4.1 測試平臺與環境說明
本論文之實驗環境架構於交通大學校園網路,由四台電腦依本實驗之特定目 的而組成的特設網路,進行以特設網路為基礎的聯合防禦式的入侵偵測機制,其 硬體設備與環境狀態列出如下。
(1) 偵測與聯防機制運作節點:
硬體:
CPU: AMD Athlon 1.3G AMD Athlon 2.5G Intel Pentium4 2.4G 硬碟空間: 10G Bytes
網路介面卡: 3Com 905C-TX / Realtek 8139 / Realtek 8139 無線網卡: Z-COM XI-626 / Inter(R) PRO, Wireless LAN2100 作業系統:
Window 2000 Professional (2) 資料庫伺服器:
硬體:
CPU: AMD Athlon 1.3G 硬碟空間: 30G Bytes
網路介面卡: 3Com EtherLink Server 10/100 作業系統:
Window 2000 Advance Server
資料庫:
MySQL 4.0 release (3) 網路環境:
交通大學校園網路: 乙太網路 10MBps / 100MBps 無線網路: 802.11b
(4) 開發平臺:
Window 2000 server Visual C++ Version 6
4.2 系統模擬
為求本實驗之實作可行性,系統實作採取開放原始碼架構的 Snort 網路型入 侵偵測系統[10]進行修改。Snort 是一套著名的開放原始碼的軟體,由許多人共 同參與開發,偵測入侵能力不輸給商業版的入侵偵測系統,且 Snort 的程式碼是 公開的,對於需要修改,加入新功能測試模組的實驗十分適合。只要修改程式碼 後將自己的程式碼公開提供其他人使用,就沒有智慧財產權相關的法律問題,且 公開研究心得對於相關領域的研究相信會有正面幫助。
Snort 是一個異常檢測型網路偵測系統,其運作方式為讀取網路封包,經過 封包重組解析的前置處理後,比對現有特徵資料庫,檢查封包是否有異常特徵,
若比對得知為不正常的封包,則依照預先設定的延伸處理方式,將警告儲存或發 出提醒。其系統流程圖如下:
Libcap 封包擷 取函式庫
前置處理 (Pre-Filtering)
圖 4-1 Snort 運作流程圖
將系統流程簡化後,Snort 共可分為三部分: 1:前置處理(Pre-Filtering);
2:特徵比對(Signature Compare); 3:延伸處理(Plug-in); 考量到我們在第 三章所歸納的系統需求,入侵反應重點在於處理偵測警告後的防禦策略,因此我 (Plug-in)
特徵資料庫
Libcap 封包擷 取函式庫
圖 4-2 Snort 修改後運作流程圖
灰色部分代表增加的功能模組,以期能達到入侵偵測與聯合防禦的估能,以 下我們便針對新增模組功能進行深入探討。
4.2.1 封包阻擋模組
封包阻擋乃是執行整體防禦機制的第一線。當入侵偵測系統發現有入侵行為 發生,判斷其入侵來源的 IP 位址後,便通知封包阻擋模組針對此來源 IP 傳送的
前置處理 (Pre-Filtering)
特徵比對
判斷是否為 異常封包
延伸處理 (Plug-in)
特徵資料庫
不處理 封包重組與解析
封包阻擋模組
資料庫模組 檔案記錄模組
入侵歷史 資訊
溝通模組 協調模組
封包進行丟棄動作,如此便可節省特徵比對的時間與保護其他節點受到此種攻擊 入侵的機會。特別是對於阻斷式攻擊而言,判斷 IP 來源所花的時間遠低於特徵 比對的時間,當系統面對大量的封包湧入意圖癱瘓系統時,以耗用最低系統資源 的方式將這些封包丟棄,便可達到維護系統安全之目的。
4.2.2 溝通模組設計
溝通模組目的在於通知其他入侵偵測系統,可疑的攻擊資訊,讓其他系統可 預先警戒,提早進行防護策略,且避免重複偵測相同警告以節省系統資源。
模組設計上必須考量另一個問題: 避免濫發訊息反而造成整體網路的通訊 品質下降,與阻塞網路流量。因此將訊息透過網路傳遞給其他系統前,有必要判 斷警告的可信賴度,降低誤判與不必要送出的警告通知,避免入侵偵測機制本身 對網路造成的不良影響。
最新經由 Snort 所公佈的異常特徵共有 1525 條,其中被列為攻擊類型的封 包,意即會對系統造成傷害的異常特徵約有 500 條,約佔 1/3。其他異常類型包 括「可疑的網路流量封包」,「掃瞄類型封包」,「偵測系統漏洞」,「使用異常網路 阜」;「不符合字串標準」,「可疑存取行為」,「異常網路控制」等不會造成迫切問 題,卻有可能為發動攻擊入侵前置準備的異常類型。
就系統安全的角度來看,即時捕捉有入侵危險的封包最為重要,實務上,當 發現有實際攻擊行為時,可能某些系統已遭到入侵或因此受到影響,造成網路整 體運作出現問題。因此針對可疑的網路異常行為過濾,進行阻擋防禦,有其必要 性存在。
z 異常特徵分類
首先我們必須先針對偵測系統所發出的警告進行分類,將確實會對系統造成 危害的入侵警告,透過網路通知其他偵測系統。而次一等可能造成潛在問題的封 包則經過系統評估後才決定是否要傳送給其他入侵偵測系統。下表將異常特徵分 群後,系統判斷是否進行溝通的對照表:
表 4-1 異常特徵分群
封包類型 系統判斷
攻擊類型封包 通知其他入侵偵測系統 偵測系統問題 系統判斷
掃瞄系統提供的服務 系統判斷
無特定類型 不處理
系統判斷的部分,由於無基礎行動網路有「能源消耗」與「運算速度較低」
的系統需求,使用複雜的分析判斷方式反而會造成執行效率不彰,增加系統運算 負擔的問題,且若要達到整體網路的入侵防護機制,必須在每個節點上均進行分 析與評估運算,如此一來造成的系統負擔將更嚴重,拖慢整體無基礎行動網路的 運作能力。因此,在本論文中採取較為簡單的方式,計算異常警告的次數,輔以 門檻值檢定,當可疑的入侵來源觸發非直接攻擊異常類型超過門檻值時,系統便 將此行為定義為入侵攻擊,採取防禦策略並通知其他入侵偵測系統進行聯合防 禦。
z 門檻值檢定
實際觀察經由 Snort 在交通大學網路環境下所發出的警告訊息,可以發現一
個現象,分類為危險性最高的攻擊類型封包出現率相當低,約不到 1%,但這並 不代表目前網路是安全的,因為目前屬於公司或學校的大型區域網路內,多半設 置有防火牆與基本入侵防禦裝置,在安全裝置的過濾下,普通的攻擊類型封包無 法進入,因此收集的警告多屬於掃描或搜尋網路弱點等低危險性的封包,其中觀 察這些類型的封包又可發現當網路流量較高時,偵測到的異常類型封包也較多,
如下圖所示:
圖 4-3 Snort 偵測交通大學內網路異常狀況記錄
在某些非特定時段,會發生警告數量突然暴增情況。高密度的異常訊息可能 代表有頻繁的攻擊行為,如病毒蠕蟲攻擊,或阻斷式攻擊等。再考量每天平均偵 測的警告訊息約在 5000~20000 左右。若入侵偵測系統發出警告直接透過溝通模 組對網路上的其他入侵偵測系統送出廣播訊息,容易會造成網路阻塞問題,且若 發生阻斷式攻擊,這樣無異於幫助攻擊者達到癱瘓系統之目的。因此透過設定門 檻值的方式,過濾低密度的異常封包,降低誤判機率,同時也減輕網路負擔。
由於每個不同時段所發生的警告數量並不固定,採用固定的門檻值難以反映 網路目前狀況,因此我們參考第二章文獻探討中的「Adaptation techniques for intrusion detection and intrusion response systems」[15]中所提出概念,
一個良好的入侵反應機制,應具備一定程度系統判斷能力,依照狀況而有不同的 判斷依據。我們將文獻中所定義需系統介入判斷的部分列入考量,並依照現有系 統的架構不同而進行修改,所產生的對應比照表如下:
表 4-2 系統加入適應型入侵反應考量的對照表 系統自動判斷的部分 實務設計上的對照
判斷警告是否可信賴 此部分由於溝通模組與偵測模組同樣包含於入 侵偵測系統,安全性問題,因此不需考慮偵測模 組所發出的異常警告是否有誤,是可信賴的。
依照警告類型進行防禦 使用異常警告分群的方式,攻擊性警告不需判 斷,直接通知阻擋模組進行防禦策略,而可疑的 警告則使用門檻值的檢查方式決定是否需要阻 擋防禦。
採取何種防禦策略最為有效 最簡單有效的防禦策略,便是針對入侵來源進行 阻擋過濾動作。同時考量到無基礎行動網路對於 低成本的需求。因此論文中不使用較複雜的過濾 方式。
透過動態門檻值設定,系統經由歷史的異常警告資料,決定目前門檻值,能 符合不同的網路狀況,藉以判斷可疑的入侵來源是否符合攻擊條件。擷取歷史資 料方面,若含入太舊的資料一併計算,不但浪費系統運算資源,也不符合動態調 整門檻值的方法,因此我們只計算一段時間(Timestamp)內的警告資料作為計算 門檻值的依據。門檻值計算公式採用資料分群法,找出分離點(Outlier)的公式:
門檻值(Threshold) = 平均值(u) + [ λ * 標準差(σ) ]
平均值: 一段時間內,所有入侵來源所被偵測出的異常警告數量的平均值。
標準差: 一段時間內,所有入侵來源的異常警告數量間的標準差。
門檻值設定透過馬可夫不等式(Markov's Inequality)的轉換,變成下列公 式:
Pr[ | X-u | >= λσ ] <= 1/λ^2
若 λ 依照標準的分群公式,λ 設定為 3,代表在此段時間內,異常類型的 封包中最高有 1/9 的機率超過門檻值而被判定為攻擊類型。透過門檻值檢定,我 們從「可能為攻擊者」的來源 IP 中,經過濾後取出入侵次數較多的來源 IP,發 送警告阻擋訊息。降低了因濫發訊息而造成整體網路的通訊品質下降,與阻塞網 路流量的潛在問題。
因為檢定實際發生入侵行為與攻擊之前的異常狀態十分困難,需要長期的異 常記錄與統計分析,且針對異常封包與實際入侵關係的最佳化並非本篇論文的重 點,故不深入討論,在此架構下依照門檻值降低誤判機率的方式,作為發送警告 訊息的依據。
4.2.3 協調模組
協調模組,主要用來處理由其他節點的入侵偵測系統所傳來的警告訊息,因
協調模組,主要用來處理由其他節點的入侵偵測系統所傳來的警告訊息,因