流訊息洪流阻斷攻擊阻斷攻擊14-7-2伺服主機入侵偵測伺服主機入侵偵測系統日誌系統日誌安全稽核安全稽核主機阻斷偵測主機阻斷偵測1914-8網路型入侵偵測系統網路型入

9、侵偵測系統(1)Network-basedIDS(NIDS)可使用可使用誤用偵測誤用偵測、異常偵測異常偵測，或，或混合型偵測系統混合型偵測系統(HybridIDS)獨立系統獨立系統可能可能無法偵測無法偵測之封包：之封包：處理能力問題處理能力問題交換器隔離交換器隔離HIDS安全性問題安全性問題2014-8網路型入侵偵測系統網路型入侵偵測系統(2)NIDS設備裝置設備裝置2114-8網路型入侵偵測系統網路型入侵偵測系統(3)安全性安全性NIDS配置配置2214-9誘捕型防禦系統誘捕型防禦系統誘捕型防禦系統誘捕型防禦系統(DeceptionDefenseSystem,DDS)蜜蜂罐蜜蜂罐(Honey

10、pot)功能：功能：消耗攻擊者時間消耗攻擊者時間錯誤安全措施錯誤安全措施降低被攻擊可能降低被攻擊可能蜜蜂罐的四種型態蜜蜂罐的四種型態待宰羔羊待宰羔羊(SacrificialLamb)偽裝系統偽裝系統(Facade)傀儡系統傀儡系統(InstrumentedSystem)蜜蜂網蜜蜂網(Honeynet)2314-10網路病毒網路病毒網路病毒網路病毒病毒病毒(Virus)?惡意的程式惡意的程式透過合法的入侵路徑，再從事非法的破壞工作。透過合法的入侵路徑，再從事非法的破壞工作。2414-10-1惡意的程式惡意的程式惡意的程式惡意的程式後門陷阱後門陷阱邏輯炸彈邏輯炸彈特洛伊木馬特洛伊木馬(Trojan

11、Horses)電腦病毒電腦病毒(Virus)網路蠕蟲網路蠕蟲(Worm)電子郵件電子郵件遠端登入遠端登入遠端執行程式遠端執行程式巨集病毒巨集病毒(MacroVirus)2514-10-2病毒的生命週期病毒的生命週期病毒的生命週期病毒的生命週期潛伏期潛伏期(DormantPhase)散播期散播期(PropagationPhase)觸發期觸發期(TriggeringPhase)執行期執行期(ExecutionPhase)2614-10-3病毒的類型病毒的類型寄生病毒寄生病毒(ParasiticVirus)記憶體常駐病毒記憶體常駐病毒(Memory-residentVirus)啟啟動磁區病毒動磁區病毒(BootSectorVirus)隱形病毒隱形病毒(StealthVirus)多型病毒多型病毒(PolymorphousVirus)2714-10-4防毒的技巧防毒的技巧偵測、辨識、清除等三步驟偵測、辨識、清除等三步驟防毒軟體的功能層次：防毒軟體的功能層次：特徵掃描特徵掃描啟啟發式掃描發式掃描行為陷阱行為陷阱整合性防範整合性防範