国家资通安全会报技术服务中心报告大纲

上传人:M****1 文档编号:585129785 上传时间:2024-09-01 格式:PPT 页数:17 大小:782KB
返回 下载 相关 举报
国家资通安全会报技术服务中心报告大纲_第1页
第1页 / 共17页
国家资通安全会报技术服务中心报告大纲_第2页
第2页 / 共17页
国家资通安全会报技术服务中心报告大纲_第3页
第3页 / 共17页
国家资通安全会报技术服务中心报告大纲_第4页
第4页 / 共17页
国家资通安全会报技术服务中心报告大纲_第5页
第5页 / 共17页
点击查看更多>>
资源描述

《国家资通安全会报技术服务中心报告大纲》由会员分享,可在线阅读,更多相关《国家资通安全会报技术服务中心报告大纲(17页珍藏版)》请在金锄头文库上搜索。

1、適用於電子商務環境之網蟲即時偵測及防禦系統 游啟勝*、陳奕明中央資管 電腦網路實驗室國家資通安全會報 技術服務中心*2004.3.271報告大綱l現下遭遇的問題l網蟲簡介l網蟲的擴散特性l本文提出的網蟲偵測方法l網蟲即時偵測及防禦系統部署方式l實作與測試l結論2004.3.272現下遭遇的問題l網蟲愈來愈盛行,出現間隔愈來愈短lCodeRed、CodeRed II、Nimda、Slammer、Blasterl網蟲影響電子商務運作l無法在第一時間阻止未知網蟲癱瘓外部及內部網路l攻擊加重主機負荷2004.3.273網蟲簡介l與電腦病毒的異同l同屬惡意程式的一種l網蟲會主動擴散,病毒則依賴使用者執行

2、l網蟲實例l漏洞型網蟲:CodeRedle-mail 網蟲:NetSky (WORM_NETSKY.O)2004.3.274網蟲的擴散特性 (1/2)l短時間內攻擊眾多不同受害者l網蟲需要大量擴散l使用 IP Address 做為擴散目標選擇策略l大多數的正常連線使用 domain name 來連結dst_port, payload2004.3.275網蟲的擴散特性(2/2)l擴散連線的通訊協定欄位固定 l目的通訊埠、 封包資料欄位(payload)l來源通訊埠、Sequence Number、Acknowledge Number、Code Bits l擴散攻擊封包不會太小 l網蟲的感染及擴散

3、步驟複雜2004.3.276本文的網蟲偵測方法(1/2)l根據流量異常偵測方法加以改良而來l過去:l將網路流量依通訊協定種類(TCP 或 UDP)與目的通訊埠加以區分,將相同通訊協定及相同目的通訊埠的流量大小加總 TWCERT: 即時偵測防治Internet Worm 2004.3.277本文的網蟲偵測方法(2/2)l現在l假設一部正常的主機不會在短時間內發送大量通訊協定、目的通訊埠、及資料欄位三個條件相同的封包給不同位址的其他主機l配合 DNS 查詢記錄及封包大小增加偵測的正確性2004.3.278實作與測試 (1/3)l實作於 Linux 主機,結合 iptables 以transpare

4、nt 方式部署於兩個網路之間l對封包資料欄位作 md5 雜湊運算l測試lSlammer、Blaster攻擊主機LinuxWin2000 + SQL Server 20002004.3.279實作與測試 (2/3)2004.3.2710實作與測試(3/3)2004.3.2711網蟲癱瘓內外網路示意圖2004.3.2712部署方式 (1/2)l介於路由器與交換器間2004.3.2713部署方式(2/2)l部署於各交接器之間 l部署極致:l安裝各主機上:個人式防火牆、網路卡2004.3.2714結論l簡潔的偵測方法,可有效偵測目前的已知網蟲,並能具有相同手法的未知網蟲偵測能力l結合主動阻擋的回應動作,可有效阻止網蟲對外擴散2004.3.2715Q&A謝謝! 敬請指教!2004.3.2716个人观点供参考,欢迎讨论!

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号