國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖2.6 屏障⼦子網域型防⽕火牆[38]。︒
2.3 入侵偵測系統簡介
入侵偵測系統起源於1980年代,⼀一開始由美國政府和軍⽅方單位開發,⽬目的是為了監控 網路上不安全的⾏行為。︒是⼀一種監測封包進出、︑比對入侵型態,並能適時提出警告的偵 測系統。︒依照其設計⽅方式及偵測⽅方式分類如下:
2.3.1 入侵偵測系統設計⽅方式分類
入侵偵測統依其設計⽅方式分類,可分為以下三種:
1. 網路式入侵偵測系統(Network Intrusion Detection System,NIDS):透過監控網路中 的封包,並加以分析,再與系統中內建的規則檔進⾏行模式比對。︒由於網路上封包眾 多,需要逐⼀一比對,因此系統主機需具備強⼤大的運算功能,⽬目前市⾯面上商⽤用之入侵 偵測系統,幾乎皆為硬體架構。︒此種系統的優點在於容易部署,每台主機依據運算
‧
2. 主機式入侵偵測系統(Host Intrusion Detection System,HIDS):⽤用以監控單⼀一主機系 統,透過監控主機上的使⽤用者活動、︑系統活動、︑資料鑑識、︑存取控制等,判斷出攻 擊⾏行為。︒此系統由於成本考量,通常部署於特別重要的主機系統,提供更詳盡的管 理,監控該主機的系統紀錄,監控內容比網路式入侵偵測系統更加詳細,提供更佳 的效率以及安全性。︒
3. 分散式入侵偵測系統(Distributed Intrusion Detection System,DIDS):運作⽅方式與網 路式入侵偵測系統類似,唯⼀一差別在於網路中所監聽到的封包,並非由各⾃自主機處 理,⽽而是統⼀一交由後端主機統⼀一管理分析,以達集中控管的⽬目的,適合於⼤大型網路 環境。︒
2.3.2 入侵偵測系統偵測⽅方式分類
入侵偵測統依其偵測⽅方式,可分為三種,說明如下:
1. 特徵型入侵偵測(Signature-based Intrusion Detection System):特徵值是指由⽬目前已 知之攻擊⾏行為中,經過分析後,所建⽴立出代表該攻擊⾏行為的特定值,其⼯工作原理是 利⽤用特徵值與收到的封包進⾏行比對,找出攻擊⾏行為。︒優點是能偵測已知的攻擊⾏行為,
達到較⾼高的偵測效率,以及較低的誤判警⽰示︔;缺點是無法偵測未知的攻擊,以及需 要時常更新特徵資料。︒
2. 異常型入侵偵測(Anomaly-based Intrusion Detection System):利⽤用更⾼高階的演算法 以及資料分析技術,例如資料探勘、︑資料統計、︑類神經網路等,對所監控的環境訂
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
出⼀一個正常⾏行為標準,以及所可容忍的偏差值,若發現⾏行為超出此容忍標準,則判 斷為異常⾏行為,並採取相關回應動作。︒優點是可以偵測到未知的攻擊⼿手法︔;缺點是 效率較差以及誤判率較⾼高。︒
3. 混合型入侵偵測 (Hybrid Intrusion Detection System):整合多種不同的入侵偵測技術
,使其功能更為完善、︑入侵偵測⽅方式也更強⼤大,能讓不同技術互動及互補,使其缺 點降到最低,並將入侵偵測的能⼒力發揮到最⼤大。︒混合型入侵偵測系統為整合特徵型 及異常型⽽而成。︒
2.3.3 Snort 入侵偵測系統
Snort[29]是⼀一套開放原始碼的網路型入侵偵測系統,由Marty Roesch在1998年開發,使
⽤用特徵型入侵偵測和通訊協定的偵測⽅方法。︒⼀一開始定位成輕量級的入侵偵測系統,但 經過多年發展,已經成為⼀一套成熟且功能強⼤大的軟體,在入侵偵測的領域中被廣泛使
⽤用。︒在運作上,Snort提供了三種運作模式,說明如下:
1. 偵測模式(Sniffer mode):監聽並截取網路上傳送的封包,並且將所監聽的結果顯現 在螢幕上。︒
2. 封包記錄器模式(Packet logger mode):將所截取的封包資訊存入儲存媒體內,例如 硬碟上的檔案系統,或資料庫系統。︒
3. 網路入侵偵測系統模式(NIDS mode):最主要的功能是可對所截取的封包進⾏行分析、︑
內容搜尋,藉由特徵比對找出各種不同的網路攻擊,達到入侵偵測效果。︒