第四章 實證評估
第三節 實驗結果
第三節 實驗結果
在執行實驗的這段期間,而NetFlow 流量記錄共有 1,115 筆記錄,而 Snort 入侵偵測系統回報了 119 筆攻擊警告記錄,表 8 是警告記錄種類彙整。所有的 警告記錄中,只有60 筆 “NORT SCAN SSH brute force login attemp” 型態的攻擊 資料是這次實驗中攻擊行為導致的,其中 30 筆記錄的攻擊來源是主機 H1,而 另外30 筆的來源是主機 H2 “SNORT SCAN SSH brute force login attemp” 型態的 攻擊警告即代表針對 SSH 協定密碼暴力攻擊的警告類型,這個警告的比對規則 是追蹤單一主機對單一主機 TCP 埠號 22 的連線次數,若連線頻率超過每分鐘 五次則將連線的客戶端主機視為暴力破解攻擊來源,而發出警告訊息。其它攻 擊記錄經過檢視,結果都與這次多重攻擊實驗無關,並且多半屬於誤報,另外 六筆 SSH 協定密碼暴力攻擊的警告記錄是對實驗網路中其他主機為目標的攻擊,
這些攻擊不是實驗中的行為,其目標也不是這次實驗所安排的受害主機。所以 在這次實驗中,安裝的 Snort 入侵偵測系統對於這次多重攻擊實驗中的各個攻 擊步驟,只能發現 A1對H1和 H1對 H3所進行的SSH 協定密碼暴力攻擊,而不 能偵測到 H1對 H2所進行的攻擊動作以及攻擊者掃描網路主機、下載惡意軟體、
登入殭屍網路等惡意行為。
表8 攻擊實驗 Snort 入侵偵測系統警告記錄彙整
次數 攻擊事件種類
23 SNORT BAD-TRAFFICdns cache poisoning attempt 1 SNORT BAD-TRAFFIC
potential dns cache poisoning attempt mismatched txid 26 SNORT BAD-TRAFFIC TMG Firewall Client
long host entry exploit attempt
69 SNORT SCAN SSH brute force login attempt
在 收 集 、 整 理 攻 擊 實 驗 這 段 期 間 的 Snort 入 侵 偵 測 系 統 警 告 記 錄 和 NetFlow 流量記錄後,以本研究所提出的系統先進行情節探勘的處理。在 NetFlow 彙整時間間隔為 120 秒、Snort 入侵偵測系統警告記錄彙整時間間隔為 45 秒、最小支持度為 0.03、最小信賴度為 0.7、視窗長度為 300 秒時,可得到 67,269 筆頻繁情節以及 90,242 筆情節規則。表 9 所列之情節規則是經檢視本研 究所偵測發現之重要情節規則,表中列有情節的支持度、信賴度、LHS 以及 RHS 等。情節規則中由大括號所包圍的事件表示在同一個時間點發生的事件。
表9 警告記錄相關頻繁規則
{OctetsGroup=>136_A1_H1, PackCntGroup=>3_A1_H1, Port=22_A1_H1}
RHS
{OctetsGroup=>136_H1_8.8.8.8, PackCntGroup=>3_H1_8.8.8.8, Port=53_H1_8.8.8.8},
{SNORT_SCAN_SSH_brute_force_login_attempt_A1_H1}, {OctetsGroup=>136_A1_H1,
PackCntGroup=>3_A1_H1, Port=22_A1_H1},
{SNORT_SCAN_SSH_brute_force_login_attempt_A1_H1}, {SNORT_SCAN_SSH_brute_force_login_attempt_A1_H1},
說
{OctetsGroup=>136_A1_H1, PackCntGroup=>3_A1_H1, Port=22_A1_H1}
RHS
{OctetsGroup=>136_H1_8.8.8.8, PackCntGroup=>3_H1_8.8.8.8, Port=53_H1_8.8.8.8},
{SNORT_SCAN_SSH_brute_force_login_attempt_A1_H1}
說 明
利用非封閉的頻繁情節所推導出的情節規則,明確表示 SSH 協定流量、DNS 請求以及 SSH 暴力攻擊事件之間 的關聯。
3 0.038 1.0
LHS
{SNORT_SCAN_SSH_brute_force_login_attempt_A1_H1}, {SNORT_SCAN_SSH_brute_force_login_attempt_H1_H3},
RHS
{SNORT_SCAN_SSH_brute_force_login_attempt_A1_H1}, {SNORT_SCAN_SSH_brute_force_login_attempt_A1_H1}, {OctetsGroup=>136_A1_H1,
PackCntGroup=>3_A1_H1, Port=22_A1_H1},
{SNORT_SCAN_SSH_brute_force_login_attempt_A1_H1} {SNORT_SCAN_SSH_brute_force_login_attempt_A1_H1}
說
{SNORT_SCAN_SSH_brute_force_login_attempt_A1_H1}, {OctetsGroup=>136_H1_A3,
PackCntGroup=>3_H1_A3, Port=6667_H1_A4},
{SNORT_SCAN_SSH_brute_force_login_attempt_A1_H1}
RHS
{OctetsGroup=>136_A1_H1, PackCntGroup=>3_A1_H1, Port=22_A1_H1},
{SNORT_SCAN_SSH_brute_force_login_attempt_A1_H1}, {SNORT_SCAN_SSH_brute_force_login_attempt_A1_H1}, {OctetsGroup=>136_H2_A4,
PackCntGroup=>3_H2_A4, Port=6667_H2_A4}
說 明
在A1以SSH 密碼暴力破解攻擊 H1後,受害主機H1、 H2連接IRC 主機成為殭屍網路的一員。
5 0.077 0.75
LHS {SNORT_SCAN_SSH_brute_force_login_attempt_A
1_H1},RHS
{OctetsGroup=>136_H2_A4, PackCntGroup=>3_H2_A4, Port=6667_H2_A4}
攻擊,2. A1對H1進行SSH 密碼暴力破解攻擊,3. 主機 A1向主機H1的SSH 服 務連線,同時連線的封包數較大且位元數較大,3. A1對 H1進行 SSH 密碼暴力 破解攻擊,4. A1對 H1進行 SSH 密碼暴力破解攻擊,所構成的序列事件情節。
因為 Snort 入侵警告記錄和 NetFlow 網路流量記錄使用不同的彙整時間間隔,
所以沒有在規則中 SSH 連線事件數和入侵警告記錄數不相等。從編號 3 的規則 可以看到 A1對 H1的攻擊事件和 H1對 H3的攻擊是事件是有所相關性的,觀察 到攻擊者自 A1成功入侵 H1後,以 H1作為跳板攻擊,但是還是完成對 H1尚未 完成密碼破解動作的實驗步驟,而這樣子的關係是以傳統樣式比對為基礎的入 侵偵測系統所不能偵測的。
表 9 編號 4 是情節探勘演算法產生的頻繁情節規則,表示發生下列情節:
1. A1對 H1進行SSH 密碼暴力破解攻擊,2. H1向 A4的IRC 伺服器請求連線,
3. A1對H1進行SSH 密碼暴力破解攻擊後,將發生下列的情節:1. 主機 A1向主 機H1的SSH 服務連線,同時連線的封包數較大且位元數較大,2. A1對H1進行 SSH 密碼暴力破解攻擊,3. A1對 H1進行SSH 密碼暴力破解攻擊,4. H2向 A4
的 IRC 伺服器請求連線。從此情節規則可以觀察到實驗中攻擊者在成功入侵被 害主機後,讓被害主機連線到殭屍網路命令與控制伺服器,也觀察到攻擊受害 過程沒有被 Snort 所偵測到的 H2主機也連線到相同的IRC 伺服器。為了進一步 了解 A1對 H1的攻擊與 H2連接 A4 IRC 伺服器的關係,透過封閉情節的特性,
如同找出編號 2 規則的方法,從產生的封閉頻繁情節推算出編號 5 的規則。該 規則表示當發生 A1對 H1進行 SSH 密碼暴力破解攻擊後,將發生 H2向 A4的 IRC 伺服器請求連線的頻繁情節規則,而此規則的信賴度為 0.75,於是可以認 定主機 H2是 A1所啟動的多重攻擊事件中的隱藏攻擊行為的可疑受害者,而這 符合了實驗中 H1在遭受攻擊後被作為跳板攻擊網內 H2主機的過程。以編號 4 和編號 5 的觀察得知,本研究能夠以情節探勘演算法找出潛藏的攻擊行為。類 似潛藏的攻擊性為和隱蔽的受害主機往往不能被網路管理人員和入侵偵測系統 所發現並處理,成為未來網路環境中的不定時炸彈,而攻擊者也希望透過這些 隱藏的手法躲避偵查,所以本研究的實驗結果能夠找出如此的受害主機對網管 人員有所幫助。
在67,269 筆頻繁情節之中牽涉的主機只有 H1、H2、A1、A4以及 DNS 伺服 器,出現在情節中的網路服務只有 SSH、DNS、IRC 和 Auth,沒有其他與這次 攻擊實驗不相關的主機、通訊協定被包含在頻繁情節中,所以在實驗結果並沒 有其他主機的流量被誤判為多重攻擊行為中的可疑行為。再以情節探勘所發現 的可疑主機 IP 過濾 NetFlow 網路流量資料,留下從這些 IP 流出或流入的流量,
然後進一步過濾掉已知的主機掃描和暴力破解等行為所留下的記錄,便可以觀 察受害主機的網路連線記錄。
圖10 受害主機連線關係圖
圖10 即為實驗時受害主機的連線關係圖,主機間的線段和標示代表主機之 間的連線以及使用的通訊協定,而箭頭的方向是客戶端連線到伺服端的方向。
從中可以發現 H1和 H2都同時向主機 A3的網頁服務送出請求,而這行為正是多
A
2H
2H
1A
3HTTP
IRC Auth
HTTP
DNS Server
DNS
IRC Auth DNS
重攻擊行動中下載惡意程式的行為記錄。然而這些每個受害主機只下載一個檔 案,而且該檔案已經經過壓縮減少位元數,於是下載的連線並沒有持續很長時 間,一個下載動作只在 NetFLow 記錄中留下一筆資料,所以頻繁情節探勘演算 法不容易發現此事件。由 IRC 伺服器向客戶端傳送的 Auth 服務的請求是在伺 服器接受到請求後,為了知道該連線請求是由連線主機的哪一帳號所執行的連 線,所以 Auth 的連線記錄也只有在起始建立 IRC 連線時才出現,也不容易在 頻繁探勘中發現這類型的事件。網管人員可以透過情節探勘所產生的頻繁情節 搭配自NetFlow 記錄所過立的連線關係圖了解多重攻擊的完整面貌。