搜索
跨國資安合作計畫分項子計畫--入侵偵防技術之研發李漢銘臺灣科技大學資訊工程系教授2大綱•計畫概述•研究問題•計畫內容•預期成果與效益•附錄-InterdisciplinaryExperience計畫概述總計畫摘要計畫摘要人力配置合作對象介紹4總計畫摘要•本總計畫主要是以透過國際合作的方式,與美國UCB與CMU共同合作研究與開發資通安全領域最重要與最先進的議題,以期達成培育國內資通安全人才及研發任務導向關鍵技術的目標•本總計畫共包含五個分項子計畫,包括資通安全人才培育與任務導向關鍵技術研發兩大類–人才培育分項子計畫•分項子計畫1--無線感測網路之安全技術與應用•分項子計畫2--RFID應用之安全與隱私保護技術之研究•分項子計畫3--高安全度遠端身分鑑別技術之研發–任務導向關鍵技術研發分項子計畫•分項子計畫4--入侵偵防技術之研發•分項子計畫5--程式碼/軟體安全檢測系統•分項子計畫6--高速網路資訊安全系統與隱私保護管理之研發5計畫摘要(入侵偵防技術之研發)問題說明:網際網路技術的發展造成資訊產業對電腦及網際網路的依賴,提高了相關企業組織遭到普遍性與持續性攻擊的可能性計畫目標:利用先進的機器學習架構自動化的完成入侵偵防的工作研發先進多元事件偵測技術,並應用於高速網路偵防的相關專家系統設計與實作美國CMU向來為機器學習與資通安全研究的國際重鎮,我們除自行研發外,計畫派員前往CMU共同研究先進之入侵偵測與防護技術,並回台進行技術移轉與產學合作6計畫摘要(續)–主要研究項目•先進入侵偵測技術研發,如偵測未知新病毒或發覺新的攻擊模式等•誘捕系統(Honeypot)之研發•追蹤攻擊者之技術•防禦分散式阻斷攻擊之實用技術•IDS的中介表示法(intermediaterepresentation)與狀態協定分析表示法(statefulprotocolanalysisparadigm)7人力配置人力職稱總計畫子計畫1子計畫2子計畫3子計畫4子計畫5子計畫6總計畫主持人李德財子計畫主持人雷欽隆吳宗成吳宗成李漢銘李德財孫雅麗共同主持人王大為雷欽隆吳宗成李漢銘謝續平謝續平羅乃維呂及人李育杰莊庭瑞曹承礎陳孟彰協同主持人項天瑞鄧惟中顧維祺王大為邱榮輝楊傳凱徐讚昇楊柏因黃仁俊賴源正鮑興國吳怡樂王柏堯碩士級專任研究助理(3人)待聘(2人)待聘博士生兼任研究助理(2人)待聘(2人)待聘(2人)待聘(2人)待聘(2人)待聘(5人)待聘碩士生兼任研究助理(5人)待聘(4人)待聘(第一年3人;第二、三年各6人)待聘(3人)待聘(3人)待聘(4人)待聘8•CALD為CarnegieMellonUniversity中SchoolofComputerScience之獨立學術單位,CALD之研究領域含蓋,所有以statisticalmachinelearning為基礎之研究,目前CALD之核心研究人員計有20餘位•CALD與本計畫之研究最相關之研究如下–Constellation–Profiler-2000合作對象介紹(續)CenterofAutomatedLearningandDiscovery(CALD)9合作對象介紹(續)CenterofAutomatedLearningandDiscovery(CALD)•Constellation–Constellation計畫之重點在於提出一個校正基準(calibratedbenchmark)用來測試異常偵測器(anomalydetectiondetector)。Constellation計畫之主要目標是測定一個異常偵測器(anomalydetectiondetector)於資料空間(dataspace)中在某一定信心水準下之偵測範圍(detectionboundaries)。•Profiler-2000–目前發展出之入侵(intrusion)、異常(anomaly)、偽裝(masquerade)偵測之技術缺乏一公正客觀方法來量測或預測其表現。Profiler-2000計畫之主要目標是:–發展研究特徵(profiling)之基礎技術。–發展多種多樣的偵測器(diversesuiteofdetectors)。–提供客製化(custom)基準校正(calibrated)之測定平台(testbeds)。–提供統計上精確的效能評比。以提高入侵(intrusion)偵測技術之效能。10主要合作學者•Dr.Maxion於資訊安全、入侵偵測(intrusiondetection)、異常偵測(anomalydetection)等研究領域有卓越貢獻•近來於資訊安全相關之國際會議及期刊如InternationalConferenceonDependableSystems&Networks(DSN)、IEEETransactionsonReliability、InternationalSymposiumonRecentAdvancesinIntrusionDetection(RAID)、InternationalSymposiumonFault-TolerantComputing發表多篇入侵偵測(intrusiondetection)相關研究論文Dr.TomMitchellFredkinProfessorofAIandLearningDirector,CenterforAutomatedLearningandDiscoverySchoolofComputerScienceCarnegieMellonUniversityDr.YimingYangProfessorofLanguageTechnologiesInstituteandCenterforAutomatedLearningandDiscoveryattheSchoolofComputerScienceofCarnegieMellonUniversity研究問題•研究問題背景•研究問題重要性•入侵偵測系統•產品市場現況與趨勢12研究問題背景•網際網路資訊連通的普及,亦提高企業組織遭到攻擊的可能性(如:電子商務詐欺、侵犯智慧財產權、入侵電腦破壞或篡改電腦紀錄…等)•近年來重大網路安全事件層出不窮:–SQLSlammerWorm造成美洲與亞洲網路癱瘓(2003)–Blast利用Windows漏洞進行散佈,造成全球損失(2003)–Mydoom病毒以快速的感染速率(1200封/秒),造成全球損失(2003)–我國刑事局偵九隊破獲木馬惡意攻擊竊密案(已有上百家企業受害)(2004)13研究問題重要性•由於攻擊事件的增多與影響廣泛,使得入侵偵防系統變成資訊安全必要的一部份•入侵偵防系統的重要性–可提報威脅示警,證實遭到攻擊–了解攻擊的類型與頻率,決定安全控管機制–可簡化攻擊威脅之確認與分類報告的管理工作–提出明確資訊有助於說服管理階層同意編列足夠的資安預算14入侵偵測系統•根據SystemAdministration,NetworkingandSecurity(SANS)入侵偵測定義「偵測不適當、不正確或是異常的活動的技術」•入侵偵測系統(IntrusionDetectionSystem,IDS)可分析通過的封包或日誌檔並與入侵特徵資料庫進行比對,偵測異常並提供警示回報給系統管理者15入侵偵測分類(依據資料收集型態)依據資料收集型態可分為:應用程式導向(Application-based)、主機導向(Host-based)、目標導向(Target-based)、網路導向(Network-based)、整合導向(Integrated-based)•資料收集型態會影響到入侵偵測所建置的位置•最常部署的入侵偵測系統為「網路形入侵偵測系統(Network-basedIDS),簡稱NIDS」和「主機型入侵偵測系統(Host-basedIDS),簡稱HIDS」–NIDS佈署於網路入口,監控一個區域網路–HIDS建置於重要伺服器或主機上,監控系統上重要檔案、日誌檔、甚至是系統呼叫(SystemCall)16入侵偵測分類(依據偵測功能)依照偵測功能可分為:特徵比對偵測、異常偵測、混合偵測模式•特徵比對偵測(Signature-basedDetection)–又稱「不正當行為偵測(MisuseDetection)」,將偵測到的資料與入侵特徵資料庫進行比對•異常偵測(Signature-basedDetection)–找出不同於一般正常情況的行為,並判斷此不合常理的行為是否為入侵•混合偵測模式(HybridandMixedDetection)–結合上述兩種偵測方式17入侵偵測分類(依據分析工具)•分析工具大約可以分成六大類:統計分析(StatisticalAnalysis)、類神經網路(NeuralNetwork)、入侵規則(Ruled-basedAnalysis)、貝氏網路(BayesianNetwork)、有限狀態分析(FiniteStateAnalysis)、資料探勘(DataMining)•不同的入侵偵測功能需採用適當的偵測方法與分析工具來偵測與處理不同的入侵型態統計分析入侵規則類神經網路資料探勘貝氏網路有限狀態分析特徵比對偵測異常偵測混合偵測模式18產品市場現況與趨勢•市場鮮少單獨銷售網路型入侵偵測軟體產品與伺服器型的入侵偵測產品–由於虛警率過高及無法即時反映入侵警訊–入侵偵測產品整合進防火牆硬體設備或是其他網管系統中,作為整合性的銷售–主機型的入侵偵測產品,由於近年的網路效應的迅速發燒,也迫使作業系統廠商(如HP-Unix、MicrosoftWindows)必須在作業系統中具備此一功能•入侵偵測系統(IntrusionDetectSystem)正逐漸轉變為入侵防禦系統(IntrusionPreventionSystem)19產品市場SymantecNetworkSecurityIBMTivoliIntrusionManager•HPIDS/9000OpenSourceSnortS/9000•市面上常見的軟體系統廠商銷售之整合性入侵偵測防禦系統類似一個資安情報收集器,可以結合附件模組中的HIDS及NIDS模組資訊做出整合性的判斷可處理混合式威脅侵害並可搭配SymantecNetworkSecurity系列入侵預防硬體裝置為伺服器型的入侵偵測系統,在主機上監控的資料源來自三個方面:作業系統安全元件產生的內核審計資料、系統日誌檔與Web伺服器或其他應用伺服器日誌Snort的運作主要是以Rule-based的規則來過濾封包,一但封包符合所定義的攻擊規則,就會被定義為攻擊而立刻報告出來,缺點是必須時常更新Ruleset與設定檔中所載入的Ruleset計畫內容第一年計畫內容第二年計畫內容第三年計畫內容21計畫內容(第一年)•首先將建置HoneyPot作為資料蒐集及分析駭客行為的基礎架構:–HoneyPot安裝於重要的網路上,引誘潛在攻擊者,以使他們遠離其它的網路系統。設計此系統優點在於大量減少分析數據,降低查明入侵者運算的困難度–HoneyPot並非取代現有的各種安全技術,而是將它視為網路型及主機型入侵偵測的輔助技術•接著發展以機器學習/統計理論為架構的入侵偵防核心技術:–我們將提出一個階層式的網路型入偵測架構,並擬使用單類別支撐向量機(One-classsupportvectormachine)與平滑支撐向量機(SmoothSVM)做為這個入侵偵測架構的核心技術•對於評估方面,初步我們將使用1999KDD比賽的資料集來測試系統的效能,之後陸續引用其他相關的資料集22計畫內容(續)(第一年)•收集、整合、驗證並最佳化目前已存在的IDS規則,並設計一個中介表示法(intermediaterepresentation),再將這些收集到的規則轉換成適合我們所提出的狀態協定分析表示法(statefulprotocolanalysisparadigm)•設計適合高速網路即時偵防的適當的軟硬體實作架構(例如FPGAhousinganembeddedprocessorcoreplatform)、系統設計、資料結