虛擬講堂進入演講
講 題具擴展性與模組化的核心層級入侵偵測與防禦系統
講 者 暨南國際大學資訊管理學系伊遠正
日 期2017/10/26長 度00:11:40人 氣295 次
摘 要
電腦科技應用的普及與網際網路技術的蓬勃
發展,越來越多的使用者透過網路來傳遞或儲存
重要的資料。隨著使用者的增加,駭客攻擊、竊
取個資的事件頻傳,攻擊的手法也不斷地更新,
入侵偵測系統(Intrusion Detection System,IDS)為
最常被用來保護系統的安全。
本論文是以虛擬機器監控層的具擴展性的入
侵偵測與防禦系統(Virtual Machine Monitor based
Extensible Intrusion Prevention System,VMM-EIPS)
為基礎,我們擴展它的模組化架構,讓此系統同
時具備誤用偵測與異常偵測功能的架構。我們亦
設計與實作新的功能元件,可以偵測IDS Evasion
攻擊與非偽裝IP 的TCP SYN Flood 攻擊的功能元
件,我們將所實作的系統重新命名為EIPS+。此
外,我們也增加了檢測封包後的回應機制,使得
EIPS+系統的防禦與回應功能變得更加完善。
我們的 EIPS+系統是實作成Linux 核心模組,
掛載在Linux Kernel 的網路封包過濾子系統Net-
Filter 的PREROUTING掛勾點上,可以檢測所有進
入系統的網路封包,檢測完成後再根據檢測的結
果給予相對應的回應。實驗結果顯示我們所新增
的檢測IDS Evasion 技術的功能元件可以有效地偵
測到相關的IDS Evasion 的攻擊,且新增的檢測
TCP SYN Flood 攻擊的功能元件,亦可以有效地檢
測出非偽裝IP 的阻斷服務(Denial-of-Service,DoS)
攻擊。在效能評估方面,與著名的開放原始碼的
IDS – Snort 相比,EIPS+對系統效能只降低了
0.9%~3.9%,而Snort 則是降低了6.8%~20.6%,結
果證明運作於核心層級的EIPS+因為不需要在不同
的Protection Domain 中轉換,以及減少了封包複製
的動作,所以對系統效能影響較小。
提 供TANET台灣網際網路研討會-TANET2017
進入演講