分析收集Netflow资料来判断骇客入侵及攻击-curelancom.DOC

分析收集Netflow資料來判斷駭客入侵及攻擊目前一般在市場上的IPS (Intrusion Prevention System)設備都是用signature技術來過濾、比對經過設備的packet，藉以偵測駭客入侵，並利用threshold功能來判斷駭客攻擊。以signature技術偵測駭客入侵的架構並不是不好，但是此技術的主要缺點是當異常packet來攻擊或relay attack時，這些巨大的異常packet會使得利用packet來進行分析、過濾的設備其硬體效能耗費甚鉅 (如：C P U運轉過高、記憶體資源使用過多…等)，進而產生當機現象。其次，由於這類型的設備是利用signature技術來進行比對，因此必須針對新型的攻擊去更新signature，方得能辨識出哪些是屬於異常流量。使用Netflow資料來分析駭客入侵及攻擊，包括利用來源位址(the source IP address)、目的位址(the destination IP address)、時間(time duration)、傳輸協定與埠號(transport protocol and port number)、連線數(the number of session/ flow)、封包數(the number of packet )與傳輸量(traffic)。就像大數據的原理一般，我們可以透過分析龐大的IP資料，找出其行為