目錄 - ç ”ç©¶ç™¼å±•è™• - 稻江科技暨管理學院

稻 江 學 報 第 五 卷 第 一 期
案 ; 有 鑑 於 此 , 本 研 究 以 低 成 本 且 實 用 性 高 為 原 則 , 建 構 入 侵 偵 測 系 統 , 來 扼 止 網 路 上 的 惡 意 行 為 。
網 路 安 全 的 活 動 中 主 要 分 為 四 項 : 嚇 阻 、 預 防 、 偵 測 、 回 復 ,「 偵 測 」 是 本 研 究 主 要 的 研 究 方 向 。 我 們 將
使 用 Snort 這 個 Open Source 的 免 費 平 台 , 做 為 我 們 的 開 發 工 具 , 針 對 目 前 較 新 的 攻 擊 手 法 , 編 寫 攻 擊 特 徵 資
料 庫 , 運 用 Snort 語 言 撰 寫 入 侵 偵 測 的 核 心 程 式 , 實 務 建 構 一 個 可 行 性 高 、 成 本 低 廉 , 中 小 企 業 及 個 人 都 可 以
很 容 易 取 得 使 用 的 入 侵 偵 測 系 統 , 在 惡 意 行 為 入 侵 時 , 發 揮 預 警 功 效 。
貳 、 文 獻 探 討
2.1 入 侵 偵 測 系 統 之 定 義
入 侵 偵 測 系 統 (IDS), 它 是 一 種 對 潛 在 的 入 侵 行 為 做 出 紀 錄 、 預 測 的 智 慧 化 、 自 動 化 軟 體 或 硬 體 系 統 。
Denning 在 1987 年 所 發 表 的 論 文 中 , 首 先 對 入 侵 偵 測 系 統 模 式 做 出 定 義 : 一 般 而 言 , 入 侵 偵 測 系 統 主 要 透 過
網 路 封 包 或 稽 核 資 訊 的 收 集 , 偵 測 可 能 的 入 侵 行 為 , 並 且 在 入 侵 行 為 造 成 危 害 前 , 即 時 發 出 警 訊 通 知 系 統 管
理 者 並 進 行 相 關 反 應 措 施 。
2.2 入 侵 偵 測 系 統 之 分 類
入 侵 偵 測 系 統 可 以 按 照 所 使 用 的 網 路 偵 測 模 式 之 不 同 , 歸 類 為 不 當 行 為 偵 測 (misuse detection)、 異 常 行 為
偵 測 (anomaly detection) 與 混 合 模 式 偵 測 (mixed and hybrid mode detection) 等 三 大 類 , 林 世 杰 (2003)。
實 際 應 用 上 , 入 侵 偵 測 系 統 大 多 以 「 資 料 來 源 」 進 行 分 類 , 一 般 來 說 可 以 分 為 主 機 端 入 侵 偵 測 (Host-IDS;
H-IDS) 與 網 路 端 入 侵 偵 測 (Network-IDS;N-IDS) 兩 類 。
2.2.1 依 偵 測 模 式 分 類
(1) 不 當 行 為 偵 測 (misuse detection)
入 侵 偵 測 系 統 本 身 會 利 用 已 知 的 事 件 建 立 各 種 攻 擊 模 式 , 判 定 網 路 中 的 行 為 是 否 具 有 侵 略 性 。
此 種 方 法 較 不 容 易 發 生 誤 判 , 但 缺 點 是 偵 測 率 不 高 。 而 且 當 正 在 進 行 中 的 攻 擊 行 為 沒 有 被 建 立 在 攻
擊 模 式 資 料 庫 中 時 , 系 統 無 法 自 動 判 斷 此 類 攻 擊 。
(2) 異 常 行 為 偵 測 (anomaly detection)
在 系 統 中 建 立 正 常 行 為 模 式 資 料 庫 , 並 且 將 所 偵 測 到 的 網 路 活 動 與 正 常 行 為 模 式 進 行 比 較 , 當
偵 測 到 兩 者 間 差 異 很 大 時 即 視 為 異 常 行 為 。 此 種 方 法 偵 測 率 高 , 但 缺 點 是 誤 判 率 也 高 , 很 容 易 將 正
常 行 為 誤 判 為 攻 擊 事 件 。
(3) 混 合 模 式 偵 測 (mixed and hybrid mode detection)
混 合 模 式 偵 測 是 將 不 當 行 為 偵 測 和 異 常 行 為 偵 測 兩 種 方 式 混 合 使 用 , 並 針 對 兩 者 的 缺 陷 產 生 互
補 作 用 , 以 達 成 高 偵 測 率 與 低 誤 判 率 的 目 標 , 但 此 種 方 式 的 偵 測 效 能 , 仍 依 實 際 設 定 方 式 不 同 而 有
所 差 異 。
134