共同刺激機制(Co-Stimulation)

共同刺激機制應用在入侵偵測系統上，最早是在Hofmeyr的LISYS[7]架構 (一種網路型的入侵偵測系統架構)中為了讓系統管理員能控制入侵偵測的判斷 結果而提出。所謂的共同刺激機制是指進行「二階段確認的偵測方式」：第一階 段為網路型入侵偵測系統的偵測，若當此階段偵測到入侵行為時，就必須進行第 二階段的偵測，讓系統管理員以E-mail的方式提供第二個偵測判斷。而每一階段 的偵測結果可視為一訊號，當兩個階段的偵測訊號皆為真(判斷有入侵行為)時，

才會判定確實有入侵行為。

但是在第二階段偵測中以E-mail的方式來提供第二個判斷訊號，不僅會造成 系統管理員額外的負擔，也因需要人工的確認而造成警報之延遲。再者，E-mail 需要依賴系統管理員的經驗來判斷，這可能造成入侵判斷不夠公正客觀的狀況，

而且系統也會因此而缺乏自動化的能力[9]。

基於上述[7]之缺點以及欲使共同刺激機制更能有效降低False Positive，

在＂A Network IDS with Low False Positive Rate”[9]一文中，作者提出AINIDS架 構進行改進。其方法為不再使用「需要系統管理員判斷的E-mail來作為第二階段 的判斷」，而是以更客觀、更合理的「入侵定義」自動透過Monitor Agents(輕量 型之主機型偵測系統)監控主機上的狀況來判斷辨別。此入侵定義所採用的是最 早提出入侵偵測概念的創始人Anderson所作之定義，如下所述：

＂任何意圖危害系統資源的完整性、私密性，以及可用性之行為即為入侵行為 (

Any set of actions that attempt to compromise the integrity, confidentiality, or availability of a resource.

在AINIDS架構下，由於第二階段是採用正確偵測率更高的Monitor Agents來 再次確認是否有入侵行為發生，因此可有效地降低False Positive。

共同刺激機制的偵測流程主要可分為以下三個步驟，如圖2-3所示：

S

第一階段的偵測

第二階段的偵測

圖 2- 3 共同刺激機制之入侵偵測流程[9]

步驟一：此步驟為共同刺激機制第一階段的偵測。如一般偵測的過程，

當網路封包通過網路型入侵偵測系統時，會先被判斷是否為異 常之封包。

步驟二：若步驟一判斷為異常封包時，則會觸發受攻擊之主機的Monitor Agents來持續監控該主機之完整性、私密性與可用性等狀態；

反之，若為正常封包時，則不會進行任何處理。

步驟三：此步驟為共同刺激機制第二階段的偵測。只要主機上的Monitor Agents判斷出任何異常狀況，即會判斷入侵行為確定成立，並 且發出警告；反之，則代表系統在步驟一時為錯誤的判斷，所 以不會對此異常封包進行任何處理。

„ Monitor Agents

在AINIDS[9]中，使用三種Monitor Agents去監控受保護之主機的系統狀 態，此三種Monitor Agents所監控的範圍如下所述：

1.完整性監控代理人(Integrity Monitor Agents)：

專門監控系統的關鍵檔案，如果檔案有任何的改變可以產生相關的報告給系 統管理員。例如，檢查系統的二元碼是否有被更改，系統日誌(system log)是否 有被刪除，或系統安全性的設定有否受到非預期性的改變。

2.私密性監控代理人(Confidentiality Monitor Agents)：

此監控代理人主要的監視範圍包含了是否有任何違反系統控制政策(control policy)的行為產生，與是否有任何的安全性機密資訊洩漏等。實作上可以監控一 些資訊控制列表內較敏感的指令，最主要是採用不當使用偵測(misuse detect)技 術。

3.可用性監控代理人(Availability Monitor Agents)：

監控主機是否有發生系統資源不正常損耗的狀況。因為大部分的入侵行為皆 會造成系統資源不正常的消耗，例如，記憶體、緩衝暫存器(Buffer)、硬碟空間，

中央處理器(CPU)的使用率異常等。

實作上能以「統計異常(statistical anomaly)」的偵測技巧來進行，這樣的技 術，就是一開始先定義被監控的主機之正常系統資源消耗的基準線(baseline)，

然後再根據實際上與這基準線來的偏差值(deviation)來偵測可能的入侵行為。

圖 2- 4 共同刺激訊號[9]

如上圖所示，在共同刺激機制中，只要完整性、私密性、可用性監控代理人，

三者任一發現系統之異常狀況時，即可確認為入侵行為成立，並且發出警告。而 非三個代理人皆必須同時發現系統異常狀況才能判斷為入侵行為成立。