臺灣博碩士論文加值系統

隨著電腦網路科技的快速發展，政府機關、企業機構利用網路來提供服務的比例愈來愈高。然而，網路本身存在安全缺陷，常遭到駭客的攻擊與入侵，其所帶來的損失不容小覷。
現有的網路安全機制已無法以單一系統來確保網路安全，為了提高網路的安全性，往往會將這些系統聯合起來，以建立網路邊界防護機制，如「防火牆與入侵偵測系統連動」結構，或是「入侵偵測系統與蜜罐連動」結構。但前者有偵測攻擊的成功率取決入侵偵測系統的漏報與誤報率高或低的問題；後者有無法即時阻止攻擊的問題。
本論文為了克服網路邊界防護機制存在的問題，採用「防火牆、入侵偵測系統與蜜罐連動結構」，設計了網路主動防禦系統。透過此系統，蜜罐自動為入侵偵測系統產生特徵規則，以降低入侵偵測系統之漏報、誤報率；入侵偵測系統可於偵測到攻擊時，自動修改防火牆之規則，以阻止即時性攻擊。藉由防火牆、入侵偵測系統及蜜罐三者的連動，來建構一個可快速偵測、減少漏報並即時封鎖惡意行為的系統。經實驗證明，本系統可成功偵測並即時阻止阻斷服務攻擊(Denial of Service, DoS)與網站漏洞掃描攻擊。

With the rapid development of computer network technology, the proportion of the government and the enterprise using the network to provide services is getting higher and higher. However, the network itself has the shortage of security and is often attacked and intruded by hackers, which brings a great loss that cannot be underestimated.
The current network security mechanisms have been unable to ensure the network security by a single network security system. In order to enhance the network security, we often combine many network security systems to establish a network boundary defense mechanism, such as “the linkage structure between firewall and IDS(Intrusion Detection System)” or “the linkage structure between IDS and honeypot”. Unfortunately, for the former structure, the success rate of detecting attacks depending on the rates of false negatives and false positives of IDS are high or low, and the latter one cannot prevent attacks in real time.
In order to overcome the problems of the network boundary defense mechanism, this thesis uses “the linkage structure between firewall, IDS and honeypot” to design a network initiative defense system. Through this structure, the honeypot can automatically create rules for IDS to reduce the rates of false negatives and false positives, and it can also automatically modify the rules of firewall to prevent attacks in real time when the IDS detects attacks. By the linkage structure between firewall, IDS and honeypot, the network security system is established to detect attacks rapidly, reduce false negatives, and block malicious behaviors in real time. The experimental results show that the proposed network security system can successfully detect and immediately prevent the attacks of DoS(Denial of Service) and the Web site vulnerability scan.

致謝 ii
摘要 iii
ABSTRACT iv
目錄 vi
表目錄 viii
圖目錄 ix
1. 緒論 1
1.1. 研究動機 1
1.2. 研究目的 2
1.3. 論文架構 3
2. 背景知識與相關文獻探討 4
2.1. 防火牆與Iptables 4
2.1.1. 防火牆概述 5
2.1.2. 防火牆的優點與缺點 5
2.1.3. 防火牆的類型 6
2.1.4. Iptables 7
2.2. 入侵偵測系統與Snort 9
2.2.1. 入侵偵測系統 9
2.2.2. Snort 14
2.3. 蜜罐系統與Honeyd 19
2.3.1. 蜜罐技術概述 19
2.3.2. 蜜罐的功能 21
2.3.3. 蜜罐的關鍵技術 22
2.3.4. Honeyd 25
2.4. Guardian 28
2.5. Honeycomb 29
2.5.1. Honeycomb的關鍵技術 29
2.5.2. Honeycomb特徵規則產生演算法 33
2.6. 網路安全防護相關研究 34
3. 研究方法 36
3.1. 問題定義 36
3.2. 設計構想 36
4. 模擬環境與實驗結果 40
4.1. 模擬工具 40
4.1.1. 實驗環境 40
4.1.2. VMware介紹 42
4.2. 實驗方法 43
4.2.1. DoS阻斷服務攻擊 43
4.2.2. 網站弱點掃瞄 52
4.3. 實驗結果分析 57
5. 結論與未來研究方向 59
5.1. 結論 59
5.2. 未來研究方向 60
參考文獻 61
自傳 64

[1]吳金庭，“以Snort偵測並封鎖網路異常行為之研究”，交通大學理學院網路學習學程碩士論文，新竹，2009
[2]　Kreibich, C. and Crowcroft, J. “Honeycomb – Creating Intrusion Detection Signatures Using Honeypots,” 2nd Workshop on Hot Topics in Networks (HotNets-II), Boston, USA, 2003
[3] http://zh.wikipedia.org/wiki/ (2011.9.7)
[4]　楊峻榮，網路防護措施建置，成功大學計網中心，2006年5月3日
[5]　Roberta Bragg、Mark Rhodes-Ousley、Keith Strassberg著，尤焙麟、邱孝賢、劉育銘 譯，楊苑平、閻宜欣 編輯，網路安全徹底研究，學貫行銷股份有限公司，臺北，第11.2,11.14頁，2004
[6]　http://eservice.seed.net.tw/class/class39.html(2011.9.8)
[7]　http://linux.vbird.org/linux_server/0250simple_firewall.php(2011.9.10)
[8]　酆士昌編著，Ubuntu 10.04 系統與伺服器應用，松崗資產管理股份有限公司，臺北，第10.17-10.20頁，2010
[9]　http://web.ydu.edu.tw/~ydjames/teacher_download/netsafe/IDS&IPS.ppt(2011.9.12)
[10]左少雄、鄭福三、陳正鎔，“入侵偵測系統於國軍網路應用之研究”，陸軍後勤學術半年刊，第32期，2003
[11] http://zh.wikipedia.org/wiki/Snort(2011.9.12)
[12] http://www.snort.org/(2011.9.12)
[13]林仁傑，“自動排序入侵偵測”，逢甲大學資訊工程學系碩士班碩士論文，臺中，2004
[14]Spitzner , L., Honeypots: Tracking Hackers, Addison-Wesley, 2003.
[Online]. Available: http://www.tracking-hackers.com/book/
[15]崔鳳明，“蜜罐關鍵技術的研究與實現”，重慶大學碩士學位論文，中國大陸，2007
[16] http://www.honeyd.org/(2011.9.16)
[17] Provos, N., “Honeyd - A Virtual Honeypot Daemon,” in 10th DFN-CERT Workshop, Hamburg, Germany, 2003
[18] http://www.chaotic.org/guardian/(2011.9.19)
[19] http://www.icir.org/christian/honeycomb/(2011.9.21)
[20]Rebecca, B. and Peter, M. “NIST Special Publication on Intrusion Detection Systems,” [Online]. Available: http://www.21cfrpart11.com/files/library/reg_guid_docs/nist_intrusiondetectionsys.pdf
[21]黃志雄，“智慧型網路安全防衛系統之設計與實作”，東海大學資訊工程與科學研究所碩士學位論文，臺中，2005
[22] 宋洪伸，“入侵偵測系統與防火牆連動模型之研究”，中國文化大學商學院資訊管理研究所碩士論文，臺北，2006
[23]史彥東，“基於Honeypot的入侵檢測系統的應用和研究”，中國石油大學工程碩士學位論文，中國大陸，2010
[24] 霍延生，“基於Linux系統的防火牆分析與研究”，西安電子科技大學工程碩士學位論文，中國大陸，2010
[25] 樊建墨，“校園網Linux防火牆的研究和設計”，吉林大學碩士學位論文，中國大陸，2011
[26] 徐敏，“Linux防火牆與snort聯動的研究與實現”，武漢理工大學碩士學位論文，中國大陸，2011
[27] Stiawan, D., Abdullah, A. H., and Idris, M. Y., “The Trends of Intrusion Prevention System Network”, 2nd International Conference on Education Technology and Computer (ICETC), 2010
[28] 盧娜，“基於聯動的網路入侵防禦系統的設計與實現”，武漢科技大學碩士學位論文，中國大陸，2008
[29] 胡華，“基於Snort的網路入侵防禦系統的研究與設計”，武漢科技大學碩士學位論文，中國大陸，2010
[30] 張臻臻，“入侵檢測與蜜罐協作模型的研究”，重慶大學碩士學位論文，中國大陸，2010
[31] Wang, C. and Ding, Z., “Research on the Interaction of Honeynet and IDS”, Computer Science and Service System (CSSS), 2011 International Conference on, 2011
[32] http://www.vmware.com/tw/(2012.2.13)
[33] http://en.wikipedia.org/wiki/Low_Orbit_Ion_Cannon(2012.2.14)
[34] http://in2.csie.ncu.edu.tw/~cs000877/security/html/process.html(2012.2.16)