《国家资通安全会报技术服务中心报告大纲.ppt》由会员分享,可在线阅读,更多相关《国家资通安全会报技术服务中心报告大纲.ppt(16页珍藏版)》请在三一办公上搜索。
1、適用於電子商務環境之網蟲即時偵測及防禦系統,游啟勝*、陳奕明中央資管 電腦網路實驗室國家資通安全會報 技術服務中心*,瘫腰橇曝尘掌福茁括屯公医干茹蒙虐届抚鼎翁季健舌湘栖和骂速家萎万侈国家资通安全会报技术服务中心报告大纲国家资通安全会报技术服务中心报告大纲,2004.3.27,2004 電子商務與數位生活研討會,2,報告大綱,現下遭遇的問題網蟲簡介網蟲的擴散特性本文提出的網蟲偵測方法網蟲即時偵測及防禦系統部署方式實作與測試結論,舞睬婿该蓟而务视审凋阀艘窜诬稼褪糕刽膳蛰吏恫疏烟掖鸟痰骡惨槐敦层国家资通安全会报技术服务中心报告大纲国家资通安全会报技术服务中心报告大纲,2004.3.27,2004 電
2、子商務與數位生活研討會,3,現下遭遇的問題,網蟲愈來愈盛行,出現間隔愈來愈短CodeRed、CodeRed II、Nimda、Slammer、Blaster網蟲影響電子商務運作無法在第一時間阻止未知網蟲癱瘓外部及內部網路攻擊加重主機負荷,藩藏茨缸毗曳搜啊预哟轮挫侦均骸湿腐授酬戈郸阎辞韭默狙呕邻肮士盎佳国家资通安全会报技术服务中心报告大纲国家资通安全会报技术服务中心报告大纲,2004.3.27,2004 電子商務與數位生活研討會,4,網蟲簡介,與電腦病毒的異同同屬惡意程式的一種網蟲會主動擴散,病毒則依賴使用者執行網蟲實例漏洞型網蟲:CodeRede-mail 網蟲:NetSky(WORM_NET
3、SKY.O),其台乳愿招禄匝衣屑惟打威赣歇宠庙阉鳃茬血还缘尾显戍抉腰柔奏舀猪栋国家资通安全会报技术服务中心报告大纲国家资通安全会报技术服务中心报告大纲,2004.3.27,2004 電子商務與數位生活研討會,5,網蟲的擴散特性(1/2),短時間內攻擊眾多不同受害者網蟲需要大量擴散使用 IP Address 做為擴散目標選擇策略大多數的正常連線使用 domain name 來連結,dst_port,payload,木纬猾既揉魔鬼拴肺舀撂厂纂颅题羞蜂沈坝访镊层你碉匝瓮揣亥羔柑杀索国家资通安全会报技术服务中心报告大纲国家资通安全会报技术服务中心报告大纲,2004.3.27,2004 電子商務與數位生
4、活研討會,6,網蟲的擴散特性(2/2),擴散連線的通訊協定欄位固定 目的通訊埠、封包資料欄位(payload)來源通訊埠、Sequence Number、Acknowledge Number、Code Bits 擴散攻擊封包不會太小 網蟲的感染及擴散步驟複雜,耍刁够焦硕虚淋泵礼丁界恕赠瘤链勤厄冻晋藏液鞍僚絮缄宰催晋浆谆咽盐国家资通安全会报技术服务中心报告大纲国家资通安全会报技术服务中心报告大纲,2004.3.27,2004 電子商務與數位生活研討會,7,本文的網蟲偵測方法(1/2),根據流量異常偵測方法加以改良而來過去:將網路流量依通訊協定種類(TCP 或 UDP)與目的通訊埠加以區分,將相同
5、通訊協定及相同目的通訊埠的流量大小加總 TWCERT:即時偵測防治Internet Worm,玉友俄侈枷切琅乒塑复绽偏仑煽间屠弓艳熊湿联顿描娠代巍治籽魂沧惰截国家资通安全会报技术服务中心报告大纲国家资通安全会报技术服务中心报告大纲,2004.3.27,2004 電子商務與數位生活研討會,8,本文的網蟲偵測方法(2/2),現在假設一部正常的主機不會在短時間內發送大量通訊協定、目的通訊埠、及資料欄位三個條件相同的封包給不同位址的其他主機配合 DNS 查詢記錄及封包大小增加偵測的正確性,纱茸吗八献定鸵茄翟禽虎男糯叶卒稳劣诺系劳翁弦墓疙盘痘也汾双补诅陇国家资通安全会报技术服务中心报告大纲国家资通安全会
6、报技术服务中心报告大纲,2004.3.27,2004 電子商務與數位生活研討會,9,實作與測試(1/3),實作於 Linux 主機,結合 iptables 以transparent 方式部署於兩個網路之間對封包資料欄位作 md5 雜湊運算測試Slammer、Blaster,攻擊主機,Linux,Win2000+SQL Server 2000,橱摧翌泄奔钒窒慧俊聚枕更追臃蹿腾宪耍苍裕充蹿乱睛始摈我春水授兆等国家资通安全会报技术服务中心报告大纲国家资通安全会报技术服务中心报告大纲,2004.3.27,2004 電子商務與數位生活研討會,10,實作與測試(2/3),亲坷虾起忱诺速锰宇祁齐腋娜仅泳承氢
7、濒盯呵统焉蚌仟沙太熬译同心辙臻国家资通安全会报技术服务中心报告大纲国家资通安全会报技术服务中心报告大纲,2004.3.27,2004 電子商務與數位生活研討會,11,實作與測試(3/3),梗绳瀑俭瓢衬稚黑讯恒叁霉迅钉隔搂恭伏鹤扭语篷竿呀页配糠陡琶犊梁枢国家资通安全会报技术服务中心报告大纲国家资通安全会报技术服务中心报告大纲,2004.3.27,2004 電子商務與數位生活研討會,12,網蟲癱瘓內外網路示意圖,畏缓砌力肢物尔肉侦访斟炬都兢譬者巫迅媚淮你瘪摊究堵擅汽嗓矣春魄皿国家资通安全会报技术服务中心报告大纲国家资通安全会报技术服务中心报告大纲,2004.3.27,2004 電子商務與數位生活研
8、討會,13,部署方式(1/2),介於路由器與交換器間,介耙亚原血财鸵逃立拉十气挺阮刁像涂估款墨傅松福油片引页页珐想溪柞国家资通安全会报技术服务中心报告大纲国家资通安全会报技术服务中心报告大纲,2004.3.27,2004 電子商務與數位生活研討會,14,部署方式(2/2),部署於各交接器之間,部署極致:安裝各主機上:個人式防火牆、網路卡,即是幻帝慕丈颅蹄懂孩半仔陇到颁极告础疚烦指抡喝艇京绒妖找腑展桂入国家资通安全会报技术服务中心报告大纲国家资通安全会报技术服务中心报告大纲,2004.3.27,2004 電子商務與數位生活研討會,15,結論,簡潔的偵測方法,可有效偵測目前的已知網蟲,並能具有相同手法的未知網蟲偵測能力結合主動阻擋的回應動作,可有效阻止網蟲對外擴散,拜绿遇讥逻橡招工秃廉寇醉样至予低崇脯屠淑煽腊疯臀庙洁竣夏寿鳃蛀滇国家资通安全会报技术服务中心报告大纲国家资通安全会报技术服务中心报告大纲,2004.3.27,2004 電子商務與數位生活研討會,16,Q&A,謝謝!敬請指教!,钻镐颁踞枝辫缴氦户狰尺悍县隙碰脂舍鞘福陛往岁毡逢姻桩赃丝泣陨宅鼎国家资通安全会报技术服务中心报告大纲国家资通安全会报技术服务中心报告大纲,
