由於網際網路多重攻擊手法的盛行,使得現有主流以樣式比對為基礎的入 侵防禦系統效用降低。這是因為因為網路惡意使用者希望他的行為能夠繞過入 侵防禦系統的偵查,而儘量分散、隱藏自己的入侵行動。所以可以預見將有越 來越多未知的入侵手法出現,但是現在主流的樣式比對方法對於已知的惡意行 為有良好的效能,對於未知的攻擊行為卻顯得一籌莫展。在這個情形下,如何 應用人工智慧、機器學習等演算法以提出新的方法,改善入侵偵測系統便成為 解決現有防禦系統困境的方向。
由於網際網路多重攻擊的各項步驟之間有時間的相關性,並且攻擊行為難 免會在各種記錄留下蛛絲馬跡,所以本研究提出了一個基於頻繁情節探勘技術 的多重攻擊偵測系統,目的是找出網際網路多重攻擊中被隱藏的行為。此偵測 系統之分析方式結合現有的網路管理工具,從網路異常行為警告和網路流量記 錄等資料中,分析可疑的網路行為,找出與攻擊事件相關的後續可疑流量,目 標是找尋隱藏在正常流量中但是傳統入侵偵測系統並沒有偵測到的網際網路多 重攻擊行為和牽涉的主機。然後再利用這些資訊作為線索,找出網路網路多重 攻擊的完整面貌。
本研究採用實證的方式進行,利用誘捕系統收集到的真實攻擊工具在真實 的網路環境中重現網際網路多重攻擊行為,收集攻擊時的相關數據,實驗的結 果將和被廣泛使用的 Snort 入侵偵測系統和比對規則作比較。實驗結果顯示,
對於模擬實驗中的各項攻擊動作,Snort 入侵偵測系統只能找到密碼暴力破解,
但是本研究的系統可以找到多重攻擊中的數個重要步驟,例如 IRC bot 的連線、
下載攻擊工具等。除此之外,更發現了一個 Snort 所不能偵測其被攻擊過程的 受害主機。
在現實網路攻擊事件中,常出現入侵者先攻破組織內部網路的其中一台主 機,在由這台主機入侵組織內的其他主機,而其他被入侵的主機為了保持隱密,
不做明顯的惡意行為,難以被系統管理者和入侵偵測系統所發現。另外因為組 織資源有限,只能在幾個重要節點佈署入侵偵測系統,所以內部網路中的一些 流竄的攻擊流量並不能完全被入侵偵測系統的偵測範圍涵蓋。所以本研究的系 統利用已經被廣泛使用的入侵偵測系統和 NetFlow 的警告資料、網路流量,結 合情節探勘幫助系統管理者抽絲剝繭,發現被隱藏的攻擊行為和受害主機,補 強現有防禦系統的缺陷。
由於 NetFlow 網路流量資料龐大,所以本研究使用了資料彙整的技術減少 情節探勘的資料量。但是如同實驗中的說明,調整資料換整的時間間隔參數對 於資料探勘所得到的結果和運算效能有很大的影響,而在進行情節探勘階段,
更有支持度、視窗長度大小等參數需要調整。目前本系統只能以系統操作者的 專業知識和經驗調整這些參數,面對對這參數間的交互作用,以及每次調整的 漫長運算過程,實在有待於未來能夠有一個更有效率的方式找出實測這些參數 的影響。
同時,目前系統所使用的資料來源為 NetFlow 流量和 Snort 入侵偵測系統 記錄在使用時有所限制。NetFlow 資料已經是網路流量在路由器彙整過的資料,
所以從並沒有辦法得知網路連線的在應用層的詳細內容和結束狀態。以實驗所 重現的攻擊案例說明,系統沒有辦法知道 HTTP 連線的回傳代碼是下載哪個資 源,也不知道眾多 SSH 的連線中哪個是猜測密碼失敗,哪個是成功取得系統權 限。所以以本研究所使用的資料來源而言,並沒有辦法描述網路行為中主機和 主機之間詳細的連線行為。所以在未來的研究中,可以考慮在將其他工具的記 錄和伺服器的系統日誌加入成為分析資料來源,讓分析系統可以察覺更多難以 從異常行為警告和網路流量記錄所觀察到的細部行為。
另外,使用本文所提出的將網路流量記錄轉換成為事件類別的方法,將產 生數以千計的的不同事件類別,而在執行完情節探勘流程後,更產生了數以萬 計的頻繁情節。本研究所要挖掘的知識是和 Snort 異常流量記錄的頻繁情節,
因為異常流量發生次數跟正常流量相比相對稀少,所以異常流量記錄可能不能 滿足較高的門檻值。但是若設定較低的門檻值時,將會產生大量誤判及冗餘情
節並浪費許多運算時間。雖然在最後置處理中刪除與警告記錄不相關的情節,
同時以軸心屬性、參考屬性封閉性情節等方法過濾情節後,會只剩下相對少數 的情節。但是在情節探勘的過程中還是需要先產生這些過多非必要的情節。所 以增進挖掘這類有條件限制和相對不頻繁事件的演算法效能,在產生最少的頻 繁情節的同時涵蓋最大的意義,以及如何將減少不必要的情節流程整合進組合 情節的演算法中,都是也是未來值得研究的重點。
參考文獻
[1] Miniwatts Marketing Group, “Internet World Stats,” Miniwatts Marketing Group, 2012. .
[2] Netcraft, “May 2013 Web Server Survey,” Netcraft Ltd, 2013. [Online].
Available: http://news.netcraft.com/archives/2013/05/03/may-2013-web-server-survey.html.
[3] M. Al-zarouni, “Tracing E-mail Header,” 2004.
[4] C. Cowan, P. Wagle, C. Pu, S. Beattie, and J. Walpole, “Buffer Overflows : Attacks and Defenses for the Vulnerability of the Decade,” in DARPA Information Survivability Conference and Exposition 2000 Proceedings, pp.
119–129, 2000.
[5] M. Ward, “Bitcoin Miners Hit Back at Cyber-Thieves,” BBC News, 2013.
[6] L. M. Ibrahim, “Detection of Zeus Botnet in Computers Networks and Internet,”
vol. 6, no. 1, pp. 84–89, 2012.
[7] United States Curt of Appeals Second Circut, “UNITED STATES of America, Appellee, v. Robert Tappan MORRIS, Defendant-Appellant,” 1991.
[8] M. Abu Rajab, J. Zarfoss, F. Monrose, and A. Terzis, “A Multifaceted Approach to Understanding the Botnet Phenomenon,” in Proceedings of the 6th ACM SIGCOMM on Internet measurement, pp. 41–52, 2006.
[9] BBC News, “Yahoo Attack Exposes Web Weakness,” 2000.
[10] E. Mills, “Exclusive: CEO Says Hackers Tried to Extort Data, Money,” c|net, 2011. [Online]. Available: http://news.cnet.com/8301-27080_3-20068939-245/exclusive-ceo-says-hackers-tried-to-extort-data-money/.
[11] M. Goncharov, “Russian Underground 101,” 2012.
[12] F. Daryabar, A. Dehghantanha, and H. Broujerdi, “Investigation of Malware Defence and Detection Techniques,” International Journal of Digital
Information and Wireless Communications (IJDIWC), vol. 1, no. 3, pp. 645–
650, 2012.
[13] M. Pradhan, S. K. Pradhan, and S. K. Sahu, “A Survey on Detection Methods in Intrusion Detection System,” Internaltional Journal of Computer
Application, vol. 3, no. 2, 2012.
[14] I. Sourcefire, “About Snort,” Sourcefire, Inc, 2010. [Online]. Available:
http://www.snort.org/snort/.
[15] P.-N. Tan, M. Steinbach, and V. Kumar, Introduction to Data Mining. Pearson Education India, 2007.
[16] M. Beaumont-Gay, “A Comparison of SYN Flood Detection Algorithms,” in Second International Conference on Internet Monitoring and Protection, 2007.
ICIMP 2007, pp. 9, 2007.
[17] MIT Lincoln Laboratory, “2000 DARPA Intrusion Detection Scenario,” 2000.
[Online]. Available:
http://www.ll.mit.edu/mission/communications/cyber/CSTcorpora/ideval/data/.
[18] B. Zhu and A. A. Ghorbani, “Alert Correlation for Extracting Attack Strategies,”
International Journal of Network Security, vol. 3, no. 3, pp. 244–258, 2006.
[19] M. Soleimani and A. a. Ghorbani, “Multi-Layer Episode Filtering for the Multi-step Attack Detection,” Computer Communications, vol. 35, no. 11, pp.
1368–1379, Jun. 2012.
[20] C. Cipriano, A. Zand, G. Vigna, and C. Kruegel, “Nexat : A History-Based Approach to Predict Attacker Actions,” in Proceedings of the 27th Annual Computer Security Applications Conference, pp. 383–392, 2011.
[21] Y. Robiah, S. Siti Rahayu, S. Sahib, M. Mohd Zaki, M. A. Faizal, and R.
Marliza, “An Improved Traditional Worm Attack Pattern,” in Proceedings of
the 4th International Symposium on Information Technology 2010 (ITSIM 2010), vol. 2, pp. 1067–1072, 2010.
[22] S. A. Camtepe and B. Yener, “Modeling and Detection of Complex Attacks,”
2007 Third International Conference on Security and Privacy in
Communications Networks and the Workshops - SecureComm 2007, pp. 234–
243, 2007.
[23] R. Puri, “Bots &; Botnet: An Overview,” SANS Institute. 2003.
[24] H. Mannila, H. Toivonen, and A. I. Verkamo, “Discovery of Frequent Episodes in Event Sequences,” Data Mining and Knowledge Discovery, vol. 1, pp. 259–
289, 1997.
[25] R. Agrawal and R. Srikant, “Fast Algorithms for Mining Association Rules,” in Proceedings of the 20th VLDB Conference, pp. 487–499, 1994.
[26] D. Barbar, C. Sushil, J. Leonard, P. Ningning, and N. Wu, “ADAM : Detecting Intrusions by Data Mining,” in In Proceedings of the IEEE Workshop on Information Assurance and Security, pp. 11–16, 2001.
[27] R. Agrawal, T. Imieliński, and A. Swami, “Mining Association Rules Between Sets of Items in Large Databases,” ACM SIGMOD Record, vol. 22, no. 2, pp.
207–216, 1993.
[28] W. Lee and S. J. Stolfo, “Adaptive Intrusion Detection : a Data Mining Approach,” Artificial Intelligence Review, vol. 14, no. 6, pp. 533–567, 2000.
[29] S. M. Bridges and R. B. Vaughn, “Fuzzy Frequent Episodes for Real-Time Intrusion Detection,” in 10th IEEE International Conference on Fuzzy Systems, vol. 1, pp. 368–371, 2001.
[30] M.-Y. Su, “Discovery and Prevention of Attack Episodes by Frequent Episodes Mining and Finite State Machines,” Journal of Network and Computer
Applications, vol. 33, no. 2, pp. 156–167, Mar. 2010.
[31] K. Hwang and M. Qin, “Internet Episode Analysis for Detecting Anomalous Attacks on Information,” Dependable and Secure Computing, IEEE
Transactions on, vol. 4, no. 1, pp. 41–55, 2004.
[32] Cisco System, “Introduction to Cisco IOS NetFlow - A Technical Overview,”
2012. [Online]. Available:
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6555/ps6601/p rod_white_paper0900aecd80406232.html.
[33] M. F. Oarnet, “The OSU Flow-Tools Package and Cisco NetFlow Logs,” in 2000 LISA XIV, pp. 291–304, 2000.
[34] J. Touch, E. Lear, A. Mankin, K. Ono, M. Stiemerling, L. Eggert, and A.
Melnikov, “Service Name and Transport Protocol Port Number Registry,”
2013.
[35] K.-Y. Huang and C.-H. Chang, “Efficient Mining of Frequent Episodes from Complex Sequences,” Information Systems, vol. 33, no. 1, pp. 96–114, Mar.
2008.
[36] J. Saquer and J. S. Deogun, “Using Closed Itemsets for Discovering Representative Association Rules,” pp. 495–504, 2000.
[37] W. Zhou, H. Liu, H. Cheng, E. Management, and H. Kong, “Mining Closed Episodes from Event Sequences Efficiently,” Lecture Notes in Computer Science, vol. 6, no. 1, pp. 310–318, 2010.
[38] H. Zhu, P. Wang, W. Wang, and B. Shi, “Discovering Frequent Closed Episodes from an Event Sequence,” The 2012 International Joint Conference on Neural Networks (IJCNN), pp. 1–8, Jun. 2012.
[39] H. Zhu, P. Wang, W. Wang, and B. Shi, “Stream Prediction Using
Representative Episode Rules,” 2011 IEEE 11th International Conference on Data Mining Workshops, pp. 307–314, Dec. 2011.