計畫主持人：柯開維 共同主持人：吳和庭老師國立台北科技大學資工系 軟體發展研究中心參與人員：張以磊、黃勢棋、潘義傑計畫編號： NSC 102-2218-E-027-004

具雲端可擴充性之網際網路通信監察 II ：

自應用服務至入侵偵測

102 年度國科會自由軟體計畫結案報告

2014/9/2

報告內容

計畫目標 計畫執行成果 技術特色 技術應用範圍 計畫成果展示

2014/9/2 2

計畫目標網際網路「通訊監察 (Lawful Interception) 」 : 一個合法監

聽、記錄網路用戶私密性之網路行為或通信過程，並予以攔截、開拆、讀取通訊內容的強制行為。

設 計 一 套 「 分 散 式 網 路 事 件 分 析 紀 錄 系 統 (Distributed

Network Event Analyzing and Recording System) 」 網路電話即時監聽、 HTTP 及 FTP 協定分析、紀錄往來資訊 查詢、分析、還原及追蹤通訊行為、協助網際網路監查 網路異常行為偵測 可靈活布建 – 分散式架構 (distributed)

高協定擴充性 – 模組化 (modularized)

適合長時間監察 (availability)

2014/9/2 3

計畫執行成果 - 系統架構設計

基於雲端運算概念之監聽紀錄系統運作架構 截取流經網路上的封包，依據通訊協定加以分類、解析、

儲存及組合還原。整個監聽紀錄系統分為三部份：(1) 擷取與紀錄系統 (IRS) ：位於區網端，透過 WinPcap/

libpcap 進行封包擷取，整合擷取紀錄，封包排序、重組資料串流儲存為 Raw 檔，對支援的通訊協定進行摘要、索引；

(2) 分析系統 (AS) ：位於雲端的處理與記錄系統，負責事件紀錄之呈現、特定紀錄之還原；

(3) 資料庫系統 (DB) ：儲存事件摘要、 IRS 上線狀態、 IRS

設定等。

2014/9/2 4

2014/9/2

<< 擷取與紀錄系統(IRS) 模組

Interception and Recording System

Protocol ParsersPacket Capture

Packet Pool

Network function

Protocol Parsers

Storage

SQL Server To AS

Protocol Parsers

data流向

5

分析系統 (AS)模組 >>

Analyzing System

Network function

HTML Analyzer

Voice Decoder

Storage

SQL Server From IRS

data流向

分析系統：負責事件紀錄之呈現、特定紀錄之還原

擷取與紀錄系統：整合擷取 (Sniffer) 紀錄、基本協定分析( 分類索引，事件摘要 )

系統架構運作流程

User

User

User

Interception and Recording system

LAN

Analyzing System

Database

Network

DNEARS

可供監聽的網路環境( 未加密的無線網路、

hub 、 mirror port)

1. 排序封包、重組資料串流2. 儲存 Raw 檔3. 對支援的通訊協定進行摘 要、索引

使用者透過 AS 檢視資料庫中的紀錄

使用者可以透過 AS 對IRS 要求特定紀錄之原始檔案，並透過 AS 的還原功能進行紀錄還原( 如網頁畫面還原、 VoIP 音訊還原 )

透過 WinPcap/libpcap 進行封包擷取，並透過 Jpcap 讓 Java 程式存取對每個儲存的原始檔案，產生事件紀錄(Log) ，記載如發生之時間、通訊協定、 IP 位置等資訊存放於資料庫

raw 檔

2014/9/2 6

系統功能－ FTP 記錄與還原

FTP 紀錄檔案下載完成畫面 >

FTP 監聽： (1) 控制連線 - 監控目的 port 為 21 的 TCP 連線； (2) 登入事件 - 帳號密碼紀錄； (3) 資料連線 - 檔案紀錄，含主動模式 / 被動模式之上傳及下載。

系統功能－ HTTP 記錄與還原

HTML 網頁復原完成畫面 >

HTTP 監聽： (1) 紀錄 HTTP 連線串流請求、回應內容；(2) 網頁還原 - 相對 / 絕對路徑之靜態網頁與外部內容還原。

系統功能－ VoIP 記錄與還原

SIP/H323 VoIP 監聽： (1)SIP 或 H.323 連線分析；(2) 擷取語音封包、紀錄、即時監聽與會話還原。

系統功能－ VoIP 還原與即時監聽VAVE 轉檔完成畫面

即時監聽畫面

系統功能－異常行為事件

單一系統集中配置 ( 可攜帶式 )

系統佈建型態 - １

User

User

User

Interception and Recording System

+Database

+Analyzing System

LAN

2014/9/2 12

多擷取系統、單一網段 ( 電腦效能考量 )

系統佈建型態 -2

User

User

User

Interception and Recording system

LAN

Analyzing System

Database

Internet

Interception and Recording system

2014/9/2 13

IRS

多擷取系統、多個網段 ( 擴大監察範圍、集中管理 )

系統佈建型態 - ３

Analyzing System

Database

InternetUser

User

User

LAN

Interception and Recording

System

2014/9/2 14

IRS

IRS

使用 Java 開發，具跨不同作業系統平台之特性。採分散式架構，可靈活布建　 - 採用雲端通信監控網路傳輸架構，減少雲與端間之交通流量，儲存的能力。具備 SIP＆ H323 網路電話之即時監聽、錄音、查詢與還原功能。可紀錄、查詢與還原網路檔案傳輸 (FTP) 和網頁存取(HTTP) 之所有訊息和原始資料。ARP spoofing 、 Ping attack 、 SYN flooding 等異常行為偵測。模組化設計、容易擴充；自由軟體開放原始碼性質，便於推廣與延伸處理。

2014/9/2

技術特色

15

類似系統比較 LI 系統 Wireshark ClearSight Analyzer

系統特性比較使用者介面 簡單 複雜 ( 多功能 ) 複雜 ( 多功能 )

Web介面 是 否 否開放原始碼 是 是 否

擴充性 易 易 不開放價格 免費 (open src) 免費 (open src) 昂貴

系統功能比較FTP 檔案側錄 完整檔案還原 只針對封包儲存 只針對封包儲存

VoIP側錄 完整原始內容還原 只針對封包儲存 完整原始內容還原HTTP 網頁側錄 完整原始內容還原 只針對封包儲存 只針對封包儲存VoIP 即時監聽 有 無 無異常行為監測 有 無 無

可分析之協定量 較少 最多 多雲端架構 有 無 無

長時間監察 適合 不適合 不適合

技術特色 (續 )

2014/9/2 16

2014/9/2

技術應用範圍

可運用於 ( 合法的 ) 網路監聽、犯罪行為預防與偵查、

以及資訊安全與洩漏防範。

可監控內部網路進行之相關應用服務，提供管理者做網

路使用行為分析所需訊息。

適合中小企業內部通訊監察、電話客服中心監控或可讓

使用者了解自己的網路使用行為。

設計經驗與原始碼可公開給學 /業界，降低設計門檻，

作為開發相關產品與教學的參考。

17

VoIP

SIP & H.323 Phone call in real-time

Multiple phone calls replay (precaptured packets)

FTP

Upload/Download file(s) to/from a remote FTP server

HTTP

Webpage access from a remote Web server

Abnormal Behavior (Intrusion) Detection

2014/9/2

計畫成果展示

18

2014/9/22014/9/2 1919