1
行政院國家科學委員會補助專題研究計畫期末報告
※※※※※※※※※※※※※※※※※※※※※※※※※
※ ※
※
計畫名稱:網路安全缺陷掃瞄技術研究(2/2)※
※ ※
※※※※※※※※※※※※※※※※※※※※※※※※※
計畫類別:■個別型計畫 □整合型計畫 計畫編號:90-2213-E-011-024-
執行期間:90 年 8 月 1 日至 91 年 7 月 31 日 計畫主持人:洪西進
執行單位:國立台灣科技大學 資訊工程學系
中 華 民 國 91 年 11 月 1 日
2
行政院國家科學委員會專題研究計畫報告
計劃編號:90-2213-E-011-024-
執行期限:90 年 8 月 1 日至 91 年 7 月 31 日 主持人:洪西進教授 台灣科技大學資訊工程學系
email:[email protected]
一、中文摘要
防禦的方法有裝設防火牆來過濾某些 特定的封包,或是裝設入侵偵測系統 IDS
(Intrusion Detection System)來監控 外部對本機的偵測行為。對外服務的應用 程式皆要不定期的更新補丁程式
(Patch),以免入侵者藉著服務程式的漏洞 來達到入侵的目的。但是這些防禦法似乎 又太被動了,很難防堵入侵者的最新技 術,而且也不易追蹤回去找出真正的入侵 者,因此本計畫第一年的研究成果已完成 一套私人電腦的防護監視系統,可以將電 腦使用者的行為紀錄下。本研究的防護監 視系統中的鍵盤紀錄,基於中文與英文表 示方式不同,必須加以區別,所以本系統 繼續發展出可以抓到中文的訊息,甚至只 要是在視窗下任何的字元都能知道其真正 的文字紀錄。並發展網路版本適用於各種 連線上網方式例如虛擬 IP,浮動 IP,固定 IP 等都可監控。未來將改善的功能:1.圖檔 轉換的效率。2.對於遠端電腦的控制能 力。3.取得遠端電腦之其他機密訊息。4.
開發成背景服務的程式。期能順利建立入 侵證據,並能立即反應入侵情況。本研究 的回應方式係利用即時記錄進行分析,如 遭受攻擊時超過危險等級時,係採用螢幕 顯示與響聲警告並利用撥號系統撥出電話 或行動電話通知相關人員,並調高事件檢 視器的靈敏度與記錄,更改防火牆的設 定。於遭受攻擊時系統存活部份,進行回 復過程時,我們將採用使系統設定為使用 較低一層級的運作方式來進行存活研究。
關鍵詞: 網路安全,防火牆,安全掃瞄,
入侵偵測,補丁程式,存活
二、緣由與目的
隨著網際網路的快速發展,利用網 路的快速、方便、即時性的電子商務網 站也如雨後春筍般的快速成立,放眼望 去,現在的各種交易或買賣行為或是國 家機構、公司行號、個人工作室等,都 是以成立網站來介紹自己產品及發表重 要事項,網路的方便性及重要性由此可 知。不過懷有惡意的人士,卻可藉著一 部個人電腦,來達到竊取資料、修改公 司網頁、或得到未發表軟硬體的原始架 構或程式碼,甚至有可能洩漏國家重要 機密等等。入侵者入侵一直是有網路以 來,最頭痛的問題之一,這些人不僅是 危害到個人資訊安全,更甚者更可從中 獲取相當大的利益甚至是洩漏了國家機 密。因應而生的防範入侵工具與方法也 不斷的產生,以便找出對策與防禦入侵 的方法。
防禦的方法有裝設防火牆來過濾某些 特定的封包,或是裝設入侵偵測系統 IDS
(Intrusion Detection System)來監控 外部對本機的偵測行為。另外在作業系統 方面或有對外服務的應用程式皆要不定期 的更新補丁程式(Patch),以免入侵者藉著 服務程式的漏洞來達到入侵的目的。但是 這些防禦法似乎又太被動了,很難防堵入 侵者的最新技術,而且也不易追蹤回去找 出真正的入侵者,並將他們的入侵紀錄留 下,以便作為犯罪的證據。入侵者之所以 難以防範及預防,是因為他們可藉由多組 破解過後的帳號及連線密碼登入主機,甚 至是經由中間多點的轉運站後,再真正的 登入受害的主機。所以就算我們知道了入 侵者所使用的入侵帳號後也是枉然,因為
3
這些帳號的擁有者也是一個受害者,入侵 者可能使用了幾次後就會放棄不用了,就 像一些綁架案中,罪犯所用的王八機一 樣。再來就是入侵者經由中間多點的轉運 站後,要依循蹤跡追查回去也是有著相當 的難度。所以網路上的入侵者為數眾多,
但真正被追查到而加以定罪的我們卻鮮少 耳聞。對於現有的電腦系統進行安全掃描 研究與行為的紀錄,以提高電腦系統本身 的安全性,進而預防未來可能的資訊安全 事件的發生。不斷的找出新對策與防禦入 侵者的攻擊方法都是重要的研究課題。
網路安全的研究方向有事前的防範如 建立安全環境、防火牆建立、安全掃瞄技 術。入侵防衛如入侵偵測、除去入侵、存 活。事後補救如入侵來源追蹤、資料留存、
反擊。近年來網路咖啡的盛行,利用網路 咖啡來做犯罪的事也日有所聞,加上國內 對這些行業並沒有特別的法律規範可以管 制,使得入侵者又多了一個可以達到他們 犯罪目的的管道,目前只有業者加強對來 網路咖啡使用網際網路的使用者做身份認 證,這種方式的管理是屬於被動式的管理 方式。
三、結果與討論
本研究計畫的第一年研究成果便是發 展出一套私人電腦的防護監視系統,這套 軟體是在微軟作業系統下工作的,主要的 功能在幫助管理者監視各登入該電腦的使 用者在這台電腦上所做的任何事情,包括 該使用者啟動了哪些應用程式、開啟了哪 些視窗、做了哪些事情、執行了什麼命令 並記錄下鍵盤紀錄等,同時也可以告訴管 理者這台電腦目前共開啟了哪些通訊埠來 對外做服務,並配合另一套入侵偵測系統
(BlackIce)做即時的入侵分析,管理者可
以自訂危險層級,定義這台電腦在遭受了 多少次不同的探測甚至是攻擊時,便告知 管理者及早做出防範。種種的功能表示,
這套軟體無論用在網路咖啡或者是學校的 網路教室等等,都扮演著重要角色,除了 事前的身分認證外,對各登入者做行為的 紀錄更是重要,若有電腦入侵者曾在此留 下紀錄,這些都是明確的犯罪證據。本年 進行入侵偵測預警、遭受攻擊時系統還能 夠存活、入侵證據留存。預計完成系統安 全性評估,量測系統安裝本計劃所發展出 來的安全網路防護罩程式之後和其未安裝 本程式之前的入侵數,以改進系統安全之 用。
本計畫完成的一套私人電腦的防護監 視系統,此監視系統中的鍵盤紀錄,基於 中文與英文表示方式不同,必須加以區 別,所以本系統繼續發展出可以抓到中文 的訊息,甚至只要是在視窗下任何的字元 都能知道其真正的文字紀錄。並發展網路 版本適用於各種連線上網方式例如虛擬 IP,浮動 IP,固定 IP 等都可監控。未來將 改善的功能:1.圖檔轉換的效率。2.對於遠 端電腦的控制能力。3.取得遠端電腦之其 他機密訊息。4.開發成背景服務的程式。
其能順利建立入侵證據,並能立即反應入 侵情況。
遭受攻擊時的回應方式主要是通知網 路管理者目前網路上所受到的威脅情況,
一般而言,可以分為被動式的回應與主動 式的回應。被動式回應主要就是產生警告 訊息通知網管人員目前正發生的攻擊狀 態。主動式回應會主動採取應變措施,以 保護該網域上的其他主機不繼續遭受到此 威脅。本研究的回應方式係利用即時記錄 進行分析,如遭受攻擊時超過危險等級
4
時,係採用螢幕顯示與響聲警告並利用撥 號系統撥出電話或行動電話通知相關人 員,並調高事件檢視器的靈敏度與記錄,
更改防火牆的設定。
遭受攻擊時系統還能夠存活,進行回 復過程時,我們將採用使系統設定為使用 較低一層級的運作方式來進行存活,這會 使得次要的服務暫時停止,而使必要的服 務運作正常,並將錯誤或遺失的資料回 復,修復或重新安裝程式以重建正常層級 的系統運作模式。
四、參考文獻
[1] 各作業系統漏洞:
http://161.53.42.3/~crv/security /security.html
[2]詳細的通訊埠列表 南加大資科學院:
ftp://ftp.isi.edu/in-notes/iana/
assignments/port-numbers
[3] 台灣電腦網路危機處理中心,”台灣地 區 Web 網站的安全性檢查報告”,
http://www.cert.org.tw/
[4] 台灣電腦網路危機處理中心,”政府網 路安全性之評估”,
http://www.cert.org.tw/
[5] 黃世昆,” 軟體系統安全弱點初探”,
資訊安全通訊第五卷,
December,1998.
[6] Software Vulnerability Analysis , http://www.cs.purdue.edu/coast/
[7] Carolyn P. Meinel,” How Hackers Brak in and How They are Caught ”,Scientific American ,Oct 1998,pp 98-105
[8] Heather Hinton, Crispin Cowan, Lois Delcambre, and Shawn Bowers. "SAM:
Security Adaptation Manager". To appear at the 1999 Annual Computer Security Applications Conference (ACSAC), Phoenix, AZ, December, 1999. http://www.cse.ogi.edu/DISC/pr
ojects/immunix/publications.html [9] Crispin Cowan, Calton Pu, and Heather
Hinton. "Death, Taxes, and Imperfect Software: Surviving the Inevitable".
Presented at the
New Security Paradigms Workshop 1998.
http://www.cse.ogi.edu/DISC/projects/i mmunix/publications.html
[10] B. Harris,R. Hunt, “TCP/IP security threats and attack methods”, Computer Communications 22 (1999) 885-897 [11]Atsushi Kara,”Secure Remote Access
from Office to Home”,IEEE
Communications Magazine,October 2001
