第十四章 入侵偵測與網(wǎng)路病毒課件

1、第十四章 入侵偵測與網(wǎng)路病毒,1,第十四章 入侵偵測與網(wǎng)路病毒,14-1 入侵偵測簡介 14-2 入侵偵測與防火牆 14-3 駭客身份 14-4 入侵技巧 14-5 入侵偵測系統(tǒng) 14-6 入侵偵測技術 14-7 主機型入侵偵測系統(tǒng) 14-8 網(wǎng)路型入侵偵測系統(tǒng) 14-9 誘捕型防禦系統(tǒng) 14-10 網(wǎng)路病毒,第十四章 入侵偵測與網(wǎng)路病毒,2,14-1 入侵偵測系統(tǒng)簡介,入侵偵測系統(tǒng) (Intrusion Detection System, IDS)種類 主機型入侵偵測系統(tǒng) (Host-based IDS, HIDS) 防火牆入侵偵測 主機入侵偵測 網(wǎng)路型入侵偵測系統(tǒng) (Network-bas

2、ed IDS, NIDS) 誘捕防禦系統(tǒng) (Deception Defense System, DDS,第十四章 入侵偵測與網(wǎng)路病毒,3,14-2 入侵偵測與防火牆 (1,入侵偵測與防火牆架設,第十四章 入侵偵測與網(wǎng)路病毒,4,14-2 入侵偵測與防火牆 (2,私有網(wǎng)路的安全措施,第十四章 入侵偵測與網(wǎng)路病毒,5,14-3 駭客身份,駭客 (Hacker) 身份 網(wǎng)路安全專家 學生 犯罪型入侵者 商業(yè)間諜 恐怖份子 內(nèi)部使用者,第十四章 入侵偵測與網(wǎng)路病毒,6,14-4 入侵技巧,入侵步驟 選定入侵目標 目標確認 攻擊方法選取 展開攻擊 入侵技巧 竊聽與窺視 停止服務 取代服務 扮演中間人,第

3、十四章 入侵偵測與網(wǎng)路病毒,7,14-4-1 竊聽與窺視技巧,竊取密碼 訊務分析 網(wǎng)路位址掃描 連接埠口掃描 網(wǎng)路命令探索 SNMP 資料蒐集,第十四章 入侵偵測與網(wǎng)路病毒,8,14-4-2 阻斷服務技巧,阻斷服務 (Denial of Service, DoS) 技巧 Ping 到死 SYN 攻擊 ICMP 氾濫 弱點攻擊 DNS Cache 污染 路由重導,第十四章 入侵偵測與網(wǎng)路病毒,9,14-4-3 取代服務,取代服務技巧 來源路由替換 伺服器取代 登入伺服器取代,第十四章 入侵偵測與網(wǎng)路病毒,10,14-4-4 中間人扮演,中間人扮演技巧 路由重導 DNS cache 污染,第十四章

4、 入侵偵測與網(wǎng)路病毒,11,14-5 入侵偵測系統(tǒng),Intrusion Detection System (IDS) 監(jiān)視並分析用戶與系統(tǒng)的活動 檢查系統(tǒng)配置與漏洞 評估系統(tǒng)關鍵性資源與資料的完整性 辨識已知的攻擊行為,第十四章 入侵偵測與網(wǎng)路病毒,12,14-5-1 入侵偵測元件,入侵偵測系統(tǒng)之元件 事件產(chǎn)生器 (Event Generator) 事件分析器 (Event Analysis) 事件資料庫 (Event Database) 反應元件 (Response Units,第十四章 入侵偵測與網(wǎng)路病毒,13,14-5-2 入侵事件來源,系統(tǒng)和網(wǎng)路日誌 目錄及檔案稽核 程式執(zhí)行稽核 訊務

5、收集 實體網(wǎng)路架構,第十四章 入侵偵測與網(wǎng)路病毒,14,14-6 入侵偵測技術,入侵偵測技術 異常偵測 (Anomaly Detection)： 如果訊息的行為超出正常範圍之外，或出現(xiàn)有不應該出現(xiàn)的動作，則判斷為入侵行為。 誤用偵測 (Misuse Detection)： 如果訊息的行為與其它入侵行為相同 (或類似 )時，則判斷為入侵行為,第十四章 入侵偵測與網(wǎng)路病毒,15,14-6-1 特徵型偵測技術,誤用偵測 (Misuse Detection) 或 特徵型偵測 (Signature-based Detection) 可能出現(xiàn)的問題： 攻擊特徵的更新 可能的規(guī)避手法 將完整連線分割 分割封

6、包 淹沒攻擊 編碼問題 警報誤報問題,第十四章 入侵偵測與網(wǎng)路病毒,16,14-6-2 異常型偵測技術,異常偵測 (Anomaly Detection) 或異常行為偵測 (Behavioral Anomaly Detection) 協(xié)定異常偵測 (Protocol Anomaly Detection) 異常範例： 使用伺服器不支援之命令 伺服器超出協(xié)定範位或預期的回應訊息 封包重組會造成資料重疊或被覆蓋的現(xiàn)象 ICMP 封包超出正常比率 異常封包標頭 來源 IP, Port 與目的 IP, Port 相同 在 HTTP, POP, IMAP 協(xié)定中出現(xiàn) Shell 命令,第十四章 入侵偵測與網(wǎng)

7、路病毒,17,14-6-3資料引擎 (1,檢測與判斷依據(jù) 誤用偵測： 假設所有都是不符合入侵行為，再找出符合入侵行為 異常偵測： 假設所有都是異常行為，再找出正常行為,第十四章 入侵偵測與網(wǎng)路病毒,18,14-6-3資料引擎 (2,正常與非正常活動 資料引擎 (Data Engine) 專家系統(tǒng) (Export System) 有限狀態(tài)機 (Finite State Machine) 統(tǒng)計分析 (Statistical Measure) 類神經(jīng)網(wǎng)路 (Neural Network) 資料探勘 (Data Mining,第十四章 入侵偵測與網(wǎng)路病毒,19,14-7 主機型入侵偵測系統(tǒng),Host-

8、based IDS (HIDS) 防火牆入侵偵測 伺服主機入侵偵測 14-7-1 防火牆入侵偵測 後門 (back Door) 偵測 網(wǎng)路阻斷偵測 服務過載 訊息洪流 阻斷攻擊 14-7-2 伺服主機入侵偵測 系統(tǒng)日誌 安全稽核 主機阻斷偵測,第十四章 入侵偵測與網(wǎng)路病毒,20,14-8 網(wǎng)路型入侵偵測系統(tǒng) (1,Network-based IDS (NIDS) 可使用誤用偵測、異常偵測，或混合型偵測系統(tǒng) (Hybrid IDS) 獨立系統(tǒng) 可能無法偵測之封包： 處理能力問題 交換器隔離 HIDS 安全性問題,第十四章 入侵偵測與網(wǎng)路病毒,21,14-8 網(wǎng)路型入侵偵測系統(tǒng) (2,NIDS 設

9、備裝置,第十四章 入侵偵測與網(wǎng)路病毒,22,14-8 網(wǎng)路型入侵偵測系統(tǒng) (3,安全性 NIDS 配置,第十四章 入侵偵測與網(wǎng)路病毒,23,14-9 誘捕型防禦系統(tǒng),誘捕型防禦系統(tǒng) (Deception Defense System, DDS) 蜜蜂罐 (Honeypot) 功能： 消耗攻擊者時間 錯誤安全措施 降低被攻擊可能 蜜蜂罐的四種型態(tài) 待宰羔羊 (Sacrificial Lamb) 偽裝系統(tǒng) (Facade) 傀儡系統(tǒng) (Instrumented System) 蜜蜂網(wǎng) (Honeynet,第十四章 入侵偵測與網(wǎng)路病毒,24,14-10 網(wǎng)路病毒,網(wǎng)路病毒 病毒 (Virus) ?

10、惡意的程式 透過合法的入侵路徑，再從事非法的破壞工作,第十四章 入侵偵測與網(wǎng)路病毒,25,14-10-1 惡意的程式,惡意的程式 後門陷阱 邏輯炸彈 特洛伊木馬 (Trojan Horses) 電腦病毒 (Virus) 網(wǎng)路蠕蟲 (Worm) 電子郵件 遠端登入 遠端執(zhí)行程式 巨集病毒 (Macro Virus,第十四章 入侵偵測與網(wǎng)路病毒,26,14-10-2 病毒的生命週期,病毒的生命週期 潛伏期 (Dormant Phase) 散播期 (Propagation Phase) 觸發(fā)期 (Triggering Phase) 執(zhí)行期 (Execution Phase,第十四章 入侵偵測與網(wǎng)路病毒,27,14-10-3 病毒的類型,寄生病毒 (Parasitic Virus) 記憶體常駐病毒 (Memory-resid