國家資通安全會報技術(shù)服務(wù)中心報告大綱_第1頁
國家資通安全會報技術(shù)服務(wù)中心報告大綱_第2頁
國家資通安全會報技術(shù)服務(wù)中心報告大綱_第3頁
國家資通安全會報技術(shù)服務(wù)中心報告大綱_第4頁
國家資通安全會報技術(shù)服務(wù)中心報告大綱_第5頁
已閱讀5頁,還剩11頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、適用於電子商務(wù)環(huán)境之適用於電子商務(wù)環(huán)境之網(wǎng)蟲即時偵測及防禦系統(tǒng)網(wǎng)蟲即時偵測及防禦系統(tǒng) 游啟勝*、陳奕明中央資管 電腦網(wǎng)路實驗室國家資通安全會報 技術(shù)服務(wù)中心*2004.3.272004 電子商務(wù)與數(shù)位生活研討會2報告大綱報告大綱l現(xiàn)下遭遇的問題l網(wǎng)蟲簡介l網(wǎng)蟲的擴(kuò)散特性l本文提出的網(wǎng)蟲偵測方法l網(wǎng)蟲即時偵測及防禦系統(tǒng)部署方式l實作與測試l結(jié)論2004.3.272004 電子商務(wù)與數(shù)位生活研討會3現(xiàn)下遭遇的問題現(xiàn)下遭遇的問題l網(wǎng)蟲愈來愈盛行,出現(xiàn)間隔愈來愈短lcodered、codered ii、nimda、slammer、blasterl網(wǎng)蟲影響電子商務(wù)運(yùn)作l無法在第一時間阻止未知網(wǎng)蟲癱瘓外部

2、及內(nèi)部網(wǎng)路l攻擊加重主機(jī)負(fù)荷2004.3.272004 電子商務(wù)與數(shù)位生活研討會4網(wǎng)蟲簡介網(wǎng)蟲簡介l與電腦病毒的異同l同屬惡意程式的一種l網(wǎng)蟲會主動擴(kuò)散,病毒則依賴使用者執(zhí)行l(wèi)網(wǎng)蟲實例l漏洞型網(wǎng)蟲:coderedle-mail 網(wǎng)蟲:netsky (worm_netsky.o)2004.3.272004 電子商務(wù)與數(shù)位生活研討會5網(wǎng)蟲的擴(kuò)散特性網(wǎng)蟲的擴(kuò)散特性 (1/2)l短時間內(nèi)攻擊眾多不同受害者l網(wǎng)蟲需要大量擴(kuò)散l使用 ip address 做為擴(kuò)散目標(biāo)選擇策略l大多數(shù)的正常連線使用 domain name 來連結(jié)dst_port, payload2004.3.272004 電子商務(wù)與數(shù)位生

3、活研討會6網(wǎng)蟲的擴(kuò)散特性網(wǎng)蟲的擴(kuò)散特性(2/2)l擴(kuò)散連線的通訊協(xié)定欄位固定 l目的通訊埠、 封包資料欄位(payload)l來源通訊埠、sequence number、acknowledge number、code bits l擴(kuò)散攻擊封包不會太小 l網(wǎng)蟲的感染及擴(kuò)散步驟複雜2004.3.272004 電子商務(wù)與數(shù)位生活研討會7本文的網(wǎng)蟲偵測方法本文的網(wǎng)蟲偵測方法(1/2)l根據(jù)流量異常偵測方法加以改良而來l過去:l將網(wǎng)路流量依通訊協(xié)定種類(tcp 或 udp)與目的通訊埠加以區(qū)分,將相同通訊協(xié)定及相同目的通訊埠的流量大小加總 twcert: 即時偵測防治internet worm 2004

4、.3.272004 電子商務(wù)與數(shù)位生活研討會8本文的網(wǎng)蟲偵測方法本文的網(wǎng)蟲偵測方法(2/2)l現(xiàn)在l假設(shè)一部正常的主機(jī)不會在短時間內(nèi)發(fā)送大量通訊協(xié)定、目的通訊埠、及資料欄位三個條件相同的封包給不同位址的其他主機(jī)l配合 dns 查詢記錄及封包大小增加偵測的正確性2004.3.272004 電子商務(wù)與數(shù)位生活研討會9實作與測試實作與測試 (1/3)l實作於 linux 主機(jī),結(jié)合 iptables 以transparent 方式部署於兩個網(wǎng)路之間l對封包資料欄位作 md5 雜湊運(yùn)算l測試lslammer、blaster攻擊主機(jī)linuxwin2000 + sql server 20002004.3

5、.272004 電子商務(wù)與數(shù)位生活研討會10實作與測試實作與測試 (2/3)2004.3.272004 電子商務(wù)與數(shù)位生活研討會11實作與測試實作與測試(3/3)2004.3.272004 電子商務(wù)與數(shù)位生活研討會12網(wǎng)蟲癱瘓內(nèi)外網(wǎng)路示意圖網(wǎng)蟲癱瘓內(nèi)外網(wǎng)路示意圖2004.3.272004 電子商務(wù)與數(shù)位生活研討會13部署方式部署方式 (1/2)l介於路由器與交換器間2004.3.272004 電子商務(wù)與數(shù)位生活研討會14部署方式部署方式(2/2)l部署於各交接器之間 l部署極致:l安裝各主機(jī)上:個人式防火牆、網(wǎng)路卡2004.3.272004 電子商務(wù)與數(shù)位生活研討會15結(jié)論結(jié)論l簡潔的偵測方法,可有效偵測目前的已知網(wǎng)蟲,並能

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論