IDS & IPS

主講：陳建民
IDS

 入侵偵測系統的起源
 入侵偵測系統的基本組成
 資訊來源（information source）
 分析架構（analysis scheme）
 反應機制（response）
入侵偵測系統的起源
 稽核（audit）:產生、紀錄、和檢視系
統事件的過程。
 為了系統活動的運作正常，劃分和維護個人的
權責範圍（accountability）。
 重建事件的原貌。
 評估災害所造成的損失。
 監控系統中發生問題的區域。
 允許有效率的災害復原
 遏止不正常的系統使用。
入侵偵測系統的基本組成

 監控方法（資訊來源）
 分析架構
 反應機制
入侵偵測系統的基本組成

 監控方法（資訊來源）
 主機型（host-based, HIDS）
 網路型（network-based, NIDS）
 應用程型式（application-based）
 目標型（target-based）
 分析架構
 反應機制
主機型的監控（host-based monitor）

 HIDS是安裝在主機上的機制，可以偵測任何嘗試入侵主
機的企圖。
 NIDS是安裝在單一系統，用來偵測網路流量、找尋企圖
跨越部分網路的攻擊行為。
 HIDS是一種安裝在組織範圍的許多系統上的偵測器
（sensor），並以中控化管理方式控制的軟體程序。
 偵測器可以找尋許多不同的事件類型，並在主機系統採取
回應行為或傳送通知。
 收集電腦內部的資料，通常都是作業系統層次。
 包括作業系統的稽核軌跡和系統日誌。
主機型的監控（cont.）
 確定駭客是否成功入侵
 監測特定主機系統的活動
 補救網路型式IDS錯失偵測的入侵事件
 較適合有加密及網路交換器(Switch)的環境
 伺服器的處理器能力也是HIDS系統的其他問題之一。
 在主機上執行的偵測器程序，約需5%到15%整體CPU
時間。
 如果現有系統的偵測器負載非常重，也可能會影響到
偵測器的效率，此時或許就需要選購等級更高的系統。
HIDS偵測器的五種基本類型：

 記錄分析器（Log analyzer）
 特徵型偵測器（Signature-based sensor）
 系統呼叫分析器（System call analyzer）
 應用程式行為分析器（Application behavior
analyzer）
 檔案完整性檢查器（File integrity checker）
記錄分析器
（Log analyzer）
 記錄分析器是一種在伺服器上執行的程序，並用來適當地
監視系統的記錄檔案。
 如果記錄的項目符合HIDS偵測器程序的某些項目，就會
適時採取回應的措施。
 多數的記錄分析器，主要是用來找尋可能的安全事件。
 系統管理員通常也可以定義其他可能有幫助的記錄入口。
 記錄分析器是屬於回應系統。
 記錄分析器特別適用於追蹤內部系統授權使用者的行為。
 如果組織非常注重系統管理員或其他系統的使用者行為時，
就可以使用記錄分析器來追蹤這些行為；並可依據記錄內
容，排除管理員或使用者對系統造成的問題
特徵型偵測器
（Signature-based sensor）
 這種類型的偵測器，具有內建（built-in）的安全事件特徵，
也就是說針對內送（incoming）網路流量或記錄入口的安
全事件特徵。
 特徵型和記錄分析器偵測器之間的區別，主要是增加分析
內送流量的能力。
 特徵型系統具有偵測攻擊系統的能力，因此也可指定某種
攻擊行為的警訊。
 在攻擊行為成功或失敗之前，不論是其他類型的HIDS偵
測器或特徵型偵測器就會採取回應的行動。
 特徵型HIDS偵測器還可用於追蹤內部系統授權使用者的
行為
系統呼叫分析器
（System call analyzer）
 系統呼叫分析器可以分析應用程式和作業系統之間的呼叫，
並可以辨識安全事件。
 這種類型的HIDS偵測器，是架構在作業系統和應用程式
之間軟體。
 在希望執行應用程式的時候，就會比對特徵資料庫，來分
析應用程式執行作業系統呼叫的行為。
 特徵是屬於多種攻擊行為的範本，不過也可能是一種對
IDS系統管理員有幫助的事件。
 系統呼叫分析器、記錄分析器和特徵型HIDS偵測器，它
們防止發生的活動類型有所不同。
 如果系統呼叫符合緩衝區溢位（舉例來說）的特徵時，偵
測器就可以防止這種類型的呼叫，並因而保護系統免於遭
受到侵害。
應用程式行為分析器
（Application behavior analyzer）
 應用程式行為分析器和系統呼叫分析器非常類似，這是因
為它們也是建置在應用程式和作業系統之間的間隙之中。
 這種類型的行為分析器，它們的偵測器會先調查是否屬於
核准執行的應用程式行為，而不是先調查是否類似攻擊的
呼叫行為。
 在設定這種類型的偵測器時，應該要建立每一種允許每一
種應用程式行為的清單。
 這些商品的供應商，都會提供共通應用程式的樣本。
 需要事先分析過組織自行發展的任何應用程式，並查看允
許執行的一般性行為，並在偵測器的範本之中記錄應用程
式的行為。
檔案完整性檢查器
（File integrity checker）
 檔案完整性檢查器可以用來檢查檔案的變化情形。可透過
檔案的密碼檢查或數位簽章而達成的功能。
 如果原始檔案的任何位元發生變化（例如建檔時間和容量
等屬性），特徵的內容也會跟著發生變化。
 在檔案發生變化之後，即使利用建立這些特徵內容的演算
法，也難以建立相同的特徵。
 在設定偵測器的初始組態方面，最初用來建立特徵的演算
法也必須監視檔案的變化，且將特徵的內容儲存在安全的
地點。
 以階段性來說，監測過的檔案也都需要重新計算特徵的內
容，並和原始特徵進行比對。
 如果特徵的內容不符，也就表示檔案的內容已經發生變化。
檔案完整性檢查器
（File integrity checker）cont..
 檔案完整性檢查器本身，無法察覺任何攻擊的徵兆。
 可提供檔案完整性的檢查結果。
 如果網路伺服器遭到攻擊時，偵測器雖然無法察覺攻擊的
行為，但可確認網站的首頁是否毀損或遭到竄改。
 由於許多類似的攻擊也都含有竄改系統檔案的行為在內，
因此利用檔案完整性檢查也可偵測出系統是否遭受到侵害。
網路型的監控
（network-based monitor）

 網路型式的入侵偵測系統以原始網路封包作為資料來源
 通常把網路設備設定成”混亂模式”（promiscuous mode）
來偵測及分析所有過往的網路通訊，使得它們可以聽到網
路上經過的任何封包，藉此收集相關攻擊特徵。
 可偵測到主機型式監控偵測不到的
 駭客消除入侵證據較困難
 即時偵測及反應
 可偵測到未成功或惡意的入侵攻擊
 與作業系統無關
網路型IDS
 NIDS是一種專門用於硬體系統的軟體程序。
 NIDS軟體會監視所有流經網路介面卡的網路（不是只有
單一系統的流量）流量。接著，就可以分析、判斷是否屬
於符合攻擊規則和特徵的流量。
 NIDS系統主要是做為特徵型的偵測器。
 系統已經內建攻擊特徵資料庫，並用以比對網路線上的流
量。
 如果是屬於沒有特徵檔案的攻擊類型，NIDS也一樣無法
防範。
 NIDS也可以根據來源位址、目的地位址、來源連接埠、
目的地連接埠等，檢測網路特定流量的能力。這種功能可
以讓組織得以監控攻擊特徵之外的網路流量。
在網路環境之中配置IDS的範例
應用程式型的監控
（application-based monitor）
 從執行的應用程式中收集資料。這些資料來源包含應用程
式事件日誌，和應用程式內部產生的紀錄。
 主要是針對輸入值的辨認來偵測攻擊行動的發生，可能的
話可以直接攔截此輸入值，不讓應用程式執行到惡意的攻
擊碼。
 Malicious injection attack
 應用 protocol analysis 的觀念
 client->server 的 client flow

 server->client 的 server flow

目標式的監控
（target-based monitor）

 會自己產生資料。
 目標式的監視器使用密碼學的雜湊函式來
偵測系統物件的修改，然後和安全政策做
比較。因為這些目標物體狀態的改變會隨
時被監控，所以這種監控機制對某些系統
還滿有效的，尤其是當這些系統不能使用
其它方法時。
入侵偵測系統的基本組成

 監控方法（資訊來源）
 分析架構
 誤用偵測（misuse detection）
 異常偵測（anomaly detection）
 其它的偵測架構
 分析時機：批次vs.即時
 反應機制
誤用偵測（misuse detection）

 Misuse Detection (誤用偵測)

 Signature Based Detection (特徵型偵測
技術)
 Knowledge-based intrusion detection (知
識基礎型入侵偵測)
誤用偵測（misuse detection）

 以已知的網路攻擊手法及系統安全漏洞的資訊為
基礎，將網路攻擊或試圖利用系統安全漏洞入侵
的過程中所會產生的”特徵”累積成為一個知識庫。
入侵偵測系統會將實際發生的事件(無論是否為惡
意意圖)與此一知識庫進行特徵比對(樣版比對
pattern matching），作為評斷是否為攻擊或是可
疑的事件的依據。
 負向表列
 現今大部分的入侵偵測系統都是採用此方法。
異常偵測（anomaly detection）

 以系統正常運作為基準，所有不依照協定
規範運作的事件都會被視為是異常的事件，
不是攻擊就是程式異常。如通訊協定異常、
流量異常(Flooding、Scan...)
 正向表列
 採取統計的技巧找出不尋常活動的樣本。
 入侵其實是異常活動的某些子集合。
被認為是正常的活動 已知的異常活動
(異常偵測) (誤用偵測)

所有的系統活動
誤判率
 False positives v.s. False negatives
 主動錯誤訊息(false positives) 指的是當組
織由於惡意活動而被通知警報時候，經檢
查其實沒有任何事情發生。
 被動錯誤訊息(false negatives) 就是對於真
實的惡意攻擊者或者未授權活動偵測失敗。
其它的偵測架構
 免疫系統方法（Immune System Approaches）
 美國新墨西哥州立大學所發展
 基因演算法（Genetic Algorithm）
 代理人式的偵測（Agent-Based Detection）
 自發性代理人入侵偵測系統（Autonomous Agent for
Intrusion Detection，AAFID）
 資料採礦（Data Mining）
分析時機：批次vs.即時

 批次的分析模式意謂著資訊是以檔案的方
式傳遞給分析器，然後每隔一段時間才會
做處理。最後，當入侵事件發生時，結果
會傳回給使用者。批次方式對早期的入侵
偵測是很普遍的，因為當時的通訊頻寬和
系統處理速度都不足以支援即時的入侵監
控機制。
分析時機：批次vs.即時(cont.)
 隨著系統的速度和通訊頻寬的增加，大部分的入
侵偵測系統已經轉成即時的分析方式。
 在即時的分析過程中，當事件發生時，資訊源會
立刻傳到分析引擎，並馬上做處理。
 使用『即時』這個字眼，是因為入侵偵測系統已
經快到當攻擊事件還在進行時，就可以馬上中斷
它，並立刻做出反應。
入侵偵測系統的基本組成

 監控方法（資訊來源）
 分析架構
 反應機制
 被動vs.主動
 產生報表
反應機制—被動vs.主動
 被動：console messages、e-mail、cell phones or
pagers、和report。有些還會產生SNMP alarms和
alert。
 主動：
 修正系統弱點
 強制登出使用者
 中斷連線（發出TCP RST封包）
 加強監控、採取進一步的行動（鎖定某個可疑的來源位址）
 重新設定防火牆（阻擋可以的來源位址、管制某個port的網路
流量）
 中斷某個port的對外連線（例如HTTP）
反應機制—產生報表

 定期產生報表
 時間
 入侵事件
 來源位址/通訊埠
 目的位址/通訊埠
 使用者登入/登出紀錄
 使用者活動紀錄
CIDF
Common Intrusion Detection Framework

 CIDF Working Group (IETF)

 Set of Components
 Event Generator (E-Boxes)
 Analysis Engines (A-Boxes)
 Storage Mechanisms (D-Boxes)
 Countermeasures (C-Boxes)
 http://www.isi.edu/gost/cidf/
IDS on Linux
 Linux Intrusion Detection System
 http://www.lids.org/
 Snort
 http://www.snort.org/

 Integrity Checking
 Access Control
LIDS
Linux Intrusion Detection/Defense System

 Host-Based IDS
 Kernel Patch and Utility
 Port Scanner Detection
 Process Control
 File Control
 Trojan Protection
 Real-time Security Alert
Snort
Lightweight Intrusion Detection for Networks

 Network-Based IDS
 Packet Logging
 Sniffer Mode
 Security Alert
 Pre-processor (Rules Engine)
 Multi-OS (FreeBSD, Win2K)
現行入侵偵測技術的限制
 只能偵測出已知的攻擊模式
 以比對特徵為基礎﹙Signature-based﹚的安全機
制只能辨識出資料庫中有相對應的攻擊特徵之非法
行為，所以攻擊特徵（Signature）的開發速度會
影響安全機制的有效性。
 誤判率
 缺乏立即有效的回應
駭客攻擊程序
駭客攻擊程序
 探測﹙Probe﹚階段：在一開始，駭客最主要的目的是找
出有安全漏洞，可以下手攻擊的主機。
 滲透﹙Penetrate﹚階段：在這個階段，駭客最主要的目
的是利用特定攻擊手法，例如記憶體溢位﹙Buffer
overflow﹚，將攻擊程式傳送到攻擊目的地主機，並執行
此程式。
 常駐﹙Persist﹚階段：當攻擊程式成功的在受害主機上執
行，攻擊程式會讓自己可以常駐在受害主機上，即使受害
主機重新開機也能持續運作，供遠端搖控的駭客使用。
 擴張﹙Propagate﹚階段：是攻擊程式會特續擴張的時候，
駭客利用已經成功侵入並常駐在受害者電腦的攻擊程式尋
找鄰近網路上是否有可以攻擊的新目標。
 癱瘓﹙Paralyze﹚階段：的傷害會在此時發生，受害者電
腦的檔案被刪除，系統當機，DDOS攻擊開始進行。
Firewall & IDS & IPS

 Firewall
 IDS
 Firewall & IDS & IPS
Firewall

 port number ＆ IP address判斷

 SQL Slammer
 SQL Server
 UDP Port 1434傳送大量376 bytes UDP封包
 buffer overflow 攻擊方式
IDS
 網路監控並提供記錄以供審核及事後追蹤
 過多的漏報及誤報
 無法即時防禦
 sniffer mode
 TCP Reset ,透過Firewall修改規則的方式
 回應能力有限
 偽造IP address
 不提供其他protocol的回應處理
 Slammer UDP 1434
 性能有待加強
 software
IDS的防護措施
網安新方向
 以分析攻擊行為為基礎（Behavior-based）的安全技術能更有效的辨
識與防止攻擊。
 以分析攻擊行為為基礎（Behavior-based）的安全機制主要優勢在：
 可以有效回應已知與未知的攻擊，預防對伺服器與一般個人電腦
造成損害；

 對攻擊的預防近乎零誤判率；

 不需陷入攻擊特徵（Signature）與安全漏洞在數目上的競爭；

 無須更新，因為入侵預防﹙Intrusion Prevention﹚系統並不會使用
到攻擊特徵（Signature）。
 以分析攻擊行為為基礎（Behavior-based）的安全機制真正做到入侵
預防而非只是偵測攻擊，於是也稱之為入侵預防﹙Intrusion
Prevention﹚，可以提供更實質的保障。
IPS
 IPS (Intrusion Prevention System)
 為IDS延伸及功能增強的產品
 關鍵差異:主動防禦及IN-line mode

 即時偵測發揮主動防禦功能
 線速運行（wire-line speed）
 多重回應能力
 block packet、block connection 、 e-mail alarm 、
log event
IPS
 多種監控模式
 inline Mode - Detect and Action
 monitor Mode - Detect Only
 tap Mode - Detect and Send TCP Reset
 bypass Mode - Bypass all packets
 stop Mode - Drop all packets
 span Mode - Detect and Send TCP Reset two network
segment at same time
 多種檢測技術
 DDOS 、 Buffer Overflow 、 Access Control 、 Trojan
、 Scan 、 Other
IPS運行架構
Fire Wall vs. IPS
Application
Presentation

Session

Transport

Network

Data Link
Physical
Fire Wall vs. IPS
Firewall IPS

主要功能 資源控管 入侵防禦

控管層級 Layer 4 Layer 7

防毒功能 無 少部份功能

Log Traffic Log 可詳細檢測

封包內容

取代性 IPS與Firewall兩者需相互搭配達更佳的安全性
 IDS vs. IPS
├ Passive IDS ( sniffer mode)
Hub
LAN
WAN

IDS
Intrusion Prevention System (IPS)
├ In-Line mode

WAN LAN
IPS
IDS vs. IPS
IDS IPS

防禦方式 Passive Active

sniffer mode in-line mode

防禦動作作 通知防火牆 丟棄惡意封包

TCP reset 中斷連線
中斷連線
 入侵偵測防禦 先進攻擊分析 完整攻擊蒐證 自動網路系統 可靠之軟硬體
報表 強化更新 整合設備
BroadWeb 主動阻隔非法 內含完整先進 連線記錄及完 網路更新偵測 最佳化之軟硬
入侵 攻擊分析報表 整封包記錄 引擎及攻擊辨 體整合產品
(AIDP) 識碼/UD
CA eTrust Firewall 另購管理軟體 Log封包頭 N/A Software
reconfigure
Cisco Router 另購管理軟體 Log封包頭 僅更新攻擊辨 Appliance
IDS reconfigure 識碼
Enterasys Alert 另購管理軟體 Log封包頭 僅更新攻擊辨 Appliance/
Dragon 或設備 識碼 Software

ISS Firewall 另購管理軟體 Log封包頭 僅更新攻擊辨 Software

Real Secure reconfigure 識碼/UD

Intrusion Firewall 另購管理軟體 Log封包頭 N/A Appliance/

SecurNet reconfigure Software

Symantec Firewall 另購管理軟體 Log封包頭 僅更新攻擊辨 Software

NetProwler reconfigure 識碼/UD
HackerLab Alert 內含簡易分析 N/A 僅更新攻擊辨 Appliance
NIDS 識碼