跨国资安合作计划分项子计划4―入侵侦防技术之研发

1,跨國資安合作計畫分項子計畫-入侵偵防技術之研發,李漢銘臺灣科技大學資訊工程系教授,2,大綱,計畫概述研究問題計畫內容預期成果與效益附錄-InterdisciplinaryExperience,3,計畫概述,總計畫摘要計畫摘要人力配置合作對象介紹,4,總計畫摘要,本總計畫主要是以透過國際合作的方式，與美國UCB與CMU共同合作研究與開發資通安全領域最重要與最先進的議題，以期達成培育國內資通安全人才及研發任務導向關鍵技術的目標本總計畫共包含五個分項子計畫，包括資通安全人才培育與任務導向關鍵技術研發兩大類人才培育分項子計畫分項子計畫1-無線感測網路之安全技術與應用分項子計畫2-RFID應用之安全與隱私保護技術之研究分項子計畫3-高安全度遠端身分鑑別技術之研發任務導向關鍵技術研發分項子計畫分項子計畫4-入侵偵防技術之研發分項子計畫5-程式碼/軟體安全檢測系統分項子計畫6-高速網路資訊安全系統與隱私保護管理之研發,5,計畫摘要（入侵偵防技術之研發）,問題說明：網際網路技術的發展造成資訊產業對電腦及網際網路的依賴，提高了相關企業組織遭到普遍性與持續性攻擊的可能性計畫目標：利用先進的機器學習架構自動化的完成入侵偵防的工作研發先進多元事件偵測技術，並應用於高速網路偵防的相關專家系統設計與實作美國CMU向來為機器學習與資通安全研究的國際重鎮，我們除自行研發外，計畫派員前往CMU共同研究先進之入侵偵測與防護技術，並回台進行技術移轉與產學合作,6,計畫摘要（續）,主要研究項目先進入侵偵測技術研發，如偵測未知新病毒或發覺新的攻擊模式等誘捕系統(Honeypot)之研發追蹤攻擊者之技術防禦分散式阻斷攻擊之實用技術IDS的中介表示法(intermediaterepresentation)與狀態協定分析表示法(statefulprotocolanalysisparadigm),7,人力配置,8,CALD為CarnegieMellonUniversity中SchoolofComputerScience之獨立學術單位，CALD之研究領域含蓋，所有以statisticalmachinelearning為基礎之研究，目前CALD之核心研究人員計有20餘位CALD與本計畫之研究最相關之研究如下ConstellationProfiler-2000,合作對象介紹（續）CenterofAutomatedLearningandDiscovery(CALD),9,合作對象介紹（續）CenterofAutomatedLearningandDiscovery(CALD),ConstellationConstellation計畫之重點在於提出一個校正基準(calibratedbenchmark)用來測試異常偵測器(anomalydetectiondetector)。Constellation計畫之主要目標是測定一個異常偵測器(anomalydetectiondetector)於資料空間(dataspace)中在某一定信心水準下之偵測範圍(detectionboundaries)。Profiler-2000目前發展出之入侵(intrusion)、異常(anomaly)、偽裝(masquerade)偵測之技術缺乏一公正客觀方法來量測或預測其表現。Profiler-2000計畫之主要目標是：發展研究特徵(profiling)之基礎技術。發展多種多樣的偵測器(diversesuiteofdetectors)。提供客製化(custom)基準校正(calibrated)之測定平台(testbeds)。提供統計上精確的效能評比。以提高入侵(intrusion)偵測技術之效能。,10,主要合作學者,Dr.Maxion於資訊安全、入侵偵測(intrusiondetection)、異常偵測(anomalydetection)等研究領域有卓越貢獻近來於資訊安全相關之國際會議及期刊如InternationalConferenceonDependableSystems&Networks(DSN)、IEEETransactionsonReliability、InternationalSymposiumonRecentAdvancesinIntrusionDetection(RAID)、InternationalSymposiumonFault-TolerantComputing發表多篇入侵偵測(intrusiondetection)相關研究論文,Dr.TomMitchellFredkinProfessorofAIandLearningDirector,CenterforAutomatedLearningandDiscoverySchoolofComputerScienceCarnegieMellonUniversity,Dr.YimingYangProfessorofLanguageTechnologiesInstituteandCenterforAutomatedLearningandDiscoveryattheSchoolofComputerScienceofCarnegieMellonUniversity,11,研究問題,研究問題背景研究問題重要性入侵偵測系統產品市場現況與趨勢,12,研究問題背景,網際網路資訊連通的普及，亦提高企業組織遭到攻擊的可能性（如：電子商務詐欺、侵犯智慧財產權、入侵電腦破壞或篡改電腦紀錄等）近年來重大網路安全事件層出不窮：SQLSlammerWorm造成美洲與亞洲網路癱瘓(2003)Blast利用Windows漏洞進行散佈，造成全球損失(2003)Mydoom病毒以快速的感染速率(1200封/秒)，造成全球損失(2003)我國刑事局偵九隊破獲木馬惡意攻擊竊密案(已有上百家企業受害)(2004),13,研究問題重要性,由於攻擊事件的增多與影響廣泛，使得入侵偵防系統變成資訊安全必要的一部份入侵偵防系統的重要性可提報威脅示警，證實遭到攻擊了解攻擊的類型與頻率，決定安全控管機制可簡化攻擊威脅之確認與分類報告的管理工作提出明確資訊有助於說服管理階層同意編列足夠的資安預算,14,入侵偵測系統,根據SystemAdministration,NetworkingandSecurity(SANS)入侵偵測定義偵測不適當、不正確或是異常的活動的技術入侵偵測系統(IntrusionDetectionSystem,IDS)可分析通過的封包或日誌檔並與入侵特徵資料庫進行比對，偵測異常並提供警示回報給系統管理者,15,入侵偵測分類（依據資料收集型態）,依據資料收集型態可分為：應用程式導向（Application-based）、主機導向（Host-based）、目標導向（Target-based）、網路導向（Network-based）、整合導向（Integrated-based）資料收集型態會影響到入侵偵測所建置的位置最常部署的入侵偵測系統為網路形入侵偵測系統（Network-basedIDS），簡稱NIDS和主機型入侵偵測系統（Host-basedIDS），簡稱HIDSNIDS佈署於網路入口，監控一個區域網路HIDS建置於重要伺服器或主機上，監控系統上重要檔案、日誌檔、甚至是系統呼叫(SystemCall),16,入侵偵測分類（依據偵測功能）,依照偵測功能可分為：特徵比對偵測、異常偵測、混合偵測模式特徵比對偵測（Signature-basedDetection）又稱不正當行為偵測（MisuseDetection），將偵測到的資料與入侵特徵資料庫進行比對異常偵測（Signature-basedDetection）找出不同於一般正常情況的行為，並判斷此不合常理的行為是否為入侵混合偵測模式（HybridandMixedDetection）結合上述兩種偵測方式,17,入侵偵測分類（依據分析工具）,分析工具大約可以分成六大類：統計分析(StatisticalAnalysis)、類神經網路(NeuralNetwork)、入侵規則(Ruled-basedAnalysis)、貝氏網路(BayesianNetwork)、有限狀態分析(FiniteStateAnalysis)、資料探勘(DataMining)不同的入侵偵測功能需採用適當的偵測方法與分析工具來偵測與處理不同的入侵型態,統計分析,入侵規則,類神經網路,資料探勘,貝氏網路,有限狀態分析,特徵比對偵測,異常偵測,混合偵測模式,18,產品市場現況與趨勢,市場鮮少單獨銷售網路型入侵偵測軟體產品與伺服器型的入侵偵測產品由於虛警率過高及無法即時反映入侵警訊入侵偵測產品整合進防火牆硬體設備或是其他網管系統中，作為整合性的銷售主機型的入侵偵測產品，由於近年的網路效應的迅速發燒，也迫使作業系統廠商(如HP-Unix、MicrosoftWindows)必須在作業系統中具備此一功能入侵偵測系統(IntrusionDetectSystem)正逐漸轉變為入侵防禦系統(IntrusionPreventionSystem),19,產品市場,SymantecNetworkSecurity,IBMTivoliIntrusionManager,HPIDS/9000,OpenSourceSnortS/9000,市面上常見的軟體系統廠商銷售之整合性入侵偵測防禦系統,類似一個資安情報收集器，可以結合附件模組中的HIDS及NIDS模組資訊做出整合性的判斷,可處理混合式威脅侵害並可搭配SymantecNetworkSecurity系列入侵預防硬體裝置,為伺服器型的入侵偵測系統，在主機上監控的資料源來自三個方面：作業系統安全元件產生的內核審計資料、系統日誌檔與Web伺服器或其他應用伺服器日誌,Snort的運作主要是以Rule-based的規則來過濾封包，一但封包符合所定義的攻擊規則，就會被定義為攻擊而立刻報告出來，缺點是必須時常更新Ruleset與設定檔中所載入的Ruleset,20,計畫內容,第一年計畫內容第二年計畫內容第三年計畫內容,21,計畫內容(第一年),首先將建置HoneyPot作為資料蒐集及分析駭客行為的基礎架構：HoneyPot安裝於重要的網路上，引誘潛在攻擊者，以使他們遠離其它的網路系統。設計此系統優點在於大量減少分析數據，降低查明入侵者運算的困難度HoneyPot並非取代現有的各種安全技術，而是將它視為網路型及主機型入侵偵測的輔助技術接著發展以機器學習/統計理論為架構的入侵偵防核心技術：我們將提出一個階層式的網路型入偵測架構，並擬使用單類別支撐向量機(One-classsupportvectormachine)與平滑支撐向量機(SmoothSVM)做為這個入侵偵測架構的核心技術對於評估方面，初步我們將使用1999KDD比賽的資料集來測試系統的效能，之後陸續引用其他相關的資料集,22,計畫內容(續)(第一年),收集、整合、驗證並最佳化目前已存在的IDS規則，並設計一個中介表示法(intermediaterepresentation)，再將這些收集到的規則轉換成適合我們所提出的狀態協定分析表示法(statefulprotocolanalysisparadigm)設計適合高速網路即時偵防的適當的軟硬體實作架構(例如FPGAhousinganembeddedprocessorcoreplatform)、系統設計、資料結構與演算法開始雛形系統的實作,23,計畫內容(第二年),持續發展Heuristicbased及Patternbased等偵防核心技術，並進一步提出一套評量入侵偵測系統良窳的機制對各種IDS進行經常性的評估，可以及時瞭解技術發展的現狀和系統的缺陷，從而將講究重點放在關鍵的技術問題上，減少系統資源的不足，提高系統的性能一般評價IDS的三項因素：準確性(Accuracy)，處理效能(Performance)，和完備性(Completeness)本計畫在前二年規劃建立一IDS的測試平台Testbed，著重在研究各種攻擊、防禦、使用NetworkSimulator軟體(NS-2)來模擬DDoS攻擊的特性同時進行網路監控與流量管制技術的研究，並特別關注在遭受DDoS攻擊下的情況，並探索不同作業平台(Windows、Linux)及不同伺服器(WebServer、E-MailServer)的安全性主題，並搭配數種不同的測試場景進行測試,24,計畫內容(續)(第二年),將模式比對(patternmatching)功能實作在硬體上，而邏輯運算部分則以軟體實作在通用處理器(general-purposeprocessor)上執行，以實現我們所設計的高速網路即時偵防IDS專家系統核心技術搭配FPGA硬、軟體設計已達到高速網路的即時偵防的需求,25,計畫內容(第三年),持續改良建構之系統：已有研究結果顯示，組合式的IDS由於可以結合較多的資訊而減少falsealarms(falsepositives)和missedalarms(falsenegatives)的次數，因而降低誤判率利用不同評估方式持續進行測試，得到更符合實際需求的架構不同系統適應性的研究：依照實際電腦系統或網路功能上的不同情形，設計出適合此系統的IDS架構。此研究有助於成功的將所發展的系統作產業的技術移轉發表成果於國內外研討會與期刊。另外實作的系統將推廣於國內產業界，進行技術移轉與產學合作並利用產學合作的經驗完成下一代的入侵偵防完整架構,26,計畫內容(續)(第三年),持續發展高速網路即時偵防等核心技術，建立高速網路即時偵防開發平台評量、測試雛形系統