中 華 大 學

中 華 大 學 碩 士 論 文

題目：入侵防禦專家系統之研製 Design and Implementation of an Intrusion Prevention Expert System

系 所 別：資訊工程學系碩士班 學號姓名：E09202021 吳修文 指導教授： 曾 秋 蓉 博士

中華民國 九十四 年 七 月

中文摘要

網路危安事件時有所聞，諸如置換網頁內容、竄改個人資料，甚而企業組織 及國家安全機密資料外漏，輕則個人權益受損，重則企業組織及國家安全遭受威 脅，再再突顯網路安全的重要性。

目前企業組織廣為採用的網路安全防護機制乃是以可檢驗封包內容，並能主 動抵擋異常連線的入侵防禦系統為主。入侵防禦系統具有偵測異常連線並主動加 以攔截阻擋的優點，然而制式的安全控管規則難能滿足各個企業組織不同的網路 安全政策，同時也會有產生過多冗雜警訊的缺點。為了適應不同企業體在安全控 管政策上的差異，並且有效過濾冗雜警訊，減輕網路管理者的工作負擔，本論文 提出一套全新的網路安全架構，將專家系統導入入侵防禦系統當中，研製成一套

「入侵防禦專家系統」。

「入侵防禦專家系統」透過專家知識擷取介面，與使用這套系統的企業內部 網路管理人員進行溝通，以萃取出該企業體之網路安全控管政策，並將之轉換為 入侵防禦系統的安全控管規則，藉由專家系統進行推理以產生適當的防禦措施。

為了考慮企業內部多位網路管理人員對於安全控管的條件可能有認知上的差 異，本論文的知識擷取介面可將多位專家的知識加以整合，使其所產生的管理規 則更加客觀，並減少因個人認知偏差所可能產生的不良規則。

「入侵防禦專家系統」具有客製化的入侵防禦規則，增加系統效能、擴張系 統延展性、降低建置成本，並可適應不同企業體在安全控管政策上的個別需求，

以及具有防禦規則容易調整的優點。同時透過實驗分析發現，利用「入侵防禦專 家系統」客製化的入侵防禦規則可有效改善冗雜警訊過多的問題，提高網路安全 管理人員工作效率，以防範多變的駭客攻擊。

Abstract

With the prevailing of Internet and World Wide Web (WWW), network security becomes one of the most important issues in information technology. Presently, enterprises usually use intrusion prevention systems (IPS) to examine contents of data packages and block out unusual connections. IPS is better than the previously used firewalls and Intrusion Detection Systems (IDS) in that IPS provide active preventions rather than passive detections. However, the IPS used today usually incorporate predefined prevention rules, which are hard to satisfy individual needs of various enterprises.

In this thesis, a new IPS architecture called Intrusion Prevention Expert System (IPES) is proposed and developed. IPES is an expert system which prevents unusual connections according to the customized rules recorded in a knowledge base. A multi-expert knowledge acquisition tool is also developed to help extracting customized intrusion prevention rules from network management experts of the enterprise.

In this new architecture, intrusion prevention rules can easily be modified by enterprises to suit their special needs. Besides, by integrating knowledge from various network management experts, prevention rules will be more optimistic. Thus personal bias will be reduced. From the results of experiments, IPES performs better than firewalls and primitive IPS at reducing unusual connections.

致謝

擔任公職期間，在職進修最大的問題在於時間，承長官章昌文將軍及牟永銘 主任的厚愛，讓我有機會進修研究所的學業。

兩年來的學校教育，讓我重拾多年前的學生生活，惟有差別在現在有工作、

有家庭，再加上學校的課業，在儘有的時間中，學到很多理論與應用，但也不免 忽略很多應該注意的事情，所幸工作上有同事及長官的支持，家庭中有內人的全 心照顧。在學期間首先要感謝恩師曾秋蓉教授，她總以問少答多的態度，不厭其 煩地指導，使我能克服研究瓶頸，順利完成學業；感謝吳志祥學長的論文寫作指 導；感謝胞弟修武風雨無阻地周周往返接送學校；感謝胞弟修廉的研究探討；感 謝國防部同事的分憂解勞；當然還有內人幗霞的支持鼓勵與辛勞付出，最後是寶 貝辰辰，一個三歲的巧巧囡囝，總在夜闌人靜，入神寫作時，稚嫩又清脆地：「爸 爸，吃過飯了嗎？」，不驚思量：小子長大了。但是忙於課業，忙於工作，又有 多少時間陪他過童年。

再次感謝指導教授曾秋蓉老師，除了在課業上的指導外，也看到了她對學生 教學的認真態度及執著的精神，一位令人尊敬又平易近人的師長。最後要將這份 喜悅與我的父母一起分享，雖然他們再也看不到了。

目錄

中文摘要 ...I

ABSTRACT ... II 致謝 ... III 目錄 ...IV 圖目錄 ...VI 表目錄 ...VIII

第 1 章、 緒論 ... 1

1.1 研究背景...1

1.2 研究動機...2

1.3 研究目的...3

第 2 章、 研究背景與相關技術 ... 5

2.1 網路危安分析...5

2.1.1 網路攻擊手法...5

2.1.2 網路安全研究依據...6

2.2 網路安全架構的演進...8

2.2.1 防火牆...8

2.2.2 入侵偵測系統...9

2.2.3 入侵防禦系統...10

2.3 技術應用...12

2.3.1 封包擷取應用...12

2.3.2 防火牆應用...12

2.3.3 入侵檢測應用...13

2.4 專家系統...13

2.4.1 專家系統的意義與起源...13

2.4.2 專家系統的組成結構...14

2.4.3 專家系統的成員...15

2.5 小結...15

第 3 章、 入侵防禦專家系統(IPES)... 17

3.1 IPES 系統概述...17

3.2 IPES 系統架構...18

3.2.1 知識擷取暨整合子系統...19

3.2.2 封包擷取與管制子系統...20

3.3 IPES 網路安全知識的擷取及整合方法 ...20

3.3.1 定義管理知識的目標及範圍...22

3.3.2 建立概念表格...24

3.3.3 建立共同概念表格...26

3.3.4 計算專家權重...29

3.3.5 評等概念表格並計算概念權重...31

3.3.6 評等目標/概念表格 ...34

3.3.7 整合模糊知識及產生規則...37

3.4 IPES 封包監控流程 ...39

3.4.1 防火牆擷取流程...39

3.4.2 入侵偵測流程...40

3.5 小結...41

第 4 章、 IPES 系統實作 ... 42

4.1 系統設定操作介面...42

4.2 知識擷取暨整合模組...46

4.3 偵測程式...53

4.4 小結...58

第 5 章、 IPES 的實驗與評估 ... 59

5.1 實驗設備...59

5.2 實驗環境...60

5.3 實驗架構...60

5.4 實驗程序...62

5.4.1 封包擷取測試...62

5.4.2 阻斷連線測試...66

5.5 實驗分析...68

5.6 實驗評估與結果...70

第 6 章、 未來發展與結論 ... 72

參考文獻 ... 74

圖目錄

圖 2.1 防火牆架構說明...8

圖 2.2 IDS 入侵偵測系統架構說明圖 ...10

圖 2.3 IPS 網路規劃架構說明圖...11

圖 2.4 專家系統的基本組成結構...14

圖 3.1 IPES 系統架構圖 ...18

圖 3.2 多專家知識擷取及整合流程圖...21

圖 3.3 協調流程圖...26

圖 3.4 網路安全停止服務規則...38

圖 3.5.過濾式防火牆的封包分析方式...40

圖 4.1 登入畫面...42

圖 4.2 主畫面...43

圖 4.3 使用者資料設定畫面...44

圖 4.4 專家權數計算畫面...45

圖 4.5 選擇錯誤通知人員畫面...46

圖 4.6 設定錯誤問題畫面...47

圖 4.7 設定概念問題畫面...48

圖 4.8 概念語意選擇畫面...49

圖 4.9 概念相關權數畫面...50

圖 4.10 對談式互動畫面...51

圖 4.11 整合模糊知識產生規則畫面...52

圖 4.12 顯示結論畫面...53

圖 4.13 入侵偵測工具的啟動指令...53

圖 4.14 例行性命令...54

圖 4.15 主要執行程序...54

圖 4.16 入侵偵測紀錄檔格式...55

圖 4.17 正規化後的形式...55

圖 4.18 CLIPS 指令--LOAD 執行範例...56

圖 4.19 CLIPS 指令—LOAD-FACTS 執行範例 ...56

圖 4.20 CLIPS 規則格式範例...57

圖 4.21 防火牆(IPTABLES)管制條例 ...58

圖 5.1 實驗架構圖...61

圖 5.2 NESSUS 執行畫面...63

圖 5.3 NESSUS 掃瞄類別資料庫...63

圖 5.4 NESSUS 掃瞄 WINDOWS 類別資料庫細目...64

圖 5.5 NESSUS 設定掃瞄主機...64

圖 5.7 對照組 SNORT 封包擷取數量...65

圖 5.8 實驗組 SNORT 封包擷取數量...66

圖 5.9 發出警訊畫面...67

圖 5.10 阻斷連線畫面...67

圖 5.11 偵測區封包接收數量...69

圖 5.12 偵測區封包接收百分比...69

表目錄

表 2.1 網路攻擊手法...6

表 3.1 知識擷取的目標與入侵防禦因素之關係...23

表 3.2 網路安全概念簡寫...24

表 3.3 概念表格...26

表 3.4 專家一的概念表格...27

表 3.5 專家二的概念表格...27

表 3.6 專家三的概念表格...28

表 3.7 協調後產生的共同概念表格...28

表 3.8 各專家之權重評等...30

表 3.9 模糊變量成對比較矩陣(範例)...32

表 3.10 專家 1 成對比較矩陣...33

表 3.11 專家 2 成對比較矩陣...34

表 3.12 專家 3 成對比較矩陣...34

表 3.13 目標/概念表格 ...35

表 3.14 專家 1 所評定的目標/概念表格 ...35

表 3.15 專家 2 所評定的目標/概念表格 ...36

表 3.16 專家 3 所評定的目標/概念表格 ...36

表 5.1 實驗環境硬體清單...59

表 5.2 實驗環境軟體工具...59

表 5.3 以時間區隔作攻擊封包測試...68

表 5.4 IPES 與其他監控系統比較 ...71

第1章、 緒論

網路危安事件時有所聞，歷歷在目的事件突顯網路安全在資訊化過程中的重 要性。過去網路安全依賴防火牆達成網路安全的防護，但因防火牆防護能力不 足，所以進化以入侵偵測系統作為網路安全輔助工具；又因入侵偵測系統無法主 動抵擋異常連線，所以目前企業組織以入侵防禦系統作為主要的網路安全防護設 備，藉由主動即時的特性，提供內部網路的安全性。

由於現今的入侵防禦系統採用制式的防禦規則，難能滿足企業組織不同的安 全政策需求，也因此產生冗雜警訊過多的缺點，造成網路管理人員的負擔，因此 本研究提出一套全新的網路安全架構，將專家系統導入入侵防禦系統當中，形成 新的安全防護機制，稱之為「入侵防禦專家系統」(Intrusion Protection Expert System，簡稱 IPES)。「入侵防禦專家系統」具有客製化的入侵防禦規則可適應不 同企業體在安全控管政策上的個別需求，協助過濾冗雜警訊，並且具有防禦規則 容易調整的優點。

接下來將分別在 1.1 節、1.2 節及 1.3 節描述本論文的研究背景、研究動機以 及研究目的。

1.1 研究背景

作者擔任公職機關資訊工作已逾數年，期間建置許多網站提供民眾最新訊息 及溝通管道，包含新聞網站、網路電台、福利服務…等項目。也由於公職機關之 故，在網路安全的事件上，除了部份「小試身手」的不法人士，更有來自對岸「網 軍」的實力展示，致網路安全事件層出不窮，擔任資訊部門職務人員無時無刻都 以戒慎恐懼的態度處理不法的異常事件，深恐疏忽大意讓「網軍」有了可趁之機，

致使網頁遭致竄改，政府威信也將遭受考驗。

在服務機關資訊網路建置初期，僅以防火牆當作網路安全的第一道防線，也 是唯一的一道網路主幹安全機制。以如此的架構可以維持一段穩定狀態，隨著資

訊技術不斷創新，資訊安全警訊出現的頻率不斷增加，例如 2004 年 8 月起陸續 發生的「中國網軍木馬屠台」事件，包括內政部警政署與威盛電子在內的 88 個 民間廠商與政府單位電腦，遭到來自中國大陸駭客入侵植入木馬程式。行政院國 家資通安全會報研判，駭客應是進行資訊戰操演，伺機企圖癱瘓這些廠商與政府 單位的電腦系統。像這類事件傳達了強烈的訊息﹕強化網路與資訊系統安全，和 強化實體安全一樣重要。

1.2 研究動機

目前多數政府單位及民間大規模企業均已具備防火牆的裝置，然而這些網路 安全設備，遇到網頁被置換或內部主機遭植入「後門(Back Doors)」時，仍無法 有效的保障網路系統安全。主要原因是防火牆的建置只能以網址及埠口管制的方 式降低風險，但是無法百分之百地達到防止駭客入侵行為。因此目前網路安全專 家認為較佳的資訊安全防禦方法，是延伸多層次安全防禦機制，提高入侵者企圖 滲透企業內部之困難度，而使網路安全管理人員有足夠時間發現入侵行為，提高 防護措施。

針對網路安全市場，在多層次安全防禦機制中第二道的防禦機制 IDS 與 IPS 已成為愈來愈普遍的解決方案，二者均能有效地降低入侵成功的可能性。就整體 網路安全架構上而言，IDS 入侵偵測位置通常架設在防火牆與路由器之間，或非 軍事區(Demilitarized Zone，DMZ)區段及內部網路通往外部網路的網路主幹上，

透過 IDS 攻擊模式資料庫的入侵偵測比對系統，將警訊通知管理員，使其了解 是否有非法者正在進行入侵動作。

IPS 則是保護主機來防禦自外部與內部的破壞者，確實達到防禦的功能。就 IPS 功能面而言，可以分成「以出現頻率為基礎（rate-based）的 IPS」、「以內容 過濾為基礎（content-based）的 IPS」兩大類。然而 IDS 與 IPS 共通性的缺點是 經常出現冗雜警訊，當冗雜警訊頻率過高，管理人員疲於調查追蹤警訊，會造成

安全設備與網路安全管理人員的效率降低。如何降低冗雜警訊，提昇工作效率，

是網路安全管理人員所關心的課題。

而將專家系統植入入侵偵測系統，可藉由其客製化的優點改善網路安全管理 人員工作效率，其優點如下：

z 規則容易調整：專家知識的規則以純文字檔案方式導入，不需額外軟 體，規則調整容易。

z 縮短導入時程：專家知識的規則導入，不需再重新編譯，立即可推導事 實，縮短開發及導入時程。

z 符合實際需求：以實際工作狀況產生專家知識及規則，可適應不同企業 體在安全控管政策上的個別需求。

z 增加工作效率：過濾冗餘警訊，避免造成網路安全工作的負擔。

z 擴張系統延展性：未來可彈性整合 SNMP、syslog 等紀錄，可做更精確 判斷。

z 降低建置成本：專家系統給予適當的知識規則，可將正規化的資料作推 論、判斷，避免重覆投資分析設備。

1.3 研究目的

過去網路安全依賴防火牆藉由網路位址及埠口的管制，進而以檢驗封包內容 為方法的入侵偵測系統，到目前以檢驗封包內容為方法並能主動抵擋異常連線的 入侵防禦系統，仍有過多警訊及規則不易調整的問題。

因此本研究提出新的網路安全架構，將專家系統植入網路安全設備當中，形 成新的安全防護機制，成為「入侵防禦專家系統」。藉由專家系統的特性及優點，

使得「入侵防禦專家系統」的安全規則能夠客製化，以符合企業組織不同的安全 政策，並提供使用者介面，使得安全規則易於調整。

「入侵防禦專家系統」整合防火牆、入侵偵測系統及專家系統的優點，有效

改善過多的警訊通知，提高網路安全管理人員工作效率，防範多變的駭客攻擊。

在本文的章節中，第一章「緒論」說明研究的背景、動機與目的，第二章「研 究背景與相關技術」闡述目前駭客的攻擊手法與本研究的主要依據，另外概述專 家系統的意義、特性與組成結構，第三章「入侵防禦專家系統」說明多專家知識 的擷取方法與本研究使用的工具，第四章「IPES 系統實作」以 Windows 及 Linux 作業系統為基礎實作 IPES 系統，第五章「IPES 的實驗與評估」以圖表說明實驗 的成效，第六章「結論與未來發展」說明本研究的可行性與未來研究方向。

第2章、 研究背景與相關技術

網路攻擊事件屢見不鮮，因此在第 2.1 節「網路危安分析」述說目前駭客常 用的攻擊手法與國內因應攻擊事件而成立的國家資通安全會報，以及如何防範未 然，在第 2.2 節「網路安全架構的演進」闡述防火牆的功能、特性與優缺點進而 發展 IDS 與 IPS 的過程，以及 IDS 與 IPS 共同的問題--過多冗雜警訊，在第 2.4 節「專家系統」概述專家系統的特性、架構與組成。

2.1 網路危安分析

知己知彼，百戰不怠。要研究網路安全問題，就要先瞭解影響網路安全的問 題，本節中以 2.1.1 網路攻擊手法及 2.1.2 網路安全研究依據探討網路危安因素。

2.1.1 網路攻擊手法

在網路安全領域中，當系統發展的愈龐大，系統弱點發生的可能性也就愈 大，當存在一個安全弱點，駭客就會找到一種對應的入侵方式。所謂的安全弱點 (vulnerability) 與一般軟體所含的臭蟲(bug)，最主要的差別在於一般的臭蟲可能 只會使應用程式當掉，或者運算及處理錯誤，而安全弱點除了這些現象之外，還 可能產生安全上的漏洞，例如讓駭客取得管理者權限，或者在系統上種植「後門 (Back Doors)」等等。因此當使用者的電腦連上網路的時間愈長，意圖攻擊的人 便有更充裕的時間尋找入侵目標、探測該目標含有多少可以利用的安全弱點，進 而設計出可行的入侵方式。表 2.1 說明了目前駭客常用的系統弱點及攻擊手法：

表 2.1 網路攻擊手法

攻擊手法 說明

密 碼 猜 測 與 破 解 (Password Cracking)

通常使用受害者的生日、電話號碼…等猜測密碼，如果 沒有成功，駭客就對資料庫伺服器採取「暴力字典攻擊 法」以獲取高權限的密碼。

封 包 監 聽 (Packets Sniffing)

將網路所進行的活動及資料從中攔截並複製下來，以獲 得有利資訊。

ARP 欺 騙 (ARP Spoofing)

ARP 封包可能由遠端具特殊權限之使用者，透過進行阻 斷服務攻擊或透過錯誤的封包路由來阻斷或監聴網路。

DNS 欺 騙 (DNS Spoofing)

強制使用者將 DNS 查詢導引到一個冒名欺騙的 DNS 系 統上, 由該系統傳回假造的答案, 來欺騙該使用者。

連 線 劫 持 (Session Hijacking)

監看認證使用者和伺服器間的連線, 透過無線傳輸的未 經加密的資料流( 或是破解加密機制薄弱的資料流如 WEP ), 駭客便可以使用各種 Denial of Service (DoS) 工 具程式阻擋授權使用者.當合法使用者被阻擋後,駭客便 以假冒合法使用者的網路身分[14][35]。

後門(Back Doors)

在未經授權的情況下以工具程式遠距控制被感染的電 腦。透過 Backdoors 駭客幾乎能監看受影響電腦的所有活 動。

木 馬 程 式 (Trojan Horses)

木馬程式則會依附在正常的程式，或是設計成看起來是 有用的程式，而當使用者執行暗中附著木馬的正常程 式，木馬就會悄悄的執行被賦予的任務，例如監看使用 者行為。

Rootkits(Unix,Wind ows)

當入侵成功後，駭客會以 Rootkits 抹掉入侵系統的相關記 錄以及隱藏行蹤，讓管理者難以發現駭客的蹤跡。

緩 衝 區 溢 位 (Buffer Overflow)

主要是利用服務程式的陣列大小沒有限制的概念，當輸 入一個過大的數值，回傳值會被蓋掉，即使輸入錯誤的 數值，也會因為這樣而成功的登入電腦。

格式化字串(Format String)

這是一項系統服務的弱點，該弱點允許遠端攻擊者以 DHCPD 程式的權限(通常是 root)去執行任意程式。

輸 入 驗 證 (Input Validation)

駭客利用惡意輸入的字串,在受害者的系統執行 script 或 是 SQL 指令,並藉此存取受害者的資料。

2.1.2 網路安全研究依據

有鑑於網路資安事件的發生與處理早已經是一個國際化的議題，對於組織間 相互協同處理資安事件的需求也更形重要，任一地點、任一組織已無法擁有足夠 的能量以及資訊去面對處理逐漸增加的網路資安事件。行政院於 90 年 1 月 17 日第 2718 次院會通過「建立我國通資訊基礎建設安全機制」計畫，並於行政院

下設立國家資通安全會報，由行政院院長兼任召集人，下設綜合業務組、技術服 務中心、標準規範工作組、稽核服務工作組、資訊蒐集工作組、網路犯罪工作組 及通報應變工作組等七個工作組，分別由行政院 NICI 小組、經濟部、國科會、

法務部及主計處等單位負責推動資通安全基礎建設工作。

國家資通安全會報(TWCIRC)的主要工作目標茲條列如下:

z 對於資安事件可以與國內相關組織協調出確切的回應以及處理方式 z 提供一個國內外資安相關資料的資訊交換中心

z 提供國內資訊人員資安訓練以提高其對資訊安全的警覺 z 協助國內相關機關成立所屬資安事件處理小組

z 對於政府機關提供安全政策制定時的相關資料

而本研究有關網路安全方面的資料，多採自國家資通安全會報技術服務中心 的研究資料。其中有關網路安全因素部份以該中心石翔任先生(GCIH，RHCE) 研 究報告為主軸，將 92 年資安演習成功手法與不成功手法之模擬攻擊方式列為專 家參考之依據。列舉如下：

z FrontPage 伺服器權限管控不當 z SQL 隱碼攻擊(SQL Injection) z 網芳無密碼或弱密碼

z Solaris 系統登入機制緩衝區滿溢(Solaris Login Buffer Overflow) z MSSQL 伺服器預設管理帳號空密碼

z Samba 伺服器緩衝區滿溢( Buffer Overflow) z IIS 萬國碼漏洞( IIS Unicode)

z 非對稱數位用戶迴路遠端終止單元(ATU-R)預設密碼

z SQL 伺服器名稱解譯機制緩衝區滿溢(SQL Server Resolution Buffer Overflow)

z OpenSSL 緩衝區滿溢(Buffer Overflow)

z Apache 區塊編碼的緩衝區滿溢(Apache Chunk Buffer Overflow)

z 微軟 IIS ASP 網頁程式緩衝區滿溢(Buffer Overflow) z Wu-ftpd 檔案伺服器緩衝區滿溢(Buffer Overflow) z 其他

2.2 網路安全架構的演進

過去網路安全依賴防火牆達成網路安全的防護，但因防火牆防護能力不足，

所以進化以入侵偵測系統作為網路安全輔助工具；又因入侵偵測系統無法主動抵 擋異常連線，所以目前企業組織以入侵防禦系統作為主要的網路安全防護設備，

藉由主動即時的特性，提供內部網路的安全性。在本節將分別探討 2.2.1 防火牆 2.2.2 入侵偵測系統 2.2.3 入侵防禦系統。各個網路安全設備的特性、優點及缺點。

2.2.1 防火牆

防火牆(Firewall)的源起自從 1986 年美國 Digital 公司在 Internet 上安裝了全 球第一個商用防火牆系統後，便提出了防火牆的概念，亦即每當有網路封包要進 出或流出這台防火牆主機時候，防火牆就會根據事前所定義過濾規則，逐一檢查 每個網路封包是否有權利要繼續傳送或者接收該網路封包，否則就將該網路封包 丟棄或拒絕，如圖 2.1 防火牆特色說明圖所示。

網際網路 主幹網路

集線器

防火牆 個人電腦

網路駭客

圖 2.1 防火牆架構說明

第二代防火牆，也稱代理伺服器(proxy)，它用來提供網路服務的控制，也就 是從外部網路與被保護的內部網路中間作封包轉接，這種方法可以有效地防止對 內部網路的直接攻擊，安全性較高。

綜觀防火牆特色與優點如下：

z 讓主幹網路具備有封包過濾的能力。

z 可以設定安全規則管制外部網路存取內部網路(Intranet)。

z 可以阻擋內部網路電腦嘗試與外部不正常連線的行為。

z 技術已經非常成熟穩定，部份作業系統有內建防火牆。

但是防火牆也有以下的缺點：

z 無法針對應用層(Application)等級做更進階的過濾分析。

z 無法有效阻擋DoS攻擊。

然而網路攻擊手法日新月異，以網路位址及埠口作為網路安全管制手段，已 無法抵擋多變的攻擊行為，為改善防火牆功能，所以產生過濾封包內容的 IDS。

2.2.2 入侵偵測系統

面對網路上層出不窮攻擊和入侵事件，便有入侵偵測系統(Intrusion Detection System，IDS)設備產生，透過 IDS 可以分析網路中流量封包是否有夾帶惡意行為 的封包[6]，一旦發現到這樣網路封包，IDS 便會發送警訊通知給網路安全管理人 員，讓網路安全管理人員可以根據這些異常事件來採取相關動作。

為了要能夠分析網路上是否有異常行為發生，必須要讓 IDS 能夠看到網路 上所有的網路流量封包[11]，但受到網路交換器的限制，無法使用簡單的方式使 IDS 直接看到所有的網路封包流量，必須透過集線器或高階交換器的 Port Mirror 功能或集線器(HUB)將其他網路介面上的封包流量複製一份到 IDS 上，如此便可 看到其他網路介面上網路流量封包，如圖 2.2 IDS 入侵偵測系統架構說明圖所 示。

圖 2.2 IDS 入侵偵測系統架構說明圖

IDS 發展確實能讓網路管理人員瞭解網路上是否有異常狀況發生；然而 IDS 僅能發送網路異常事件通知，而無法主動阻止惡意行為繼續蔓延、擴散，以致無 法達到保護網路正常運作的需求，而且對於網路異常事件內容上，也存在許多假 警報，導致每天產生數千筆異常網路事件，讓管理人員無法真正找出問題根源。

綜觀 IDS 特色與優點如下[20]：

z 可以分析網路流量中是否有惡意或攻擊行為。

z 不會影響整體網路架構與運作效能。

z 透過 Mirror Port 等方式蒐集網路流量。

z 有異常行為可以通知網路管理人員。

但是 IDS 仍有以下的缺點：

z 會有過多的警訊情況產生。

z 發現異常行為現象，無法做進一步阻擋動作。

因此，如何主動阻擋異常的連線封包，減少網路安全管理人員的工作負擔的 槪念形成，便發展出主動防禦的網路安全設備—入侵防禦系統。

2.2.3 入侵防禦系統

由 於 IDS 有 著 許 多 問 題 存 在 ， 所 以 接 下 來 有 入 侵 防 禦 系 統 (Intrusion Prevention System，IPS)的發展。IPS 除了具有 IDS 功能，更可以針對這些重大 異常網路破壞行為提供即時封鎖，讓這些異常惡意行為不會再繼續擴散，這樣可 以保證企業內部網路不會受到不正常網路行為影響而導致網路癱瘓或當機情況 產生。

IPS 需要分析所有網路上流量封包，不過多數 IPS 採用直接安置(in-line)於網 路主幹上，以即時分析方式來彌補 IDS 功能上的不足，如圖 2.3 IPS 網路規劃架 構說明圖：

圖 2.3 IPS 網路規劃架構說明圖

透過這樣模式 IPS 需要安裝在主幹網路上，如此所有要透過核心交換路由 器的網路流量封包，都需要經過 IPS 分析、過濾，判斷，確定沒有問題之後才可 通行。

不論 IDS、IPS 都需要透過特徵定義檔來分析網路封包中的內容。因此 IPS 與 IDS 同樣都會造成許多冗雜警訊，徒增 IT 人員的困擾。

由以上說明瞭解 IPS 特色與優點如下：

z 可以分析網路流量中是否有惡意或攻擊行為。

z 多數採用直接安置於網路主幹方式來建置。

z 有異常行為可以通知網路管理人員。

z 網路安全有異常跡象時，可以立即拒絕悪意存取的連線。

但是 IPS 還是有以下缺點：

z 會有過多的警訊情況產生。

z 針對不同企業組織的網路安全政策，不易調整判斷規則。

入侵防禦系統仍然無法改善過多警訊的缺點，並且難能滿足企業組織不同的 安全政策需求，為了適應不同企業體在安全控管政策上的差異，並且有效過濾冗 雜警訊，減輕網路管理者的工作負擔，本論文提出一套全新的網路安全架構，將 專家系統導入，藉由專家系統的特性及優點，使得「入侵防禦專家系統」的安全 規則能夠客製化，以符合企業組織不同的安全政策，並提供使用者介面，使得安 全規則易於調整。在下面兩節討論「入侵防禦專家系統」運用的工具軟體：

2.3 技術應用

本節主要針對研究中運用的工具軟體作概略性的介紹，包括 2.3.1 封包擷取 應用—Ethereal，2.3.2 防火牆應用—Iptables，2.3.3 入侵防禦應用—Snort。以上 工具軟體皆為 Linux 作業系統中的經歷多年測試使用的軟體。

2.3.1 封包擷取應用

封包擷取工具 Ethereal 是一款免費的網路協議分析程式。藉由這個程式，既 可以直接從網絡上抓取封包資料進行分析，也可以對由其他嗅探器抓取後儲存的 資料進行分析[48]。並提供交互的方式瀏覽抓取到的封包資料，查看每一個封包 資料的表頭和詳細內容。

2.3.2 防火牆應用

防火牆軟體 iptables 是 Linux 所使用的封包過濾(Packet filtering)工具，前身 的名字叫 ipchains。iptables 只能控制封包的去向，並檢查封包內的標頭(header)，

而無法檢查封包的內容，因此不是防毒、防駭軟體，通常將 iptables 設定成防火

牆及路由器。

2.3.3 入侵檢測應用

入侵檢測工具 Snort 是一款輕量級的網絡檢測系統，能夠在 IP 網絡上進行即 時的流量分析。它不僅能進行協議分析、內容檢索、內容檢驗，而且能用於偵測 諸如緩衝溢出、埠口掃瞄、CGI 攻擊、SMB 探測、操作系統等大量的攻擊或非 法探測。Snort 使用靈活的規則去描述哪些流量應該被收集或被忽略，並且提供 一個模組化的探測引擎。

2.4 專家系統

專家系統自 1937 年構想以來，歷經孕育期、誕生期、開創期、成長期以至 到 1990 年後的成熟期，已進入商業競爭時代，大量專家系統被廣泛應用於各行 業[3]。本節分別介紹如下：2.3.1 專家系統的意義與起源，2.3.2 專家系統的特性，

2.3.3 專家系統的組成結構，2.3.4 專家系統的建立。

2.4.1 專家系統的意義與起源

專 家 系 統 並 不 是 最 近 才 出 現 的 。 第 一 個 專 家 系 統 是 在 1956 年 由 AllenNewell、HerbertSimon 及 J.C.Shaw 所發展[19]。其後，許多專家系統也紛紛 隨之建立，但在前期多半是屬於研究性質的雛形系統。1970 年代之後，人工智 慧與專家系統專用的程式語言及軟體開發工具逐漸開始發展，而各種知識表示法 及演算法也被廣泛地研究，使得專家系統的建構與發展方式產生了不小的改變。

在 1980 年代後期開始，專家系統便能夠逐漸脫離實驗室的研究而廣泛應用於各 行業中。

專家系統係由知識庫、推論引擎及介面為基礎而組成的電腦化系統，其目的 在對於某一特定領域的問題作判斷、解釋及認知。基本上，當此系統所能處理的

問題，其複雜性、對專業知識的需求、以及其執行的信度及效度足可與專家相匹 敵時，稱之為專家系統。

2.4.2 專家系統的組成結構

一個典型的專家系統通常包括了三部分：知識庫、推論機與介面，其基本架 構可以圖 2.4 來表示。[39]

圖 2.4 專家系統的基本組成結構

其中，知識庫組織事實與規則，推論機藉由知識庫中的事實與規則，在使用 者所輸入的條件基礎下勾勒出結果，而使用者介面則是使用者與專家系統間的溝 通橋樑。[40]以下便分別對此主要架構作進一步的介紹。

2.4.2.1 知識庫

知識庫(Knowledge-Base)[7]系統的主要工作搜集人類的知識，將之有系統地 表達或模組化，使電腦可以進行推論、解決問題。知識庫中包含知識本身，也就 是物質及概念之間彼此的關係，以及人類專家所特有的經驗法則。知識庫所包含 的是可做決策的「知識」，而傳統資料庫的內容則是未經處理過的「資料」。

2.4.2.2 推論機(Inference Mechanism)

推論機[1]是藉由演算法或決策策略來進行與知識庫內各項專門知識的推 論，依據使用者的問題來推得正確的答案。

推論機解決問題的控制策略：有「前推式(Forward Chaining)」與「回溯式 (Backward Chaining)」兩種。「前推式」是從已知的條件中尋找答案，利用資料 逐步推出結論；「回溯式」則先設定目標，再證明目標成立。

2.4.2.3 介面(Interface)

介面[2]的主要功能是提供相關資料的輸入與輸出，可分為三個主要部分：

z 發展者介面：目的在方便協助系統發展者進行知識粹取、知識庫與推論 機的編輯與修訂，並能對專家系統進行測試、記錄，並說明系統運作的 過程、狀態與結果。

z 使用者介面：即專家系統與使用者之間的溝通橋樑，強調系統使用的親 和性與簡易性，提供多種的操作方法，並指示正確的行為模式。

z 系統介面：為系統與其他軟硬體設備的整合管邈，例如連接其他資料庫 系統、外部檔案、繪圖軟體或感測器等，均需透過此系統介面來進行。

2.4.3 專家系統的成員

專家系統的開發通常是由一群學科領域專家、程式設計師及知識工程師 (Knowledge Engineer)所組成，其中知識工程師在專家系統的建立中通常經由訪 問專家及其他方法，決定系統內之決策法則與知識，並不斷測試、修正，以開發 出一個有效的專家系統。

2.5 小結

「入侵防禦專家系統」透過專家知識擷取介面，與使用這套系統的企業內部

網路管理人員進行溝通，以萃取出該企業體之網路安全控管政策，並將之轉換為 入侵防禦系統的安全控管規則，藉由專家系統進行推理以產生適當的防禦措施。

為了考慮企業內部多位網路管理人員對於安全控管的條件可能有認知上的差 異，本論文的知識擷取介面可將多位專家的知識加以整合，使其所產生的管理規 則更加客觀，並減少因個人認知偏差所可能產生的不良規則。

「入侵防禦專家系統」整合防火牆、入侵偵測系統及專家系統，具有客製化 的入侵防禦規則可適應不同企業體在安全控管政策上的個別需求，以及防禦規則 容易調整的優點。同時透過實驗分析發現，利用「入侵防禦專家系統」客製化的 入侵防禦規則可有效改善冗雜警訊過多的問題，提高網路安全管理人員工作效 率，以防範多變的駭客攻擊。

第3章、 入侵防禦專家系統(IPES)

專家系統的主要特性在於規則修改容易，這種特性正可因應企業組織不同的 網路安全政策需求。本研究「入侵防禦專家系統」(Intrusion Prevention Expert System，IPES)主要的目的就是將入侵偵測與專家系統兩種概念結合成為一個新 的網路安全架構。

研究中以多專家知識整合為設計方法，其必要性如下：

z 領域知識的完整性：即使同一領域的專家，對於問題的看法及解決方式 亦各有不同見解，以多專家知識整合的方式可以聯集各個專家的意見，

使領域的專業知識更臻完整。

z 消弭個人意見的主觀性：以模糊理論整合多位專家的知識，可以中和不 同的專業概念，避免個人的主觀意見。

各節的說明如下：3.1「IPES 系統概述」闡述系統主要的五種特性，3.2 「IPES 系統架構」說明系統以知識擷取暨整合子系統及封包擷取與管制子系統劃分功 能，3.3 「IPES 網路安全知識的擷取及整合方法」為本研究之核心，說明如何擷 取並整合多位專家之經驗與知識，3.4 「IPES 封包監控流程」以圖文方式述說網 路安全機制之管控，3.5 「IPES 技術應用」略述研究中所使用的軟體工具及功 能。

3.1 IPES 系統概述

本研究針對目前市面網路安全設備 IPS 冗雜警訊過多，以致無法真正的迎合 企業組織的需求，因此 IPES 系統改善 IPS 的缺點並具有以下特性：

z 系統定時監控

為避免即時監控將造成系統資源負荷過大，因此IPES每分鐘判斷一次由 IDS產生出的訊息。

z 封包多元過濾

網路攻擊的手法玲瑯滿目，所以系統具有偵測常見攻擊手法的各種規則。

z 即時通知管道

即時通知管道必須提供可以通知網路安全管理者或相關人員的管道(如 E-Mail、等通知管道)。

z 提供使用者介面(GUI)

提供使用者介面利用對談式介面擷取專家的管理知識，並自動經由運算轉 換為網路安全管理規則。

z 建立知識庫

根據從多名專家身上所擷取出的知識[8]，加以整合成有用的知識庫，對 於未來網路安全問題的偵測和新進人員的訓練上提供相關資料與幫助。

3.2 IPES 系統架構

IPES 共分為兩大子系統，分別為知識擷取暨整合子系統及封包擷取與管制 子系統，系統架構圖如圖 3.1，以下各節將介紹系統模組。

知識整合模組 管理規則產生 模組

推論引擎 入侵偵測模組 正規化模組

事實

規則

封包進入 防火牆 內部網路

攔截動作

知識庫 規則庫

知識擷取模組知識擷取模組知識擷取模組

3.2.1 知識擷取暨整合子系統

這個子系統是負責專家知識擷取暨整合的工作，它包含了知識擷取模組、知 識整合模組、知識庫、規則產生模組、規則庫等五項成員[28][29]。在這個子系 統中提供互動式對談介面，讓專家可以利用選單選擇的方式將網路安全管理知識 留存下來，及而經由知識整合模組將所有專家所提出的管理知識做整合的動作，

繼而產生管理規則，以下為各模組的功能[12]：

z 知識擷取模組

知識擷取模組是負責專家的知識擷取工作，它提供了圖形化介面的互動過 程讓專家可以利用選單選擇的方式，輕易地將平日累積的管理經驗與知 識，留存於系統之中。如果專家認為先前所留下管理知識有誤，需要進一 步的修改，可以透過這個模組做進一步的更改。

z 知識整合模組

知識整合模組是將所有參與知識擷取的專家所匯集的知識做整合的工 作，它利用新的知識整合方法加以整合，將專家的知識彙整後取出其精華 並轉換型態，並儲存於知識庫當中，作為產生網路安全管理規則的資料源。

z 知識庫

專家的知識透過擷取和整合的模組後，轉換格式並儲存於知識庫之中以利 未來的運用。

z 規則產生模組

經過知識的擷取及整合過程之後，經由規則產生模組，可以轉換所擷取的 知識並且產生出網路安全規則，這個模組將原本的模糊型態的知識轉化為 數值型態的規則使得系統程式可輕易的利用程式語言進行比對的工作 [12]。

z 規則庫

所有由規則產生模組所產生的規則都儲存至規則庫當中，除了方便系統在 監控時進行運用之外，更可以重新進行知識擷取及更新規則庫中的規則。

3.2.2 封包擷取與管制子系統

這個子系統是負責封包擷取與管制的工作，它包含了防火牆、入侵偵測模組 及正規化模組等三項成員。在這個子系統中運用現有的網路安全機制檢驗每個進 出封包的來源位址、目的位址、來源埠、目的埠更包含封包的內容，以下為各模 組的功能[5][18]：

z 防火牆

防火牆在ISO的七層架構中是位於第三層的設備，主要的功能在於攔截進 出封包，攔截依據有來源IP位址、目的IP位址、來源埠、目的埠等，因此 發現異常狀況時，可以下達指令，使防火牆進行攔截動作。

z 入侵偵測模組

入侵偵測模組最主要的功能是可以對進出的封包內容依規則進行檢驗，當 發現異常狀況時，會發出警訊，但冗雜警訊是最讓人詬病之處，所以需要 透過專家系統予以過濾。

z 正規化模組

正規化模組最主要是將入侵偵測模組察查到異常封包所送出的訊息予以 格式化，讓專家系統能接受入侵偵測模組送來之訊息。

3.3 IPES 網路安全知識的擷取及整合方法

本節將針對如何利用新的知識擷取整合法來獲取網路安全管理專家的知 識。資訊安全的最主要靈魂來自於網路安全政策的規則，這種新的知識擷取及整 合 方 法 稱 之 為 多 專 家 模 糊 整 合 法 (Fuzzy Integration for Numerous Experts ， FINE)[10][22]，流程如圖 3.2 所示，一般目前市面上的 IPS 系統大部份是以特徵

比對及設定規則為主，但是 IPS 安裝至主幹網路後經常發生冗雜的警訊，其原因 可能是包括了：新的駭客攻擊手法、相同的規則無法適應不同的企業組織環境、

網路流量過高以致 IPS 不及處理···等等，所以常會發生網路管理人員因為過多 的冗雜警訊而疲於奔命，造成了人力及資源的浪費。

所以本節希望能利用改良式的知識擷取暨整合方法，迅速且正確的從網路安 全管理專家的身上將珍貴的專業管理知識擷取出來，然後儲存於知識庫當中，並 且將這些知識轉換為網路安全規則，提供給防火牆在進行封包過濾的依據，而且 還可以隨著環境的改變，即時讓專家更新原先所擷取出的知識，並且重新產生管 理規則，使得這套網路防禦系統過多的冗雜警訊，符合企業組織的狀態。

本節分為：3.3.1 定義管理知識的目標及範圍。3.3.2 建立概念表格。3.3.3 建 立共通概念表格。3.3.4 計算專家權重。3.3.5 評等概念表格並計算概念權重。3.3.6 評等目標/概念表格。3.3.7 整合模糊知識及產生規則。

知識整合及 規則產生 概念表格一

概念協調

概念表格二 概念表格 n

共同概念 表格

模糊規則 共通目標／

概念表格

概念 資料庫

知識庫 對共同概念表格

進行評等

專家一 專家二 專家 n

圖 3.2 多專家知識擷取及整合流程圖

3.3.1 定義管理知識的目標及範圍

在進行知識的擷取之前，應該相當清楚的了解所要擷取的是哪個領域方面的 知識？而這項領域的知識擷取範圍為何？就如同在建置資訊系統時一樣，在事前 必須了解網路安全的目的為何？它要解決哪些問題？網路安全的範圍到哪？這 些工作在知識擷取進行之前一樣是需要進行的，因為如果目標未能在事前訂定清 楚，則有可能會發生知識擷取方向錯誤，所擷取的知識沒有效用的狀況發生，使 得收集回來的知識所能發揮的效果變得有限，而範圍的確定，可以集中思考方向 朝範圍目標建構知識庫，這是要收集最關鍵的知識之前必須要進行的工作[25]。

所謂的目標，可能就是解決問題的辦法、所可能發生的問題、未來可能的走 勢、所要採取的行動等。舉例來說：要擷取一個網路安全的知識，那麼它的範圍 應該是可能導致網路危安的原因，而其目標則為可能導致於網路流量異常的問 題，例如：使用系統預設密碼、緩衝區滿溢攻擊···等等。

回歸研究主軸，引發資訊安全的原因與攻擊手法種類繁多，預防的措施以 Linux 系統上經常被運用的 IDS 軟體—Snort-2.3.3 而言，共計區分 50 個類別，就 IDS 機制來看，網路進出的封包都採逐一過濾檢查，為避免過多的判斷規則影響 網路效能，在本研究中概念名稱來源以行政院國家資通安全會報技術服務中心-- 石翔任研究報告為主軸，將 92 年資安演習成功手法與不成功手法之模擬攻擊方 式列為專家參考之依據。並請專家制定造成資訊危安情形有哪些原因，進而設定 資訊安全的臨界值，如 SQL 查詢資料內容異常次數何謂「正常」，何謂「嚴重」。

擷取到專家的知識樣本後，將資訊危安所有面臨過的事件匯整至系統上，最後產 生出規則。資訊危安狀況一旦發生，就可以利用這套規則來分析真正的危安因素 為何？

定義好管理知識的範圍後，將知識擷取的目標則訂定為資訊危安狀況發生時 與它相互影響的關係，如表 3.1 所示。

表 3.1 知識擷取的目標與入侵防禦因素之關係

概念名稱 說明

FrontPage Server Extension 權限管控不當

FrontPage Server Extension 可建立豐富的可延伸標 記語言 (XML) 資料驅動網站及即時的 Web 解決 方案

SQL Injection 資料隱碼

SQL Injection 是 一 種 未 做 好 輸 入 查 驗 (Input Validation)的問題，即在撰寫應用程式時，沒有對使 用者的輸入做妥善的過濾與處理，便將其組合成 SQL 指令，傳送給 SQL server 執行。

網芳無密碼或弱密碼

Windows 主機使用 Server Message Block (SMB)協 定，或稱為 Common Internet File System (CIFS)的協 定，實現 windows 主機可以將另一 Windows 主機目 錄檔案當成是本機上的目錄檔案一般地使用，即所 謂的網路芳鄰分享。

Solaris Login Buffer

Overflow 緩衝區滿溢 本研究不包含 Solaris 系統，故不列入檢測。

MSSQL Server 預設管理帳 號空密碼

SQLSnake 網蟲利用餵射密碼的系統預設的管理預 設帳號(或 "sa" 帳號)來進行入侵，對於任何系統來 說，確保每一個系統帳號都確實受到密碼保護，不 使用帳號的帳號也要確實停用或刪除，是至為重要 的。

Samba Buffer Overflow 緩 衝區滿溢

當 Samba server 收到特殊格式的封包並嘗試重組封 包(re-assemble)時，會導致 samba server 產生 buffer overflow。造成攻擊者可寫入敏感的記憶體區塊，而 達成執行任意程式碼的目的。

IIS Unicode 漏洞

微軟 IIS 4.0 和 5.0 都存在利用擴展 UNICODE 字元 取代"/"和"\"而能利用"../" 目錄遍曆的漏洞。未經授 權的用戶可能利用 IUSR machinename 賬號的上下 文空間訪問任何已知的文件。

ATU-R 預設密碼 本研究不包含 ATU-R 設備，故不列入檢測。

SQL Server Resolution Buffer Overflow 解析緩衝 區滿溢

以 SQL Server 為目標，利用 Microsoft SQL Server 2000 解析服務 (Resolution Service)的兩個弱點，使 用 keep-alive 功能對其它主機展開阻斷服務(denial of service)攻擊。

OpenSSL Buffer Overflow

OpenSSL 是一套被大量採用，原始碼開放的 Secure Sockets Layer ( SSL v2/v3 ) 及 Transport Layer Security ( TLS v1 ) 程式實作，同時也是個多用途的 編碼函式庫。SSL 和 TLS 提供較高層通訊協定 ( 如 HTTP )的伺服器端和客戶端之間的安全連 線。目前在 OpenSSL 的伺服器端和客戶端上發現 了四個可被遠端攻擊的安全弱點。

Apache Chunk Buffer Overflow

Apache web server 當收到以 Chunked 方式編碼的 資料，因為無適當計算接收 buffer 大小的機制，以

致發生 buffer overflow 或是 race condition 的情 況，結果會造成攻擊者可以執行系統上任意程式的 弱點。

IIS ASP Buffer Overflow

IIS 許多 ISAPI extensions（包含 ASP, HTR, IDQ, PRINTER, 和 SSI extensions）都含有緩衝區溢位的 弱點。著名的例子 .idq ISAPI extensions 弱點，而 Code RED 和 Code RED II 蠕蟲都是使用此弱點來 進行攻擊。攻擊者可藉由假造請求造成阻斷服務及 以網頁伺服器的權限執行任意的程式碼或指令 Wu-ftpd Buffer Overflow 本研究未架設 FTP 服務，故不列入檢測。

(資料來源：92 年資安演習成功手法與不成功手法之模擬攻擊方式)

確立好目標與範圍之後，就可以開始進行專家知識的擷取及整合工作了。以 下以簡寫替代冗長的概念名稱，簡寫表如表 3.2：

表 3.2 網路安全概念簡寫

概念名稱 簡寫名稱

FrontPage Server Extension 權限管控不當 FP-Pri SQL Injection 資料隱碼 SQL-Inj

網芳無密碼或弱密碼 Netbuei-PW

MSSQL Server 預設管理帳號空密碼 SQL-PW Samba Buffer Overflow 緩衝區滿溢 Samba-BO

IIS Unicode 漏洞 IIS-Uni

SQL Server Resolution Buffer Overflow 解析緩

衝區滿溢 SQL-BO

OpenSSL Buffer Overflow OSSL-BO Apache Chunk Buffer Overflow Apache-BO IIS ASP Buffer Overflow IIS-BO

3.3.2 建立概念表格

在第一步確立好目標與範圍之後，接下來就是請專家們自行建立起概念表格 的部分[30]。在介紹如何進行概念表格的建立之前，首先要來釐清何謂概念？所 謂的概念就是用來定義目標的屬性，舉例來說，SQL Injection 資料隱碼是定義 SQL 安全性漏洞的屬性。而概念表格包含了許多欄位，這些欄位又是用來解釋 概念本身的一些特徵，也就是概念的屬性，這有點類似於物件導向的觀念。而概 念表格包含了幾個欄位，分別是：

z 概念名稱：專家領域知識的項目，以網路安全知識擷取這個案例來說，它的 概念名稱有可能是 SQL Injection 資料隱碼、MSSQL Server 預設 管理帳號空密碼、Samba Buffer Overflow 緩衝區滿溢等等。

z 單位：這是形容概念本身以何來做計算，例如，SQL Injection 資料隱碼攻擊 這個概念的單位可能是次數／分鐘。

z 語意型態：這牽涉到人類自然語言的領域，這主要的是人類語言如何去表達 對於概念本身的強弱度，例如，對於 Samba Buffer Overflow 緩 衝區滿溢這個概念，人類語意可能會以 Samba Buffer Overflow 緩 衝區滿溢通知、警告、嚴重滿溢等語意來表達概念的強弱。

z 臨界值：上一個屬性是語意型態，運用自然語言來形容概念的強弱度，然運 用在監控規則時仍嫌模糊，所以需要一種以數字型態表達的數值 資料來輔助界定語意強度。例如，Samba Buffer Overflow 緩衝區 滿溢的語意型態為（通知/警告/嚴重），而其臨界值為（3，5，7）。

z 概念敘述：簡單的來說這就像資料庫中描述資料內容的資料（Meta Data）一 樣，是用人類自然語言來具體解釋概念到底是什麼。在此將以 Linux 作業系統上的 IDS 程式工具—Snort 對應的判斷規則填入。

以上五個欄位構成了一個概念表格。以下為網路安全知識擷取的範例表格，

如表 3.3

表 3.3 概念表格

概念簡寫 單位 語意型態 臨界值 概念敘述

FP-Pri 次數/分鐘 通知/警告/嚴重 2/7/12 web-frontpage.rules SQL-Inj 次數/分鐘 通知/警告/嚴重 2/4/7 sql.rules

Netbuei-PW 次數/分鐘 通知/警告/嚴重 1/4/8 netbios.rules SQL-PW 次數/分鐘 通知/警告/嚴重 2/4/8 sql.rules Samba-BO 次數/分鐘 通知/警告/嚴重 3/6/9 exploit.rules IIS-Uni 次數/分鐘 通知/警告/嚴重 2/5/9 web-iis.rules SQL-BO 次數/分鐘 通知/警告/嚴重 3/6/9 oracle.rules

3.3.3 建立共同概念表格

前步驟讓專家依照自身的專業知識完成概念表格的填製工作，接下來要將上 一步驟中所設定的概念，經由協調過程取得共同結論後，填入共通概念表格當 中，其流程如下圖 3.3。

自動化重複 擷取

這是一個定義 清楚的問題嗎

是否已經存在 寓意相同的概念

協調過程 自動化重複

語意比對

重複概念擷取

否 是

是

否

圖 3.3 協調流程圖

重複的現象，或是因為個人的文字概念理解不同而產生兩個專家對於同一個概念 卻以不同的概念名稱加以命名，雖然在名稱上面所用的文字不盡相同但是實際上 三位專家卻是指著同一個概念。例如：隱碼攻擊、SQL injection，兩個概念其實 是指同一件事情，只是在語意上運用不同文字去表達。不同的專家對於重複的概 念可能在臨界點上的定義也有所不同，例如：對於隱碼攻擊(次數／分鐘)這項概 念，分別為（2，5，9），（3，5，7）。此時就需要一個協調的過程，利用專家們 協調的過程取得共通的概念表格，依上一節的例子做延伸如表 3.4、表 3.5、表 3.6。

表 3.4 專家一的概念表格

概念簡寫 單位 語意型態 臨界值 概念敘述

FP-Pri 次數/分鐘 通知/警告/嚴重 2/5/7 web-frontpage.rules SQL-Inj 次數/分鐘 通知/警告/嚴重 2/3/5 sql.rules

Netbuei-PW 次數/分鐘 通知/警告/嚴重 1/3/5/ netbios.rules SQL-PW 次數/分鐘 通知/警告/嚴重 1/3/5 sql.rules Samba-BO 次數/分鐘 通知/警告/嚴重 5/7/9 exploit.rules IIS-Uni 次數/分鐘 通知/警告/嚴重 2/5/8 web-iis.rules SQL-BO 次數/分鐘 通知/警告/嚴重 5/7/9 oracle.rules OSSL-BO 次數/分鐘 通知/警告/嚴重 5/7/9 misc.rules

Apache-BO 次數/分鐘 通知/警告/嚴重 5/7/9 web-attacks.rules IIS-BO 次數/分鐘 通知/警告/嚴重 5/7/9 web-iis.rules

表 3.5 專家二的概念表格

概念簡寫 單位 語意型態 臨界值 概念敘述

FP-Pri 次數/分鐘 通知/警告/嚴重 3/10/20 web-frontpage.rules SQL-Inj 次數/分鐘 通知/警告/嚴重 2/5/10 sql.rules

Netbuei-PW 次數/分鐘 通知/警告/嚴重 1/3/10 netbios.rules SQL-PW 次數/分鐘 通知/警告/嚴重 2/5/10 sql.rules

Samba-BO 次數/分鐘 通知/警告/嚴重 2/7/10 exploit.rules IIS-Uni 次數/分鐘 通知/警告/嚴重 2/5/10 web-iis.rules SQL-BO 次數/分鐘 通知/警告/嚴重 3/5/10 oracle.rules OSSL-BO 次數/分鐘 通知/警告/嚴重 5/7/10 misc.rules Apache-BO 次數/分鐘 通知/警告/嚴重 3/10/20 web-attacks.rules IIS-BO 次數/分鐘 通知/警告/嚴重 5/10/20 web-iis.rules

表 3.6 專家三的概念表格

概念簡寫 單位 語意型態 臨界值 概念敘述

FP-Pri 次數/分鐘 通知/警告/嚴重 2/5/8 web-frontpage.rules SQL-Inj 次數/分鐘 通知/警告/嚴重 2/4/6 sql.rules

Netbuei-PW 次數/分鐘 通知/警告/嚴重 2/5/8 netbios.rules SQL-PW 次數/分鐘 通知/警告/嚴重 2/5/8 sql.rules Samba-BO 次數/分鐘 通知/警告/嚴重 2/5/9 exploit.rules IIS-Uni 次數/分鐘 通知/警告/嚴重 2/5/8 web-iis.rules SQL-BO 次數/分鐘 通知/警告/嚴重 2/5/9 Oracle.rules OSSL-BO 次數/分鐘 通知/警告/嚴重 2/5/9 misc.rules

Apache-BO 次數/分鐘 通知/警告/嚴重 2/5/9 web-attacks.rules IIS-BO 次數/分鐘 通知/警告/嚴重 2/5/9 web-iis.rules

另外，以 FP-Pri 的概念為例，專家 1 定義臨界值為(2，5，7)，專家 2 定義 為(3，10，20)，專家 3 定義為(2，5，8)，經由協調決定新的臨界值，其他的部 分則以聯集方式，將每位專家所訂定的未重複概念合而為一。利用此協調過程的 方式產生出一個新的共同概念表格，如表 3.7 所示。

表 3.7 協調後產生的共同概念表格

概念簡寫 單位 語意型態 臨界值 概念敘述

FP-Pri 次數/分鐘 通知/警告/嚴重 2/7/12 web-frontpage.rules SQL-Inj 次數/分鐘 通知/警告/嚴重 2/4/7 sql.rules

Netbuei-PW 次數/分鐘 通知/警告/嚴重 1/4/8 netbios.rules

SQL-PW 次數/分鐘 通知/警告/嚴重 2/4/8 sql.rules Samba-BO 次數/分鐘 通知/警告/嚴重 3/6/9 exploit.rules IIS-Uni 次數/分鐘 通知/警告/嚴重 2/5/9 web-iis.rules SQL-BO 次數/分鐘 通知/警告/嚴重 3/6/9 oracle.rules OSSL-BO 次數/分鐘 通知/警告/嚴重 4/6/9 misc.rules

Apache-BO 次數/分鐘 通知/警告/嚴重 3/7/9 web-attacks.rules IIS-BO 次數/分鐘 通知/警告/嚴重 4/7/13 web-iis.rules

3.3.4 計算專家權重

每一位專家有其不同的背景、專長與經歷。因此，在不同的領域決策中佔有 不同的重要性，所以要計算每一個參予知識擷取的專家在各領域中的權數，這項 工作可分為三個步驟：

3.3.4.1 評分項目

根據所研究的問題，訂定所要計算的領域及所佔之權重百分比。由於本研究 所對談的專家必須對資訊安全工作非常瞭解，所以將” 資訊安全工作熟悉程度”

權重所佔之百分比設為最高，它佔了所有項目的一半。次高的則為” 資訊危安事 件處理結果”，大部分的專家只能對網路管理駕輕就熟，所以能對資訊危安事件 處理完善的專家，更能對所有影響資訊安全的因素作全盤的分析，第三高的則為”

資訊安全相關課程受訓時間”，駭客攻擊的手法不斷翻新，專家本身應有完整的 教育訓練，並不斷接受新知，故受訓時間有加分的作用。最後則為資訊工作年資，

此項目因為沒有比前三個項目重要，所以擺在最後，不過依然可以當作參考的依 據。

3.3.4.2 評分比例

假 設 參 予 知 識 擷 取 的 專 家 有 三 位 ， 分 別 針 對 ” 資 訊 安 全 工 作 熟 悉 程 度

(50%)”、”資訊危安事件處理結果(30%)”、”資訊安全相關課程受訓時間(15%)”及”

資訊工作年資(5%)”項目進行評等，三位專家的評等分別為表 3.8。

表 3.8 各專家之權重評等 評等

項目 專家一 專家二 專家三 資訊安全工作熟悉程度

(50%) 0.9 0.6 0.5

資訊危安事件處理結果

(30%) 0.8 0.6 0.5

資訊安全相關課程受訓時

間(15%) 0.5 0.8 0.3

資訊工作年資(5%) 0.4 0.8 0.5

原始分數 0.785 0.64 0.47

權重分數 0.414 0.338 0.248

3.3.4.3 計算權重

完成所有專家權重評等之後，接下來將所有數據進行矩陣計算，假設

c

s

e

以表 3.8 為例，它的計算過程為

[ ]

⎥ ⎥

⎥ ⎥

⎥ ⎥

⎦

⎤

⎢ ⎢

⎢ ⎢

⎢ ⎢

⎣

⎡

×

=

…

…

mn mj

m

ij in i

n j

m i

s s

s

s s

s

s s

s

c c

c

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

en]

ej [e1e2

1 1

1 1

11

1

權重分數：

[e’1 e’2… e’j… e’n]=[e1 /E e2/E… ej/E… en/E], where E = e1+e2+…+en 由此得知：專家一的權重為 0.414，專家二的權重為 0.338，專家三的權重 為 0.248。專家權重的係數將配合之後的流程做運算。

3.3.5 評等概念表格並計算概念權重

經由協調之後得到共同的概念表格，接下來就要將利用第二章中所提到的模 糊變量成對比較矩陣（Pair-Wise Comparison Matrix with fuzzy items），它是改良 自分析層級程序法（traditional Analytic Hierarchy Process，AHP），不過它增了 模糊變量用以清楚地表達專家內心對概念的評等，利用它來計算各概念之間的幾 何平均數與權數，藉此也能夠了解各概念之間的相對重要性，進行模糊變量成對 比較矩陣分為三個步驟，接下來的各節之中還是以網路安全管理知識擷取為例子 來解釋，如何利用模糊變量成對比較矩陣來評等概念以及如何計算它的幾何平均 數以及權數。

3.3.5.1 決定評等目標採用模糊量

將級數分別使用九個級別，如果等級大於 1 則呈正向的屬性，等級小於 1 則呈負向的屬性，等級如果等於 1 則屬性等於中性，代表兩個屬向強度平均，其 等級刻度分別為"5"代表絕對重要；"4"代表相當重要；"3"代表較為重要；"2"代 表有點重要；"1"代表一樣重要；"0.5"代表有點不重要；"0.33"代表較為不重要；

"0.25"代表相當不重要；"0.2"代表絕對不重要。

[0.5 0.3 0.15 0.05] ×

⎥ ⎥

⎥ ⎥

⎦

⎤

⎢ ⎢

⎢ ⎢

⎣

⎡

5 . 0 8 . 0 4 . 0

3 . 0 8 . 0 5 . 0

5 . 0 6 . 0 8 . 0

5 . 0 6 . 0 9 . 0

=[0.785 0.64 0.47 ]

3.3.5.2 利用模糊變量評等概念

在做模糊變量評等時，對角線兩端，相同的概念其模糊變量皆為 1，因為概 念是相同的所以評得為 1，其他對角線概念之間的模糊變量則為倒數，專家依步 驟一中所訂定的模糊變量[24][46]，再依照自我的專業評等繼而將評等值填入模 糊變量成對比較矩陣中。

表 3.9 模糊變量成對比較矩陣(範例)

C

C

C

C

C

GM W

C

1 0.33 2 0.25 0.33 0.5611 0.1017

C

3 1 0.33 5 4 1.8206 0.3299

C

0.5 3 1 0.5 0.2 0.6843 0.1240

C

4 0.2 2 1 0.5 0.9564 0.1733

C

3 0.25 5 2 1 1.4963 0.2711

3.3.5.3 計算概念的幾何平均數及權數

模糊變量成對比較矩陣的幾何平均數及權數的計算公式分別為

（幾何平均數）GMi =ⁿ

C

C

C

C

（權數） Wi = GMi

/ (GM

我們以表3.10的其中一個概念：FP-Pri為例進行計算：

GMi=¹⁰

^{1 * .25 * 2 * .5 * 2 * 3 * 3 * .5 * .5 * .25}

Wi =0.8809/（0.8809 + 0.7171 + 1.2592 + 1.2795 + 0.6071 + 0.5982 + 0.3686 + 1.8346 + 1.2821 + 3.1943）＝ 0.0881

，它的計算公式為

[Z₁…Z_k…Z₀]=[e₁´e₂´…e_j´…e_n´]×

⎥ ⎥

⎥ ⎥

⎥ ⎥

⎦

⎤

⎢ ⎢

⎢ ⎢

⎢ ⎢

⎣

⎡

ο ο ο

n nk

n

j jk

j

k

W W

W

W W

W

W W

W

' ...

' ...

'

...

...

...

...

...

' ...

' ...

'

...

...

...

...

...

' ...

' ...

'

1 1

1 1

11

以3.10、表3.11和表3.12為例子繼續概念的權重計算，三位專家所評等過的模糊 變量成對比較矩陣經由計算之後，所有概念權數的結果就得出了，

[0.414 0.338 0.248] ×

=[0.1771 0.1527 0.2004 0.1002 0.0975 0.0793 0.0468 0.1012 0.0976 0.1628]

所 以 FP-Pri 、 SQL-Inj 、 Netbuei-PW 、 SQL-PW 、 Samba-BO 、 IIS-Uni 、 SQL-BO 、 OSSL-BO 、 Apache-BO 、 IIS-BO 的權數分別為 0.1771 0.1527 0.2004 0.1002 0.0975 0.0793 0.0468 0.1012 0.0976 0.1628。

表 3.10 專家 1 成對比較矩陣

專家一 FP-Pri SQL-Inj Netbuei-PW SQL-PW Samba-BO IIS-Uni SQL-BO OSSL-BO Apache-BO IIS-BO 幾何平 均數

權重

FP-Pri 1.00 0.25 2.00 0.50 2.00 3.00 3.00 0.50 0.50 0.25 0.8809 0.0881 SQL-Inj 4.00 1.00 0.33 0.33 2.00 0.33 3.00 0.33 0.50 0.25 0.7171 0.0717 Netbuei-PW 0.50 3.00 1.00 3.00 3.00 3.00 3.00 0.50 0.50 0.33 1.2592 0.1259 SQL-PW 2.00 3.00 0.33 1.00 2.00 3.00 3.00 0.50 2.00 0.33 1.2795 0.1280 Samba-BO 0.50 0.50 0.33 0.50 1.00 2.00 2.00 0.33 0.50 0.25 0.6071 0.0607 IIS-Uni 0.33 3.00 0.33 0.33 0.50 1.00 2.00 0.50 0.33 0.33 0.5982 0.0598 SQL-BO 0.33 0.33 0.33 0.33 0.50 0.50 1.00 0.25 0.25 0.25 0.3686 0.0369 OSSL-BO 3.00 3.00 2.00 2.00 3.00 2.00 4.00 1.00 2.00 0.25 1.8346 0.1835 Apache-BO 2.00 2.00 2.00 0.50 2.00 3.00 4.00 0.50 1.00 0.25 1.2821 0.1282 IIS-BO 4.00 4.00 3.00 3.00 4.00 3.00 4.00 4.00 4.00 1.00 3.1943 0.3194

⎥ ⎥

⎥

⎦

⎤

⎢ ⎢

⎢

⎣

⎡





.0551 .0779

.0480 .0591

.0895 .1102

.0633 .3482

.1933 .1943

.0500 .0746

.0395 .0500

.0957 .1332

.0931 .1831

.2221 .2734

.3194 .1282

.0369 .0369

.0598 .0607

.1280 .1259

.0717 0881

.

表 3.11 專家 2 成對比較矩陣

專家二 FP-Pri SQL-Inj Netbuei-PW SQL-PW Samba-BO IIS-Uni SQL-BO OSSL-BO Apache-BO IIS-BO 幾何平 均數

權重

FP-Pri 1.00 2.00 3.00 4.00 3.00 3.00 3.00 4.00 3.00 3.00 2.7339 0.2734 SQL-Inj 0.50 1.00 3.00 3.00 2.00 3.00 3.00 3.00 3.00 4.00 2.2206 0.2221 Netbuei-PW 0.33 0.33 1.00 4.00 3.00 3.00 3.00 3.00 3.00 4.00 1.8309 0.1831 SQL-PW 0.25 0.33 0.25 1.00 0.33 2.00 2.00 2.00 3.00 3.00 0.9312 0.0931 Samba-BO 0.33 0.50 0.33 3.00 1.00 2.00 3.00 3.00 2.00 3.00 1.3325 0.1332 IIS-Uni 0.33 0.33 0.33 0.50 0.50 1.00 3.00 4.00 2.00 3.00 0.9574 0.0957 SQL-BO 0.33 0.33 0.33 0.50 0.33 0.33 1.00 2.00 0.50 0.50 0.5001 0.0500 OSSL-BO 0.25 0.33 0.33 0.50 0.33 0.25 0.50 1.00 0.33 0.50 0.3951 0.0395 Apache-BO 0.33 0.33 0.33 0.33 0.50 0.50 2.00 3.00 1.00 3.00 0.7460 0.0746 IIS-BO 0.33 0.25 0.25 0.33 0.33 0.33 2.00 2.00 0.33 1.00 0.5001 0.0500

表 3.12 專家 3 成對比較矩陣

專家三 FP-Pri SQL-Inj Netbuei-PW SQL-PW Samba-BO IIS-Uni SQL-BO OSSL-BO Apache-BO IIS-BO 幾何平 均數

權重

FP-Pri 1.00 0.50 0.25 2.00 3.00 4.00 4.00 4.00 4.00 4.00 1.9433 0.1943 SQL-Inj 2.00 1.00 0.25 3.00 2.00 3.00 3.00 3.00 3.00 3.00 1.9332 0.1933 Netbuei-PW 4.00 4.00 1.00 4.00 4.00 4.00 4.00 4.00 4.00 4.00 3.4822 0.3482 SQL-PW 0.50 0.33 0.25 1.00 0.50 0.50 0.50 2.00 0.50 2.00 0.6329 0.0633 Samba-BO 0.33 0.50 0.25 2.00 1.00 2.00 2.00 2.00 2.00 2.00 1.1019 0.1102 IIS-Uni 0.25 0.33 0.25 2.00 0.50 1.00 2.00 2.00 2.00 2.00 0.8951 0.0895 SQL-BO 0.25 0.33 0.25 2.00 0.50 0.50 1.00 1.00 0.50 1.00 0.5905 0.0591 OSSL-BO 0.25 0.33 0.25 0.50 0.50 0.50 1.00 1.00 0.50 0.50 0.4796 0.0480 Apache-BO 0.25 0.33 0.25 2.00 0.50 0.50 2.00 2.00 1.00 2.00 0.7792 0.0779 IIS-BO 0.25 0.33 0.25 0.50 0.50 0.50 1.00 2.00 0.50 1.00 0.5510 0.0551

3.3.6 評等目標/概念表格

將概念的權數求出之後，接下來要開始進行目標/概念表格（Concept-Object Grid）的評等工作。將共通概念放置於第一列，工作目標放置於表頭的部分，接 下來要求參予知識擷取的專家們在表格中填入確定度（certain factor ，(CF_ij)）