模糊关联与情境法则探勘于入侵侦测.PDFVIP

模糊關聯與情境法則探勘於入侵偵測 曹偉駿 * 柯文元 林明孝 大葉大學資訊管理系 *E-mail: wjtsaur@.tw 52%已透過網站開始進行電子商務交易 ； 摘要 調查中的有 38%的網站在過去的十二個月 本論文針對入侵偵測，提出基於模糊 曾遭受非法入侵 ，而遭受入侵者，內部資 關聯法則與情境法則之探勘技術 。首先以 料約有 70%被破壞 ；在各式的電腦犯罪 模糊群集技術將網路封包分群 ，產出正、 下 ，於2002 年部分損失就高達四億美金 ； 異常群集供法則探勘使用 ，接著以模糊關 而2003 年初剛開始各地紛紛更是傳出不， 聯法則探勘技術於各群集中找出其間的關 明原因的網路攻擊事件 ，導致各區網路一 聯 ，以挖掘出可能的關聯法則，從而找出 度因此而癱瘓或無法提供正常運作 ，究 其 單一攻擊事件 。此外，本論文亦將使用模 原因是 SQL Slammer蠕蟲病毒所造成的 ， 糊情境法則演算法 ，於各群集中找出多重 SQL Slammer感染 了20萬台沒有安裝修 序列間的相互關係，以發掘出攻擊事件的 補程式的微軟 SQL Server 。該蠕蟲估計在 組成及發生次序，並將上述這些法則分別 病發十分鐘內便感染 90%有漏洞的伺服 建構於異常及正常的法則資料庫中 。綜合 器 ，損失相當嚴重 。在賽門鐵克公司網際 上述 ，本論文所提出之機制主要貢獻在於 網路安全趨勢報告 [11]中指 出，在 2002 年 以加入模糊資料探勘技術 ，使得能更精確 到2003 年間逐漸增加的漏洞 ，比起2001 地偵測出單一攻擊或攻擊組成及發生次 年與2002 年的 60%有大幅的增加 ，主要 序，進而提高偵測率 。本論文亦實際開發 是因為公開發佈的攻擊程式 (Exploit)有近 一套系統 ，以驗證提出之機制的成效。 五成的成長 ，而在這些有攻擊程式的漏洞 當中 ，又有絕大部分的漏洞是屬於高度與 關鍵字 ：入侵偵測系統、模糊理論 、群集 中度嚴重性 。因此 ，在面臨日漸增加的各 技術 、關聯法則 、情境法則 種不同的駭客入侵方式 ，資訊安全的挑戰 也日益加劇 。 壹 、緒論 在傳統的資訊系統安全中 ，多仰賴防 火牆的封包過濾、認證功能或是加 、解密 近年來 ，隨著網際網路的日漸普及 ， 密碼系統來保護資訊資產，但在遭遇現今 網路應用的快速發展 ，開發出許多網路相 日益複雜的駭客攻擊手法下 ，仍無法杜絕 關的應用與服務 ，使得人們能享受到網路 這些攻擊事件的發生 ，因此入侵偵測系統 帶來的便利性及其相關效益 ，網路儼然成 (Intrusion Detection System)無疑的成為不 為現代人日常生活不可或缺的一部份 。然 可或缺的一道防線 ，以彌補防火牆無法解 而，在這些效益背後所隱藏的安全問題是 決的一些問題。一般來說，入侵偵測系統 急需我們正視及解決的，這些問題如病毒 可以視為是一種監控工具 ，利用解讀網路 的威脅 、非授權的存取 、阻絕服務攻擊 封包或系統記錄檔的方式偵測可疑之入侵 (DOS Attack或是其他形式的入侵) 。不論 動作 ，判斷系統所遭受的入侵程度及損害 公司、政府部門 ，亦或是個人都遭受到這 程度 ，並據以發出警訊 ，使網路管理人員 些安全性問題的嚴重威脅。 可依照警訊做及時的反應或修護工作 。然 在 2002 年份的 CSI/FBI Computer 而，目前大多數的入侵偵測系統仍存在產 Crime