臺灣博碩士論文加值系統

摘　　要
近年來由於政府大力推動國家資訊基礎建設（National Information Infrastructure , NII），及網際網路的蓬勃發展，為人民生活帶來許多的便利。同時駭人聽聞的網路入侵事件發生的時間愈來愈短頻率越來越高。若不及早構思因應對策恐無法面對敵人下一波的資訊戰攻擊─駭客的入侵。基此，本研究以資訊安全管理人員的角度，利用認證（Certificate Authority）機制彙集企業內部各個網安設備的事件記錄日誌，防止入侵者離開入侵主機時恣意妄為的刪除、修改系統及日誌檔，以湮滅其入侵証據，並利用各種分析交叉比對的度量方法來測度企業內部網路危害的權數後訂定危害等級，並依危害等級自動執行防範作為，功能上不但充分發揮網路安全設備的整體效能又能互補有無，甚至於危害等級達到五級危害時，系統防範作為將以行動電話簡訊通知管理人員儘速處理並先切斷入侵點路由器的電源，達成防衛固守的最終目標。

ABSTRACT
As these years our government is constructing the National Information Infrastructure (NII), the Internet was extended to most people’s home and bring us many convenience in our daily life. But the network intrusion events happened more frequently as it was. If we don’t figure out some practical methods to protect our information infrastructure we were not able to survive under our enemies’ attack in the age of information warfare. So this thesis, from a information security manager’s perspective, utilize the mechanism of certificate authority (CA) and collect network security device’s event logs in our intranet to prevent network intruders to modify and delete system logs. Our system also use some cross analytical techniques to measure network intrusion events’ weighting and produce a damage level, and the system will auto execute predefined commands based on the damage level as an defense activity. The system complements network security devices’ functions and were able to meet higher security requirement. When the damage level were level 5 the system will send messages to network security managers via Global System for Mobile Communication (GSM) Short Message Service (SMS) and cut off the power of network entry point’s router to defense our network security.

目　　錄
摘　　要 I
ABSTRACT II
誌　　謝 III
目　　錄 IV
圖目錄 VII
表目錄 VIII
1. 緒論 1
1.1 前言 1
1.2 研究動機與目的 1
1.2.1 研究動機 1
1.2.2 研究目的 3
1.3 研究範圍與方法 4
1.3.1 研究範圍 4
1.3.2 研究方法 6
1.4 論文綱要 8
2. 網路安全機制發展現況 9
2.1 網路安全現存問題 9
2.1.1 系統漏洞嚴重 9
2.2 網路安全之威脅 12
2.2.1 駭客入侵偵測 12
2.2.2 程式設計所產生的安全弱點 23
2.2.3 內部人員之疏失 25
2.3 網路安全防護機制 26
2.3.1 防火牆 26
2.3.2 入侵偵測系統 30
2.3.3 主機安全防護 32
2.3.4 網路安全防護 34
2.3.5 陷阱系統（Deception System） 35
2.3.6 區域聯防 37
2.3.7 資訊安全基礎建設 39
3. 多層次聯防動態控管機制 48
3.1 全機制構想及架構 48
3.1.1 企業安全等級制定 48
3.1.2 企業危安處置作為分類 49
3.2 系統功能與模組架構 54
3.3 入侵精準測度技術探討 57
3.3.1 異常入侵偵測統計方法的探討 58
3.3.2 度量屬性選擇 61
3.4 動態控管 64
3.4.1 集中定義安全事件回應 64
3.4.2 動態設定多廠商之網路安全閘道器組態 65
4. 實驗方法與結果 66
4.1 實驗環境與參數 66
4.2 實驗測試步驟 67
4.3 實驗方法 70
4.3.1 測試流程 70
4.3.2 測試結果 71
5. 討論 75
5.1 運用方面 75
5.2 安全方面 78
5.3 限制方面 79
6. 結論及未來研究發展 81
6.1 本文貢獻 81
6.2 未來研究發展 82
參考文獻 84
作者簡介 88
圖目錄
圖 1.1 系統架構示意圖 6
圖 1.2 研究流程圖 8
圖 2.1 TCP/IP之三向交握協定 21
圖 2.2 區域聯防架構圖 39
圖 2.3 階層式憑證管理中心運作架構 41
圖 2.4 完整的憑證管理及附加服務 43
圖 2.5 Agent及Monitor 安全通信架構 45
圖 2.6 加密流程 46
圖 2.7 解密流程 46
圖 3.1 事件監視分析流程 57
圖 3.2 度量資料倉儲雪花狀綱要 59
圖 3.3 入侵事件判斷決策樹 63
圖 4.1 Nessus執行畫面 68
圖 4.2 Nessus共用資訊介面 69
圖 4.3 流光設定畫面 70
表目錄
表 2.1 台灣Web伺服器版本及安全漏洞表 9
表 2.2 2001年台灣Web伺服器遭遇攻擊的存活率調查報告 10
表 2.3 X.509 憑證格式 42
表 3.1 防火牆規格比較表 50
表 3.2 攻擊事件訓練樣本資料 63
表 3.3 動態控管回應機制 64
表 4.1 Nmap的測試結果 71
表 4.2 Nessus的測試結果 72
表 4.3 流光的測試結果 73
表 4.4 實驗結果表 74

參考文獻
[1] 樊國楨 (2001)，對於數位武器的感想，資訊安全通訊，第八卷，第一期，6-23頁。
[2] 林秉忠 (2001)，資訊安全論壇，國科會科資中心。
[3] Denning, D. E. (1987) “An Intrusion Detection Model,” IEEE Transactions On Software Engineering, Vol SE-13, no. 2, pp. 222-232.
[4] Internet Security Systems, Denial of service attack using the trin00 and tribe flood network programs, http://xforce.iss.net/alerts/advise40.php
[5] http://www.cert.org/advisories/CA-1997-28.html
[6] 袁鴻文，劉育銘 (2001)，ICMP DoS 攻擊之原理與防禦方法，第十一屆全國資訊安全會議，中華民國資訊安全學會，國立成功大學。
[7] 黃世昆 (民87)，軟體系統安全弱點初探，資訊安全通訊，第五卷，第一期。
[8] http://www.cert.org/advisories/CA-1998-13.html
[9] 張智晴、林盈達，網路的攻擊與防護機制，國立交通大學資訊科學研究所。
[10] 陳昱仁 (2000)，電子資料傳輸安全機制之研究，博士論文，國立交通大學資管所，新竹。
[11] TCP/IP，Cisco 網路學院V2.1第二學期，第九章，Cisco公司，2000。
[12] Scambray, J., McClure, S. and Kurtz, G., Hacking Exposed Second Edition, Osborne/McGraw Hill.
[13] 宋振華、楊子翔、王皇又 (2001)，程式設計安全觀點探討，資訊安全論壇，創刊號，國科會科資中心。
[14] 行政院主計處電子處理資料中心，資訊安全手冊，2001。
[15] 樊國楨、林宜隆、王俊雄 (2001)，通資安全危機事件處理機制議，第十一屆全國資訊安全會議，中華民國資訊安全學會，國立成功大學。
[16] 吳德仁 (2001)，入侵偵測系統，軟體工程通報，中山科學研究院。
[17] 林勤經 (2000)，國際電子戰協會台北分會專題演講，國防資訊季刊，第九期。
[18] 廖宏祥 (2000)，如何增加資訊存活率，台灣日報，2000。
[19] Schlossberg, B. (2000), Design and Implementation of a Deception System, Information Security Bulletin.
[20] Shortgun (2001), Win 2000 Server Intrusion Detection.
[21] Sink, M.(2001), The Use of Honeypots and Packet Sniffers for Intrusion Detection.
[22] Frincke, D. et al., A Frame for Cooperative Intrusion Detection
[23] 陳炳富 (2002)，企業防火牆架構的最新概念─「區域聯防」，http://www.gennet.com.tw/b5/forum/fullzone.html
[24] Stallings, W. (1999), Cryptography & Network Security: Principles & Practice Second Edition, Prentica Hall.
[25] Jalal Feghhi, Jalil Feghhi, Willams, P. (1999), Digital Certificates Applied Internet Security, Addison Wesley, Reading, Massachusetts.
[26] 朱建達 (2001)，建立於公開金鑰基礎建設的單一簽入系統，碩士論文，國立交通大學資訊工程研究所，新竹。
[27] Adams, C. et al. (2000), “Which PKI(Public Key Infrastructure) is the Right One?,” Proceedings of the 7th ACM conference on Computer and communications security, Athens, Greece, pp. 98-101.
[28] Lioyd, S. et al. (2001), “CA-CA Interoperability,” PKI forum white paper, http://www.pkiforum.org.
[29] Lioyd, S. et al. (2001), “PKI Interoperability Framework,” PKI forum white paper, http://www.pkiforum.org.
[30] 台灣網路認證公司網站，http://www.taica.com.tw
[31] 關貿網路公司網站，http://www.tradevan.com.tw/
[32] Network Associates, Inc., “PGP Freeware 7.0 User’s Guide,” http://www.pgpi.org
[33] Network Associates, Inc., “An Introduction To Crytography,” http://www.pgpi.org
[34] FIPS PUBS 197 (2001), Announcing the ADVANCED ENCRYPTION STANDARD (AES), http://csrc.nist.gov/publications/
[35] Cheswick, B (1992), "An Evening With Berferd in Which a Cracker is Lure,Endure,and Studied",http://csrc.nist.gov/secpubs/berferd.ps.
[36] 余少棠、黃俊穎、蔡昌憲、張智晴、林盈達，網路安全閘道器產品評比功能與效能，國立交通大學資訊科學研究所。
[37] 金波、鄒淳(2001)，入侵檢測技術綜述，網路世界。
[38] http://www.fbi.gov/
[39] Sandeep Kumar and Eugene H.Spafford(1994), Statistical Approaches to Intrusion Detection (Anomaly Intrusion Detection)，The COAST Project Department of Computer Sciences Purdue University An Application of Matching in Intrusion Detection.
[40] 林育生、嚴大中、廖百齡、俞齊醒、陳寶騏、江清泉 (2001)，整合式網路安全系統，國防通信電子及資訊季刊，第二期。
[41] 周海默 (2001)，賽迪網，中國計算機報。
[42] 曾宇瑞，網路安全縱深防護機制之研究，中央大學資管所碩士論文。
[43] 葉秉哲、焦信達、曾永裕，決策樹學習法，http://cindy.cis.nctu.edu.tw/AI96/team10/DTRoot.htm。
[44] Han, J. and Kamber, M., Data Mining Concepts and Techniques, Morgan Kaufmann.
[45] Nmap, http://www.insecure.org/nmap/index.html
[46] Nessus, http://www.nessus.org/
[47] 流光，http://www.netxeyes.com/
[48] 樊國楨、方仁威、吳明仲 (2002)，區域性入侵偵測系統芻議─對GFORCE資訊安全事件的感想，資訊安全通訊，Vol.8， No.2。
[49] 李勁頤、陳奕明 (2002) ，分散式入侵偵測系統研究現況介紹 ，資訊安全通訊 ，Vol.8， No 2
[50] Common Intrusion Detection Framework (CIDF), http://www.isi.edu/gost/cidf/
[51] Intrusion Detection Exchange Format (idwg), http://www.ietf.org/html.charters/idwg-charter.html