區域網路中心 Flooding 異常訊務的偵測.PDF

區域網路中心 Flooding異常訊務的偵測 桃園區網中心中央大學電算中心 楊素秋 Email: center7@.tw 11研究動機研究動機.. 11研究動機研究動機.. 隨著網路的快速擴展 ,Email, WWW, 網路電話 ,視訊分享等網路應用都能快速普及 . 然而,網路駭客也運用 Internet的開放傳輸 /應用協定及層出不窮的網路安全弱點 發展, 惡意的病蟲程式 . 藉由網蟲程式 ,網路駭客能在短時間內感染數百萬的 PCs.遭病毒感 染的系統除了廣泛掃瞄全球 PC的安全弱點、持續散播網蟲 ,植入供駭客遠端控制的後門 程式外 ,也會關掉系統的 anti-virus軟體 ,竊取網路用戶的有用訊息 .為賺取巨額金錢 , 網路駭客甚至將所感染的大批系統名單販賣給犯罪組織 ,供其利用來發動組織性 DDoS攻 擊、轉寄大量 spam色情 /廣告信、詐騙 /盜領銀行用戶金錢、勒索知名的商業網站等等 惡行 . 由於遭誤用的異常系統有相當明顯的傳訊特徵 :頻繁地傳送超大數量的訊務給單一 或多部主機 (destinations).所以 ,源自該主機的連接總數量與封包總數量會突然地大 量增加 ,而其傳送超量訊務的持續時段也明顯拉長 . 本研究乃運用 TANet 區網節點 router的 Netflow轉送訊務紀錄 [2]-[3],實做 Flooding異常訊務偵測 (Flooding Detection System, FDS).依據異常的 Flooding 特性,選定適當的傳訊特徵 ,配合簡單 的訊務累計 /排序程序 ,有效地明顯 flooding的異常訊務突顯出來 ,並偵測異常的 flooding訊務 ,協助管理人員找 出異常的 Portscan異常訊務 ,促使 網路用戶 ,儘速補強 其系統安全,阻斷異常的入侵行為 . 2.2.網路安全由網路安全由個個 人自人自己己做做 起起 2.2.網路安全由網路安全由個個 人自人自己己做做 起起 2.2.11 多管多管齊下齊下的網路的網路 滲透滲透 2.2.11 多管多管齊下齊下的網路的網路 滲透滲透 網蟲程式不僅嚴重影響 網路的運作 效率,也 花費許 多網路用戶的珍貴時間做 例行 的掃 描 病毒 ,清除病毒 ,甚至重灌作 業系統的瑣碎工作 .Microsofts 於 2004 推 出 Windows XP的 SP2 Update, 協助 Windows XP用戶定時更新 Windows Update及確認 其 anti-virus, firewall 等軟體的使用 狀況.然而該, 公司發 佈的統計 資料卻顯 示 :仍 有 70%的 Windows用戶 未裝置 anti-virus, firewall,或定 期更新 Windows Update補好 系統弱點. 我們不難 理解 :網路 上爲何總是充斥著巨量的色情 /廣告信 ,弱點 ports 掃 描 , flooding 攻擊等不當的訊務.顯然 ,網路病毒的持續 氾濫,除了與 過 於簡易的 Internet 應用 /傳輸協定 ,及層出不窮的系統安全弱點有關外 ,也與 個 人使用網路的態 度 、習慣 有極 大的相關. 新的網蟲程式除了利用系統安全弱點自動散播外 ,更結合 social engineering 技 巧 引誘, 用戶讀 取惡意的 email attach, 瀏覽被植入惡意程式的 web 網頁 ,以避開 firewall/IDS 系統的阻截, 成功擴散惡意程式 .然而許, 多網路用戶仍 不了解 :一部未安