作者:蕭漢威、吳宗儒、張思揚 指導教授:蕭漢威 報告學生:張思揚 以網路流量分析ARP欺騙攻擊之研究 作者:蕭漢威、吳宗儒、張思揚 指導教授:蕭漢威 報告學生:張思揚 Oct.22 2008
大綱 前言 研究架構 實證評估 結論與未來研究
前言 網路環境 ARP欺騙 目前的偵測方法 本研究的目的在於以資料探勘的技巧,花費較小的成本監測大規模之網路範圍,加以防禦ARP攻擊行為 集線器(Hub) 交換器(Switch) ARP欺騙 目前的偵測方法 主動發出偵測封包 針對ARP Cache 本研究的目的在於以資料探勘的技巧,花費較小的成本監測大規模之網路範圍,加以防禦ARP攻擊行為
研究架構 系統架構 貝氏分類(Naive Bayesian Classification) ARP欺騙攻擊的預測模式學習 在實際區域環境的自動偵測系統 貝氏分類(Naive Bayesian Classification)
研究架構-系統架構
研究架構-貝氏分類 基於統計上之貝氏定理(Bayesian Theorem ) 建立預測模式與預測判斷有很好的效率 學習速度快,在大量的資料下表現優異
實證評估 流量收集說明 流量變數彙整 實驗結果
實證評估-流量收集說明 高雄大學內之區域網路 以Tcpdump收集2.5小時 依MAC以每一分鐘為區隔 10525筆的彙總的資料 攻擊:137 正常:10388 重覆抽取10次,產生10組實驗資料 每組資料中包含274筆封包資料
實證評估-流量變數彙整 變數名稱 變數說明 OutPacket 單位時間內,由該MAC位址發送之所有封包的數量總合 OutARP 單位時間內,由該MAC位址發送之ARP封包數量總合 OutByte 單位時間內,由該MAC位址發送之所有封包內容的Byte量總合 InPacket 單位時間內,該MAC位址接收之所有封包的數量總合 InARP 單位時間內,該MAC位址接收之ARP封包數量總合 InByte 單位時間內,該MAC位址接收之所有封包內容的Byte量總合 流量變數彙整
實證評估-實驗結果(1/3) 準確率(Accuracy): A+D/A+B+C+D 誤報率(False Alarm rate): C/A+C 遺漏率(Missing rate): B/A+B 預測 真實 ARP攻擊 非ARP攻擊 A B C D
實證評估-實驗結果(2/3) 十折驗證法 正確率 遺漏率 誤報率 平均 99.2% 0% 1.4% 實驗結果
實證評估-實驗結果(3/3) 使用資訊獲利(Information gain)計算其在這六個不同的變數的重要排名程度(Rank) 排名 變數名稱 1 OutPacket 2 OutARP 3 OutByte 4 InPacket 5 InARP 6 InByte 變數重要程度排序
結論與未來研究 依不同的 MAC 位址彙整了 6 個不同的流量變數 以貝式分類法的方式,建立了一個區分 ARP 欺騙攻擊與正常網路使用的分類模組 此分類模組在區域網路內偵測 ARP 攻擊事件有很好的效能 未來計劃以 SNMP 的流量變數去測試本研究的結果
End 謝謝聆聽