指導教授:黃三益 教授 學生 洪瑞麟 m 蔡育洲 m 陳怡綾 m

Slides:



Advertisements
Similar presentations
第 7 章 数据库 1. Overview  数据库概述  数据库管理系统  数据库的体系结构和数据库模型  SQL 语言  数据库技术  构建数据库系统 2.
Advertisements

计算机网络技术基础(第三版) 主编:尚晓航 高等教育出版社
6.1 区域委派与域名转发 6.2 虚拟主机技术 6.3 架设FTP服务器 6.4 动态主机分配协议 6.5 架设Mail服务器
第五章 网络服务组件.
项目四:Internet基础与接入方法 第八章 应用服务器安装配置
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
第三章 駭客入侵流程解析.
課程名稱:計算機概論 授課老師:李春雄 博士
信息犯罪与计算机取证 第三章计算机入侵.
第 4 章 网络层.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
第七章 商务网站建设 案例八:艺海拾贝网站设计 思考 1.为什么说网页结构 设计非常重要? 2.目录结构与网页 结构有什么关系?
BOTNET Detection and Prevention
第 八 章 資料庫安全 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
第6章 資料庫管理系統 6-1 關聯式資料庫管理系統 6-2 SQL Server資料庫管理系統
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
第三章 管理信息系统的技术基础 主要内容: 数据处理 数据组织 数据库技术 4. 计算机网络.
数据转发过程.
Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23.
计算机系统安全 第10章 常用攻击手段.
網路基本概念與設定方法 林文宗 資管系助理教授
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
东南大学 大学计算机基础 ——基本概念及应用思维解析.
第十五章 常見的資料庫管理系統 目的 Oracle 微軟SQL Server 微軟Access MySQL Oracle 應用伺服器
第9章 電子商務安全防範.
資訊安全概論 梁明章 國家高速網路與計算中心 助理技術師.
第 19 章 遠端管理.
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
網路基本概念 本章主要是為讀者建立有關網路的基本知識, 作為後續章節的基礎。首先我們會說明網路的基本概念, 接著介紹網路的各種類型與相關的作業系統, 最後則是介紹 OSI 與 DoD 等兩種網路模型, 讓讀者能進一步了解網路運作的方式。
David liang 数据通信安全教程 防火墙技术及应用 David liang
利用 ISA Server 2004 建置應用層防護機制
計資中心教學研究組唐瑤瑤 電腦與網路 計資中心教學研究組唐瑤瑤
基於OpenWSN之無線感測網路系統的實作
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
1-1 電腦的起源 1-2 電腦的演進 1-3 電腦的種類 1-4 電腦與生活
第六章 差错与控制报文 (ICMP).
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
網路伺服器應用 Linux Server Andres, Wen-Yuan Liao
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
Source: IEEE Access, vol. 5, pp , October 2017
資料庫安全 (Database Security)
访问控制列表(ACL) Version 1.0.
利用Netflow即時偵測蠕蟲攻擊 報告人:王明輝 報告日期:民國95年11月2日.
CS 網路安全 Network Security
计算机网络管理技术 第1章 网络管理技术概述 第2章 SNMP网络管理架构 第3章 网络流量监控技术与方法 第4章 磁盘管理
第2章 Visual FoxPro 简介 Visual FoxPro概述 Visual FoxPro设计工具
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
網路探測:路徑、延遲 與流量統計 Instructor: Teaching Assistant:.
恶意移动代码分析与研究 郑 辉 清华大学网络中心 CERNET Computer Emergency Response Team
NS2 – TCP/IP Simulation How-Wei Wu.
NetST®防火墙培训教程 清华得实® 保留所有权利.
Ch4.SQL Server 2005資料庫組成員元件介紹
Unit 10: Introduction to the Internet
基于移动代理的分布式 入侵检测系统 太原理工大学网络信息中心 任新华 2019/2/22.
Python联合服务器的使用.
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
第12章 计算机病毒防范技术 本章学习目标: 掌握病毒的分类与特征 掌握病毒检测与防范的基本知识 了解计算机病毒防范技术的发展趋势
微软云计算 --Windows Azure platform
Network Application Programming(3rd Edition)
CS, ZJU 4/18/2019 Chapter 7 数据库.
Source: Journal of Network and Computer Applications, Vol. 125, No
網路安全管理 期末報告 A 許之青 24/04/2019.
Chapter 11 使用者資料包通訊協定.
DoS、DDoS網路攻擊 A 沈惇鈺 指導教授:梁明章.
Common Security Problems in Business and Standards
Mobile IPv4.
ORACLE之SQL*PLUS的格式化输出
DDoS A 林育全.
信息安全防护技术—— 防火墙和入侵检测 万明
TCP/IP基礎協定之認識 資訊處位 主講人 黃連發.
Presentation transcript:

指導教授:黃三益 教授 學生 洪瑞麟 m964020015 蔡育洲 m964020034 陳怡綾 m964020041 Data mining Project 2 指導教授:黃三益 教授 學生 洪瑞麟 m964020015 蔡育洲 m964020034 陳怡綾 m964020041

Outline Introduction Data mining procedure Conclusion Background Motivation Data mining procedure Conclusion

Background 從美國聯邦調查局電腦研究所調查報告, 可發現90%的企業在過去一年當中曾偵 測其電腦遭受到惡意的攻擊入侵。 在入侵事件發生前或是惡意攻擊者發動 攻擊時,要盡可能的及早發現,並且偵 測出來,加以防禦,所以需要有效的偵 測方式,透過偵測防禦可以降低入侵攻 擊事件的發生比率。

Motivation 入侵防禦系統 (Intrusion Prevention System, IPS),其目的是分析主機及網 路的行為,並判斷其是否有入侵攻擊的 行為發生,是屬於比較積極主動的安全 控管機制,能彌補防火牆及防惡意程式 的軟體對於分析與觀察主機及網路行為 的不足。 在實驗中,利用中美和石化公司所提供 的IPS資料,根據其欄位進行分類動作, 並找出其相關性。

Data mining procedure Translate biz opportunity (problem) into DM opportunity (problem) 由於組織內部架設許多主機,同時儲存許 多重要私密資料,因此希望能有配套措施 來保護組織內部網路的機密性與安全性, 並能抵擋網路上常見的攻擊。轉換成Data Mining的解決方法,亦即將架設於防火牆 外的IPS所收集到的流量進行classification, 並訓練出攻擊的規則,希望藉由此規則對 網路流量進行是否為DOS攻擊之判斷

Data mining procedure 取自 Oracle 資料庫 於SQLPlus中利用以下指令匯出資料‘ SQL> set pagesize 50000 //將螢幕長度設為每頁50000行 SQL> set linesize 1000 //將螢幕寬度設為每行1000個字元 SQL> spool data.csv //將螢幕的內容輸出到data.csv SQL> select * from table; //從table中拉出資料 SQL> spool off

Data set 欄位 意義 例 AID 編號 1 ACK Tcp-flag TIME 日期時間 04-2月 -08 02.30.52.000000 下午 ATTACK 攻擊方式 ICMP: Nachi-like Ping、 HTTP: Internet Media、 UDP: Host Sweep、 Tunneling through HTTP、 WORM: Possible Worm Detected in Attachment SEVERITY 危險程度 MEDIUM、 HIGH SOURCEIP 來源IP 61.218.193.242

Data set SOURCEPO 來源連接埠 4221 TARGETIP 目標IP 128.128.128.38 SENSOR 感應裝置(虛擬) sensorkhh TARGETPO DOMAIN 目標連接埠網域 80 /CAPCO_KHH、 9876 /CAPCO_KHH INTER TYPE 入侵方式 Exploit、 Host Sweep APPLICATIONPROTOCOL 協定 icmp、http、dns RESULTSTATUS 處理結果 Blocked、 Suspicious Maybe Successful ATTACKCOUNT 攻擊次數 1 DIRECTION 流量方向 Inbound、Outbound CATEGORY 分類 Policy Violation SUBCATEGORY 子分類 dos、 restricted-application、 host-sweep DETECTIONMECHANISM 偵測架構 signature、 protocol-anomaly VULNERABILITYRELEVANCE 弱點關聯 Unknown VLANID vlan的編號 -NA-

Data mining procedure Select appropriate data 一開始拿到資料先以肉眼判斷不適合或對訓練無用之欄位 AID:儲存流水號之欄位,因此判斷對攻擊之訓練無用。 ACK:屬於TCP -Flag,在此dataset中全部數值為0,判斷對攻 擊判斷之訓練無用。 Del:屬於TCP-Flag,在此dataset中全部數值為0,因此判斷 對攻擊判斷之訓練無用。 SENSOR:儲存用來收集的sensor名稱,在此dataset中全部值 為sensorkhh,因此判斷對攻擊判斷之訓練無用。 VULNERABILITYRELEVANCE:儲存弱點關聯,在此dataset 中全部數值為Unknown,因此判斷對攻擊判斷之訓練無用。 VLANID: 在此dataset中全部數值為-NA-,因此判斷對攻擊 判斷之訓練無用。

Data mining procedure Get to know the data

Data mining procedure Create a model set 利用以下欄位的搭配,可以找出DOS的特徵 ATTACK SEVERITY SOURCEIP SOURCEPO TARGETIPTARGETPO DOMAIN INTER TYPE APPLICATIONPROTOCOL RESULTSTATUS ATTACKCOUNT DIRECTION CATEGORY SUBCATEGORY DETECTIONMECHANISM

Data mining procedure Fix problems with the data 這裡使用的為C4.5演算法做classify,所以可以直接處 理missing data不用另外處理 Transform data to bring information to the surface 在這裡我們不另外對data做其他的處理

Data mining procedure Build models CATEGORY = Exploit ATTACK = ICMP: Nachi-like Ping: dos (19456.0) ATTACK = NETBIOS-SS: Windows DDN DoS: dos (3147.0) ATTACK = RDP: Microsoft Windows RDP Server Abnormal Termination: dos (18.0) ATTACK = DCERPC: Microsoft SPOOLSS Service Denial of Service: dos (34.0) ATTACK = MSRPC: Windows Registry Remote Write Attempt: dos (6882.0) ATTACK = SMB: SRV.SYS Null Pointer Dereference: dos (9.0) ATTACK = NETBIOS-NS: Windows Name Conflict: dos (1.0) ATTACK = DDoS: TFN2k ICMP Possible Communication: ddos- agent-activity (2.0)

Data mining procedure

Results Time taken to build model Correctly Classified Rate Test data set Training data set 0.5 seconds 99.9756 % 50% 0.53 seconds 99.9817 % 33.3% 66.6% 0.48 seconds 99.9832 % 25% 75% 99.9863 % 20% 80%

Conclusion 由實驗中可得知,藉由實際收集IPS的 流量資訊並加以訓練之後,對一般流量 進行分類,準確率高達99.97%以上。