入侵偵測系統的基本介紹（上）

2002 / 07 / 24

文/賴左罕（Han Lai）

入侵偵測系統其實可以算是一個偵測程序，主要在於偵測外部攻擊者以及內部人員對未經授權之資訊系統做不正當的存取或攻擊。接下來將為大家介紹入侵偵測系統的基本概念，其所使用的偵測技巧以及各項偵測技巧與建置方式的優缺點比較。

基本上入侵偵測系統分為兩種建置方式：主機端入侵偵測系統（Host-based
IDS）以及網路端入侵偵測系統（Network-based IDS）。

什麼是主機端入侵偵測系統？
「主機端」入侵偵測系統主要是靠記錄並分析該主機上的各項活動程序以偵測是否有不適當的存取行為。藉由這樣的方式來判斷該主機上某個特定的處理程序或使用者是否正在進行可疑的攻擊行為。

　

主機端入侵偵測系統的優缺點

優點：

「主機端」入侵偵測系統可以偵測到「網路端」入侵偵測系統所偵測不到的攻擊行為，因為它是針對本地主機做事件記錄的檢視。
「主機端」入侵偵測系統可以在有加密（encrypted）的網路環境下運作，只要加密的記錄資訊，能在監聽的主機上解密（decrypted）或在送達監聽主機之前解密即可。
「主機端」入侵偵測系統可以在交換式網路（switched
network）環境下運作使用。因為「主機端」入侵偵測系統僅針對該監聽主機所接收到的封包做分析，因此對是否建置在交換網路上並不會有任何影響。

缺點：

收集監聽記錄的機制通常必須在每一台所要監聽的主機上安裝並維護。
正因為「主機端」入侵偵測系統部份的系統是安裝在所要監聽的主機上，所以當所監聽的主機受到攻擊時，「主機端」入侵偵測系統可能也會同時受到攻擊，或者可能會被較高明的攻擊者在入侵後將其監聽功能關閉。
「主機端」入侵偵測系統對網段上的掃瞄並不能有效地偵測，因為其僅能偵測到該主機所收到的封包而不能得知其他主機是否也收到類似的攻擊。
「主機端」入侵偵測系統通常對阻斷服務式攻擊（Denial-of-Service
attack）有偵測上的困難，而且也無法有效地在阻斷服務式攻擊下正常運作。
「主機端」入侵偵測系統在運作時是佔用所被監聽主機的硬體資源。

什麼是網路端入侵偵測系統？
「網路端」入侵偵測系統以記錄並分析網路封包的方式來偵測入侵行為，其主要建置在網路的骨幹上。單一的「網路端」入侵偵測系統便可監聽大量的網路資訊。「網路端」入侵偵測系統通常包含一組監聽裝置，用於監聽記錄網路封包並將所偵測到疑似攻擊的封包回報到單一獨立的管理控制台（Management
Console）。大多數的入侵偵測系統是處在隱形模式（Stealth Mode）下運作，所以對攻擊者而言，在偵測這些系統的存在以及其所部署的位置是非常困難的。

　

網路端入侵偵測系統的優缺點

優點：

少數、但位置部署良好的「網路端」入侵偵測系統，對偵測大型網路活動具有非常高的效率。
由於「網路端」入侵偵測系統為被動式的裝置（passive
device），因此其建置與部署並不會對原本的網路流量及運作有顯著的影響。所以建置「網路端」入侵偵測系統可以說是一項花費最少成本卻可得到最有效率的投資。
「網路端」入侵偵測系統可以被設定為隱形模式，安全地保護其主機以避免成為攻擊者的目標。

缺點：

「網路端」入侵偵測系統對處理流量頻繁的大型網路之封包有某種程度的困難，因此在封包流量高時，可能會有遺漏偵測到正潛在進行的攻擊行為的可能性。部份廠商試著將「網路端」入侵偵測系統完全地建置在硬體平台上以得到較好的效能來解決這樣的缺點。但是對「網路端」入侵偵測系統而言，最重要的是如何以最低的電腦運算效能去分析網路封包，而達到最高的偵測準確率。
大部份較先進的「網路端」入侵偵測系統並不完全適用於交換式網路環境（switched
network）。因為大部份的交換式網路並不提供通用的監聽埠（monitoring
port）而導致「網路端」入侵偵測系統僅能監聽單一主機。
「網路端」入侵偵測系統無法對加密（encrypted）的資訊進行分析。這將會成為一個嚴重的問題，因為無論是企業界或是攻擊者使用加密技術（encryption）來傳遞資訊的情況已日益頻繁。
大部份的「網路端」入侵偵測系統並不會對攻擊行為是否成功作回報，它們僅會對是否有攻擊行為的發生作回報。所以對系統管理者而言，在每次偵測到有攻擊行為發生時，他們必須親自對疑似被攻擊的主機作檢視調查以判斷攻擊行為是否成功。

入侵偵測系統的偵測技術
目前入侵偵測系統所使用的偵測技術主要分為兩種方式：不當使用偵測方式（Misuse
Detection）及異常使用偵測方式（Anomaly Detection）。「不當使用」偵測方式目前廣泛地被各大入侵偵測系統的廠商所採用；而「異常使用」偵測方式目前尚在研究階段，主要為入侵偵測系統研究機構以及少數廠商所採用。

1.不當使用偵測方式

「不當使用」偵測方式又可被稱為「特徵比對」方式（signature-based），主要是以比對的方式將所偵測到的可疑攻擊行為與系統事先所定義的入侵攻擊模式資料庫進行分析比對，而入侵攻擊模式資料庫中則詳細定義著各種入侵攻擊方式的特徵資料（attack
pattern/signature），一旦比對出相似的入侵攻擊模式，便將其視為是一種入侵攻擊行為。採用此方式的入侵偵測系統必須事先進行設定微調以得到最高的效能及準確的偵測率。

優點：

「不當使用偵測方式」的入侵偵測系統在偵測攻擊行為上非常有效率而且不會產生過多的誤判警訊（false
positive）。
「不當使用偵測方式」的入侵偵測系統能夠快速並可靠地偵測出特定的攻擊手法，能有效的幫助資訊安全人員迅速地整理出正確的應對之策。

缺點：

「不當使用」偵測方式的入侵偵測系統必須經過手動微調設定以偵測各種不同的攻擊，因此必須經常不斷地更新最新的入侵攻擊方式特徵資料，以便有效地偵測最新的攻擊行為。
大部份「不當使用」偵測方式的入侵偵測系統刻意地縮小入侵攻擊方式特徵的定義範圍，以避免偵測到不同版本的一般攻擊行為。其目的是為了提高偵測的準確率，但卻犧牲了偵測的彈性空間。

2.異常使用偵測方式

「異常使用」偵測方式又可被稱為「政策比對」方式（policy-based）。「異常使用」偵測方式的入侵偵測系統以識別不尋常的主機或網路運作行為的方式來偵測是否有攻擊行為發生。此種方式以觀察攻擊行為不同於一般使用狀態的相異處來進行偵測。通常需事先建立正常使用狀態下的基準線（baseline），再對網路系統上的各種活動進行比對是否有別於一般正常狀態下的使用。很可惜的是因為技術層面上的瓶頸，採用此方式的入侵偵測系統一般來說產生過多的誤判警訊，因為一般的使用者行為及網路上的各項活動是非常難掌握的。另外，研究學者強烈地認為「異常使用」偵測方式的入侵偵測系統將有效地提供偵測未知攻擊方式的能力，有別於「不當使用」偵測方式的入侵偵測系統僅能對已知的攻擊方式做偵測。

優點：

「異常使用」偵測方式的入侵偵測系統以偵測不尋常的行為模式的方式，因此不需要經過特定的微調設定即可偵測到各種不同的攻擊行為，而且也不需要如「不當使用」偵測方式一般，需經常性地更新及維護入侵攻擊模式資料庫。
「異常使用」偵測方式入侵偵測系統所收集的資訊可以提供給「不當使用」偵測方式入侵偵測系統用來作各種入侵攻擊方式特徵的定義。

缺點：