多層次資訊架構與資安研究 平台

1. 多層次資訊架構與資安研究平台 2013.06.10

2. 大綱 研發成果導入與資訊整合 惡意程式行為分析 惡意程式知識庫 研發成果效益

3. 研發成果導入與資訊整合 • 開發自動化佈署機制將異常網路連結與黑名單IP導入Arcsight ESM資安維運系統 • 開發相關機制將各合作學研單位資安設備Log導入Splunk蒐集分析平台 • 建置惡意程式攻擊動態監控系統，針對造成重大危害的惡意程式進行即時監控

4. 資訊架構

5. TWMAN系統架構

6. TWMAN新功能開發(一) • 新增網路流量分析統計功能 • 針對網路通訊協定(Protocol)進行統計 • 針對網路通訊埠(Port)進行統計 • 針對連線位址(IP)進行統計 • 新增連線目的地偵測 • TCP連線目的地 • UDP連線目的地 • ICMP連線目的地

7. TWMAN新功能功能開發(二) • HTML報表開發 • 方便使用者透過瀏覽器直接閱讀報表內容 • 視覺化效果提昇 • XML報表開發 • 根據不同的欄位特性完成xml標籤註記 • 方便使用者匯入資料庫進行後續資料處理

8. TWMAN新功能開發

9. TWMAN新功能開發(三) • ICMP掃描 • 惡意程式執行後，對目標網段進行了大規模的掃描動作 • 對每一個IP固定發出兩個封包 • 由此可得，該惡意程式會進行Ping Sweap

10. TWMAN新功能開發(四) • DNS查詢紀錄 • Malicious Domain names • TCP通訊目的地 • C&C server • Malware Download site • TCP通訊埠 • 木馬/後門程式連接埠

11. 惡意程式知識庫 網址:http://owl.nchc.org.tw

12. 帳號線上申請

13. 惡意程式知識庫架構 提供惡意程式活動排行機制，追蹤全球攻擊來源統計，追蹤惡意程式的生命週期，掌握全球惡意程式活蹤區域。

14. 多樣化的統計方式

15. 資訊比對系統

16. 惡意程式樣本與分析報告 樣本累計數為142137筆

17. 惡意程式移除工具 與TWCERT/CC CCC合作發展惡意程式移除工具。

18. GeoIP與MAP報表

19. 即時動態監控

20. 研發成果效益 已累積14萬筆以上惡意程式樣本，提供資訊安全研究人員可以取得研究所需要資料。 透過惡意程式行為分析，提供完整的攻擊型態，以建立符合真實狀態之攻擊資料。 完成惡意程式攻擊動態監控系統，可針對造成重大危害的惡意程式進行即時監控。 協助國內產業提供資訊安全相關軟硬體設備研發所需要之資源。

21. 報告結束