1 / 16

適用於電子商務環境之 網蟲即時偵測及防禦系統

適用於電子商務環境之 網蟲即時偵測及防禦系統. 游啟勝 * 、陳奕明 中央資管 電腦網路實驗室 國家資通安全會報 技術服務中心 *. 報告大綱. 現下遭遇的問題 網蟲簡介 網蟲的擴散特性 本文提出的網蟲偵測方法 網蟲即時偵測及防禦系統部署方式 實作與測試 結論. 現下遭遇的問題. 網蟲愈來愈盛行,出現間隔愈來愈短 CodeRed 、 CodeRed II 、 Nimda 、 Slammer 、 Blaster 網蟲影響電子商務運作 無法在第一時間阻止未知網蟲癱瘓外部及內部網路 攻擊加重主機負荷. 網蟲簡介 . 與電腦病毒的異同 同屬惡意程式的一種

chester-miranda
Download Presentation

適用於電子商務環境之 網蟲即時偵測及防禦系統

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 適用於電子商務環境之網蟲即時偵測及防禦系統 游啟勝*、陳奕明 中央資管 電腦網路實驗室 國家資通安全會報 技術服務中心*

  2. 報告大綱 • 現下遭遇的問題 • 網蟲簡介 • 網蟲的擴散特性 • 本文提出的網蟲偵測方法 • 網蟲即時偵測及防禦系統部署方式 • 實作與測試 • 結論 2004 電子商務與數位生活研討會

  3. 現下遭遇的問題 • 網蟲愈來愈盛行,出現間隔愈來愈短 • CodeRed、CodeRed II、Nimda、Slammer、Blaster • 網蟲影響電子商務運作 • 無法在第一時間阻止未知網蟲癱瘓外部及內部網路 • 攻擊加重主機負荷 2004 電子商務與數位生活研討會

  4. 網蟲簡介 • 與電腦病毒的異同 • 同屬惡意程式的一種 • 網蟲會主動擴散,病毒則依賴使用者執行 • 網蟲實例 • 漏洞型網蟲:CodeRed • e-mail 網蟲:NetSky(WORM_NETSKY.O) 2004 電子商務與數位生活研討會

  5. 網蟲的擴散特性 (1/2) • 短時間內攻擊眾多不同受害者 • 網蟲需要大量擴散 • 使用 IP Address做為擴散目標選擇策略 • 大多數的正常連線使用 domain name 來連結 {dst_port, payload} 2004 電子商務與數位生活研討會

  6. 網蟲的擴散特性(2/2) • 擴散連線的通訊協定欄位固定 • 目的通訊埠、封包資料欄位(payload) • 來源通訊埠、Sequence Number、Acknowledge Number、Code Bits • 擴散攻擊封包不會太小 • 網蟲的感染及擴散步驟複雜 2004 電子商務與數位生活研討會

  7. 本文的網蟲偵測方法(1/2) • 根據流量異常偵測方法加以改良而來 • 過去: • 將網路流量依通訊協定種類(TCP 或 UDP)與目的通訊埠加以區分,將相同通訊協定及相同目的通訊埠的流量大小加總 [TWCERT: 即時偵測防治Internet Worm] 2004 電子商務與數位生活研討會

  8. 本文的網蟲偵測方法(2/2) • 現在 • 假設一部正常的主機「不會在短時間內發送大量通訊協定、目的通訊埠、及資料欄位三個條件相同的封包給不同位址的其他主機」 • 配合 DNS查詢記錄及封包大小增加偵測的正確性 2004 電子商務與數位生活研討會

  9. 實作與測試 (1/3) • 實作於 Linux 主機,結合 iptables 以transparent 方式部署於兩個網路之間 • 對封包資料欄位作 md5 雜湊運算 • 測試 • Slammer、Blaster 攻擊主機 Linux Win2000 + SQL Server 2000 2004 電子商務與數位生活研討會

  10. 實作與測試 (2/3) 2004 電子商務與數位生活研討會

  11. 實作與測試(3/3) 2004 電子商務與數位生活研討會

  12. 網蟲癱瘓內外網路示意圖 2004 電子商務與數位生活研討會

  13. 部署方式 (1/2) • 介於路由器與交換器間 2004 電子商務與數位生活研討會

  14. 部署方式(2/2) • 部署於各交接器之間 • 部署極致: • 安裝各主機上:個人式防火牆、網路卡 2004 電子商務與數位生活研討會

  15. 結論 • 簡潔的偵測方法,可有效偵測目前的已知網蟲,並能具有相同手法的未知網蟲偵測能力 • 結合主動阻擋的回應動作,可有效阻止網蟲對外擴散 2004 電子商務與數位生活研討會

  16. Q&A 謝謝! 敬請指教! 2004 電子商務與數位生活研討會

More Related