系統架構

第一節 系統架構

本文所提出的偵測網際網路多重攻擊架構是整合了入侵偵測系統的回報記 錄以及網路流量資料，對這些資料以情節探勘進行分析研究，再由分析結果觀 察、發現可疑的活動記錄。圖 4 所描述的是所描寫的是本文所提出的網際網路 多重攻擊分析系統架構，此架構的目的是為了偵測從外部對被監測之內部網路 的多重攻擊事件。系統中有蒐集Snort 入侵偵測系統異常事件記錄和 Netflow 網 路流量資料的資料庫，以及進行情節探勘分析的相關工具。Snort 和 Netflow 分 別收集網路異常事件記錄和所有的流量記錄，這些資料收集彙整後傳遞給分析

主機，分析主機便使用情節探勘技術分析異常事件和網路流量間的關係。最後，

分析主機所產生的多重攻擊行為模式將會傳送到監測主機，由監測主機對即時 網路的流量行為監測，防範網際網路多重攻擊行為。接下來本文將分項說明分 析網路多重攻擊系統架構。

  圖4 多重攻擊偵測系統架構圖

NetFlow 網路流量紀錄

Snort 攻擊警告紀錄

資料前處理

情節探勘

過濾情節

過濾可疑主機 流量行為 檢視可疑情節

資料彙整 時間間隔參數

多重攻擊 偵測模組

• Snort 入侵偵測系統  

Snort[14] 入侵偵測系統是由 SOURCEFire 所研發的開放原始碼入侵偵測系 統，它的設計讓所有裝上 Snort 的電腦都可以即時檢查網路封包內容有無惡意 攻擊行為。Snort 是以錯誤使用技術為基礎作偵測，在已知攻擊行為的動作和特 殊關鍵字串的基礎上，它可以對各種網路通訊協定的內容作分析和比對檢查，

找出許多種類的網路攻擊或是網路弱點偵測，如緩衝區溢位、CGI 攻擊、刺探 作業系統版本、通訊埠掃描...等攻擊。除了套用 Sourcefire 公司所釋出的認證 過 的攻擊特徵規則，管理者可以針對自身網路環境和使用的特殊情形自行撰寫、

擴充比對規則；網路社群也常分享許多攻擊特徵規則。Snort 有三種運行的模式：

1. Sniffer Mode 透過側錄的方法偵測網路攻擊；2. Packet Logger Mode 則是分析 記錄在磁碟中的網路流量記錄；3. Inline Mode 則是結合運行主機作業系統的防 火牆規則(如 Linux iptables)，分析進、出主機的網路流量封包偵測。Snort 也支 援多種方式回報警告記錄，如純文字檔案或者是記錄在關聯式資料庫中，也支 援將記錄透過網路傳送至其他主機。於是便有些第三方的軟體方便管理者對這 些警告記錄作整理、分析。

因為 Snort 的功能擴充性和適合各種網路環境中，所以它被廣泛應用在入 侵偵測和預防的領域中。但因為 Snort 是以比對錯誤使用特徵規則分析網路流 量，所以它對於未知的攻擊事件以及多重入侵模式並無法有效偵測預防。在本 研究所提出的架構中，Snort 是架設在被保護的內部網路對外的必經通道上，將 Snort 設定為 Sniffer Mode，並設定核心網路交換器的映射功能，將對外線路的 網路流量導到運行 Snort 的主機。透過這樣的設定，便能夠讓 Snort 偵測內部網 路和外部網路之間的所有流量。當 Snort 發現有異常行為時，讓 Snort 將把異常 行為警告記錄收集到異常行為記錄資料庫中。

• NetFlow  

NetFlow[32]是由 Cisco System 公司所提出用來記錄網路流量狀況的技術，

利用網路路由器或者交換器收集流量統計資料。現今除了 Cisco System 公司的 產品外，也有許多網路設備產品支援 NetFlow 技術，一般主機也可以安裝開放

原始碼的 fprobe 軟體收集通過主機的網路流量。若使用運行 fprobe 的主機搭配 交 換 器 連 接 埠 映 射 功 能 將 流 量 複 製 到 該 主 機 上 ， 則 可 以 達 到 與 使 用 支 援 NetFlow 路由器相當的效果。支援 NetFlow 的網路設備利備本身的記憶體追蹤 通過的連線記錄，當記錄流量的記憶體消耗達到設定上限，或者流量追蹤時間 已達到設定的時間，網路設備便會將該連線的統計資料匯出，彙整成以 IP 連線 為基礎的統計資料。NetFlow 與一般常見以 tcpdump 程式所收集未經整理的網 路流量內容不同，它不會記錄每個封包得標頭或內容，記錄中的每一筆資料代 表一個 IP 連線的流量資料，每筆的流量資料有來源 IP 位址、目的 IP 位址、來 源埠號、目的埠號、服務種類、傳輸位元組數、傳輸封包數、起始時間、停止 時間、TCP 旗標、傳輸封裝協定等記錄。所以相較於以 tcpdump 收集的資料，

Netflow 資料會佔用較少的儲存空間，這是本研究架構採用 Netflow 網路流量資 料而非使用tcpdump 收集流量資料的主要原因。

路由器所產生的流量統計資料都會透過 NetFlow 協定傳送到網路流量資料 庫儲存。在運行主機安裝 flow-tools[33]的相關工具組合，flow-tools 包含了接收 NetfFlow 協定資料的伺服程式，也包含了一組可以解譯、操作 NetFlow 資料的 工具。分析主機在警告記錄和流量資料庫已經收集足夠的資料後，以資料探勘 技術分析這些資料。在本文的研究中認為攻擊者在執行弱點分析、攻擊、以及 後續動作是有時間相關性，所以採用情節探勘找尋其相關性。本章接下來的內 容將介紹本系統如何使用情節探勘處理這些記錄資料。