以DNS系統為核心的網路異常偵測系統之研究

Abstract

本計畫中，主要的構想是希望建構一套以網域名稱系統(DNS)查詢流量為檢測 核心, 兩段式網路異常偵測系統，來輔助系統管理者，早期發現疑似網路異常 者，介入調查，儘快確認異常狀況，並加以排除，就可有效降低許多因為系統漏 洞被利用的機器而不自知者, 所造成對單位網路的不良衝擊, 以免事態進一步 擴大。 基本上, 進行DNS 查詢是眾多網路應用的共同模式之一。例如，突然出現大 量病毒信件散佈，必然也會造成大量相關的 DNS 查詢。另一方面, 目前的網路 環境裡, 廣大的一般用戶, 由於系統安全知識, 相當不足, 因此所使用的機器, 通常都是低度保護 (或沒有保護), 往往也因此而導致電腦中毒, 或者被入侵而 不自知, 以致轉而被用來散佈垃圾信件、進一步嘗試入侵或攻擊其他網路系統, 導致相關單位的網路效能大受影響。因此，本計畫的目標與進行方式, 可大致分 成兩大部分。首先，我們蒐集相關的系統(DNS，Mail，Web，等)的管理知識，將 組成單元(objects)與相互之間的關係 (relationship)，加以匯整，製作成為一 套以 DNS 為核心，「常見網路異常狀況資訊結構本體」( DNS-based network anomaly Ontology)。接下來，我們再利用這些結構知識，來設計我們的 data mining algorithm 以及相關的使用狀況分析與異常偵測機制。