異常行為偵測

第五章系統監測成果

本研究將實際以系統蒐集到的電腦教室網路訊息，經由 ABBA System 分析後，

將所監測到的異常狀況，分析如下：

（一）前十大警訊

本研究蒐集了從 2008 年 11 月 11 日到 2009 年 3 月 23 日之間所有發生的警告事件，所引發警告次數最多的前十大事件如下表。

表 7 前十大警訊事件排名

排名警告名稱警告次數百分比

1 (portscan) Open Port 162539 49％

2 (http_inspect) OVERSIZE REQUEST-URI DIRECTORY 59105 18％

3 (http_inspect) IIS UNICODE CODEPOINT ENCODING 27591 8％

4 (http_inspect) BARE BYTE UNICODE ENCODING 9764 3％

5 P2P GNUTella client request 4926 2％

6 P2P Outbound GNUTella client request 4419 1％

7 P2P BitTorrent transfer 4250 1％

8 (http_inspect) DOUBLE DECODING ATTACK 3891 1％

9 POLICY Yahoo Webmail client chat applet 2683 1％

10 (http_inspect) OVERSIZE CHUNK ENCODING 2443 1％

從上表，可以發現網路警訊事件以(portscan)Open Port 所引發的事件佔大多數。由此可判斷，電腦教室內的電腦所可能因執行某些程式，而開啟某些 Port，

而這些 Port 都有可能成為駭客入侵的主要途徑。且經統計發現，大多 portscan 的來源 IP 都是電腦教室內的 IP 位址，由此可推測，使用者在使用電腦期間，可能因下載及安裝不當軟體，而被植入某些程式而開啟 Port。

（二）異常傳輸的監測

從每日小時次數統計中，發現在 2009 年 3 月 16 日晚上 7 點到晚上 12 點間網路有發生異常傳輸的情形，有大量的警告訊息發生，經 ABBA Systme 查詢瞭解引起警訊的 IP 為 192.168.0.48 的電腦，所引起警訊的原因為 port scan。

圖 34 異常傳輸情況

圖 35 觸發警訊的 IP 及事件

藉由每小時的次數統計，並與過去的紀錄作比較，可以得知網路目前使用的非正常使用電腦時間

（三）監測即時通訊的使用

即時通訊（Instant Messaging，簡稱 IM），是一種允許兩人或多人使用網路即時的傳遞文字訊息、檔案、語音與視迅交流的服務[31]。比較著名的即時通訊軟體有 Yahoo Message 及 MSN 等。即時通訊雖然方便，也帶來了不少病毒的威脅。

許多入侵者利用即時通訊散播病毒連結，常使得使用者在不察的情況下點取連結，造成電腦中毒及資料外洩。由於學生普遍會使用即時通訊軟體來交談，因此在電腦教室若不加以控管，不僅影響學生學習，也很容易會成為散播病毒的媒介。

圖 36 使用 Yahoo Messager 的電腦 IP 列表

圖 37 CHAT Yahoo Messenger Message 警訊的目的 PORT

（四）使用 P2P 的偵測

點對點技術（Peer-to-Peer，簡稱 P2P），是一種網路新技術，具有相當多廣泛的用途。最常見也是最為人所熟知的用途是在檔案分享方面，如 eMule、

eDonkey、BT、Foxy 等 P2P 檔案分享軟體。由於使用 P2P 軟體下載檔案時，會佔據大量的頻寬，且下載分享的檔案還涉及到著作權等法律問題，因此在校園中是禁止使用 P2P 軟體的。

Snort 規則中，設定針對 P2P 的封包傳送規則。透過 Snort 的偵測，可以即時的發現使用 P2P 傳輸檔案的訊息。如下圖。

圖 38 P2P 傳輸檔案警告訊息 P2P 傳輸檔案警告

在文檔中以Snort偵測並封鎖網路異常行為之研究 (頁 55-59)