駭客常利用電腦系統或服務的漏洞攻擊程式碼來對目標電腦或服務進行攻擊。這些漏洞攻擊程式常常在與目標主機或服務建立連線後,即送出攻擊封包。又因這些攻
擊常透過Telnet服務來進行,本研究即針對這樣特性的攻擊事件,設計一個輕型的網路入侵偵測系統來偵測網路上的Telnet流量。
本研究只過濾每一個Telnet連線的前幾個資料封包,並只使用部分內容做入侵偵測,而非所有的封包和其內容,使本系統的負荷大大降低。本研究屬於異常偵
測研究,我們將平日正常的網路流量過濾後建構成一個正常行為模式,在偵測時檢查過濾後的封包與正常行為模式的差異,透過異常分數計算函數,偏差愈大則給愈
大的異常分數。最後,我們採用1999
DARPA入侵偵測評估資料集的資料來,5天訓練資料,10天測試資料,共44次攻擊事件,測試本研究提出的系統。本研究所提出的系統的偵測率在很低的誤
報率 – 每日允許2次誤報下為73%; 在一些被DARPA認定是很難偵測的攻擊,其偵測率達80%。
|