在 本 研 究 使 用 關 聯 法 則 的 運 算 中 , 有 幾 項 重 要 的 設 定 變 數 : (1) 時 間 間 格 (Timeslot):流量資料的時間切割的間隔。(2) 支持度(Support):判斷連線項目是否為頻 繁出現的門檻。(3) 信賴度(Confidence):判斷兩個被找出的連線之間有無關聯性的可信 度門檻。時間間格設定的長短將決定一段時間間隔裡連線項目的多寡,當時間間格設定 的較長時,雖然會有較多的連線項目被切分在同一個時間間隔裡,但也卻容易造成沒有 關聯性的連線項目被切分在同一個時間間隔裡而造成運算誤判。而時間間格也不宜過
20
小,時間間格過小會讓一個時段所切分出的時間間隔過多,造成系統運算效能的低落。
在信賴度的選擇方陎則會依所偵測的不同型態跳板主機而有所差異。當使用者利 用跳板單純連到另一台主機或者某單一個網站位置時,從使用者到跳板主機的連線項目 與跳板主機到目的網站的連線項目,為共同發生的比例就會較為頻繁,兩個連線項目間 的信賴度就會因此相對增高。但當使用者利用跳板連到多個網站位置時,就會出現從使 用者到跳板主機的連線項目,同時與多個由跳板主機到多個網站位置所形成的連線項目 依序出現的情況,那麼從使用者到跳板主機的連線項目與其它的連線項目做配對的結 果,則信賴度相對的就會因時間的切割分散而相對降低。
接著本研究使用關聯法則來運算所蒐集的資料,得到的結果會如表 3-3,幾個兩兩 IP 位址成對的連線會被歸類為相關聯的,從得到的這個關聯表中我們就可能找出潛藏 跳板主機的 IP 位址來。
表 3- 3 兩個連線項目的關聯法則運算結果
在使用關聯法則運算流量資料後會得到類似表 3-3 的連線關聯表,每筆連線關聯法 則是由兩個連線項目集合而成,一對 IP 的連線與另一對 IP 的連線在高於信賴度及支持 度的門檻下有關聯性。表 3-3 的例子當中,在第一筆找出來的關聯法則裡有 IP1-IP2與 IP1-IP3兩個連線,表示這兩組連線在所有流量資料當中出現的次數都有達到支持度的門 檻,而且 IP1-IP2這個連線在出現時對於 IP1-IP3這個連線的同時出現有某種程度的影響。
此外,可以發現在這兩組連線裡總共有三個 IP 位置,分別是 IP1、IP2及 IP3,其中 IP1
21
在兩組連線中都有出現,就代表著可能 IP1這個位置是跳板主機,而 IP2及 IP3的一端為 操控的來源,另一端則為藉由 IP1來傳輸到目的位置。同樣的判斷在第三筆的關聯法則 上也可以發現,IP3的位置可能就是跳板主機,其他兩個 IP1與 IP5應該就是來源與目的 位置。
但如果在連線關聯法則表當中發現像是表 3-3 中第二筆關聯法則,當找出來的兩組 連線中完全沒有相同的 IP 位置,但是其中一個連線如 IP1-IP3又對另一個連線 IP2-IP5有 一定的信賴度時,其中一個可能的原因是當一個連線的出現在流量資料裡的頻率過高,
導致另一個連線出現時出現頻率過高的連線也常常一起出現。在第二筆關聯法則的例子 就可以判斷為連線 IP2-IP5在流量資料裡出現頻率很高,在連線 IP1-IP3在流量資料裡出 現時常常也一起出現。
表 3- 4 三個連線項目的關聯法則表
另一個會找出潛藏跳板的例子如表 3-3 中的第二筆規則,連線 IP1-IP3與連線 IP2-IP5
並沒有相同 IP,但在運算找出三個連線項目的關聯法則時如表 3-4 中第一筆的關聯法 則,連線 IP1-IP3與連線 IP2-IP5可以找到第三個連線 IP3-IP5在同一個規則裡,而且分別 有 IP3及 IP5兩個 IP 與前兩組連線中的 IP 相同,就很可能如圖 3-3 所示,從 IP1的流量 會經由跳板 IP3及 IP5傳送到 IP2,而會造成關聯法則中的三組連線在流量資料裡同時出 現的情況。
圖 3- 3 三個連線項目跳板路徑
22
第 4 章 實證評估
為了驗證本研究所提出的偵測跳板系統,我們進行監控並蒐集真實網路環境下的流 量資料,並使用關聯法則來加以分析找出網路流量中可能相互有關聯的網路連線項目,
從這些連線項目中找出可能的跳板主機。本研究在監控網路環境中,架設三種不同類型 的跳板伺服程式:SSH Server、Proxy Server 及 Socks Server,並利用實驗主機來產生使 用三種不同跳板的網路流量資料。為了評估在不同跳板工具下本研究所提出的偵測方法 偵測之正確性,本研究在實證評估中所使用的這三種不同跳板伺服程式,會因程式本身 所提供的網路服務項目不同,所產生的網路流量特徵也會有所差異。以下會針對這三種 跳板伺服程式的網路流量特徵進行說明,特別是在可能會影響關聯法則分析的連線項目 的重點來進行探討。當使用不同跳板伺服程式時,一個連進的連線可能會導致產生其他 可能連出的連線特徵,而這些連線項目的相互關聯性所產生的關聯法則中,將有可能因 為跳板特性的不同而有不同的結果。在第 3 章所提及的監控網路環境裡,將使用上述三 種跳板伺服程式的主機和其他監控網路環境內正常主機的網路流量資料一起經過乙太 網路交換器被蒐集主機系統記錄下來,再經由後續的處理分析步驟產生關聯法則。