High-speed Network
Intrusion detection and DDoS defence美國紐約大學 IEEE 教授的演講
簡單介紹現在網路安全的發展趨勢
他的研究分兩部
Host 端的 Intrusion detection
以及較前端 伺服器端的 DDoS defence
因為入侵個人電腦的病毒
和對DDoS的攻擊是目前最嚴重的兩個網路安全問題在美國甚至已經有 attack 工具程式的出現
一個高中生都可以進行簡單的駭客攻擊
有兩種科技職業很奇怪
駭客攻擊產生了網路安全工程師的需求
盜版促進了加密技術的研發
他們之間的對決某方面來說是人性黑暗面的證據
他希望能在 DDoS 端
就先擋掉八成以上的 attact
剩下少數通過的病毒再用個人電腦的防火牆解決
這樣可以佔用較少的電腦資源
對每個封包進行過濾的動作所佔用的電腦資源
一直是網路安全軟體最重要的問題
因為他本身具有電工背景
所以他計畫在 DDoS 端使用 SOC 解決雖然像手機及 MP3 Player 等大部分的系統
依然可以利用軟體解決但是一個封包檢查的時間非常短暫
它需要非常高的運算處裡能力而硬體現在的處裡速度 已經凌駕靠 CPU 運算的軟體
他最終的計畫是把 Host 端的 Instrusion detect DDoS Defence
整合成一個完整的硬體系統
DDoS defence 系統的概念是對每個網路傳送的封包內容進行評分
高過某個特定值會被視為高度危險除了 Detect 的演算法以外
他利用到統計學的概念
他對一天中每個時段的封包流量以及內容做統計分析當在某一時段出現流量內容異常的封包
會被視為高度危險他沒有特別開發新 Detect 演算法
利用舊有的 Bloom Filiter 以及 Look up table
搭配他新型態的 DDoS Defence
當演算法似乎已經發展到一種極限時候
他嘗試用經驗法則以及實驗科學來解決問題
成大教授在演講結束後給他很多實務上的建議DDoS Defence 其實沒有必要和其他網路安全系統整合
可以獨立出來網路安全系統需要非常大量的 Data Base
特別是他的新技術需要再加上個時段的流量統計時間的間隔該如何定義
禮拜一和禮拜天的內容也不完全相同
網路安全的理論難度最高的地方就在驗證的過程它需要很長時間的觀察和實驗
才能證明系統的可信度和安全性
這些是他還需要努力的地方
事實上他會當大學教授
是因為他的網路公司沒有撐過網路泡沫化他一路從交大碩士畢業 美國博士畢業
當過科技公司的 CTO 擁有過上億美金的資本但是他在紐約大學一坐就是 13 年
他現在不用再面對殘酷的競爭
也不用再面對市場的壓力而可以用很長的時間
投入一個離成功還有很長一段距離的研究
有時候當我看著他們在講台上呼風喚雨
或是在實驗室大呼小叫的時候我也會好奇他們沒有踏出學校
或是終於又選擇回到學校是因為真的喜歡穩定的工作
喜歡平靜的生活
還是他們已經沒有熱情
或是已經沒有勇氣