资安威胁聚合分析技术会议.PDF

網路日誌安全分析 中正大學資工系 林柏青 日誌分析需求 企業網路資安防護設備 ◦ 防火牆、入侵偵測系統、網頁應用程式防火牆、防毒閘道器... 潛在資安威脅 ◦員工可自帶設備接到內部網路 (防護邊界模糊化) ◦ 針對式攻擊(targeted attacks)的威脅 難以事先偵測( ) ◦ 並非人人皆具資安的警覺性與背景 凡走過必留下痕跡 ◦日誌分析的重要性 ◦發現後可及早處理問題 資安威脅分析 從多種日誌 (系統、網路設備中發現可能存在的資安威脅) ◦如何知道是資安威脅? ◦ Misuse (威脅特徵) ，可偵測已知威脅，但可能遺漏新威脅 ◦ Anomaly detection (異常偵測 ) ，可發現異於正常行為 (什麼是正常行為 ?) ◦偵測資安威脅就夠了嗎 ? 日誌分析的挑戰 ◦個人隱私問題 (需要去識別化) ◦不同日誌格式的差異 (需要正規化) ◦龐大資料的分析 (big data議題 ) 日誌種類的比較 日誌種類 防火牆 Bro Snort 1.連線記錄 2. 應用層協定分 偵測規則所訂定的 主要內容 連線記錄 析 入侵特徵 3. 協定異常狀態 通過或被擋下的封 被動式擷取進出企 被動式擷取進出企 網路流量來源 包 業的封包 業的封包 除連線資訊外，可 對於偵測規則所訂 看的到全部進出企 優點 分析應用層協定活 定的入侵特徵能有 業的封包 動 效察覺 缺乏足夠的入侵偵 如果入侵偵測規則 只能從連線分析中 測規則，需要較多 缺點 沒定義到的網路活 進行分析 其他自動或人工分 動就無從分析 析 UDP連線 ? IPv6位址 ? 防火牆日誌格式 需注意時序(timestamp)是否照先後次序排列 Bro日誌格式 Snort日誌格式 研究日誌與格式 時間 /類型 防火牆日誌 Bro日誌 Snort日誌 2014年8月 (1日 -31日 ) 182.82GB