第一節、議題研究及說明
雖然目前市面上有眾多的入侵偵測系統,但這些偵測系統僅能針對部份可能 的網路入侵方式進行監控與防堵。為了有效地分析所面臨地網路威脅,資安單位 必須同時佈署多個不同的入侵偵測系統,並請資安專家對這些入侵偵測系統及相 關伺服器進行監控。然而,由於各伺服器與入侵偵測系統產生的日誌為數眾多,
加上資安專家可能會進行任務調動,因此,一個自動化網路威脅分析與預警系 統,將能幫助資安專家更有效率地分析網路威脅,並舒緩資安單位在因資安專家 任務調動所產生的空窗期所面臨的網路威脅。
為了預防網路各式攻擊行為以及保護區域網路內之安全,我們在本計劃裡將 採用資安法則來實現區域網路內的預警,一般而言,資安法則的來源有二。一是 由資安專家自行設立,由資安專長將其用來分析網路威脅的知識轉化成資安法 則。目前的法則推論系統(rule-based inference system)大多缺乏便利的操作介面,
如:CLIPS 必須以純文字定義法則的結構及推論流程,針對特定的問題進行客製 化後才有辦法使用,CLIPS 必須以純文字畫面進行操作如下圖所示:
且在開發上必須撰寫大量描述語法來定義法則如下圖所示:
180
圖 128、描述語法
在操作面及維護上均不便利。此外,由於資安專家對人工智慧不一定熟悉,因此 我們將設計一個「資安法則編輯器」,藉由高擴充性的法則定義與編輯功能及操 作便利的介面打破此項困境以協助資安專家將抽象地資安知識轉化成資安法 則。根據以上的法則編輯與驗證工具建構法則後,如何透過法則推論引擎進行網 路威脅分析及風險量化、威脅預警等模式,亦為本計畫之重要研究項目之一。我 們將分析現有網路威脅分析、網路預警等之研究成果,研發法則推論基礎之網路 威脅分析與預警模式。
此外,法則的獲取方式可透過系統自動學習而得。在近年來的研究結果中,
學者們利用不同的人工智慧技術(如資料探勘、模糊理論、基因演算法等),從既 有的網路威脅資料中學習出資安法則。我們將根據以上的研究成果,進一步評估 現有商業法則推論引擎是否能有效的達成網路威脅分析以及威脅預警模式等,進 而採用一可行商用法則推論引擎進行學理與實務之驗證。
除了應用資安法則以外,我們針對如何增進判斷的準確率也做了相關的 研究,我們在判斷時運用分群法以及失誤樹分析,分群法又稱資料分群(data clustering)或是分群演算法(clustering algorithms)是一種將資料分類成群的方 法,其主要的目的乃在於找出資料中較相似的幾個群聚(clusters),在同一群聚 的成員們擁有相似的屬性,或是更加相近的距離等。圖 138 即是將一平面座標點 集分成四個群聚的結果。
181
圖 129、Example of clustering
一般而言,分群法可以大致歸為兩大類:
1. 階層式分群法(hierarchical clustering):
群數(number of clusters)可以由大變小,或是由小變大,來進群聚的合併 或分裂,最後再選取最佳的群數。
2. 分割式分群法(partitional clustering):
先指定群數後,再用一套疊代的數學運算法,找出最佳的分群方式以及相關 的群中心。
所有的分群法都有相似的流程,大略可歸納為下列幾點:
e. 收集資料
f. 使用某種方法進行分群 g. 測試分群結果
檢測分群結果,如果未達預期效果,則回到步驟二,再一次進行分群,
失誤樹(fault tree)是 1962 年由貝爾實驗室(Bell Telephone Laboratories)發表,
從系統的失效現象做出發,根據這些失效現象,分析失效發生的原因及造成系統 失效的可能部位。而為了使失誤樹能順利運作,我們需要輸入精確的錯誤資料和 適當的模型(model),才能計算出失誤發生的風險。錯誤! 找不到參照來源。為一 失誤樹的範例,用來表示 Top event 發生的風險,其中每一個圓形的節點都代表 一個事件,而失誤樹則透過一些邏輯的組合來描述這些事件對 Top event 的影 響。例如錯誤! 找不到參照來源。的失誤樹告訴我們:「當 X2和 X3同時發生或
182
X1發生時,top event 變會發生」。
圖 130、Example of fault tree
我們也可以透過下面的式子來計算 top event 的風險值: