User-based 行为探勘及异常侦测机制之设计.pdfVIP

第七屆離島資訊技術與應用研討會論文集 User-based行為探勘及異常偵測機制之設計 林韋成 伍麗樵 國立雲林科技大學電子工程所 wuulc@.tw 摘要 擊，相較於異常偵測，這種偵測方式有著較高漏報 近年來，網際網路的應用不斷進展，人們的 率(False-negative rate) ；另一種偵測方式稱為異常 日常生活與電腦網路產生了密不可分的關係；同 偵測，主要是從正常行為中，定義出正常行為的樣 時，網際網路的攻擊事件也日益嚴重，各式的入侵 本(Profile) ，當流經的網路封包不符合這些樣本 防禦機制也因應而生。目前大部份的異常偵測系統 時，則視為異常。這種偵測方式最大的優點是可以 皆以一個正常網路的 Baseline 做為異常偵測的準 偵測出未知的攻擊行為 ，由於無法明確定義與正常 則；但此 Baseline 並不能完全代表不同使用者的行 行為樣本差異多少才算異常；所以，這種偵測方式 為，所以我們提出以各使用者平常的行為習性做為 的誤報率 (False-positive rate)較 Misuse detection 偵測的依據，並在網路端口佈署 User-based 高。 Anomaly Detector 以偵測行為異常的User ；為了實 本論文的目的是利用資料探勘技術找出每個 現這個系統，本篇論文設計 (1)以AAA伺服器控管 User 使用網路的行為習性並設計異常偵測機制， 使用者身份； (2)利用資料探勘之技術，設計一探 其功能如下： 勘器(Miner)以發掘User的正常行為的樣本； (3)開 結合 AAA伺服器取得合法 User 之 IP位址 發異常偵測器 (Anomaly detector) ，結合探勘器所得 在我們的機制中，所有的使用者在存取網路 到之正常行為的樣本，使其具有即時偵測使用者異 之前需要與 AAA(Authentication, Authorization, 常行為之能力； (4)透過協同防禦機制，實現可調 Accounting)伺服器進行身份認證，通過認證的 式之流量控管，保障合法使用者應有的網路頻寬。 User 才可以上網；並且我們利用AAA伺服器的 計費功能取得合法 User的 ID 與 IP位址，以供 關鍵詞 ：資料探勘、網路型入侵偵測系統、異常 後續 User-based行為探勘器所需的資訊。我們使 偵測、來源端防禦、流量調節 用 Open Source 套件 – FreeRADIUS[6]建立了 AAA 伺服器並且修改部份原始碼，使它能與我 1 、簡介 們的機制結合。 由於網路技術持續的蓬勃發展，藉著整合無 自動產生 User行為偵測規則 線 區 域 網 路 (Wireless LAN)[2, 3] 、WiMAX 我 們 實 作 一 User-based 行 為 探 勘 器 (Worldwide Interoperability for Microwave Access) (User-based Behavior Miner) ；先收集每個User [4, 5]等技術，使用者可以更方便的在任何地方、 的網路封包，並由網路封包取出的正常連線特 任何時間使用網路服務 ，使得網路服務具有無限