UDIFT：具預警功能與入侵追蹤之區域聯防系統 - 東海大學‧資訊工程學系

UDIFT: 具 預 警 功 能 與 入 侵 追 蹤 之 區 域 聯 防 系 統呂 芳 懌 楊 惟 傑 鄭 真 真 洪 嘉 鴻東 海 大 學 資 訊 工 程 與 科 學 系leufy@thu.edu.tw摘 要目 前 的 網 路 安 全 機 制 , 如 Firewall、IDS 等 , 對 於 攻 擊 者 的 入 侵 行 為 只 有 警示 作 用 , 並 無 嚇 阻 效 果 , 惟 有 找 到 攻 擊 者 , 訴 諸 法 律 , 才 能 有 效 的 嚇 阻 攻 擊 事 件的 發 生 ; 此 外 在 防 禦 時 , 個 體 的 防 禦 是 較 為 薄 弱 的 , 唯 有 彼 此 合 作 協 助 防 禦 才 能更 有 效 的 阻 絕 入 侵 。本 文 提 出 一 個 具 有 預 警 功 能 的 區 域 聯 防 與 追 蹤 系 統 , 稱 為 具 預 警 功 能 之 區 域聯 防 與 追 蹤 (Union Defense with Intrusion Forecast and Traceback, UDIFT)。 此 系統 能 適 用 於 目 前 的 網 路 環 境 , 將 龐 大 的 網 際 網 路 環 境 分 為 多 個 網 路 管 理 區 域(Network Management Unit, NMU), 而 透 過 NMU 之 聯 防 以 保 護 重 要 網 域 ; 追 蹤系 統 藉 各 區 域 間 的 相 互 合 作 以 追 蹤 攻 擊 者 , 方 法 為 在 各 區 域 紀 錄 封 包 之 hash 值 ,以 之 追 蹤 攻 擊 的 來 源 。 本 系 統 亦 搭 配 CA(Certification Authority) 與 SSL(SecureSocket Layer) 等 安 全 機 制 , 驗 證 通 訊 雙 方 的 身 份 及 保 障 各 單 元 通 訊 時 , 訊 息 與資 料 的 隱 密 性 與 完 整 性 , 及 系 統 之 安 全 性 。關 鍵 字 : 網 路 安 全 、 入 侵 偵 測 、 入 侵 追 蹤 、 識 別 碼 、 認 證AbstractCurrently security mechanisms, such as Firewall and IDS, only focus on caution,prevention and detection. Such activities can not threaten hackers and intruders. Inorder to prevent illegal attack, finding and punishing malevolent hackers are themost effective way. Individual defense seems a little weak . Only union defense canstop intrusions effectively.In this paper, we proposed a system that can detect and forecast an intrusionand trace back hackers, called “Union Defense with Intrusion Forecast and Traceback(UDIFT). It is applicable to current environment. We divide enormous Internetenvironment into many “network management units, NMU” for convenient trace ofintruders and management purposes. Through cooperation of NMUs , hackers can beeasily traced and identified . The basis of traceback is the identification code which isproduced by involving hash function and is pre-recorded in each NMU.This system is constructed with security mechanisms such as CA (CertificationAuthority) and SSL (Secure Socket Layer) .So they can guarantee the authentication

and confidentiality on the communication between NMUs in order to secure thesystem.Keywords: Network Security, Intrusion Detection, Intrusion Traceback, identificationcode, authentication