| | 講 題 | 基於SVM之可疑HTTP流量偵測 | | | 講 者 | 趙健智, 陳奕明 | | | 日 期 | 2018/10/25 | 長 度 | 00:10:12 | 人 氣 | 114 次 | | | 在現在網際網路普及的世界下,大多企業的資料都儲存在企業內部的主機,而這些主機勢必與網路直接或間接的聯繫,雖然方便存取和管理,但也促使網路駭客利用網際網路盜取企業內部資料,造成嚴重資料外洩。近幾年來,駭客為了隱藏自己的行蹤,常利用HTTP協定,透過惡意軟體入侵受害者,使得企業資料外洩,或是透過惡意網站誘使用者輸入個人或是機密資料等,而這些行為均會產生HTTP流量,如何及早偵測該可疑流量已成為資訊安全領域上極為重要的問題。本研究提出以SVM (Support Vector Machine)進行HTTP流量偵測的系統。此系統利用HTTP協定上的特徵建立一個可以有效偵測那些可能是在進行惡意活動的可疑流量,並且改善一般在建立正常模型時需要大量主機資料的研究限制。和其他研究不同之處在於我們以不同類型的HTTP請求封包及HTTP回應封包建立各自的異常偵測模型,再將各類型封包重組回一個HTTP流量,最後以一個完整的HTTP流量觀點,來辨認該流量是否惡意。本研究的實驗證實我們提出的方法即使只用47個惡意程式樣本以及四名使用者流量資料建立分類模型並且偵測來自惡意軟體的可疑流量,其偵測率達到88%。 | | | 提 供 | TANET台灣網際網路研討會-TANET2018 | | |
|
