好用的MX檢查工具,但不要全抄

不久前接到用戶詢問怎麼解決email老是被gmail退信的問題時,發現了一個很好用的DNS設定的檢查工具:「Check MX」,這是包含在G Suite工具箱中的一項簡單易用的 DNS設定檢查工具,只要輸入你的網域名稱,就會幫你檢查DNS設定中跟email相關的設定內容是否有錯誤,除了結果下方的簡單說明與建議之外,也有連結到說明中心的相關文章可以進一步了解與學習;檢查項目還蠻多的,結果畫面大致如下:

有興趣的朋友可以試試看,只是有一點要提醒的:這個工具預設的檢查是給使用G Suite的用戶的,所以設定內容與建議會要求SPF設定內容要包含gmail的IP,如果是使用別的郵件服務或是自行架設email主機的網域名稱千萬不要照抄,抄了就錯了;相關SPF的設定語法與內容建議可以參考本中心的另一篇電子報文章「SPF 設定格式教學」,裡面有詳細的說明哦!

IPv6 寬頻分享器介紹

寬頻分享器或是家用閘道器(Home Gateway),主要是用於界接住家或小型辦公室之區域網路與ISP提供之連外網路(簡稱外網),通常也結合無線基地台的功能。主要的連外實體線路包括光世代(又稱FTTx,經由光纖傳送再由Ethernet或VDSL界接光纖接入家中)、ADSL、Cable Modem及專線等,這些線路會經由終端設備以Ethernet接到Home Gateway。

在目前的IPv4網路裡,Home Gateway對外透過PPPoE或DHCP等連線技術取得外網通訊埠(WAN port)的公用位址(Public IP Address),對內則使用網路位址轉換(NAT)的技術,以DHCP的方式指派私用位址(Private Address)給區域網路內(簡稱內網)的電腦主機。內網電腦對外通信時,Home Gateway會進行私用位址及公用位址的轉換。

新一代IPv6網路供應大量公用位址,所以不需要再使用NAT技術,而是直接指派公用IPv6位址給內網的電腦主機。所以Home Gateway除了在連接外網的WAN Port上得到一個ISP提供的IPv6位址,還必須從ISP得到一段IPv6公用位址網段以便指派給內網主機。內網主機對外通信時,Home Gateway不再執行NAT,而是依據公用位址進行封包的路由轉送(Routing),因此在IPv6網路上,Home Gateway常稱為Home Router。

Home Gateway可透過隧道(Tunneling)的技術,將IPv6封包封裝在IPv4裡進行傳輸,主要的隧道技術有IPv6 in IPv4 Tunnel、6to4、6rd等,這些連線技術在Home Gateway的設定方式各有不同。

ISP通常透過DHCP-PD (Prefix Delegation)的技術指派Prefix長度為64位元的IPv6位址(簡寫給為 /64)給Home Gateway,再由Home Gateway核發給內網使用。64位元的Prefix就是電腦主機的Network ID (網路識別碼),後64位元的Host ID (主機識別碼)則是內網電腦可以自由使用的部分,組合Network ID及Host ID就是內網電腦的IPv6位址。

IPv6網路提供了全新的自動位址指派技術,稱為SLAAC (StateLess Address Auto Configuration),Home Gateway就是利用這個技術發放Prefix給電腦,電腦再自動產生Host ID (以EUI-64運算法產生或以亂數法產生),Prefix加上Host ID就是電腦主機的IPv6位址。IPv6也提供與IPv4類似的DHCP技術及手動設定固定位址的機制。依據位址指派技術的不同,IPv6 Home Gateway提供了SLAAC+RDNSS、SLAAC+Stateless DHCPv6、Stateful DHCPv6及手動設定位址等多種IPv6位址自動配置的技術。

以中華電信來說,目前已經全區開放的HiNet光世代(FTTx) IPv6連線服務使用PPPoE撥接連線。

PPPoE是目前普遍應用的技術,可同時使用於IPv4及IPv6,中華電信針對光世代客戶提供的雙協定服務就是使用PPPoE進行服務連線。使用支援IPv6的分享器,透過分享器撥接IPv6 PPPoE(目前大部份的分享器預設未啟用IPv6 PPPoE連動IPv4 PPPoE功能,使用者需自行留意IPv6 PPPoE是否啟用)再加上DHCP-PD(DHCP Prefix Delegation)技術自動取得IPv6子網路Prefix後,分享器即可同時分派IPv4及IPv6位址給用戶端電腦。

.tw日文IDN在日本地鐵車站與您日本見

.tw日文IDN即將在日本地鐵車站與各位見面,前往JR鐵道「東京車站新幹線南轉乘口」、「東京車站丸之内南北通路」及「秋葉原昭和通道」車站燈箱上可以見到.tw的身影,到時見到也別忘了分享到域名之友粉絲專頁(https://www.facebook.com/twnicNEWS/)給我們喔!

此次燈箱露出期間另推出日文IDN春季優惠專案,每筆皆提供第一年優惠價¥500!快把握這次難得機會,取得最具特色的日文IDN域名吧!活動詳情請見:http://日本語.tw/event1

購買時請詳閱各家受理註冊機構說明,若有疑問可進一步與受理註冊機構詢問。

有關日文IDN之介紹可見服務網站: http://日本語.tw

成為TWNIC IP會員好處多,擴大Final /8 IPv4位址申請對象,數量有限敬請把握!

全球IPv4位址即將用罄,Final /8是最後取得自有IPv4位址的機會!申請者應為中華民國法律設立之公司、非營利社團法人或財團法人、中央或地方政府、學校單位,並以於台灣地區有IP位址使用需求者為原則。前述單位想要自建網路,有自己的IP位址與其他ISP進行互連的使用需求,都可擁有唯一一次從Final /8 網段中取得1,024個IPv4位址的機會(核發數量依據APNIC政策調整)。

若ISP已提供我IP位址,為什麼還要申請IP位址?IPv4位址枯竭,ISP能分配給企業或機構使用的IPv4位址已經非常稀少,擁有自有IPv4位址才能掌握網路控制權且IPv4位址屬於企業的數位資產。

Final /8 pool 為103開頭之網段,若單位尚未申請Final /8 pool,皆符合此次IP位址申請資格。如何確認是否申請過Final /8 pool,請至以下網頁查詢:https://rms.twnic.net.tw/twnic/Search-enduser.htm

於APNIC申請過Final /8 pool者,不符合申請資格。若單位已是APNIC成員,可考慮將會籍移轉至TWNIC,維護年費比APNIC較優惠且可獲得TWNIC的local support。

目前申請 Final /8 IPv4位址,將可一併獲得 /32 IPv6位址。Final /8 IPv4位址數量有限,敬請把握!實際方案依官方網站公布為主,詳情請上:http://ipapply.tw

為何值得為IPv6的建置努力的三大理由

IPv4網際網路協定,作為網路營運的基礎資源,撐起了過去三十多年全球網際網路的蓬勃發展,隨著IP位址不足,而訂定的下一代網際網路協定IPv6,也已經發展了二十年,Nick Buraglio於2018年12月,在APNIC Blog發表一篇〝Three reasons why IPv6 is worth the effort〞的文章,作者在文中提到,建議中小型網際網路服務業者,採用IPv6協議的三大理由,以下就其所提的理由,摘要說明。

  • 提供點對點的連結(End-to-end connectivity)。
    在萬物互連的時代,點對點連結的規範,已形成越來越重要的態勢。點對點連結具有安全上的優勢外,對缺乏連結性的端點來說,使用者要求提供點對點連結的服務的需求越來越強烈,尤其是在遊戲社群之間的討論及需求相當明顯,並創造了對互聯網服務業者具有相當影響力的客戶需求聲量。很多系統(例如XBox Live)為了解決點對點連結的問題,以透過IPv4隧道來傳輸IPv6,但這並非根本的解決之道,只有啟用本機的IPv6才是最好的解決方案,也才能提供用戶最佳的體驗。
  • 降低網路的複雜度(Reduced network complexity)。
    在全球IPv4位址短缺的狀況下,許多網際網路服務業者,以網路位址轉換(Network Address Translation,NAT)技術作為解決方案, 但隨著網路位址轉換的增加,使得位址需要經過層層轉換,增加其複雜度及減低效率,同時可能伴隨降低網路安全的可能性。NAT只是過渡機制,而非解決方案,IPv6才是正解。
  • 軟硬體及內容服務對IPv6的普遍性支援。
    和五年前相比,網路核心的軟硬體對IPv6的支援能力都已經到位。而主要內容服務商,如Google及Facebook,都有支援IPv4/IPv6雙軌服務。美國大多數的網際網路接取服務業者,支援雙軌服務的時間也已經相當多年。而印度佈署IPv6網路連線,成功的將5億人口連接起來,更是最佳的成功案例。由實際狀況可顯示IPv6的支援已經有相當的普及率。

IPv6已經是現在式,而非未來式。還在等什麼?快來熱情擁抱IPv6吧!

若對原文有興趣,請參閱APNIC部落格,網址為:https://blog.apnic.net/2018/12/13/three-reasons-why-ipv6-is-worth-the-effort/

TWNIC公布2018年第4季台灣網際網路連線頻寬調查

根據台灣網路資訊中心(TWNIC)進行的「台灣網際網路連線頻寬調查」結果顯示,於2018年12月底統計,我國對外連線總頻寬達2,772,243Mbps[圖一],較上一季增加419660,784Mbps。台灣網路資訊中心每年定期公佈網際網路相關數據調查資料。其中「台灣網際網路連線頻寬調查」即提供包含台灣與國際網際網路互動以及國內各ISP互聯狀況最即時、最詳細的網路頻寬連線數據與消長趨勢相關資料。

關於連線國家與地區

在連線國家/地區方面,於2018年12月底統計,我國與國外12個國家/地區連網。在國外連線頻寬方面,其中美國以1,393,033Mbps連線頻寬居我國最主要的連網國家,其他依序為日本(534,035Mbps)、香港(419,706Mbps )、中國大陸(242,013 Mbps) 、新加坡(90,638Mbps)等[表一]。整體而言,我國對外連線之國家除美國、英國之外,皆以亞太地區為主。

關於國內外連線頻寬

在國外連線頻寬,HiNet(中華電信數據分公司) 、TFN(台灣固網)、NCIC(新世紀資通)為我國前三大的連外頻寬機構。

在國內ISP互連頻寬,TFN(台灣固網)、HiNet(中華電信數據分公司) 、Taiwanmobile (台灣大哥大)、emome(中華電信行動通信分公司) 、NCIC(新世紀資通),為前5大ISP互連頻寬之單位。

本次調查係以Email通知TWNIC『連線頻寬登錄查詢系統』(https://map.twnic.net.tw) 之連線頻寬調查聯絡人(共85家),請其在調查日期內至系統登錄本季資料,調查日期為2019年1月4日至2019年1月11日。為了確保連線頻寬資料之正確性,本調查系統有輔佐核校之功能,當兩ISP互連,但兩方填寫資料不一致,或有一方未填寫時,本調查系統會自動將兩邊互連資料不符之處E-mail給兩方填寫人,並請其作進一步之校對。故此調查所列國內連線頻寬資料皆為互連雙方核對無誤之資料。

本次調查之各項詳細資料,請參閱『連線頻寬登錄查詢系統』https://map.twnic.net.tw,相關查詢要項如下:

  1. 本季頻寬資料
    請點選『連線頻寬統計報表』,選擇查詢國內或國外連線頻寬,再選擇公布時間2019年1月,將出現本季連線頻寬資料。
  1. HTML5連線頻寬圖
    請點選『HTML5連線頻寬圖』,選擇公布時間2019年1月,將出現本季動態連線頻寬圖。
  1. 各家連線調查單位詳細資料
    請點選『連線調查單位資料查詢』,選擇所欲查詢之連線調查單位之單位屬性與公司名稱後,便出現此連線調查單位詳細資料。
每年國外連線總頻寬成長圖 (單位:Mbps) 2019/1月製圖
項目 連線國家 2018/03 2018/06 2018/09 2018/12 佔本百分比 與上季成長率
1 美國 1,260,927 1,260,927 1,032,841 1,393,033 50.25% 25.86%
2 日本 446,268 454,401 524,035 534,035 19.26% 1.87%
3 香港 355,551 363,306 401,240 419,706 15.14% 4.40%
4 中國大陸 194,927 199,879 242,013 243,013 8.77% 0.41%
5 新加坡 51,571 51,571 80,638 90,638 3.27% 11.03%
6 南韓 43,328 53,280 45,815 45,815 1.65% 0.00%
7 英國 12,100 12,100 12,100 32,100 1.16% 62.31%
8 菲律賓 10,778 10,778 10,778 10,778 0.39% 0.00%
9 馬來西亞 6,010 6,010 6,010 6,010 0.22% 0.00%
10 泰國 556 556 556 556 0.02% 0.00%
11 越南 411 411 411 411 0.01% 0.00%
12 沙烏地阿拉伯 156 156 156 156 0.01% 0.00%
總計 2,378,567 2,409,367 2,352,583 2,772,243 100.00% 15.14%

「2018台灣網路報告」發布

「2018台灣網路報告」主要目的為希望能夠完整呈現台灣網際網路發展與應用服務的趨勢,並將台灣整體網路使用圖像與使用者輪廓,藉由長期追蹤調查研究,以量化分析與質化研究,綜整台灣網路整體面貌,將量化研究調查的數據與圖表,及質化研究對台灣網路發展之趨勢和分析,以網頁的方式提供給國內產官學界參考。而今年,TWNIC更以英文網站將「台灣網路報告」研究成果公布在網路上,讓國外投資者能更方便的直接透過TWNIC所建立的「台灣網路報告」網站,取得台灣網路現況與發展的第一手資訊。

根據今年的調查發現,全國上網人數推估已達1,866萬,整體上網率達79.2%;家戶上網部分,推估全國可上網戶數為705萬戶,上網比例達80.9%。而其中,我們有三個主要的發現:第一,調查顯示12歲以上在近半年來的行動上網率逐年上升,在2018年首度突破七成,較2017年成長近一成。而相對的,近半年在戶外或公共場所使用WiFi的上網率,則首度呈現下滑,和去年相較,使用率下滑約一成五左右,這個有趣的發現與消長,就發生在2018年,由於行動上網使用率的不斷提升,預測將會引領並帶動新一波的行動網路經濟。

第二個發現,這是和行動網路使用成長相呼應的,在第一個主要發現當中,雖然行動網路使用成長,但根據今年的調查中發現,行動支付的成長卻相對緩慢,2018年的調查結果是16.3%使用率,和去年相較只成長2.3%。這也是一個很有趣的發現,當行動網路使用率不斷攀升的同時,行動支付的使用率與接納度卻僅有緩步成長。且國外行動支付品牌市占率持續顯著增加,壓縮國內品牌市場。但隨著今年純網銀執照的發放,純網銀的成立與行動網路的普及之加乘效果對於行動支付使用的影響仍有可持續的發展空間。

報告第三個發現是針對網路邏輯層的部分,台灣 IPv6 滲透率在 2018 年 1 月 1 日僅為 0.46%,到 2018 年12 月底 IPv6 滲透率約為 29.46%,取得了顯著的成長。台灣 IPv6 部署顯著成功因素包含:營運商全力支持 IPv6 部署;其次,大多數網路設備和行動電話都支援IPv6,第三個因素是市場競爭,一旦第一個運營商獲得IPv6 服務的成功結果,同時也刺激其他競爭者在 IPv6 市場領域競爭。這種競爭將帶來更多的創新,這將有助於網絡空間進入下一代網際網路。

最後,綜整本次研究結論顯示出:台灣在完善的基礎建設和成熟的網路環境下,都為台灣下一波經濟發展帶來無窮的動能,而未來台灣在全球網路整體生態環境下的機會在哪裡?我國積極建構數位創新環境、增進數位經濟發展,在產業端擁有厚實的工業基礎,加上長期累積豐富的智慧產品供應鏈經驗,與活躍參與網路的網民,都是相當利於數位經濟發展的優勢。

 

相關新聞報導請參考:

TVBS  台灣網路環境成熟 競爭力躋身國際

民視    去年上網人數推估1866萬人 整體上網率達79.2%

加密勒索病毒對資安帶來的衝擊

張宏義/國立嘉義大學資訊管理學系 教授

隨著科技的進步與時間的累積,加密勒索病毒的種類已經有著成千上萬種的類型,最耳熟能詳的莫過於2017年5月份的驚天案例 WannaCry勒索病毒[1],該勒索病毒大規模感染了包括西班牙電信、英國國民保健署、聯邦快遞和德國鐵路股份公司等等。據當時的報導,至少有99個國家在同一時間遭受到該勒索病毒的感染,且都被要求支付等同於300美元的比特幣才可以解密,可見勒索病毒的影響範圍之廣,對於勒索病毒不管是政府機關或者是民間企業都是需要加以重視。WannaCry的影響範圍之所以可以達到這麼的廣泛,進而達到全球攻擊,是因為WannaCry是利用了目前世界最被廣泛使用的Microsoft Windows系統中的永恆之藍(Eternal Blue)漏洞,WannaCry經過網際網路對Microsoft Windows作業系統進行攻擊,是一種加密型勒索軟體兼具蠕蟲病毒。該病毒利用AES-128和RSA演算法惡意加密檔案,並在完成加密後自行刪除原始檔案以勒索比特幣。加密勒索病毒實質地造成使用者影響,特別是許多企業組織也因此造成重要或營運文件被加密等損失[2]。甚至傳出許多工業控制系統、工業生產線的因感染加密型勒索病毒而導致停工的案例,如2018年8月時台灣的科技業龍頭台積電感染了WannaCry的一個變種,導致台積電的生產網路中斷3日才陸續恢復正常,當季損失78億台幣的營收。事後調查起因為準備上線的一部本身已帶有病毒的新機台,在未經網路隔離及防毒系統處理的人為疏忽因素所造成[3]。本作者也在查詢加密勒索病毒的資料時,被感染勒索病毒,如圖1。因此,加密勒索病毒對企業帶了不小的衝擊,姑且不論是否要付贖金取得解密金鑰救回檔案,如何追蹤加密行勒索病毒的感染途徑以避免再度衝擊內部網路及營運是大多數企業組織較為重視的議題之一

感染加密勒索病毒的電腦畫面

根據來自NTT Security的2018年全球威脅情報報告(GTIR)[4]指出勒索病毒的影響較前年上升了350%,其中WannaCry為勒索病毒的傳播速度設定了新標準,在一天內影響了400,000台機器和150個國家。在此同時,賽門鐵克[5]與Recorded Future[6]對於2018年勒索病毒的觀察均發現勒索病毒的變種愈來愈多樣化,Recorded Future更進一步指出,在2017年1月起13個月內發現的勒索病毒變種就增加了74%。SentinelOne[7]一份針對勒索病毒的研究調查指出其散佈感染主要途徑為釣魚電子郵件或社群網路、經被入侵的網站下載(Drive-by-download)、透過Botnet或蠕蟲病毒感染。其中經被入侵的網站下載的感染途徑曾在2016年造成大量的正常使用者被勒索病毒感染,攻擊者透過廣告聯盟發放會出現在大型網站如:《紐約時報》、BBC 、MSN 等的惡意廣告,藉此安裝勒索軟體或病毒。在大型網站或入口網網頁中由廣告聯盟透過Json或腳本(script),讓瀏覽網頁的使用者在觀看網頁時,重導到真正放置廣告圖片的第三方主機中。攻擊者透過入侵或租用廣告等方式,取得第三方主機的存取權限,並植入隨機感染的勒索軟體或病毒。這類的方法能夠於大量的合法網站快速散播且不需與個別網站進行溝通即可擴大勒索軟體或病毒感染範圍。

加密勒索病毒是如何運作的呢? 加密技術為勒索軟體的重點之一,目前已從過去的對稱式金鑰加密(symmetric key cryptography)改良成非對稱式金鑰加密(asymmetric key cryptography),如圖2。在2017年,林敬黃與王周玉的論文「勒索病毒感染途徑個案鑑識分析為例」[2]中提到,當使用者機器被勒索病毒感染時將透過多個 Proxy Server(通常是合法但已被駭客入侵的proxy server) 連上C&C (Command & Control) Server請求 Public Encryption Key。在C&C Server中,會為每個感染的機器產生成一對Public/Private Encryption Key,並將Public Encryption Key傳回到受感染的主機(Private Encryption Key不會離開C&C Server)。然後,Public Encryption Key將用來加密對用戶來說是最重要的文件,勒索成功後,在要求贖金過程,為求隱匿網路位址,要求受害者使用高匿名性的比特幣(Bitcoin)進行贖金支付。

典型的基於非對稱金鑰加密的勒索病毒運作流程[8]
2017年利用勒索病毒及虛擬貨幣挖礦程式獲利的惡意程式數量持續攀升,儼然成為駭客的主要攻擊手法。而全球企業因勒索病毒而損失的總金額高達50億美元,比起2016年增加了四倍之多,而台灣受勒索病毒攻擊的次數更是高達千萬次以上,全球排名向上升了兩名[9]。McAfee lab提到超過60%的C&C Server是以HTTP協定當作攻擊者與受害主機之間的通道,目的是為了向駭客的C&C Server溝通,因企業的防火牆通常會允許80 Port通過,加上大量的HTTP流量讓可疑流量不易被發現,因此HTTP協定經常被駭客做為攻擊的管道。根據文獻[10],C&C伺服器利用不同協定做為溝通管道的比例如下圖3所示。

C&C伺服器使用不同協定比例圖[10]
因HTTP流量讓可疑流量不易被發現的緣故,要完全防止主機受到惡意程式感染變得十分困難,因此若能從受害主機的HTTP流量中即早發現試圖進行惡意活動的流量,將能有效減少資料外洩以及受其他惡意程式威脅的風險。早期一般採用黑名單機制,由專屬組織來判定惡意網站、惡意伺服器的IP或是惡意的域名並記錄下來,以防有任何主機受害,但如果專屬組織在評估該網站是惡意網站時誤判,或是該網站太新而來不及評估都可能導致惡意網站無法及時記錄在黑名單中,因此黑名單和白名單機制存在一些缺點。對於偵測未知攻擊手法可以利用正常主機的連線行為,來判斷該連線是否異常,而通常需收集正常主機之間的關係。Xu等人[11]提出主機之間共同拜訪網站數量為判斷的特徵,但是利用這種正常主機行為模型都需要大量的正常主機資料。有些學者以惡意軟體封包上的HTTP協定特徵來判斷該封包是否為惡意,Chiba等人[12]蒐集2011年八月到2012年十二月的惡意軟體封包建立模型,雖然不需要大量的正常主機資料,但卻反而需要大量惡意軟體封包資料,此外因為是以已知惡意軟體為基礎建立模型,可能對未知惡意軟體無法做出有效的偵測。

隨著利用HTTP可疑流量進行溝通的惡意軟體日益增加,研究人員也開始致力於提出解決方案,在學術研究上,有不少學者以預測流量的方式,提出HTTP可疑流量的偵測演算法。Ma等人[13]的研究中提到惡意軟體和正常使用者所發出的HTTP流量不論是在網域名稱、連線行為或是HTTP封包上都有所不同,在HTTP協定上仍有許多非主機之間連線行為特徵,例如:HTTP封包中referer欄位是否被使用,使用的HTTP標頭數量等都可以被利用來建立正常主機模型,用來偵測未知攻擊,不需要依靠大量主機資料才能建立模型。Zarras 等人[14]提出每一個應用程式所發出的HTTP封包中,HTTP Header 的順序會有所不同,主要原因是RFC文件中並未規定HTTP Header的順序,因此每個應用程式在實作HTTP協定時需自行設定順序,因此HTTP Header的順序可以用來偵測惡意軟體所發出的HTTP流量。Chiba等人[11]認為受害主機內的惡意軟體所發出的HTTP request中含有固定的關鍵字,因此在計算兩個HTTP request封包的相似度時,應該要將關鍵字去除,才能降低誤判率,該研究驗證結果可減少2% 的誤判率。Matin等人[15]為了偵測惡意軟體所發出HTTP封包,從User-Agent的觀點出發,將User-Agent分為五種類型。(1) Legitimate user’s browser:指的是一般使用的瀏覽器。(2) Empty:指User-Agent為空值。(3) Specific:指非瀏覽器類型的User-Agent。(4) Spoofed:指的是惡意軟體為了避免被偵測到,會入侵使用者正在使用的瀏覽器,利用合法瀏覽器發出惡意活動的流量。(5) Discrepant:指惡意軟體偽造瀏覽器所發出的HTTP封包,在User-Agent的欄位上改成和使用者一樣的瀏覽器,而非入侵使用者的瀏覽器。為了要分辨Empty類型惡意封包,方法是這類型的封包大多是要進行更新服務,若某個網址只有少數的使用者用Empty類型封包發出請求,則可能是惡意軟體所發出的;如果是合法的Specific類型封包,其出現的頻率應該會大於那些惡意的Specific類型封包,透過統計每一個Specific類型封包的在網路中的出現次數便可以建立偵測模型;另外,一般使用者大部份不會在系統中安裝兩個不同版本以上的相同瀏覽器。透過調查一個主機中出現兩個不同版本而相同瀏覽器的HTTP封包是不是因為剛好瀏覽器更新造成,再加上統計每個瀏覽器版本封包在網路中出現的次數,便能給予可疑封包一定的惡意程度。

近年來機器學習、深度學習及人工智慧技術日益成熟,Chao等人[16]於2018年提出以支援向量機(Support Vector Machine,SVM)模型,來進行HTTP可疑流量偵測的演算法開發,有別於其他研究,該研究利用HTTP協定上GET封包、POST封包以及RESPONSE封包的特徵建立一個有效GET請求封包偵測模型,結合SVM技術,將一群少數主機的在正常情況下,所發出的HTTP流量當作訓練資料,建立一個正常主機模型,再將惡意軟體所發出HTTP流量以及不包含在訓練資料的另一個主機所發出流量當作測試資料,當現時流量的惡意分數大於0.5時則判定該流量為惡意流量,該演算法向管理人員提出警告,如公式1所示,P(x)1代表在Stream x中GET封包被判斷為惡意的數量;P(x)2代表在Stream x中POST封包被判斷為惡意的數量;P(x)3代表在Stream x中RESPONSE封包被判斷為惡意的數量,W1W2W3則是各代表每一個類型封包的權重,T(x)則是Stream x中GET封包、POST封包以及RESPONSE封包的數量總合。該預測模型比利用惡意流量建立的預測模型擁有較高的未知惡意流量偵測能力,其偵測率達到88%。

 

參考文獻

  1. [Online] WannaCry-維基百科,
    Available: https://zh.wikipedia.org/wiki/WannaCry (Accessed on Dec. 25,2018)
  2. 林敬皇 and王周玉, “勒索病毒感染途徑個案鑑識分析, “台灣網際網路研討會(TANET), Oct. 24-16, 中壢, 台灣, 2018.
  3. [Online] iThome Online,陳曉莉,台積電遭病毒感染原因出爐:新機台安裝軟體時操作不慎Available: http://www.ithome.com.tw/news/125007 (Accessed on Dec. 6,2018)
  4. [Online] NTT Security,2018 Global Threat Intelligence Report, NTTDATA NTT Security, 2018,
    Available: https://www.nttsecurity.com/docs/librariesprovider3/resources/gbl-ntt-security-2018-gtir-summary-uea.pdf?sfvrsn=e8c7f625_4 (Accessed on Dec. 6, 2018)
  5. [Online] Symantec, 2018 Internet Security Threat Report, Symantec ISTR vol.23 , March, 2018.
    Available: https://www.symantec.com/content/dam/symantec/docs/reports/istr-23-executive-summary-en.pdf (Accessed on Dec. 10, 2018)
  6. [Online] Allan Liska, 5 Ransomware Trends to Watch in 2018, Recorded Future blog,
    Available: https://www.recordedfuture.com/ransomwaretrends-2018 (Accessed on Dec. 12, 2018)
  7. SentinelOne: Global Ransomware Study 2018, SentinelOne Report, 2018,
    Available:https://go.sentinelone.com/rs/327MNM087/images/Ransomware%20Research%20Data %20Summary%202018.pdf (Accessed on Dec. 12, 2018)
  8. Cabaj, M. Gregorczyk, W. Mazurczyk, “Software-define d networking-base d crypto ransomware detection using HTTP traffic characteristics,” Computers and Electrical Engineering, Vol. 66, 2018, pp.353-368.
  9. [Online]趨勢科技2017年度資安總評報告以獲利為主的駭客攻擊稱王Available:http://www.trendmicro.tw/tw/aboutus/newsroom/releases/articles/20180309101025.html (Accessed on Dec. 24, 2018)
  10. Jian-Zhi Zhao, On the Study of HTTP Based Suspicious Traffic Detection Mechanism, Master Thesis, Department of Information Management, National Central University, Taoyuan city, Taiwan, 2016.
  11. Kuai Xu, Feng Wang, Lin Gu, “Behavior analysis of internet traffic via bipartite graphs and one-mode projections,” IEEE/ACM Transactions on Networking, 22(3), pp.931-942, 2014.
  12. Daiki Chiba et al., “BotProfiler: Detecting Malware-Infected Hosts by Profiling Variability of Malicious Infrastructure,” IEICE Transactions on Communications, 2016(5), pp.1012-1023, 2016.
  13. Justin Ma et al., “Beyond blacklists: learning to detect malicious web sites from suspicious URLs,” 15th ACM SIGKDD international conference on Knowledge discovery and data mining. pp.1245-1254, 2009.
  14. Zarras et al., “Automated generation of models for fast and precise detection of http-based malware,” 12th Annual International Conference on Privacy, Security and Trust, pp. 249-256, 2014.
  15. Grill Martin, Rehak Martin, “Malware detection using HTTP user-agent discrepancy identification, “IEEE International Workshop on Information Forensics and Security (WIFS), 2014, pp.221-226.
  16. 趙健智 and 陳奕明, “基於SVM之可疑HTTP流量偵測, “台灣網際網路研討會(TANET), Oct. 24-16, 中壢, 台灣, 2018.

第二屆APNIC Hackathon將於二月舉辦!

第二屆APNIC黑客松(Hackathon)為APRICOT 2019暨APNIC 47會議的一部份,將於2019年2月22日至2月24日在南韓大田廣域市舉行。

黑客松(hacking marathons)為一群人在一段時間內相聚在一起集中精力,以緊密合作的形式去進行某項專案。第二屆APNIC黑客松主題為”A DRUM”(Addressing Delegation, Routing and Usage Measurement),參與者將協助解決與其相關的挑戰。

APNIC Hackathon相關資訊請參閱網站: https://2019.apricot.net/program/hackathon/