實驗資料蒐集

本研究在國立高雄大學資訊管理學系的區域網路環境下進行實驗，在此網路環境 中使用者可從區域網路內部互連、區域網路連向外部網路或從外部網路連入區域網路環 境內的主機等不同方式自由使用網路，在監控網路環境裡的電腦主機確定可分為下列三 種：

 一般使用者用來上網使用的個人電腦主機。

 架設來供人瀏覽或存取資料的網站伺服器主機。

 實驗用的三種跳板伺服程式之測詴主機。

也就是說明了在此實驗網路環境中並無其他的網路跳板主機來干擾本研究的評估

23

結果。本研究的實驗過程中完整的蒐集了兩個星期的網路流量資料，做為本研究的評估 依據。在儲存這些流量資料時我們做了兩點規範：(1) 將網路流量每 5 分鐘做一筆時段 儲存。(2) 每次儲存的網路流量以檔案內起始的流量時間戳記為檔名。在這兩週所蒐集 到的流量資料共有 4029 個時段，其中有使用跳板的時段佔了 1667 筆，而沒有使用跳板 的時段佔了 2362 筆。在這些資料當中除了在資管系區域網路內主機相互連線的連線 外，還有區域網路內的主機與區域網路外的主機連線的紀錄，但不會有在區域網路外兩 台主機間相互的連線資料。以下將介紹三種跳板伺服程式：

 SSH Server

SSH（Secure SHell Server）為一種建立在網路應用層及傳輸層的安全通訊協定，

它傳輸過程中對所傳輸的封包內容加密，可防止遭人竊聽與欺騙。另外，它的傳輸數據 是經過壓縮處理可縮短傳輸的時間，是一種便利且具高隱私性的通訊協定。多數惡意使 用者會利用 SSH 來對跳板主機進行下達指令的動作，在實驗過程中我們將以 SSH 的通 訊協定來連入 SSH Server，之後以其他通訊協定連出到目的主機，來模擬使用 SSH 跳 板的行為。

在 SSH Server 的使用中，若惡意使用者是利用跳板 A 來進行與目的主機的通訊或 下達指令時，在跳板 A 的位置蒐集到的網路流量資料將會是單純的

IP

^使用者

-IP

^跳板A

與

IP

^跳板A

-IP

^目的主機這兩組 IP 連線項目，因為使用者下達指令給跳板Ａ後，跳板Ａ會馬上 傳送給目的主機收目的主機覆再傳送給使用者，所以當使用者真正有使用跳板Ａ來傳送 指令給目的主機

時，IP

^使用者

-IP

^跳板A

與 IP

^跳板_A

-IP

^目的主機這兩組連線項目同時出現的機 率是較高的，本研究的偵測方法就是要從其中的關聯性找出可能使用 SSH 跳板的連線 項目。

24

 Proxy Server

Proxy Server 是一種網際網路的代理伺服器，使用者會透過它來存取網際網路上的 網頁、文件及資訊，使用者是對 Proxy Server 發出要求，由 Proxy Server 收到要求後再 到網路上抓取使用者所要求的資料回來，而被抓取資料的網站只會知道 Proxy Server 有 來擷取資料，並不知道是哪個使用者發出要求的。因此在使用上具有匿名的特性，所以 Proxy Server 經常會被網路入侵者作為另一種型態的跳板來使用。在本研究的資料蒐集 時，讓使用者透過 Proxy Server 來存取網際網路的網頁資料，藉以蒐集在使用 Proxy Server 時所可能產生的網路流量資料。

當使用 Proxy Server 來存取網頁資料時，使用者若是只有存取一個 IP 位置的網頁，

如圖 4-1 所示，當使用者端主機要瀏覽網頁時，會透過 Proxy Server 來對網頁做存取，

此時就會有

IP

^使用者

-IP

proxy server與

IP

proxy server

-IP

^網頁資料兩個連線項目會在同段時間發 生。此情況下因為只存取一個 IP 位置，若使用關聯法則來分析網路流量資料，得到的 結果會與使用 SSH 跳板的結果很類似，會找出兩個經常一起出現的連線項目，但此情 況僅限於 Proxy Server 的使用者在一段時間間隔內只重複瀏覽同一個網頁。Proxy Server 與 SSH 跳板不同的地方在於通常使用 Proxy Server 不會只有單一的網頁資訊，一般使 用者的習慣是接續或同時瀏覽多個網頁，在一段時間間隔內的連線就會如圖 4-2，會存 在多個從 Proxy Server 連出的連線，使用關聯法則演算法來運算這類型的網路流量資

料，

IP

^使用者

-IP

proxy server就會與多個

IP

proxy server

-IP

^網頁資料n的連線項目形成關聯法則，

此時不同於只瀏覽單一網頁時的情況，

IP

^使用者

-IP

proxy server發生時所對到的連線項目就 會變得更多。

25

圖 4- 1 Proxy Server 單一網頁連線圖

圖 4- 2 Proxy Server 多個網頁連線圖

 Socks Server

Socks Server 使用的是 Socks 的網路傳輸協議，這是網路上經常被入侵者架設來做 為跳板使用的工具。它的功能類似於 Proxy Server，但與 Proxy Server 不同的是 Socks Server 在接收客戶端的要求時，並不會看客戶端所使用的通訊協定的類型，純粹的傳遞 客戶端所要求的封包。由於 Socks 的使用是位於網路應用層與傳輸層之間的中間層，所 以傳遞速度是比較快的。在本研究的實驗當中，是用即時通訊軟體 msn 來透過 Socks Server 進行傳輸，並蒐集網路流量資料來進行分析。

由於 msn 在登入帳號及更新朋友列表時是同時連接大量不同 IP 的，如圖 4-3 所示，

Socks Server 的運作型態類似於 Proxy Server，使用者透過 Socks 主機來存取多個 IP 位 置，透過關聯法則演算法的運算所產生的關聯法則的特性也會與 Proxy Server 類似。與 Proxy Server 不同的地方在於，在使用 Proxy Server 時因為是瀏覽網頁的關係，連線項 目受限於使用者點選網頁的速度。在使用者從一個網頁點選連結到另一個網頁時，中間 的時間差距會比較明顯，但使用 Socks Server 時，使用者端發出要求後 Socks Server 對 外所產生的連線項目是同一時間一起產生的，所以同一時間內有可能會有多個連線項目

26

一起出現。

圖 4- 3 Socks Server 連線圖

在文檔中 以關聯法則分析網路流量為基礎偵測潛藏跳板之研究 (頁 29-33)