結論及未來發展

5.1 結論

本論文主要貢獻為提出一個基於共同刺激機制的入侵偵測系統架構，內容除 了兩階段式之「網路型」與「主機型」的入侵偵測外，還包含了異常封包分類處 理、DoS 攔截機制、以及偵測 False Positive 攻擊等。由實驗結果顯示本架構確 實可降低系統分析判斷時所造成的 False Positive，並可偵測出 Squealing 新類型 的攻擊以增加網路的安全性。與 Yan Qiao 和 Xie Wei Xin 在 [9]一文中所提出之 架構相較下可減少所需進行第二階段監控的異常封包數目等優點。

由於主要的偵測效率還是基於原本系統的分析能力，所以異常封包分類模組 的正確性，將對偵測結果產生重大影響。例如，把監控代理人所無法監控異常的 網路型異常封包判斷為主機型的封包時，會因此而產生 False Negative，也就是 會漏失掉此入侵攻擊警告。

由於 Monitor Agents 是直接監控主機上的狀況，因此當發現異常時，大多是 入侵行為早已發生，接著我們只能做些急救的措施來補救。這和僅僅使用網路型 的入侵偵測系統比較起來，網路型入侵偵測系統所做的大多是預測的行為，因為 封包尚未送達攻擊目標，所以入侵行為還尚未產生。針對此問題未來可改良

Monitor Agents 的偵測判斷方式，以期可在真正的入侵行為發生之前，提出預告 性的警告，例如，改採用有限狀態(Finite State)的分析方式等。

z 偵測新型攻擊的能力

在攻擊方式不斷起快速翻新的環境之下，若可加入自動更新「入侵特徵資料 庫」的機制或是「自動學習入侵規則」的能力，系統偵測入侵行為的能力也才可 即時跟上攻擊者的腳步。

參考文獻

[1] D. E. Dening, “An Intrusion Detection Model,” IEEE Transactions On Software ngineering, vol. SE-13, no.2, pp.222-232, Feb. 1987.

[2] E.H．Spafford and D．Zamboni, “Intrusion Detection Using Autonomous Agent,”

Computer Networks，vol．34，issues 4，pages 547-570，2000.

[3] J.P.Anderson , "Computer Security Threat Monitoring and Surveillance, " Tech.

Rep. , James P Anderson Co. , Fort Washington, PA , Apr. 1980.

[4] Julia Allen，Alan Christie，and William Fithen et al.，“State of the Practice of Intrusion Detection Technologies,” Technical Report CMU/SEI-99-TR-028，

CMU/SEI，January 2000.

[5] S. Axelsson,. “The Base-Rate Fallacy and the Difficulty of Intrusion Detection”, ACM Trans. On Info. And SystemSecurity, Aug. 2000, pp. 186-205.

[6] S. Patton, W. Yurcik, and D. Doss, ” An Achilles’ Heel in Signature-Based IDS:

Squealing False Positives in SNORT”. Recent Advances in Intrusion Detection (RAID), Univ. of California-Davis, 2001.

[7] Steven A. Hofmeyr, “A Immunological Model of Distributed Detection and its Application to Computer Security” PhD ehesis, Department of Computer Sciences, University of New Mexico, Albuquerque, NM, April 1999

[8] W. Yurcik, “Controlling Intrusion Detection Systems by Generating False Positive：Squealing Proof-of-Concept”, Proceedings of the 27th Annual IEEE Conference on Local Computer Networks, 2002.

[9] Yan Qiao , Xie Wei Xin , ”A Network IDS with Low False Positive Rate”, In Proceedings of the Congress on Evolutionary Computation, Honolulu, HI, May 2002. IEEE.

[10] Snort software, http://www.Snort.org.

[11] Koziol, Jack,“Intrusion detection with Snort＂, Sams publishing, 2003

[12] Rehman, Rafeeq Ur. ,＂Intrusion detection systems with Snort :advanced IDS techniques using Snort, Apache, MySQL, PHP, and ACID /Rafeeq Ur

Rehman.＂, Prentice Hall PTR, 2003.

[13] 李勁頤，陳亦明，＂分散式入侵偵測系統研究現況介紹＂，資訊安全通訊 2002，Vol.8

[14] 李駿偉，田筱榮，黃世昆，＂入侵偵測分析方法評估與比較＂，資訊安全 通訊 2002，Vol.8.

[15] 陳培德，賴溪松，＂入侵偵測系統簡介與實現＂，資訊安全通訊 2002，Vol.8