網路即時監控及入侵偵測

1. 網路即時監控及入侵偵測 • B91902007 劉凱維 • B91902025 鄭黃翔 • B91902039 朱文藝 • B91902095 謝其璋

2. Outline • 駭客入侵手法分析與舉例 • 各手法簡介 • Buffer overflow demo

3. 駭客會怎麼做?!Think like a Cracker 時間軸 刪除紀錄檔(log file)， 隱藏植入的攻擊程式 或更換檔案名稱 第1階段： 入侵前的準備 (資料收集、掃瞄等) 5P: Probe Penetrate Persist Propagate Paralyze 第2階段： 入侵系統，取得受害主機控制權，並安裝後門程式以建立管道進入受害單位內部網路 第3-1階段： 擴散受害範圍 第3-2階段： 持續維護所取得之存取控制權 第3-3階段： 竊取重要資料及檔案

4. 攻擊方式簡介(DDoS) • DoS/DDoS • 資源耗竭 • SYN flooding • ping flooding • 頻寬消耗 • ICMP Broadcast • UDP Broadcast

5. DDoS的處理 • DDOS 發生: • 通知 ISP • (如果目標為單一主機)改變DNS伺服器上的IP位址 • (如果攻擊並不複雜)利用防火牆的規則或是router的access control lists來過濾封包 • 阻擋特定來源的所有封包

6. 攻擊方式簡介(U2R) • Remote Gain Root (U2R) • 針對系統漏洞使用exploit code取得root權限的一種攻擊 • 例如使用緩衝區溢位(Buffer Overflow)技巧

7. 攻擊方式簡介(R2L) • Remote File Access (R2L) • 運用服務(Service)的弱點 • 存取系統安全相關檔案或使用者密碼檔 • 例如: 某機器開啟IIS web service http://target/scripts/..%c1..%lc../winnt/system32/cmd.exe?/c+dir

8. 攻擊方式簡介(Backdoor) • Backdoor 誘使受害者執行伺服端後門程式 ex：Subseven, BO2K 於受害主機上Listen一個port等待駭客建立連線 缺點：無法穿越防火牆 (∵一般防火牆允許內部向外建立連線) 不主動Listen一個port，相反的駭客可於中繼站Listen一個port，由後門程式週期性地嘗試向中繼站建立連線 目前後門程式發展的趨勢

9. E-Mail欺騙實例

10. 惡意網站攻擊範例

11. 未來的後門程式

12. 攻擊方式簡介(Port Scan) • Port Scan • 取得受害端主機 的相關資訊 • nmap

13. 認識入侵偵測技術

14. Outline • 入侵偵測技術理論介紹 • 基礎概念 • 偵測分析方法

15. 入侵偵測技術的型態 • 網路型﹙network-based﹚ • 主機型﹙host-based﹚ • 不當行為偵測﹙ misuse detection﹚ • 異常偵測﹙ anomaly detection﹚

16. 網路型入侵偵測系統 • 網路型入侵偵測系統(NIDS) • 分析網路封包 • 比對資料庫的已知攻擊特徵

17. 主機型入侵偵測系統 • 主機型入侵偵測系統(HIDS) • 稽核日誌檔(log file) • 代理程式(Agent) • 拿系統事件與攻擊特徵資料庫做比對 • 監控應用程式 • 系統檔案是否被更改過

18. 現行入侵偵測技術的限制 • 攻擊模式判斷上的限制 • 誤判率 • 缺乏立即的回應

19. 入侵偵測系統的偵測效能 • 影響因子： • 訂立適當偵測特徵 • Data Mining特徵分類技術 • 偵測分析方法選取

20. 入侵特徵選取方法 • 計算所有特徵發生之機率 • 分類、聯合規則、頻繁片段 • RIPPER

21. 入侵偵測系統的偵測效能 • 偵測分析方法選取 • 有限狀態機 (Finite State Machine) • 統計分析 (Statistical Analysis) • 類神經網路 (Neural Network) • 貝氏網路 (Bayesian Network) • 模糊理論 (Fuzzy Theory)

22. 偵測分析方法(FSM) • 有限狀態機 • 起始狀態、輸出狀態、狀態轉變函數、輸出函數 • 一個入侵行為就是一連串系統的狀態改變

23. 偵測分析方法(SA) • 統計分析 • 建立規則(normal profile) • 監控模式 V.S 預期模式

24. 偵測分析方法(NN) • 類神經網路 • 屬於異常偵測模式 • 缺點 • 很長的訓練時間 • 新增訓練規則得重新訓練 • 好的訓練資料取樣

25. 偵測分析方法(NN) • 類神經分析技術 • Self-organization Map

26. 偵測分析方法(NN) 1.初始化各個weight向量 2.呈交向量到輸入層 3.找出最接近的向量單位 -> winner 4.修改winner旁的weight向量 5.重複 2-5 的步驟

27. 偵測分析方法(NN)

28. 偵測分析方法(BN) • 貝氏網路 • 運用條件機率 • 有預測未知事件發生的能力 • 兩個階段： • 架構出特徵與入侵攻擊關係圖 & 訓練取得正常行為模式 • 透過計算定義好的公式來偵測入侵

29. 偵測分析方法(BN) • 貝氏分析方法實作舉例(SYN Flooding) TCP Pakcet (Relation) SYN Flooder SYN ACK SIP DIP

30. 偵測分析方法(BN) • If Pm(tcp) > 0.91 && V(R) > 1 && Vm(syn) >1.15 Vm(syn+ack) > 1.15 && Vm(sip) > 80 && Vm(dip) > 80 then SYN Flooder happen

31. 偵測分析方法(FT) • 模糊理論(Fuzzy Theory) A local network Network Data Collector (NDC) Network Data Processor (NDP) Raw data Mined data Fuzzy Input Fuzzy Alerts Fuzzy Threat Analyzer (FTA) Fuzzy Input Network Data Collector (NDC) Network Data Processor (NDP) Mined data Raw data A local network

32. 偵測分析方法(FT) • Fuzzy Inputs： • COUNT， UIQUENESS，VARIANCE

33. 偵測分析方法(FT) • Example Rules： • If (COUNT of SDPs == MEDIUM) AND (UNIQUENESS of SDPs Observed == HIGH) • THEN “Port Scan” == HIGH

34. Reference • 李駿偉,入侵偵測系統分析方法效能之定量評估, 私立中原大學資訊工程研究所碩士之學位論文 • An Eye on Network Intruder-Administrator ShootoutsLuc Girardin, UBS, Ubilab • J.E. Dickerson, J.A. Dickerson, "Fuzzy Network Profiling for Intrusion Detection." Proceedings of NAFIPS 19th International Conference of the North American Fuzzy Information Processing Society, Atlanta, July, 301-306, 2000.