臺灣博碩士論文加值系統

近年來我國資通訊科技環境發展迅速，相對地資安事件也層出不窮，綜觀過去所發生的資安事件，不僅是民營企業容易遭受駭客入侵，更嚴重的是針對政府機關所發動的「目標式攻擊」；而此類攻擊大多以竊取機敏資料為主要目的，所使用的攻擊方式不僅跳脫傳統的駭客攻擊手法，更提升為結合「社交工程」手法的人性面攻擊，其完美地結合零時差攻擊與人性面的脆弱，巧妙地將惡意檔案以電子郵件夾帶的方式，寄送至所欲攻擊使用者的電子郵件信箱，企圖誘使開啟並執行其中所附加之惡意檔案，以進而成功奪取系統控制權，達到逐步滲透政府機關的意圖。
本研究對象係以某特定A政府機關為例，蒐集該機關2011年所遭受到的惡意電子郵件樣本共173封（該樣本在攻擊當下為新型/未知惡意郵件），並以之為分析基礎，透過本研究所設計的研究設計及二種分析流程，萃取深層資訊後再進行關聯規則分析，並將研究發現之攻擊態樣與特徵，對比現階段A政府機關進行之防範惡意電子郵件社交工程攻擊演練，以提出未來進行社交工程演練時之改善建議及對真實攻擊之管理建議。
本研究發現目前A機關除面臨目標式攻擊外，該攻擊亦符合進階持續性滲透攻擊(APT) 特徵，手法以公務類型惡意電子郵件社交工程攻擊為主。面對此類攻擊，A機關除應改善其防範惡意電子社交工程攻擊演練計畫外；另外在面對真實攻擊時，建議可以針對「人員」及其使用「電腦設備」進行監控，並提出監控 (Monitor)、鑑識 (Forensics)、分析 (Analysis)、記錄 (Record)之MFAR主動防禦概念，希冀有效降低被入侵之機會。

In recent years, information and communication technology (ICT) has developed rapidly in Taiwan. However, information security incidents emerge endlessly. Observing the past incidents in general indicate that not only private enterprises are easy to be invaded by hackers, but government organizations are also victims of “targeted attack.” The main purpose of this kind of attacks is stealing sensitive data not by traditional ways of hacking but by attacking weaknesses in human nature combined with “social engineering.” It perfectly utilizes zero-day attack, in connection with weak aspects of human nature, by skillfully attaching malicious files in e-mail and sending to targeted e-mail boxes. When government users are lured to check out the malicious files, they will lose command ability and hackers can successfully achieve the purpose of gradually infiltrating government organizations.
This study took a particular government agency, A, as an example and collected 173 malicious e-mail samples (new/unknown malicious e-mail when attacking) that the agency suffered in 2011 as the basis of analysis. The study, through research design and two analytical processes, extracted deep information and analyzed the information with association rules, and found the attack patterns and characteristics. Furthermore, the study compared the findings with malicious e-mail social engineering exercise in order to improve social engineering exercises and management of malicious e-mail attacks.
This study found that A agency was attacked by targeted attacks that conformed with the characteristics of advanced persistent penetration attacks (APT), and most attacks were malicious e-mail social engineering attacks. Facing such attacks, this study suggested A agency should improve its drill program for preventing malicious electronic social engineering attacks; In addition, the study suggests the agency to carefully inspect its “officers” and “the computers used by the officers” and proposes the active defense concept, MFAR (Monitor, Forensics, Analysis, Record), in order to reduce the opportunities of successful invasion.

摘要 i
Abstract ii
誌謝 iv
目錄 v
圖目錄 vi
表目錄 viii
第一章 緒論 1
1.1 研究背景 1
1.2 研究動機 3
1.3 研究目的 5
1.4 研究流程 5
1.5 研究對象與範圍 7
第二章 文獻探討 8
2.1 目標式攻擊 8
2.2 社交工程攻擊 12
2.3 我國政府機關防範惡意電子郵件社交工程演練概況 14
2.4 資料探勘 15
2.5 小結 20
第三章 研究方法 21
3.1 研究架構 21
3.2 資料蒐集與定義 23
3.3 研究設計 28
第四章 實徵分析與探勘結果 29
4.1 分析環境說明 29
4.2 樣本初步分析與結果 38
4.3 資料探勘與結果 66
4.4 研究發現 77
4.5 改善建議 82
第五章 結論 89
5.1 研究結論 89
5.2 研究限制及未來研究方向 91
參考文獻 93

【中文文獻】
內政部 (2011)，「內政部100年度電子郵件社交工程演練計畫」，內政部。
行政院國家資通安全會報 (2009)，「國家資通安全通報應變作業綱要」，行政院國家資通安全會報。
行政院國家資通安全會報 (2009)，「國家資通訊安全發展方案98-101年」，行政院國家資通安全會報。
行政院國家資通安全會報 (2012)，「政府機關（構）資訊安全責任等級分級作業施行計畫」，行政院國家資通安全會報。
邱瑞忠 (2005)，「社會科學研究的新趨勢—資料探勘（Data Mining）應用於公共行政領域之探討」，社會科學與台灣高等教育學術研討會，台中縣。
李為漢 (2005)，「網際網路惡意程式之活動調查-以某企業對外網路連線為例」，碩士論文，國立中央大學。
范銘雄 (2010)，「運用資料探勘之關聯法則探討專案執行績效與專案特性之關聯性研究」，碩士論文，國立中央大學。
林大為 (2006)，「兩種入侵偵測方法之研究-從電子郵件病毒偵測到網頁完整性檢驗」，博士論文，國立中央大學。
林傑斌、張一岑、張太平 (2006)，資料倉儲與資料採擷，台北縣：博碩文化。
高大宇、曾俊傑、王旭正 (2011)，「基植管理循環為基礎之社交工程事件鑑識分析研究」，前瞻科技與管理，1(1)，85-98。
財團法人資訊工業策進會 (2009)，「97年度電子郵件安全參考指引v.2」，行政院研究發展考核委員會。
陳銘言 (2009)，「社交工程電子郵件攻擊之使用者行為模式分析」，碩士論文，私立天主教輔仁大學。
張錫玲 (2010)，「電子郵件社交工程與資訊安全認知之研究探討」，碩士論文，國立虎尾科技大學。
謝邦昌、鄭宇庭、蘇志雄 (2011)，SQL Server R2資料探勘與商業智慧，臺北市：碁峯資訊。
鍾文魁 (2009)，「惡意電子郵件攻擊之研究」，碩士論文，私立華梵大學。
【英文文獻】
Agrawal, R. Imielinski, T. & Swami, A. (1993). “Mining Association Rules between Sets of Items in Large Databases.” ACM SIGMOD Conference. San Jose, California.
Agrawal, R. & Srikant, R. (1994). “Fast Algorithms for Mining Association Rules.” Proceedings of the 20th VLDB Conference. Santiago, Chile.
Berry, M. J. & Linoff, G. S. (1997). Data Mining Techniques: For Marketing, Sales, and Customer Relationship Management. New York: Wiley Computer Publishing.
Fayyad, U., Piatetsky-Shapiro, G. & Smyth, P. (1996). “From Data Mining to Knowledge Discovery in Databases.” AI Magazine, 17(3), 37-54.
Frawley, W. J., Piatetsky, S. G. & Matheus, C. J. (1992). “Knowledge Discovery Databases: An Overview.” AI Magazine, 13(3), 57-70.
Grupe, F. H. & Owrang, M. M. (1995). “Data Mining Discovering New Knowledge and Cooperative Advantage.” Information Systems Management, 12(4), 26-31.
Hadnagy, C. & Wilson, P. (2010). Social Engineering: The Art of Human Hacking. New York: Wiley Computer Publishing.
Liu, P. W., Wu, J. C. & Liu, P. C. (2008). “Social Engineering Drill: The Best Practice to Protect against Social Engineering Attacks in E-mail Form.” the 2008 FIRST annual conference. Vancouver, Canada.
Tudor, J. K. (2001). Information Security Architecture. Boca Raton, FL: Auerbach Publications.

【網站資料】
立法院 (2011)，「國安局被駭？木馬竄立院」，立法院全球資訊網，Retrieved 03/13, 2012， from http://www.ly.gov.tw。
卡巴斯基實驗室 (2011)，「八月份垃圾郵件：美國遭受惡意郵件攻擊最為嚴重」，卡巴斯基實驗室官方網站，Retrieved 03/13, 2012，from http://www.kaspersky.com.tw。
卡巴斯基實驗室 (2011)， “Cyberthreat forecast for 2012” ，卡巴斯基實驗室官方網站，Retrieved 03/13, 2012，from http://www.kaspersky.com.tw。
吳依恂 (2012)，「APT防禦有解法，主攻社交工程惡意郵件」，資安人科技網，Retrieved 03/16, 2012，from http://www.informationsecurity.com.tw。
林育竹 (2011)，「電子郵件仿冒與社交攻擊（上）：竊取機密的隱形殺手」，網路資訊雜誌，Retrieved 03/01, 2012，from http://news.networkmagazine.com.tw。
黃彥棻 (2010)，「行政院社交工程演練擴及工友」，iThome官方網站，Retrieved 03/13, 2012，from http://www.ithome.com.tw。
資策會 (2012)，「2011年9月底止台灣上網人口」，資策會FIND官方網站，Retrieved 03/13, 2012，from http://www.find.org.tw。
賈芳 (2011)，「MIS的逆襲－企業怎麼面對APT攻擊？」，資安人科技網，Retrieved 02/29, 2012，from http://www.informationsecurity.com.tw。
趨勢科技 (2008)，「2008技術通報-目標式社交工程攻擊手法」，趨勢科技官方網站，Retrieved 02/29, 2012，from http://tw.trendmicro.com/tw。
鍾榮翰 (2009)，「社交工程與USB安全防護」，國家資通安全會報技術服務中心，Retrieved 02/29,2012，from http://www.me.ntust.edu.tw。
AV-Comparatives (2011). “Retrospective Test: Static Detection of New/Unknow Malicious Software.” AV-Comparatives. Retrieved 03/21, 2012, from http: //www.av-comparatives.org.
Cisco Systems (2011). “Email Attacks: This Time It’s Personal.” Cisco Systems. Retrieved 03/01, 2012, from http: // www.cisco.com/en/US.
Kak, A. (2012). “Mounting Targeted Attacks with Trojans and Social Engineering–Cyber Espionag.” Purdue University. Retrieved 03/21, 2012, from https: //engineering.purdue.edu/kak/compsec/NewLectures/Lecture30.pdf.
TheSecDevGroup (2009). “Tracking GhostNet: Investigating a Cyber Espionage Network.” Nart Villeneuve. Retrieved 03/23, 2012, from http://www.nartv.org/mirror/ghostnet.pdf.
Wikipedia (2011). “Advanced Persistent Threat.” Wikimedia Foundation. Retrieved 03/23, 2012, from http: //en.wikipedia.org.