本研究以蒐集的流量資料來進行關聯法則的運算。關聯法則中的各項變數分別以時 間間格 1 秒、3 秒、5 秒、7 秒和 9 秒,支持度為 5%、10%、15%和 20%,信賴度 20%、
40%、60%和 80%來進行實驗。為了避免因抽樣數量的偏差而造成評估結果的偏誤,每 項測詴都會隨機抽取實際上有使用跳板之時段與實際上沒有使用跳板之時段各 500 個 時段重複 10 次進行運算,並依運算結果算出正確率、準確率及召回率再加以平均,其 完整的實驗結果如附錄,以下將分別探討影響系統偵正確性的相關變因:
表 4- 2 支持度對於偵測正確率之影響
時間間格 信賴度 支持度 正確率 準確率 召回率 3 秒 40% 5% 82.08% 79.59% 86.3%
3 秒 40% 10% 73.42% 80.35% 62.02%
3 秒 40% 15% 62.53% 74.57% 38.06%
3 秒 40% 20% 58.85% 70.63% 30.18%
從運算的結果可以發現,當時間間格與信賴度固定時,正確率會隨著支持度的升高 而下降。表 4-2 為時間間格固定在 3 秒與信賴度固定在 40%時的運算結果,可以從表中 得知,最高的正確率是出現在在支持度等於 5%的結果,最低的正確率是出現在支持度 等於 20%的結果。正確率會依支持度的上升而下降,代表在時段內系統採用較高的支持 度門檻使得被正確判斷為有使用跳板或沒使用跳板之時段減少,這說明在一個時段裡,
多數有使用跳板之連線無法通過支持度的門檻,有使用跳板之連線的比率並非頻繁,只
29
30
31
在實驗的結果中可以發現,支持度影響偵測結果的正確率,當支持度的設定大於有 使用跳板的次數時,實際資料中有使用跳板之時段被判斷為有使用跳板的機率會降低,
也就是結果中召回率的降低,因此也造成正確率的降低。而信賴度影響著找出潛藏跳板 時段的正確度及準確度,在越高的信賴度找出的跳板連線項目會有越準確的結果,但相 對的會犧牲掉信賴度較低的跳板連線項目,造成有較低的召回率。時間間格的設定則是 影響偵測結果的召回率及準確率,當時間間格設定越短時,召回率會有下降的趨勢,但 是判斷有使用跳板之時段的準確率卻有提高的趨勢。
而本研究在時間間格於 3 秒、支持度 5%及信賴度 80%時求出最高的正確率 (83.81%),當中也有相對較高的準確率(84.26%)及召回率(83.16%)。而在時間間格為 3 秒及支持度 5%時,越高的信賴度設定能夠使本研究的關聯法則的偵測模式找出更正確 有使用跳板的時段。
32
第 5 章 結論與未來方向
隨著網路的快速發展,在網際網路上發動的網路攻擊也日趨增加。當中使用跳板主 機來進行攻擊已成為影響網路安全嚴重的威脅因素,但因為這類型的入侵技術並不會有 明顯的徵兆讓管理人員發現,攻擊者可以利用這樣的跳板發動不同形態的攻擊,所以這 類隱匿性潛在的威脅對於網路管理者而言都是嚴重但不易解決的網路安全問題。在本研 究中利用了關聯法則的資料探勘技術,提出了以網路傳輸流量為基礎的偵測潛藏跳板技 術,希望能透過跳板主機、受害主機和入侵者中間的傳輸流量的特性來偵測出可能存在 的隱藏跳板。
在本研究中使用實證的方法來蒐集網路流量資料,在監控的網路環境之內架設了三 種經常被網路上惡意攻擊者所使用的跳板伺服程式:SSH Server、Proxy Server 及 Socks Server。以流量蒐集工具進行兩個禮拜的流量蒐集,蒐集到的 4029 筆資料中包含有使 用跳板的 1667 筆及沒有使用跳板程式的 2362 筆。使用關聯法則的運算找出兩個有關聯 性的連線項目,藉由比對兩個連線項目間是否有相同的 IP 位址作為有無使用跳板的依 據。將判斷的結果分別依支持度、信賴度及時間間格對於實驗結果的影響程度作出評 估。當中最好的正確率為 83.81%,是以時間間格為 3 秒、支持度 5%及信賴度 80%來進 行關聯法則運算。
從實驗的結果顯示,正確率在時間間格 3 秒搭配支持度 5%作運算時會有較好的結 果。時間間格 1 秒時會因有關聯連線被切分在不同時間間隔導致運算結果的召回率偏 低,所找出來的有使用跳板之時段偏少而造成正確率下降。而時間間格在 5 秒、7 秒及 9 秒時因為時間間格的拉長導致單一時間間隔裡連線項目的增加,而使得沒有關聯性的 連線項目被運算為同時出現的機率增加,造成被判斷為有使用跳板之時段增加但準確率 卻下降的情形。所以本研究提出以時間間格為 3 秒、支持度 5%及信賴度 80%來進行網 路流量的運算會得到較好的正確率、準確率及召回率的偵測跳板結果。
33
本研究中偵測技術所用的網路流量特徵觀點雖然與以分段時間差總和為基礎的偵 測方式相近,都是利用「攻擊者在傳送指令給跳板主機後,跳板主機必頇在短時間內把 指令執行或傳送給目的主機」所造成的網路流量中,攻擊者與跳板主機的連線出現的時 間點和跳板主機與目的主機的連線出現的時間點幾乎同時的觀念。但以分段時間差總和 為基礎的偵測方式必頇比對所有連線有流量的時間點差,無法排除掉流量少到可以排除 且無關聯性的連線。而本研究的關聯法則運算過程中因有支持度的門檻可把非頻繁出現 的不必要連線先行過濾掉,找出的兩個連線項目間的關聯性也有信賴度門檻的支持,所 以本研究的偵測技術應該是比以分段時間差總和為基礎的偵測方式在運算效能及可靠 度上會有較好的結果。
因網路中跳板主機的流量資料取得不易,本研究雖然利用關聯法則運算的結果判斷 使用跳板主機之時段有無能達到八成以上的正確率,但只應用於實驗網路中的流量資料 其中尚有諸多限制,本研究提供下列可供後續參考的研究方向:(1)蒐集更多真實網路 跳板流量的資訊,以本研究提出的關聯法則運算及判斷方法測詴,重新評估關聯法則中 各項數據的影響力。(2)在不同的網路環境下測詴本研究所提出的偵測方法的系統效 能,藉以了解本研究所提出的方法是有會隨著不同網路環境的差異而有影響。(3)以不 同的流量蒐集工具對於不同形態的傳輸記錄也能應用本研究所提出應用關聯法則的偵 測模式,相信透過這樣的偵測系統對於未來在網路潛在的跳板主機的偵測能有所助益。
34
參考文獻
1. Zhang, Y. and V. Paxson. Detecting stepping stones. in Proceedings of the 9th USENIX Security Symposium. 2000.
2. Savage, S., et al., Practical Network Support for IP Traceback, in ACM SIGCOMM Computer Communication Review. 2000.
3. Goodrich, M.T. Efficient packet marking for large-scale IP traceback. in Proceedings of the 9th ACM Conference on Computer and Communications Security. 2002.
4. Song, D.X. and A. Perrig. Advanced and authenticated marking schemes for IP traceback. in INFOCOM 2001. Twentieth Annual Joint Conference of the IEEE Computer and Communications Societies. Proceedings. IEEE. 2002.
5. Staniford-chen, S. and L.T. Heberlein, Holding intruders accountable on the internet.
in Proceedings of the 1995 IEEE Symposium on Security and Privacy, Oakland, USA, May, 1995.
6. Yoda, K. and H. Etoh, Finding a connection chain for tracing intruders. Computer Security-ESORICS 2000, 2000.
7. Wang, X., et al. Sleepy watermark tracing: An active network-based intrusion response framework. in Trusted information: the new decade challenge: IFIP TC11 16th International Conference on Information Security (IFIP/Sec'01), June 11-13, 2001, Paris, France. 2001.
8. Blum, A., D. Song, and S. Venkataraman. Detection of interactive stepping stones:
Algorithms and confidence bounds. in Recent Advances in Intrusion Detection. 2004.
9. Donoho, D.L., et al. Multiscale stepping-stone detection: Detecting pairs of jittered interactive streams by exploiting maximum tolerable delay. in Proceedings of the 5th international conference on Recent advances in intrusion detection. 2002.
10. Wang, X., D. Reeves, and S. Wu, Inter-packet delay based correlation for tracing encrypted connections through stepping stones. Computer Security—ESORICS 2002, 2002.
11. Strayer, W.T., et al., An integrated architecture for attack attribution. BBN Technologies, 2001.
12. Yung, K.H. Detecting long connection chains of interactive terminal sessions. in Proceedings of the 5th international conference on Recent advances in intrusion detection. 2002.
13. Wang, X. and D.S. Reeves. Robust correlation of encrypted attack traffic through stepping stones by manipulation of interpacket delays. in Proceedings of the 10th ACM conference on Computer and communications security. 2003.
14. Wang, X. The loop fallacy and serialization in tracing intrusion connections through stepping stones. in Proceedings of the 2004 ACM symposium on Applied computing.
35
2004.
15. Yang, J. and S.H.S. Huang. A real-time algorithm to detect long connection chains of interactive terminal sessions. in Proceedings of the 3rd international conference on Information security. 2004.
16. Yang, J. and S.H.S. Huang. Matching tcp packets and its application to the detection of long connection chains on the internet. in Advanced Information Networking and Applications, 2005. AINA 2005. 19th International Conference on. 2005.
17. He, T. and L. Tong. A signal processing perspective to stepping-stone detection. in Information Sciences and Systems, 2006 40th Annual Conference on. 2006.
18. Wan, M.D., A Clustering-Partitioning Algorithm to Find TCP Packet Round-Trip Time for Intrusion Detection. 20th International Conference on Advanced Information Networking and Applications - Volume 1 (AINA'06), 2006.
19. Xin, J., et al. A testbed for evaluation and analysis of stepping stone attack attribution techniques. in Testbeds and Research Infrastructures for the Development of Networks and Communities, 2006. TRIDENTCOM 2006. 2nd International Conference on.
2006.
20. Zhang, L., et al. Detection of stepping stone attack under delay and chaff perturbations. in 2006 IEEE International Performance Computing and Communications Conference. 2006.
21. He, T. and L. Tong, Detecting encrypted stepping-stone connections. Signal Processing, IEEE Transactions on, 2007. .
22. Yang, J. and S. Huang, Mining TCPIP packets to detect stepping-stone intrusion.
Computers & Security, 2007. 26.
23. Yang, J. and B. Lee, Detecting Stepping-Stone Intrusion and Resisting Evasion through TCP/IP Packets Cross-Matching. Autonomic and Trusted Computing, 2008.
24. Agrawal, R., T. Imielinski, and A. Swami, Mining association rules between sets of items in large databases. ACM SIGMOD Record, 1993. 22.
25. Agrawal, R. and R. Srikant. Fast algorithms for mining association rules. in Proc.
20th Int. Conf. Very Large Data Bases, VLDB. 1994.
36
37
38
時間間格 信賴度 支持度 正確率 準確率 召回率 9 秒 40% 15% 78.12% 75.35% 83.58%
9 秒 40% 20% 73.44% 78.08% 65.18%
9 秒 60% 5% 69.23% 62.70% 94.92%
9 秒 60% 10% 75.83% 70.95% 87.48%
9 秒 60% 15% 77.80% 75.76% 81.76%
9 秒 60% 20% 72.86% 77.69% 64.14%
9 秒 80% 5% 72.12% 65.34% 94.24%
9 秒 80% 10% 77.23% 72.79% 86.96%
9 秒 80% 15% 78.51% 76.57% 82.16%
9 秒 80% 20% 74.07% 78.84% 65.80%