第一節 研究背景
隨著網際網路的發展,人們的生活已經無法和網路脫離。在一般日常生活 中,人們在網路上進行社交活動、玩網路遊戲、享受影音娛樂。除此之外,越 來越多的購物交易在網路平台進行。當越來越多的網路行為在我們的生活環境 中發生,人們也就越依賴這個不可或缺的網路世界。對一個企業組織而言,除 了使用內部區域網路中的各式平台進行日常作業、協同作業外,也有許多和其 他企業組織(Business to Business, B2B)和消費大眾(Business to Customers, C2C)之 間的商業行為是依賴網際網路傳送訊息和交易。網際網路的成長可以從幾個研 究機構的統計數據觀察。Internet World Stats 統計了世界各國上網人口統計[1],
其所提供的資料顯示全球上網人口已經突破24 億,從西元 2000 年至今 2012 的 上網人口成長率更是高達 566.4%。另外,根據 Netcraft[2]每個月對網頁伺服器 的統計數據,在 2013 年 5 月全球已經有超過六億個網站運行,比 2013 年 4 月 多出兩千三百萬,圖1 是 Netcraft 所釋出的網際網路網站數量統計圖表。
圖1 網際網路網站數量統計圖
隨著網際網路的規模不斷地成長,同時在網路世界中也出現許多問題,其 中一個就是網路安全問題。我們所依賴的網際網路是一個不安全的網路環境,
相關安全問題存在已久,許多通訊協定的設計並沒有考量到與安全相關的惡意 行為,例如 Internet 使用者皆可透過設定 SMTP 通訊協定中的信件標頭[3],假 冒他人名義寄出電子郵件,造成釣魚郵件、詐騙郵件等問題。除此之外還有許 多攻擊行為是利用軟體撰寫的錯誤來入侵他人系統,例如常見的緩衝區溢位攻 擊[4]。網際網路危機四伏,現在的攻擊者發起網路攻擊的目的已經不是早期單 純炫耀攻擊者自身的程式設計能力,而會試圖利用攻擊行為取得電腦內部資料 和運算能力以獲取不當利潤。有報導指出,已經有入侵者利用受害電腦執行挖 掘 BitCoin 的計算以獲取利潤[5],而有些則在被害電腦中植入木馬程式記錄鍵 盤動作以收集使用者在特定網站的帳號和密碼[6]。在人類活動越來越倚賴網際 網路的情況下,類似的威脅事件早已成為當今嚴重的社會問題。於是當前網際 網路的安全議題已成為未來網路發展所不得不重視的重要研究領域,如何有效 的確保網路環境順暢是現今的重要課題。
第二節 研究動機
在電腦網路的發展初期,攻擊者所使用的攻擊技術相較於今日的攻擊技術 是較單純的,大多利用容易被猜測、破解的帳號密碼,或者利用系統服務程式 的設計漏洞入侵系統。入侵者進入系統後將再透過主機本地端的程式安全漏洞 進一步取得系統管理者權限,達到掌控電腦主機的目的。這些入侵者有些是為 了滿足好奇心,有些是為了向同儕炫燿其能力,有些則是入侵重要系統竊取或 者修改系統內的重要記錄,例如修改自己在學校中的成績記錄。大部分這些入 侵者的動機都相對單純、簡單。此時系統入侵的技術動作還是需要入侵者自己 本身的操作,但是隨著自動化程式技術的發展,網路攻擊的破壞力增加了許多 倍。在 1988 年的出現 Morris 蠕蟲[7]是第一隻利用自動化程式技術手法並且透 過安全漏洞能在在網際網路自我複製的蠕蟲,原本程式只是作為測試的小玩具,
但因為程式邏輯中無心的過錯,蠕蟲自我複製速度極為迅速,傳播速度和帶來 的破壞遠超過作者自己的預期,對當時的網際網路造成極大的損害。
之後演進出的網路攻擊的主流技術是殭屍網路(BotNet)[8],這類型技術也 是利用安全漏洞入侵系統並且擁有自我複製的能力,但是殭屍網路並不立刻讓 被入侵的系統癱瘓,而是讓被入侵的系統成為殭屍網路的成員,成員將會等待 攻擊者的命令進行下一步的動作。控制殭屍網路的攻擊者除了利用受害電腦進 行竊聽或偷取重要資訊外,也利用這些受害電腦進一步入侵其他電腦主機,擴 大殭屍網路的規模。入侵者於是操控大量受害電腦的運算資源和頻寬,得以進 行更大規模的網路攻擊行為。在2000 年所發生針對 Yahoo 的 DDoS 攻擊事件是 攻擊者例用殭屍網路發動阻斷攻擊的著名案例[9],攻擊者利用殭屍網路中龐大 電腦的運算能力和頻寬資源,動員數以萬計的電腦發動無效的連線,讓 Yahoo 網站因為電腦主機系統資源和頻寬不足而被癱瘓。Yahoo 因為這次攻擊事件導 致服務中止,而電腦主機被利用為殭屍網路的各單位也承受了電腦運算速度變 慢、浪費許多頻寬費用等損失。現在更有網路惡意攻擊者利用殭屍網路對網站 進行勒索,如果被害者不答應歹徒勒索的條件,歹徒便利用殭屍網路癱瘓被害 者網站,讓被害者蒙受網站離線而連帶造成商業利益損失[10]。在趨勢科技在 2012 年的報告是關於俄羅斯地下經濟的研究,在該研究中揭露了入侵電腦的工 具、協助執行入侵的服務、受害主機的運算和頻寬資源等,都可以在黑市中以 一定的價碼販售[11]。
所以網管人員為了防範層出不窮的網路攻擊事件,應用了各式的防火牆、
入侵偵測系統(Instruction Detection System, IDS)、防毒軟體等系統,試圖偵測並 阻擋這些惡意行為。但是道高一尺、魔高一丈,入侵者也發展出使用不同的程 式技巧以躲避各式防禦系統的偵測。例如許多惡意使用者透過變種病毒或者是 對惡意軟體進行編碼、加密改變其特徵編碼,以避開以樣式比對為基礎的偵測 防禦技術和防毒軟體[12]。同時惡意使用者也試圖透過更複雜的入侵動作繞過 入侵偵測系統。
在2013 年於本研究所架設的誘捕系統中觀察到一種多重攻擊模式,這種入 侵模式試圖將入侵攻擊的各步驟如:探測弱點、入侵系統、植入後門等行為的 來源位址分散,並讓入侵行為隱藏在正常的流量中。入侵偵測系統可能會發現 在多重攻擊行為的一連串的步驟中的部份行動,由於攻擊來源位址分散的關係,
在系統記錄上看起來只是一些互相獨立的入侵記錄,更有部分多重攻擊的行為 無法被偵測,於是網路管理者則難以在系統的警告訊息中了解多個入侵來源的 所隱藏的攻擊行為。當管理在發現到其中之一個攻擊行為而設定防火牆試圖阻 擋該入侵來源 IP 位址的連線,那麼攻擊者依舊可以繼續進行下一階段的攻擊行 為,或是利用殭屍網路的特性使用其他殭屍電腦繼續同樣的攻擊行為。例如攻 擊者透過某一 IP 位址對內部電腦作弱點掃描,即使管理者在發現後立刻將該 IP 位址封鎖,入侵者依舊可以從其他 IP 位址掃描或者是用掃描所發現的弱點透 過其他 IP 位址繼續攻擊目標網路。於是管理者對攻擊行動的補救動作效果有限,
甚至系統已經被放置後門而不知。這類型的攻擊行為對於現有以樣式比對為基 礎的入侵偵測防禦系統的防護能力而言是一大挑戰,所以需要即刻研究如何增 強網路攻擊偵測系統以解決此類型的攻擊行為。
第三節 研究目的
雖然現有的入侵偵測系統並不能完全偵測並阻止這類型的多重攻擊行為,
但是仍舊可以偵測部分的入侵動作,並且攻擊行為一定會在網路流量記錄留下 連線記錄。但是如何從這些看似沒有關聯的攻擊行為和大量的流量記錄中找出 多重攻擊事件所留下的關聯特性就變成一項重要的研究議題。所以本研究將提 出一個新的架構,應用情節探勘偵查此類多重攻擊行為及相關隱含的動作。由 於多重攻擊行為在各個攻擊步驟間是有時間相關性,所以此架構將利用頻繁情 節探勘(Frequent Episode Mining)技術,從入侵偵測系統所回報的攻擊記錄和 網路流量記錄中挖掘出攻擊事件和網路流量之間的關聯,並找出攻擊事件發生 及後續的隱藏網路攻擊行為,進而找出方法偵測、阻擋多重攻擊行為的模型。
本研究將在第二章中進行文獻探討,了解過去關於網路攻擊偵測技術相關 研究,說明情節探勘以及該演算法在網路攻擊偵測的應用,並且詳細介紹 BotNet 以及網際網路多重攻擊。在第三章中說明本研究所提出挖掘多重攻擊關 聯性的系統架構,如何收集、整理網路流量資料和入侵偵測系統的攻擊警告記 錄,然後使用情節探勘從中找尋多重攻擊行為中的關聯。在第四章中,本研究 是透過模擬真實多重攻擊的實驗,以實證的方法驗證本研究所提出的多重攻擊
偵測系統,並以實驗數據分析說明偵測系統在不同參數設定時的運行效果。最 後第五章是本研究的結論和未來研究發展方向。