跳到主要內容

臺灣博碩士論文加值系統

(44.222.189.51) 您好!臺灣時間:2024/05/20 14:16
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

我願授權國圖
: 
twitterline
研究生:劉叡
研究生(外文):Liu, Ruei
論文名稱:支援多檔案格式的沙箱演算法之分析效率研究
論文名稱(外文):Study of Analysis-efficiency of The Sandbox Algorithm Supporting Multiple File Formats
指導教授:劉遠楨劉遠楨引用關係
指導教授(外文):Liu, Yuanchen
口試委員:陳友倫林嘉洤
口試委員(外文):Chen, YoulunLin, Jiachuan
口試日期:2012-07-31
學位類別:碩士
校院名稱:國立臺北教育大學
系所名稱:資訊科學系碩士班
學門:工程學門
學類:電資工程學類
論文種類:學術論文
論文出版年:2012
畢業學年度:100
語文別:中文
論文頁數:55
中文關鍵詞:沙箱惡意程式多檔案格式
外文關鍵詞:SandboxMalwareMultiple File Formats
相關次數:
  • 被引用被引用:0
  • 點閱點閱:246
  • 評分評分:
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:0
由於近年來先進持續性威脅攻擊(Avanced Persistent Threats, APT) 不斷的發生,且威脅越來越具有針對性,當一個組織收到惡意電子郵件,只要其中有一個組織內的成員不慎點擊惡意電子郵件附檔而受駭,就有可能導致組織內的機敏性資料外洩與核心營運資料遭竊取。
由於傳統防毒防駭軟體無法有效的防禦APT 攻擊,且現有的線上免費沙箱(Sandbox) 大部份都未支援惡意文件(.doc、.pdf等) 的分析功能,導致許多組織或一般民眾因為無法識別惡意文件而不慎將其開啟,造成受重大損失,所以本研究想自製一個可針對Windows可疑檔案進行分析的沙箱(Sandbox)演算法,來用以分析可疑檔案被執行後實際上對Windows 作業系統產生了哪些影響。
本研究建立了一個能夠支援多檔案格式的沙箱分析系統,透過將可疑文件或檔案利用靜態分析與動態分析的方式,並利用分析模組篩選出可疑文件或檔案執行後出現的異常行為,最後產出分析報告,作為管理人員或電腦使用者判斷可疑文件或檔案是否屬於惡意程式之重要參考依據。
In recent years, advanced persistent threat of attack (APT) occur constantly, and the growing threat of targeted, when an organization receives a malicious e-mail, as long as a member of an organization accidentally click on a malicious e-mail attachments, it may lead to leakage of information within the organization.
Due to the traditional anti-virus software cannot defense APT attack effectively, and the majority of existing online free sandbox none support the malicious files (doc, pdf, etc.) analysis capabilities, many people could not identify a malicious document, So this research wants to create a suspicious file sandabox algorithm.
A sandbox analysis system supporting multiple file formats is developed by this study. To analyzes suspicious files by both of ways of static analysis and dynamic analysis is to check if abnormal. For the managements or computer users, the results will be important reference to determine whether the suspicious files are malwares or not.
目錄
1. 緒論 1
1.1. 前言 1
1.2. 研究動機 3
1.3. 研究目的 3
1.4. 論文架構 4
2. 文獻探討 5
2.1. 惡意程式的行為與目的 5
2.2. 惡意程式傳播途徑 6
2.3. 先進持續性威脅攻擊(Avanced Persistent Threats, APT) 9
2.4. 沙箱(Sandbox) 11
2.5. 線上免費沙箱(Sandbox)簡介與比較 12
3. 支援多檔案格式的沙箱分析系統之架構與實作 16
3.1. 系統環境 16
3.2. 系統架構 17
3.3. 使用情境 19
3.4. 系統執行檢測畫面 20
3.5. 產出報告範例 23
3.6. 系統資料庫 26
4. 實驗設計與結果分析 27
4.1. 實驗設計 27
4.2. 實驗結果 40
4.3. 實驗結果分析 46
5. 結論 49
5.1. 研究結論 49
5.2. 研究貢獻 50
5.3. 未來研究方向 51
參考文獻 52
表目錄
表1:線上免費沙箱(Sandbox) 功能比較 15
表2:支援多檔案格式的沙箱分析系統所需軟體資訊 16
表3:支援多檔案格式的沙箱分析系統所使用硬體資訊 16
表4:支援分析的檔案格式 17
表5:實驗一所使用的樣本檔案資訊 27
表6:實驗二所使用的樣本檔案資訊 30
表7:實驗三所使用的樣本檔案資訊 33
表8:實驗四所使用的樣本檔案資訊 36
表9:分析Microsoft Office Word(.doc) 格式檔案之誤報率 40
表10:分析Microsoft Office Word(.doc) 格式檔案之漏報率 40
表11:分析Microsoft Office Word(.doc) 格式檔案花費時間與所得之惡意行為統計 40
表12:分析Microsoft Office Excel(.xls) 格式檔案之誤報率 41
表13:分析Microsoft Office Excel(.xls) 格式檔案之漏報率 41
表14:分析Microsoft Office Excel(.xls) 格式檔案花費時間與所得之惡意行為統計 41
表15:分析Adobe PDF(.pdf) 格式檔案之誤報率 42
表16:分析Adobe PDF(.pdf) 格式檔案之漏報率 42
表17:分析Adobe PDF(.pdf) 格式檔案花費時間與所得之惡意行為統計 42
表18:分析Microsoft Portable Executable (.exe)格式檔案之誤報率 43
表19:分析Microsoft Portable Executable (.exe)格式檔案之漏報率 43
表20:分析Microsoft Portable Executable (.exe)格式檔案花費時間與所得之惡意行為統計 43
表21:分析Microsoft Portable Executable (.exe)格式檔案之誤報率 44
表22:分析Microsoft Portable Executable (.exe)格式檔案之漏報率 44
表23:分析Microsoft Portable Executable (.exe)格式檔案花費時間與所得之惡意行為統計 44
表24:分析Microsoft Portable Executable (.exe)格式檔案之誤報率 45
表25:分析Microsoft Portable Executable (.exe)格式檔案之漏報率 45
表26:分析Microsoft Portable Executable (.exe)格式檔案花費時間與所得之惡意行為統計 45
表27:本研究沙箱系統與其它沙箱(Sandbox) 的分析能力比較 48
圖目錄
圖1:McAfee揭露駭客行動(Shady RAT) 1
圖2:APT 惡意郵件(主旨:國際學術研討會) 2
圖3:APT 惡意郵件(主旨:Meeting Agenda) 2
圖4:惡意電子郵件範例 6
圖5:惡意網站連線範例 7
圖6:Conficker 蠕蟲感染統計 8
圖7:APT攻擊生命週期 9
圖8:Anubis 網站畫面 12
圖9:ThreatExpert網站畫面 13
圖10:CWSandbox網站畫面 14
圖11:支援多檔案格式的沙箱分析系統之系統架構 17
圖12:支援多檔案格式的沙箱系統之演算法 18
圖13:支援多檔案格式的沙箱系統使用情境 19
圖14:檢測可疑Microsoft Office Excel(.xls) 格式檔案 20
圖15:檢測可疑Microsoft Office Word(.doc) 格式檔案 21
圖16:檢測可疑Adobe PDF(.pdf) 格式檔案 22
圖17:檢測可疑Microsoft Office Excel(.xls) 格式檔案所產出報告 23
圖18:檢測可疑Microsoft Office Word(.doc) 格式檔案所產出報告 24
圖19:檢測可疑Adobe PDF(.pdf) 格式檔案所產出報告 25
圖20:惡意網路連線行為資料庫 26
圖21:植入的惡意程式或檔案資料庫 26
圖22:分析Microsoft Office Word(.doc) 格式檔案花所得之惡意行為統計 40
圖23:分析Microsoft Office Excel(.xls) 格式檔案所得之惡意行為統計 41
圖24:分析Adobe PDF(.pdf) 格式檔案花費時間與所得之惡意行為統計 42
圖25:(實驗四)分析Microsoft Portable Executable (.exe)格式檔案所得之惡意行為統計 43
圖26:(實驗五)分析Microsoft Portable Executable (.exe)格式檔案所得之惡意行為統計 44
圖27:(實驗六)分析Microsoft Portable Executable (.exe)格式檔案所得之惡意行為統計 45
圖28:本研究沙箱系統與其它沙箱(Sandbox) 的誤報率與漏報率比較 47
圖29:本研究沙箱系統與其它沙箱(Sandbox) 的惡意行為偵測能力比較 47
[1]John Hoopes(2008)。Virtualization for Security。2008年12月26,取自http://aleph18.lib.ntue.edu.tw/
[2]Michael Davis and Sean Bodmer and Aaron LeMasters(2009)。Hacking Exposed。2009年9月23日,取自http://aleph18.lib.ntue.edu.tw/
[3]Mandiant (2010)。M-Trends™ 2010。2010年,取自http://www.mandiant.com/
[4]Microsoft(2008)。Microsoft Security Bulletin MS08-067。2008年10月23日,取自http://technet.microsoft.com/en-us/security/bulletin/ms08-067
[5]Microsoft(2009)。小心 Conficker 變種蠕蟲!。2009年01月14日,取自http://www.microsoft.com/taiwan/press/2009/01/0114.mspx
[6]Mcafee(2011)。Combating Advanced Persistent Threats,取自https://portal.mcafee.com/downloads/General%20Documents/combat-advanced-persist-threats.pdf
[7]Microsoft(2009)。Microsoft Security Bulletin MS09-067。2009年11月11日,取自http://technet.microsoft.com/zh-tw/security/bulletin/ms09-067
[8]National Vulnerability Database(2009)。Vulnerability Summary for CVE-2009-3129。2009年11月11日,取自http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3129
[9]Microsoft(2007)。Microsoft Security Bulletin MS07-014。2007年2月15日,取自http://technet.microsoft.com/zh-tw/security/bulletin/ms07-014
[10]National Vulnerability Database(2009)。Vulnerability Summary for CVE-2006-6456。2006年12月11日,取自http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6456
[11]Adobe(2011)。Security updates available for Adobe Reader and Acrobat。2011年4月21日,取自http://www.adobe.com/
[12]National Vulnerability Database(2011)。Vulnerability Summary for CVE-2011-0611,2011年4月13日,取自http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0611
[13]Eoghan Casey (2009)。Handbook of Digital Forensics and Investigation,2009年11月9號,取自http://aleph18.lib.ntue.edu.tw/
[14]Cameron H. Malin and Eoghan Casey and James M. Aquilina(2008)。Malware Forensic。2008年6月30日,9,526
[15] Cameron H. Malin and Eoghan Casey and James M. Aquilina(2008)。Malware Forensic。2008年6月30日,9,525
[16] Cameron H. Malin and Eoghan Casey and James M. Aquilina(2008)。Malware Forensic。2008年6月30日,9,524
[17]Common Vulnerabilities and Exposures (2006)。CVE-2006-2492,2006年,http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2492
[18]Common Vulnerabilities and Exposures (2010)。CVE-2010-3333,2010年,取自http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3333
[19]Common Vulnerabilities and Exposures (2008)。CVE-2008-4841,2010年,取自http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4841
[20]Common Vulnerabilities and Exposures (2009)。CVE-2009-3129,2009年,取自http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3129
[21]Common Vulnerabilities and Exposures (2008)。CVE-2008-0081,2008年,取自http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0081
[22]Common Vulnerabilities and Exposures (2009)。CVE-2009-0557,2009年,取自http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0557
[24]Common Vulnerabilities and Exposures (2011)。CVE-2011-0609],2011年,取自http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0609
[25]Common Vulnerabilities and Exposures (2010)。CVE-2010-0188,2010年,取自http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0188
[26]Common Vulnerabilities and Exposures (2009)。CVE-2009-4324,2009年,取自http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4324
[27]Common Vulnerabilities and Exposures (2010)。CVE-2010-1297,2010年,取自http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297
[28]Common Vulnerabilities and Exposures (2011)。CVE-2011-0611,2011年,取自http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0611
[29]Common Vulnerabilities and Exposures (2010)。CVE-2010-2883,2010年,取自http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2883
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top