雖然網路設備已經由過去之集線器改為現今常使用之交換器,然而區域網路中之竊 聽以及欺騙等攻擊行為亦隨之改良與興盛。因此,本研究以網際網路流量為基礎,以資 料探勘的分類分析技術,提出了 ARP 欺騙攻擊偵測之研究。改善了過去網路管理人員 由於需將偵測主機架設於區域網路內,且單一區域網路即需一台網管偵測主機,致使對 於監控大規模網路之不便與成本高昂。且本研究之網際網路流量資料之收集,僅需一般 支援 SNMP 協定之網管設備,亦可減輕偵測系統之成本上的負擔。而利用資料探勘之 分類分析技術,我們不需對於封包內容進行分析比對,亦可降低對偵測系統之運算資源 的需求。再者,資料探勘之分類分析技術可讓本研究自動建立分類預測模組。
此外,本研究以決策樹、貝式分類以及支援向量機三種演算法作為我們的分類預測 學習模組,並且收集實際網路傳輸資料作為我們實證評估之實驗數據。在我們的研究結 果顯示,決策樹演算法之分類效果為最佳,其在一分鐘、三分鐘以及五分鐘之資料收集 時間單位下,準確率皆高於 99%,而誤報率以及遺漏率亦皆低於 0.5%,有相當良好之 表現。而支援向量機演算法之效能次之,貝式分類演算法在三者中為效果較差者。本研 究亦發現,在三種資料收集時間單位中,以一分鐘為單位時,本研究之分類預測模組之 分類效力稍差,然而當資料收集時間單位拉長至三分鐘以及五分鐘後,實驗結果趨於穩 定,顯示本研究所提出之偵測系統較不容易受資料取樣之時間間隔所影響。而為了平衡 對攻擊事件之反應時間以及較高的攻擊事件預測準確性,本研究建議可採用三分鐘做為 偵測系統的資料取樣時間單位。
為了使本研究的 ARP 欺騙攻擊偵測系統能因應迅速變化的網路環境以及未來可能 發生的變種 ARP 欺騙攻擊行為,因此我們提出兩種重新訓練 ARP 欺騙攻擊預測分類模 組的時機。此兩種重新訓練時機分別為(1)常態性重新訓練與(2)事件性重新訓練。常態
32
性重新訓練之重新訓練時機為定期性,可依照該偵測主機所管轄之網路規模大小做為重 新訓練之時間間隔依據。若該偵測主機管理的網路規模較大時,則重新訓練之時間間隔 較長,以減低偵測主機之系統資源負擔。反之,若所管轄之網路規模較小時,則重新訓 練之時間間隔則可縮短,藉由頻繁的訓練獲得新的網路流量資料型態以降低偵測系統之 誤判率。就另一方面事件性重新訓練之時機則是動態的。當區域網路中新增主機、伺服 器新增服務或者網路管理員得到新型態的攻擊行為出現的相關資訊時,則重新訓練我們 的分類預測模組,使其可獲得較新的正常與攻擊流量資料型態,保持其判斷 ARP 欺騙 攻擊之分類準確性。
本研究使用之攻擊實驗數據雖為實際資料,但其為在一實驗區域網路內產生,未來 之研究將嘗試在一般使用之區域網路內,收集真實攻擊事件發生時之流量做為研究之實 驗數據,以便獲得更真實之驗證結果。並且由於本研究此次所使用之 ARP 欺騙攻擊程 式僅有一種,為避免本實驗之偵測系統所學習得到之分類模組過於配適(Overfitting)由 此攻擊程式所產生之流量資料,在將來的研究中,我們可以收集由更多種不同的攻擊工 具所產生之 ARP 欺騙攻擊流量,藉以驗證本研究所提出之偵測系統對於 ARP 欺騙攻擊 偵測的效能。此外,在本研究僅針對 ARP 欺騙攻擊進行探究,未來可嘗試以本研究所 提出之架構對於不同型態之攻擊行為,如字典攻擊、DoS 攻擊與 DDoS 攻擊等進行偵 測,藉以驗證本研究中所提出的偵測系統架構對於具有特殊性網路流量特徵的其他網路 攻擊技術是否仍具有預測效能。
33
參考文獻
1. Bernardo, J.M. and Smith, A.F.M., “Bayesian theory”, Measurement Science and Technology, 2001.
2. Boser, B.E., Guyon, I.M. and Vapnik, V.N., “A training algorithm for optimal margin classifiers”, Proceedings of the fifth annual workshop on Computational learning theory, ACM New York, NY, USA, p. 144-152, 1992.
3. Burges, C.J.C., “A tutorial on support vector machines for pattern recognition”, Data mining and knowledge discovery, p. 121-167,1998.
4. Carnut, M.A. and Gondim, J.J.C., “ARP spoofing detection on switched ethernet networks: A feasibility study”, Proc. 5th Simposio Seguranca em Informatica, San Jose, 5. Cortes C. and Vapnik V. N., “Support vector networks,” Machine Learning, p. 273-297,
1995.
2003.
6. Droms, R., “Dynamic host configuration protocol”, RFC 2131, 1997.
7. Fewer, S., “ARP Poisoning: An investigation into spoofing the Address Resolution Protocol”, Harmony Security, 2007.
8. Gelman, A., “Bayesian data analysis” , CRC press, 2004.
9. Gordon, L.A., et al., “CSI/FBI Computer crime and security survey”, COMPUTER SECURITY JOURNAL, p. 1, 2006.
10. Han, J., Kamber, M., “Data Mining: Concepts and Techniques”, Second Edition, Morgan Kaufmann Publishers, 2006.
11. Kumar, S., “Impact of Distributed Denial of Service (DDoS) Attack Due to ARP Storm” , ICN, p. 997–1002, 2005
12. Mauro, D.R. and Schmidt, K.J., “Essential SNMP”, O'Reilly, 2001.
13. Plummer, D., “An Ethernet address resolution protocol”, RFC 826, 1982 14. Postel, J., “Internet protocol”, RFC 791, 1981.
15. Quinlan, J.R., “Induction of decision trees”, Machine learning, p. 81-106, 1986.
16. Quinlan, J.R., “C4. 5: programs for machine learning”, Morgan Kaufmann. 1993.
17. Ramachandran, V. and Nandi, S., “Detecting ARP spoofing: An active technique”, Lecture Notes in Computer Science, p. 239, 2005.
18. Socolofsky, T. and Kale, C., “TCP/IP Tutorial”, RFC 1180, 1991.
19. Spangler, R., “Packet Sniffing on Layer 2 Switched Local Area Networks”, Packetwatch Research, 2003.
20. Stallings, W., “SNMP, SNMPv2, SNMPv3, and RMON 1 and 2”, Addison-Wesley Longman, 1998.
21. Stevens, W.R., “TCP/IP illustrated: the protocols”, Addison-Wesley Longman, 1993.
34
22. Sumit D., “Switch Sniff”, Linux Journal, 2002.
23. Trabelsi, Z. and Shuaib, K., “Spoofed ARP packets detection in switched LAN networks”, ICETE 2006, CCIS 9, p. 81–91, 2006.
24. Vapnik, V.N., “The nature of statistical learning theory”, Springer, 2000.
25. Wagner, R., “Address resolution protocol spoofing and man-in-the-middle attacks”, The SANS Institute, 2001.
26. Weiss, S.M. and Kulikowski, C.A. “Computer systems that learn: classification and prediction methods from statistics, neural nets, machine learning, and expert systems“, Morgan Kaufmann, 1991.
27. Witten, I.H. and Frank, E., “Data Mining: Practical Machine Learning Tools and Techniques”, Morgan Kaufmann, ISBN 0-12-088407-0, 2005.
28. 丁一賢、陳牧言, “資料探勘”,滄海書局,ISBN 986-7777-98-0,2005。
29. 楊文龍,“基於 SNMP 之 ARP 攻擊偵測研究”, TANet2008,2008。
30. 蕭漢威、吳宗儒、劉則明、曾金山、梁明章,”惡意程式自動更新行為分析之研究”,
TANet2008,2008。
31. 蕭漢威、張思揚、吳宗儒,“以網路流量分析 ARP 欺騙攻擊之研究”,TANet2008,
2008。