阻斷服務(Denial of Service, DoS)攻擊主要是利用系統軟體或通訊協定的漏洞,使主機或網路系統出現異常而無法提供服務。傳統上,阻斷服務攻擊之偵測與防禦主要透過入口偵防機制(如防火牆、入侵偵測系統或入侵保護系統)以達到避免或預防阻斷服務攻擊的發生或進行。上述之偵防機制通常只檢視內部網路與外部網路出入閘道之資料封包,且主要是分析IP層以上的網路傳輸資訊,因此無法有效地解決發生於內部網路之阻斷服務攻擊或以偽造IP進行之阻斷服務攻擊之問題。為改善傳統偵防機制之限制,本研究提出以網路實體介面之SNMP流量資料做為攻擊偵測的基礎,並利用資料探勘分類分析技術,建立一個阻斷服務攻擊的預測模式,以作為新的流量資料是否為阻斷服務攻擊的判斷準則。
為了實證本研究所提出之阻斷服務攻擊偵測系統的效能,我們以不同取樣時間週期(包括1、3、5分鐘),蒐集了二種不同網路環境(包括企業網路及校園網路)的正常網路流量,並以獨立實驗網路環境蒐集四種阻斷服務攻擊(TCP SYN Flood、Land、Fake Ping及Angry Ping攻擊)的網路流量,以建立不同網路環境、不同攻擊及不同取樣時間週期的阻斷服務攻擊預測模式。實證結果顯示,在不同的網路環境中對於阻斷服務攻擊可達98.59%以上的準確率;流量資料取樣週期對偵測效能影響不大;此外,對於這四類攻擊的辨識能力極高。
|