Transcript 投影片
多層次資安研發計畫簡介 2013.06.10 大綱 計畫簡介與參與團隊 歷年計畫成果 資訊安全技術研發成果 1 計畫簡介 2 計畫簡介 國家高速網路與計算中心執行國科會多層次資訊安全技術研發 與營運平台建置,目前已完成網路、系統與數位鑑識技術之整 合,發展成一全方位之研究環境 此平台之目標為提供資安研發所需之資訊,透過Botnet與反駭 客技之研發,降低目前Botnet對於資訊安全所造成之威脅, Botnet主要因系統安全問題產生,突破傳統資訊安全設計架構 ,避開絕大多數網路資訊安全設備之偵測,以異常行為偵測為 主之防禦方式,成為目前對於Botnet防禦所採用之主要應變對 策 資訊提供包括由資訊安全研發平台主要的資訊由多層次資訊偵 測(Multi-Layer Attack Detection)機制所構成,其中包括殭屍 網路(Botnet) 攻擊流量、惡意程式樣本、誘捕網路(Honeynet) 與誘捕系統(Honeypot)之日誌紀錄等研究題材 3 參與學校 部署與營運 國網中心、台灣大學、交通大學、中興大學、 中正大學、成功大學、東華大學、宜蘭大學、 台灣科技大學 主要工作 協助誘捕網路相關設備代管與平台營運 提供專責聯繫人員 協助進行平台功能測試 4 偵測環境部署 HN Honeynet FV Flowview IR Ironport SP SP SP Splunk DF Digital Forensics SP FV SP SP IR FV HN HN HN IR IR HN HN 臺灣大學 HN SP 臺科大 交通大學 宜蘭大學 HN SP 中興大學 東華大學 中正大學 成功大學 國網中心 HN FV IR HN SP SP DF SP HN 中山大學 5 資訊安全研發 Information Sharing and Analysis Center Multi Layer Attack Detection Researcher Security Research Framework Training TANet or ISP Security Operation • • • • Attack Logs Malware Samples Behavior Analysis Forensics Analysis Industry Security Organization 6 歷年計畫成果回顧 7 99年計畫成果 完成六大重點工作 1. 2. 3. 4. 5. 總體防禦系統之設計 建置數位鑑識分析平台 建置Netflow分析平台 整合SOC事件處理機制 Botnet偵測架構規劃與建置 部署於台灣大學、交通大學、中正大學、成功大學 6. 資訊安全專業人才培育 建立縱深防禦機制 結合惡意網址進行流量分析比對,確認影響範圍 進行資訊安全事件通報與情資分析,建立區域聯防機 制 8 99年研究成果與部署 Botnet偵測點 部署地點與設備 第一年參與之四所學校(台灣大學、交通大學、中正大學、成 功大學) 主動與被動式Honeynet、電子郵件分析設備 偵測目標 惡意程式、攻擊行為、垃圾郵件或夾帶惡意程式之郵件 流量比對分析 部署地點與設備 成功大學 流量分析設備 分析目標 依黑名單進行流量交叉比對,確定校園網路影響範圍 9 99年成效簡述 發展流量比對技術 應用於某大學進行宿網異常流量之分析 確認Botnet影響約80%的宿舍電腦 Anti-Botnet設備評測 針對現有商業設備進行實機評測 提供建置之設備選擇 發展Honeynet技術 針對惡意程式樣本、行為、流量之截取技術進行研 究 部署於四個偵測點以進行資訊收集 10 100年計畫成果 開發Botnet偵測、防禦平台 資訊安全情資整合平台 設備狀態監測 網路流量分析 Botnet活動偵測、中繼站分析 ISAC整合與資安事件追蹤 惡意程式分析 地理資訊分析 11 101年計畫成果 開發多層次資訊架構與資安研究平台 資安研究平台維運與開發惡意程式行為知識庫 開發資訊分析平台 改善自動化分析流程 互動式探測檢定與主動式社交工程防禦 完成IE Toolbar開發 建立使用者端與知識庫比對架構 DDoS攻擊之骨幹網路全域聯防系統 完成預警系統架構研究 12 102年計畫成果 13 主要工作 擴展多層次資訊架構與資安研究平台 研發成果導入與資訊整合 可疑名單之互動式探測檢定與主動式檢測技術 研發DDoS分析模組 14 資安研發平台 特色 偵測 由所部署之大量誘捕系統進行多種攻擊行為的掌握 資訊安全設備提供之比對紀錄 網路通訊與流量 分析 由真實資安事件分析,涵蓋攻擊軌跡與時間戳記 國內Botnet與惡意程式研究平台 多樣化Sandbox測試環境(TWMAN、Cuckoo、CWSandbox) 交叉分析(IP、協定、行為等) 資料探勘(Splunk、Hadoop) 服務方式 提供線上知識庫查詢服務 15 資訊安全研發 Information Sharing and Analysis Center Multi Layer Attack Detection Researcher Security Research Framework Training TANet or ISP Security Operation • • • • Attack Logs Malware Samples Behavior Analysis Forensics Analysis Industry Security Organization 16 資安知識庫服務 收集來自真實網路環境的惡意程式行為資料 研究與進行惡意程式的分析與分類 透過各個分析元件的組成,提供完整的資訊 安全知識庫 透過知識庫的建置,將原始的資料紀錄,轉 換成有研究的價值的資訊 17 互動與主動檢測技術 發展使用者端防禦架構 防禦機制 運用瀏覽器Toolbar與惡意程式知識庫庫之聯結,主 動過濾使用者與可疑網站的連線行為 發出預警訊息,以提醒使用者 主動檢測機制 遠端遠端掃瞄方式進行 協助使用者進行主機端之弱點檢測 自動化產生分析報表 18 研發DDoS分析模組 研究DDoS偵測技術 研究骨幹網路之DDoS偵測技術 由netflow之巨量資料進行分析 開發DDoS分析平台 依據netflow與DDoS偵測技術進行開發 提供DDoS之攻擊來源分析 建立預警與應變機制 19 20