1 / 88

認識網路安全與異常偵測

認識網路安全與異常偵測. 中央大學 電算中心 楊素秋 96 年 11 月 13 日. 報告大綱. 1. 網路安全問題 Viruses, Worms, Dos attack 2. 網路安全因應對策 Customer-based countermeasures ISP-based countermeasures 3. Detection & Notification System End-based, LAN-based, WAN-based (ISP) 4. 結語. 1. 網路安全問題. 網路安全的挑戰 Viruses

danica
Download Presentation

認識網路安全與異常偵測

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 認識網路安全與異常偵測 中央大學 電算中心 楊素秋 96年 11月 13日

  2. 報告大綱 • 1. 網路安全問題 • Viruses, Worms, Dos attack • 2.網路安全因應對策 • Customer-based countermeasures • ISP-based countermeasures • 3. Detection & Notification System • End-based, LAN-based, WAN-based (ISP) • 4. 結語

  3. 1. 網路安全問題 • 網路安全的挑戰 • Viruses • Large amount of program replication • Mail virus • Attached in email • Infect system by enduring user clicking the attached • Resend large amount of mail virus • Self-propagating programs, … • Spread through toxic web page browsing

  4. 1.網路安全問題(cont.) • Worms • Self-propagating programs spread over Internet • Spread by scanning the network for vulnerable machines & infecting them • Evolution of network worms • Spread through system vulnerability • CoRed (Jul 2001) • Spread through system vulnerability & tftpd • Nimda, Nachi (Sep 2001) • Spread through system vulnerability & mail virus • SoBig ( Aug 2003), MyDoom(jan 2004),Bagle (2004) • Spread through system vulnerability & Toxic web-pages • Stanty (Dec 2004)

  5. 1.網路安全問題(cont.) • BotNet • Zombie army • Distributed through Irc (network chat room) • 6667/tcp • Dos attack • Slam well known web server (MicroSofts, Google, …) • Flooding-based DDoS attack • Significant performance decline of network link • Identification thief • Spyware, Phishing (banks, ebay, paypal, …

  6. 1.網路安全問題(cont.) • Technical Hackers • Show their skill • Technical Hackers + Criminal gang • Enormous profits • The weak link in Internet Security • A significant population of Internet users are not adequately secure their desktops

  7. 2.網路安全因應對策 • Where security countermeasures could be invoked • Customer-based countermeasures • ISP-based countermeasures** • ISP core/edge/access routers

  8. 2.網路安全因應對策(cont.) • Customer-based countermeasures • Anti-virus software • Firewall, IDS • OS Vender s/w patch • Windows Update • Linux Up2date • S/W Vender’s Security Improvements • Desktop Vulnerability Checking • Firewall == Secure ?? (Incorrect)

  9. 2.網路安全因應對策(cont.) • Why ISP’s are uniquely positioned to help • John E.H. Clark (Feb 2003) • Traffic gateway • All traffic bw. Internet & the customer’s desktop passes through ISP’s access • Skilled network managers • Well organized network user information • High efficiency, wide range protection

  10. 2.網路安全因應對策(cont.) • ISP-based countermeasures • a) Measuring & monitoring traffic • to/from customer • b) Bi-direction IPS at ISP access • 50% ~ 60% of junk attack traffic • c) Ingress address filtering at ISP access • In-line with the traffic being monitored • d) User’s awareness & training effort

  11. 3. Detection & Notification System • Signature Detection • Packet payload • anomaly detection • Packet-based • Tcpdump (snooped over subnetworks) • Flow-based • Netfow (exported by router / switch)

  12. 3. Detection & Notification System(cont.) • Our works • 遭感染 /誤用的主機系統 • 持續,頻繁地建立網路連接到單一或多部主機,源自遭感染主機的超量傳訊特徵 • flow連接 驟增 • 封包量驟增 • 超量訊務持續時段明顯拉長 • 本研究擷取節點router Netflow 轉送紀錄 • 實做Flooding Detection System, FDS

  13. 3. Detection & Notification System(cont.)

  14. 3. Detection & Notification System(cont.) • PortScan訊務特徵 • 源端主機要求建立的多個PortScan flows,集中在特殊的弱點 • 由目的主機回應給源端主機的port number卻分散於大範圍的1024 ~ 65535.

  15. 3. Detection & Notification System(cont.) • 選擇3項NetFlow辨識特徵 • (1)source IP 位址 (src_IP) • (2)destina- tion應用埠(dst_port) • (3)小TCP封包 • 使Feature-based訊務累計程式 • 僅加總超速傳送 SYN|FIN TCP handshaking 封包往大量連網主機特殊弱點ports的source 主機, 突顯Portscan問題主機

  16. 3. Detection & Notification System(cont.) • SMTP Flooding (Spam) 訊務特徵 • 類似Portscan傳訊特徵 • spam源端主機 • 持續傳送超量SMTP (Simple Mail Transfer Ptorocol)訊務往多部主機 • 主機outbound的連接數突然暴增 • 超量SMTP傳送時段也呈明顯拉長

  17. 3. Detection & Notification System(cont.) • Packet Flooding 訊務特徵 • 產出鉅量的UDP/ICMP Flooding封包 • 阻斷選定主機的對外服務 • 壅塞沿徑routing網段 • 選擇source (src_IP) 為virtual flow • 累計程式僅統計source IP 傳送的 • 超大量UDP / ICMP Packet/ Byte/ Flow訊務 • 偵測與自動通告DDoS攻擊

  18. 3. Detection & Notification System(cont.) • Flooding 異常訊務偵測系統 • Feature-based訊務累計/排序程式 • 加總每一source IP主機送往各destination port的flow數,packet數, byte數,與mean packet size訊務變量, • Multi-thresholds異常偵測程式 • 累計各時段source主機建立的 • flow [sourcei],packet [sourcei], • byte[sourcei], pkt_size[sourcei] • 加總其發送超量TCP封包的持續時段duration[sourcei] • 與估定臨界質比對,篩選得PortScan sources.

  19. 3. Detection & Notification System(cont.) • Flooding 異常訊務的自動通告 • 萃取 ip_routing table • Router ipRoute SNMP MIB • 建置與啟動RWhois IP管理資料查詢系統 • 讀取異常訊務數據 & 自動通告

  20. 3. Detection & Notification System(cont.) • Flooding 異常訊務的自動通告(cont.) • 擷取骨幹router的數萬筆routing • snmpwalk ipRouteMask (1.3.6.1.4.21.2.1.11) • snmpwalk ipRouteNextHop (1.3.6.1.4. 21.2.1.7) • 萃取/重建龐大 ip_routing 紀錄 • 構建符合RWhois network schema資料庫 • 結合NextHop 紀錄與管理聯絡資訊 • 連線學校 IP管理資訊查詢 • http://susan.tyc.edu.tw/~yang/rwhois.php?ip=140.115.1.12

  21. 4.結語 • Flooding異常訊務偵測系統(FDS) • aggregate router NetFlow轉送紀錄 • 自動偵測PortScan, Spam與 packet flooding攻擊訊務 • 透過 Rwhoisd IP 管理資訊的查詢 • 自動將具體的異常訊務通告該網路用戶 • 促使其補強系統安全,阻截flooding攻擊

  22. 4.結語(cont.) • 據幾年來的使用經驗 • 網路匯集點的異常偵測系統能偵測多變的 • portscan 訊務 (不斷翻新的弱點 ports) • Spam • packet flooding事件 • 具體的flooding 訊務數據 • 能協助網管人員掌握異常源端主機 • 聯絡用戶並分析其主機 flooding現象

  23. Thank You!

  24. 桃園區網 abuse通告分布 中央大學 電子計算機中心 楊素秋(center7@cc.ncu.edu.tw)

  25. 報 告 大 綱 • 1. abuse complaint 自動轉通告 • 2. abuse年度統計 • 3. abuse分類統計 • 4. P2P traffic target system • http://163.25.255.22/~yang/index_abuse_emule.php • http://163.25.255.22/~yang/index_abuse_emule_port.php • 5.總結

  26. 1.Abuse complain 自動轉通告 • Abuse complaint 轉通告系統 • 定時接收 abuse complaint mail file • abuse@ncu.edu.tw (/var/mail/abuse) • 切割/分類 abuse 通告信 • PortScan/Password crack (安全弱點掃描) • Spam (廣告/色情信) • Infringement (侵犯智慧財產權) • Phishing (網路詐騙) • 轉通知負責人員,並儲存資料庫記錄.

  27. 1.Abuse complain 自動轉通告(cont.) • 系統處理程序如下: • 讀取 abuse@ncu.edu.tw mail file, 切割/儲存 各單封信件 • 執行 dbacl(digramic Bayesian text classifier): 分類各單封信件abuse type(spam, infringe, portscan, phish). • 掃描 target IP 位址,並將 IP, abuse 類別存檔 • 以 IP 為key,連接 Rwhois Server, 查詢管理員 emai.,並將原信件寄發對應的管理員.

  28. 1.Abuse complain 自動轉通告(cont.) • 系統成效: • 節省一名處理abuse通告的網路管理人力. • 能即時地處理轉通告,不會因假期延誤通告. • 資料庫建檔 • 提供on-demand abuse資料查詢網頁.

  29. 2. abuse年度統計 • 93年(2004) • 94年(2005) • 95年(2006) • 96年(2007)

  30. 3.Abuse分類統計 • 智財權(Infringement) • 廣告信 (Spam) • PortScan • Phishing

  31. 163.30.*.*

  32. 4. Abuse 歷史紀錄查詢 • URL • http://ayang.tyc.edu.tw/Tyc_Abuse/Tanet/summ_notify.php • 單月統計 abuse complaint 分類 • 選擇 年度,月份 • 96-01 • 95-12

More Related