您好,欢迎访问三七文档
当前位置:首页 > 医学/心理学 > 药学 > 利用Netflow即时侦测蠕虫
利用Netflow即時偵測蠕蟲攻擊報告人:王明輝報告日期:民國95年11月2日報告大綱緒論Netflow技術簡介研究架構與方法實驗結果與分析結論與未來研究方向研究動機蠕蟲攻擊日益增加蠕蟲攻擊會影響網路效能第一隻引起網路癱瘓的蠕蟲--CodeRedIPS阻擋蠕蟲需要耗費大量資源研究目的利用Netflow技術,發展一個快速即時的蠕蟲偵測系統只使用少量的系統資源Netflow技術探討一個flow包含七個主要欄位:來源IP位址目的IP位址來源埠號目的埠號協定類型ToSByte值封包進入Router的介面編號協定類型協定類型ValueProtocol1ICMP2IGMP6TCP9IGRP17UDP47GRE89OSPF115L2TPToS(TypeofService)ToS位元用途0-2Precedence30=NormalDelay,1=LowDelay40=NormalThroughput,1=HighThroughput50=NormalReliability,1=HighReliability6-7ReservedforFutureUse介面編號Netflow的運作流程NewPacketReceivedNewflow?CreateNewCacheRecordUpdateCacheRecordInactiveflow15seconds?Activeflow30minutes?Cachefull?Flowfinished?ExpiredflowsmovetobufferExportUDPNetflowPacketsfrombufferYYYYYNNNNNYNetflow封包格式Netflow封包HeaderNetflow記錄欄位欄位位置說明srcaddr0-3來源IP位址dstaddr4-7目的IP位址nexthop8-11下一站的路由器IP位址input12-13進入Interface的SNMP編號output14-15出去Interface的SNMP編號dPkts16-19Flow傳送的封包數dOctets20-23Flow傳送的Byte數first24-27Flow的起始時間Netflow記錄欄位(Continued)欄位位置說明last28-31Flow的結束時間srcport32-33Layer4協定的來源埠號dstport34-35Layer4協定的目的埠號pad136沒有使用到tcp_flags37一個flow中所有封包的TCP旗標經過OR運算後的結果prot38第四層所使用的協定(6=TCP,17=UDP)Netflow記錄欄位(Continued)欄位位置說明tos39IP的服務類型(Typeofservice)src_as40-41來源的ASnumberdst_as42-43目的的ASnumbersrc_mask44來源位址的子網路遮罩dst_mask45目的位址的子網路遮罩pad246-47沒有用到Netflow的取樣機制這一個資料流中有4個flow,○□等形狀分別代表不同的flow,而每一個符號代表一個封包。Randomsampling每五個封包亂數取樣一個flow沒取樣到的機率變小Netflow的設定interfaceSerial0進入Serial0的介面設定iproute-cacheflow開啟Serial0的flowcache功能interfaceFastEthernet0進入FastEthernet0的介面設定iproute-cacheflow開啟FastEthernet0的flowcache功能ipflow-exportversion5設定輸出的封包格式為version5ipflow-exportdestination163.18.17.109991指定收集器的IP和埠號Netflow的運作模式IngresspacketsEgresspacketsNetflowUDPPacketsNetflow收集主機支援Netflow的Router或L3SwitchNetflow的運作模式(Continued)IngresspacketsEgresspacketsMirroredpacketsNetflowUDPPackets執行fprobe或nprobe的主機Netflow收集主機一般的SwitchNetflow的相關應用網路應用的分析IP計量與計費網路規劃流量工程網路安全分析蠕蟲病毒的基本結構傳播模組:負責蠕蟲的傳播。隱藏模組:侵入主機後,隱藏蠕蟲程序,防止被用戶發現。目的功能模組:實現對電腦的控制、監視或破壞等功能。一般蠕蟲程式的傳播步驟(一)掃描:由蠕蟲的掃描功能模組負責探測存在漏洞的主機。當蠕蟲向一個主機發送探測漏洞的封包,並成功收到回應後,就得到一個可傳播的對象。(二)攻擊:攻擊模組按漏洞攻擊步驟自動攻擊步驟(一)中找到的對象,取得該主機的權限。(三)複製:復製模組通過原主機和新主機的連線,將蠕蟲程式複製到新主機並啟動。蠕蟲對網路的影響網路設備當機(HighCPUUtilization)路由不穩定NATTableFullRouteCacheFull異常流量分析ThresholdTcpFlagABSendSYNReceiveSYNandACK,SendACKReceiveSYN,SendSYN-ACKReceiveACK系統架構RouterNetflowduplicatiorNetflowReceiverNetflowCaptureLong-termarchiveOnlineanalysisAnomalystatisticScoreTable系統運作流程NetflowReceiverTCPFlag=2?ICMPType=Echo?Protocol=UDP?AttackdetectionDropFlowDataShowwarninginformationYYNExtractFlowdatafromNetflowPackets攻擊行為ICMP掃描TCPSYN掃描UDPFloodSYNFloodICMP掃描偵測是否為ICMPEcho資料流?計算出資料流產生的時間依據資料流產生的時間,找出對應的HashTable在HashTable中,以來源IP為Key,將ICMP掃描計數器加1來源IP的ICMP掃描計數器是否大於門檻值?產生警報訊息YY01020304050102030405060門檻值次數正確偵測數誤判數010203040500.511.522.5偵測到的時間與收到Netflow記錄的時間差(單位:分)次數門檻值為10門檻值為20門檻值為30門檻值為40門檻值為50TCPSYN掃描偵測TCP旗標欄位是否為2?計算出資料流產生的時間依據資料流產生的時間,找出相對應的HashTable在HashTable中,以來源IP和目的埠為Key,將TCPSYN掃描計數器加1來源IP和目的埠的TCPSYN掃描計數器是否大於門檻值?產生警報訊息YYTCPSYN掃描偵測改良TCP旗標欄位是否為2?計算出資料流產生的時間依據資料流產生的時間,找出相對應的HashTable在HashTable中,以來源IP和目的埠為Key,將TCPSYN掃描計數器加上加權分數來源IP和目的埠的TCPSYN掃描計數器是否大於門檻值?產生警報訊息YY是否為整點時間讀入前一小時的Netflow資料過濾出異常資料流統計每個連接埠的連線次數產生加權計分表YYN排除P2P常用連線埠將連線次數由大到小排序,取前十名。將前十名的加權計分設為10,其餘為1UDPFlood掃描偵測是否為UDP資料流?計算出資料流產生的時間依據資料流產生的時間,找出對應的HashTable在HashTable中,以來源IP和目的IP為Key,找出資料存放的位置。目的埠是否重覆?Y將目的埠加入陣列中,並將UDPFlood計數器加1在HashTable中,以來源IP為Key,找出資料存放的位置。UDPFlood計數器是否大於門檻值?目的IP和目的埠是否重覆?將目的IP和目的埠加入陣列中,並將UDPFlood計數器加1UDPFlood計數器是否大於門檻值?產生警報訊息NYYYNUDPFlood掃描偵測(Cont.)020406080100102030405060門檻值攻擊IP數偵測到IP數誤判數020406080100200300400500600700門檻值攻擊IP數偵測到IP數誤判數SYNFlood掃描攻擊者正常伺服器來源IP=亂數TCPSYN封包TCPSYN-ACK封包TCPSYN-ACK封包TCPSYN-ACK封包TCPSYN-ACK封包TCPSYN-ACK封包TCPSYN-ACK封包TCPSYN-ACK封包是否為TCPSYN資料流?Y來源IP和目的IP是否皆不在本地網段範圍內?產生警報訊息Y實驗結果已知蠕蟲偵測0%20%40%60%80%100%0.511.5收到Netflow記錄的時間與被偵測到的時間差(單位:分)正確偵測的百分比第一天第二天第三天加權計分方式00.010.020.030.040.051234偵測程式執行後經過的時間(單位:小時)誤判率偵測IP數:87000.010.020.030.040.051234偵測程式執行後經過的時間(單位:小時)誤判率偵測IP數:739UDP攻擊偵測0%20%40%60%80%100%0.511.5偵測到的時間與收到Netflow記錄的時間差(單位:分)正確偵測的百分比偵測到IP量DOS攻擊偵測0%20%40%60%80%100%0.511.5偵測到的時間與收到Netflow記錄的時間差(單位:分)正確偵測的百分比偵測到IP量結論及未來研究工作結論本系統可確實有效偵測蠕蟲攻擊P2P軟體常造成誤判Netflow先天限制造成時效差異
本文标题:利用Netflow即时侦测蠕虫
链接地址:https://www.777doc.com/doc-4236304 .html