1、 1 印月 95 6 月 本標準非經本局同意得翻印 中華民國國家標準 CNS 總號 號 ICS 35.040 X604714992經濟部標準檢驗局印 公布日期 修訂公布日期 95 6 月 1 日 月日 (共 25 頁 )資訊技術安全技術資訊技術入侵偵測框架 Information technology Security techniques IT intrusion detection framework 目錄 節次 頁次 1.適用範圍 3 2.參考標準 3 3.用語釋義 3 4.入侵偵測導論 3 4.1 入侵偵測的需要 . 4 4.2 攻擊的型式 4 4.2.1 主機型的攻擊 5 4.2.2
2、 網路型的攻擊 5 5.入侵偵測過程的同屬模型 . 5 5.1 資料源 . 6 5.2 事件偵測 . 7 5.3 分析 7 5.4 回應 7 5.5 資料儲存 . 8 6.入侵偵測的特性 8 6.1 資料源 . 9 6.1.1 主機型 . 9 6.1.2 網路型 . 9 6.2 事件偵測與分析頻率 9 6.2.1 持續 /近似即時 . 9 6.2.2 定期 /批次處理 10 6.2.3 僅在特殊情況下啟動 .10 6.3 入侵偵測分析 10 6.3.1 誤用型 10 6.3.2 異常型 10 6.4 回應行為 11 6.4.1 被動的 11 6.4.2 主動的 11 2 CNS 14992,
3、X 6047 7.架構考量 11 8.IDS 的管理 .12 8.1 組態管理 .12 8.1.1 偵測功能 .12 8.1.2 回應功能 .12 8.2 安全服務管理 13 8.3 與其他管理系統的整合 13 8.4 管理作業的安全 13 8.4.1 鑑別 .13 8.4.2 完整性 13 8.4.3 機密性 13 8.4.4 可用性 13 8.5 管理模型 .14 9.入侵偵測分析 .14 9.1 特徵分析 .14 9.2 統計方法 .15 9.3 專家系統 .16 9.4 狀態變遷分析 16 9.5 類神經網路 .16 9.6 使用者異常行為識別 16 9.7 混合分析 .16 9.8
4、其他 16 10.實作與佈署議題 17 10.1 效率 17 10.2 功能性 17 10.3 IDS 佈署及作業的人員 17 10.4 其他實作的考量 .18 11.入侵偵測議題 .19 11.1 入侵偵測與隱私 .19 11.2 入侵資料的共享 .20 11.3 未來的標準化 20 12.彙總 .21 參考書目 .22 英中名詞對照表 23 3 CNS 14992, X 6047 1. 適用範圍 本標準定義 IT 系統中的入侵偵測框架。本標準考量許多入侵的類別,其中包含故意或非故意的、合法或非法的、有害或無害的、及內部人員或外部人員未經授權之存取等類別的入侵。本標準著重於: (1) 建立與
5、 IT 入侵偵測框架相關之用語及觀念的共通定義。 (2) 描述入侵偵測的同屬模型。 (3) 提供企圖利用系統脆弱性的高階範例。 (4) 討論有效入侵偵測能力所需要之輸入資料與來源的共同型式。 (5) 討論不同的入侵偵測分析方法與方法的組合。 (6) 描述因應入侵跡象的活動 /動作。 此框架闡明入侵偵測的用語與觀念,並描述彼此之間的關係。此外,此框架也指出入侵偵測任務與相關活動的可能順序。 本標準提供入侵偵測的共同認知基礎。協助 IT 管理者於組織中佈署互動且共同運作之入侵偵測系統 (Intrusion Detection System, IDS)。本標準宜促進跨世界組織之間的共同合作,此處共同
6、合作以對抗入侵企圖是期待及 /或必要的。 此框架未試圖涵蓋 入侵偵測中每項可能的細節,例如詳細的攻擊型樣 (pattern),統計式異常 (statistical anomaly),或 IDS 可能有的許多組態。 2. 參考標準 CNS 14364 資訊技術開放系統互連開放系統之安全框架:安全稽核及警報框架 CNS 14929 (全部 )資訊技術資訊技術安全管理指導綱要 3. 用語釋義 本標準使用 CNS 14929 與下列之用語釋義: (1) 攻擊 (attack)是一種利用 IT 系統脆弱性的企圖。 (2) 事件 (event)是某個特定資料、情況或活動的發生。 (3) 利用 (explo
7、it)是一種既定途徑,藉由脆弱性以破壞 IT 系統之安全。 (4) 入侵 (intrusion)是蓄意或意外的未授權存取至 IT 系統、對照 IT 系統的活動及 /或 IT 系統中的活動。 (5) 入侵偵測 (intrusion detection)是識別曾經企圖、正在發生或已發 生入侵的過程。 (6) 入侵偵測系統 (IDS)是用於識別與回應入侵的 IT 系統。 (7) 感應器 (sensor)或監視器 (monitor)是 IDS 中的組件 /代理者 (agent),其藉由觀察,從 IT 系統中收集事件資料。 4. 入侵偵測導論 IT 環境在這幾年已經發生基本的變更,個人電腦與工作站幾乎隨
8、處可見且經由網路而能互連,因此對 IT 安全提供新的挑戰。然而,仍有營運上的理由要連接至網際網路及其他網路而不理會脆弱性可能被利用的事實。 每週都可發現增強的技術而更容易存取資訊及新的脆弱性。同時,許多攻擊正利用這些脆弱性發展。入侵者不停地增強他們的技術,而且輔助他們的資訊也變得越來越容易取得。同等重要的是,使用電腦的 能力已相當普及,且由於攻擊腳本 (attack 4 CNS 14992, X 6047 script)與進階工具的可用性,降低執行攻擊所需的技巧。因此,個人不需要確切地知道攻擊會發生什麼後果或造成什麼傷害就能夠發起攻擊。 4.1 入侵偵測的需要 保護 IT 系統防衛之第一層是使
9、用實體與技術控制,其宜包含識別與鑑別、實體與邏輯存取控制、稽核與密碼等機 制。儘管如此,就經濟上而言,不可能隨時完整地保護每一 IT 系統、服務與網路。例如,當使用的網路是全球性、沒有地理界限,而且內部人員 (insider)與外部人員 (outsider)的差異並不 明顯時,實作存取控制機制是相當困難的。此外 ,因為組織越來越依靠員工與延伸之營運夥伴的遠端存取,使得傳統的週邊防衛變得較難憑藉。此 IT 環境創造了非常動態的複雜網路組態,並且包括進入組織之 IT 系統及服務的多重存取端點。 防火牆,作為一個重要的保護層,得使用於控 制周邊對 IT 系統與服務之存取,並能夠提供入侵偵測中所使用之
10、事 件資料的形式。儘管如此,要保護避免所有的入侵是不可能的,而且成本上也 不允許。因此,為了能在當發生入侵時即偵測得到,且以安全及適當的方式反 應,需要一個簡單或複雜的防衛層,該防衛層即 IDS 的一種功能。 入侵偵測試圖識別電腦誤用或不符合安全政策的動作。典型的誤用 (misuse)是利用系統組態中的脆弱性、設計不良 的軟體、使用者的忽視與粗心大意,及協定與作業系統中基本的設計缺陷。外 部人員經常利用這些脆弱性。然而,可信賴之內部人員 (例如:不滿的雇員、貿易夥伴、臨時雇員等 )的惡意行為比外部人員的滲透能夠造成更大的傷害,這 是因為經授權的使用者能夠利用他們的實體存取、特權及局部安全保護措
11、施 (safeguard)的知識。 就像每個保護措施,入侵偵測必須藉由 IT 安全風險分析 與管理過程加以判斷,並整合在企業的安全政策中。前述各層面係由 CNS14929 資訊技術安全管理指導綱要系列標準所涵蓋,其提供 IT 安全之管理層面的指引。這些層面包括如何識別與判斷保護措施的需要,例如 入侵偵測系統。企業及相關之系統或服務的安全政策宜陳述所選擇,用以適當 地管理入侵風險的保護措施。這些保護措施包括: (1) 降低入侵發生的機會。 (2) 有效地偵測與復原可能發生的入侵。 在後者的情況下 ,若認為有足夠的風險,就宜選擇 IDS。再者,宜強制該入侵偵測系統與 CNS_(ISO/IEC180
12、44)資訊安全事故管理所論及 之安全事故管理 (報告與處置 )方案相連結。該方案宜包含接收事故報告之專屬的事故管理功能,包含 IDS 所識別的事故,進行調查分析、回應與處理事故、幫助復原、幫助弱點解決與進行事故型樣及趨勢分析。 再者,宜有來自 IDS 之回饋,以再精細化風險分析支援資料庫中之威脅與脆弱性的資訊。此處宜依序地改善風險分析與管理審查的品質。 4.2 攻擊的型式 電腦與網路上的攻擊能夠成功地利 用組態與實作的失誤,也可以利用網路協定 5 CNS 14992, X 6047 或服務及 /或應用概念的失誤,而且有可能潛在地利用異常的使用者行為。 這些攻擊能給予攻擊者關於將要攻擊的 系統、
13、服務及 /或網路之可貴資訊。再者,這些攻擊可能允許攻擊者存取 受保護的網路或伺服器。系統完整性的漏失(例如:服務的劣化 )、在資料轉送期間資料完整性或機密性的漏失,或主機所儲存之資料的完整性或機密性的漏失,都是這些攻擊的一些潛在後果。 攻擊可進一步分類成主機型 (host-based)或網路型 (network-based)或兩者的組合。 4.2.1 主機型的攻擊 一般考慮之主機型的攻擊是攻擊: (1) 應用層 (簡單郵件轉送協定 (Simple mail transfer protocol, SMTP)、網域名稱系統 (Domain name service, DNS)、網路檔案服務 (Ne
14、twork file service, NFS)、網路資訊服務 (Network information service, NIS)(例如:電子郵件偽造、垃圾郵件 (Spamming)、緩衝區溢位攻擊 (buffer overflow attack) 、競速條件攻擊 (race condition attack) 、中間者攻擊(man-in-the-middle attack)。 (2) 鑑別系統 (例如運用竊聽或通行碼猜測的攻擊 )。 (3) 植入破解的惡意碼 (malicious code) (例如:運用特洛伊木馬 (Trojan horse)、蠕蟲 (worm)或病毒的攻擊 )。 (4)
15、 全球資訊網 (WWW)的服務 ( 例如針對共同閘道介面 (Common gateway interface, CGI)、 ActiveX 或 JavaScript 的攻擊 )。 (5) 系統可用性 (例如阻絕服務 (denial-of-service)攻擊 )。 (6) 作業系統。 (7) 網路與應 用管理系統 ( 例如簡單網路管理協定 (Simple network management protocol, SNMP)攻擊 )。 4.2.2 網路型的攻擊 一般考慮之網路型的攻擊是攻擊: (1) 實體及資料鏈結通訊協定與實作此協定的系統 (例如:位址解析協定(address resoluti
16、on protocol, ARP)欺騙 (ARP-spoofing)、媒體存取控制(media access control, MAC)位址仿製 (MAC address cloning)。 (2) 網路及傳送通訊協定 (網際網路通訊協定 (internet protocol, IP)、網際網路控制訊息協定 (internet control message protocol ,ICMP)、用戶資料訊息協定 (user datagram protocol, UDP) 、傳輸控制協定 (transmission control protocol, TCP) 與實作此協定的系統 ( 例如: IP-
17、 欺騙(IP-spoofing)、 IP-片段攻擊 (IP-fragmentation attacks)、緩衝區溢位攻擊(buffer overflow attack)、同步封包淹沒攻擊 (SYN flooding attack)、變形的 TCP-標頭資訊攻擊 (malformed TCP-header information attacks)。 5. 入侵偵測過程的同屬模型 由一組功能能夠定義入侵偵測的同屬模型。這些功能包括原始資料源、事件偵測、分析、資料儲存及回應。前述功能能夠以分別的組件或套裝軟體實作,成為大型系 6 CNS 14992, X 6047 統的一部分。圖 1 顯示這些功能間
18、相互關連的方式。 圖 1 入侵偵測的同屬模型 事件偵測功能的目的是偵測與提供事件的資訊,可使用於分析功能中,此功能包括消除不必要的資料並萃取有關的資訊。 分析功能分析與處理來自事件偵測功能及其他相關資料的輸入,其扮演的角色是進一步精細化安全相關的資訊且評鑑曾經企圖、正在發生或已發生入侵的機率。 事件偵測與分析能夠產生大量的資料,事件偵測與分析的頻率將影響資料的數量,亦有助於入侵偵測過程的有效性,此資訊對系統管理者或管理工作站必須是可用的。 入侵偵測之資料儲存功能定義儲存安全相關資訊的方法 (例如發生的攻擊 ),並且使得在往後是可用的。 入侵偵測過程包括回應功能,其提供警告與可能的反制能力;例如
19、:在網路反制的情況下,可終止 TCP 的交談或更改路由器控制列表。如此,入侵偵測過程可在偵測到初始攻擊之後,預防進一步的攻擊發生。 5.1 資料源 入侵偵測過程的成功取決於偵測到 入侵或入侵企圖所得到資訊的資料源。能夠敘述下列的資料源: (1) 來自不同系統資源的稽核資料: 稽核資料記錄包含訊息與狀態資訊,範圍從抽象化的高等級到非常詳細等級的資料,並依事件的時間順序顯示。有用的稽核資料源是作業系統的日誌檔案,其包括系統事件與作業系統所產生 活動的日誌,例如稽核存底 /日誌;記錄檔案系統、網路服務、存取企圖等之應用程式也是原始資料之優良來源。 (2) 作業系統的系統資源配置: 系統監視參數如中央
20、處理器 (CPU)工作量、記憶體 利用率、系統資源的匱乏(starvation)、 I/O 比率、主動網路連接的數量等有助於偵測入侵。 (3) 網路管理日誌: 資料儲存 回應 分析 事件偵測 資 料源 7 CNS 14992, X 6047 網路管理日誌提供網路裝置的健康、狀態及裝置狀態變遷資訊。 (4) 網路訊務: 網路訊務提供如來源與目的地位址,以及 與安全相關的來源與目的埠之參數,通訊協定的不同選項 (例如:來源路由、同步旗標 (SYN-flag)對 IDS 也是有用的。因為資料在收集前被竄改的機率很小,所以在參考 OSI 模型中低層所收集的原始資料是有幫助的。如果只收集較高層抽象化的原
21、始資料,例如來自代理伺服器,則在較低層所呈現的資訊可能會漏失。 (5) 其他資料來源: 其他資料源包括防火牆、交換器 (switch)及路由器,當然也包括 IDS 特定的感應器 /監視代理器。 5.2 事件偵測 事件能夠是簡單或複雜的,簡 單事件可能是攻擊的共同部分,但也發生在正常作業期間;複雜事件則可能是 簡單事件的組合,其很可能指示一特殊的攻擊,且可能在一延展的期間發生。 例如:事件可能是企圖修改系統日誌檔案中的電腦日誌。事件不需要是事件本 身中及事件本身的入侵證據。事件偵測器是完整之入侵偵測系統的感應器 官,這些感應器與監視器能夠安置在網路裝置 (例如:路由器、橋接器 (bridge)、
22、防火牆或特定的電腦上 (例如:應用伺服器、資料庫伺服器 )。 5.3 分析 履行事件與其他相關資料的分析是 為了讓安全相關資訊產生關聯與精細化安全相關資訊,並且評鑑曾經企圖、正 在發生或已發生入侵的機率。分析功能可利用許多來源的資訊與資料,其可能使用: (1) 由事件偵測所收集到的資料。 (2) 由先前分析的結果且被認為與進一步分析有關的資料。 (3) 由個人或系統預期行為之知 識所產生的資料 (即認定已履行的已知任務或已授權完成的動作 )。 (4) 由實體或系統非預期行為之 知識所產生的資料 (即由已知的攻擊或由已知有害的動作 )。 (5) 其他相關的輔助資料,例如有嫌疑的攻擊來源地點、個人
23、或現場。 5.4 回應 回應功能將分析組件所處理之事件的適當 結果,呈現給系統管理者或安全主管,這些結果通常呈現在具有圖形使用者介面 (GUI)的管理控制台上,所有受監督的資訊技術系統與網路的警示也 一起呈現。宜提供各種不同的方式通知系統管理者,例如經由電子郵件、呼叫器 (pager)或信差服務 (messenger service)。 回應功能也宜幫助系統管理者評鑑 入侵的嚴重性,並對實作適當的反制作出正確的決定。如果 IDS 系統含反制組件,則能夠啟動自動化過程以削減入侵,或使攻擊的後果減到最小。 回應功能的活動宜與組織的事件管理方案一致。某個 IDS 提供一反應 (reaction) 8
24、 CNS 14992, X 6047 作為適當的回應,反應可以是一被 攻擊系統的重新組態、被攻擊帳號的鎖定、或協定符合 (protocol-conformant)的關閉交談,此方式有助於使攻擊者造成的損壞減到最小。 5.5 資料儲存 資料儲存功能將已偵測的事件、稽 核日誌及任何分析所需的資料儲存於資料庫中,分析結果包括已偵測的入侵,儲存於資料庫中,作為報告與其他目 的之用。資料庫可能包含已知攻擊剖繪的收 集、正常行為的剖繪、且可能包含指示可疑事件的分析,可疑事件稍後能夠作 為可疑事件分析的協調,也能夠包含所收集與保存之詳細的原始事件資料,一旦發出安全告警時可作為證據 (例如為了可追蹤性 (tr
25、aceability)。資料保持與資料保護政策需要指出各種不同考量,例如分析完成 (completion of analysis)、資料鑑識 (data forensic)及證據保存。 6. 入侵偵測的特性 入侵偵測的特性可分為功能面及非功能面,如圖 2 所示。 功能特性與入侵偵測過程的內部機制有關,即其輸入資訊、推論機制,以及與資訊技術系統、服務或網路內的交互作用;非功能面則是以事件偵測與分析的頻率為特性。 圖 2 入侵偵測的特性 入侵偵測 資料來源 入侵偵測分析 回應行為 事件偵測與分析頻率 網路型 (網路封包、框架 ) 誤用型 異常型 被動主動週期/批次分析連續/近即時 僅在特殊環境下啟
26、動主機型 (應用、日誌 ) 功能特性非功能特性 9 CNS 14992, X 6047 6.1 資料源 以資料源位置為基礎的差異性,是 入侵偵測世界的主要作法。以使用於事件偵測的輸入資訊種類為基礎,有二個 不同的基本來源位置,分別是主機與網路,收集使用於事件偵測與分析中的原 始資料。因此,這些資料源被稱為主機型與網路型。在主機型的情況下,能夠檢查來自主機或應用的事件日誌 /安全稽核存底與系統日誌。網路封包或碼框是 網路型資訊的主要來源,例如:防火牆、交換器、路由器及 IDS 特定的感應器 /監視代理器。 6.1.1 主機型 如上所述,主機型的入侵偵測通 常監視在其環境裡的系統、事件及安全日誌,
27、也就是監視主機中的資料源。主機型的入侵偵測目前已 包含其他技術,例如普遍的一個偵測入侵方法是在正規的間隔以核對和 (checksum)檢驗重要系統檔案與可執行檔案,是否 有非預期的變更。另一個方法是檢驗日誌檔的變更,當日誌檔有任何的變 更,入侵偵測過程會比對新的日誌項與已知的攻擊特徵 (attack signature),以檢查是否相符。回應的時效性 (timeliness)與輪詢間隔 (polling interval)的頻率直接相關。 主機型的資料源: (1) 支援鑑識分析,鑑識分析的焦點是主機特定 (host-specific)的事件資料。 (2) 提供特定系統活動的監視 (使用者登入
28、/登出活動、檔案存取活動、企圖安裝新的可執行檔及 /或存取特權服務、系統資源使用 、系統管理者活動,例如新增帳號與變更重要系統檔案與可執行檔案 )。 (3) 允許網路型資料源無法做到的攻擊偵測,例如:關鍵伺服器的鍵盤攻擊。 6.1.2 網路型 網路型的入侵偵測資料包含網路 管理日誌、原始網路封包或碼框,通常由網路配接器擷取 這些資料,在雜亂模式 (promiscuous mode)下,執行即時 /近似即時地監視與分析流經網路 的訊務,也包含來自防火牆、交換器、路由器及 IDS 特定的感應器 /監視代理器的事件資料。當可疑攻擊發生時 (例如阻絕服務攻擊 ),藉由提供資料,網路型的資料源允許即時或
29、近似即時的偵測與回應。 6.2 事件偵測與分析頻率 6.2.1 持續 /近似即時 在此情境中,事件偵測器持續地 尋找特定資料、情況或活動的發生,並偵測發生時的事件。同樣地,分析 是持續地執行。換言之,分析正在即時地進行,不同於定期性或批次地進行。 即時的入侵偵測並不需要是 在嚴格計算觀念中的即時。依據事件資料源與偵測方法等參數,時間滯後 (time lag)可能存在於事件發生以及偵測與報告該事件的時間之間。再者,當攻 擊啟動與當滲透到目標系統之間的經過時間,可能取決於攻擊的本質而有所 不同。所以在某些情況下,在偵測攻擊且向適當的機構報告之前,攻擊可能 早已完成。攻擊及其偵測之間的這些延遲可能會
30、 10 CNS 14992, X 6047 或可能不會增加威脅,取決於實作的 IDS 及其保護之目標的韌性。 6.2.2 定期 /批次地處理 資料或事件能夠定期或批次處理 ,例如稽核存底或系統日誌通常持續地產生,但在資訊系統的負荷較低時 ,像是在夜晚,才處理或分析他們。可以將他們備份至磁帶或其他儲存媒 體上,並由輔助之離線子系統定期處理他們,這也許有利於保護已註冊的資料。 6.2.3 僅在特殊情況下啟動 可以僅在特殊情況下啟動某個分 析,例如當已經識別廣泛的攻擊且正造成可怕的結果時。在此情況下,可 啟動集中的工作,以徹底地分析該攻擊的所有層面與後果。這些工作有時 稱為鑑識分析,並且可作為法律動
31、作的目的,若考慮法律行動,將需要遵循適用的證據規則。 6.3 入侵偵測分析 入侵偵測分析有二個普遍的方式: 誤用型與異常型,稍後將討論這兩類中的特定方法。某些誤用型之 方法是知識型 (knowledge-based)偵測,可偵測已知的攻擊外貌;某些異常型之方法是觀察行為的偏差,有時被描述成行為型的偵測。 異常偵測著重於使用者的異常行為 。通常,分析的職責如同偵測器,附隨著資料庫,將已知的攻擊特徵或正常使 用者行為之事先定義的規則或性質儲存於此資料庫中。因已分析事件可視為入侵企圖,分析功能評估該機率。 6.3.1 誤用型 誤用型之入侵偵測與事先精確地 定義誤用並注視其發生的入侵偵測有關,由已知的
32、攻擊與未授權活動所累 積的知識為基礎,誤用偵測方法集中於尋找攻擊的證據。 目前流行的方法使用: (1) 特徵分析 (signature analysis)。 (2) 專家系統。 (3) 狀態變遷分析。 將於第 9 節描述這些方法。 6.3.2 異常型 異常型的入侵偵測一般包含剖繪 中找尋偏差,平常行為的剖繪是基於正常操作期間系統的觀察,或由其他 預期的使用參數所定義的剖繪。剖繪是事先決定的特定事件型樣,通常與儲存作為比對目的一系列事件有關。 此方法依預測或預期行為所觀察 之行為變異作出決策,並且通常包含下列的一個或多個方法: (1) 統計式作法或其變異的專家系統。 (2) 類神經網路。 (3)
33、 使用者異常行為的識別。 (4) 上述方法的組合。 將於第 9 節描述這些方法。 11 CNS 14992, X 6047 6.4 回應行為 回應行為描述入侵偵測過程對於攻 擊的回應。當回應已經決定時,必須使其免受干擾。如果入侵者可以刪除或改 變此通訊,則因已偵測的策略違反而避免執行回應,使他能夠潛在地阻止入侵偵測過程。 6.4.1 被動的 若侷限回應在入侵偵測過程本身的活動內,並不修改 IT 系統行為,例如僅在管理者控制台產生告警,則稱 為被動的回應。被動的回應系統以通知適當機構作為回應,本身並不採取任何措施以預防或限制攻擊的損壞。 6.4.2 主動的 當回應藉由矯正動作 (修改系統行為 )
34、或預先動作 (登出可能的攻擊者、停止服務 )對攻擊作出反 應,則稱為主動的回應。主動的回應機制可以不只通知適當機構,而且也啟動反制,這 些反制常常尋求限制攻擊所造成的損壞。這可藉由其他安全服務的重新組 態而達成,例如防火牆與路由器。在某些情況下,能夠利用反制攻擊或交 談終止技術預防進一步的損壞,但需謹慎使用。 7. 架構考量 可用不同的方式實作 IDS。在小型的組織內或保護良好定義與相對獨立的系統,單一的 IDS 會是良好的解決方法。 在具有網路、系統及應用的相當大型且複雜之基礎建設的環境中,單一的 IDS 可能不夠或無法實際地滿足入侵偵測的需求。要滿足這些需求,可能需要數個 IDS,其中每個
35、 IDS 均是為已定義的子系統或組件而訂製。在這樣的環境中,攻擊可能將數個子系統或組件定作目標。在另個情境下,攻擊可能將子系統或組件的一種特定的組態作為目標,而不是針對子系統或組件本身的脆弱性。為了偵測在這樣情境下的攻擊,需要讓來自數個 IDS 的事件資料相互關連與被分析。 IDS 架構的目標是以有效率與有效的方法實作入侵偵測的功能。本全景考量兩個主要的架構: (1) 數個 IDS 互連與相互關連的方式。 (2) 在 IDS 架構中,任務的集中或分散。 圖 3 顯示了階層式入侵偵測架構的範列。 12 CNS 14992, X 6047 圖 3 階層式入侵偵測架構 分析 / 相關性事件偵測/感測
36、器分析 / 相關性分析 / 相關性事件偵測/感測器事件偵測/感測器事件偵測/感測器事件偵測/感測器中央控制台事件/警示信號事件 /警示信號事件 事件 事件 事件 事件原始資原始資原始資原始資原始資在圖 3 中,為了更高等級的分析與相關,額外地聚合數個分析與相關組件的輸出。在任何多層應用基礎建設 (multi-tier application infrastructure)中,可能會有多個位置履行所需的功能。 在集中式架構中,事件偵測與感應器組件可簡單地收集原始資料,並傳送至單一組件,作進一步的分析與相關。雖然此方式具有設計簡單的好處,但可能無法適當地縮放,且僅可適用於小型的環境。 較具可縮放性
37、 (scalable)的解決方法是在分散式的組件中,履行某些 IDS 的任務,目標是盡可能減少較早過程中的原始資料,並將相關的事件轉送給下一層的組件。組件鍊可進一步分析與關聯事件資料,僅傳送相關的事件或警示至最終與中央的組件。這樣的系統可能會引入某些非常複雜的任務,例如,要求配置濾波器與涉及的分析與關聯組件,使得攻擊跡象找出通往中央組件的途徑,並發布正確的警示。 8. IDS 的管理 在企業的網路基礎建設中,入侵偵測的系統管理對有效率與有效的佈署是非常重要的。為使 IDS 是有效率的,管理子系統必須提供足夠的功能性。本節指出 IDS 之各種不同的管理面。 8.1 組態管理 組態管理提供功能以運
38、用控制、識 別、收集資料與提供資料給個體,該個體是IDS 的一部分。為 了入侵偵測的目的,組態管理包括偵測功能與相對應所使用之回應機制的管理。 8.1.1 偵測功能 偵測功能的組態包括設定何種事 件與事件順序違反安全政策的準則。也可能包括描述誤用型樣與正常使用者行為。 8.1.2 回應功能 13 CNS 14992, X 6047 回應功能的管理依安全告警決定 系統行為,這包括控制各種不同的回應機制,例如音訊告警、系統管理者及 /或安全主管的通知及交談終止,也必須保護 IDS 免於未授權回應的啟動。若攻擊者發現欺騙系統使其回應未存在入侵的方法,則取決於配置的回應,將是有可能比沒有安裝 IDS
39、的系統,能夠潛在地導致更大的損壞。回應管理宜與組織的事故管理方案一致。 8.2 安全服務管理 安全服務管理包含管理 IDS 中的安全服務。它涉及控 制使用者信符(credential)、機密性、完整性及存取控制服務。依據使用者的信符,可以限制組態參數、稽核存底及安全事件相關資訊的存取。 8.3 與其他管理系統的整合 IDS 管理系統宜作為欲保護之環境的網路管理、系統管理及 /或安全管理系統的安全介面或不可缺 少的部分。實作特定型式的偵測功能 (例如存取日誌 )與特定型式的回應功能 可能是必要的。重點是不能選擇或實作孤立系統的 IDS,因為IDS 管理功能必須與其他系統管理功能作良好地整合。 8
40、.4 管理作業的安全 必須保護管理作業的安全,以防止入侵者存取 IDS 中的資訊或控制資源。 IDS之管理的安全包括管理服務的鑑別性、完整性、機密性及可用性。 執行 IDS 管理特權的系統宜依照要求高等級安全的安全政策 (與其他管理系統的要求相比較 )加以配置。當主機型 IDS 的感應器正常地在作業系統特權模式中執行時,破解管理特權可能導致嚴重散佈地安全破壞,而且所有執行 IDS 代理者的主機都會被破解。通常會忽視 IDS 管理特權之安全破壞的後果,特別是主機型的IDS,大部分的商業提供具有在受監視主機上執行命令的攻擊回應選項。 事件偵測器與感應器的監視要確保正確的操作與功能,對成功的 IDS
41、 是必要的。事件 偵測器轉送 (relay)由感應器至偵測分析功能的資訊。疏於維護這些設備上持續的監視功能,可能導致假的感應。例如感應器故障與中央系統 (甚至組織 )未察覺此技術故障。因此中央系統將不會有警示或讀數 (reading)前送給中央操作者,使其仍然認為一切都是良好的。 8.4.1 鑑別 管理作業之前宜適當識別及鑑別 管理個體,管理個體可能是使用人 (human user)或是系統實體。 8.4.2 完整性 宜保護管理作業免於完整性攻擊 ,宜不可能以未授權的方式插入、刪除或更改管理作業。 8.4.3 機密性 宜保護管理作業對抗機密性攻擊 。宜不可能以未授權的方式推論任何管理作業的意圖
42、。 8.4.4 可用性 網路基礎建設、 IDS 本身或監視的目標所受的攻擊宜無法影響管理服務的可 14 CNS 14992, X 6047 用性,例如在阻絕服務攻擊下 IDS 的管理宜仍可運作,甚至當 IDS 故障,IDS 的管理必須仍可運作。在營運持續規劃過程宜指出 IDS 及其管理。 8.5 管理模型 控制與管理對入侵偵測的成功實作 是必要的,特別是在使用大量入侵偵測組件的分散式環境中。圖 4 提供非常適用於大型組織之階層式管理模型的實作範例。在某些環境下,可能無法接受 集中式控制呈現單一之故障點的理由,它也將給予攻擊者單一的攻擊點,而且 能給攻擊者機會來延遲攻擊的偵測,並防止系統管理者採
43、取適當的動作。 圖 4 入侵偵測管理模型 管應用管者代IDS組件代代 代管者IDS組件IDS組件在階層模型中除了使用一對多的基準外,其他管理關係的基準也可能是適當的: (1) 多對多 數個管理控制台能夠管理多個分散式代理者。 (2) 一對多 管理控制台能夠管理多個分散式代理者。 (3) 一對一 管理控制台能夠管理單一代理者。 9. 入侵偵測分析 以下描述幾個使用於入侵偵測分析的方法。 9.1 特徵分析 特定特徵或型樣可特性化攻擊企圖,收集 或公式化已知攻擊的語意描述或特徵,並儲存在資料庫中。 特徵分析的其中一種型式是稽核存 底分析,將稽核存底中所發現的資訊,亦即系統內建的稽核日誌或事件日誌與
44、攻擊特徵相比較。此方法大概是分析電腦系統狀態的最共通且知名的方法。其預期任 何在電腦系統上啟動之安全相關動作,將導致對應的稽核日誌項。傳 統上,在稽核日誌分析中,分析過程本身僅 15 CNS 14992, X 6047 離線地解譯對應項。因為入侵偵測 的目標是儘快識別安全違規或系統攻擊,所以宜近似即時處理稽核存底。 可將攻擊情境 (scenario)轉換為稽核事件序列或資料型樣,能夠由電腦的作業系統或由應用、路由器、防火牆、交換器、或 IDS 特定的感應器 /監視代理者產生事件資料中尋找。另外,可於網路 流量中發現其他型樣或序列,當發現符合事先定義之攻擊特徵的事件序列時,將指示入侵的企圖。 協
45、定分析是網路特定特徵分析的一種形式 ,並且使用定義明確的通訊協定結構。協定分析能夠快速處理像封包、框及 連接等元件,而且比正規型樣匹配(regular pattern matching)更為適當。使用此方法可縮減攻擊特徵資料庫的大小。 能夠使用臨限 (threshold)或非臨限的特徵分析入侵偵測方法。若沒有定 義臨限,當認定攻擊特徵時,則產生告警。 若有定義臨限,則僅在攻擊特徵之事件數目或事件序列超過臨限時,才產生告 警。臨限可為每個週期發生的百分比、數目或是某些其他測量。 最佳的特徵分析方 案宜利用在不同等級 (應用、網路及系統 )與來自不同來源可用的資訊。若這些局部的稽核存底 沒有共通的
46、稽核格式,則此方法是困難的。如同所有誤用型的方法,特徵分析 技術的主要缺點在於需要頻繁更新,以便與最新發現的脆弱性 /攻擊保持聯繫。特徵資料庫的目的在此,基於效率的理由,可能要全面地或遞增地更新特徵資 料庫。雖然如此需要以適當的鑑別與完整性服務建立對更新來源的適當信任。 9.2 統計方法 異常型的入侵偵測最廣泛使用的方 法是統計,由一些隨時間抽樣與儲存在剖繪中的變數,量測使用者或系統行為 。這些變數的範例包括每個交談的登入與登出時間、資源利用期間及處理器記憶體磁碟 (processor-memory-disk)在交談期間或指定時期內的資源消耗總量。 使用統計方式能夠偵測特定的阻絕 服務攻擊,這
47、些攻擊是利用網際網路協定套的弱點。其中一個範例是攻擊者藉由偽冒的 (變更的 )原始 IP 位址傳送許多連接要求,並需要被攻擊的系統應答這 些要求且無法接收確認,此即所謂的同步洪流攻擊 (SYN flood attack)。雖然攻擊者的表現似乎是根據通訊協定,但是該攻擊僅能藉由一段特定期間內,所接 收之連接要求的數量加以偵測。要求數量與允許開放連接的配置數量定義此型式攻擊的臨限。 測量的數個型式能夠構成一剖繪。這些型式包括: (1) 活動強度測量。 (2) 稽核紀錄分布測量。 (3) 分類的測量 (例如:登入的相關頻率 )。 (4) 序數 (ordinal)的測量 (例如:針對特定使用者的 CP
48、U 或 I/O 量的數值 )。 剖繪中維護每個使用者的目前行為 ,在規則性的間隔,現行的剖繪與儲存的剖繪合併。藉由比較現行的剖繪與儲存的剖繪,可確定異常的行為。 原始的模型保留所有這些變數的平 均值,並基於變數的標準差,偵測該變數是 16 CNS 14992, X 6047 否超過臨限。已經發展較複雜的模 型,比較長期與短期使用者活動的剖繪。隨著使用者的行為演變而有規律地更新剖繪。 9.3 專家系統 在誤用型的分析情況中,專家系統 包含描述攻擊的規則。在異常型的分析情況中,基於記錄使用者於一段時期內 的行為,統計地產生一組規則,描述使用者的行為。將事件稽核轉換成事實, 傳遞語意至專家系統。入侵
49、分析功能得出結論是使用這些規則與事實偵測存在 的可疑攻擊,或偵測不一致的行為。藉由附加語意在事件資料上,使得此方法 增加了事件資料的抽象化等級。必須持續更新規則庫,以容納新的攻擊描述或新的使用型樣。 規則型的描述語言形成自然工具, 為模型化專家所收集關於攻擊的知識。此方式允許對稽核存底的系統化瀏覽, 搜尋企圖利用已知脆弱性的證據。也使用他們查證組織之安全政策的適當應用。 此方式的主要限制是: (1)擷取關於攻擊知識的困難,與 (2)處理的速度。 9.4 狀態變遷分析 此技術以一組目標與變遷描述攻擊,但是以狀態變遷圖呈現。相對於系統狀態,在攻擊型樣中的狀態有關於必須滿足狀態相對應變遷的布林 (Boolean)判斷。 9.5 類神經網路 類神經網路是演算法,學習有關輸 入輸出向量間的關係,並以合理的方法歸納他們以獲得新的輸入輸出向量 。關於入侵偵測,類神經網路的主要用途,是學習系統中之角色的行為 (例如:使用者、系統服務程式 (daemon)。使用類神經網路勝於統計的優點,在於其使用一簡 單的方法表示變數之間的非線性關係,而且自動地學習 /再訓練類神經網路。類神經網路仍然是計算密集的
