計畫主持人:廖瑞銘 教授 計畫編號: 98H-4-2-1. A Team of Integrated Research.
計畫主持人:柯開維 共同 主持人:吳和庭老師 國立台北科技大學資工系...
-
Upload
jillian-orr -
Category
Documents
-
view
101 -
download
0
description
Transcript of 計畫主持人:柯開維 共同 主持人:吳和庭老師 國立台北科技大學資工系...
計畫主持人:柯開維 共同主持人:吳和庭老師國立台北科技大學資工系 軟體發展研究中心參與人員:張以磊、黃勢棋、潘義傑計畫編號: NSC 102-2218-E-027-004
具雲端可擴充性之網際網路通信監察 II :
自應用服務至入侵偵測
102 年度國科會自由軟體計畫結案報告
2014/9/2
報告內容
計畫目標 計畫執行成果 技術特色 技術應用範圍 計畫成果展示
2014/9/2 2
計畫目標網際網路「通訊監察 (Lawful Interception) 」 : 一個合法監
聽、記錄網路用戶私密性之網路行為或通信過程,並予以攔截、開拆、讀取通訊內容的強制行為。
設 計 一 套 「 分 散 式 網 路 事 件 分 析 紀 錄 系 統 (Distributed
Network Event Analyzing and Recording System) 」 網路電話即時監聽、 HTTP 及 FTP 協定分析、紀錄往來資訊 查詢、分析、還原及追蹤通訊行為、協助網際網路監查 網路異常行為偵測 可靈活布建 – 分散式架構 (distributed)
高協定擴充性 – 模組化 (modularized)
適合長時間監察 (availability)
2014/9/2 3
計畫執行成果 - 系統架構設計
基於雲端運算概念之監聽紀錄系統運作架構 截取流經網路上的封包,依據通訊協定加以分類、解析、
儲存及組合還原。整個監聽紀錄系統分為三部份:(1) 擷取與紀錄系統 (IRS) :位於區網端,透過 WinPcap/
libpcap 進行封包擷取,整合擷取紀錄,封包排序、重組資料串流儲存為 Raw 檔,對支援的通訊協定進行摘要、索引;
(2) 分析系統 (AS) :位於雲端的處理與記錄系統,負責事件紀錄之呈現、特定紀錄之還原;
(3) 資料庫系統 (DB) :儲存事件摘要、 IRS 上線狀態、 IRS
設定等。
2014/9/2 4
2014/9/2
<< 擷取與紀錄系統(IRS) 模組
Interception and Recording System
Protocol ParsersPacket Capture
Packet Pool
Network function
Protocol Parsers
Storage
SQL Server To AS
Protocol Parsers
data流向
5
分析系統 (AS)模組 >>
Analyzing System
Network function
HTML Analyzer
Voice Decoder
Storage
SQL Server From IRS
data流向
分析系統:負責事件紀錄之呈現、特定紀錄之還原
擷取與紀錄系統:整合擷取 (Sniffer) 紀錄、基本協定分析( 分類索引,事件摘要 )
系統架構運作流程
User
User
User
Interception and Recording system
LAN
Analyzing System
Database
Network
DNEARS
可供監聽的網路環境( 未加密的無線網路、
hub 、 mirror port)
1. 排序封包、重組資料串流2. 儲存 Raw 檔3. 對支援的通訊協定進行摘 要、索引
使用者透過 AS 檢視資料庫中的紀錄
使用者可以透過 AS 對IRS 要求特定紀錄之原始檔案,並透過 AS 的還原功能進行紀錄還原( 如網頁畫面還原、 VoIP 音訊還原 )
透過 WinPcap/libpcap 進行封包擷取,並透過 Jpcap 讓 Java 程式存取對每個儲存的原始檔案,產生事件紀錄(Log) ,記載如發生之時間、通訊協定、 IP 位置等資訊存放於資料庫
raw 檔
2014/9/2 6
系統功能- FTP 記錄與還原
FTP 紀錄檔案下載完成畫面 >
FTP 監聽: (1) 控制連線 - 監控目的 port 為 21 的 TCP 連線; (2) 登入事件 - 帳號密碼紀錄; (3) 資料連線 - 檔案紀錄,含主動模式 / 被動模式之上傳及下載。
系統功能- HTTP 記錄與還原
HTML 網頁復原完成畫面 >
HTTP 監聽: (1) 紀錄 HTTP 連線串流請求、回應內容;(2) 網頁還原 - 相對 / 絕對路徑之靜態網頁與外部內容還原。
系統功能- VoIP 記錄與還原
SIP/H323 VoIP 監聽: (1)SIP 或 H.323 連線分析;(2) 擷取語音封包、紀錄、即時監聽與會話還原。
系統功能- VoIP 還原與即時監聽VAVE 轉檔完成畫面
即時監聽畫面
系統功能-異常行為事件
單一系統集中配置 ( 可攜帶式 )
系統佈建型態 - 1
User
User
User
Interception and Recording System
+Database
+Analyzing System
LAN
2014/9/2 12
多擷取系統、單一網段 ( 電腦效能考量 )
系統佈建型態 -2
User
User
User
Interception and Recording system
LAN
Analyzing System
Database
Internet
Interception and Recording system
2014/9/2 13
IRS
多擷取系統、多個網段 ( 擴大監察範圍、集中管理 )
系統佈建型態 - 3
Analyzing System
Database
InternetUser
User
User
LAN
Interception and Recording
System
2014/9/2 14
IRS
IRS
使用 Java 開發,具跨不同作業系統平台之特性。採分散式架構,可靈活布建 - 採用雲端通信監控網路傳輸架構,減少雲與端間之交通流量,儲存的能力。具備 SIP& H323 網路電話之即時監聽、錄音、查詢與還原功能。可紀錄、查詢與還原網路檔案傳輸 (FTP) 和網頁存取(HTTP) 之所有訊息和原始資料。ARP spoofing 、 Ping attack 、 SYN flooding 等異常行為偵測。模組化設計、容易擴充;自由軟體開放原始碼性質,便於推廣與延伸處理。
2014/9/2
技術特色
15
類似系統比較 LI 系統 Wireshark ClearSight Analyzer
系統特性比較使用者介面 簡單 複雜 ( 多功能 ) 複雜 ( 多功能 )
Web介面 是 否 否開放原始碼 是 是 否
擴充性 易 易 不開放價格 免費 (open src) 免費 (open src) 昂貴
系統功能比較FTP 檔案側錄 完整檔案還原 只針對封包儲存 只針對封包儲存
VoIP側錄 完整原始內容還原 只針對封包儲存 完整原始內容還原HTTP 網頁側錄 完整原始內容還原 只針對封包儲存 只針對封包儲存VoIP 即時監聽 有 無 無異常行為監測 有 無 無
可分析之協定量 較少 最多 多雲端架構 有 無 無
長時間監察 適合 不適合 不適合
技術特色 (續 )
2014/9/2 16
2014/9/2
技術應用範圍
可運用於 ( 合法的 ) 網路監聽、犯罪行為預防與偵查、
以及資訊安全與洩漏防範。
可監控內部網路進行之相關應用服務,提供管理者做網
路使用行為分析所需訊息。
適合中小企業內部通訊監察、電話客服中心監控或可讓
使用者了解自己的網路使用行為。
設計經驗與原始碼可公開給學 /業界,降低設計門檻,
作為開發相關產品與教學的參考。
17
VoIP
SIP & H.323 Phone call in real-time
Multiple phone calls replay (precaptured packets)
FTP
Upload/Download file(s) to/from a remote FTP server
HTTP
Webpage access from a remote Web server
Abnormal Behavior (Intrusion) Detection
2014/9/2
計畫成果展示
18
2014/9/22014/9/2 1919