IDS & IPS 主講:陳建民
Download
Report
Transcript IDS & IPS 主講:陳建民
IDS & IPS
主講:陳建民
IDS
入侵偵測系統的起源
入侵偵測系統的基本組成
資訊來源(information source)
分析架構(analysis scheme)
反應機制(response)
入侵偵測系統的起源
稽核(audit):產生、紀錄、和檢視系
統事件的過程。
為了系統活動的運作正常,劃分和維護個人的
權責範圍(accountability)。
重建事件的原貌。
評估災害所造成的損失。
監控系統中發生問題的區域。
允許有效率的災害復原
遏止不正常的系統使用。
入侵偵測系統的基本組成
監控方法(資訊來源)
分析架構
反應機制
入侵偵測系統的基本組成
監控方法(資訊來源)
主機型(host-based, HIDS)
網路型(network-based, NIDS)
應用程型式(application-based)
目標型(target-based)
分析架構
反應機制
主機型的監控(host-based monitor)
HIDS是安裝在主機上的機制,可以偵測任何嘗試入侵主
機的企圖。
NIDS是安裝在單一系統,用來偵測網路流量、找尋企圖
跨越部分網路的攻擊行為。
HIDS是一種安裝在組織範圍的許多系統上的偵測器
(sensor),並以中控化管理方式控制的軟體程序。
偵測器可以找尋許多不同的事件類型,並在主機系統採取
回應行為或傳送通知。
收集電腦內部的資料,通常都是作業系統層次。
包括作業系統的稽核軌跡和系統日誌。
主機型的監控(cont.)
確定駭客是否成功入侵
監測特定主機系統的活動
補救網路型式IDS錯失偵測的入侵事件
較適合有加密及網路交換器(Switch)的環境
伺服器的處理器能力也是HIDS系統的其他問題之一。
在主機上執行的偵測器程序,約需5%到15%整體CPU
時間。
如果現有系統的偵測器負載非常重,也可能會影響到
偵測器的效率,此時或許就需要選購等級更高的系統。
HIDS偵測器的五種基本類型:
記錄分析器(Log analyzer)
特徵型偵測器(Signature-based sensor)
系統呼叫分析器(System call analyzer)
應用程式行為分析器(Application behavior
analyzer)
檔案完整性檢查器(File integrity checker)
記錄分析器
(Log analyzer)
記錄分析器是一種在伺服器上執行的程序,並用來適當地
監視系統的記錄檔案。
如果記錄的項目符合HIDS偵測器程序的某些項目,就會
適時採取回應的措施。
多數的記錄分析器,主要是用來找尋可能的安全事件。
系統管理員通常也可以定義其他可能有幫助的記錄入口。
記錄分析器是屬於回應系統。
記錄分析器特別適用於追蹤內部系統授權使用者的行為。
如果組織非常注重系統管理員或其他系統的使用者行為時,
就可以使用記錄分析器來追蹤這些行為;並可依據記錄內
容,排除管理員或使用者對系統造成的問題
特徵型偵測器
(Signature-based sensor)
這種類型的偵測器,具有內建(built-in)的安全事件特徵,
也就是說針對內送(incoming)網路流量或記錄入口的安
全事件特徵。
特徵型和記錄分析器偵測器之間的區別,主要是增加分析
內送流量的能力。
特徵型系統具有偵測攻擊系統的能力,因此也可指定某種
攻擊行為的警訊。
在攻擊行為成功或失敗之前,不論是其他類型的HIDS偵
測器或特徵型偵測器就會採取回應的行動。
特徵型HIDS偵測器還可用於追蹤內部系統授權使用者的
行為
系統呼叫分析器
(System call analyzer)
系統呼叫分析器可以分析應用程式和作業系統之間的呼叫,
並可以辨識安全事件。
這種類型的HIDS偵測器,是架構在作業系統和應用程式
之間軟體。
在希望執行應用程式的時候,就會比對特徵資料庫,來分
析應用程式執行作業系統呼叫的行為。
特徵是屬於多種攻擊行為的範本,不過也可能是一種對
IDS系統管理員有幫助的事件。
系統呼叫分析器、記錄分析器和特徵型HIDS偵測器,它
們防止發生的活動類型有所不同。
如果系統呼叫符合緩衝區溢位(舉例來說)的特徵時,偵
測器就可以防止這種類型的呼叫,並因而保護系統免於遭
受到侵害。
應用程式行為分析器
(Application behavior analyzer)
應用程式行為分析器和系統呼叫分析器非常類似,這是因
為它們也是建置在應用程式和作業系統之間的間隙之中。
這種類型的行為分析器,它們的偵測器會先調查是否屬於
核准執行的應用程式行為,而不是先調查是否類似攻擊的
呼叫行為。
在設定這種類型的偵測器時,應該要建立每一種允許每一
種應用程式行為的清單。
這些商品的供應商,都會提供共通應用程式的樣本。
需要事先分析過組織自行發展的任何應用程式,並查看允
許執行的一般性行為,並在偵測器的範本之中記錄應用程
式的行為。
檔案完整性檢查器
(File integrity checker)
檔案完整性檢查器可以用來檢查檔案的變化情形。可透過
檔案的密碼檢查或數位簽章而達成的功能。
如果原始檔案的任何位元發生變化(例如建檔時間和容量
等屬性),特徵的內容也會跟著發生變化。
在檔案發生變化之後,即使利用建立這些特徵內容的演算
法,也難以建立相同的特徵。
在設定偵測器的初始組態方面,最初用來建立特徵的演算
法也必須監視檔案的變化,且將特徵的內容儲存在安全的
地點。
以階段性來說,監測過的檔案也都需要重新計算特徵的內
容,並和原始特徵進行比對。
如果特徵的內容不符,也就表示檔案的內容已經發生變化。
檔案完整性檢查器
(File integrity checker)cont..
檔案完整性檢查器本身,無法察覺任何攻擊的徵兆。
可提供檔案完整性的檢查結果。
如果網路伺服器遭到攻擊時,偵測器雖然無法察覺攻擊的
行為,但可確認網站的首頁是否毀損或遭到竄改。
由於許多類似的攻擊也都含有竄改系統檔案的行為在內,
因此利用檔案完整性檢查也可偵測出系統是否遭受到侵害。
網路型的監控
(network-based monitor)
網路型式的入侵偵測系統以原始網路封包作為資料來源
通常把網路設備設定成”混亂模式”(promiscuous
mode)來偵測及分析所有過往的網路通訊,使得它們可
以聽到網路上經過的任何封包,藉此收集相關攻擊特徵。
可偵測到主機型式監控偵測不到的
駭客消除入侵證據較困難
即時偵測及反應
可偵測到未成功或惡意的入侵攻擊
與作業系統無關
網路型IDS
NIDS是一種專門用於硬體系統的軟體程序。
NIDS軟體會監視所有流經網路介面卡的網路(不是只有
單一系統的流量)流量。接著,就可以分析、判斷是否屬
於符合攻擊規則和特徵的流量。
NIDS系統主要是做為特徵型的偵測器。
系統已經內建攻擊特徵資料庫,並用以比對網路線上的流
量。
如果是屬於沒有特徵檔案的攻擊類型,NIDS也一樣無法
防範。
NIDS也可以根據來源位址、目的地位址、來源連接埠、
目的地連接埠等,檢測網路特定流量的能力。這種功能可
以讓組織得以監控攻擊特徵之外的網路流量。
在網路環境之中配置IDS的範例
應用程式型的監控
(application-based monitor)
從執行的應用程式中收集資料。這些資料來源包含應用程
式事件日誌,和應用程式內部產生的紀錄。
主要是針對輸入值的辨認來偵測攻擊行動的發生,可能的
話可以直接攔截此輸入值,不讓應用程式執行到惡意的攻
擊碼。
Malicious injection attack
應用 protocol analysis 的觀念
client->server 的 client flow
server->client 的 server flow
目標式的監控
(target-based monitor)
會自己產生資料。
目標式的監視器使用密碼學的雜湊函式來
偵測系統物件的修改,然後和安全政策做
比較。因為這些目標物體狀態的改變會隨
時被監控,所以這種監控機制對某些系統
還滿有效的,尤其是當這些系統不能使用
其它方法時。
入侵偵測系統的基本組成
監控方法(資訊來源)
分析架構
誤用偵測(misuse detection)
異常偵測(anomaly detection)
其它的偵測架構
分析時機:批次vs.即時
反應機制
誤用偵測(misuse detection)
Misuse Detection (誤用偵測)
Signature Based Detection (特徵型偵測
技術)
Knowledge-based intrusion detection (知
識基礎型入侵偵測)
誤用偵測(misuse detection)
以已知的網路攻擊手法及系統安全漏洞的資訊為
基礎,將網路攻擊或試圖利用系統安全漏洞入侵
的過程中所會產生的”特徵”累積成為一個知識
庫。入侵偵測系統會將實際發生的事件(無論是否
為惡意意圖)與此一知識庫進行特徵比對(樣版比
對pattern matching),作為評斷是否為攻擊或是
可疑的事件的依據。
負向表列
現今大部分的入侵偵測系統都是採用此方法。
異常偵測(anomaly detection)
以系統正常運作為基準,所有不依照協定
規範運作的事件都會被視為是異常的事件,
不是攻擊就是程式異常。如通訊協定異常、
流量異常(Flooding、Scan...)
正向表列
採取統計的技巧找出不尋常活動的樣本。
入侵其實是異常活動的某些子集合。
被認為是正常的活動
(異常偵測)
已知的異常活動
(誤用偵測)
所有的系統活動
誤判率
False positives v.s. False negatives
主動錯誤訊息(false positives) 指的是當組
織由於惡意活動而被通知警報時候,經檢
查其實沒有任何事情發生。
被動錯誤訊息(false negatives) 就是對於真
實的惡意攻擊者或者未授權活動偵測失敗。
其它的偵測架構
免疫系統方法(Immune System Approaches)
基因演算法(Genetic Algorithm)
代理人式的偵測(Agent-Based Detection)
美國新墨西哥州立大學所發展
自發性代理人入侵偵測系統(Autonomous Agent for
Intrusion Detection,AAFID)
資料採礦(Data Mining)
分析時機:批次vs.即時
批次的分析模式意謂著資訊是以檔案的方
式傳遞給分析器,然後每隔一段時間才會
做處理。最後,當入侵事件發生時,結果
會傳回給使用者。批次方式對早期的入侵
偵測是很普遍的,因為當時的通訊頻寬和
系統處理速度都不足以支援即時的入侵監
控機制。
分析時機:批次vs.即時(cont.)
隨著系統的速度和通訊頻寬的增加,大部分的入
侵偵測系統已經轉成即時的分析方式。
在即時的分析過程中,當事件發生時,資訊源會
立刻傳到分析引擎,並馬上做處理。
使用『即時』這個字眼,是因為入侵偵測系統已
經快到當攻擊事件還在進行時,就可以馬上中斷
它,並立刻做出反應。
入侵偵測系統的基本組成
監控方法(資訊來源)
分析架構
反應機制
被動vs.主動
產生報表
反應機制—被動vs.主動
被動:console messages、e-mail、cell phones or
pagers、和report。有些還會產生SNMP alarms和
alert。
主動:
修正系統弱點
強制登出使用者
中斷連線(發出TCP RST封包)
加強監控、採取進一步的行動(鎖定某個可疑的來源位址)
重新設定防火牆(阻擋可以的來源位址、管制某個port的網路
流量)
中斷某個port的對外連線(例如HTTP)
反應機制—產生報表
定期產生報表
時間
入侵事件
來源位址/通訊埠
目的位址/通訊埠
使用者登入/登出紀錄
使用者活動紀錄
CIDF
Common Intrusion Detection Framework
CIDF Working Group (IETF)
Set of Components
Event Generator (E-Boxes)
Analysis Engines (A-Boxes)
Storage Mechanisms (D-Boxes)
Countermeasures (C-Boxes)
http://www.isi.edu/gost/cidf/
IDS on Linux
Linux Intrusion Detection System
Snort
http://www.lids.org/
http://www.snort.org/
Integrity Checking
Access Control
LIDS
Linux Intrusion Detection/Defense System
Host-Based IDS
Kernel Patch and Utility
Port Scanner Detection
Process Control
File Control
Trojan Protection
Real-time Security Alert
Snort
Lightweight Intrusion Detection for Networks
Network-Based IDS
Packet Logging
Sniffer Mode
Security Alert
Pre-processor (Rules Engine)
Multi-OS (FreeBSD, Win2K)
現行入侵偵測技術的限制
只能偵測出已知的攻擊模式
以比對特徵為基礎﹙Signature-based﹚的安全機
制只能辨識出資料庫中有相對應的攻擊特徵之非法
行為,所以攻擊特徵(Signature)的開發速度會
影響安全機制的有效性。
誤判率
缺乏立即有效的回應
駭客攻擊程序
駭客攻擊程序
探測﹙Probe﹚階段:在一開始,駭客最主要的目的是找
出有安全漏洞,可以下手攻擊的主機。
滲透﹙Penetrate﹚階段:在這個階段,駭客最主要的目
的是利用特定攻擊手法,例如記憶體溢位﹙Buffer
overflow﹚,將攻擊程式傳送到攻擊目的地主機,並執行
此程式。
常駐﹙Persist﹚階段:當攻擊程式成功的在受害主機上執
行,攻擊程式會讓自己可以常駐在受害主機上,即使受害
主機重新開機也能持續運作,供遠端搖控的駭客使用。
擴張﹙Propagate﹚階段:是攻擊程式會特續擴張的時候,
駭客利用已經成功侵入並常駐在受害者電腦的攻擊程式尋
找鄰近網路上是否有可以攻擊的新目標。
癱瘓﹙Paralyze﹚階段:的傷害會在此時發生,受害者電
腦的檔案被刪除,系統當機,DDOS攻擊開始進行。
Firewall & IDS & IPS
Firewall
IDS
Firewall & IDS & IPS
Firewall
port number & IP address判斷
SQL Slammer
SQL Server
UDP Port 1434傳送大量376 bytes UDP封包
buffer overflow 攻擊方式
IDS
網路監控並提供記錄以供審核及事後追蹤
過多的漏報及誤報
無法即時防禦
sniffer mode
TCP Reset ,透過Firewall修改規則的方式
回應能力有限
偽造IP address
不提供其他protocol的回應處理
Slammer UDP 1434
性能有待加強
software
IDS的防護措施
網安新方向
以分析攻擊行為為基礎(Behavior-based)的安全技術能更有效的辨
識與防止攻擊。
以分析攻擊行為為基礎(Behavior-based)的安全機制主要優勢在:
可以有效回應已知與未知的攻擊,預防對伺服器與一般個人電腦
造成損害;
對攻擊的預防近乎零誤判率;
不需陷入攻擊特徵(Signature)與安全漏洞在數目上的競爭;
無須更新,因為入侵預防﹙Intrusion Prevention﹚系統並不會使用
到攻擊特徵(Signature)。
以分析攻擊行為為基礎(Behavior-based)的安全機制真正做到入侵
預防而非只是偵測攻擊,於是也稱之為入侵預防﹙Intrusion
Prevention﹚,可以提供更實質的保障。
IPS
IPS (Intrusion Prevention System)
為IDS延伸及功能增強的產品
關鍵差異:主動防禦及IN-line mode
即時偵測發揮主動防禦功能
線速運行(wire-line speed)
多重回應能力
block packet、block connection 、 e-mail alarm 、
log event
IPS
多種監控模式
inline Mode - Detect and Action
monitor Mode - Detect Only
tap Mode - Detect and Send TCP Reset
bypass Mode - Bypass all packets
stop Mode - Drop all packets
span Mode - Detect and Send TCP Reset two network
segment at same time
多種檢測技術
DDOS 、 Buffer Overflow 、 Access Control 、 Trojan
、 Scan 、 Other
IPS運行架構
Fire Wall vs. IPS
Application
Presentation
Session
Transport
Network
Data Link
Physical
Fire Wall vs. IPS
Firewall
IPS
主要功能
資源控管
入侵防禦
控管層級
Layer 4
Layer 7
防毒功能
無
少部份功能
Log
Traffic Log
可詳細檢測
封包內容
取代性
IPS與Firewall兩者需相互搭配達更佳的安全性
IDS vs. IPS
├ Passive IDS ( sniffer mode)
Hub
LAN
WAN
IDS
Intrusion Prevention System (IPS)
├ In-Line mode
WAN
LAN
IPS
IDS vs. IPS
IDS
IPS
防禦方式
Passive
sniffer mode
Active
in-line mode
防禦動作作
通知防火牆
TCP reset
中斷連線
丟棄惡意封包
中斷連線
入侵偵測防禦
先進攻擊分析
報表
完整攻擊蒐證
自動網路系統
強化更新
可靠之軟硬體
整合設備
BroadWeb
主動阻隔非法
入侵
(AIDP)
內含完整先進
攻擊分析報表
連線記錄及完
整封包記錄
網路更新偵測
引擎及攻擊辨
識碼/UD
最佳化之軟硬
體整合產品
CA eTrust
Firewall
reconfigure
另購管理軟體
Log封包頭
N/A
Software
Cisco
IDS
Router
reconfigure
另購管理軟體
Log封包頭
僅更新攻擊辨
識碼
Appliance
Enterasys
Dragon
Alert
另購管理軟體
或設備
Log封包頭
僅更新攻擊辨
識碼
Appliance/
Software
ISS
Real Secure
Firewall
reconfigure
另購管理軟體
Log封包頭
僅更新攻擊辨
識碼/UD
Software
Intrusion
SecurNet
Firewall
reconfigure
另購管理軟體
Log封包頭
N/A
Appliance/
Software
Symantec
NetProwler
Firewall
reconfigure
另購管理軟體
Log封包頭
僅更新攻擊辨
識碼/UD
Software
HackerLab
NIDS
Alert
內含簡易分析
N/A
僅更新攻擊辨
識碼
Appliance