阻斷服務(Denial of Service, DoS)攻擊主要是利用系統軟體或通訊協定的漏洞，使主機或網路系統出現異常而無法提供服務。傳統上，阻斷服務攻擊之偵測與防禦主要透過入口偵防機制(如防火牆、入侵偵測系統或入侵保護系統)以達到避免或預防阻斷服務攻擊的發生或進行。上述之偵防機制通常只檢視內部網路與外部網路出入閘道之資料封包，且主要是分析IP層以上的網路傳輸資訊，因此無法有效地解決發生於內部網路之阻斷服務攻擊或以偽造IP進行之阻斷服務攻擊之問題。為改善傳統偵防機制之限制，本研究提出以網路實體介面之SNMP流量資料做為攻擊偵測的基礎，並利用資料探勘分類分析技術，建立一個阻斷服務攻擊的預測模式，以作為新的流量資料是否為阻斷服務攻擊的判斷準則。

為了實證本研究所提出之阻斷服務攻擊偵測系統的效能，我們以不同取樣時間週期(包括1、3、5分鐘)，蒐集了二種不同網路環境(包括企業網路及校園網路)的正常網路流量，並以獨立實驗網路環境蒐集四種阻斷服務攻擊(TCP SYN Flood、Land、Fake Ping及Angry Ping攻擊)的網路流量，以建立不同網路環境、不同攻擊及不同取樣時間週期的阻斷服務攻擊預測模式。實證結果顯示，在不同的網路環境中對於阻斷服務攻擊可達98.59%以上的準確率；流量資料取樣週期對偵測效能影響不大；此外，對於這四類攻擊的辨識能力極高。

Denial of Service (DoS) attacks aim at rendering a computer or network incapable of providing normal services by exploiting bugs or holes of system programs or network communication protocols. Existing DoS attack defense mechanisms (e.g., firewalls, intrusion detection systems, intrusion prevention systems) typically rely on data gathered from gateways of network systems. Because these data are IP-layer or above packet information, existing defense mechanisms are incapable of detecting internal attacks or attackers who disguise themselves by spoofing the source IP addresses of their packets. To address the aforementioned limitations of existing DoS attack defense mechanisms, we propose a classification-based DoS attack detection technique on the basis of the SNMP MIB II data from the network interface to induce a DoS detection model from a set of training examples that consist of both normal and attack traffic data). The constructed DoS detection model is then used for predicting whether a network traffic from the network interface is a DoS attack.

To empirically evaluate our proposed classification-based DoS attack detection technique, we collect, with various traffic aggregation intervals (including 1, 3, and 5 minutes), normal network traffic data from two different environments (including an enterprise network, and a university campus network) and attack network traffics (including TCP SYN Flood, Land, Fake Ping, and Angry Ping) from an independent experimental network. Our empirical evaluation results show that the detection accuracy of the proposed technique reaches 98.59% or above in the two network environments. The evaluation results also suggest that the proposed technique is insensitive to the traffic aggregation intervals examined and has a high distinguishing power for the four types of DoS attacks under investigation.

目錄
頁次
第一章 緒論 1
1.1研究背景 1
1.2研究動機 3
1.3研究目的 5
1.4論文架構 7
第二章 文獻探討 8
2.1阻斷服務攻擊的定義與分類 8
2.2阻斷服務攻擊之偵測與防禦 13
2.2.1 現有DoS攻擊的預防、偵測與防禦方式 13
2.2.2 現有的阻斷服務攻擊的偵測與防禦方式之限制 15
2.3資料探勘技術及其在網路安全之應用 16
第三章 阻斷服務攻擊之偵測與防禦架構 19
3.1系統架構 19
3.2阻斷服務攻擊預測模式之學習 20
3.3阻斷服務攻擊之偵測與防禦 24
第四章 實證評估設計 26
4.1研究資料蒐集環境 26
4.2資料蒐集 27
4.3資料整理 28
第五章 評估分析與討論 31
5.1阻斷服務攻擊之實證評估 31
5.1.1評估指標 31
5.1.2實證評估結果 32
5.2不同類型阻斷服務攻擊偵測之實證評估 33
5.2.1評估指標 34
5.2.2實證評估結果 34
第六章 結論與未來研究方向 40
6.1結論 40
6.2未來研究方向 42
參考文獻 44

表目錄
頁次
表一、SNMP流量資料變數及說明 21
表二、C4.5所產生的DoS攻擊預測法則 24
表三、實證資料中DoS攻擊流量資料之統計 28
表四、DoS攻擊預測實驗結果 33
表五、不同類型DoS攻擊預測之準確率 35
表六、不同類型DoS攻擊預測實驗結果(遺漏率) 36
表七、不同類型DoS攻擊預測實驗結果(誤報率) 38

圖目錄
頁次
圖1、阻斷服務(DOS)攻擊之研究目的 6
圖2、網路服務架構 9
圖3、資料庫之知識探索程序 17
圖4、阻斷服務攻擊之偵測與防禦系統架構 20
圖5、阻斷服務(DOS)攻擊之網路流量蒐集環境 28
圖6、資料前處理步驟 29
圖7、異常網路流量資料之補償 30

參考文獻
[1] 太平洋電腦網，「什麼是網路安全」，2003年11月20日，http://big5.pconline.com.cn/b5/www.pconline.com.cn/pcjob/suijijob/10311/243774.html。
[2] 台灣思科系統，「網路安全面面觀」，http://www.cisco.com/global/TW/networking/security/pdf/overview_doc03.pdf。
[3] 台灣電腦網路危機處理