目錄 - ç ”ç©¶ç™¼å±•è™• - 稻江科技暨管理學院

稻 江 學 報 第 五 卷 第 一 期
表 1 不 當 行 為 偵 測 與 異 常 行 為 偵 測 的 優 缺 點 :
偵 測 模 式 不 當 行 為 偵 測 異 常 行 為 偵 測
優 點 1. 有 效 率 、 誤 判 率 低 。
2. 偵 測 快 且 準 確 。
1. 不 需 特 定 設 定 可 偵 測 到 不 同 攻 擊 。
2. 收 集 的 資 訊 可 由 「 不 當 行 為 偵 測 」
系 統 作 為 攻 擊 特 徵 定 義 。
缺 點 1. 必 須 手 動 設 定 以 偵 測 新 型 攻 擊 。
2. 雖 然 偵 測 準 確 率 高 , 卻 犧 牲 了 偵 測
的 彈 性 空 間 。
1. 誤 判 率 高 。
2. 需 要 大 量 記 錄 , 才 能 描 述 正 常 行 為
特 徵 。
本 研 究 整 理
2.2.2 依 資 料 來 源 分 類
(1) 主 機 端 入 侵 偵 測 系 統 (Host-IDS,H-IDS)
主 要 是 靠 紀 錄 並 分 析 在 電 腦 主 機 上 的 各 項 活 動 程 序 , 以 偵 測 是 否 有 不 適 當 的 存 取 行 為 , 並 藉 由
此 種 分 析 方 式 , 判 斷 該 主 機 上 某 個 特 定 的 處 理 程 序 或 使 用 者 是 否 正 在 進 行 可 疑 的 攻 擊 行 為 。 若 以 網
路 的 OSI 七 層 架 構 而 言 , 主 機 端 入 侵 偵 測 系 統 所 監 控 的 是 高 層 的 資 料 , 因 此 主 機 端 入 侵 偵 測 系 統 所
能 紀 錄 的 不 僅 是 系 統 檔 案 與 特 定 行 為 , 甚 至 連 系 統 的 登 入 、 登 出 動 作 與 作 業 系 統 相 關 的 應 用 系 統 動
作 都 可 以 詳 細 的 加 以 記 錄 。
主 機 端 入 侵 偵 測 系 統 大 多 安 裝 於 伺 服 器 上 , 以 協 助 作 為 網 路 與 伺 服 器 間 之 通 道 做 好 把 關 的 動
作 , 當 然 也 適 用 於 資 料 封 包 交 換 頻 繁 的 網 路 伺 服 器 上 。 但 主 機 端 入 侵 偵 測 系 統 的 嚴 密 把 關 , 往 往 會
影 響 到 網 路 效 能 , 同 時 對 一 個 具 有 多 部 網 路 主 機 的 組 織 , 所 產 生 的 困 擾 就 是 每 一 部 主 機 上 都 必 須 要
安 裝 主 機 端 入 侵 偵 測 系 統 。 對 於 需 要 高 網 路 效 能 但 管 理 人 力 不 足 的 組 織 而 言 , 這 是 必 須 要 預 先 納 入
考 量 的 因 素 。
(2) 網 路 端 入 侵 偵 測 系 統 (Network-IDS,N-IDS)
紀 錄 並 分 析 網 路 封 包 的 方 式 來 偵 測 入 侵 行 為 , 其 系 統 主 要 建 置 在 網 路 的 骨 幹 上 ( 通 常 是 在 對 外 網
際 網 路 與 內 部 網 路 之 間 )。
網 路 端 入 侵 偵 測 系 統 通 常 包 含 一 組 用 於 監 聽 並 紀 錄 網 路 封 包 的 監 聽 裝 置 , 之 後 再 將 所 偵 測 到 疑
似 攻 擊 的 封 包 回 報 到 獨 立 的 管 理 控 制 台 中 , 因 此 與 主 機 端 入 侵 偵 測 系 統 相 較 之 下 , 網 路 端 入 侵 偵 測
系 統 對 於 網 路 流 量 的 影 響 明 顯 較 低 。 除 此 之 外 由 於 大 多 數 的 網 路 端 IDS 都 可 以 處 在 隱 形 模 式 下 運
作 , 所 以 對 有 意 破 壞 的 攻 擊 者 而 言 , 要 察 知 入 侵 偵 測 系 統 的 存 在 以 及 所 配 置 的 位 置 並 不 容 易 。 但 另
一 方 面 , 由 於 網 路 端 入 侵 偵 測 系 統 屬 於 被 動 的 網 路 監 視 系 統 , 因 此 較 有 可 能 被 以 偽 裝 形 態 的 方 式 入
侵 。
135