微剋多資訊

 找回密碼
 註冊

Login

Login

搜索
回覆 5則 瀏覽 1657篇

自動化殭屍電腦通報機制

該用戶從未簽到

發表於 2013-3-22 19:56 | 顯示全部樓層 |閱讀模式
覺得這機制有點意思,完整內容還是請見原始來源:國網中心電子報第八期

文 / 網路與資安組 葉羅堯

殭屍網路(Botnet)已成為近年來非常熱門的安全議題之一,根據調查我國已成為世界前三名的殭屍電腦所在國,其中最容易被駭客看上的一個族群就是「校園電腦」。依本中心調查,全國的校園電腦中,包含公用電腦(如:計算機中心電腦、系計中電腦)及個人電腦,至少有6成曾經被植入惡意程式(malware)[1],而淪為「殭屍電腦(bot)」。

國研院國網中心自從民國99年起於八大校園中建置誘捕網路(Honeynet)[2],用以捕捉殭屍電腦(bot)、中繼站(Command & Control Server)、甚至是最末端的殭屍網路主宰者(Bot msaster),並且在接續的二年間,進行不斷擴建「誘捕網路」至今已有超過三千個IP位址的偵測系統,包含Windows、Linux、Android系統。以蒐集各項資訊提供學、研、業界進一步運用,例如:惡意程式分析報告、惡意程式樣本、攻擊來源分佈圖等等。

而在誘捕的後端,我們也研發「互動式探測通報系統」,用以改善學術研究網路上殭屍電腦通報效率,並抑制殭屍網路擴張規模。

圖一、校園電腦中毒通知流程

我們可先由圖一看現行校園電腦中毒通知流程,由圖可知,當各種偵測單位檢測到攻擊事件時,其中必須先經由A-ISAC (教育機構資安通報平台)[4]依「攻擊端所在位置」區別後,再分別通知相關校園管理單位(通常是計算機中心),由計中人員再對中毒電腦的使用者個別進行通知。往往這一來一往所耗費的時間可能會到12小時以上,尤其在例假日期間,經常要到上班日計中人員才會收信,其所需要的時間更可能達到48至60小時以上。因此我們也經常在分析時看到專門在例假日、連續假日前才進行攻擊的殭屍網路。

相反地,藉由本中心開發之互動式探測通報系統,可充分縮短通報流程,直接藉由使用者端工具列進行定時輪詢(Polling)確認,目前設定為每十五分鐘(可進行調整)之內即可讓使用者察覺是否其使用中的電腦已淪為「殭屍電腦」。故本系統可有效地改進現有通報流程,讓殭屍電腦的運作時間縮短,降低交互感染的機率,進而侷限住殭屍網路的成長規模。

另外,為了可進一步了解惡意程式並進行分析,此通報系統另一功能即為:加速收集電腦受感染之特徵。圖二為此「互動式探測通報系統」的整體架構圖,其中A-SOC DB 即為本國網中心前期所建置之誘捕系統資料庫,只要受感染的電腦對誘捕系統進行攻擊時,此資料庫可即時取得此攻擊事件相關資料,如:攻擊來源位址、攻擊目標位址、攻擊網路埠號等等。為了減少A-SOC DB的負擔,此通報系統獨立建置另一主伺服器(Main Server),定時(約十五分鐘)至A-SOC DB 更新最新攻擊事件資料,並且維護互通式探測通報系統網頁,以供管理者及特定使用者查詢攻擊資訊。

圖二、「互動式探測通報系統」整體架構圖

  • 精闢分析...是說有Part2嗎?

    clement10601 貢獻度 +10

該用戶從未簽到

發表於 2013-3-22 22:26 | 顯示全部樓層
看起來很用心 但是 最近有新聞顯示台灣基本設施都被黑客給看光光了

台灣這方面很缺乏 哪像對岸 資料一堆
回覆

使用道具 舉報

該用戶從未簽到

 樓主| 發表於 2013-3-22 22:42 | 顯示全部樓層
z24374203 發表於 2013-3-22 22:26
看起來很用心 但是 最近有新聞顯示台灣基本設施都被黑客給看光光了

台灣這方面很缺乏 哪像對岸  ...

我認為台灣當局也可以「故意」在電腦裡放些「假」資料給那些人參考…
回覆

使用道具 舉報

該用戶從未簽到

發表於 2013-3-22 23:19 | 顯示全部樓層
divale 發表於 2013-3-22 22:42
我認為台灣當局也可以「故意」在電腦裡放些「假」資料給那些人參考…  ...

我也希望放的資料是假的 畢竟是我們的國家啊!
回覆

使用道具 舉報

該用戶從未簽到

發表於 2013-4-13 11:32 | 顯示全部樓層
駭客無所不在,使用電腦自己要多注意,不要白目看到就點
回覆

使用道具 舉報

該用戶從未簽到

發表於 2013-4-13 12:51 | 顯示全部樓層
有許多人的心態是
反正電腦不是我家的
隨便啦,學校會處理><
這是我常常聽到的xd
回覆

使用道具 舉報

您需要登入後才可以回帖 登入 | 註冊

本版積分規則

小黑屋|Archiver|微剋多資訊(MicroDuo)

GMT+8, 2016-12-8 00:17

Discuz! X

© 2009-2016 Microduo

快速回覆 返回頂部 返回列表