跳到主要內容

臺灣博碩士論文加值系統

(44.221.70.232) 您好!臺灣時間:2024/05/30 20:39
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

: 
twitterline
研究生:張文馨
研究生(外文):CHANG, WEN-HSIN
論文名稱:以雲端平台為基礎之智慧型資安記錄檔剖析器
論文名稱(外文):An Intelligent Log Analyzer Based on Cloud Platform
指導教授:杜淑芬杜淑芬引用關係賴谷鑫賴谷鑫引用關係
指導教授(外文):TU, SHU-FENLAI, GU-HSIN
口試委員:賴谷鑫杜淑芬張重正王美慈
口試委員(外文):LAI, GU-HSINTU, SHU-FENCHANG,CHUNG-CHENGWANG, MEI-TZU
口試日期:2017-06-27
學位類別:碩士
校院名稱:中國文化大學
系所名稱:資訊管理學系
學門:電算機學門
學類:電算機一般學類
論文種類:學術論文
論文出版年:2017
畢業學年度:105
語文別:中文
論文頁數:58
中文關鍵詞:進階持續性滲透攻擊正規表示式雲端運算
外文關鍵詞:advanced persistent threatregular expressioncloud computing
相關次數:
  • 被引用被引用:1
  • 點閱點閱:467
  • 評分評分:
  • 下載下載:101
  • 收藏至我的研究室書目清單書目收藏:0
近年來資訊安全的攻擊型態逐漸轉變,不同於以往傳統隨機的攻擊手段,現在多數攻擊型態是以針對特定攻擊目標的攻擊模式,此類攻擊稱之為目標式攻擊(targeted attack)或進階持續性滲透攻擊(APT)。其中APT攻擊者大多屬於具有高度知識與資源的駭客組織,其攻擊目標通常具有針對性。
為了防禦日新月異的APT攻擊手法,以安全性資訊與事件管理(SIEM)為基礎並建置資訊安全維運中心(SOC)之解決方案應運而生。不只透過前端日誌收集器(agents)將各種不同類型之資安設備如防火牆、入侵偵測系統、防毒軟體等所產出日誌正規化,並導入分析平台以進行關聯分析監控與產生即時告警。
SIEM藉由整合以及分析組織內之資訊安全設備日誌以偵測APT攻擊,然而SOC在處理資訊安全的記錄檔時面臨第一個挑戰即為如何將異質資料格式進行正規化。有鑑於此,本研究開發一套智慧型記錄檔剖析系統(intelligent parsing system)透過該系統可以針對不同日誌快速產生高品質之正規表示式;另本研究更以Hadoop以及Spark為基礎架設雲端分析平台,以整合、關聯與分析這些經過正規化之資安設備日誌。
Recently, the network security attack become different from the traditional random attack, most of the attack patterns are for specific attack target, which called Targeted At-tack or Advanced Persistent Threat (APT). Most of the APT attackers belong to hacker organizations possessing high knowledge and rich resources, whose targets are usually particular.
To defense ever-changing APT attacks, the solution based on information of security and SIEM are developed, which also establish the SOC. Not only normalizing the log generated by each different type of security system, including Firewall, Intrusion Detec-tion System, and Antivirus software through the Agents, but also importing analysis plat-form to comply associated analysis monitoring and produce immediate alarm.
SIEM detect APT attacks by integrate and analyze the log of information security system in organizations. However, the first challenge that SOC' s facing is how to nor-malize the format of heterogeneous data. Thus, we develop an Intelligent Parsing System, which can generate a high-quality regex expression from different log data through it. Be-sides, we set up a cloud analysis planform which is based on Hadoop and Spark, to inte-grate, associate, and analyze these logs which are normalized.

內容目錄

中文摘要  .................... iii
英文摘要  .................... iv
誌謝辭   .................... v
內容目錄  .................... vi
表目錄   .................... vii
圖目錄   .................... viii
第一章  緒論 .................. 1
第一節  研究背景 ................ 1
第二節  研究動機與目的 ............. 5
第二章  文獻探討 ................ 10
第一節  正規表示式 ............... 10
第二節  解析器(parser) ............. 11
第三節  雲端LOG分析系統(logstash) ....... 14
第四節  進階持續性滲透攻擊 ........... 15
第五節  雲端運算 ................ 20
第三章  系統設計 ................ 24
第一節  系統架構 .............. 25
第二節  系統流程說明 ............ 34
第四章  系統展示 ................ 40
第五章  結論 .................. 47
參考資料  .................... 48


表目錄
表 2-1 本研究整理之進階持續性滲透攻擊與傳統駭客攻擊手段的差異 16


圖目錄
圖 1- 1 APT 受害國家分布圖................. 3
圖 1- 2 2014年APT幕後操縱伺服器前15名的國家........ 4
圖 1- 3 防火牆記錄檔範例.................. 7
圖 1- 4 正規表示式 1.................... 7
圖 1- 5 正規表示式 2.................... 7
圖 1- 6 正規表示式 3.................... 7
圖 1- 7 本研究測試傳統 RDBMS 效率模擬實驗......... 8
圖 2- 1 Log匯入資料庫之流程圖............... 13
圖 2- 2 Logstash資料處理..................14
圖 2 3 趨勢所定義的進階持續性滲透攻擊階段......... 19
圖 2 4 Big Data 環境中Hadoop 架構圖........... 21
圖 2 5 MapReduce運算範例 .................22
圖 3 1 系統架構圖..................... 26
圖 3 2 Token解析模組運作流程圖.............. 28
圖 3 3 正規表示法產生器運作流程圖............. 30
圖 3 4 系統操作流程圖................... 31
圖 3 5 系統介面...................... 32
圖 3 6 上傳、輸入記錄檔介面................ 32
圖 3 7 首頁........................ 34
圖 3 8 將Log輸入或上傳後進行分析 ............. 34
圖 3 9 設定系統判斷為有意義的token資訊.......... 35
圖 3 10 自由選擇是否修改Regex............... 35
圖 3 11 修改Regex內容 ...................35
圖 3 12 Parser 設定檔範例 .................37
圖 3 13 正規表示式產生器虛擬碼概念 .............39
圖 4 1 AscenLink系統記錄檔................ 40
圖 4 2 系統首頁畫面.................... 40
圖 4 3 系統讀取LOG資料畫面................ 41
圖 4 4 紅框處為Repick Log按鈕 .............. 41
圖 4 5 向上合併...................... 42
圖 4 6 刪除........................ 43
圖 4 7 二次分割...................... 43
圖 4 8 本系統資料設定畫面................. 44
圖 4 9 Generate Regex按鈕確認正規表示式......... 45
圖 4 10 Get Property File按鈕產出檔案 .......... 45
圖 4 11 Logstash產出之檔案.................46


一、中文部分

蘇文彬(2015, April 30),趨勢:APT 攻擊從政府單位轉向企業組織,中小企業也受害 [線上資料],來源:http://www .ithome.com.tw/news/95599 [2015, May 22 ]。

達人科技(2016, September 20),大數據--Logstash介紹 [線上資料],來源:https://kknews.cc/other/8v946q.html [2017, May 10]。

二、英文部分

Annervaz, K. M., Vikrant, K., Janardan, M., Shubhashis, S., Gary, T., & Azmat, M. (2013). Code clustering workbench . Analysis and Manipulation (SCAM), 2013 IEEE 13th International Working Conference on. IEEE, 2013 (31-36).

Alperovitch, D. (2011). Revealed: Operation Shady RAT, McAfee, [Online]. Available: http://www.mcafee.com/us/resources/white-papers/wp-operation-shady-rat.pdf [2017, March.01].

Chad, T. (2011). Computer Forensics How-To: Microsoft Log Parser, SANS Digital Forensics and Incident Response Blog [Online]. Available:https://digital-forensics.sans.org/blog/2011/02/10/comp uter-forensics-howto-microsoft-log-parser [2017, March 01].

Dong, N. D., & Gabriel, I.(2016). Tuning Logstash Garbage Collection for High Throughput in a Monitoring Platform, Symbolic and Numeric Algorithms for Scientific Computing (SYNASC), 2016 18th International Symposium on, IEEE, 2016. (359-365).

Infovision Institute. (2016). Service Offerings [Online]. Available: http://www.infovision.com/services/technology-solutions/big-dat a-analytics/service-offerings/ [2016, March.01].

Jeffrey, F. (2006). Mastering Regular Expressions, O'Reilly Media.

Mandiant. (2010). M-Trends® 2010: The Advanced Persistent Threat, Mandiant Consulting Services.

Max, E. (2013,Feb 25). RSA: Trend Micro Adds Command and Control Detection, Uses Attackers Against Themselves, Ziffdavis [Online]. Available: http://securitywatch.pcmag.com/security/308497-rsa-trend-micro-adds-command-and-control-detection-uses-attacker s -against-themselves [2016, October 13].

Pinjia, H., Jieming, Z., Shilin, H., Jian, L., & Michael, R, L. (2016). An evaluation study on log parsing and its use in log mining, 2016 46th Annual IEEE/IFIP International Conference on, IEEE. (654-661).

Ponemon, I. (2013). Hewlett-Packard Enterprise Security Inc, 2013 Cost of Cyber Crime Study: United States [Online]. Available: http://www.hpenterprisesecurity.com/ponemon-2013-cost-of-cyb er-crime-study-reports [2013, October 13].

Ross, R. (2011). Managing Information Security Risk: Organization, Mission, and Information System View, Published in NIST Special Publication 800-839.

Symantec. (2011). Symantec Intelligence Report: November 2011, Symantec Intelligence [Online]. Available: https://www.symantec
.com/content/en/us/enterprise/other_resources/b-intelligence_rep ort_11-2011.en-us.pdf [2016, October 13].

Sood, A. K., & Enbody, R. J. (2012, July 03). Targeted Cyberattacks: A Superset of Advanced Persistent Threats, IEEE Security & Privacy, (54-61).

Trend. (2014). Magnified Losses, Amplified Need for Cyber-Attack Preparedness, TrendLabs 2014 Annual Security Roundup [Online]. Available: https://www.trendmicro.de/cloud-content/us /pdfs/sec urity-intelligence/reports/rpt-magnified-losses-amplified-need-for-cyber-attack-preparedness.pdf [2016, March01].

White, T. (2012). Hadoop: The definitive guide, O'Reilly Media, Inc., 2012.

Wildlist. (2013). WildList [Online]. Available: http://www.wildlist.org/ WildList/ t_archive.htm [2013, October 13].

QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top