11-5 入侵偵測系統
11-5-1 入侵偵測系統 – 功能 由『入侵』(Intrusion)的概念而言,不僅包括攻擊者取得超出合法的系統控制權範圍,還包含收集系統漏洞,避免造成阻斷服務(DoS)等可能造成危害電腦系統的行為。『入侵偵測』(Intrusion Detection)即表示對入侵行為的發覺;它透過網路或主機系統中得到若干關鍵點收集資料,並進行比對及分析,從中發現系統中是否有違反安全策略的行為,從中找出被攻擊的軌跡。進行入侵偵測的專屬設備(含硬體與軟體),一般稱之為『入侵偵測系統』(Intrusion Detection System, IDS)。基本上,其入侵偵測系統主要的功能有:
11-5-2 入侵偵測系統 - 元件 圖 11-3 為入侵偵測系統的典型模型,其中包含四個主要元件:事件產生器(Event Generators)、事件分析器(Event Analysis)、事件資料庫(Event Database)與反應元件(Response Units)等。以下分別敘述這四個元件之功能。
圖 11-3 入侵偵測系統的典型模型 【(A)事件產生器】 我們將 IDS 所欲分析的資訊稱為『事件』(Event),它可能來自使用者存取系統的動作程序,或是系統資料被存取的記錄,也可能擷取自網路之間的訊務內容,甚至來自與電腦系統無關的社交行為、電話錄音等等。事件產生器儘可能收集有關入侵行為,或被入侵後所留下的軌跡,並將這些訊息格式化,以標準資料型態表現出來。也就是說,事件產生器是所有入侵偵測資料的來源,針對不同型態的 IDS,有不同事件收集方法,如主機型 IDS 較偏重被入侵後所留下的軌跡,而網路型 IDS 的事件產生則較著重於傳輸訊務的內容。 【(B)事件分析器】 如何從多個事件之中找出可疑的入侵對象,是事件分析器的主要工作,基本上,分析的方法分『特徵型』(Signature-based)與『異常型』(Anomaly-based)兩種(容後介紹)。 【(C)事件資料庫】 將可疑或已確定的入侵事件儲存於『事件資料庫』之中,日後如果有相同事件發生時,便可直接判斷入侵已發生。這種做法非常類似目前的防毒系統,隨著各種病毒的出現,病毒防範公司通常製造許多病毒的特徵,隨時下載到用戶電腦上;用戶每次收到訊息時,再由病毒資料庫中比對是否有相同的資料,如果有則隔離該資料(視同病毒)進入系統。目前許多入侵軟體皆可自由下載取 11-5-3 入侵偵測系統 – 事件 入侵偵測的第一步是事件資訊的收集,內容包括系統、網路、資料、以及用戶活動的狀態與行為。也就是說,IDS 是否可以精準的找出入侵者,多半取決於事件收集的正確性與完整性,尤其訊息收集地點也會直接影響到它的有效性。基本上,事件訊息的收集有下列五種方法: 【(A)系統和網路日誌】 『系統日誌』(System Log)是記錄所有存取系統資源的行為;『網路日誌』(Network Log)則記錄主機上網路通訊的行為。充分利用系統與網路日誌資料是偵測入侵的必要條件,日誌檔案包含網路與系統發生不尋常的活動記錄,由這些記錄中可以瞭解是否有人試圖入侵或已入侵成功,並可以即時啟動相對應的防護措施。日誌檔案記錄各種行為的類型,每個類型包含不同資訊,如『用戶活動』類型的日誌,就包含登入、用戶變更密碼、用戶存取那些文件、用戶授權與認證資訊等等。一般來講,系統日誌會將所有系統的運作做記錄,如此一來,日誌檔案勢必非常的大,尤其在高流通量的網路系統裡,IDS 要找出可疑的事件發生可不容易,因此,利用『稽核』(Audit)可能較容易達成。 【(B)目錄及檔案稽核】 駭客入侵系統最主要的目是要盜取或破壞內部的資料,如果記錄了所有資料或目錄被存取的過程,則該日誌檔案勢必變得非常大,甚至許多 IDS 來不及處理日誌檔案便將一些記錄拋棄掉,如此一來大大減低 IDS 的偵測能力。因此,我們可以將某些較關鍵性的檔案設定『稽核』(Audit)條件,譬如,某一檔案被讀取時,便會記錄讀取者的用戶識別名稱及時間,並且累計該目錄或檔案被讀取的次數。IDS 週期性檢視稽核檔案,從中發現是否有異常的存取行為,再評估是否為駭客入侵行為。譬如說,如果發現某一個不起眼的檔案連續多次被存取的話,也許該檔案就是有心人士故意建立的,接著再追查存取該檔案的用戶,並追查存取該檔案的意圖如何。另外,當用戶發生異常登入失敗、逾時登入、登入期間過長、或存取超出權限的資料時,都是安全稽核的記錄要項。 【(C)程式執行稽核】 網路系統上所執行的程式,如作業系統、網路服務、用戶啟動程式、以及應用程式等等,每一個程式多半由多個程序(Process)共同來完成,並且每一個程序都應該在他被允許的環境中運作,此環境控制程序可以存取那些資源、程式或資料檔案。當某個程序有異常的存取行為發生時,這就意味可能是駭客已入侵該系統,因此,可由程式執行的稽核記錄中,追查出發出該程序的用戶,並找出入侵對象。 【(D)訊務收集】 『訊務收集』(Traffic Collection)表示收集網路上所流通的封包,從中搜尋出可疑的入侵訊息。一般網路是以 IP 封包為傳輸單位,所以可利用網路監視器收集可疑的 IP 封包,再分析找出入侵對象。 【(D)反應元件】 當事件分析系統找出入侵的可疑對象之後,必須立即通知系統管理員做適當的回應。反應單元有兩種做法,一者為通知系統管理員,另一者為自動處理入侵事件。目前 IDS 最大的困擾是誤報情況過多,讓許多管理人員不堪負荷;另外,當入侵事件發生時,如管理人員怠慢處理,則可能會遭受嚴重損失。比較折衷的辦法是,IDS 如能肯定某一訊息確是入侵事件的話(如比對事件資料庫),則直接切斷該入侵連線,並做適當的補救措施(如關閉某些服務),若僅是懷疑某一連線為入侵事件,再通知管理人員處理。 【(E)實體網路架構】 駭客欲透過網路入侵目標系統,無論從何觀點來看都是不容易的事,再說許多防火牆也都著重於網路攻擊。於是乎,何不乾脆找一部電腦偷偷地安裝在目標網路內,雖然有點過分,但利用實體網路入侵並非不可能,尤其針對無線網路則更容易不過。一般私有網路對於網路的連線,多半不會特別注意每個細節,駭客只要安裝一部電腦作為內應,如此一來,再嚴謹的安全政策也是枉然。因此,IDS 除了監視外部訊息之外,還必須監視內部是否有非管轄內的電腦出現,所以系統管理員必須擁有整體網路的實體配置圖,方便定期檢查是否有盜接網路,或不明電腦出現。 |
翻轉工作室:粘添壽
資訊與網路安全技術
翻轉電子書系列:
|