第一章 前言
隨著乙太網路設備的提昇,在台灣現今大多數網際網路的各使用單位在建立區域網 路(LAN, Local Area Network)時都以交換器(Switch)取代原先老舊分享頻寬的集線器 (Hub),這對使用者而言除了在傳輸速度有大幅度的改善外,在傳輸的環境上也較原先 分享頻寬的路由環境更為安全。使得傳統以竊聽程式(Sniffer)在共享網路上所造成的危 害有大幅度的改善,這也使得許多網路管理人員疏忽了這類型攻擊潛在的影響。但近年 來隨著 ARP 欺騙的攻擊技術的普及,這類被動竊聽(Passive Sniffing)方式又以新的形態 對於網路構成嚴重的威脅,觀察近年的網路異常事件,這類的網路攻擊有越來越多的趨 勢[9]。
ARP 欺騙攻擊[22]的運作原理是由攻擊者在乙太網路技術所架構的區域網路內發 送假造的 ARP 封包到網路上,給特定的網路受害者和預設通訊閘(Default Gateway),其 目的是要讓傳送至受害者位址的流量被錯誤導引到攻擊者的位址。藉以竊聽所處的區域 網路內所傳送的重要資訊,如重要主機系統、電子佈告欄系統(BBS, Bulletin Broad System)以及電子商務交易網站等的帳號與密碼,或是受害者傳送與接收的電子郵件 (E-mail)與瀏覽網頁的內容,甚至將原始傳送的資料居中篡改後再傳送回受害者,造成 被攻擊者更大的損害。攻擊者也可利用這樣的技術將受害者的封包導到不存在的位址以 達到阻斷網路連線的效果。這類的攻擊往往在區域網路內發生,對於現階段的網路管理 人員而言,這類的攻擊是不容易被偵測與防禦的一種攻擊形式。
在網路設計時經常會依不同的網路需求,切分出不同大小的子網路以隔離各個子網 路中封包傳遞的相互干擾,並且避免廣播封包過多造成廣播風暴的情況而影響其他使用 者。在各子網路中以目前乙太網路的傳輸設備多以交換器為主,在這種網路環境下對於 以 ARP 欺騙的攻擊方式,要以目前以封包特性(Signature Base)為偵測方法的入侵偵測
2
系統而言是困難的。因為這類的偵測方法必需要將監測系統架設於所欲監控的區域網路 流量流經的網路環境下,才可以有效的偵測出攻擊事件的發生。以目前學術網路普遍的 網路環境下,必需要在各個子網路中都得放置這樣的偵測系統才可以有效的找出攻擊來 源。而這樣全面的架設入侵偵測系統在成本上的考量對於網際網路內的各使用單位都是 較為困難的負擔。
因此,若我們能利用網路流量的特性,以資料探勘的技術區分出 ARP 欺騙攻擊發 生時攻擊者與一般使用者的流量差異,則可以較少的成本有效的監控不同網段大規模的 網路範圍,找出可能發動 ARP 欺騙攻擊的來源並進一步的加以防禦,將可以有效的提 昇網路安全,並減少這一類網路攻擊的威脅,相信這是一個值得我們努力的研究方向。
在本研究中,我們收集網路設備中的 SNMP 網路流量資訊,並使用 3 種資料探勘 中的分類分析技術,其分別為貝氏分類法、決策樹分類法以及支援向量機分類法,希望 能夠藉由分類預測的方式,偵測出區域網路中是否有 ARP 欺騙攻擊事件發生。此外,
本研究亦嘗試以一分鐘、三分鐘以及五分鐘等,三種不同的時間間隔收集網路流量資 料,觀察本研究之偵測系統是否易受不同之資料收集時間間隔的影響,以及哪種資料收 集時間間隔可以兼顧預測準確性與對攻擊反應之即時性。
本論文的第一章說明本研究之時空背景以及我們的研究動機與目的。在第二章會討 論先前既有之專家學者在偵測 ARP 欺騙攻擊以及相關攻擊之領域的研究。第三章為本 論文的研究架構,在此章節提出我們的系統架構說明我們如何結合 SNMP 工具與資料 探勘的技術在所轄之區域網路的範圍內進行防禦偵測。第四章則是本論文在模擬現實狀 況之實驗網路環境中,取得攻擊與正常使用之網路流量,彙整出六個變數,利用此六個 變數在不同的資料探勘方法中,評估其分類效果之準確性。並分析此六個變數在本研究
3
之偵測系統中分類預測的重要性。最後在第五章的部分,為本研究之結論,與未來的研 究方向。
4