系統整合規劃

資訊安全的維護大多是從防禦的角度來著手的，例如防火牆、入侵偵測系 統、資料加密等。這種思維，是先找出系統可能出現的問題，然後針對問題進行 分析以謀求對策。隨著 Internet 的高度發展，各種以網路為基礎的應用系統越來 越多，各領域對網路的依賴也越來越強，然而網路的安全議題卻也不斷地面臨著 巨大的挑戰。雖然與資訊安全維護相關的研究成果，不斷的推陳出新，但入侵者 的技術水平也在不斷地提高，資訊安全技術的演進，似乎永遠跟不上新問題的出 現。經常看到的是，某項入侵事件造成了重大損失後，補救措施才因應而生，這 讓我們充分理解到，被動的安全維護機制，並不足以確保網路安全。整合雛形系 統裡面主要有蜜網、追蹤與預警三個子系統，各子系統的關聯圖如下圖所示。

圖 93、系統關連圖

(1) 誘捕網系統 ( HoneyNet)

誘補技術的核心是設置一套具備高度隱匿性的監視機制，並記錄入侵者的活 動資訊，以針對其行為模式進行分析。誘捕網是一種系統誘捕技術，主要是一種 對攻擊者進行欺騙的技術，通過佈置一些作為誘餌的主機、網路服務以及信息，

誘使攻擊者對他們進行攻擊，減少對實際系統所造成的安全威脅，並藉以發掘入 侵者的入侵過程。

但誘捕網有其自身特點，首先，誘捕網是由多個蜜罐以及防火牆、入侵防禦

149

(2) 網路封包標記追蹤系統( Traceback)

封包標記技術是利用 IP 標頭一些很少用到的欄位，以機率來選擇填入封包經過

(3) 網路威脅風險分析與威脅預警系統( Security Information Manager)

此計畫的主要項目是網路威脅風險分析與威脅預警之核心技術，則是在研發

150

脅分析及風險量化、威脅預警等模式，亦為本計畫之重要研究項目之一。我們將 分析現有的網路威脅分析、網路預警等之研究成果，研發法則推論基礎之網路威 脅分析與預警模式。

建置流程首先第一部份便是遇上防火牆，防火牆裡訂定了區網內部的一些資 安規格，這些規格主要是由區網內部自行定義的，傳入 MCC 之後，MCC 會把 log 拿來分析統計一些數值，由 SIM(指網路威脅風險分析與威脅預警之核心技術) 來進行歸納、篩選、設定規則參數，之後在 MCC 上展示。

結合上述 Windows 誘捕網情蒐之核心技術與軟體單元研發、網路威脅風險 分析與威脅預警之核心技術與軟體單元研發如下圖說明：

圖 94、系統整合關連圖

整合關聯圖系統流程說明：

誘捕網系統(HoneyNet)誘使攻擊者對其進行攻擊。在攻擊的過程 中，系統將秘密地記錄下整個攻擊的過程，包含攻擊者的網路行為(如 流量攻擊、封包內容、封包的來源、cpu、memory 系統負載)、登入主 機後輸入的指令，甚至於在主機上安裝的木馬後門程式，都將被記錄下 來，因此 Honeynet 查出被攻擊的攻擊者之後回報警訊給 MCC，MCC 再聯絡 router，因為駭客進行攻擊時，對防禦方來說同時也提供了機會 追蹤攻擊的來源，這對攻擊者將達成有效的嚇阻效果，網路攻擊追蹤技 術主要分為三個層面。第一，受害者端方面必須能及早偵測出攻擊封

151

包，如何從大量接收的封包中判斷何者是合法正常封包（legitimate packets），何者又是被偽造來源位址之惡意封包，這是重建攻擊路徑的 基石，一個正確且快速反應的偵測機制將可確保受害者在被癱瘓前即阻 斷攻擊者之後續攻擊。接著，判斷出攻擊封包後，如何追蹤回溯到攻擊 者端，這部份由於攻擊者可偽造來源端位址，因此必須引進一套封包標 記（packet marking）機制來重建攻擊路徑（可搭配封包資料摘要以增加 路徑收斂速度），始能徹底找出攻擊者。Router 再把上述分析，有關攻 擊者的 router link 及標記等資訊，收集好資訊之後，router 把資訊傳回 給 MCC，此時 MCC 再把收集的資訊放入 log 之後通過 data mining，透