190 likes | 399 Views
102 年度 國科會自由軟體 計畫結案 報告. 具雲端可擴充性之網際網路通信 監察 II : 自應用服務至入侵 偵測. 計畫主持人:柯開維 共同 主持人:吳和庭老師 國立台北科技大學資工系 軟體發展研究中心 參與人員:張以磊、黃勢棋、潘義傑 計畫編號: NSC 102-2218-E-027-004. 報告內容. 計畫目 標 計畫執行成果 技術特色 技術應用範圍 計畫成果展示. 計畫目標.
E N D
102年度國科會自由軟體計畫結案報告 具雲端可擴充性之網際網路通信監察 II: 自應用服務至入侵偵測 計畫主持人:柯開維 共同主持人:吳和庭老師 國立台北科技大學資工系 軟體發展研究中心 參與人員:張以磊、黃勢棋、潘義傑 計畫編號:NSC102-2218-E-027-004
報告內容 • 計畫目標 • 計畫執行成果 • 技術特色 • 技術應用範圍 • 計畫成果展示
計畫目標 • 網際網路「通訊監察(Lawful Interception)」: 一個合法監聽、記錄網路用戶私密性之網路行為或通信過程,並予以攔截、開拆、讀取通訊內容的強制行為。 • 設計一套「分散式網路事件分析紀錄系統(Distributed Network Event Analyzing and Recording System)」 • 網路電話即時監聽、HTTP及FTP協定分析、紀錄往來資訊 • 查詢、分析、還原及追蹤通訊行為、協助網際網路監查 • 網路異常行為偵測 • 可靈活布建 – 分散式架構 (distributed) • 高協定擴充性 – 模組化 (modularized) • 適合長時間監察 (availability)
計畫執行成果 - 系統架構設計 • 基於雲端運算概念之監聽紀錄系統運作架構 • 截取流經網路上的封包,依據通訊協定加以分類、解析、儲存及組合還原。整個監聽紀錄系統分為三部份: (1)擷取與紀錄系統(IRS):位於區網端,透過WinPcap/libpcap進行封包擷取,整合擷取紀錄,封包排序、重組資料串流儲存為Raw檔,對支援的通訊協定進行摘要、索引; (2)分析系統(AS):位於雲端的處理與記錄系統,負責事件紀錄之呈現、特定紀錄之還原; (3)資料庫系統(DB):儲存事件摘要、IRS上線狀態、IRS設定等。
擷取與紀錄系統: 整合擷取(Sniffer)紀錄、基本協定分析(分類索引,事件摘要) <<擷取與紀錄系統(IRS)模組 分析系統(AS)模組 >> 分析系統:負責事件紀錄之呈現、特定紀錄之還原
系統架構運作流程 使用者透過AS檢視資料庫中的紀錄 1.排序封包、重組資料串流 2.儲存Raw檔 3.對支援的通訊協定進行摘 要、索引 raw檔 使用者可以透過AS對IRS要求特定紀錄之原始檔案,並透過AS的還原功能進行紀錄還原(如網頁畫面還原、VoIP音訊還原) 透過 WinPcap/libpcap進行封包擷取,並透過Jpcap讓 Java 程式存取 可供監聽的網路環境 (未加密的無線網路、hub、mirror port) Log 對每個儲存的原始檔案,產生事件紀錄(Log),記載如發生之時間、通訊協定、IP位置等資訊存放於資料庫 Log DNEARS Req.
系統功能-FTP記錄與還原 • FTP監聽:(1)控制連線-監控目的port為21的TCP連線;(2)登入事件-帳號密碼紀錄;(3)資料連線-檔案紀錄,含主動模式/被動模式之上傳及下載。 FTP紀錄檔案下載完成畫面>
系統功能-HTTP記錄與還原 • HTTP監聽:(1)紀錄HTTP連線串流請求、回應內容;(2)網頁還原-相對/絕對路徑之靜態網頁與外部內容還原。 HTML網頁復原完成畫面>
系統功能-VoIP記錄與還原 • SIP/H323 VoIP監聽:(1)SIP或H.323連線分析;(2)擷取語音封包、紀錄、即時監聽與會話還原。
系統功能-VoIP還原與即時監聽 VAVE轉檔完成畫面 即時監聽畫面
系統佈建型態-1 單一系統集中配置(可攜帶式)
系統佈建型態-2 IRS 多擷取系統、單一網段(電腦效能考量)
系統佈建型態-3 IRS IRS 多擷取系統、多個網段(擴大監察範圍、集中管理)
技術特色 • 使用Java開發,具跨不同作業系統平台之特性。 • 採分散式架構,可靈活布建- 採用雲端通信監控網路傳輸架構,減少雲與端間之交通流量,儲存的能力。 • 具備SIP&H323網路電話之即時監聽、錄音、查詢與還原功能。 • 可紀錄、查詢與還原網路檔案傳輸 (FTP)和網頁存取(HTTP)之所有訊息和原始資料。 • ARP spoofing、Ping attack、SYN flooding等異常行為偵測。 • 模組化設計、容易擴充;自由軟體開放原始碼性質,便於推廣與延伸處理。
技術應用範圍 • 可運用於(合法的)網路監聽、犯罪行為預防與偵查、以及資訊安全與洩漏防範。 • 可監控內部網路進行之相關應用服務,提供管理者做網路使用行為分析所需訊息。 • 適合中小企業內部通訊監察、電話客服中心監控或可讓使用者了解自己的網路使用行為。 • 設計經驗與原始碼可公開給學/業界,降低設計門檻,作為開發相關產品與教學的參考。
計畫成果展示 • VoIP • SIP & H.323 Phone call in real-time • Multiple phone calls replay (precaptured packets) • FTP • Upload/Download file(s) to/from a remote FTP server • HTTP • Webpage access from a remote Web server • Abnormal Behavior (Intrusion) Detection
19 2014/9/2