捷克論壇 JKF

 找回密碼
 加入會員
搜尋
查看: 3609 | 回覆: 4 | 跳轉到指定樓層
CCSUN
王子 | 2009-4-17 16:08:11

入侵偵測系統﹙可能為軟體或硬體﹚是設計來監測資訊系統或網路系統上可能潛在的惡意破壞活動。入侵偵測的原理是將從資訊或網路系統上收集到的活動資訊,與惡意破壞活動特徵﹙Signatures﹚辨識資料庫做比對以判斷是否有惡意或未授權的活動正在進行。



網路型入侵偵測系統



網路型入侵偵測系統﹙Network Intrusion Detection System , NIDS﹚與網路連結,並分析從網路收集來的封包。從封包取得的資料會與攻擊特徵資料做比對,如果封包資料並不符合攻擊特徵資料庫中的攻擊,網路流量便會被判定為正常的流量;相反的,如果封包的資料符合資料庫中的某項攻擊特徵,反制攻擊的機制便會被啟動。



主機型入侵偵測系統



主機型入侵偵測系統﹙Host-based Intrusion Detection System , HIDS﹚是從主機系統稽核日誌檔演進而來。傳統的作法是,系統管理人員在每天作業結束前,在日誌檔中檢查是否有任何可疑的非法行為。這種方式不僅耗時費力,而且無法即時的偵測出潛在的惡意活動。現今的HIDS在每一台主要的主機上安裝一個代理程式﹙Agent﹚,執行監控的工作,若有任何系統事件﹙Event﹚被記錄至日誌檔,代理程式便會立即將系統事件比攻擊特徵資料庫做比對,有些HIDS能夠監控應用程式的日誌檔,甚至檢查系統的檔案是否遭更改過。



現行入侵偵測技術的限制

目前網路型與主機型入侵偵測系統普遍有下列潛在不足之處:



快速增加的安全漏洞

以比對特徵為基礎﹙Signature-based﹚的安全機制在1990年中期成形,當時已知的安全漏洞數目並不多。根據CERT的資料,在1995年,只有171個安全漏洞被發佈,Signature-based的資訊安全產品足以應付當時的安全需求。



隨著安全漏洞的數目不斷快速增加,加上變形攻擊﹙Mutations﹚的出現,上述情形已逐漸改觀。



針對每一種不同的攻擊,Signature-based的產品都需要一個相對應的攻擊特徵,在2001年,每一天至少需增加6個攻擊特徵到資料庫中,Signature-based的安全機制無法跟上漏洞增加的速度。



誤判率

在現行的攻擊模式與特徵比對的技術,常出現誤判的狀況,﹙現已有資訊安全廠商針對此缺點提出新的技術解決方案﹚,當誤判率過高,會造成安全設備與安全管理人員的效率降低。誤判的狀況,在軟體式的網路型入侵偵測系統最為嚴重。因軟體式NIDS多半有效能上的瓶頸,當效能跟不上網路流量的速度,就會開始掉封包﹙Drop packets﹚,導致封包資訊不全而容易造成誤判。



新的解決方案—入侵預防技術﹙Intrusion Prevention﹚

針對上述現有入侵偵測系統的不足,一種可以偵測出未知、未曾出現過的攻擊之技術一入侵預防已問世。有趣的是,新的技術是利用了駭客攻擊程序來達成的。



駭客攻擊程序

1. 在探測﹙Probe﹚階段,最主要的目的是找出欲攻擊的主機。

2. 在滲透﹙Penetrate﹚階段,最主要的目的是利用特定攻擊手法,例如記憶體溢位﹙Buffer overflow﹚,將惡意程式傳送到攻擊目的地主機,並執行此程式。

3. 在常駐﹙Persist﹚階段,當惡意程式成功的在受害主機上執行,惡意程式會讓自己可以常駐在受害主機上,並持續運作,供遠端搖控的駭客使用。

4. 擴張﹙Propagate﹚階段,這是惡意程式會特續擴張的時候,駭客利用已經成功侵入並常駐在受害者電腦的惡意程式尋找鄰近網路上是否有可攻擊的新目標。

5. 癱瘓﹙Paralyze﹚階段,真正的傷害會在此時發生,檔案被刪除,系統當機,DDOS攻擊開始進行。



在“滲透”與“常駐”這兩個階段之間有一條很清楚的分界線。前兩個階段會有許多“變形”產生,也就是同一個惡意程式會利用不同的方式滲透,而且惡意程式在前兩個階段中多會利用“Evasion”技術﹙例如隱藏在URL的Unicode中﹚以迴避入侵偵測系統,因此在駭客攻擊的前兩階段,傳統入侵偵測系統除非有確的Signature,否則不易偵測出實際的攻擊手法﹙如果這是一個新的攻擊方式﹚。



但攻擊的後三個階段剛好與前兩個階段相反。在後三個階段中,攻擊的模式相當固定,幾乎沒有任何變化。1988年著名的「Morris Worm」與2001年的「NIMDA Worm」在後三個階段所執行的事幾乎一模一樣。再者,在這三個階段中的破壞行為,例如在「癱瘓」階段中惡意程式可能會竄改作業系統核心,這對安全機制來說是相當明顯的攻擊事件,比較能正確的被辨識出來。



如果要在攻擊程序的早期偵測出攻擊行為,每一個攻擊看起來都不一樣,若要做出正確判斷,每一個攻擊都需要一個個別的Signature,一個新的Behavior-based的安全技術能更有效的辨識與防止攻擊。Behavior-based的安全機制會忽略攻擊前期的動作,而是專注在攻擊後期的行為,因為如前所述,攻擊後期的行為能被更有效而精準的辨識出來,且真正的破壞行為都是在攻擊最後期發生,Behavior-based的安全機制真正做到入侵預防而非只是偵測攻擊,可以提供更實質的保障。

_________________
翔康國際股份有限公司
andy@shinecom.com.tw
我回來了.
回覆 使用道具
7密碼
侯爵 | 2009-5-26 10:03:31

不錯不錯的知識~{:3_255:}
小弟感謝大哥的教導~{:3_293:}
回覆 使用道具
awwwh
伯爵 | 2009-10-8 19:58:59

感謝大大的分享
努力學習呢.........
回覆 使用道具
來檸檬的
見習騎士 | 2009-11-30 08:20:04

有些是看不太懂,不過大略了解一些重點
回覆 使用道具
qq822982
男爵 | 2012-5-4 23:27:48

由衷感謝樓主辛苦無私的分享
每天來捷克論壇逛一下已經逛成習慣囉
回覆 使用道具
您需要登入後才可以回覆 登入 | 加入會員

回頂部 下一篇文章 放大 正常倒序 快速回覆 回到列表