国家科学委员会补助专题研究计画.ppt

1、國家科學委員會補助專題研究計畫匯集網路之異常訊務偵測與通告系統Flood Detection and Notification System over Aggregate Network (FDNS),中央大學 電算中心 楊素秋 97年 7月 31日,報告大綱,1. 研究動機 2. 相關研究 3. Flooding 異常訊務特徵 4. FDND系統 5. 計劃結果自評,1. 研究動機,Internet傳輸/應用協定的開放特性 成為網路應用主流.易為駭客誤用: 發展網路蠕蟲程式 全面掃瞄全球連網PC 弱點ports、散播網蟲,植入後門 利用來掩護其發動組織性DDoS攻擊,轉寄大量spam 甚至

2、詐騙銀行帳號(phishing) myNetWatchman 觀點 最主要的網路安全問題不在於駭客的騙術 該優先解決的是那一大票不安全連網主機,1. 研究動機,ISP網路業者應負更多的責任 閘門位置 連網封包均透過router轉送 擁有用戶基本資訊 最有豐富的技術人員與能力,1. 研究動機,實現 flooding 異常偵測的要件 需求 能掌握 網路上充斥的一大票不安全連網主機 方法 背景知識 有感覺 (行為特徵) 策略 環境與資源 Aggregate router NetFlow data Server, shareware packages (H/w & S/w) Flood Detecti

3、on programs,1. 研究動機,匯集網路之異常訊務偵測與通告系統 提供上游網路多一層的異常偵測/防護 連網封包均透過router轉送 善用閘門router轉送紀錄 (flow-based) 遭誤用系統(行為) 頻繁地傳送超量訊務給單一或多部主機 且傳送超量訊務的持續時段也明顯拉長 推廣對象 ISP業者骨幹網路 校園/企業 core網路,1. 研究動機2. 相關研究3. Flooding 異常訊務特徵4. FDND系統 5. 計劃結果自評,2. 相關研究,1. 研究動機2. 相關研究3. Flooding 異常訊務特徵4. FDND系統 5. 計劃結果自評,3. Flooding 異常訊

4、務特徵,PortScan Spam Packet flooding,1. 研究動機2. 相關研究3. Flooding 異常訊務特徵4. FDND系統 5. 計劃結果自評,4. FDND系統,特色,4. FDND系統 (cont.),4. FDND系統 (cont.),系統架構 TDC : FDS : RTES : ANS : ATM :,4. FDND系統 (cont.),系統成效 94年 97年(目前) 學期中 寒/暑假,1. 研究動機2. 相關研究3. Flooding 異常訊務特徵4. FDND系統 5. 計劃結果自評,5. 計劃結果自評,品質指標 FDNS系統與網路計費系統之差異 計

5、費系統 以單一的 source IP 或 destination IP 為index key 累計IP對應的 輸出或輸入傳輸量 FDNS系統 實做異常訊務的累計/排序 結合多個 socket flow 變量,做為基本辨識單元 精確地突顯flooding訊務 偵測程序 :比對多元變量之臨界值,5. 計劃結果自評 (cont.),FDNS與IDS系統之差異 FDNS適合涵蓋廣範圍網路(flow-based) 未知攻擊行為或入侵事件之偵測 具體傳輸訊務量 (協助鎖定異常發送源與訊務量) 無法提供確切的異常傳訊封包內容 IDS異常偵測系統 能精確地發現已被鑑識/建立特徵的異常 需龐大計算資源 (con

6、tent-based) 無法發現未完整定義的未知攻擊行為或入侵事件 無法運用於涵蓋大範圍網路的異常偵測 易成為攻擊的目標(癱瘓IDS),5. 計劃結果自評 (cont.),使用狀況 首建於 TANET (台灣學術網路)桃園區域網路中心 該區域連線學校之flooding異常訊務之偵測 40餘所大專院校/高中職校,與數百所國中/國小 桃園區網技術小組成員 推廣到 TWAREN 桃園 GigaPoP節點 推廣到中央大學校園網路 中央大學校園網管小組成員 系所 &宿舍: 技術員,工讀生 行政單位:工讀生,5. 計劃結果自評 (cont.),使用經驗 FDNS 能偵測 多變的 portscan 訊務 (不斷翻新的弱點 ports) spam packet flooding事件 能自動通告具體的flooding 訊務數據 協助網管人員 及時發現異常訊務的發生 掌握異常源端主機及具體訊務數據 為用戶分析異常發送主機之 flooding現象,5. 計劃結果自評 (cont.),未來研究方向 增加異常偵測比對的臨界變量 flow_rate (mean flows per hour) Duration (Hours) History record