適用於分散式阻斷服務與分散式掃描之網路入侵偵測方法

Abstract

在本論文中，我們分析了分散式阻斷服務及分散式掃描這兩種網路攻擊的特性，並提出一套適用於此兩種網路攻擊之網路入侵偵測方法。封包欄位的異常分布可視為網路攻擊的特徵。在這套方法中，我們藉由觀察網路攻擊造成封包各欄位之異常分布來達到偵測的目的。此外，分析欄位的異常分布時，可以同時紀錄可疑封包，以作為事後分析之用。本論文除提出透過封包欄位異常分布偵測網路攻擊的方法之外，更深入探討表徵網路流量分布函數、機率及雜湊函數的設計方式，以增進系統的分析與處理效能。此外，由於本方法採用網路封包各欄位分類的方式，可將對每個分類行程平行化，以符合高速網路下的需求。本論文並實作一原型程式，經實驗證明可以在無網路攻擊封包樣式的情況下，偵測到幾十種現有的分散式阻斷服務及分散式掃描攻擊。

In this thesis, we analyze two kinds of network attacks, distributed denial of service (DDoS) and distributed scanning (DS) and then propose a network intrusion detection scheme. The scheme focuses on monitoring the variance of the packet fields. The sets of anomaly packet fields are attack signatures, which can be used to identify the attack types. In the process of analyzing packet field variation, the alleged packets can be logged for forensics. We also discuss the design principles of the function that present the traffic characteristic and two techniques based on probability and hash function to improve throughput. We implement the prototype of the proposed scheme, and the experiments showed that the prototype detects successfully dozens of DDoS/DS attack types without predefined network attack patterns.