網路威脅分析及預警技術之研究

在資安法則上，我們將針對去年的五項資安法則進行格式轉換，將舊的法

122

則格式轉換為新的 XML 型式，同時我們也將針對三種攻擊行為，分別為：port scan、warm 及 trojan，進行偵測，以下分別介紹這幾種異常及攻擊行為：

4.1 預先定義之資安規定

1. 未更新之主機(No update PCs)

為避免已知的漏洞被有心人士利用，每部電腦必需至 update server 下載並安 裝 patch，若發現有某些電腦長時間未連線至 update server，則視為違反資安規 則，亦即這些電腦極有可能存在資安漏洞。

圖 65、違反未更新之主機法則

2. 未回報之主機(No report PCs)

為避免稽核程式(agent)回報資訊，有些電腦或營區會安裝防火 牆(firewall)阻檔回報的封包。因此，若發現有某些電腦或營區長時 間未進行回報，則視為規避稽核，可能內部正進行違法的行為。

圖 66、違反未回報主機法則

3. 具有不安全服務(unsafe service)組合之主機

123

由資訊安全專家定義，哪些服務(service)不能同時存在一台伺服 器(server)上。

圖 67、違反具有不安全服務組合法則

4. 未列管伺服器

營區內的所有伺服器都必需登記列管，不能私自架設伺服器。

圖 68、違反未列管伺服器法則

5. 使用未申請的 Port

當使用者連往遠方不知名的 Port 時，有可能是遭到攻擊而將資 料外洩。

圖 69、違反使用未申請的 Port 法則

124

4.2 惡意攻擊行為

1. 掃描通訊埠攻擊 (Port Scan)

掃描通訊埠攻擊透過對目標主機傳送封包藉以探查目標主機可能存在的漏 洞。這種攻擊通常是入侵的第一步，如果偵測到掃描攻擊將對維護資訊安全將有 很大的助益。

遭受掃描攻擊時，主機會收到針對各種不同服務類型的連線，這些連線所要 求的服務與履歷中所記錄的服務種類往往會有很大差異，如圖 70 所示。我們的 系統藉由比對履歷記載的服務與被要求的服務，便可發現掃描通訊埠攻擊。另外 來自掃埠工具的攻擊會產生大量的連線，當超過 InLink 的安全限度時我們就將 他視為遭受攻擊。

圖 70、掃描通訊埠攻擊

來自駭客的掃埠攻擊相較之下複雜許多。他們會有計劃地針對某些重點埠進 行掃描並分散掃描時間降低被發現的可能，此種攻擊單是觀察連線數目難以發 現，必須利用連線所要求的埠種類來輔助偵測。若是針對單一主機多個埠的攻 擊，可以利用 InLink 所記錄的連線種類來判斷，當掃埠攻擊發生時，觀察時間 內所累積的連線種類會比平常多，且不屬於此主機服務的要求也會上升。若是針 對多主機單一埠的掃描，我們可觀察全域的被要求服務統計，若是某一個服務或 是某一個埠被大量的要求就有可能是此類攻擊。

125

圖 71、透過網路上的芳鄰傳染的蠕蟲

2. 電腦蠕蟲(computer worm)

電腦「蠕蟲」跟病毒一樣，可將自身從一台電腦複製到另一台，但蠕蟲會藉 由控制電腦上可以傳送檔案或資訊的功能自動複製。一旦您的系統中有蠕蟲存 在，它就會自動蔓延。在蠕蟲蔓延的過程當中，它會嘗試進行大量的連結，圖 71 所示為一利用網路上的芳鄰進行傳染的蠕蟲，它會自動偵測區域網路上的其 他主機，並嘗試透過網路分享的資料夾進行傳染。感染蠕蟲的主機之連結數量會 遠大於履歷中所記錄的行為，故我們的系統可以發現感染蠕蟲的主機，並將其歸 類為異常行為。

3. 木馬程式(Trojan horse)

一個完整的特洛伊木馬套裝程式含了兩部分：服務端（伺服器部分）和用 戶端（控制器部分）。植入對方電腦的是服務端，而駭客利用用戶端進入運行了 服務端的電腦。運行了木馬程式的服務端以後，會產生一個有著容易迷惑用戶的 名稱的進程，暗中打開埠，向指定地點發送資料，透過木馬程式，惡意攻擊者可 以掌握受害者的電腦。

126

圖 72、同時遭受木馬攻擊的電腦

如果多台電腦皆感染同一隻木馬程式，則當惡意攻擊者要操控這些電腦時，

會有許多主機同時收到不在履歷中的連線，如圖 72 所示，因為這與履歷中所記 錄的有很大差異，因此我們的系統可以發現並將其歸類為異常行為。