臺灣博碩士論文加值系統

惡意軟體至今對於網路安全和使用者仍然是具有非常大的威脅，本篇論文研究主要是進一步了解惡意軟體入侵後對資訊所產生的影響，希望惡意軟體在發動攻擊的威脅前，就能夠偵測出作為更有效的防範措施，主要就是避免讓已受感染的電腦所影響災害擴大或是造成無法挽回的局面。本篇論文使用了資料探勘技術去分類流量，以達到減少電腦被惡意軟體所感染的機率。在本研究中，我們將使用A公司的系統網路架構，使用資料探勘技術來分析疑似已被惡意軟體所感染的網路異常封包，深入了解惡意軟體在入侵後，對系統及網路所產生直接性的影響，再經由將網路異常封包做為分類分析後所得的資訊，更了解惡意軟體病毒碼傳染機制及攻擊手法等等。但是惡意軟體已被刻意加上雜訊、變動封包長度或是將封包延遲發送，會使分析上加上難度。在本研究中將會模擬惡意軟體入侵及攻擊，從電腦被入侵後開始下達攻擊指令或是竊取資料指令，使已被感染惡意軟體的電腦進行相關入侵及攻擊所造成系統異常或是異常網路封包。再使用網路封包擷取軟體後將異常流量封包收集，在提供給資料探勘作為資料分析使用。

Malicious software still poses a great threat to cyber security and users. This paper focuses on further understanding the impact of malicious software on the information and hopes that the malicious software will be able to launch threats before launching the attack. Effective detection as a more effective preventive measure is mainly to avoid making the affected computer's affected disasters expand or cause irreparable situations. Therefore, the use of data mining technology in this paper to classify traffic has reduced the chance of computers being infected by malicious software. In this study, we will use Company A's system network architecture to use data mining technology to analyze network abnormal packets that are suspected to have been infected by malicious software. This will provide insight into the system and network after malicious software is invaded. The direct impact of the road, and then through the network of abnormal packets as the information obtained after the classification analysis, you can learn more about malicious software virus code transmission mechanism and attack methods and so on. However, malicious software has been deliberately adding noise, changing the length of the packet, or delaying sending the packet, which will make it difficult to analyze. In this research, malicious software intrusion and attacks will be simulated. After the computer is invaded, attack instructions or data instructions will be issued. The system that has been infected with malicious software will cause the system exception or abnormal network caused by the relevant intrusion and attack packets. After using network packets to capture software, abnormal traffic packets are collected and used for data analysis for data analysis.

誌謝 i
摘要 ii
ABSTRACT iii
目錄 iv
圖目錄 vi
表目錄 viii
第一章 緒論 1
第一節 研究背景 1
第二節 研究動機及目的 2
第三節 研究架構 4
第二章 文獻探討 6
第一節 資料探勘 6
第二節 KNN演算法 9
第三節 惡意軟體介紹 12
第三章 研究方法 16
第一節 A公司簡介 16
第二節 系統網路架構 20
第二節 研究工具 21
第三節 研究流程 24
第四節 資料分析 26
第四章 行為特徵及數據分析 28
第一節 惡意軟體架構 28
第二節 惡意軟體異常流量分析 35
第三節 結果分析 43
第五章 結論與建議 48
第一節 結論 48
第二節 建議 49
參考文獻 50

1.章云濤、龔玲(2007)，資料探勘原理與技術，台北，台灣:五南圖書出版股份有限公司，第63-74頁。
2.蘇園翔(2017)，封包方向序列:抵擋規避殭屍網路偵測系統的新特徵，國立交通大學網路工程研究所碩士論文，第19頁。
3.謝鈐楊(2009)，運用資料探勘技術建置期殭屍電腦程式防護機制，育達商業科技大學資訊管理研究所碩士論文，第12-19頁。
4.陳天豪(2009)，透過封包分析偵測並瓦解殭屍網路，國立中央大學資訊工程研究所碩士論文，第22-25頁。
5.陳美君(2007)，運用線上分析處理與資料探勘於網路流量分析，國立交通大學管理學院(資訊管理學程)碩士班碩士論文，第10-12、第15-20頁。
6.蔡閎亘(2011)，簡潔化惡意軟體行為分析，國立中山大學資訊研究所碩士論文，第17-21頁。
7.TACERT(2015)，個案分析 - 偽裝成挖礦工具的惡意程式分析報告，第5-7頁。
8. 袁梅宇(2016)，王者歸來:WEKA機器學習與大數據聖經(第三版)，台北，台灣: 佳魁資訊股份有限公司，第1-7頁、第1-15頁、第2-36頁、第B-58頁。
9.趙建智(2016)，基於HTTP協定之可疑流量偵測研究，國立中央大學資訊管理學系碩士論文，第24-33頁。
10.McAfee Report(2018)，McAfee Labs Threats Report，第7-18頁。
11.Sophos Threat Analysis, https://www.sophos.com/en-us/threat-center/threat-analyses.aspx
12.MeAfee Security Analysis, https://www.mcafee.com/enterprise/zh-tw/products/security-analytics-products.html
13.W. Liu, P. Ren, K. Liu, and H. X. Duan(2011), Behavior-based malware analysis and detection, in Proceedings of Complexity and Data Mining (IWCDM), pp. 39-42.
14.A. Moser, C. Kruegel, and E. Kirda(2007), Exploring multiple execution paths for malware analysis, in Proceedings of 2007 IEEE Symposium on Security p
15. I. Firdausi, C. Lim, A. Erwin, and A. S. Nugroho(2010), Analysis of machine learning techniques used in behavior-based malware detection, in Proceedings of the Second International Conference on Advances in Computing, Control and Telecommunication Technologies, pp. 201-203.
16.C. Wang, J. Pang, R. Zhao, W. Fu, and X. Liu(2009), Malware detection based on suspicious behavior identification, in Proceedings of Education Technology and Computer Science, Vol. 2, pp. 198-202.
17.Ma, Justin, Saul Lawrence, Savage, Stefan and Voelker, Geoffrey M(2009), Beyond blacklists: learning to detect malicious web sites from suspicious URLs. In: Proceedings of the 15th ACM SIGKDD international conference on Knowledge discovery and data mining. pp. 1245-1255.
18.Ian H. Witten, Eibe Frank(2005), Data Mining Practical Machine Learning Tools and Techniques, University of Waikato Department of Computer Science, Elsevier Inc,pp. 9,366
19.Yanfang Ye, Tao Li, Shenghuo Zhu, Weiwei Zhuang, Egemen Tas, Umesh, Melih Abdulhayoglu(2011), Combining File Content and File Relations for Cloud Based Malware Detection, Knowledge discovery and data mining(KDD’11), pp. 220-230.
20.Cory Q. Nguyen, James E. Goldman(2010), Malware Analysis Reverse Engineering (MARE) Methodology & Malware Defense (M.D.) Timeline, Information Security Curriculum Development Conference, pp. 8-14.
21.Remco R. Bouckaert, Eibe Frank, Mark Hall, Richard Kirkby, Peter Reutemann, Alex Seewald, David Scuse(2013), WEKA Manual,The Unibersity Of Waikato, University of Waikato, Hamilton, New Zealand,pp. 31-38.