成為TWNIC IP會員好處多,擴大Final /8 IPv4位址申請對象,數量有限敬請把握!

全球IPv4位址即將用罄,Final /8是最後取得自有IPv4位址的機會!申請者應為中華民國法律設立之公司、非營利社團法人或財團法人、中央或地方政府、學校單位,並以於台灣地區有IP位址使用需求者為原則。前述單位想要自建網路,有自己的IP位址與其他ISP進行互連的使用需求,都可擁有唯一一次從Final /8 網段中取得1,024個IPv4位址的機會(核發數量依據APNIC政策調整)。

若ISP已提供我IP位址,為什麼還要申請IP位址?IPv4位址枯竭,ISP能分配給企業或機構使用的IPv4位址已經非常稀少,擁有自有IPv4位址才能掌握網路控制權且IPv4位址屬於企業的數位資產。

Final /8 pool 為103開頭之網段,若單位尚未申請Final /8 pool,皆符合此次IP位址申請資格。如何確認是否申請過Final /8 pool,請至以下網頁查詢:https://rms.twnic.net.tw/twnic/Search-enduser.htm

於APNIC申請過Final /8 pool者,不符合申請資格。若單位已是APNIC成員,可考慮將會籍移轉至TWNIC,維護年費比APNIC較優惠且可獲得TWNIC的local support。

目前申請 Final /8 IPv4位址,將可一併獲得 /32 IPv6位址。Final /8 IPv4位址數量有限,敬請把握!實際方案依官方網站公布為主,詳情請上:http://ipapply.tw

為何值得為IPv6的建置努力的三大理由

IPv4網際網路協定,作為網路營運的基礎資源,撐起了過去三十多年全球網際網路的蓬勃發展,隨著IP位址不足,而訂定的下一代網際網路協定IPv6,也已經發展了二十年,Nick Buraglio於2018年12月,在APNIC Blog發表一篇〝Three reasons why IPv6 is worth the effort〞的文章,作者在文中提到,建議中小型網際網路服務業者,採用IPv6協議的三大理由,以下就其所提的理由,摘要說明。

  • 提供點對點的連結(End-to-end connectivity)。
    在萬物互連的時代,點對點連結的規範,已形成越來越重要的態勢。點對點連結具有安全上的優勢外,對缺乏連結性的端點來說,使用者要求提供點對點連結的服務的需求越來越強烈,尤其是在遊戲社群之間的討論及需求相當明顯,並創造了對互聯網服務業者具有相當影響力的客戶需求聲量。很多系統(例如XBox Live)為了解決點對點連結的問題,以透過IPv4隧道來傳輸IPv6,但這並非根本的解決之道,只有啟用本機的IPv6才是最好的解決方案,也才能提供用戶最佳的體驗。
  • 降低網路的複雜度(Reduced network complexity)。
    在全球IPv4位址短缺的狀況下,許多網際網路服務業者,以網路位址轉換(Network Address Translation,NAT)技術作為解決方案, 但隨著網路位址轉換的增加,使得位址需要經過層層轉換,增加其複雜度及減低效率,同時可能伴隨降低網路安全的可能性。NAT只是過渡機制,而非解決方案,IPv6才是正解。
  • 軟硬體及內容服務對IPv6的普遍性支援。
    和五年前相比,網路核心的軟硬體對IPv6的支援能力都已經到位。而主要內容服務商,如Google及Facebook,都有支援IPv4/IPv6雙軌服務。美國大多數的網際網路接取服務業者,支援雙軌服務的時間也已經相當多年。而印度佈署IPv6網路連線,成功的將5億人口連接起來,更是最佳的成功案例。由實際狀況可顯示IPv6的支援已經有相當的普及率。

IPv6已經是現在式,而非未來式。還在等什麼?快來熱情擁抱IPv6吧!

若對原文有興趣,請參閱APNIC部落格,網址為:https://blog.apnic.net/2018/12/13/three-reasons-why-ipv6-is-worth-the-effort/

巴黎籲請信任與安全的網路空間倡議,到底在倡議甚麼?

Created by pressfoto

2018年11月12日,由聯合國教科文組織(The United Nations Educational, Scientific and Cultural Organization,UNESCO)主辦的網路治理論壇(Internet Governance Forum,IGF)於法國巴黎揭幕,法國總統馬克宏開幕典禮的致詞中提出《巴黎籲請信任與安全的網路空間》(Paris Call for Trust and Security in Cyberspace)倡議,國際報導報導稱其為史上最完整、獲得最多支持的網路安全國際協議,堪稱網路安全的《日內瓦公約》。


《巴黎籲請信任與安全的網路空間》倡議是以保護全球網路空間為目標主軸的高階宣言,主要建立在聯合國資訊社會高峰會的突尼斯宣言(Tunis Agenda for the Information Society)中有關「各國與其他共同利害關係方的各自角色定義」的基礎上,呼籲大家共同承擔責任,改善網路空間信任、安全與穩定。該倡議重申了國際法適用於網路空間,並邀請各個利害關係方在和平或衝突期間為網路空間的受害者提供支持,也重申布達佩斯公約是打擊網路犯罪的關鍵空具,提出私部門企業應對其產品的安全負責,並展開更廣泛的數位合作與能力建構相關工作。

在《巴黎籲請信任與安全的網路空間》倡議當中列出,透過強化多方利害關係人取向、廣泛合作等方式,承諾達到下列 9 個項目:

  1. 強化對惡意線上活動的預防與復原,包括對個人和關鍵基礎設施造成嚴重威脅與傷害的活動;
  2. 防止損害網際網路公共核心*可用性與完整性的活動;
  3. 共同合作以防止外國惡意行為者破壞或干擾選舉過程;
  4. 防止利用 ICT 竊取包括企業商業機密等智慧財產權;
  5. 制定防止線上惡意程式與技術擴散的方法;
  6. 從整個數位產品與服務的生命週期與供應鏈加強其安全性;
  7. 支持強化所有人的網路衛生(cyber hygiene)之活動;
  8. 防止包含民間企業在內的非政府組織就攻擊事件採駭客反擊**方式因應;
  9. 推動已受廣泛接受與實施的國際負責任行為準則,以及網路空間信任建構措施。

目前已有超過450個單位簽署該項倡議,包括 57 個國家政府,以及微軟、Google、Facebook、Intel、三星、富士等超過 280 家民營企業或工商團體,以及逾 110 家公民團體、大學及國際組織等單位。不過,幾個重要網路科技強國如美國、中國大陸、俄羅斯等都沒有簽署。簽署者也將於今年的巴黎和平論壇與柏林 IGF 集會,以追蹤相關成效與進展。

對於法國總統馬克宏提出的《巴黎籲請信任與安全的網路空間》倡議,微軟總裁史密斯 (Brad Smith) 表示,資訊科技已被用來威脅民主,而民主社會需要提出因應,其也認為受到廣大支持的巴黎倡議是邁向數位和平的重要一步。

最古老的網路組織Internet Society也是簽署單位之一,其在新聞稿中特別強調此倡議只是網路安全推動的開始,而網路安全也不會因為修好或升級某個技術、也不可能透過一個聲明或主張就能達成。其認為,在絕對的網際網路安全無法實現的前提下,大家應該將重點置於風險的管理,透過安全管控措施來分散此風險。Internet Society也隨時會為各利害關係方提供在面對網路安全挑戰上的指導與建議。

但也有媒體與學者對此倡議持保留態度,認為除重要網路科技強國未簽署外,幾個經常傳聞發動網路攻擊的國家(如伊朗與北韓)也都沒有簽署此倡議,加上倡議內容沒有從法律層面要求強制履行,即便違反承諾者也沒有任何罰則,因而提出此倡議恐只能作為「網路空間需要外交與合作之象徵」或是「無法發揮作用的公關噱頭」。網路治理學者 Milton Mueller 雖肯定該倡議宣導常規以及官產學通力合作以加強網路空間安全的主張,但也提出若干隱憂,包括許多政府與組織樂於簽署類似協議以加強公關形象,但不見得會落實執行。

補充說明:

* 網路公共核心包括:封包路由與傳送、IP 位址及網域名稱、安全與識別加密機制,以及實體傳輸媒介

**駭客反擊(hack-back):組織(特別強調是非政府的企業或其他組織)在面對網路攻擊採反擊作為因應。駭客反擊可分為探索型(被動尋找被駭原因)、預防型(防範受駭)及報復型(受駭後的報復性反擊)等三種,其中以報復型最受爭議。

參考資料:

TWNIC公布2018年第4季台灣網際網路連線頻寬調查

根據台灣網路資訊中心(TWNIC)進行的「台灣網際網路連線頻寬調查」結果顯示,於2018年12月底統計,我國對外連線總頻寬達2,772,243Mbps[圖一],較上一季增加419660,784Mbps。台灣網路資訊中心每年定期公佈網際網路相關數據調查資料。其中「台灣網際網路連線頻寬調查」即提供包含台灣與國際網際網路互動以及國內各ISP互聯狀況最即時、最詳細的網路頻寬連線數據與消長趨勢相關資料。

關於連線國家與地區

在連線國家/地區方面,於2018年12月底統計,我國與國外12個國家/地區連網。在國外連線頻寬方面,其中美國以1,393,033Mbps連線頻寬居我國最主要的連網國家,其他依序為日本(534,035Mbps)、香港(419,706Mbps )、中國大陸(242,013 Mbps) 、新加坡(90,638Mbps)等[表一]。整體而言,我國對外連線之國家除美國、英國之外,皆以亞太地區為主。

關於國內外連線頻寬

在國外連線頻寬,HiNet(中華電信數據分公司) 、TFN(台灣固網)、NCIC(新世紀資通)為我國前三大的連外頻寬機構。

在國內ISP互連頻寬,TFN(台灣固網)、HiNet(中華電信數據分公司) 、Taiwanmobile (台灣大哥大)、emome(中華電信行動通信分公司) 、NCIC(新世紀資通),為前5大ISP互連頻寬之單位。

本次調查係以Email通知TWNIC『連線頻寬登錄查詢系統』(https://map.twnic.net.tw) 之連線頻寬調查聯絡人(共85家),請其在調查日期內至系統登錄本季資料,調查日期為2019年1月4日至2019年1月11日。為了確保連線頻寬資料之正確性,本調查系統有輔佐核校之功能,當兩ISP互連,但兩方填寫資料不一致,或有一方未填寫時,本調查系統會自動將兩邊互連資料不符之處E-mail給兩方填寫人,並請其作進一步之校對。故此調查所列國內連線頻寬資料皆為互連雙方核對無誤之資料。

本次調查之各項詳細資料,請參閱『連線頻寬登錄查詢系統』https://map.twnic.net.tw,相關查詢要項如下:

  1. 本季頻寬資料
    請點選『連線頻寬統計報表』,選擇查詢國內或國外連線頻寬,再選擇公布時間2019年1月,將出現本季連線頻寬資料。
  1. HTML5連線頻寬圖
    請點選『HTML5連線頻寬圖』,選擇公布時間2019年1月,將出現本季動態連線頻寬圖。
  1. 各家連線調查單位詳細資料
    請點選『連線調查單位資料查詢』,選擇所欲查詢之連線調查單位之單位屬性與公司名稱後,便出現此連線調查單位詳細資料。
每年國外連線總頻寬成長圖 (單位:Mbps) 2019/1月製圖
項目 連線國家 2018/03 2018/06 2018/09 2018/12 佔本百分比 與上季成長率
1 美國 1,260,927 1,260,927 1,032,841 1,393,033 50.25% 25.86%
2 日本 446,268 454,401 524,035 534,035 19.26% 1.87%
3 香港 355,551 363,306 401,240 419,706 15.14% 4.40%
4 中國大陸 194,927 199,879 242,013 243,013 8.77% 0.41%
5 新加坡 51,571 51,571 80,638 90,638 3.27% 11.03%
6 南韓 43,328 53,280 45,815 45,815 1.65% 0.00%
7 英國 12,100 12,100 12,100 32,100 1.16% 62.31%
8 菲律賓 10,778 10,778 10,778 10,778 0.39% 0.00%
9 馬來西亞 6,010 6,010 6,010 6,010 0.22% 0.00%
10 泰國 556 556 556 556 0.02% 0.00%
11 越南 411 411 411 411 0.01% 0.00%
12 沙烏地阿拉伯 156 156 156 156 0.01% 0.00%
總計 2,378,567 2,409,367 2,352,583 2,772,243 100.00% 15.14%

「2018台灣網路報告」發布

「2018台灣網路報告」主要目的為希望能夠完整呈現台灣網際網路發展與應用服務的趨勢,並將台灣整體網路使用圖像與使用者輪廓,藉由長期追蹤調查研究,以量化分析與質化研究,綜整台灣網路整體面貌,將量化研究調查的數據與圖表,及質化研究對台灣網路發展之趨勢和分析,以網頁的方式提供給國內產官學界參考。而今年,TWNIC更以英文網站將「台灣網路報告」研究成果公布在網路上,讓國外投資者能更方便的直接透過TWNIC所建立的「台灣網路報告」網站,取得台灣網路現況與發展的第一手資訊。

根據今年的調查發現,全國上網人數推估已達1,866萬,整體上網率達79.2%;家戶上網部分,推估全國可上網戶數為705萬戶,上網比例達80.9%。而其中,我們有三個主要的發現:第一,調查顯示12歲以上在近半年來的行動上網率逐年上升,在2018年首度突破七成,較2017年成長近一成。而相對的,近半年在戶外或公共場所使用WiFi的上網率,則首度呈現下滑,和去年相較,使用率下滑約一成五左右,這個有趣的發現與消長,就發生在2018年,由於行動上網使用率的不斷提升,預測將會引領並帶動新一波的行動網路經濟。

第二個發現,這是和行動網路使用成長相呼應的,在第一個主要發現當中,雖然行動網路使用成長,但根據今年的調查中發現,行動支付的成長卻相對緩慢,2018年的調查結果是16.3%使用率,和去年相較只成長2.3%。這也是一個很有趣的發現,當行動網路使用率不斷攀升的同時,行動支付的使用率與接納度卻僅有緩步成長。且國外行動支付品牌市占率持續顯著增加,壓縮國內品牌市場。但隨著今年純網銀執照的發放,純網銀的成立與行動網路的普及之加乘效果對於行動支付使用的影響仍有可持續的發展空間。

報告第三個發現是針對網路邏輯層的部分,台灣 IPv6 滲透率在 2018 年 1 月 1 日僅為 0.46%,到 2018 年12 月底 IPv6 滲透率約為 29.46%,取得了顯著的成長。台灣 IPv6 部署顯著成功因素包含:營運商全力支持 IPv6 部署;其次,大多數網路設備和行動電話都支援IPv6,第三個因素是市場競爭,一旦第一個運營商獲得IPv6 服務的成功結果,同時也刺激其他競爭者在 IPv6 市場領域競爭。這種競爭將帶來更多的創新,這將有助於網絡空間進入下一代網際網路。

最後,綜整本次研究結論顯示出:台灣在完善的基礎建設和成熟的網路環境下,都為台灣下一波經濟發展帶來無窮的動能,而未來台灣在全球網路整體生態環境下的機會在哪裡?我國積極建構數位創新環境、增進數位經濟發展,在產業端擁有厚實的工業基礎,加上長期累積豐富的智慧產品供應鏈經驗,與活躍參與網路的網民,都是相當利於數位經濟發展的優勢。

 

相關新聞報導請參考:

TVBS  台灣網路環境成熟 競爭力躋身國際

民視    去年上網人數推估1866萬人 整體上網率達79.2%

加密勒索病毒對資安帶來的衝擊

張宏義/國立嘉義大學資訊管理學系 教授

隨著科技的進步與時間的累積,加密勒索病毒的種類已經有著成千上萬種的類型,最耳熟能詳的莫過於2017年5月份的驚天案例 WannaCry勒索病毒[1],該勒索病毒大規模感染了包括西班牙電信、英國國民保健署、聯邦快遞和德國鐵路股份公司等等。據當時的報導,至少有99個國家在同一時間遭受到該勒索病毒的感染,且都被要求支付等同於300美元的比特幣才可以解密,可見勒索病毒的影響範圍之廣,對於勒索病毒不管是政府機關或者是民間企業都是需要加以重視。WannaCry的影響範圍之所以可以達到這麼的廣泛,進而達到全球攻擊,是因為WannaCry是利用了目前世界最被廣泛使用的Microsoft Windows系統中的永恆之藍(Eternal Blue)漏洞,WannaCry經過網際網路對Microsoft Windows作業系統進行攻擊,是一種加密型勒索軟體兼具蠕蟲病毒。該病毒利用AES-128和RSA演算法惡意加密檔案,並在完成加密後自行刪除原始檔案以勒索比特幣。加密勒索病毒實質地造成使用者影響,特別是許多企業組織也因此造成重要或營運文件被加密等損失[2]。甚至傳出許多工業控制系統、工業生產線的因感染加密型勒索病毒而導致停工的案例,如2018年8月時台灣的科技業龍頭台積電感染了WannaCry的一個變種,導致台積電的生產網路中斷3日才陸續恢復正常,當季損失78億台幣的營收。事後調查起因為準備上線的一部本身已帶有病毒的新機台,在未經網路隔離及防毒系統處理的人為疏忽因素所造成[3]。本作者也在查詢加密勒索病毒的資料時,被感染勒索病毒,如圖1。因此,加密勒索病毒對企業帶了不小的衝擊,姑且不論是否要付贖金取得解密金鑰救回檔案,如何追蹤加密行勒索病毒的感染途徑以避免再度衝擊內部網路及營運是大多數企業組織較為重視的議題之一

感染加密勒索病毒的電腦畫面

根據來自NTT Security的2018年全球威脅情報報告(GTIR)[4]指出勒索病毒的影響較前年上升了350%,其中WannaCry為勒索病毒的傳播速度設定了新標準,在一天內影響了400,000台機器和150個國家。在此同時,賽門鐵克[5]與Recorded Future[6]對於2018年勒索病毒的觀察均發現勒索病毒的變種愈來愈多樣化,Recorded Future更進一步指出,在2017年1月起13個月內發現的勒索病毒變種就增加了74%。SentinelOne[7]一份針對勒索病毒的研究調查指出其散佈感染主要途徑為釣魚電子郵件或社群網路、經被入侵的網站下載(Drive-by-download)、透過Botnet或蠕蟲病毒感染。其中經被入侵的網站下載的感染途徑曾在2016年造成大量的正常使用者被勒索病毒感染,攻擊者透過廣告聯盟發放會出現在大型網站如:《紐約時報》、BBC 、MSN 等的惡意廣告,藉此安裝勒索軟體或病毒。在大型網站或入口網網頁中由廣告聯盟透過Json或腳本(script),讓瀏覽網頁的使用者在觀看網頁時,重導到真正放置廣告圖片的第三方主機中。攻擊者透過入侵或租用廣告等方式,取得第三方主機的存取權限,並植入隨機感染的勒索軟體或病毒。這類的方法能夠於大量的合法網站快速散播且不需與個別網站進行溝通即可擴大勒索軟體或病毒感染範圍。

加密勒索病毒是如何運作的呢? 加密技術為勒索軟體的重點之一,目前已從過去的對稱式金鑰加密(symmetric key cryptography)改良成非對稱式金鑰加密(asymmetric key cryptography),如圖2。在2017年,林敬黃與王周玉的論文「勒索病毒感染途徑個案鑑識分析為例」[2]中提到,當使用者機器被勒索病毒感染時將透過多個 Proxy Server(通常是合法但已被駭客入侵的proxy server) 連上C&C (Command & Control) Server請求 Public Encryption Key。在C&C Server中,會為每個感染的機器產生成一對Public/Private Encryption Key,並將Public Encryption Key傳回到受感染的主機(Private Encryption Key不會離開C&C Server)。然後,Public Encryption Key將用來加密對用戶來說是最重要的文件,勒索成功後,在要求贖金過程,為求隱匿網路位址,要求受害者使用高匿名性的比特幣(Bitcoin)進行贖金支付。

典型的基於非對稱金鑰加密的勒索病毒運作流程[8]
2017年利用勒索病毒及虛擬貨幣挖礦程式獲利的惡意程式數量持續攀升,儼然成為駭客的主要攻擊手法。而全球企業因勒索病毒而損失的總金額高達50億美元,比起2016年增加了四倍之多,而台灣受勒索病毒攻擊的次數更是高達千萬次以上,全球排名向上升了兩名[9]。McAfee lab提到超過60%的C&C Server是以HTTP協定當作攻擊者與受害主機之間的通道,目的是為了向駭客的C&C Server溝通,因企業的防火牆通常會允許80 Port通過,加上大量的HTTP流量讓可疑流量不易被發現,因此HTTP協定經常被駭客做為攻擊的管道。根據文獻[10],C&C伺服器利用不同協定做為溝通管道的比例如下圖3所示。

C&C伺服器使用不同協定比例圖[10]
因HTTP流量讓可疑流量不易被發現的緣故,要完全防止主機受到惡意程式感染變得十分困難,因此若能從受害主機的HTTP流量中即早發現試圖進行惡意活動的流量,將能有效減少資料外洩以及受其他惡意程式威脅的風險。早期一般採用黑名單機制,由專屬組織來判定惡意網站、惡意伺服器的IP或是惡意的域名並記錄下來,以防有任何主機受害,但如果專屬組織在評估該網站是惡意網站時誤判,或是該網站太新而來不及評估都可能導致惡意網站無法及時記錄在黑名單中,因此黑名單和白名單機制存在一些缺點。對於偵測未知攻擊手法可以利用正常主機的連線行為,來判斷該連線是否異常,而通常需收集正常主機之間的關係。Xu等人[11]提出主機之間共同拜訪網站數量為判斷的特徵,但是利用這種正常主機行為模型都需要大量的正常主機資料。有些學者以惡意軟體封包上的HTTP協定特徵來判斷該封包是否為惡意,Chiba等人[12]蒐集2011年八月到2012年十二月的惡意軟體封包建立模型,雖然不需要大量的正常主機資料,但卻反而需要大量惡意軟體封包資料,此外因為是以已知惡意軟體為基礎建立模型,可能對未知惡意軟體無法做出有效的偵測。

隨著利用HTTP可疑流量進行溝通的惡意軟體日益增加,研究人員也開始致力於提出解決方案,在學術研究上,有不少學者以預測流量的方式,提出HTTP可疑流量的偵測演算法。Ma等人[13]的研究中提到惡意軟體和正常使用者所發出的HTTP流量不論是在網域名稱、連線行為或是HTTP封包上都有所不同,在HTTP協定上仍有許多非主機之間連線行為特徵,例如:HTTP封包中referer欄位是否被使用,使用的HTTP標頭數量等都可以被利用來建立正常主機模型,用來偵測未知攻擊,不需要依靠大量主機資料才能建立模型。Zarras 等人[14]提出每一個應用程式所發出的HTTP封包中,HTTP Header 的順序會有所不同,主要原因是RFC文件中並未規定HTTP Header的順序,因此每個應用程式在實作HTTP協定時需自行設定順序,因此HTTP Header的順序可以用來偵測惡意軟體所發出的HTTP流量。Chiba等人[11]認為受害主機內的惡意軟體所發出的HTTP request中含有固定的關鍵字,因此在計算兩個HTTP request封包的相似度時,應該要將關鍵字去除,才能降低誤判率,該研究驗證結果可減少2% 的誤判率。Matin等人[15]為了偵測惡意軟體所發出HTTP封包,從User-Agent的觀點出發,將User-Agent分為五種類型。(1) Legitimate user’s browser:指的是一般使用的瀏覽器。(2) Empty:指User-Agent為空值。(3) Specific:指非瀏覽器類型的User-Agent。(4) Spoofed:指的是惡意軟體為了避免被偵測到,會入侵使用者正在使用的瀏覽器,利用合法瀏覽器發出惡意活動的流量。(5) Discrepant:指惡意軟體偽造瀏覽器所發出的HTTP封包,在User-Agent的欄位上改成和使用者一樣的瀏覽器,而非入侵使用者的瀏覽器。為了要分辨Empty類型惡意封包,方法是這類型的封包大多是要進行更新服務,若某個網址只有少數的使用者用Empty類型封包發出請求,則可能是惡意軟體所發出的;如果是合法的Specific類型封包,其出現的頻率應該會大於那些惡意的Specific類型封包,透過統計每一個Specific類型封包的在網路中的出現次數便可以建立偵測模型;另外,一般使用者大部份不會在系統中安裝兩個不同版本以上的相同瀏覽器。透過調查一個主機中出現兩個不同版本而相同瀏覽器的HTTP封包是不是因為剛好瀏覽器更新造成,再加上統計每個瀏覽器版本封包在網路中出現的次數,便能給予可疑封包一定的惡意程度。

近年來機器學習、深度學習及人工智慧技術日益成熟,Chao等人[16]於2018年提出以支援向量機(Support Vector Machine,SVM)模型,來進行HTTP可疑流量偵測的演算法開發,有別於其他研究,該研究利用HTTP協定上GET封包、POST封包以及RESPONSE封包的特徵建立一個有效GET請求封包偵測模型,結合SVM技術,將一群少數主機的在正常情況下,所發出的HTTP流量當作訓練資料,建立一個正常主機模型,再將惡意軟體所發出HTTP流量以及不包含在訓練資料的另一個主機所發出流量當作測試資料,當現時流量的惡意分數大於0.5時則判定該流量為惡意流量,該演算法向管理人員提出警告,如公式1所示,P(x)1代表在Stream x中GET封包被判斷為惡意的數量;P(x)2代表在Stream x中POST封包被判斷為惡意的數量;P(x)3代表在Stream x中RESPONSE封包被判斷為惡意的數量,W1W2W3則是各代表每一個類型封包的權重,T(x)則是Stream x中GET封包、POST封包以及RESPONSE封包的數量總合。該預測模型比利用惡意流量建立的預測模型擁有較高的未知惡意流量偵測能力,其偵測率達到88%。

 

參考文獻

  1. [Online] WannaCry-維基百科,
    Available: https://zh.wikipedia.org/wiki/WannaCry (Accessed on Dec. 25,2018)
  2. 林敬皇 and王周玉, “勒索病毒感染途徑個案鑑識分析, “台灣網際網路研討會(TANET), Oct. 24-16, 中壢, 台灣, 2018.
  3. [Online] iThome Online,陳曉莉,台積電遭病毒感染原因出爐:新機台安裝軟體時操作不慎Available: http://www.ithome.com.tw/news/125007 (Accessed on Dec. 6,2018)
  4. [Online] NTT Security,2018 Global Threat Intelligence Report, NTTDATA NTT Security, 2018,
    Available: https://www.nttsecurity.com/docs/librariesprovider3/resources/gbl-ntt-security-2018-gtir-summary-uea.pdf?sfvrsn=e8c7f625_4 (Accessed on Dec. 6, 2018)
  5. [Online] Symantec, 2018 Internet Security Threat Report, Symantec ISTR vol.23 , March, 2018.
    Available: https://www.symantec.com/content/dam/symantec/docs/reports/istr-23-executive-summary-en.pdf (Accessed on Dec. 10, 2018)
  6. [Online] Allan Liska, 5 Ransomware Trends to Watch in 2018, Recorded Future blog,
    Available: https://www.recordedfuture.com/ransomwaretrends-2018 (Accessed on Dec. 12, 2018)
  7. SentinelOne: Global Ransomware Study 2018, SentinelOne Report, 2018,
    Available:https://go.sentinelone.com/rs/327MNM087/images/Ransomware%20Research%20Data %20Summary%202018.pdf (Accessed on Dec. 12, 2018)
  8. Cabaj, M. Gregorczyk, W. Mazurczyk, “Software-define d networking-base d crypto ransomware detection using HTTP traffic characteristics,” Computers and Electrical Engineering, Vol. 66, 2018, pp.353-368.
  9. [Online]趨勢科技2017年度資安總評報告以獲利為主的駭客攻擊稱王Available:http://www.trendmicro.tw/tw/aboutus/newsroom/releases/articles/20180309101025.html (Accessed on Dec. 24, 2018)
  10. Jian-Zhi Zhao, On the Study of HTTP Based Suspicious Traffic Detection Mechanism, Master Thesis, Department of Information Management, National Central University, Taoyuan city, Taiwan, 2016.
  11. Kuai Xu, Feng Wang, Lin Gu, “Behavior analysis of internet traffic via bipartite graphs and one-mode projections,” IEEE/ACM Transactions on Networking, 22(3), pp.931-942, 2014.
  12. Daiki Chiba et al., “BotProfiler: Detecting Malware-Infected Hosts by Profiling Variability of Malicious Infrastructure,” IEICE Transactions on Communications, 2016(5), pp.1012-1023, 2016.
  13. Justin Ma et al., “Beyond blacklists: learning to detect malicious web sites from suspicious URLs,” 15th ACM SIGKDD international conference on Knowledge discovery and data mining. pp.1245-1254, 2009.
  14. Zarras et al., “Automated generation of models for fast and precise detection of http-based malware,” 12th Annual International Conference on Privacy, Security and Trust, pp. 249-256, 2014.
  15. Grill Martin, Rehak Martin, “Malware detection using HTTP user-agent discrepancy identification, “IEEE International Workshop on Information Forensics and Security (WIFS), 2014, pp.221-226.
  16. 趙健智 and 陳奕明, “基於SVM之可疑HTTP流量偵測, “台灣網際網路研討會(TANET), Oct. 24-16, 中壢, 台灣, 2018.

第二屆APNIC Hackathon將於二月舉辦!

第二屆APNIC黑客松(Hackathon)為APRICOT 2019暨APNIC 47會議的一部份,將於2019年2月22日至2月24日在南韓大田廣域市舉行。

黑客松(hacking marathons)為一群人在一段時間內相聚在一起集中精力,以緊密合作的形式去進行某項專案。第二屆APNIC黑客松主題為”A DRUM”(Addressing Delegation, Routing and Usage Measurement),參與者將協助解決與其相關的挑戰。

APNIC Hackathon相關資訊請參閱網站: https://2019.apricot.net/program/hackathon/

重要提醒!!「at.tw 翻轉域名實驗計畫服務」免費試用期申請之域名,敬請把握最後續用繳費期限

TWNIC「at.tw 翻轉域名實驗計畫服務」推出後,深獲廣大網友們的喜愛與熱烈申請。本服務首重快速申請、簡易設定的流程,翻轉您對架站的概念。申請過程不需輸入任何個資,只需輸入電子郵件及您所要設定轉址的URL,例如您的FB粉絲專頁或現有網頁平台等連結。申請好並完成電子郵件身份驗證後,只要短短數分鐘開通更新時間,即可在網址列上輸入您的專屬網址。

提醒您,凡於免費試用申請期間所申請的域名,皆已於2018年12月31日到期,至今如尚未完成續用繳費,域名已經凍結使用,倘若於到期日後之第33天仍未完成繳費,域名將被刪除釋出。為保護您的網域名稱使用權益,請儘速完成續用繳費,以恢復網域名稱正常運作。

at.tw網域名稱專案優惠價格為新台幣99元/個。不論新申請或續用,一經繳費後網域名稱可延長使用至2020年12月31日止。目前提供「線上信用卡」及「便利商店代收」二種繳費方式,請進入本服務網站 https://at.twnic.net.tw,點選上方選單【登入】網域名稱及密碼後,選擇【設定】→【域名繳費】即可進行域名繳費。

歡迎對本服務有興趣之用戶提出申請,相關服務註冊資訊請詳網站:https://at.twnic.net.tw

如對本服務有任何建議,亦歡迎來信與我們連繫。感謝對at.tw網域名稱的支持及愛用。謝謝。