投影片

Report
多層次資安研發計畫簡介
2013.06.10
大綱
計畫簡介與參與團隊
 歷年計畫成果
 資訊安全技術研發成果

1
計畫簡介
2
計畫簡介

國家高速網路與計算中心執行國科會多層次資訊安全技術研發
與營運平台建置,目前已完成網路、系統與數位鑑識技術之整
合,發展成一全方位之研究環境

此平台之目標為提供資安研發所需之資訊,透過Botnet與反駭
客技之研發,降低目前Botnet對於資訊安全所造成之威脅,
Botnet主要因系統安全問題產生,突破傳統資訊安全設計架構
,避開絕大多數網路資訊安全設備之偵測,以異常行為偵測為
主之防禦方式,成為目前對於Botnet防禦所採用之主要應變對
策

資訊提供包括由資訊安全研發平台主要的資訊由多層次資訊偵
測(Multi-Layer Attack Detection)機制所構成,其中包括殭屍
網路(Botnet) 攻擊流量、惡意程式樣本、誘捕網路(Honeynet)
與誘捕系統(Honeypot)之日誌紀錄等研究題材
3
參與學校

部署與營運
 國網中心、台灣大學、交通大學、中興大學、
中正大學、成功大學、東華大學、宜蘭大學、
台灣科技大學

主要工作
 協助誘捕網路相關設備代管與平台營運
 提供專責聯繫人員
 協助進行平台功能測試
4
偵測環境部署
HN
Honeynet
FV
Flowview
IR
Ironport
SP
SP
SP
Splunk
DF
Digital Forensics
SP
FV
SP
SP
IR
FV
HN
HN
HN
IR
IR
HN
HN
臺灣大學
HN SP
臺科大
交通大學
宜蘭大學
HN SP
中興大學
東華大學
中正大學
成功大學
國網中心
HN
FV
IR
HN SP
SP
DF
SP HN
中山大學
5
資訊安全研發
Information Sharing and Analysis Center
Multi Layer
Attack Detection
Researcher
Security Research Framework
Training
TANet or ISP
Security Operation
•
•
•
•
Attack Logs
Malware Samples
Behavior Analysis
Forensics Analysis
Industry
Security Organization
6
歷年計畫成果回顧
7
99年計畫成果

完成六大重點工作
1.
2.
3.
4.
5.
總體防禦系統之設計
建置數位鑑識分析平台
建置Netflow分析平台
整合SOC事件處理機制
Botnet偵測架構規劃與建置

部署於台灣大學、交通大學、中正大學、成功大學
6. 資訊安全專業人才培育

建立縱深防禦機制


結合惡意網址進行流量分析比對,確認影響範圍
進行資訊安全事件通報與情資分析,建立區域聯防機
制
8
99年研究成果與部署

Botnet偵測點
 部署地點與設備
 第一年參與之四所學校(台灣大學、交通大學、中正大學、成
功大學)
 主動與被動式Honeynet、電子郵件分析設備
 偵測目標
 惡意程式、攻擊行為、垃圾郵件或夾帶惡意程式之郵件

流量比對分析
 部署地點與設備
 成功大學
 流量分析設備
 分析目標
 依黑名單進行流量交叉比對,確定校園網路影響範圍
9
99年成效簡述

發展流量比對技術
 應用於某大學進行宿網異常流量之分析
 確認Botnet影響約80%的宿舍電腦

Anti-Botnet設備評測
 針對現有商業設備進行實機評測
 提供建置之設備選擇

發展Honeynet技術
 針對惡意程式樣本、行為、流量之截取技術進行研
究
 部署於四個偵測點以進行資訊收集
10
100年計畫成果

開發Botnet偵測、防禦平台
 資訊安全情資整合平台
設備狀態監測
 網路流量分析
 Botnet活動偵測、中繼站分析
 ISAC整合與資安事件追蹤
 惡意程式分析
 地理資訊分析

11
101年計畫成果

開發多層次資訊架構與資安研究平台
 資安研究平台維運與開發惡意程式行為知識庫
開發資訊分析平台
 改善自動化分析流程

 互動式探測檢定與主動式社交工程防禦
完成IE Toolbar開發
 建立使用者端與知識庫比對架構

 DDoS攻擊之骨幹網路全域聯防系統

完成預警系統架構研究
12
102年計畫成果
13
主要工作

擴展多層次資訊架構與資安研究平台
 研發成果導入與資訊整合
 可疑名單之互動式探測檢定與主動式檢測技術
 研發DDoS分析模組
14
資安研發平台

特色



偵測




由所部署之大量誘捕系統進行多種攻擊行為的掌握
資訊安全設備提供之比對紀錄
網路通訊與流量
分析




由真實資安事件分析,涵蓋攻擊軌跡與時間戳記
國內Botnet與惡意程式研究平台
多樣化Sandbox測試環境(TWMAN、Cuckoo、CWSandbox)
交叉分析(IP、協定、行為等)
資料探勘(Splunk、Hadoop)
服務方式

提供線上知識庫查詢服務
15
資訊安全研發
Information Sharing and Analysis Center
Multi Layer
Attack Detection
Researcher
Security Research Framework
Training
TANet or ISP
Security Operation
•
•
•
•
Attack Logs
Malware Samples
Behavior Analysis
Forensics Analysis
Industry
Security Organization
16
資安知識庫服務
收集來自真實網路環境的惡意程式行為資料
 研究與進行惡意程式的分析與分類
 透過各個分析元件的組成,提供完整的資訊
安全知識庫
 透過知識庫的建置,將原始的資料紀錄,轉
換成有研究的價值的資訊

17
互動與主動檢測技術

發展使用者端防禦架構
 防禦機制
運用瀏覽器Toolbar與惡意程式知識庫庫之聯結,主
動過濾使用者與可疑網站的連線行為
 發出預警訊息,以提醒使用者

 主動檢測機制
遠端遠端掃瞄方式進行
 協助使用者進行主機端之弱點檢測
 自動化產生分析報表

18
研發DDoS分析模組

研究DDoS偵測技術
 研究骨幹網路之DDoS偵測技術
 由netflow之巨量資料進行分析

開發DDoS分析平台
 依據netflow與DDoS偵測技術進行開發
 提供DDoS之攻擊來源分析
 建立預警與應變機制
19
20

similar documents