Transcript 系統功能
具雲端可擴充性之網際網路通信監察 II: 自應用服務至入侵偵測 計畫主持人:柯開維 共同主持人:吳和庭老師 國立台北科技大學資工系 軟體發展研究中心 參與人員:張以磊、黃勢棋、潘義傑 計畫編號:NSC 102-2218-E-027-004 2014/9/2 2014/9/2 計畫目標 計畫執行成果 技術特色 技術應用範圍 計畫成果展示 2 計畫目標 網際網路「通訊監察(Lawful Interception)」: 一個合法監聽、 記錄網路用戶私密性之網路行為或通信過程,並予以攔截、 開拆、讀取通訊內容的強制行為。 設 計 一 套 「 分 散 式 網 路 事 件 分 析 紀 錄 系 統 (Distributed Network Event Analyzing and Recording System)」 網路電話即時監聽、HTTP及FTP協定分析、紀錄往來資訊 查詢、分析、還原及追蹤通訊行為、協助網際網路監查 網路異常行為偵測 可靈活布建 – 分散式架構 (distributed) 高協定擴充性 – 模組化 (modularized) 適合長時間監察 (availability) 2014/9/2 3 計畫執行成果 - 系統架構設計 基於雲端運算概念之監聽紀錄系統運作架構 截取流經網路上的封包,依據通訊協定加以分類、解析、 儲存及組合還原。整個監聽紀錄系統分為三部份: (1) 擷 取 與 紀 錄 系 統 (IRS) : 位 於 區 網 端 , 透 過 WinPcap/libpcap進行封包擷取,整合擷取紀錄,封包排 序、重組資料串流儲存為Raw檔,對支援的通訊協定進 行摘要、索引; (2)分析系統(AS):位於雲端的處理與記錄系統,負責事件紀 錄之呈現、特定紀錄之還原; (3)資料庫系統(DB):儲存事件摘要、IRS上線狀態、IRS設 定等。 2014/9/2 4 擷取與紀錄系統: 整合擷取(Sniffer)紀錄、 基本協定分析(分類索 引,事件摘要) Interception and Recording System Packet Capture Packet Pool Protocol Parsers Protocol Protocol Parsers Parsers Storage Network function SQL Server <<擷取與紀錄系統 (IRS)模組 To AS data流向 分析系統(AS) 模組 >> 分析系統:負責事件紀 錄之呈現、特定紀錄之 還原 Analyzing System HTML Analyzer Network function Storage Voice Decoder SQL Server From IRS 2014/9/2 data流向 5 系統架構運作流程 1.排序封包、重組資料串流 2.儲存Raw檔 LAN 3.對支援的通訊協定進行摘 要、索引 使用者透過AS檢 視資料庫中的紀錄 Analyzing System raw檔 User Network 使用者可以透過AS對 IRS要求特定紀錄之原 始檔案,並透過AS的 還原功能進行紀錄還原 透過 WinPcap/libpcap 進行 (如網頁畫面還原、 封包擷取,並透過Jpcap 讓 VoIP音訊還原) Java 程式存取 Interception and Recording system User 可供監聽的網路環境 (未加密的無線網路、 hub、mirror port) User 2014/9/2 對每個儲存的原始檔案, 產生事件紀錄(Log),記 DNEARS 載如發生之時間、通訊 協定、IP位置等資訊存 放於資料庫 Database 6 系統功能-FTP記錄與還原 FTP監聽:(1)控制連線-監控目的port為21的TCP連線; (2)登入事件-帳號密碼紀錄;(3)資料連線-檔案紀錄,含 主動模式/被動模式之上傳及下載。 FTP紀錄檔案下載完成畫面 > 系統功能-HTTP記錄與還原 HTTP監聽:(1)紀錄HTTP連線串流請求、回應內容;(2) 網頁還原-相對/絕對路徑之靜態網頁與外部內容還原。 HTML網頁復原完成畫面 > 系統功能-VoIP記錄與還原 SIP/H323 VoIP監聽:(1)SIP或H.323連線分析;(2)擷 取語音封包、紀錄、即時監聽與會話還原。 系統功能-VoIP還原與即時監聽 VAVE轉檔完成畫面 即時監聽畫面 系統功能-異常行為事件 系統佈建型態-1 單一系統集中配置(可攜帶式) LAN User User Interception and Recording System + Database + Analyzing System User 2014/9/2 12 系統佈建型態-2 多擷取系統、單一網段(電腦效能考量) LAN IRS Analyzing System User Internet Interception and Recording system User User 2014/9/2 Interception and Recording system Database 13 系統佈建型態-3 多擷取系統、多個網段(擴大監察範圍、集中管理) IRS LAN Analyzing System User Internet User User Interception and Recording System IRS 2014/9/2 Database 14 技術特色 使用Java開發,具跨不同作業系統平台之特性。 採分散式架構,可靈活布建 - 採用雲端通信監控網路 傳輸架構,減少雲與端間之交通流量,儲存的能力。 具備SIP&H323網路電話之即時監聽、錄音、查詢與還 原功能。 可紀錄、查詢與還原網路檔案傳輸 (FTP)和網頁存取 (HTTP)之所有訊息和原始資料。 ARP spoofing、Ping attack、SYN flooding等異常行為 偵測。 模組化設計、容易擴充;自由軟體開放原始碼性質,便 於推廣與延伸處理。 2014/9/2 15 技術特色(續) 類似系統比較 LI系統 Wireshark ClearSight Analyzer 系統特性比較 使用者介面 Web介面 開放原始碼 擴充性 價格 簡單 是 是 易 免費(open src) 複雜(多功能) 否 是 易 免費(open src) 複雜(多功能) 否 否 不開放 昂貴 系統功能比較 FTP檔案側錄 VoIP側錄 完整檔案還原 完整原始內容還原 只針對封包儲存 只針對封包儲存 只針對封包儲存 完整原始內容還原 HTTP網頁側錄 完整原始內容還原 只針對封包儲存 只針對封包儲存 無 無 最多 無 不適合 無 無 多 無 不適合 VoIP即時監聽 異常行為監測 可分析之協定量 雲端架構 長時間監察 2014/9/2 有 有 較少 有 適合 16 技術應用範圍 可運用於(合法的)網路監聽、犯罪行為預防與偵查、以 及資訊安全與洩漏防範。 可監控內部網路進行之相關應用服務,提供管理者做網 路使用行為分析所需訊息。 適合中小企業內部通訊監察、電話客服中心監控或可讓 使用者了解自己的網路使用行為。 設計經驗與原始碼可公開給學/業界,降低設計門檻,作 為開發相關產品與教學的參考。 2014/9/2 17 計畫成果展示 VoIP SIP & H.323 Phone call in real-time Multiple phone calls replay (precaptured packets) FTP Upload/Download file(s) to/from a remote FTP server HTTP Webpage access from a remote Web server Abnormal Behavior (Intrusion) Detection 2014/9/2 18 2014/9/2 2014/9/2 19 19