新型網路攻擊、風險評估與入侵追蹤的誘捕預警技術

Abstract

日新月異的網路技術如AJAX 及p2p Network 的快速發展，將網路的便利性 與普及性帶到了前所未有的高峰，然而建構於這些技術之上的新型態攻擊也層出 不窮，例如利用網頁內嵌Java Script 盜取Cookie 的跨網站攻擊腳本(Cross-Site Scripting, XSS)，或是具變形能力的木馬蠕蟲程式，亦或是例用瀏覽器自動填寫帳 號密碼功能的反向跨站請求(Reverse Cross-Site Request, RCSR)等等。傳統的入侵 偵測系統是透過以往的經驗來檢驗是否出現攻擊的跡象，但對於這種新發現的弱 點便無法達到很好的保護效果。 蜜網誘補系統(Honeynet)採取一種不同的思維，誘使攻擊者對其進行攻擊。在 攻擊的過程中，系統將秘密地記錄下整個攻擊的過程，包含攻擊者的網路行為(如 埠口掃瞄，流量攻擊等)、登入主機後輸入的指令，甚至於在主機上安裝的木馬後 門程式，都將被記錄下來並回報。這種誘補系統提供了巨細靡遺的資料來源，因 此我們相信，密網誘補系統、模糊法則推論與資料探勘技術的相結合，將會成為 資安人員在分析攻擊上的一大利器，同時這種系統若普遍應用，也會對駭客造成 一定程度的壓力。 本計畫將由八位教授分別負責各項研究工作，計劃的研究重點在於網路誘捕 技術、入侵側錄技術、攻擊來源追蹤技術、威脅風險評估與預警技術等。並試圖 整合上述之技術實作出一完整的網路誘補與風險評估預警系統，並以現今新型的 網路攻擊驗證其抵抗能力。 本研究計畫共包含兩大研究議題，分別為誘補側錄蜜網系統，以及威脅分析 與預警系統之核心技術研究，由八位參與教授分別負責，並將有整合雛形系統產 出： (一) WINDOWS 網頁伺服器與針對資料庫攻擊之誘捕 1. 網頁伺服器之送入字串與參數紀錄 --- (許富皓教授) 2. 針對資料庫之攻擊字串的誘捕技術 --- (許富皓教授) 3. 攻擊字串與資料庫資料的對應側錄 --- (許富皓教授) 4. 網路封包標記與追蹤技術：研究網路封包標記架構、入侵追蹤模式、封包資料摘要 與壓縮技術、網路攻擊路徑重建技術 --- (趙禧綠教授) (二) 網路威脅風險分析與威脅預警之核心技術與軟體單元研發 1. 容易使用的法則編輯與驗證技術：針對網路威脅分析及風險量化與威脅預警所需之 經驗法則的表達技術、容易使用的經驗法則的編輯與驗證技術 --- (黃俊龍教授， 彭文志教授) 2. 網路威脅分析及風險量化：網路威脅模式、風險量化模式、模糊理論之網路威脅分 析技術、模糊理論之風險量化技術 --- (彭文志教授) 3. 威脅預警技術：模糊理論之威脅預警之經驗法則、威脅預警演算法 --- (黃俊龍教 授) 4. Mining Fuzzy association rules, 以供本系統使用--- (黃俊龍教授) 5. 評估商用的法則推論引擎,以供本系統使用--- (彭文志教授) (三) 系統整合 --- (楊武教授) 1. 管理上述各研究議題、系統整合 2. 規劃與整合上述各研究議題之技術及其軟體介面 3. WINDOWS 誘捕網情搜軟體單元人機介面設計 4. 網路威脅風險分析與威脅預警軟體單元人機介面設計 5. 整合系統之人機介面設計 (四) 計劃統籌規劃與協調 --- (謝續平教授) 1. 計劃統籌規劃 2. 規劃研究技術整合、研究重點方向 3. 參與網路封包標記與追蹤技術研究 4. 計劃管理

Network technology, such as Ajax and P2P, is in a state of constant change. While dramatically improving the convenience and generality of network, there has been a rapid increase in the number of attacks based on these techniques. For instance, Cross-Site Scripting, Polymorphic Trojan, and the Reverse Cross-Site Request. Among several types of attacks, Zero-day vulnerabilities are the most baleful and spreading faster than ever. We usually detect the invasion according to experiences in the past. The finding, however, is unimpressive on the newly vulnerability. Honeynet adopts a different concept, which induces an attacker to attack it. The system could record and report all the process of attack, including attackers’networking behaviors(port-scanning, traffic flaw attack, etc), the commands executed after login, and Trojans or backdoor programs installed on the host. Such systems collect detailed and extensive information. Integrated with data mining techniques, a Honeynet system would be an efficient instrument for attack analysis. At the same time, general-use of the system will cause a lot of stress to attackers. In the project, we focus on Honeynet, invasion profiling technique, IP trackback technique, risk estimating and warning system, and etc. In addition, we will integrate above-mentioned techniques, implement a complete Honeynet and risk estimating system, and verify its resistance by imposing zero-day network attacks.