計畫緣起

Microsoft SQL Server 所使用的 UDP 1434 埠中。如果使用傳統式的防火牆，固然 可以定下規則阻絕 UDP 1434 埠來避免 SQL Slammer 的攻擊，但同時也會因為該 服務埠被阻擋而造成 SQL Server 無法使用。

(1)Windows 誘捕網情蒐之核心技術與回追技術軟體發展

至於目前 IDS 與 IPS 上入侵偵測技術的限制，目前網路型與主機型入侵偵測系統 普遍有下列潛在不足之處：

一、只能偵測出已知的攻擊模式：

以比對特徵為基礎﹙Signature-based﹚的安全機制只能辨識出資料庫中有相 對應的攻擊特徵之非法行為，所以攻擊特徵（Signature）的 開發速度會影響安 全機制的有效性。以比對特徵為基礎﹙Signature-based﹚的入侵偵測系統在 1990

2

年中期成形，當時已知的安全漏洞數目並不 多。根據 CERT 的資料，在 1995 年，只有 171 個安全漏洞被發佈，Signature-based 的資訊安全產品只要每月更新 增加 10-12 個攻擊特 徵（Signature）， 便足以應付當時的安全需求。

隨著公佈的安全漏洞的數目不斷快速增加，加上變形攻擊﹙Mutations﹚的出 現，上述情形已逐漸改觀。針對每一種不同的攻擊，Signature- based 的入侵偵測 產品都需要一個相對應的攻擊特徵。Signature-based 的安全機制無法跟已知上漏 洞增加的速度。以安全漏洞的數目之多，再加上以驚人的速度增加，極有可能目 packets﹚，導致封包資訊不完全而容易造成誤判。

三、缺乏立即有效的回應：

3

今年度我們將以 OWASP Top 10 十大資安漏洞為目標進行攻擊模式分析，

並從研究分析中選出一般防護系統無法偵測或誤判率高之攻擊手法做為今年研 究與實作的對象。

(2)網路威脅風險分析與威脅預警之核心技術與軟體單元研發

現今網路安全防護的議題已經受到全世界的注目，因為在資訊蓬勃發展的時 代中，網路已成為現代人不可缺少的一部份，然而其安全的管理和防護的疏忽所 造成的傷害更是不計其數，例如: eBuy、Yahoo 等等，都曾經因為資訊安全的重 大事件而損失慘重。因此許多資訊安全防禦機制也如雨後春筍般冒了出來，如防 火牆、入侵偵測系統。

現有的防火牆、入侵偵測系統等措施，仍然有其限制，它們只能夠發掘已知 的攻擊方式，對於新型的攻擊則無能為力。現有的系統無法定量地分析網路威脅 的風險程度，提供預警服務，由於網路攻擊可能造成巨大的損害，我們實在不能 承受網路攻擊，而只是在事後加以追查，一套有效的網路防禦系統，必須能夠隨 時提高警覺，主動監控網路，即時發出預警訊號，讓網安人員可以預作防備，進 而主動出擊，追查攻擊的來源。本計畫的目標之一即是對於網路威脅的風險分析 與預警系統，作深入的研究，以及製作雛型系統，來驗證我們研究成果的實用性。

4