1 / 19

計畫主持人:柯開維 共同 主持人:吳和庭老師 國立台北科技大學資工系 軟體發展研究中心 參與人員:張以磊、黃勢棋、潘義傑 計畫編號: NSC 102-2218-E-027-004

102 年度 國科會自由軟體 計畫結案 報告. 具雲端可擴充性之網際網路通信 監察 II : 自應用服務至入侵 偵測. 計畫主持人:柯開維 共同 主持人:吳和庭老師 國立台北科技大學資工系 軟體發展研究中心 參與人員:張以磊、黃勢棋、潘義傑 計畫編號: NSC 102-2218-E-027-004. 報告內容. 計畫目 標 計畫執行成果 技術特色 技術應用範圍 計畫成果展示. 計畫目標.

jillian-orr
Download Presentation

計畫主持人:柯開維 共同 主持人:吳和庭老師 國立台北科技大學資工系 軟體發展研究中心 參與人員:張以磊、黃勢棋、潘義傑 計畫編號: NSC 102-2218-E-027-004

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 102年度國科會自由軟體計畫結案報告 具雲端可擴充性之網際網路通信監察 II: 自應用服務至入侵偵測 計畫主持人:柯開維 共同主持人:吳和庭老師 國立台北科技大學資工系 軟體發展研究中心 參與人員:張以磊、黃勢棋、潘義傑 計畫編號:NSC102-2218-E-027-004

  2. 報告內容 • 計畫目標 • 計畫執行成果 • 技術特色 • 技術應用範圍 • 計畫成果展示

  3. 計畫目標 • 網際網路「通訊監察(Lawful Interception)」: 一個合法監聽、記錄網路用戶私密性之網路行為或通信過程,並予以攔截、開拆、讀取通訊內容的強制行為。 • 設計一套「分散式網路事件分析紀錄系統(Distributed Network Event Analyzing and Recording System)」 • 網路電話即時監聽、HTTP及FTP協定分析、紀錄往來資訊 • 查詢、分析、還原及追蹤通訊行為、協助網際網路監查 • 網路異常行為偵測 • 可靈活布建 – 分散式架構 (distributed) • 高協定擴充性 – 模組化 (modularized) • 適合長時間監察 (availability)

  4. 計畫執行成果 - 系統架構設計 • 基於雲端運算概念之監聽紀錄系統運作架構 • 截取流經網路上的封包,依據通訊協定加以分類、解析、儲存及組合還原。整個監聽紀錄系統分為三部份: (1)擷取與紀錄系統(IRS):位於區網端,透過WinPcap/libpcap進行封包擷取,整合擷取紀錄,封包排序、重組資料串流儲存為Raw檔,對支援的通訊協定進行摘要、索引; (2)分析系統(AS):位於雲端的處理與記錄系統,負責事件紀錄之呈現、特定紀錄之還原; (3)資料庫系統(DB):儲存事件摘要、IRS上線狀態、IRS設定等。

  5. 擷取與紀錄系統: 整合擷取(Sniffer)紀錄、基本協定分析(分類索引,事件摘要) <<擷取與紀錄系統(IRS)模組 分析系統(AS)模組 >> 分析系統:負責事件紀錄之呈現、特定紀錄之還原

  6. 系統架構運作流程 使用者透過AS檢視資料庫中的紀錄 1.排序封包、重組資料串流 2.儲存Raw檔 3.對支援的通訊協定進行摘 要、索引 raw檔 使用者可以透過AS對IRS要求特定紀錄之原始檔案,並透過AS的還原功能進行紀錄還原(如網頁畫面還原、VoIP音訊還原) 透過 WinPcap/libpcap進行封包擷取,並透過Jpcap讓 Java 程式存取 可供監聽的網路環境 (未加密的無線網路、hub、mirror port) Log 對每個儲存的原始檔案,產生事件紀錄(Log),記載如發生之時間、通訊協定、IP位置等資訊存放於資料庫 Log DNEARS Req.

  7. 系統功能-FTP記錄與還原 • FTP監聽:(1)控制連線-監控目的port為21的TCP連線;(2)登入事件-帳號密碼紀錄;(3)資料連線-檔案紀錄,含主動模式/被動模式之上傳及下載。 FTP紀錄檔案下載完成畫面>

  8. 系統功能-HTTP記錄與還原 • HTTP監聽:(1)紀錄HTTP連線串流請求、回應內容;(2)網頁還原-相對/絕對路徑之靜態網頁與外部內容還原。 HTML網頁復原完成畫面>

  9. 系統功能-VoIP記錄與還原 • SIP/H323 VoIP監聽:(1)SIP或H.323連線分析;(2)擷取語音封包、紀錄、即時監聽與會話還原。

  10. 系統功能-VoIP還原與即時監聽 VAVE轉檔完成畫面 即時監聽畫面

  11. 系統功能-異常行為事件

  12. 系統佈建型態-1 單一系統集中配置(可攜帶式)

  13. 系統佈建型態-2 IRS 多擷取系統、單一網段(電腦效能考量)

  14. 系統佈建型態-3 IRS IRS 多擷取系統、多個網段(擴大監察範圍、集中管理)

  15. 技術特色 • 使用Java開發,具跨不同作業系統平台之特性。 • 採分散式架構,可靈活布建- 採用雲端通信監控網路傳輸架構,減少雲與端間之交通流量,儲存的能力。 • 具備SIP&H323網路電話之即時監聽、錄音、查詢與還原功能。 • 可紀錄、查詢與還原網路檔案傳輸 (FTP)和網頁存取(HTTP)之所有訊息和原始資料。 • ARP spoofing、Ping attack、SYN flooding等異常行為偵測。 • 模組化設計、容易擴充;自由軟體開放原始碼性質,便於推廣與延伸處理。

  16. 技術特色(續)

  17. 技術應用範圍 • 可運用於(合法的)網路監聽、犯罪行為預防與偵查、以及資訊安全與洩漏防範。 • 可監控內部網路進行之相關應用服務,提供管理者做網路使用行為分析所需訊息。 • 適合中小企業內部通訊監察、電話客服中心監控或可讓使用者了解自己的網路使用行為。 • 設計經驗與原始碼可公開給學/業界,降低設計門檻,作為開發相關產品與教學的參考。

  18. 計畫成果展示 • VoIP • SIP & H.323 Phone call in real-time • Multiple phone calls replay (precaptured packets) • FTP • Upload/Download file(s) to/from a remote FTP server • HTTP • Webpage access from a remote Web server • Abnormal Behavior (Intrusion) Detection

  19. 19 2014/9/2

More Related