(44.192.70.216) 您好!臺灣時間:2021/05/09 19:26
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果

詳目顯示:::

: 
twitterline
研究生:歐淙富
研究生(外文):Ou, Tsung-Fu
論文名稱:網路安全入侵防護提升之研究
論文名稱(外文):The Study on Improving the Intrusion Prevention of Network Security
指導教授:唐啟儀唐啟儀引用關係
口試委員:唐啟儀鄧衍祥陳宗昫
口試日期:2014-05-09
學位類別:碩士
校院名稱:國防大學理工學院
系所名稱:資訊工程碩士班
學門:工程學門
學類:電資工程學類
論文種類:學術論文
論文出版年:2014
畢業學年度:102
語文別:中文
論文頁數:56
中文關鍵詞:分散式阻斷服務入侵偵測Snort
外文關鍵詞:Distributed Denial-of-ServiceIntrusion detectionSnort
相關次數:
  • 被引用被引用:2
  • 點閱點閱:494
  • 評分評分:系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔
  • 下載下載:95
  • 收藏至我的研究室書目清單書目收藏:0
隨著網路普及率逐年成長,網路攻擊也層出不窮,分散式阻斷服務攻擊是常見的威脅之一。為了確保企業自身的網路安全,建置入侵防護系統為不可或缺的方法。由於開放原始碼(Open Source)軟體的興起與其可客製化的功能性,使得免費的入侵偵測系統軟體─Snort廣受歡迎。
Snort在應用上多以入侵偵測的角色為主,透過偵測到攻擊產生警訊後,通知管理者或SIEM(Security Information Event Manager)設備,但此方式並無法在面對攻擊時,即時阻斷攻擊來源。Snort可透過部署的架構方式或統計IP的權重來判斷是否遭受攻擊,但若核心的偵測引擎與規則無法偵測到此類攻擊,恐導致偵測效率不彰。因此,強化Snort對分散式阻斷服務攻擊的防護能力,為本論文主要探討的議題。
本論文提出將Snort以In-Line的方式安裝於路由器上,確保Snort可以監聽到完整的網路流量,並在攻擊發生時即時將攻擊阻絕於外。接著針對常見的Ping-of-Death、Smurf與TCP SYN Flood等三種攻擊,透過Wireshark軟體分析其與正常流量間的差異,分別提出偵測演算法,再實作至偵測引擎。經實驗證明,本論文提出之偵測演算法與架構,可順利偵測到上述三種分散式阻斷服務攻擊,同時將攻擊來源阻絕於外,且不影響合法使用者的網路操作行為,有效提升Snort入侵防護之能力。

關鍵詞:分散式阻斷服務、入侵偵測、Snort。
With the population of using Internet growing year by year, the attacks of Internet also grows. The Distributed Denial-of-Service(DDoS) attack is one of the threats in network security. To ensure the network security of enterprises, building an intrusion prevention system is necessary. Since the rise of open-source software and its customizable function, Snort becomes more and more popular.
Snort plays as an intrusion detection role mostly, generates alerts while attacks occur, and notify the manager or SIEM device. But it can’t block the sources of attacks immediately. Snort may judge if the network environment now is under attack through architecture of deploy changing or counting each IP weights. But if the detection engine in Snort can’t detect the attack, the method of above may fail. Therefore, how to enhance the protection ability for DDoS of Snort is the issue this paper discusses.
This paper presents that setup Snort in router by In-Line mode to ensure that it can listen full network traffic, and blocks the attack when it occurs immediately. Then use the Wireshark to analyze the difference between Ping-of-Death, Smurf, and SYN Flood attack and normal network traffics, proposes detection algorithms, and implements them to the detection engine. The experiments proved that the detection algorithms and architecture this paper proposed can detect the attacks above, and blocks them immediately, and doesn’t affect the behavior of legitimate users, effectively increasing the ability of intrusion prevention of Snort.

Keywords: Distributed Denial-of-Service, Intrusion detection, Snort.
誌謝 ii
摘要 iii
Abstract iv
目錄 v
表目錄 viii
圖目錄 ix
1. 緒論 1
1.1 研究動機 1
1.2 研究目的 3
1.3 論文架構 4
2. 背景知識與相關文獻探討 5
2.1 阻斷服務攻擊 5
2.2 分散式阻斷服務攻擊 6
2.2.1 Ping-of-Death 7
2.2.2 Smurf 8
2.2.3 SYN Flood 9
2.3 分散式阻斷服務攻擊之偵測防護 12
2.3.1 資料探勘 12
2.3.2 Snort 12
2.3.3 分析比較 16
2.4 Snort運作方式與規則 17
2.4.1 運作模式 18
2.4.2 運作流程 20
2.4.3 規則撰寫 23
2.4.3.1 Rule Header 23
2.4.3.2 Rule Option 25
3. 研究方法 26
3.1 問題定義 26
3.2 設計構想 27
3.2.1 測試環境建立 27
3.2.2 測試工具與軟體使用 28
3.2.3 偵測規則演算法設計 31
3.2.3.1 Ping-of-Death攻擊之偵測演算法 31
3.2.3.2 Smurf攻擊之偵測演算法 32
3.2.3.3 SYN Flood攻擊之偵測演算法 34
4. 實驗結果與分析 36
4.1 Snort基本參數設定 36
4.2 偵測規則撰寫與測試分析 36
4.2.1 Ping-of-Death防護 36
4.2.1.1 偵測規則說明 36
4.2.1.2 限制條件 37
4.2.1.3 結果與分析 38
4.2.2 Smurf防護 40
4.2.2.1 偵測規則說明 40
4.2.2.2 限制條件 41
4.2.2.3 結果與分析 41
4.2.3 SYN Flood防護 44
4.2.3.1 偵測規則說明 44
4.2.3.2 限制條件 45
4.2.3.3 結果與分析 45
5. 結論與未來研究 52
參考文獻 54
自傳 56
[1]http://www.ithome.com.tw/node/83063 (2013.10.4)
[2]http://www.prolexic.com/knowledge-center-ddos-attack-metrics-2013-q1-infographic.html(2013.10.7)
[3]馬淑貞,”以網路流量資料探勘協助進行阻斷服務攻擊偵測與防禦之研究”,碩士論文,國立中山大學資訊管理學系,高雄,第2-3頁,2005。
[4]http://zh.wikipedia.org/ (2013.5.1)
[5]http://www.informationsecurity.com.tw/article/article_detail.aspx?(2013.10.7)
[6]賽門鐵克公司,”2013年網路安全威脅研究報告”,賽門鐵克公司,臺灣,第18期,第4-17頁,2013。
[7]http://zh.wikipedia.org/ (2013.10.7)
[8]The Snort Project, “Snort User Manual 2.9.5”, The Snort Project, pp. 13-17, 175-225, 2013.
[9]Baker, R. A., Esler, J., Kohlenberg, T., Snort IDS and IPS Toolkit, Syngress, pp. 32-47, 2007.
[10]http://www.cert.org/tech_tips/denial_of_service.html(2013.10.14)
[11]Liu, W., "Research on DoS Attack and Detection Programming," Intelligent Information Technology Application, 2009. IITA 2009. Third International Symposium on , vol.1, pp.207,210, 21-22 Nov. 2009.
[12]http://tools.ietf.org/html/rfc792(2013.10.14)
[13]http://www.cert.org/advisories/CA-1996-26.html(2013.10.14)
[14]Zargar, G. R., Kabiri, P., "Identification of effective network features to detect Smurf attacks," Research and Development (SCOReD), 2009 IEEE Student Conference , pp.49,52, 16-18 Nov. 2009
[15]http://www.ietf.org/rfc/rfc793.txt(2013.10.15)
[16]http://www.cert.org/advisories/CA-1996-21.html(2013.10.15)
[17]Wu, Y. C., Tseng, H. R., Yang, W., Jan, R. H., "DDoS Detection and Traceback with Decision Tree and Grey Relational Analysis," Multimedia and Ubiquitous Engineering, 2009. MUE '09. Third International Conference , pp.306,314, 4-6 June 2009.
[18]Ye, C., Zheng, K., She, C., "Application layer ddos detection using clustering analysis," Computer Science and Network Technology (ICCSNT), 2012 2nd International Conference, pp.1038,1041, 29-31 Dec. 2012.
[19]沈文吉,”網路安全監控與攻擊行為之分析與實作”,碩士論文,國立台灣大學資訊管理研究所,臺北,第37-41頁,2001。
[20]Khatoun, R., Doyen, G., Gaïti, D., Saad, R., Serhrouchni, A., "Decentralized Alerts Correlation Approach for DDoS Intrusion Detection," New Technologies, Mobility and Security, 2008. NTMS '08. , pp.1,5, 5-7 Nov. 2008.
[21]Liu, H., Kim, M. S., "Real-Time Detection of Stealthy DDoS Attacks Using Time-Series Decomposition," Communications (ICC), 2010 IEEE International Conference, pp.1,6, 23-27 May 2010.
[22]吳家榮,陳彥祐,韓端勇,謝德興,電腦網際網路,全華科技圖書,臺北,第83-84頁,2004。
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top
系統版面圖檔 系統版面圖檔