網路即時監控及入侵偵測
Post on 04-Jan-2016
59 Views
Preview:
DESCRIPTION
TRANSCRIPT
網路即時監控及入侵偵測
• B91902007 劉凱維• B91902025 鄭黃翔• B91902039 朱文藝• B91902095 謝其璋
Outline
• 駭客入侵手法分析與舉例– 各手法簡介– Buffer overflow demo
駭客會怎麼做 ?!Think like a Cracker
第 1階段:入侵前的準備
(資料收集、掃瞄等 )
第 2階段:入侵系統,取得受害主機控制權,並安裝後門程式以建立管道進入受害單位內部網路
第 3-1 階段:擴散受害範圍
第 3-2 階段:持續維護所取得之存取控制權
第 3-3 階段:竊取重要資料及檔案
時間軸刪除紀錄檔 (log file) ,隱藏植入的攻擊程式或更換檔案名稱
5P:ProbePenetratePersistPropagateParalyze
5P:ProbePenetratePersistPropagateParalyze
攻擊方式簡介 (DDoS)
• DoS/DDoS– 資源耗竭
• SYN flooding• ping flooding
– 頻寬消耗• ICMP Broadcast• UDP Broadcast
DDoS 的處理• DDOS 發生 :1. 通知 ISP
2. ( 如果目標為單一主機 ) 改變 DNS 伺服器上的 IP 位址
3. ( 如果攻擊並不複雜 ) 利用防火牆的規則或是 router 的 access control lists 來過濾封包
4. 阻擋特定來源的所有封包
攻擊方式簡介 (U2R)
• Remote Gain Root (U2R)– 針對系統漏洞使用 exploit code 取得 root 權限
的一種攻擊– 例如使用緩衝區溢位 (Buffer Overflow) 技巧
攻擊方式簡介 (R2L)
• Remote File Access (R2L)– 運用服務 (Service) 的弱點– 存取系統安全相關檔案或使用者密碼檔– 例如 : 某機器開啟 IIS web service
http://target/scripts/..%c1..%lc../winnt/system32/cmd.exe?/c+dir
攻擊方式簡介 (Backdoor)• Backdoor
誘使受害者執行伺服端後門程式ex : Subseven, BO2K
於受害主機上 Listen 一個 port 等待駭客建立連線缺點:無法穿越防火牆
(∵ 一般防火牆允許內部向外建立連線 )不主動 Listen 一個 port ,相反的駭客可於中繼站 Listen一個 port ,由後門程式週期性地嘗試向中繼站建立連線
目前後門程式發展的趨勢
E-Mail 欺騙實例
惡意網站攻擊範例
未來的後門程式
攻擊方式簡介 (Port Scan)
• Port Scan
• 取得受害端主機 的相關資訊
– nmap
認識入侵偵測技術
Outline
• 入侵偵測技術理論介紹– 基礎概念– 偵測分析方法
入侵偵測技術的型態• 網路型﹙ network-based﹚• 主機型﹙ host-based﹚• 不當行為偵測﹙ misuse detection﹚• 異常偵測﹙ anomaly detection﹚
網路型入侵偵測系統 • 網路型入侵偵測系統 (NIDS)
– 分析網路封包– 比對資料庫的已知攻擊特徵
主機型入侵偵測系統 • 主機型入侵偵測系統 (HIDS)
– 稽核日誌檔 (log file)– 代理程式 (Agent)
• 拿系統事件與攻擊特徵資料庫做比對• 監控應用程式• 系統檔案是否被更改過
現行入侵偵測技術的限制1. 攻擊模式判斷上的限制2. 誤判率3. 缺乏立即的回應
入侵偵測系統的偵測效能• 影響因子:• 訂立適當偵測特徵
– Data Mining 特徵分類技術• 偵測分析方法選取
入侵特徵選取方法• 計算所有特徵發生之機率• 分類、聯合規則、頻繁片段• RIPPER
入侵偵測系統的偵測效能• 偵測分析方法選取
1.有限狀態機 (Finite State Machine)
2.統計分析 (Statistical Analysis)
3.類神經網路 (Neural Network)
4.貝氏網路 (Bayesian Network)
5.模糊理論 (Fuzzy Theory)
偵測分析方法 (FSM)
• 有限狀態機• 起始狀態、輸出狀態、狀態轉變函數、輸
出函數• 一個入侵行為就是一連串系統的狀態改變
偵測分析方法 (SA)
• 統計分析• 建立規則 (normal profile)
• 監控模式 V.S 預期模式
偵測分析方法 (NN)
• 類神經網路• 屬於異常偵測模式• 缺點
– 很長的訓練時間– 新增訓練規則得重新訓練– 好的訓練資料取樣
偵測分析方法 (NN)
• 類神經分析技術– Self-organization Map
偵測分析方法 (NN)
1. 初始化各個 weight 向量
2. 呈交向量到輸入層
3. 找出最接近的向量單位 -> winner
4. 修改 winner 旁的 weight 向量
5. 重複 2-5 的步驟
偵測分析方法 (NN)
偵測分析方法 (BN)
• 貝氏網路• 運用條件機率• 有預測未知事件發生的能力• 兩個階段:
1. 架構出特徵與入侵攻擊關係圖 &
訓練取得正常行為模式2. 透過計算定義好的公式來偵測入侵
偵測分析方法 (BN)
• 貝氏分析方法實作舉例 (SYN Flooding)
(Relation)SYN Flooder
TCP Pakcet
SYN
SIP DIP
ACK
偵測分析方法 (BN)
• If Pm(tcp) > 0.91 && V(R) > 1 &&
Vm(syn) >1.15 Vm(syn+ack) > 1.15 &&
Vm(sip) > 80 && Vm(dip) > 80
then SYN Flooder happen
偵測分析方法 (FT)• 模糊理論 (Fuzzy Theory)
A local network
Network DataCollector(NDC)
Network DataProcessor(NDP)
Raw data Mined data
A local network
Network DataCollector(NDC) Raw data
Fuzzy Threat Analyzer(FTA)
Network DataProcessor(NDP)
Mined data
Fuzzy Input
Fuzzy Input
FuzzyAlerts
偵測分析方法 (FT)
• Fuzzy Inputs :• COUNT , UIQUENESS , VARIANCE
偵測分析方法 (FT)
• Example Rules :
If (COUNT of SDPs == MEDIUM) AND (UNIQUENESS of SDPs Observed == HIGH)
THEN “Port Scan” == HIGH
Reference
• 李駿偉 , 入侵偵測系統分析方法效能之定量評估 , 私立中原大學資訊工程研究所碩士之學位論文
• An Eye on Network Intruder-Administrator ShootoutsLuc Girardin, UBS, Ubilab
• J.E. Dickerson, J.A. Dickerson, "Fuzzy Network Profiling for Intrusion Detection." Proceedings of NAFIPS 19th International Conference of the North American Fuzzy Information Processing Society, Atlanta, July, 301-306, 2000.
top related