入侵侦防技术之研发-twisc.ppt

跨國資安合作計畫分項子計畫--入侵偵防技術之研發 李漢銘 臺灣科技大學 資訊工程系 教授 大綱 計畫概述 研究問題 計畫內容 預期成果與效益 附錄 - Interdisciplinary Experience 計畫概述 總計畫摘要 計畫摘要 人力配置 合作對象介紹 總計畫摘要 本總計畫主要是以透過國際合作的方式，與美國UCB與CMU共同合作研究與開發資通安全領域最重要與最先進的議題，以期達成培育國內資通安全人才及研發任務導向關鍵技術的目標 本總計畫共包含五個分項子計畫，包括資通安全人才培育與任務導向關鍵技術研發兩大類 人才培育分項子計畫 分項子計畫1 -- 無線感測網路之安全技術與應用 分項子計畫2 -- RFID應用之安全與隱私保護技術之研究 分項子計畫3 -- 高安全度遠端身分鑑別技術之研發 任務導向關鍵技術研發分項子計畫 分項子計畫4 -- 入侵偵防技術之研發 分項子計畫5 -- 程式碼/軟體安全檢測系統 分項子計畫6-- 高速網路資訊安全系統與隱私保護管理之研發 計畫摘要（入侵偵防技術之研發） 計畫摘要 （續） 主要研究項目 先進入侵偵測技術研發，如偵測未知新病毒或發覺新的攻擊模式等 誘捕系統 (Honey pot) 之研發 追蹤攻擊者之技術 防禦分散式阻斷攻擊之實用技術 IDS的中介表示法 (intermediate representation)與狀態協定分析表示法 (stateful protocol analysis paradigm) 人力配置 CALD 為 Carnegie Mellon University 中School of Computer Science 之獨立學術單位，CALD 之研究領域含蓋，所有以statistical machine learning 為基礎之研究，目前CALD之核心研究人員計有 20 餘位 CALD與本計畫之研究最相關之研究如下 Constellation Profiler-2000 合作對象介紹（續） Center of Automated Learning and Discovery (CALD) Constellation Constellation 計畫之重點在於提出一個校正基準(calibrated benchmark) 用來測試異常偵測器 (anomaly detection detector) 。Constellation 計畫之主要目標是測定一個異常偵測器 (anomaly detection detector) 於資料空間 (data space) 中在某一定信心水準下之偵測範圍 (detection boundaries)。 Profiler-2000 目前發展出之入侵 (intrusion)、異常 (anomaly)、偽裝 (masquerade)偵測之技術缺乏一公正客觀方法來量測或預測其表現。Profiler-2000計畫之主要目標是： 發展研究特徵 (profiling)之基礎技術。 發展多種多樣的偵測器 (diverse suite of detectors) 。 提供客製化 (custom) 基準校正(calibrated ) 之測定平台 (testbeds)。 提供統計上精確的效能評比。以提高入侵 (intrusion)偵測技術之效能。 主要合作學者 研究問題 研究問題背景 研究問題重要性 入侵偵測系統 產品市場現況與趨勢 研究問題背景 網際網路資訊連通的普及，亦提高企業組織遭到攻擊的可能性（如：電子商務詐欺、侵犯智慧財產權、入侵電腦破壞或篡改電腦紀錄…等） 近年來重大網路安全事件層出不窮： SQL Slammer Worm 造成美洲與亞洲網路癱瘓(2003) Blast 利用Windows漏洞進行散佈， 造成全球損失(2003) Mydoom 病毒以快速的感染速率(1200封/秒) ， 造成全球損失(2003) 我國刑事局偵九隊破獲木馬惡意攻擊竊密案(已有上百家企業受害)(2004) 研究問題重要性 由於攻擊事件的增多與影響廣泛，使得入侵偵防系統變成資訊安全必要的一部份 入侵偵防系統的重要性 可提報威脅示警，證實遭到攻擊 了解攻擊的類型與頻率，決定安全控管機制 可簡化攻擊威脅之確認與分類報告的管理工作 提出明確資訊有助於說服管理階層同意編列足夠的資安預算 入侵偵測系統 根據System Administration, Networking and Security (SANS)入侵偵測定義「偵測不適當、不正確或是異常的活動的技術」 入侵偵測系統(Intrusion Detection System, IDS)可分析通過的封包或日誌檔並與入侵特徵資料庫進行比對，偵測異常並提供警示回報給系統管理者