Download
slide1 n.
Skip this Video
Loading SlideShow in 5 Seconds..
認識網路安全與異常偵測 PowerPoint Presentation
Download Presentation
認識網路安全與異常偵測

認識網路安全與異常偵測

153 Views Download Presentation
Download Presentation

認識網路安全與異常偵測

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. 認識網路安全與異常偵測 中央大學 電算中心 楊素秋 96年 11月 13日

  2. 報告大綱 • 1. 網路安全問題 • Viruses, Worms, Dos attack • 2.網路安全因應對策 • Customer-based countermeasures • ISP-based countermeasures • 3. Detection & Notification System • End-based, LAN-based, WAN-based (ISP) • 4. 結語

  3. 1. 網路安全問題 • 網路安全的挑戰 • Viruses • Large amount of program replication • Mail virus • Attached in email • Infect system by enduring user clicking the attached • Resend large amount of mail virus • Self-propagating programs, … • Spread through toxic web page browsing

  4. 1.網路安全問題(cont.) • Worms • Self-propagating programs spread over Internet • Spread by scanning the network for vulnerable machines & infecting them • Evolution of network worms • Spread through system vulnerability • CoRed (Jul 2001) • Spread through system vulnerability & tftpd • Nimda, Nachi (Sep 2001) • Spread through system vulnerability & mail virus • SoBig ( Aug 2003), MyDoom(jan 2004),Bagle (2004) • Spread through system vulnerability & Toxic web-pages • Stanty (Dec 2004)

  5. 1.網路安全問題(cont.) • BotNet • Zombie army • Distributed through Irc (network chat room) • 6667/tcp • Dos attack • Slam well known web server (MicroSofts, Google, …) • Flooding-based DDoS attack • Significant performance decline of network link • Identification thief • Spyware, Phishing (banks, ebay, paypal, …

  6. 1.網路安全問題(cont.) • Technical Hackers • Show their skill • Technical Hackers + Criminal gang • Enormous profits • The weak link in Internet Security • A significant population of Internet users are not adequately secure their desktops

  7. 2.網路安全因應對策 • Where security countermeasures could be invoked • Customer-based countermeasures • ISP-based countermeasures** • ISP core/edge/access routers

  8. 2.網路安全因應對策(cont.) • Customer-based countermeasures • Anti-virus software • Firewall, IDS • OS Vender s/w patch • Windows Update • Linux Up2date • S/W Vender’s Security Improvements • Desktop Vulnerability Checking • Firewall == Secure ?? (Incorrect)

  9. 2.網路安全因應對策(cont.) • Why ISP’s are uniquely positioned to help • John E.H. Clark (Feb 2003) • Traffic gateway • All traffic bw. Internet & the customer’s desktop passes through ISP’s access • Skilled network managers • Well organized network user information • High efficiency, wide range protection

  10. 2.網路安全因應對策(cont.) • ISP-based countermeasures • a) Measuring & monitoring traffic • to/from customer • b) Bi-direction IPS at ISP access • 50% ~ 60% of junk attack traffic • c) Ingress address filtering at ISP access • In-line with the traffic being monitored • d) User’s awareness & training effort

  11. 3. Detection & Notification System • Signature Detection • Packet payload • anomaly detection • Packet-based • Tcpdump (snooped over subnetworks) • Flow-based • Netfow (exported by router / switch)

  12. 3. Detection & Notification System(cont.) • Our works • 遭感染 /誤用的主機系統 • 持續,頻繁地建立網路連接到單一或多部主機,源自遭感染主機的超量傳訊特徵 • flow連接 驟增 • 封包量驟增 • 超量訊務持續時段明顯拉長 • 本研究擷取節點router Netflow 轉送紀錄 • 實做Flooding Detection System, FDS

  13. 3. Detection & Notification System(cont.)

  14. 3. Detection & Notification System(cont.) • PortScan訊務特徵 • 源端主機要求建立的多個PortScan flows,集中在特殊的弱點 • 由目的主機回應給源端主機的port number卻分散於大範圍的1024 ~ 65535.

  15. 3. Detection & Notification System(cont.) • 選擇3項NetFlow辨識特徵 • (1)source IP 位址 (src_IP) • (2)destina- tion應用埠(dst_port) • (3)小TCP封包 • 使Feature-based訊務累計程式 • 僅加總超速傳送 SYN|FIN TCP handshaking 封包往大量連網主機特殊弱點ports的source 主機, 突顯Portscan問題主機

  16. 3. Detection & Notification System(cont.) • SMTP Flooding (Spam) 訊務特徵 • 類似Portscan傳訊特徵 • spam源端主機 • 持續傳送超量SMTP (Simple Mail Transfer Ptorocol)訊務往多部主機 • 主機outbound的連接數突然暴增 • 超量SMTP傳送時段也呈明顯拉長

  17. 3. Detection & Notification System(cont.) • Packet Flooding 訊務特徵 • 產出鉅量的UDP/ICMP Flooding封包 • 阻斷選定主機的對外服務 • 壅塞沿徑routing網段 • 選擇source (src_IP) 為virtual flow • 累計程式僅統計source IP 傳送的 • 超大量UDP / ICMP Packet/ Byte/ Flow訊務 • 偵測與自動通告DDoS攻擊

  18. 3. Detection & Notification System(cont.) • Flooding 異常訊務偵測系統 • Feature-based訊務累計/排序程式 • 加總每一source IP主機送往各destination port的flow數,packet數, byte數,與mean packet size訊務變量, • Multi-thresholds異常偵測程式 • 累計各時段source主機建立的 • flow [sourcei],packet [sourcei], • byte[sourcei], pkt_size[sourcei] • 加總其發送超量TCP封包的持續時段duration[sourcei] • 與估定臨界質比對,篩選得PortScan sources.

  19. 3. Detection & Notification System(cont.) • Flooding 異常訊務的自動通告 • 萃取 ip_routing table • Router ipRoute SNMP MIB • 建置與啟動RWhois IP管理資料查詢系統 • 讀取異常訊務數據 & 自動通告

  20. 3. Detection & Notification System(cont.) • Flooding 異常訊務的自動通告(cont.) • 擷取骨幹router的數萬筆routing • snmpwalk ipRouteMask (1.3.6.1.4.21.2.1.11) • snmpwalk ipRouteNextHop (1.3.6.1.4. 21.2.1.7) • 萃取/重建龐大 ip_routing 紀錄 • 構建符合RWhois network schema資料庫 • 結合NextHop 紀錄與管理聯絡資訊 • 連線學校 IP管理資訊查詢 • http://susan.tyc.edu.tw/~yang/rwhois.php?ip=140.115.1.12

  21. 4.結語 • Flooding異常訊務偵測系統(FDS) • aggregate router NetFlow轉送紀錄 • 自動偵測PortScan, Spam與 packet flooding攻擊訊務 • 透過 Rwhoisd IP 管理資訊的查詢 • 自動將具體的異常訊務通告該網路用戶 • 促使其補強系統安全,阻截flooding攻擊

  22. 4.結語(cont.) • 據幾年來的使用經驗 • 網路匯集點的異常偵測系統能偵測多變的 • portscan 訊務 (不斷翻新的弱點 ports) • Spam • packet flooding事件 • 具體的flooding 訊務數據 • 能協助網管人員掌握異常源端主機 • 聯絡用戶並分析其主機 flooding現象

  23. Thank You!

  24. 桃園區網 abuse通告分布 中央大學 電子計算機中心 楊素秋(center7@cc.ncu.edu.tw)

  25. 報 告 大 綱 • 1. abuse complaint 自動轉通告 • 2. abuse年度統計 • 3. abuse分類統計 • 4. P2P traffic target system • http://163.25.255.22/~yang/index_abuse_emule.php • http://163.25.255.22/~yang/index_abuse_emule_port.php • 5.總結

  26. 1.Abuse complain 自動轉通告 • Abuse complaint 轉通告系統 • 定時接收 abuse complaint mail file • abuse@ncu.edu.tw (/var/mail/abuse) • 切割/分類 abuse 通告信 • PortScan/Password crack (安全弱點掃描) • Spam (廣告/色情信) • Infringement (侵犯智慧財產權) • Phishing (網路詐騙) • 轉通知負責人員,並儲存資料庫記錄.

  27. 1.Abuse complain 自動轉通告(cont.) • 系統處理程序如下: • 讀取 abuse@ncu.edu.tw mail file, 切割/儲存 各單封信件 • 執行 dbacl(digramic Bayesian text classifier): 分類各單封信件abuse type(spam, infringe, portscan, phish). • 掃描 target IP 位址,並將 IP, abuse 類別存檔 • 以 IP 為key,連接 Rwhois Server, 查詢管理員 emai.,並將原信件寄發對應的管理員.

  28. 1.Abuse complain 自動轉通告(cont.) • 系統成效: • 節省一名處理abuse通告的網路管理人力. • 能即時地處理轉通告,不會因假期延誤通告. • 資料庫建檔 • 提供on-demand abuse資料查詢網頁.

  29. 2. abuse年度統計 • 93年(2004) • 94年(2005) • 95年(2006) • 96年(2007)

  30. 3.Abuse分類統計 • 智財權(Infringement) • 廣告信 (Spam) • PortScan • Phishing

  31. 163.30.*.*

  32. 4. Abuse 歷史紀錄查詢 • URL • http://ayang.tyc.edu.tw/Tyc_Abuse/Tanet/summ_notify.php • 單月統計 abuse complaint 分類 • 選擇 年度,月份 • 96-01 • 95-12