Download presentation
Presentation is loading. Please wait.
1
作者:蕭漢威、吳宗儒、張思揚 指導教授:蕭漢威 報告學生:張思揚
以網路流量分析ARP欺騙攻擊之研究 作者:蕭漢威、吳宗儒、張思揚 指導教授:蕭漢威 報告學生:張思揚 Oct
2
大綱 前言 研究架構 實證評估 結論與未來研究
3
前言 網路環境 ARP欺騙 目前的偵測方法 本研究的目的在於以資料探勘的技巧,花費較小的成本監測大規模之網路範圍,加以防禦ARP攻擊行為
集線器(Hub) 交換器(Switch) ARP欺騙 目前的偵測方法 主動發出偵測封包 針對ARP Cache 本研究的目的在於以資料探勘的技巧,花費較小的成本監測大規模之網路範圍,加以防禦ARP攻擊行為
4
研究架構 系統架構 貝氏分類(Naive Bayesian Classification) ARP欺騙攻擊的預測模式學習
在實際區域環境的自動偵測系統 貝氏分類(Naive Bayesian Classification)
5
研究架構-系統架構
6
研究架構-貝氏分類 基於統計上之貝氏定理(Bayesian Theorem ) 建立預測模式與預測判斷有很好的效率
學習速度快,在大量的資料下表現優異
7
實證評估 流量收集說明 流量變數彙整 實驗結果
8
實證評估-流量收集說明 高雄大學內之區域網路 以Tcpdump收集2.5小時 依MAC以每一分鐘為區隔 10525筆的彙總的資料
攻擊:137 正常:10388 重覆抽取10次,產生10組實驗資料 每組資料中包含274筆封包資料
9
實證評估-流量變數彙整 變數名稱 變數說明 OutPacket 單位時間內,由該MAC位址發送之所有封包的數量總合 OutARP
單位時間內,由該MAC位址發送之ARP封包數量總合 OutByte 單位時間內,由該MAC位址發送之所有封包內容的Byte量總合 InPacket 單位時間內,該MAC位址接收之所有封包的數量總合 InARP 單位時間內,該MAC位址接收之ARP封包數量總合 InByte 單位時間內,該MAC位址接收之所有封包內容的Byte量總合 流量變數彙整
10
實證評估-實驗結果(1/3) 準確率(Accuracy): A+D/A+B+C+D 誤報率(False Alarm rate): C/A+C
遺漏率(Missing rate): B/A+B 預測 真實 ARP攻擊 非ARP攻擊 A B C D
11
實證評估-實驗結果(2/3) 十折驗證法 正確率 遺漏率 誤報率 平均 99.2% 0% 1.4% 實驗結果
12
實證評估-實驗結果(3/3) 使用資訊獲利(Information gain)計算其在這六個不同的變數的重要排名程度(Rank) 排名
變數名稱 1 OutPacket 2 OutARP 3 OutByte 4 InPacket 5 InARP 6 InByte 變數重要程度排序
13
結論與未來研究 依不同的 MAC 位址彙整了 6 個不同的流量變數
以貝式分類法的方式,建立了一個區分 ARP 欺騙攻擊與正常網路使用的分類模組 此分類模組在區域網路內偵測 ARP 攻擊事件有很好的效能 未來計劃以 SNMP 的流量變數去測試本研究的結果
14
End 謝謝聆聽
Similar presentations