欢迎来到天天文库
浏览记录
ID:43498872
大小:662.00 KB
页数:27页
时间:2019-10-09
《国家科学委员会补助专题研究计画》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、國家科學委員會補助專題研究計畫匯集網路之異常訊務偵測與通告系統FloodDetectionandNotificationSystemoverAggregateNetwork(FDNS)中央大學電算中心楊素秋97年7月31日報告大綱1.研究動機2.相關研究3.Flooding異常訊務特徵4.FDND系統5.計劃結果自評1.研究動機Internet傳輸/應用協定的開放特性成為網路應用主流.易為駭客誤用:發展網路蠕蟲程式全面掃瞄全球連網PC弱點ports、散播網蟲,植入後門利用來掩護其發動組織性DDoS攻擊,轉寄大量spam甚至詐騙銀行帳號(phishing
2、)myNetWatchman觀點最主要的網路安全問題不在於駭客的騙術該優先解決的是那一大票不安全連網主機1.研究動機ISP網路業者應負更多的責任閘門位置連網封包均透過router轉送擁有用戶基本資訊最有豐富的技術人員與能力1.研究動機實現flooding異常偵測的要件需求能掌握網路上充斥的一大票不安全連網主機方法背景知識有感覺(行為特徵)策略環境與資源AggregaterouterNetFlowdataServer,sharewarepackages(H/w&S/w)FloodDetectionprograms1.研究動機匯集網路之異常訊務偵測與通告系
3、統提供上游網路多一層的異常偵測/防護連網封包均透過router轉送善用閘門router轉送紀錄(flow-based)遭誤用系統(行為)頻繁地傳送超量訊務給單一或多部主機且傳送超量訊務的持續時段也明顯拉長推廣對象ISP業者骨幹網路校園/企業core網路1.研究動機2.相關研究3.Flooding異常訊務特徵4.FDND系統5.計劃結果自評2.相關研究1.研究動機2.相關研究3.FLOODING異常訊務特徵4.FDND系統5.計劃結果自評3.Flooding異常訊務特徵PortScanSpamPacketflooding1.研究動機2.相關研究3.Flo
4、oding異常訊務特徵4.FDND系統5.計劃結果自評4.FDND系統特色4.FDND系統(cont.)4.FDND系統(cont.)系統架構TDC:FDS:RTES:ANS:ATM:4.FDND系統(cont.)系統成效94年97年(目前)學期中寒/暑假1.研究動機2.相關研究3.Flooding異常訊務特徵4.FDND系統5.計劃結果自評5.計劃結果自評品質指標FDNS系統與網路計費系統之差異計費系統以單一的sourceIP或destinationIP為indexkey累計IP對應的輸出或輸入傳輸量FDNS系統實做異常訊務的累計/排序結合多個soc
5、ketflow變量,做為基本辨識單元精確地突顯flooding訊務偵測程序:比對多元變量之臨界值5.計劃結果自評(cont.)FDNS與IDS系統之差異FDNS適合涵蓋廣範圍網路(flow-based)未知攻擊行為或入侵事件之偵測具體傳輸訊務量(協助鎖定異常發送源與訊務量)無法提供確切的異常傳訊封包內容IDS異常偵測系統能精確地發現已被鑑識/建立特徵的異常需龐大計算資源(content-based)無法發現未完整定義的未知攻擊行為或入侵事件無法運用於涵蓋大範圍網路的異常偵測易成為攻擊的目標(癱瘓IDS)5.計劃結果自評(cont.)使用狀況首建於TAN
6、ET(台灣學術網路)桃園區域網路中心該區域連線學校之flooding異常訊務之偵測40餘所大專院校/高中職校,與數百所國中/國小桃園區網技術小組成員推廣到TWAREN桃園GigaPoP節點推廣到中央大學校園網路中央大學校園網管小組成員系所&宿舍:技術員,工讀生行政單位:工讀生5.計劃結果自評(cont.)使用經驗FDNS能偵測多變的portscan訊務(不斷翻新的弱點ports)spampacketflooding事件能自動通告具體的flooding訊務數據協助網管人員及時發現異常訊務的發生掌握異常源端主機及具體訊務數據為用戶分析異常發送主機之floo
7、ding現象5.計劃結果自評(cont.)未來研究方向增加異常偵測比對的臨界變量flow_rate(meanflowsperhour)Duration(Hours)Historyrecord(Days)SensitiveDomain(China,Easteurope)引入DataMining知識庫的累積(網管員經驗傳承)自動分析可能的原因/排除方法ThankYou!
此文档下载收益归作者所有