Faculty of Information Technology Page
IT346 Information System Security
Week 7-2: IDS/IPS (2)
āļ.āļāļāļĐāļĻāļāļ āđāļāđāļāļ
1
Faculty of Information Technology Page
āļāļēāļĢāđāļāļĄāļāļāļĄāļāļāļāļĢāļēāļĒāļāļēāļāđāļāļĒ IDS
Scanning Attack
Denial of Service Attacks
Penetration Attacks
Remote vs. Local Attacks
2
Faculty of Information Technology Page
Scanning Attack
Scanning attack āđāļāļ āļāļēāļĢāļāļāļŠāļāļāļ§āļēāđāļāļāļēāļāļāļ°āđāļĢāđāļāļāļēāļ āļāļāļ āļēāđāļāđāļāļĒāļāļēāļĢ
āļŠāļāđāļāļāđāļāļāļāļĢāļ°āđāļ āļāļāļēāļāđ āđāļāļĒāļāļĢāļ°āļāļ āđāļāļāļŦāļĒāļāđāļāļ (probing)
âĢ āđāļĄāļ probe packets āļāļāļŠāļāđāļāļāļāļĢāļ°āļāļāđāļāļēāļŦāļĄāļēāļĒ āļĢāļ°āļāļāļāļ°āļ āļēāļāļēāļĢāļāļāļāļāļĨāļ
âĢ āļāļāļĄāļĨāļāđāļāļāļēāļāđāļāļāđāļāļāļāļāļāļāļāļĨāļāļĄāļēāļāļēāļāļāļēāļĢāļŠāđāļāļāļāļ āļāļ°āđāļāđāļāļāļāļāļĄāļĨ
āļŠ āļēāļŦāļĢāļāđāļĢāļĒāļāļĢāļāļāļŠāļĄāļāļāđāļāļāļēāļ°āļāļāļāļĢāļ°āļāļ āđāļĨāļ°āļāļāļāļāļāļŦāļĢāļāļāļāļāđāļŦāļ§
âĢ Scanning attack āđāļāļāļŦāļāļāļēāļāđāļāļāļēāļĢāļĢāļ°āļāđāļŦāļĒāļāļāļāļāļāļēāļĢāđāļāļĄāļ
āļāļĢāļ°āđāļ āļāļāļāļāļāļēāļĢāļŠāđāļāļ
âĢ Network scanners
âĢ Port scanners
âĢ Vulnerability scanners
3
Faculty of Information Technology Page
Scanning Attack
āļāļāļĄāļĨāļāļāļēāļāđāļāļāļēāļāļāļēāļĢāļŠāđāļāļ
âĢ Topology āļāļāļāđāļāļĢāļāļāļēāļĒāļāļāļ°āđāļāļĄāļ
âĢ āļāļĢāļ°āđāļ āļāļāļāļ traffic āļāļāļāļāļēāļāđāļŦ
āļāļēāļ Firewall
âĢ Host āļāđāļāļāđāļāļāļēāļāļāļĒ
âĢ āļāļĢāļ°āđāļ āļāđāļĨāļ°āđāļ§āļāļĢāļāļāļāļāļ OS āļ host āđāļ
âĢ Software āļāļĢāļāļāļ server
âĢ Version āļāļāļ software
4
Faculty of Information Technology Page
Denial of Service Attack
DoS āđāļāļāļāļēāļĢāļāļĒāļēāļĒāļēāļĄāļāļāļ°āļ āļēāđāļŦāļĢāļ°āļāļāļāđāļāļāđāļāļēāļŦāļĄāļēāļĒāļ āļēāļāļēāļāļāļēāļĨāļāļŦāļĢāļ
āļāļāļāļāđāļŦāļāļĢāļāļēāļĢāđāļĄāđāļāđāļĨāļĒ
DoS āđāļāļāļāļāļāđāļāđāļāļ 2 āļāļĢāļ°āđāļ āļ
âĢ āļāļēāļĢāđāļāļĄāļāļāļāļāđāļŦāļ§
(Flaw Exploitation DoS Attack)
âĢ āļāļēāļĢāđāļāļĄāļāđāļāļāļāļĨāļāļāļ
(Flooding DoS Attack)
5
Faculty of Information Technology Page
Flaw Exploitation DoS Attack
āđāļāļāļāļēāļĢāđāļāļĄāļāļāļāļāđāļŦāļ§āļāļāļāļĢāļ°āļāļ āđāļāļāđāļŦāđāļāļāļāļāļāļāļāļĨāļēāļ āļŦāļĢāļāļ āļēāđāļŦ
resource āļāļāļāļĢāļ°āļāļāļāļāđāļāļāļēāļāļāļāļŦāļĄāļ āļāļ§āļāļĒāļēāļāđāļāļ
âĢ Ping of Death āđāļāļāļāļēāļĢāļāļāļāļŠāļāđāļāļāđāļāļāļāļāļēāļāđāļŦāļāļĄāļēāļāđāļāļĒāļāļĢāļ°āļāļāļāđāļāļ
āļ§āļāđāļāļ§āļŠāļāļēāļāđāļ§āļāļĢāļāļ āļ āļēāđāļŦāļĢāļ°āļāļāļāļāļāđāļāļĄāļāđāļĄāļŠāļēāļĄāļēāļĢāļāļāļāļāļēāļĢāļāļāđāļāļāđāļāļāļ
āļāļāļāļāļāđāļ āļ āļēāđāļŦāļĢāļ°āļāļāļĨāļĄāđāļāļāļŠāļ
āļāļĨāļāļāļāļāļēāļĢāđāļāļĄāļāļāļ āļ āļēāđāļŦ resource āļāļāļāļĢāļ°āļāļāļāļāđāļāļāļēāļāļŦāļĄāļāđāļ
Resource āļāļēāļāļŦāļĄāļēāļĒāļāļ CPU, memory, hard drive, buffer, bandwidth
āļ§āļāļāļēāļĢāļāļāļāļāļāļāļ āļāļēāļĢāļāļāļāļāļāđāļŦāļ§āļŦāļĢāļāļāļāđāļāļĢāļāļāļāļāļāđāļ§āļĢ
6
Faculty of Information Technology Page
Flooding DoS Attack
āđāļāļāļāļēāļĢāđāļāļĄāļāđāļāļĒāļāļēāļĢāļŠāļāļāļāļĄāļĨāđāļāļĒāļāļĢāļ°āļāļāļŦāļĢāļāļŠāļ§āļāļāļāļāļĢāļ°āļāļāđāļāļāļāļ§āļēāļ
āļĢāļ°āļāļāļāļ°āļĢāļāđāļŦāļ§ āļāļēāļāļāļĢāļ āļāļāļāļĢāļāđāļĄāļŠāļēāļĄāļēāļĢāļāļŠāļāļāļāļĄāļĨāđāļāļāļāļ§āļēāļāļĢāļ°āļāļāļāļ°āļĢāļ
āđāļ āđāļāļāļēāļāđāļāđāļāļāļāļ§āļāļāļāļāļāđāļāļĢāļāļāļēāļĒāļāļāļŦāļĄāļāđāļ āļ āļēāđāļŦāļāđāļāļāļāđāļĄāļŠāļēāļĄāļēāļĢāļ
āđāļāđāļ
āļāļēāļĢāđāļāļĄāļāđāļāļāđāļĒāļāļāļĢāļ°āļāļēāļĒ (Distributed DoS)
âĢ āđāļāļāļāļāđāļāļāļāļāļ DoS āļŦāļĄāļēāļĒāļāļ
āļāļēāļĢāđāļāļĄāļāļāļāđāļāļĄāļāļāļāđāļāļāļāļĄāļāļ§āđāļāļāļĢ
āļŦāļĨāļēāļĒāđ āđāļāļĢāļāļ āđāļāļāļēāļĢāđāļāļĄāļāđāļāļēāļŦāļĄāļēāļĒāđāļāļĒāļ§
āđāļāļĒāļāļāļĄāļāļ§āđāļāļāļĢāļāđāļāđāļāļĄāļāļāļāļāļ°āļāļ
āļāļ§āļāļāļĄāļāļēāļāļĻāļāļĒāļāļĨāļēāļ āđāļāļĒāļĄ
āđāļāļĢāļāļāļāļāļĄāļāļ§āđāļāļāļĢāļāļāļāļāļāļāļĢāļ
āđāļāļāđāļāļĢāļāļāļāļ§āļāļāļĄ
7
Faculty of Information Technology Page
Penetration Attacks
āļāđāļāļĄāļāļŠāļēāļĄāļēāļĢāļāđāļāļēāļĄāļēāđāļāļĢāļ°āļāļ āđāļĨāļ°āļāļ§āļāļāļĄāļĢāļ°āļāļāđāļāđāļāļĒāļāđāļĄāđāļāļĢāļāļāļāļāļēāļ
āđāļāļ āļŠāļēāļĄāļēāļĢāļāđāļāļĨāļĒāļāđāļāļĨāļāļŠāļāļāļāļēāļĢāđāļāļāļēāļ resource āđāļĨāļ° āļāļāļĄāļĨāļāļēāļĢāļāļāļāļē
āļāļāļĄāļĨāļŠāļāļēāļāļ° āđāļĨāļ°āļāļāļĄāļĨāļāļāđāļāļāļĒāđāļāļĢāļ°āļāļ
âĢ āđāļāļĒāļŠāļ§āļāđāļŦāļ āļāđāļāļĄāļāđāļāļāļĢāļ°āđāļĒāļāļāļāļēāļāļāļāļāđāļŦāļ§āļāļāļāļĢāļ°āļāļ āļŦāļĢāļāļāļāļāļāļāļĨāļēāļāđāļ
āļāļāļāļāđāļ§āļĢāļāļāļāļĢāļ°āļāļ āļāļāļ āļēāđāļŦāļāđāļāļĄāļāļŠāļēāļĄāļēāļĢāļāđāļāļēāđāļāļāļēāļ āļŦāļĢāļāļāļāļāļāđāļ§āļĢāļŠ
āļŦāļĢāļāļĄāļĨāđāļ§āļĢāļāļĢāļ°āđāļ āļāļāļāđāļāļĢāļ°āļāļāđāļ
āļāļēāļĢāđāļāļĄāļāđāļāļāļāđāļāļāļāļēāļĢāđāļāļĄāļāđāļāļĒāļāļēāļĢāļŦāļĨāļāđāļĨāļĒāļāļŦāļĢāļāļāļēāļāļāļĢāļ°āļāļāļāļ§āļāļāļĄ
āļāļēāļĢāđāļāļēāļāļ āđāļĨāļ°āđāļāļāļāļēāļĢāļ āļēāļĨāļēāļĒāļāļ§āļēāļĄāļāļāļŠāļ āļēāļ (Integrity) āļāļāļāļĢāļ°āļāļ
8
Faculty of Information Technology Page
Remote vs. Local Attacks
āļāļēāļĢāđāļāļĄāļāđāļāļ DoS āđāļĨāļ°āļāļēāļĢāđāļāļĄāļāđāļāļāđāļāļēāļ°āđāļāļēāļĢāļ°āļāļ āļĄāđāļŦāļĨāļāļāļĄāļēāļāļāļāļāļēāļĢ
āđāļāļĄāļ 2 āđāļŦāļĨāļ
âĢ Authorized User Attacks : āđāļāļāļāļēāļāļāļāļāļĨāļ āļēāļĒāđāļ
âĢ Public User Attacks: āđāļāļāļāļēāļāļāļāļāļĨāļ āļēāļĒāļāļāļāļŦāļĢāļāļāđāļāļ āļ§āđāļ
9
Faculty of Information Technology Page
IDS Principles
āļŠāļĄāļĄāļāļ§āļēāļāļĪāļāļāļĢāļĢāļĄāļāļāļāļāļāļāļĢāļ āđāļāļāļāļēāļāļāļēāļāļāļĪāļāļāļĢāļĢāļĄāļāļāļāļāđāļ
āļāļĪāļāļāļĢāļĢāļĄāļāļēāļāđāļāļĒāļ§āļāļēāļāļŠāļ§āļāļāļēāļāļāļāđāļŦāđāļāļāļāļāļŦāļēāđāļ
âĢ False positives: āļāđāļāļāļēāļĄāļŠāļāļāļāļāļĢāļ°āļāđāļāļāļāļāļāļĢāļ
âĢ False negatives:āļāļāļāļĢāļāļāļāļĄāļāļāđāļāļāļāđāļāļāļēāļĄāļŠāļāļ
10
Faculty of Information Technology Page
āļāļēāļĢāđāļāļāđāļāļāļ
āđāļĄāļāļĄāļāļēāļĢāđāļāļāđāļāļāļāļāļēāļāļĢāļ°āļāļ IDS āļāļēāļĢāđāļāļāđāļāļāļāļāļāļāļēāļāļāļāļāļāļāļŦāļĢāļāđāļĄ
āļāļāļāļāļ āļāļāļāļĒāļāļāļāļ§āļēāļĄāđāļĄāļāļĒ āļēāđāļāļāļēāļĢāļāļĢāļ§āļāļāļāļāļāļāļĢāļ°āļāļ
āļāļēāļĢāđāļāļāđāļāļāļāļāļāļāļāļāļ
âĢ True Positive:
āļĄāļāļēāļĢāđāļāļāđāļāļāļāļ§āļēāļĄāļāļēāļĢāļāļāļĢāļāđāļāļāļāļ āđāļĨāļ°āļĄāļāļēāļĢāļāļāļĢāļāđāļāļāļāļāļāļĢāļ
âĢ True Negative:
āđāļĄāļĄāļāļēāļĢāđāļāļāđāļāļāļāļ§āļēāļĄāļāļēāļĢāļāļāļĢāļ āđāļĨāļ°āđāļĄāļĄāļāļēāļĢāļāļāļĢāļāđāļāļāļāļāļāļĢāļ
āļāļēāļĢāđāļāļāđāļāļāļāļāļāļāļāļĨāļēāļ
âĢ False Positive:
āļĄāļāļēāļĢāđāļāļāđāļāļāļāļ§āļēāļĄāļāļēāļĢāļāļāļĢāļāđāļāļāļāļ āđāļāđāļĄāļĄāļāļēāļĢāļāļāļĢāļāđāļāļāļāļ
âĢ False Negative:
āđāļĄāļĄāļāļēāļĢāđāļāļāđāļāļāļāļ§āļēāļĄāļāļēāļĢāļāļāļĢāļ āđāļāļĄāļāļēāļĢāļāļāļĢāļāđāļāļāļāļ
11
Faculty of Information Technology Page
āļāļēāļĢāļ§āđāļāļĢāļēāļ°āļŦāđāļĨāļ°āļāļĢāļ§āļāļāļāļāļēāļĢāļāļāļĢāļ
IDS āļŠāļēāļĄāļēāļĢāļāđāļāļāļāļēāļĄāļŦāļĨāļāđāļāļāļēāļĢāļ§āđāļāļĢāļēāļ°āļŦāđāļāļāļāļĢāļ§āļāļāļāļāļēāļĢāđāļāļĄāļ āđāļāļ
āđāļāđāļāļ 2 āļāļĢāļ°āđāļ āļ
âĢ āļāļēāļĢāļāļĢāļ§āļāļāļāļāļēāļĢāđāļāļāļēāļāđāļāļāļēāļāļāļāļ (Misuse Detection)
âĢ āļāļēāļĢāļāļĢāļ§āļāļāļāđāļŦāļāļāļēāļĢāļāļāļāļāļāļ (Anomaly Detection)
12
Faculty of Information Technology Page
Misuse Detection
āļāļēāļĢāļāļĢāļ§āļāļāļāļāļēāļĢāđāļāļāļēāļāđāļāļāļēāļāļāļāļ (Misuse Detection)
âĢ āļāļēāļĢāļ§āđāļāļĢāļēāļ°āļŦāđāļŦāļāļāļēāļĢāļāļāļēāļāđ āļāđāļāļāļāļāđāļāļĢāļ°āļāļ āđāļāļāļāļāļŦāļēāđāļŦāļāļāļēāļĢāļāļāļāļĢāļāļāļ
āđāļŦāļāļāļēāļĢāļāļāļ āļēāļŦāļāļāđāļ§āļ§āļēāđāļāļāļāļēāļĢāđāļāļĄāļ
âĢ āļāļāļĄāļĨāļāļ āļēāļŦāļāļāļ§āļēāđāļāļāļāļēāļĢāđāļāļĄāļāđāļĢāļĒāļāļ§āļē signature āļāļēāļāļāļ āļēāđāļŦāđāļĢāļĒāļāļāļēāļĢ
āļāļĢāļ§āļāļāļāļ§āļāļāļ§āļē signature-based detection
13
signature Command:
(\x90)+
IDS \x90\x90\x90\x90
ALERT
Faculty of Information Technology Page
āļāļāļāļāļāļ Misuse detection
āđāļāļāļāļēāļĢāļāļĢāļ§āļāļāļāļāļēāļĢāļāļāļĢāļāļāļĄāļāļĢāļ°āļŠāļāļāļ āļēāļ āđāļāļāļāļāļēāļāđāļĄāđāļāļāđāļāļāļāļāļāļ
āļāļāļĒāļāļĢāļāđāļāļāđāļ (False Positive)
āļŠāļēāļĄāļēāļĢāļāļ§āđāļāļĢāļēāļ°āļŦāđāļāļāļēāļĒāļ§āļēāļāļāļāļĢāļāđāļāđāļāļĢāļāļāļĄāļāļāļ°āđāļĢāđāļāļāļēāļĢāļāļāļĢāļ āļ āļēāđāļŦ
āļāļāđāļĨāļĢāļ°āļāļāļŠāļēāļĄāļēāļĢāļāđāļĨāļāļāđāļāđāļāļĢāļāļāļĄāļāđāļāļāđāļāđāļ āļāļāļāļāļ āđāļĨāļ°āļāļāļāđāļāđāļ
āļāļ
āļāļ§āļĒāļ āļēāļāļ§āļĒāļāļ§āļēāļĄāļŠāļ°āļāļ§āļāđāļŦāļāļāļāļāļĢāļŦāļēāļĢāļĢāļ°āļāļāļŠāļēāļĄāļēāļĢāļāļĢāļ°āļāļāļāļŦāļēāļŦāļĢāļ
āļāļāļāļāļāļāļāļāļĢāļ°āļāļ āđāļĨāļ°āđāļĢāļĄāļāļĢāļ°āļāļ§āļāļāļēāļĢāđāļāļāđāļāđāļāđāļĨāļ°āļāļāļāļāļāđāļŦāļāļāļēāļĢāļ
āļāļāļāļĨāļēāļ§ āđāļāļĒāļāļāļāļĢāļŦāļēāļĢāļĢāļ°āļāļāđāļĄāļ āļēāđāļāļāļāļāļāļĄāļāļ§āļēāļĄāļĢāļāļ§āļēāļĄāļ āļēāļāļēāļāļāļēāļāļāļēāļĢ
āļĢāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļĒāļĄāļēāļāļāļ
14
Faculty of Information Technology Page
āļāļāđāļŠāļĒāļāļāļ Misuse detection
āļŠāļēāļĄāļēāļĢāļāļāļĢāļ§āļāļāļāđāļāđāļāļāļēāļ°āļāļēāļĢāļāļāļĢāļāļ IDS āļĢāļāļāđāļāļēāļāļ āļāļāļāļ āđāļāļāđāļŦāļ§āļāļ
āđāļāļāļĨāļāļ āļēāđāļāļāļāļāļāļĄāļāļēāļĢāļāļāđāļāļ signature āđāļāļāļāļĢāļ°āļ āļē
āļŠāļ§āļāđāļŦāļāļāļ°āļāļāļāļāļāđāļāļāđāļŦāļĢāļāļāļāļēāļ signature āļāļāļŦāļāļāļāļēāļĢāđāļāļĄāļāđāļāļēāļāļ
āļāļāđāļāļāļāļēāļĢāļĒāļēāļāļāļāļ°āļāļĢāļ§āļāļāļāļāļēāļĢāđāļāļĄāļāđāļāļĒāļ§āļāļāđāļāļāļ§āļĒāļ§āļāļāđāļāļāļāļēāļ
15
Faculty of Information Technology Page
Anomaly Detection
āđāļāļāļāļēāļĢāļ§āđāļāļĢāļēāļ°āļŦāđāļĨāļ°āļĢāļēāļĒāļāļēāļāļŠāļāļāļāļāļāļāļāļāđāļāļāļāļāļāļāļĢāļ°āļāļāđāļāļĢāļāļāļēāļĒ
āđāļāļ§āļāļāļāļēāļĢāļāļĢāļ§āļāļāļāđāļāļāļāļāļāļāļĒāļāļāļŠāļĄāļĄāļāļāļēāļāļāļ§āļē āļāļēāļĢāđāļāļĄāļāļāļ āļāļēāļĢāļāļĢāļ°āļ āļē
āļāđāļĄāļāļāļ§āļēāđāļāļāļāļēāļĢāļ āļēāļāļēāļāļāļāļ
IDS āļāļ°āļĄāļāļāļĄāļĨāļāļĢāļ°āļāļ§āļēāđāļāļāļāļĪāļāļāļĢāļĢāļĄāļāļāļāļ§āļēāđāļāļāļŠāļāļāļāļāļāļāļ user, host
āđāļĨāļ° traffic āļāļāļāđāļāļĢāļāļāļēāļĒ āļāļāļāļāļĄāļĨāļāļāļ°āđāļāļāļĢāļ§āļāļĢāļ§āļĄāđāļāļāļ§āļāđāļ§āļĨāļēāļāļāļēāļĢāļ āļēāļāļēāļ
āļāļāļāļāļāļāļĢāļ°āļāļāđāļāļĢāļāļāļēāļĒ āđāļĨāļ§ IDS āļāļ°āđāļāđāļāļāļāļāļāļēāļĢāļĄāļāļāđāļāļāļĢāđāļāļāļāļēāļāđ
āđāļāļāļ§āđāļāļĢāļēāļ°āļŦāđāļĨāļ°āđāļĒāļāđāļĒāļ°āļ§āļēāđāļŦāļāļāļēāļĢāļāđāļāļāļāļāļāļāļ
16
Faculty of Information Technology Page
Anomaly Detection
17
Models
IDS GET / HTTP/1.0
Model
(1) Training models
(2) Detect abnormal pattern
Models
IDS Unknown pattern
ALERT
Model
Faculty of Information Technology Page
Anomaly Detection
āđāļāļāļāļāļāļēāļĢāļāļĢāļ§āļāļāļāļŠāļāļāļāļāļāļāļ
âĢ Threshold detection āđāļāļāļāļēāļĢāļāļāļ āļēāļāļ§āļāļāļĢāļāļāļāļāļāļēāļāđāļŦāļāļāļēāļĢāļāļāđāļāļāļāļ āđāļĨāļ°
āđāļāļĢāļĒāļāđāļāļĒāļāļāļāļ āļēāļāļ§āļāļāļāļāļ§āļēāļāļĒāđāļāļĢāļ°āļāļāļāļāļāļ āļāļēāļāļāļēāļāļ°āđāļāļāļāļēāļāļāļāļŦāļĢāļāļāļēāļ
āđāļāļĨāļĒāļāđāļāļĨāļāđāļāđāļāļāđāļŦāđāļŦāļĄāļēāļ°āļŠāļĄāļāļāļĢāļ°āļāļ
âĢ Statistical Measure āļāļ āļāļēāļĢāļ§āļāļāļēāļāļ§āļēāļĄāļāļĢāļ°āļāļēāļĒāļāļāļāļāļāļŠāļĄāļāļāļāļāļ profile
āđāļāļĒāđāļāļĒāļāđāļāļĒāļāļāļāļāļēāļāļāļāļāļ āļēāļŦāļāļāļāļāđāļāļ āļŦāļĢāļāđāļāļĒāļāļāļāļāļēāļāđāļāļ§āļāļāļēāļāđāļāļāļāļ
âĢ Rule-based measure āļāļ āļāļāļĄāļĨāļāđāļāļāļēāļāļāļēāļĢāļŠāļāđāļāļāļāļēāļāđāļŦāļāļāļēāļĢāļāļāļāļ āđāļ
āđāļāļāļāļāļĄāļĨāļāđāļāļāļāļ āđāļĄāđāļāļ āļēāļāļ§āļāļāļ§āđāļĨāļ
âĢ āļāļēāļĢāļ§āļāđāļāļĒāđāļāđāļĄāđāļāļĨāđāļāļāļāļ āđāļāļ neural network, genetic algorithm,
immune system
18
Faculty of Information Technology Page
āļāļāļāļāļāļ Anomaly Detection
āđāļāļāļāļāļāļāļ°āļāļĢāļ§āļāļāļāļāļĪāļāļāļĢāļĢāļĄāļāļāļāļāļāļ āđāļĨāļ°āļŠāļēāļĄāļēāļĢāļāļāļĢāļ§āļāļāļāđāļŦāļāļāļēāļĢāļ
āļāļāļēāļāđāļāļāļāļēāļĢāļāļāļĢāļāđāļāļĒāđāļĄāļāļāļāļĄāļāļ§āļēāļĄāļĢāđāļāļĒāļ§āļāļāļāļēāļĢāđāļāļĄāļāļāļāđ
āļŠāļēāļĄāļēāļĢāļāđāļāļāļāļāļĄāļĨāļāđāļāļŠ āļēāļŦāļĢāļāļŠāļĢāļēāļ signature āļŠ āļēāļŦāļĢāļ IDS āđāļāļ
signature-based detection
19
Faculty of Information Technology Page
āļāļāđāļŠāļĒāļāļāļ Anomaly Detection
āļāļēāļĢāļāļĢāļ§āļāļāļāđāļāļāļāļŠāļ§āļāđāļŦāļāļāļ°āđāļāļāđāļāļāļāļāļāđāļāļāļāļĢāļ°āļ āļē āđāļāļāļāļāļēāļ
āļāļĪāļāļāļĢāļĢāļĄāļāļāļāļāđāļ āļŦāļĢāļāđāļāļĢāļāļāļēāļĒ āļāļēāļāļāđāļĄāļŠāļēāļĄāļēāļĢāļāļāļēāļāđāļāļēāđāļ
āļāļēāļĢāļāļĢāļ§āļāļāļāļ§āļāļāļāļ°āļāļāļāļāļēāļĻāļĒāļāļēāļĢāļĻāļāļĐāļēāļāļĒāļēāļāļĨāļ°āđāļāļĒāļāļāļāļāđāļŦāļāļāļēāļĢāļāļāļēāļāđ
āļāđāļāļāļāļāđāļāđāļāļĢāļāļāļēāļĒāļŦāļĢāļāļĢāļ°āļāļ āđāļāļāļāļāļ°āļŠāļēāļĄāļēāļĢāļāđāļĒāļāđāļĒāļ°āđāļāļ§āļēāđāļŦāļāļāļēāļĢāļ
āđāļāļāļāđāļŦāļāļāļēāļĢāļāļāļāļāļŦāļĢāļāđāļĄāļāļāļ
20
Faculty of Information Technology Page
āļĢāļēāļĒāļāļēāļāļāļēāļĢāđāļāļāđāļāļāļ
āļŠāļ§āļāđāļŦāļ IDS āļāļ°āđāļāļāļĢāļēāļĒāļĨāļ°āđāļāļĒāļāđāļāļĒāļ§āļāļāļāļēāļĢāđāļāļĄāļ āļŦāļĢāļāļŠāļāļāļāļāļāļ āđāļāļĒ
āļŠāļĢāļāđāļāļāļāļāļāļ§āļēāļĄāļŠāļāđ āļ āļēāļĒāđāļ 1 āļāļĢāļĢāļāļ
āļāļāļĄāļĨāļāļĢāļēāļĒāļāļēāļ āļāļēāļāļĄāļāļāļ
âĢ āļ§āļ āđāļ§āļĨāļē
âĢ IP āļāļāļ IDS āļāļĢāļēāļĒāļāļēāļ
âĢ āļāļāļāļāļāļāļēāļĢāđāļāļĄāļ
âĢ Source and destination address
âĢ Source and destination ports
âĢ āļāļāđāļāļĢāđāļāļāļāļĨāļāđāļāļŠ āļēāļŦāļĢāļāļāļēāļĢāđāļāļĄāļ
21
Faculty of Information Technology Page
āļāļēāļĢāļĢāļēāļĒāļāļēāļāđāļāļāđāļāļāļāļ āļĒ
IDS āļāļ°āļĢāļēāļĒāļāļēāļāđāļāļāļēāļ°āļŠāļāļāļ āļēāļŦāļāļāđāļŦāļĢāļēāļĒāļāļēāļāđāļāļēāļāļ
āļŠāļāļāļāļāđāļĨāļāļāļ configure āđāļŦ IDS
âĢ Signature āļāļāļāļāļēāļĢāļāļāļĢāļ
âĢ āđāļŦāļāļāļēāļĢāļāļāļāļāđāļĨāļĢāļ°āļāļāđāļŦāļāļ§āļēāļĄāļŠ āļēāļāļ āļŦāļĢāļāđāļŦāļāļāļēāļĢāļāļāļāļēāļāļ§āļēāļāļ°āđāļāļāļāļĨāđāļāļŠ
āļāļēāļĢāļāļāļĢāļāđāļāļ āļēāļĒāļŦāļāļē
āđāļĄāļ IDS āđāļ configure āđāļĨāļ§ āđāļŦāļāļāļēāļĢāļāļāļĢāļēāļĒāļāļēāļāļāļ°āđāļāļāđāļ
âĢ āļāļēāļĢāļŠ āļēāļĢāļ§āļāđāļāļĢāļāļāļēāļĒ
âĢ āļāļēāļĢāđāļāļĄāļ
âĢ āđāļŦāļāļāļēāļĢāļāļāļāļēāļŠāļāļŠāļĒāļŦāļĢāļāļāļāļāļāļ
22
Faculty of Information Technology Page
āļāļēāļĢāļŠ āļēāļĢāļ§āļāđāļāļĢāļāļāļēāļĒ
IP Scans
Port Scans
Trojan Scans
Vulnerability Scans
File Snooping
23
Faculty of Information Technology Page
āļāļēāļĢāđāļāļĄāļ
āļāļēāļĢāđāļāļĄāļāđāļāļĢāļāļāļēāļĒāļāļ§āļĢāļĄāļāļēāļĢāļĨ āļēāļāļāļāļ§āļēāļĄāļŠ āļēāļāļāļŦāļĢāļāļāļ§āļēāļĄāļĢāļāđāļĢāļ
âĢ āđāļĄāļ IDS āļĢāļēāļĒāļāļēāļāđāļŦāļāļāļēāļĢāļāļāļĄāļāļ§āļēāļĄāļĢāļāđāļĢāļāļŠāļ āļāļāđāļĨāļĢāļ°āļāļāļāļāļāļāļāļāļŠāļāļāļāļāļ
āđāļŦāļāļāļēāļĢāļāļāļāļāļāļ āđāļāļāļāļāļāļāļāļāļ§āļēāļĄāđāļŠāļĒāļŦāļēāļĒāđāļāļĄāļēāļāļāļ§āļēāļ
āđāļŦāļāļāļēāļĢāļāļāļāļāļāļāļāļāļ āđāļĨāļ°āđāļĄāđāļāļāļāļāļĒāđāļāļāļĢāļ°āđāļ āļāļāļāļŠāļāļāļāļāļāļŦāļāļēāļ āļāļ
āļ§āļēāđāļāļāđāļŦāļāļāļēāļĢāļāļāļāļēāļŠāļāļŠāļĒāļ§āļēāļāļēāļāļāļ°āļĄāļāļēāļĢāđāļāļĄāļāđāļāļĢāļāļāļēāļĒāđāļāļāļāļ
24
Faculty of Information Technology Page
āļāļēāļĢāļāļāļāđāļāļāđāļĨāļ°āļāļāļāļ IDS
āļāļēāļĢāļāļāļāļ IDS āļ āļēāđāļāļāļāļāļāļāļĄāļāļēāļĢāļ§āļēāļāđāļāļāļāļĒāļēāļāļĢāļāļāļāļāļ āļāļēāļĢāđāļāļĢāļĒāļĄāļāļēāļĢāļ
āļ āļāļēāļĢāļāļāļĨāļāļāđāļāļāļāļāđāļāļāļēāļ āđāļĨāļ° āļāļēāļĢāļāļāļāļāļĢāļĄāļāļāđāļĨāļĢāļ°āļāļāđāļŦāļĄāļāļ§āļēāļĄ
āļ āļēāļāļēāļ
āļāļāļāļāļāļāļāđāļĨāļ°āđāļāļāļēāļ āļāļ§āļĢāļĄāļāļēāļĢāļŠ āļēāļĢāļ§āļāļāļ§āļēāļĄāļāļāļāļāļēāļĢ āļĻāļāļĐāļēāļ§āļāđāļāļāļēāļĢ
āļāļĢāļ§āļāļāļāļāļēāļĢāļāļāļĢāļ āđāļĨāļ§āļāļāļĒāđāļĨāļāļāļ§āļāļāđāļŦāļĄāļēāļ°āļŠāļĄāļāļāđāļāļĢāļāļŠāļĢāļēāļāđāļāļĢāļāļāļēāļĒ
āļāļāļāļāļāļāļāļĢāđāļĨāļ°āļāđāļĒāļāļēāļĒāļĢāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļĒ
āļāļāļāļāļĢāļāļ§āļĢāđāļĨāļāļāđāļāļāļ host-based āđāļĨāļ° network-based IDS āļĢāļ§āļĄāļāļāļĄ
āļāļēāļĢāđāļ honeypot āļāļ§āļĒ
25
Faculty of Information Technology Page
āļāļēāļĢāđāļāļāļĄāļāļ IDS āđāļāļēāļāļāđāļāļĢāļāļāļēāļĒ
āļĢāļāđāļāļāļāļēāļĢāđāļāļāļĄāļāļ IDS āļāđāļāļāļāļāļĒāļĄ āđāļāđāļ
Port Mirroring
Hub
Taps
26
Faculty of Information Technology Page
Port Mirroring
āļāļāļāļāļāļŠāļ§āļāļāļŠāļ§āļāđāļŦāļāļŠāļēāļĄāļēāļĢāļāļ āļē port mirroring āļŦāļĢāļ spanning port
āļāļ āļāļēāļĢāļāļŠāļ§āļāļāļāļ°āļŠāļāļāļāļāļāđāļāļāđāļāļāļāļĢāļāļāļēāļāļāļāļĢāļāļŦāļāļāđāļāļĒāļāļāļāļāļāļĢāļ
āļŦāļāļ
27
Faculty of Information Technology Page
āļāļāļāļāļāļ Port Mirroring
āļāļēāļĒāļāļāļāļēāļĢāļāļāļāļ āđāļāļāļāļāļēāļ āđāļāļāļĄāļāļ IDS āđāļāļēāļāļāļāļāļĢāļāļāļāļāļŠāļ§āļāļāđāļāļĒāļāđāļĄ
āļāļāļāđāļāļĨāļĒāļāđāļāļĨāļāđāļāļĢāļāļŠāļĢāļēāļāļāļāļāđāļāļĢāļāļāļēāļĒ
āđāļĄāļĄāļāļĨāļāļĢāļ°āļāļāļāļāļāļēāļĢāļĒāļāđāļĨāļ session āđāļĨāļ°āļāļēāļĢ config āđāļāļĢāļ§āļāļĨāļĨ
28
Faculty of Information Technology Page
āļāļāđāļŠāļĒāļāļāļ Port Mirroring
āļ āļē port mirroring āđāļāđāļāļāļāļāļĢāļāļāļāļāļāļĢāļāđāļāļēāļāļ āļāļēāļĢāļ āļē port mirroring
āļāļēāļāļŦāļĨāļēāļĒāđ āļāļāļĢāļāļĄāļēāļāļāļĢāļāđāļāļĒāļ§ āļāļēāļāļ āļēāđāļŦ port mirroring āđāļĄāļŠāļēāļĄāļēāļĢāļ
āļĢāļāļāļĢāļāđāļāļāđāļāļāđāļ
āļāļēāđāļĄāļāļāļ IDS āļāļ§ IDS āļāļēāļāļāļāđāļāļĄāļāđāļāļāđāļ āļāļēāļĢāļāļāļ IDS āļāļ°āđāļāđāļāļāļāļāļ
āđāļĢāļĒāļāļ§āļē Stealth mode
āļāļĢāļ°āļŠāļāļāļ āļēāļāļāļāļāļŠāļ§āļāļāļĨāļāļĨāļ
āđāļāļāđāļāļāļāļ°āļ§āļāļāļēāļāđāļāļĒāļ§ āļāļ āļāļēāļāļāļāļĢāļāļāļāļāļĄāļāļāđāļāļāļĢāđāļāļĒāļāļāļāļĢāļāļāļāļ IDS
āļāļāđāļĄāļŠāļēāļĄāļēāļĢāļāļĒāļāđāļĨāļāđāļāļŠāļāļāđāļ
āļŠāļ§āļāļāļāļ°āļŠāļāđāļāļāļēāļ°āđāļāļāđāļāļāļāļŠāļĄāļāļĢāļāđāļāļēāļāļ āđāļāđāļāļāđāļāļāļāđāļĨāļāļŦāļĢāļāđāļŦāļ
āđāļāļāđāļāļāļēāļāļĄāļāļāļĄāļĨāļāļŠ āļēāļāļāļŠ āļēāļŦāļĢāļāļāļēāļĢāļ§āđāļāļĢāļēāļ°āļŦāļāļēāļĢāļāļāļĢāļāđāļ
āļāļēāļĢāļāļĢāļŦāļēāļĢ IDS āļāļ°āļāļāļāļāļāļāļāļŪāļēāļĢāļāđāļ§āļĢāđāļāļĄāđāļāļĄ
29
Faculty of Information Technology Page
Hub
Hub āļāļ°āļŠāļāļāļāđāļāļāđāļāļāļāđāļāļĢāļ āđāļāļĒāļāļāļāđ āļāļāļĢāļāļāđāļŦāļĨāļ
āđāļāļĒāļāļāļ āļ§āļāļāļāļ°āđāļĄāļāļĒāļĄāđāļ
30
Faculty of Information Technology Page
āļāļāļāļāļāļ Hub
āļāļēāļĒāļāļāļāļēāļĢ config āđāļāļāļāļāļēāļāđāļĄāļāļāļāđāļāļāļ§āļēāļĄāļĢāļāđāļĻāļĐāđāļāļāļēāļĢ config
āļāļēāļĢāļāļĢāļŦāļēāļĢ IDS āļāļēāļāđāļĄāļ āļēāđāļāļāļāļāļāđāļāļŪāļēāļĢāļāđāļ§āļĢāđāļāļĄāđāļāļĄ
āđāļĄāļĄāļāļĨāļāļĢāļ°āļāļāļāļāļāļēāļĢāļĒāļāđāļĨāļ session āđāļĨāļ°āļāļēāļĢ config āđāļāļĢāļ§āļāļĨāļĨ
Hub āļāļāļēāļāđāļĨāļāļĄāļāļĄāļĢāļēāļāļēāļāļ
31
Faculty of Information Technology Page
āļāļāđāļŠāļĒāļāļāļ Hub
āđāļāļāļāļāļēāļāļāļāļŠāļĄāļāļāļāļāļ Hub āđāļĢāļēāđāļĄāļŠāļēāļĄāļēāļĢāļāđāļāļāļēāļĢāđāļāļāļĄāļāļāđāļāļāļāļāļēāļĨāļāļ
āļĢāļ°āļŦāļ§āļēāļ router āļāļ switch āđāļāļāđāļāļ full duplex āļāļēāļĢāđāļ Hub āļāļ°āļ āļēāđāļŦ
āļāļĨāļēāļĒāđāļāļāđāļāļ half duplex āļāļāđāļāļāļāļēāļĢāļĨāļāļāļĢāļ°āļŠāļāļāļ āļēāļāļāļāļāđāļāļĢāļāļāļēāļĒ
āļāļēāđāļĢāļēāļāļĢāļŦāļēāļĢ IDS āļāļēāļ Hub āļāļ§āđāļāļĒāļ§āļāļ āļāļĢāļēāļāļāļāļāļāļāļēāļĢāļāļĢāļŦāļēāļĢ IDS āļāļēāļ
āļ āļēāđāļŦāđāļāļĄ collision āđāļ Hub āļāļāđāļāļāļāļēāļĢāļĨāļāļāļĢāļ°āļŠāļāļāļ āļēāļāļāļāļāđāļāļĢāļāļāļēāļĒāļĨāļ
āļāļ
Hub āđāļĄāļĄāļĢāļēāļāļēāļāļ āđāļāđāļŠāļĒāļāļēāļĒ
32
Faculty of Information Technology Page
Taps
āļāļāđāļŠāļĒāļāļāļāļŠāļāļāļ§āļāđāļĢāļāļāļ āļ āļēāđāļŦāļāļĢāļ°āļŠāļāļāļ āļēāļāļāļāļāđāļāļĢāļāļāļēāļĒāļĨāļāļĨāļ āđāļĨāļ°āļāļēāļĢ
āļ āļē port mirroring āļŠāļ§āļāļāļāļ°āđāļĄāļŠāļāļāļāđāļāļāđāļāļāļāļĄāļāļāļāļāļāļĨāļēāļāđāļāļāļ§ āđāļāļ
āđāļāļāđāļāļāļāļāļēāļāđāļĨāļāļŦāļĢāļāđāļŦāļāđāļāļāđāļ
āđāļ Tap āđāļāļāļēāļĢāđāļāļāļāļŦāļēāļāđāļ
Tap āļāļ āļāļāļāļĢāļāļāļ āļēāļŦāļāļēāļāļāļĨāļēāļĒāđ Hub āđāļ tap āđāļāļāļāļāļāļĢāļāļāļāļāļāļ
āļāļāļāļāļāļĨāļēāļ (Fault Tolerance) āļāļ āļāļēāļĢāđāļāļāļĄāļāļāļāļ°āđāļāļāđāļāļāļāļēāļ§āļĢ
(hardwired) āļĢāļ°āļŦāļ§āļēāļ 2 āļāļāļĢāļāļŦāļĨāļ āļāļēāđāļāļāļ āļĨāļāļāļĢāļ°āļŦāļ§āļēāļ 2 āļāļāļĢāļāļŦāļĨāļāļ
āļāļ°āļŠāļēāļĄāļēāļĢāļāđāļāļāļēāļāđāļ
33
Faculty of Information Technology Page
Tap
34
Faculty of Information Technology Page
āļāļāļāļāļāļ Tap
āđāļāļāļāļāļāļĢāļāļāļāļāļāļāļāļ§āļēāļĄāļāļāļāļĨāļēāļ
āđāļĄāļĄāļāļĨāļāļĢāļ°āļāļāļāļāļāļēāļĢāđāļŦāļĨāļāļāļāļāļĢāļēāļāļ
āđāļĄāļ āļēāđāļŦāđāļāļĢāļāļŠāļĢāļēāļāļāļāļāđāļāļĢāļāļāļēāļĒāđāļāļĨāļĒāļāđāļ
āļāļāļāļāļāļāļēāļĢāđāļāļāļĄāļāļāđāļāļĒāļāļĢāļāļāļēāļāđāļāļĢāļāļāļēāļĒ
āđāļĄāļ āļēāđāļŦāļāļĢāļ°āļŠāļāļāļ āļēāļāļāļāļāđāļāļĢāļāļāļēāļĒāļĨāļāļĨāļ
āļŠāļēāļĄāļēāļĢāļāļĄāļāļāđāļāļāļĢāđāļāļāđāļāļāļāļāļāļāļāļāđāļ
35
Faculty of Information Technology Page
āļāļāđāļŠāļĒāļāļāļ Tap
Tap āļĄāļĢāļēāļāļēāđāļāļ
āļāļēāļĢāļŠāļāļŠāļāđāļāļŠāļāļāļāļēāļāļāļāļāļĄāļāļēāļĢāļāļāļāļāļāđāļāļĄ
IDS āļāļāļāļ āļēāļāļēāļāđāļ stealth mode āđāļāļēāļāļ
36