Presentation is loading. Please wait.

Presentation is loading. Please wait.

分散式網路事件分析記錄系統之 研製 The Design and Implementation of Distributed Network Event Analyzing and Recording System Yi-Lei Chang Advisor: Dr. Kai-Wei Ke 2013/06/17.

Published byMillicent Cannon Modified over 8 years ago

Similar presentations

Presentation on theme: "分散式網路事件分析記錄系統之 研製 The Design and Implementation of Distributed Network Event Analyzing and Recording System Yi-Lei Chang Advisor: Dr. Kai-Wei Ke 2013/06/17."— Presentation transcript:

1 分散式網路事件分析記錄系統之 研製 The Design and Implementation of Distributed Network Event Analyzing and Recording System Yi-Lei Chang Advisor: Dr. Kai-Wei Ke 2013/06/17 1

2 Outline  Introduction  Background  System Design  Compare to simulate system  Demo  Reference 2

3 Introduction  Network Event  An observable occurrence on network that can be recognize as a specific protocol activity or behavior (e.g., FTP Login, HTTP web browse).  System Goals  Record and analyze network event  FTP  HTTP  VoIP  Abnormal behavior  Distributed system  High flexibility and extensibility 3

4 Background - Jpcap  Packages  Jpcap  JpcapCaptor  PacketReceiver  Jpcap.packet  ARPPacket  ICMPPacket  IPPacket  TCPPacket  UDPPacket 4

5 Background - Jpcap 5

6 System Design 6

7 Interception System  Capture packets  Track relative connections  Record supported network event 7

8 Packet Capture  Receive packets from NIC in promiscuous mode  Set basic packet filter  IP  ARP  Not Interception System’s IP  Add packets to PacketPool 8

9 Packet Pool  Maintain all packets capture by PacketCapture  Each ProtocolParser register to PacketPool have a random integer key to access it’s packet list iterator  Remove useless packets when buffer full  Synchronize needed 9

10 Protocol Parser  Abstract class ProtocolParser implements Runnable  Define basic steps for a standard protocol parser  Implement Runnable.run() with 4 abstract function called in sequence  isRelative()  processPacket()  isContinue()  endProcess()  The implementation of these abstraction function will change the use of class extends ProtocolParser(e.g., FTPProtocolParser). 10

11 Protocol Parser 11

12 Protocol Parser - FTP  Relative: port 21  Process:  Create a connection key “clientIP|clientPort|hostIP|hostPort” for identify every FTP command connection  For every unhandled FTP connection create FTP command Parser  Continue: always  Ending process: unregister with PacketPool 12

13 Protocol Parser - FTP 13

14 Protocol Parser – FTP command  Relative: specific connection represent by connection key  Process:  USER/PASS/230 – login event  PORT/227 – tract data connection  STOR/RETR – create FTP recorder to record transmitted file  Continue:  Connection not close  Connection not idle  Ending process:  Unregister with PacketPool  Remove handled state in FTP Parser 14

15 Protocol Parser – FTP command 15

16 Protocol Parser – FTP recorder  Relative: specific connection and direction represent IP and Port  Process:  Put data packet to TCPReorderBuffer  Set acknowledge number for TCPReorderBuffer to reference  While buffer full flush data to file  Continue:  Connection not close  Connection not idle  Ending process:  Unregister with PacketPool  Flush all remain data in buffer to file  Log file transmit event into DB 16

17 Protocol Parser – FTP recorder 17

18 TCPReordreBuffer  A buffer can store jpcap.packet TCPPacket and reorder packet’s data by sequence  Put:  TCPPacket  ack_number  Get:  in order packet TCP payload in byte array  Missing part info 18

19 TCPReordreBuffer - put 19

20 TCPReordreBuffer - get 20

21 Protocol Parser - HTTP  Relative: port 80  Process:  Create a connection key “clientIP|clientPort|hostIP|hostPort” for identify every HTTP connection  For every unhandled HTTP connection create HTTP recorder  Continue: always  Ending process: unregister with PacketPool 21

22 Protocol Parser – HTTP recorder  Relative: specific connection specific connection represent by connection key  Process:  Put data packet to TCPReorderBuffer  Set acknowledge number for TCPReorderBuffer to reference  Cut HTTP header, record header information  Log HTTP event into DB  Store HTTP body into DB if its not too big  Continue:  Connection not close  Connection not idle  Ending process:  Unregister with PacketPool  Flush all remain data in buffer to file  Log file transmit event into DB 22

23 Protocol Parser H.323  Relative: port 1719(H.323RAS), port 1720(Q.931/H.225)  Process:  Maintain device list using gatekeeper RAS message  For every unhandled H245 connection create H245 Parser  Continue: always  Ending process:  Unregister with PacketPool 23

24 Protocol Parser H.245  Relative: specific connection represent by connection key  Process:  While openlogicchannel message detected, create RTP recorder  Continue:  Disconnect message undetected  Connection not idle  Ending process:  Unregister with PacketPool  Log calling event into DB 24

25 Protocol Parser RTP  Relative: specific UDP packet with specific source and destination  Process:  Record RTP content  Real-time decode/play if needed  Continue:  Disconnect message undetected  Connection not idle  Ending process:  Unregister with PacketPool 25

26 Protocol Parser - Abnormal behavior  Relative: ICMP Packet, ARP Packet, TCP SYN packet  Process:  ICMP ping attack  Count ICMP packet for both source and destination  If > 3 ping packet/sec log ping attack event into DB  ARP attack  Record MAC/IP mappings  If MAC/IP mappings changing > 10 times/min log ARP attack event into DB  TCP SYN packet  Record SYN request, remove when 3 way established  If to many SYN request unestablished log SYN attack event into DB  Continue: always  Ending process: Unregister with PacketPool 26

27 Analyzing and Recording System  HTML page recovery  PCM decode  File storage and presentation 27

28 Analyzing and Recording System - HTTP Analyzer  Search http response with content-type text/html to get html page file  Search [src=“”] pattern in html file  Search relative http request in DB  Recover/rename relative file and replace links in html file  Cross match DB and html file to recover as much as possible 28

29 Improvement  FTP active/passive mode, upload, download support  HTTP absolute direct link resolve  H.323 support  Better program structure with higher flexibility and extendibility 29

30 Compare to other system 本系統 WiresharkClearSight Analyzer 系統特性比較 使用者介面簡易複雜 開放原始碼是是否 擴充性高高低 價格免費 昂貴 系統功能比較 網路協定量統計無有有 分散式架構有無無 儲存側錄檔案 支援檔案及 HTML 頁面還原 只針對封包內容儲存 語音即時監聽有無無 記憶體需求小大大 可分析之協定較少多 多 適合長時間之網路監測是否否 30

31 Demo 31

32 Reference  [1] 林佑民 ,「 基於雲端運算之網路通訊監察分析系統之研製 」, 碩士論文 , 國立 台北科技大學資訊工程系碩士班 , 2012  [2] 黃威穎 ,「 H.323 網路電話音訊監控與錄製系統之研製 」, 碩士論文國立台北 科技大學資訊工程系碩士班 , 2008 32

Download ppt "分散式網路事件分析記錄系統之 研製 The Design and Implementation of Distributed Network Event Analyzing and Recording System Yi-Lei Chang Advisor: Dr. Kai-Wei Ke 2013/06/17."

Similar presentations

網際網路資料庫連結 2004 Php Web Programming. 上完這段課程,你將學會  一般靜態網頁與互動式網頁的區別。  網際網路上大量資料的存取。  資料庫的角色與功能。  Web Server 的角色與功能。  網際網路資料庫的應用。  基本的程式寫作技巧及網頁的應用。

網際網路資料庫連結 2004 Php Web Programming. 上完這段課程,你將學會  一般靜態網頁與互動式網頁的區別。  網際網路上大量資料的存取。  資料庫的角色與功能。  Web Server 的角色與功能。  網際網路資料庫的應用。  基本的程式寫作技巧及網頁的應用。
採訪作業自動化 : 國立中山大學圖書薦購系統 曾榮泰 技正 報告 黃貴瑛 林金龍 蔡炅廷 撰述 中山大學圖書館 系統資訊組

採訪作業自動化 : 國立中山大學圖書薦購系統 曾榮泰 技正 報告 黃貴瑛 林金龍 蔡炅廷 撰述 中山大學圖書館 系統資訊組
Web Service 實作簡介 張啟中. Outline Introduction to Web Service Demo (An Example) Demo (Building a Web Service with.Net) Demo (Consuming a Web Service with.Net)

Web Service 實作簡介 張啟中. Outline Introduction to Web Service Demo (An Example) Demo (Building a Web Service with.Net) Demo (Consuming a Web Service with.Net)
楊竹星 國立成功大學電機工程系 98學年第一學期

楊竹星 國立成功大學電機工程系 98學年第一學期
Event Sampling 事件取樣法. 關心重點為「事件」本身明確的焦點 行為 清楚掌握主題 - 當「事件」出現時才開 始記錄 記錄程序 等待目標事件的發生 開始記錄 事件結束,停止記錄.

Event Sampling 事件取樣法. 關心重點為「事件」本身明確的焦點 行為 清楚掌握主題 - 當「事件」出現時才開 始記錄 記錄程序 等待目標事件的發生 開始記錄 事件結束,停止記錄.
第二章 太陽能電池的基本原理 及其結構 2-1 太陽能電池的基本原理 2-2 太陽能電池的基本結構 2-3 太陽能電池的製作.

第二章 太陽能電池的基本原理 及其結構 2-1 太陽能電池的基本原理 2-2 太陽能電池的基本結構 2-3 太陽能電池的製作.
學生:王謙志 指導教授:柯開維教授 日期: 2010.07.27 1. Motivation & Goal Background Java SIP Protocol Implementation of the System System Environment of Network System Architecture.

學生:王謙志 指導教授:柯開維教授 日期: Motivation & Goal Background Java SIP Protocol Implementation of the System System Environment of Network System Architecture.
97598050 王謙志. SIP Introduction Call Flow Point to Point Flow Transfer Flow Conference Flow Exception How to use JPcap Future Work Reference.

王謙志. SIP Introduction Call Flow Point to Point Flow Transfer Flow Conference Flow Exception How to use JPcap Future Work Reference.
Speaker: Pei-Ni Tsai Adviser: Dr. Kai-Wei Ke. Outline Introduction Hierarchical Resource Allocation Resource Allocation Complete share Guard External.

Speaker: Pei-Ni Tsai Adviser: Dr. Kai-Wei Ke. Outline Introduction Hierarchical Resource Allocation Resource Allocation Complete share Guard External.
1 客製化 H.323 協定之智慧型網路 電話監控與錄音系統之研製 Adviser : Kai-wei Ke Speaker : Chia-Jui Tsai Intelligent monitoring and recording system implementation for Customized.

1 客製化 H.323 協定之智慧型網路 電話監控與錄音系統之研製 Adviser : Kai-wei Ke Speaker : Chia-Jui Tsai Intelligent monitoring and recording system implementation for Customized.
清華大學 ePage 教育訓練 基礎 & 進階課程 黑快馬股份有限公司. 課程大綱 平臺操作介紹及首頁畫面設定 資訊維護發佈及文檔系統 模組管理及運用 多語操作概念 資源管理及行事曆功能 帳號、權限管理 Q&A 時間.

清華大學 ePage 教育訓練 基礎 & 進階課程 黑快馬股份有限公司. 課程大綱 平臺操作介紹及首頁畫面設定 資訊維護發佈及文檔系統 模組管理及運用 多語操作概念 資源管理及行事曆功能 帳號、權限管理 Q&A 時間.
寬頻匯流網路管理資訊系統之研製 Design of Management Information System for Broadband and Convergence Networks Yung-Da Chen, You-Min Lin, Kai-Wei Ke, and Ho-Ting Wu Department.

寬頻匯流網路管理資訊系統之研製 Design of Management Information System for Broadband and Convergence Networks Yung-Da Chen, You-Min Lin, Kai-Wei Ke, and Ho-Ting Wu Department.
無名哇哇哇 ?. 封包 header & 內文 Form 位置 找到發送 POST 的封包 找到密碼位置.

無名哇哇哇 ?. 封包 header & 內文 Form 位置 找到發送 POST 的封包 找到密碼位置.
Speaker: Pei-Ni Tsai Adviser: Dr. Kai-Wei Ke 2011/7/27.

Speaker: Pei-Ni Tsai Adviser: Dr. Kai-Wei Ke 2011/7/27.
1 Wireless and Mobile All-IP Networks Authors: Yi-Bing Lin and Ai-Chun Pang Publisher: Wiley ISBN: 0-471-74922-2.

1 Wireless and Mobile All-IP Networks Authors: Yi-Bing Lin and Ai-Chun Pang Publisher: Wiley ISBN:
Chapter 0 Computer Science (CS) 計算機概論. 1-2 25 教學目標 瞭解現代電腦系統之發展歷程 瞭解電腦之元件、功能及組織架構 瞭解電腦如何表示資料及其處理方式 學習運用電腦來解決問題 認知成為一位電子資訊人才所需之基本條 件 認知進階電子資訊之相關領域.

Chapter 0 Computer Science (CS) 計算機概論 教學目標 瞭解現代電腦系統之發展歷程 瞭解電腦之元件、功能及組織架構 瞭解電腦如何表示資料及其處理方式 學習運用電腦來解決問題 認知成為一位電子資訊人才所需之基本條 件 認知進階電子資訊之相關領域.
密碼學報告 Wired Equivalent Privacy Algorithm, WEP 有線等效保密演算法 Present :張永昌 Chang Yung-Chang.

密碼學報告 Wired Equivalent Privacy Algorithm, WEP 有線等效保密演算法 Present :張永昌 Chang Yung-Chang.
多媒體概論 mm11.ppt 1 分散式資料處理 多媒體資訊的處理與管理 多用戶系統間的協調 網路教學.

多媒體概論 mm11.ppt 1 分散式資料處理 多媒體資訊的處理與管理 多用戶系統間的協調 網路教學.
WEBPAT專利資料庫檢索. 2 WEBPAT 全球專利資訊網 n 網址:

WEBPAT專利資料庫檢索. 2 WEBPAT 全球專利資訊網 n 網址:
1.1 電腦的特性 電腦能夠快速處理資料:電腦可在一秒內處理數百萬個 基本運算,這是人腦所不能做到的。原本人腦一天的工 作量,交給電腦可能僅需幾分鐘的時間就處理完畢。 電腦能夠快速處理資料:電腦可在一秒內處理數百萬個 基本運算,這是人腦所不能做到的。原本人腦一天的工 作量,交給電腦可能僅需幾分鐘的時間就處理完畢。

1.1 電腦的特性 電腦能夠快速處理資料:電腦可在一秒內處理數百萬個 基本運算,這是人腦所不能做到的。原本人腦一天的工 作量,交給電腦可能僅需幾分鐘的時間就處理完畢。 電腦能夠快速處理資料:電腦可在一秒內處理數百萬個 基本運算,這是人腦所不能做到的。原本人腦一天的工 作量,交給電腦可能僅需幾分鐘的時間就處理完畢。

Similar presentations

Ads by Google