| 隨著網路攻擊技術推陳出新,發掘攻擊行為
及有嫌疑的攻擊者為目前最重要的任務,相關偵
測及防禦系統如:網路型入侵偵測系統(NIDS)和
主機型入侵偵測系統(HIDS),可針對相對應之環
境進行偵測或防禦,但有些網路攻擊類型(網頁型
攻擊)透過 NIDS 檢測是無法辨識的,需要透過
HIDS 輔助進行日誌檢測才可察覺。因此本研究系
統結合網路型及主機型入侵偵測系統進行整合,
並對嫌疑行為進行偵測及風險評估。本系統會蒐
集 Netflow 和 Access log 進行潛在攻擊嫌疑行為的
分析,並利用本研究改良的 PageRank 演算法找出
嫌疑 IP 之間的連線關係,接著通過 Netflow 和
Access log 事件之間的時間關聯進行風險評分,最
後利用各嫌疑 IP 的風險係數進行排序,進而找出
攻擊風險最高的嫌疑 IP 進行後續防禦。 |
