經濟部九十年度科技專案 國家資通安全技術服務計劃 入侵偵測系統簡介 經濟部九十年度科技專案 國家資通安全技術服務計劃 入侵偵測系統簡介 陳培德 國立成功大學電機所博士候選人 TEL:(06)2757575-62400-675 E-Mail:peder@crypto.ee.ncku.edu.tw URL:http://crypto.ee.ncku.edu.tw
Outline 入侵偵測系統原理 IDS v.s. Firewall System IDS的分類 網路式入侵偵測系統的安置 網路保全系統 結論
入侵與入侵偵測 入侵指試圖破解資訊資源的可用性、保密性和完整性的行動。一般來說,入侵偵測指用以偵測入侵行動的方法。這包括偵測擅自闖入系統的入侵者或誤用系統資源的用戶。 入侵偵測是在一個電腦台系統或者網路中監控入侵的發生,其定義為試圖損害祕密性,完整性,有效性的入侵特徵,並分析他們的入侵事件的過程,或者繞過網路的安全機制的行為。
入侵偵測系統與原理 入侵偵測系統是一種監控工具,大都以解讀網路封包與系統日誌內容、網路流量或流向等方式來即時偵測、回報與反應可疑入侵情事,進而適時提出警訊。 入侵偵測系統 ( IDSs ) 是使在電腦系統或者網路中自動化監控事件發生過程作的軟體或者硬體,並攻擊的特性加以分析。 入侵偵測系統亦可用來進行企業內部相關安全性弱點檢測
入侵偵測系統的要求 應具備 可更新入侵辨識資料庫 簡易之管理與設定介面 具執行時自身隱藏 (passive monitors)等功能
使用者 目前的操作 使用者的歷史行為 攻擊檢測 繼續監測 專家系統 類神經網路模型 攻擊? NO YES 中斷連線 紀錄其攻擊證據 恢復受攻擊的資料 即時入侵偵測的功能原理圖
IDS的重要性 防止防火牆和作業系統與應用程式的設定不當 偵測某些被防火牆認為是正常連線的外部入侵 了解和觀察入侵的行為企圖,並蒐集其入侵方式的資訊 監測內部使用者的不當行為
IDS v.s. Firewall System 防火牆的弱點 防火牆只能抵檔外部來的入侵行為 防火牆本身可能也存在弱點,以及其他安全性的設定錯誤 即使透過防火牆的保護,合法的使用者仍會非法的使用系統,甚至提昇自己的權限 防火牆僅能拒絕非法的連線請求,但是對於入侵者的攻擊行為仍一無所知
IDS的分類 根據資料蒐集的型態區分 根據所使用的偵測方式區分 Network-Based IDS Host-Based IDS Application-Based IDS 根據所使用的偵測方式區分 Misuse IDS Anomaly IDS
以資料蒐集型態區分 Network-Based IDS Host-Based IDS Application-Based IDS 以分析網路封包為主 事先預警 Host-Based IDS 以分析Logs為主 事後分析 Application-Based IDS 使用Application Logs 較易受攻擊
Network-Based IDS 網路型式的入侵偵測系統以原始網路封包作為資料來源,它通常運用網路卡於“promiscuous mode”來偵測及分析所有過往的網路通訊 當偵測到有駭客行為時,防衛系統可採多種反應方式應對,各家產品有不同的應對方式,不過,通常都有提供通知管理者、切斷連線或記錄入侵資料作為法院的證據等
網路型式入侵偵測系統的優點 成本較低 可偵測到主機型式入侵偵測系統偵測不到的 駭客消除入侵證據較困難 可偵測到未成功或惡意的入侵攻擊 與作業系統無關
網路型式入侵偵測系統的缺點 若網路的型態過大,NIDS往往會lost掉許多封包,無法完全監控網路上所有流通的封包數 若要擷取大型網路上的流量並分析,往往需要更有效率的CPU處理速度,以及更大的記憶體空間
網路型式入侵偵測系統的缺點 (cont.) 如果封包是已經經由加密過的,則NIDS就無法調查其中的內容。如此一來,可能會錯失包含在封包中的某些攻擊資訊 Network-based IDS 無法偵測目前是哪一個使用者正坐在主機前面使用該主機
Host-Based IDS 主機型式入侵偵測系統發展始於80年代早期,當時網路環境不像現在這樣複雜、交錯及普遍,在單純的主機環境中,通常只觀察、稽核系統日誌檔是否有惡意的行為,入侵行為很少,也只作“事後分析”以防止類似事件再發生。
Host-Based IDS (cont.) 主機型式入侵偵測系統目前仍是很好的工具,使用稽核日誌檔的技術,但是並納入複雜的偵測反應技術。 主機型式入侵偵測系統在Window NT環境下通常監測系統,事件及安全日誌檔,在UNIX環境下,是監測系統日誌。當有事件發生時,它即會作入侵行為的比對,若有符合,即會採取警示系統管理員其它適當的反應。
Host-Based IDS (cont.) 主機型式入侵偵測系統也引用新的技術,較常見的是監測重要的系統檔案或執行檔,在正常的時間內是否有不正常行為發生,以採取適當的反應。
主機型式IDS的優點 確定駭客是否成功入侵 監測特定主機系統的活動 補救網路型式IDS錯失偵測的入侵事件 較適合有加密及網路交換器﹝Switch﹞的環境 近於即時(Near realtime)的偵測與反應 不需另外增加硬體設備
主機型式IDS的缺點 所有的主機可能安裝不同版本或完全不同的作業平台,而這些作業系統有各種不同的稽核紀錄檔,因此必須針對各不同主機安裝各種HIDS 如果入侵者可能經由其他系統漏洞入侵系統並得到系統管理者的權限,那麼將會導致HIDS失去其效用 Host-based IDSs可能會因為denial-of-service而失去作用
主機型式IDS的缺點 (cont.) Host-based IDSs 並不能用來做網路的監測與掃描主機所在的整個網域,因為HIDSs僅能看到經由該主機所接收到的網路封包資訊 由於當Host-based IDSs處於監測狀態時也是消耗該主機的系統資源,因此可能會影響被監測主機本身的效能
Network-Based 與Host-Based IDS 之比較 共同點是不論是那種型式,他們「大都」是使用“入侵比對”(attack signatures )方法,來判斷是否為駭客行為 入侵偵測與預警機制比較 環境限制之比較
入侵偵測與預警機制比較 Network-Based IDS 會檢測所有的原始網路封包Header 以及使用的指令及語法,以判別是否為駭客行為,所以能在偵測攻擊行為的同時,就進行反制作為或提早預警 Host-Based IDS 則以檢查系統日誌檔中確實發生的事件(包括檔案存取、嘗試加入新的執行檔及嘗試使用某特殊系統服務等),能比網路型式IDS 更精確無誤的衡量駭客是否已經入侵成功,屬事後分析。
環境限制之比較 Network-Based IDS 可策略性運用來觀察特定網段或含有多種不同電腦主機所在的網路通訊環境,但不適合有加密及網路交換器(Switch )的環境 Host-Based IDS 則是安裝在重要的特定主機上,所以沒有上述之限制
Application-Based IDSs Application-Based IDSs是在軟體應用之內分析事件的Host-Based IDSs 的一特別子集。 對應用界面的能力, 以包括在分析發動機裡的重要領域或者應用專門的知識, 直接允許Application-Based IDSs 由於超過他們的授權的批准的用戶探查懷疑行為。
根據偵測方式的不同區分 Misuse Detection Anomaly Detection
Misuse Detection 採負面表列。 累積已知攻擊行為特徵(attack pattern),符合樣式者表異常 此種技術通常適合偵測如root 權限被入侵、系統日誌檔被異動或病毒碼程式植入等攻擊 亦會因為正常之行為中有攻擊行為特徵而被誤解為有攻擊行為
Advantages of Misuse Detection Misuse detectors are very effective at detecting attacks without generating an overwhelming number of false alarms. Misuse detectors can quickly and reliably diagnose the use of a specific attack tool or technique. This can help security managers prioritize corrective measures. Misuse detectors can allow system managers, regardless of their level of security expertise, to track security problems on their systems, initiating incident handling procedures.
Disadvantages of Misuse Detection Misuse detectors can only detect those attacks they know about – therefore they must be constantly updated with signatures of new attacks. Many misuse detectors are designed to use tightly defined signatures that prevent them from detecting variants of common attacks. State-based misuse detectors can overcome this limitation, but are not commonly used in commercial IDSs.
Anomaly Detection 採正面表列 正面表列規範網路正常行為,凡不在此正常行為範圍者都視為異常 常造成誤判而拒絕正常網路連線
Advantages of Anomaly Detection IDSs based on anomaly detection detect unusual behavior and thus have the ability to detect symptoms of attacks without specific knowledge of details. Anomaly detectors can produce information that can in turn be used to define signatures for misuse detectors.
Disadvantages of Anomaly Detection Anomaly detection approaches usually produce a large number of false alarms due to the unpredictable behaviors of users and networks. Anomaly detection approaches often require extensive “training sets” of system event records in order to characterize normal behavior patterns.
Network-Based IDSs的安置 Location 1: Behind each external firewall, in the network DMZ Location 2: Outside an external firewall Location 3: On major network backbones Location 4: On critical subnets
Location 1 Advantages Sees attacks,originating from the outside world,that penetrate the network’s perimeter defenses. Highlights problems with the network firewall policy or performance Sees attacks that might target the web server or ftp server, which commonly reside in this DMZ Even if the incoming attack is not recognized,the IDS can sometimes recognize the outgoing traffic that results from the compromised server
Location 2 Advantages Documents number of attacks originating on the Internet that target the network. Documents types of attacks originating on the Internet that target the network
Location 3 Advantages Monitors a large amount of a network’s traffic, thus increasing the possibility of spotting attacks. Detects unauthorized activity by authorized users within the organization’s security perimeter.
Location 4 Advantages Detects attacks targeting critical systems and resources. Allows focusing of limited resources to the network assets considered of greatest value.
兩種網路式入侵偵測系統實例 成大密碼與網路安全研究室所發展的兩種Network-based IDS RD-NIDS (Distributed Network Intrusion Detection System with the Reconnaissance ability ) Neuro-IDS (Neural Network based Intrusion Detection System)
RD-NIDS的架構
SYSTEM OPERATION
COMPARISONS OF EXISTING IDSs
RD-NIDS的偵測實例
RD-NIDS的偵測實例(cont.)
RD-NIDS的反偵測掃描
Neuro IDS原理 Multilayer perceptron (MLP) with back-propagation algorithm Forward pass Backward pass
System Characteristics Efficient Real time Intelligent Adaptive User friendly
Detection Model Service-specific Model (FTP) Attack Category Model (Probing) General TCP Model Training DDoS, DNS, DoS, Lpr, RPC, SMTP, Telnet, Trojan, Remote file access, Useless service, Abnormal TCP, FTP.
System Performance Experiment I: Connections: All normal. # of system inputs # of alert outputs False positives False negatives TCP 31435 6 Probe 564
System Performance (cont.) Experiment II: Normal Attacks: Nmap, TWWWscan, guest login attempt # of system inputs # of alert outputs False positives False negatives TCP 8952 1972 Probe 134 64 3
System Performance (cont.) Experiment III: Normal Attacks: Buffer overflow, backdoor, DoS. # of system inputs # of alert outputs False positives False negatives TCP 538 75 3 Probe 32 5 2
IDS展望 同時提供網路型式與主機型式IDS,並能整合運用。 密切跟蹤分析國際上入侵技術的發展,不斷獲得最新的攻擊方法。通過分析這些已知的攻擊方法,豐富預警系統的檢測能力。 加強並利用預警系統的審計、跟蹤和現場記錄功能,記錄並反饋異常事件。通過實例分析提取可疑的網路活動特徵,擴充系統的檢測範圍,使系統能夠應對未知的入侵活動。 利用攻擊技術的研究成果,創造新的入侵方法,並應用於檢測技術
網路保全 隨著網際網路的發展,人們使用網路除了使用基本的電子郵件通信及搜尋資料外,其他與日常生活相關的應用亦逐漸仰賴網路,因此網路環境的安全性便日益提昇 在實際生活中有保全公司替客戶從事保險工作,避免宵小進入客戶居家或公司;同樣的,在網路的環境中也應有網路保全來擔保網路安全,所差別者為其保全對象為客戶之網路、主機與資料庫之電子資訊而非實體房屋。
網路保全流程概念圖 用戶提出申請 是否存在 系統弱點 是 是 模擬駭客行為 進行弱點掃描 否 否 掃描程式誤判 監測目前網路狀態 是否與 實際狀況相符 是否存在 系統弱點 是 是 模擬駭客行為 進行弱點掃描 否 否 掃描程式誤判 監測目前網路狀態 提出修補建議
主要工作 弱點掃描 系統評估 安全建議報告 入侵偵測系統監測 以多套掃描工具進行用戶網路檢查 針對掃描結果進行評估,以判定系統目前是處於高危險、中危險、低危險狀態 安全建議報告 根據評估情況給予安全建議 入侵偵測系統監測 為避免繼續受到損害,以入侵偵測系統繼續監測
用戶申請書範本 申請單位 申請目的 問題狀況 需要保全之IP範圍 弱點測試的時間 …
安全建議範本 申請單位 系統評估 安全等級 弱點等級 弱點描述 漏洞修補建議 …
結論 隨著網路的發達,IDS系統對網路環境也越顯得重要 如何避免IDSs受到攻擊,或是防止攻擊逃過IDSs的偵測等,仍是尚待研究的課題