入 侵 偵 測 與 預 防 系 統 簡 介 與 應 用 蕭 翔 之 講 師 BS 7799 LA
課 程 大 綱 第 一 章 認 識 入 侵 偵 測 與 預 防 系 統 第 二 章 入 侵 偵 測 與 預 防 系 統 的 功 能 分 類 偵 測 技 術 第 三 章 入 侵 偵 測 與 預 防 系 統 部 署 架 構 第 四 章 入 侵 偵 測 與 預 防 系 統 的 應 用 效 益 第 五 章 結 論
第 一 章 認 識 入 侵 偵 測 與 預 防 系 統 1-1 認 識 入 侵 偵 測 與 預 防 系 統 1-2 入 侵 偵 測 與 預 防 系 統 的 區 別
1-1 認 識 入 侵 偵 測 與 預 防 系 統
入 侵 偵 測 系 統 (IDS) 入 侵 偵 測 (IDS, Intrusion Detection System) 是 指 通 過 對 行 為 安 全 日 誌 或 稽 核 資 料 或 其 他 網 路 上 可 以 獲 得 的 資 訊, 進 行 研 判 比 對, 然 後 檢 測 出 資 料 庫 中 入 侵 系 統 的 異 常 行 為 或 侵 入 的 企 圖, 進 行 入 侵 偵 測 的 軟 體 與 硬 體 的 組 合 便 是 入 侵 偵 測 系 統
常 見 來 自 網 路 上 的 安 全 威 脅 駭 客 工 具 破 壞 公 物 者 Dos 攻 擊 機 密 資 料 頻 寬 管 理 政 府 機 關 垃 圾 信 Spam 安 全 驗 證 漏 洞 病 毒 特 洛 伊 木 馬 網 路 蠕 蟲
新 的 攻 擊 趨 勢 : 複 合 型 攻 擊 手 法 網 路 蠕 蟲 (Worm) 後 門 (Backdoor) 特 洛 依 木 馬 (Trojan) 病 毒 (Virus) 緩 衝 區 溢 位 (Buffer Overflow) 分 散 式 阻 絕 攻 擊 (DDoS)
入 侵 偵 測 與 預 防 系 統 入 侵 偵 測 與 預 防 系 統 具 監 測 及 防 禦 的 雙 重 功 能, 可 即 時 偵 測 到 攻 擊 事 件 的 發 生, 依 照 管 理 人 員 的 設 定, 中 止 或 阻 絕 入 侵 行 為, 包 括 自 動 攔 截 棄 置 攻 擊 封 包, 並 依 據 設 定, 留 下 攻 擊 的 記 錄 及 通 知 管 理 者 等 連 續 的 應 變 措 施
1-2 入 侵 偵 測 系 統 與 入 侵 預 防 系 統 的 區 別
入 侵 偵 測 系 統 (IDS) 根 據 SANS(System Administration, Networking and Security) 組 織 對 入 侵 偵 測 (Intrusion Detection) 的 定 義 為 : 偵 測 不 適 當 不 正 確 或 是 異 常 的 活 動 的 技 術 不 論 任 何 系 統 或 網 路 設 備, 或 多 或 少 都 有 弱 點 存 在, 只 要 有 人 針 對 弱 點 撰 寫 成 攻 擊 程 式, 或 公 告 於 網 路, 就 容 易 成 為 有 心 人 進 行 惡 意 入 侵 的 工 具 例 :open Source 的 Network Based IDS(snort)
入 侵 偵 測 系 統 (IDS) 的 特 性 歸 納 : 消 極 靜 態 的 守 候, 著 重 事 後 的 判 斷 及 處 理 偵 測 不 正 常 之 外 部 入 侵 行 為 監 測 內 部 使 用 者 的 異 常 行 為 外 部 在 線 式 IDS 防 火 牆 內 部 在 線 式 IDS 留 下 稽 核 記 錄 留 下 稽 核 記 錄
入 侵 偵 測 系 統 (IDS ) 的 限 制 : 網 路 監 控 並 提 供 記 錄 以 供 審 核 及 事 後 追 蹤 過 多 的 漏 報 及 誤 報 無 法 即 時 防 禦 監 聽 模 式 (sniffer mode) TCP Reset: 透 過 防 火 牆 修 改 規 則 的 方 式 回 應 能 力 有 限 偽 造 IP 位 址 不 提 供 其 他 協 定 的 回 應 處 理 Slammer UDP 1434 處 理 封 包 之 性 能 有 待 加 強 software
IDS 只 能 監 看 紀 錄 攻 擊 端 IDS 防 火 牆 被 攻 擊 端
入 侵 預 防 系 統 (IPS) 入 侵 預 防 系 統 (IPS, Intrusion Prevention System) 為 IDS 延 伸 及 功 能 增 強 的 產 品 關 鍵 差 異 : 主 動 防 禦 及 採 在 線 式 (in-line mode) 即 時 偵 測 發 揮 主 動 防 禦 功 能 線 速 運 行 (wire-line speed) 多 重 回 應 能 力 : 剔 除 封 包 中 止 連 線 郵 件 警 示 交 易 記 錄 IPS 常 被 當 作 安 全 檢 查 哨, 封 包 會 先 在 閘 道 接 受 基 本 的 過 濾,IPS 並 不 會 逐 一 檢 查 每 個 潛 在 的 安 全 威 脅, 而 是 尋 找 已 知 的 問 題 與 明 顯 可 疑 的 行 徑
入 侵 預 防 系 統 (IPS) 的 特 性 歸 納 : 較 積 極 閘 道 樞 紐 處 的 守 候 方 式, 著 重 事 件 發 生 的 判 斷 預 警 和 及 時 處 理 防 火 牆 被 攻 擊 端 攻 擊 端 IPS 採 用 在 線 式 (in-line mode), 於 第 一 時 間 阻 絕 攻 擊 封 包
入 侵 預 防 系 統 (IPS) 的 缺 點 傳 統 性 的 入 侵 偵 測 系 統 採 用 監 聽 方 式, 無 法 有 效 阻 擋 攻 擊 入 侵 使 用 艱 澀 難 懂 的 技 術 語 言, 維 護 困 難 建 置 成 本 過 高 誤 判 率 太 高, 經 常 收 到 錯 誤 訊 息
IDS 與 IPS 之 比 較 防 禦 方 式 防 禦 動 作 入 侵 偵 測 系 統 (IDS) 被 動 監 聽 Passive sniffer mode 通 知 防 火 牆 TCP reset 中 斷 連 線 入 侵 預 防 系 統 (IPS) 主 動 防 禦 Active in-line mode 丟 棄 惡 意 封 包 中 斷 連 線
第 二 章 入 侵 偵 測 與 預 防 系 統 功 能 分 類 偵 測 技 術 2-1 入 侵 偵 測 與 預 防 系 統 功 能 2-2 偵 測 技 術 - 特 徵 比 對 異 常 行 為 偵 測 2-3 入 侵 偵 測 與 預 防 系 統 系 統 評 估 與 考 量
2-1 入 侵 偵 測 與 預 防 系 統 功 能
網 路 蠕 蟲 防 護 的 演 進 病 毒 垃 圾 信 件 防 火 牆 政 府 機 關
防 火 牆 的 防 護 有 詳 細 的 日 誌 (log) 欄 位 只 能 監 看 已 發 生 過 的 歷 史 事 件 似 中 古 時 代 的 城 牆 及 戰 壕 缺 點 : 若 敵 人 來 自 空 中, 防 火 牆 就 毫 無 用 武 之 地
為 爭 取 時 效 及 彈 性 不 合 法 存 取 網 路 蠕 蟲 合 法 存 取
入 侵 偵 測 與 預 防 系 統 的 功 能 資 料 收 集 過 濾 出 可 疑 的 資 料 分 析 可 疑 的 資 料 內 容 回 報 及 應 變 的 機 制
防 火 牆 與 入 侵 預 防 系 統 的 架 構 差 異 主 要 功 能 控 管 層 級 防 毒 功 能 日 誌 (log) 取 代 性 防 火 牆 資 源 控 管 Layer 4 無 交 易 日 誌 (Traffic Log) 入 侵 預 防 系 統 ( IPS ) 入 侵 預 防 Layer 7 少 部 分 功 能 可 詳 細 檢 測 封 包 內 容 入 侵 預 防 系 統 與 防 火 牆 兩 者 需 相 互 搭 配 以 達 更 佳 的 安 全 性
防 火 牆 的 缺 點 防 火 牆 只 能 抵 檔 外 部 來 的 入 侵 行 為 防 火 牆 本 身 可 能 也 存 在 弱 點, 以 及 其 他 安 全 性 的 設 定 錯 誤 即 使 有 防 火 牆 的 保 護, 合 法 的 使 用 者 仍 可 能 非 法 的 使 用 系 統, 甚 至 提 昇 自 己 的 權 限 防 火 牆 僅 能 拒 絕 非 法 的 連 線 請 求, 但 是 對 於 入 侵 者 的 攻 擊 行 為 仍 一 無 所 知
防 火 牆 的 缺 點 ( 續 ) 易 形 成 網 路 上 的 交 通 瓶 頸 防 火 牆 一 旦 被 攻 破, 入 侵 者 將 可 肆 無 忌 憚 的 為 所 欲 為 無 法 防 止 內 部 網 路 的 使 用 者, 利 用 其 合 法 的 身 分 作 破 壞 系 統 的 行 為 無 法 有 效 阻 止 開 後 門 的 行 為 無 法 有 效 阻 止 有 心 人 士 利 用 原 作 業 系 統 的 漏 洞, 進 行 入 侵 破 壞 行 為
防 火 牆 與 入 侵 預 防 系 統 (IPS) 封 包 資 料 判 讀 能 力 的 差 異 應 用 層 展 示 層 會 議 層 入 侵 偵 測 與 預 防 系 統 傳 輸 層 網 路 層 防 火 牆 資 料 鏈 結 層 實 體 層
防 火 牆 防 火 牆 相 對 於 入 侵 預 防 系 統 (IPS) 本 質 上 之 限 制 連 接 埠 號 (port number)& IP 位 址 判 斷 無 法 阻 檔 SQL Slammer 網 路 蠕 蟲 SQL Server UDP Port 1434 傳 送 大 量 376 bytes UDP 封 包 緩 衝 區 溢 位 (buffer overflow) 攻 擊 方 式
內 容 過 濾 的 重 要 性 防 火 牆 的 職 責 在 於 Internet 進 出 的 存 取 控 制 (AC) 控 管 防 火 牆 放 行 的 服 務 政 策, 例 如 : 病 毒 惡 意 程 式 駭 客 等 防 護, 需 藉 由 內 容 過 濾 的 機 制 來 防 止 一 般 的 防 毒 閘 道 器 入 侵 預 防 系 統 (IPS) 網 頁 URL 與 電 子 郵 件 過 濾 等 產 品, 均 是 用 來 處 理 內 容 過 濾 的 管 控 避 免 病 毒 藉 由 電 子 郵 件 自 企 業 內 傳 出 與 防 止 從 Internet 入 侵 同 樣 重 要 管 理 者 如 何 有 效 控 管 內 容 的 濫 用 及 威 脅, 是 目 前 防 禦 系 統 重 要 的 一 環
2-2 偵 測 技 術 - 特 徵 比 對 異 常 行 為 偵 測
以 資 料 蒐 集 型 態 區 分 網 路 型 IDS(NIDS, Network-Based IDS) 以 分 析 網 路 封 包 為 主 事 先 預 警 主 機 型 IDS(HIDS, Host-Based IDS) 例 :Prelude-open Source 以 分 析 日 誌 (logs) 為 主 事 後 分 析 應 用 型 IDS(Application-Based IDS) 使 用 應 用 程 式 交 易 日 誌 (Application Logs) 較 易 受 攻 擊
根 據 偵 測 方 式 的 不 同 區 分 誤 用 偵 測 (Misuse Detection) 異 常 偵 測 (Anomaly Detection)
誤 用 偵 測 (Misuse Detection) 誤 用 偵 測 是 將 各 種 已 知 的 入 侵 模 式 或 攻 擊 行 為 特 徵 建 成 資 料 庫, 用 來 分 析 比 對 來 源 資 料 是 否 有 這 類 模 式, 若 有, 則 判 斷 其 為 入 侵 這 種 偵 測 方 法 需 要 不 斷 更 新 新 的 入 侵 模 式 採 負 面 表 列 此 種 技 術 通 常 適 合 偵 測 超 級 管 理 者 (root) 權 限 被 入 侵 系 統 日 誌 檔 被 異 動 或 病 毒 碼 程 式 植 入 等 攻 擊 也 會 因 為 正 常 的 行 為 中 有 攻 擊 行 為 特 徵, 而 被 誤 解 為 有 攻 擊 行 為
異 常 偵 測 (Anomaly Detection) 異 常 偵 測 系 統 會 先 建 立 使 用 者 的 正 常 剖 繪 (profile ), 定 義 正 常 的 標 準 值, 若 偵 測 到 某 些 行 為 超 過 該 標 準 值, 則 判 定 有 入 侵 行 為 發 生 採 正 面 表 列, 規 範 網 路 正 常 行 為, 凡 不 在 此 正 常 行 為 範 圍 者, 都 視 為 異 常 常 造 成 誤 判 而 拒 絕 正 常 網 路 連 線
2-3 入 侵 偵 測 與 預 防 系 統 評 估 與 考 量
如 同 防 火 牆, 入 侵 偵 測 與 預 防 系 統 (IDS/IPS) 需 部 署 在 網 路 閘 道 樞 紐 處, 或 重 要 的 網 路 節 點 前 建 議 依 資 產 的 重 要 等 級 進 行 合 宜 的 配 置, 重 要 主 機 可 採 網 路 型 IDS + 主 機 型 IDS IDS/IPS 並 非 萬 靈 丹, 尚 需 適 當 的 協 同 防 護 IDS/IPS 若 設 定 得 當, 能 達 成 有 效 率 的 攔 截 / 阻 卻 的 效 果 閘 道 樞 紐 處
第 三 章 入 侵 偵 測 與 預 防 系 統 部 署 架 構 3-1 入 侵 偵 測 與 預 防 系 統 部 署 介 紹 3-2 入 侵 偵 測 系 統 分 類 - 網 路 型 入 侵 偵 測 系 統 主 機 型 入 侵 偵 測 系 統 應 用 型 入 侵 偵 測 系 統
3-1 入 侵 偵 測 與 預 防 系 統 部 署 介 紹
Internet 防 火 牆 Firewall
入 侵 偵 測 與 預 防 系 統 入 侵 偵 測 與 預 防 系 統 (IDS/IPS), 兼 具 入 侵 偵 測 系 統 (IDS) 及 入 侵 預 防 系 統 (IPS) 兩 大 功 能 入 侵 偵 測 與 預 防 系 統 要 發 揮 功 能, 必 須 要 同 時 具 備 : 深 層 檢 測 (deep packet inspection) 在 線 式 (in-line mode) 即 時 偵 測 (real-time detection) 主 動 防 禦 (proactive revention) 以 及 線 速 運 行 (wire-line speed) 等 五 項 關 鍵 因 素
3-2 入 侵 偵 測 系 統 部 署 分 類 - 網 路 型 入 侵 偵 測 系 統 主 機 型 入 侵 偵 測 系 統 應 用 型 入 侵 偵 測 系 統
網 路 型 入 侵 偵 測 系 統 網 路 型 入 侵 偵 測 系 統 (Network IDS, NIDS) 以 原 始 網 路 封 包 作 為 資 料 來 源, 它 通 常 運 用 網 路 卡 於 雜 亂 模 式 (Promiscuous mode) 來 偵 測 及 分 析 所 有 過 往 的 網 路 通 訊 當 偵 測 到 駭 客 行 為 時,NIDS 可 採 多 種 反 應 方 式 應 對, 各 家 產 品 有 不 同 的 應 對 方 式, 通 常 都 有 提 供 通 知 管 理 者 切 斷 連 線 或 記 錄 入 侵 資 料 作 為 事 後 稽 核 鑑 識 的 證 據 等
NIDS 部 署 位 置 及 運 作 狀 況 防 火 牆 被 攻 擊 端 攻 擊 端 NIDS 直 接 丟 棄 攻 擊 封 包
網 路 型 入 侵 偵 測 系 統 的 優 點 成 本 較 低 可 偵 測 到 主 機 型 入 侵 偵 測 系 統 偵 測 不 到 的 駭 客 消 除 入 侵 證 據 較 困 難 可 偵 測 到 未 成 功 或 惡 意 的 入 侵 攻 擊 與 作 業 系 統 無 關
網 路 型 入 侵 偵 測 系 統 的 缺 點 若 網 路 的 型 態 過 大,NIDS 往 往 會 遺 失 掉 許 多 封 包, 無 法 完 全 監 控 網 路 上 所 有 流 通 的 封 包 數 若 要 擷 取 大 型 網 路 上 的 流 量 並 分 析, 需 要 更 有 效 率 的 CPU 處 理 速 度, 以 及 更 大 的 記 憶 體 空 間 如 果 封 包 是 已 經 加 密 過 的,NIDS 就 無 法 調 查 其 中 的 內 容 NIDS 無 法 偵 測 是 哪 一 個 使 用 者 正 在 使 用 該 主 機
主 機 型 入 侵 偵 測 系 統 主 機 型 入 侵 偵 測 系 統 (HIDS, Host IDS) 只 觀 察 稽 核 系 統 日 誌 檔 是 否 有 惡 意 的 行 為 HIDS 使 用 稽 核 日 誌 檔 技 術 偵 測 反 應 技 術 HIDS 在 Window NT 環 境 下 監 測 系 統 事 件 及 安 全 日 誌 檔 ; 在 UNIX 環 境 下 監 測 系 統 日 誌 防 火 牆 伺 服 主 機 安 裝 HIDS 攻 擊 端
主 機 型 入 侵 偵 測 系 統 ( 續 ) 主 機 型 入 侵 偵 測 系 統 較 常 見 的 是 監 測 重 要 的 系 統 檔 案 或 執 行 檔, 在 正 常 的 時 間 內 是 否 有 不 正 常 行 為 發 生, 以 採 取 適 當 的 反 應 主 機
主 機 型 入 侵 偵 測 系 統 的 優 點 確 定 駭 客 是 否 成 功 入 侵 監 測 特 定 主 機 系 統 的 活 動 補 救 網 路 型 入 侵 偵 測 系 統 錯 失 偵 測 的 入 侵 事 件 較 適 合 有 加 密 及 網 路 交 換 器 (Switch) 的 環 境 即 時 (real time) 的 偵 測 與 反 應 不 需 另 外 增 加 硬 體 設 備
主 機 型 入 侵 偵 測 系 統 的 缺 點 所 有 的 主 機 可 能 安 裝 不 同 的 作 業 平 台, 這 些 作 業 系 統 各 有 不 同 的 稽 核 紀 錄 檔, 因 此 必 須 針 對 不 同 主 機 安 裝 各 種 HIDS HIDS 可 能 失 去 作 用 主 機 阻 絕 攻 擊 (denial of service) 入 侵 者 得 到 系 統 管 理 者 的 權 限
主 機 型 入 侵 偵 測 系 統 的 缺 點 ( 續 ) HIDS 不 能 用 來 監 測 與 掃 描 主 機 所 在 的 整 個 網 域, 因 為 HIDS 僅 能 看 到 經 由 該 主 機 所 接 收 到 的 網 路 封 包 資 訊 當 HIDS 在 監 測 狀 態 時 會 消 耗 被 監 測 主 機 的 系 統 資 源, 可 能 會 影 響 該 主 機 本 身 的 效 能
NIDS 與 HIDS 之 比 較 不 論 哪 種 部 署 型 式, 均 常 使 用 入 侵 比 對 (attack signatures) 方 法, 來 判 斷 是 否 為 駭 客 行 為 主 機
入 侵 偵 測 與 預 警 機 制 方 面 NIDS 會 偵 測 所 有 的 原 始 網 路 封 包 標 頭 檔 (Header) 以 及 使 用 的 指 令 及 語 法, 以 判 別 是 否 為 駭 客 行 為, 所 以 能 在 偵 測 攻 擊 行 為 的 同 時, 就 進 行 反 制 作 為 或 提 早 預 警 HIDS 則 以 檢 查 系 統 日 誌 檔 中 確 實 發 生 的 事 件 ( 包 括 檔 案 存 取 嘗 試 加 入 新 的 執 行 檔 及 嘗 試 使 用 某 特 殊 系 統 服 務 等 ), 比 NIDS 更 精 確 無 誤 的 衡 量 駭 客 是 否 已 經 入 侵 成 功, 屬 於 事 後 分 析
環 境 限 制 方 面 NIDS 可 策 略 性 運 用 來 觀 察 特 定 網 段 或 含 有 多 種 不 同 電 腦 主 機 所 在 的 網 路 通 訊 環 境, 但 不 適 合 有 加 密 及 網 路 交 換 器 (Switch) 的 環 境 HIDS 則 是 安 裝 在 重 要 的 特 定 主 機 上, 所 以 沒 有 上 述 之 限 制
應 用 型 入 侵 偵 測 系 統 應 用 型 入 侵 偵 測 系 統 (Application IDS) 是 主 機 型 入 侵 偵 測 系 統 裏 的 一 特 別 子 集 相 對 於 應 用 程 式 介 面 的 能 力, 應 用 型 入 侵 偵 測 系 統 主 要 分 析 應 用 程 式 裡 的 程 序 或 活 動, 以 及 偵 測 非 授 權 或 非 允 許 之 異 常 存 取 的 可 疑 行 為
第 四 章 入 侵 偵 測 與 預 防 系 統 的 應 用 效 益 4-1 應 變 案 例 與 解 決 方 案 4-2 入 侵 偵 測 與 預 防 系 統 不 同 於 防 火 牆 的 防 護 4-3 入 侵 偵 測 與 預 防 系 統 建 置 步 驟
4-1 應 變 案 例 與 解 決 方 案
應 變 案 例 傳 統 資 訊 人 員 遇 到 攻 擊 封 包, 或 病 毒 於 企 業 內 迅 速 擴 散 時, 未 更 新 的 主 機 不 斷 的 散 佈 攻 擊 封 包, 資 訊 人 員 必 須 與 時 間 競 爭 處 理 方 法 是 : 下 載 漏 洞 修 補 程 式 一 台 台 主 機 及 個 人 電 腦 更 新 升 級 病 毒 碼, 更 新 病 毒 碼 逐 條 處 理 網 路 線 路 壅 塞 暫 時 封 閉 網 段 拔 網 路 線 打 電 話 向 維 修 廠 商 諮 詢 重 點 : 這 些 都 是 事 後 亡 羊 補 牢
解 決 方 案 在 各 個 重 要 閘 道 樞 紐 處 建 置 入 侵 預 防 系 統 在 第 一 時 間 建 立 攔 截 點, 防 止 攻 擊 對 外 散 佈 可 透 過 各 式 分 析 報 表 及 監 控 儀 表, 針 對 各 中 毒 主 機 進 行 修 補 處 理 的 同 時, 網 路 運 行 依 然 正 常
4-2 入 侵 偵 測 與 預 防 系 統 不 同 於 防 火 牆 的 防 護
部 署 架 構 : 將 IPS 置 於 企 業 閘 道 的 入 口 處, 並 切 換 成 在 線 式 (in-line mode) 模 式, 它 便 能 直 接 將 惡 意 的 攻 擊 封 包 丟 棄 但 在 實 務 上,IPS 正 式 上 線 時, 需 要 經 過 一 段 磨 合 期, 方 能 擔 當 起 主 動 式 入 侵 預 防 的 大 任 IPS 需 要 磨 合 期 的 主 要 原 因 : 防 止 IPS 誤 擋 合 法 的 網 路 封 包 讓 IPS 依 據 其 所 在 的 網 路 的 流 量, 調 校 各 項 攻 擊 觸 發 的 上 限 讓 IPS 依 據 其 所 防 護 網 段 的 作 業 環 境, 調 校 所 需 比 對 的 攻 擊 特 徵 項 目
非 等 事 情 發 生 而 是 先 發 制 人 建 議 由 專 人 監 看, 管 理 人 員 需 長 期 對 新 的 攻 擊 有 敏 感 度 管 理 人 員 需 就 效 能 及 效 率 進 行 調 校 在 預 防 系 統 關 閉 時, 網 路 仍 然 需 要 暢 通 圖 型 化 的 報 表 及 良 好 的 人 機 介 面 具 有 集 中 控 管 的 機 制 有 良 好 的 後 勤 更 新 及 支 援
4-3 入 侵 偵 測 與 預 防 系 統 建 置 步 驟
入 侵 偵 測 與 預 防 系 統 建 置 步 驟 第 一 階 段 :IPS 以 監 看 方 式 運 作 第 二 階 段 :IPS 以 在 線 式 運 作, 僅 偵 測, 不 防 禦 第 三 階 段 :IPS 以 在 線 式 運 作, 全 面 偵 測 全 面 防 禦 優 點 : 更 為 嚴 謹 保 守, 並 可 減 少 IPS 誤 擋 正 常 封 包 的 機 會 缺 點 : 需 要 更 多 的 時 間 才 能 完 成 IPS 的 部 署 建 置 工 作, 若 網 路 的 環 境 十 分 複 雜 時, 磨 合 期 會 更 久
第 五 章 結 論
課 程 回 顧 第 一 章 認 識 入 侵 偵 測 與 預 防 系 統 第 二 章 瞭 解 入 侵 偵 測 與 預 防 系 統 的 功 能 分 類 及 相 關 的 技 術 第 三 章 瞭 解 入 侵 偵 測 與 預 防 系 統 的 部 署 時, 如 何 能 收 到 事 半 功 倍 的 效 果 在 第 四 章 瞭 解 入 侵 偵 測 與 預 防 系 統 的 綜 合 應 用 效 益
課 程 總 結 入 侵 偵 測 與 預 防 系 統, 需 要 經 常 關 心 及 調 校, 遇 到 新 的 攻 擊 手 法, 必 須 進 行 完 整 的 更 新 木 桶 理 論 管 理 人 員 應 有 膽 大 心 細 的 防 護 應 變 及 整 體 面 成 效 面 的 思 維 安 全 是 持 續 進 行 的 行 為, 並 非 是 產 品 防 護 在 於 持 續 不 斷 的 內 部 教 育 訓 練 防 護 人 員 的 充 實 新 知 入 侵 偵 測 與 預 防 系 統 及 企 業 現 有 的 資 安 防 護 協 同 合 作
參 考 資 料 參 考 網 頁 : http://www.snort.org/ http://www.prelude-ids.org/ http://www.cisco.com http://www.broadweb.com.tw/
課 程 結 束