定義管理知識的目標及範圍

評等目標/概念表格。3.3.7 整合模糊知識及產生規則。

知識整合及 規則產生 概念表格一

概念協調

概念表格二 概念表格 n

共同概念 表格

模糊規則 共通目標／

概念表格

概念 資料庫

知識庫 對共同概念表格

進行評等

專家一 專家二 專家 n

圖 3.2 多專家知識擷取及整合流程圖

3.3.1 定義管理知識的目標及範圍

在進行知識的擷取之前，應該相當清楚的了解所要擷取的是哪個領域方面的 知識？而這項領域的知識擷取範圍為何？就如同在建置資訊系統時一樣，在事前 必須了解網路安全的目的為何？它要解決哪些問題？網路安全的範圍到哪？這 些工作在知識擷取進行之前一樣是需要進行的，因為如果目標未能在事前訂定清 楚，則有可能會發生知識擷取方向錯誤，所擷取的知識沒有效用的狀況發生，使 得收集回來的知識所能發揮的效果變得有限，而範圍的確定，可以集中思考方向 朝範圍目標建構知識庫，這是要收集最關鍵的知識之前必須要進行的工作[25]。

所謂的目標，可能就是解決問題的辦法、所可能發生的問題、未來可能的走 勢、所要採取的行動等。舉例來說：要擷取一個網路安全的知識，那麼它的範圍 應該是可能導致網路危安的原因，而其目標則為可能導致於網路流量異常的問 題，例如：使用系統預設密碼、緩衝區滿溢攻擊···等等。

回歸研究主軸，引發資訊安全的原因與攻擊手法種類繁多，預防的措施以 Linux 系統上經常被運用的 IDS 軟體—Snort-2.3.3 而言，共計區分 50 個類別，就 IDS 機制來看，網路進出的封包都採逐一過濾檢查，為避免過多的判斷規則影響 網路效能，在本研究中概念名稱來源以行政院國家資通安全會報技術服務中心--石翔任研究報告為主軸，將 92 年資安演習成功手法與不成功手法之模擬攻擊方 式列為專家參考之依據。並請專家制定造成資訊危安情形有哪些原因，進而設定 資訊安全的臨界值，如 SQL 查詢資料內容異常次數何謂「正常」，何謂「嚴重」。

擷取到專家的知識樣本後，將資訊危安所有面臨過的事件匯整至系統上，最後產 生出規則。資訊危安狀況一旦發生，就可以利用這套規則來分析真正的危安因素 為何？

定義好管理知識的範圍後，將知識擷取的目標則訂定為資訊危安狀況發生時 與它相互影響的關係，如表 3.1 所示。

表 3.1 知識擷取的目標與入侵防禦因素之關係

概念名稱 說明

FrontPage Server Extension 權限管控不當

FrontPage Server Extension 可建立豐富的可延伸標 記語言 (XML) 資料驅動網站及即時的 Web 解決 方案

SQL Injection 資料隱碼

SQL Injection 是 一 種 未 做 好 輸 入 查 驗 (Input Validation)的問題，即在撰寫應用程式時，沒有對使 用者的輸入做妥善的過濾與處理，便將其組合成 SQL 指令，傳送給 SQL server 執行。

網芳無密碼或弱密碼

Windows 主機使用 Server Message Block (SMB)協 定，或稱為 Common Internet File System (CIFS)的協 定，實現 windows 主機可以將另一 Windows 主機目 錄檔案當成是本機上的目錄檔案一般地使用，即所 謂的網路芳鄰分享。

Solaris Login Buffer

Overflow 緩衝區滿溢 本研究不包含 Solaris 系統，故不列入檢測。

MSSQL Server 預設管理帳 號空密碼

SQLSnake 網蟲利用餵射密碼的系統預設的管理預 設帳號(或 "sa" 帳號)來進行入侵，對於任何系統來 說，確保每一個系統帳號都確實受到密碼保護，不 使用帳號的帳號也要確實停用或刪除，是至為重要 的。

Samba Buffer Overflow 緩 衝區滿溢

當 Samba server 收到特殊格式的封包並嘗試重組封 包(re-assemble)時，會導致 samba server 產生 buffer overflow。造成攻擊者可寫入敏感的記憶體區塊，而 達成執行任意程式碼的目的。

IIS Unicode 漏洞

微軟 IIS 4.0 和 5.0 都存在利用擴展 UNICODE 字元 取代"/"和"\"而能利用"../" 目錄遍曆的漏洞。未經授 權的用戶可能利用 IUSR machinename 賬號的上下 文空間訪問任何已知的文件。

ATU-R 預設密碼 本研究不包含 ATU-R 設備，故不列入檢測。

SQL Server Resolution Buffer Overflow 解析緩衝 區滿溢

以 SQL Server 為目標，利用 Microsoft SQL Server 2000 解析服務 (Resolution Service)的兩個弱點，使 用 keep-alive 功能對其它主機展開阻斷服務(denial of service)攻擊。

OpenSSL Buffer Overflow

OpenSSL 是一套被大量採用，原始碼開放的 Secure Sockets Layer ( SSL v2/v3 ) 及 Transport Layer Security ( TLS v1 ) 程式實作，同時也是個多用途的 編碼函式庫。SSL 和 TLS 提供較高層通訊協定 ( 如 HTTP )的伺服器端和客戶端之間的安全連 線。目前在 OpenSSL 的伺服器端和客戶端上發現 了四個可被遠端攻擊的安全弱點。

Apache Chunk Buffer Overflow

Apache web server 當收到以 Chunked 方式編碼的 資料，因為無適當計算接收 buffer 大小的機制，以

致發生 buffer overflow 或是 race condition 的情 況，結果會造成攻擊者可以執行系統上任意程式的 弱點。

IIS ASP Buffer Overflow

IIS 許多 ISAPI extensions（包含 ASP, HTR, IDQ, PRINTER, 和 SSI extensions）都含有緩衝區溢位的 弱點。著名的例子 .idq ISAPI extensions 弱點，而 Code RED 和 Code RED II 蠕蟲都是使用此弱點來 進行攻擊。攻擊者可藉由假造請求造成阻斷服務及 以網頁伺服器的權限執行任意的程式碼或指令 Wu-ftpd Buffer Overflow 本研究未架設 FTP 服務，故不列入檢測。

(資料來源：92 年資安演習成功手法與不成功手法之模擬攻擊方式)

確立好目標與範圍之後，就可以開始進行專家知識的擷取及整合工作了。以 下以簡寫替代冗長的概念名稱，簡寫表如表 3.2：

表 3.2 網路安全概念簡寫

概念名稱 簡寫名稱

FrontPage Server Extension 權限管控不當 FP-Pri SQL Injection 資料隱碼 SQL-Inj

網芳無密碼或弱密碼 Netbuei-PW

MSSQL Server 預設管理帳號空密碼 SQL-PW Samba Buffer Overflow 緩衝區滿溢 Samba-BO

IIS Unicode 漏洞 IIS-Uni

SQL Server Resolution Buffer Overflow 解析緩

衝區滿溢 SQL-BO

OpenSSL Buffer Overflow OSSL-BO Apache Chunk Buffer Overflow Apache-BO IIS ASP Buffer Overflow IIS-BO