語言是進入網際網路的第一把鑰匙

全球化與網際網路發展的影響下,英文成了國際間通用的語言。使用網際網路必須要先透過26個英文字母,或至少得先記住幾個入口網站或搜尋引擎網站的英文位址,再自透過搜尋或入口網站的連結找到自己的目的地。自下圖可以得知在網際網路裡最常被使用的前十大語言:

閱讀全文 “語言是進入網際網路的第一把鑰匙”

從虛擬行動網路社會之形成探討我國網路發展契機與挑戰

一個社會的形成涵蓋了許多因素,不論是從社會、經濟或是文化層面來說,使用者都是其中的重要一環。從台灣網路資訊中心(Taiwan Network Information Center, TWNIC)所執行的「2018台灣網路調查報告」中指出,台灣12歲以上的網路使用者已突破1,738萬人,使用行動網路的族群也達到1,637萬人。在行動網路如同電力、自來水等基礎設施一般成為生活不可缺乏的事物之時,在傳統的社會中也形成了一個以行動網路為基礎所建構的虛擬社會,新的應用藉由網路可以隨時提供服務,這個嶄新又具活力的虛擬空間中,新的社群溝通、交易模式、資訊娛樂的應用服務,以全然未有的網路社會模式建立了新的虛擬空間的秩序和制度。藉由觀察整體網路環境所架構與匯聚而成的新社會結構,本文希望從社會、經濟、文化等面向,進一步探討目前網路發展的現況。

圖1:上網率說明

隨著虛擬行動網路的形成,帶來新經濟模式與新型態應用,台灣的網路環境正面對許多新興的應用快速發展,這些應用對台灣的商業、媒體與社會有著不同程度的影響,社群媒體的使用率已達到80.6%,通訊使用率更高達96.8%,顯示出台灣網民頻繁的使用社群分享動態,各項資訊可迅速透過社群平台傳播。社群平台主要的應用在於關心他人動態、分享自己近況與他人交流互動等活動。即時通訊則以交換文字訊息、貼圖與通話的模式,逐漸取代傳統文字簡訊以及電話通訊的市場。相對的,由於訊息內容不論真實與否皆可藉社群媒體快速流通,聳動的不實訊息的散播速度常快於更正訊息;也可能在僅有一方片面訊息的情況下,分享的訊息讓閱聽者建立對訊息錯誤的認知與誤解,令人無法輕視社群媒體帶來的影響與衝擊。這些訊息成為了網路社會的常態,讓閱聽者能夠開始學習判定訊息的真實性,不信任不實訊息的來源。

網民對網路服務的黏著度越來越高,使得個人資料與通訊也都依賴在提供網路服務的平台上。讓平台掌控了使用者提供的所有資訊,這些平台可以輕易建立使用者的剖析資料,進而掌握使用者的個人資料、生活型態與日常喜好等,將這些隱私資訊作為商品供廣告商投放廣告。相對的,由於經濟、年齡等各種原因無法存取網路服務的使用者則落入了數位落差的陷阱中,難以藉由科技創新提供的服務改善自身困境,這也是在發展新興網路服務時所需要考慮到能否普惠的層面。

圖2:台灣網民對網路應用的認知概觀

經濟方面,報告顯示台灣網民在網路交易物品的使用率已達到64.2%,國內外電子商務品牌多元,且均有一定聲望。網民,特別是年輕族群對網路購物的接受度高。特別是知名品牌多為台灣本土業者,相較於其他類型網路服務多為國際品牌來說,台灣廠商在電商品牌認同度上有一定的優勢。但在數位經濟市場擴張迅速的情況下,跨境電商的課稅問題、第三方支付的運作與個人隱私保障等議題皆是在網路上交易物品時可能會遇到的衝擊。這些議題會影響網民使用線上購物時的體驗與新購物品牌選擇進入台灣市場時的考量。數位行動網路摒除了傳統商業中對於時間與地點的限制,讓消費者可以隨時使用服務。新服務業者可藉由投入資本及技術進入市場,以服務建立並拓展新的市場與客群,也刺激了新的需求。購物網站讓消費者不需要到實體店面即可購物,用便利性與廣告投放刺激消費。

台灣的網民使用內容媒體多以年輕族群為主,使用的內容包括聽音樂、看影片、電視節目、戲劇、直播與電影等,網民使用內容媒體服務的頻率高,且涵蓋各種類型的國內外產製內容,使用者願意接受多元的內容來源。網民能夠接受多元的內容讓內容產業能逐漸茁壯,且做出更多類型的新嘗試,吸引願意固定訂閱的忠實客群,並創造穩定的現金流。

但新的內容媒體的來源多來自於國外,台灣本土的內容題材較少,客群也較分散,目前內容來源多以外國戲劇為主,本土的內容產業相較國外內容產業缺乏資金投資及收視率支持,在注意力經濟與其他國外內容競爭使用者時居於劣勢。同時,台灣的使用者對內容媒體付費比率較低,媒體較難將流量化為收益與品牌忠誠度,進而擴張市占率並產製更多新內容。而盜版平台持續存在,對正版平台獲利造成威脅,也可能讓業者對投資台灣影音產業有所卻步。

台灣的網路社會,從社會、經濟與文化等不同面向對台灣社會的發展情形觀察,網路環境已有先進國家的水準,網路滲透率高,使用人口也相當多。當虛擬行動網路社會形成後,網路服務隨時存在的環境對社會、經濟與文化等不同層面各自帶來了挑戰,同時在網路應用與創新上與鄰近國家相比仍有可進步的空間,如台灣剛於七月底核發純網銀的營業執照,但日本、韓國及美國等地純網銀服務發展已久,藉由網路進行交易已是常態,並培養出穩定且忠誠的無實體銀行客戶群,台灣的相關業者能否從類似的經驗取得後發優勢將會是未來發展成功與否的關鍵。這些創新的服務在虛擬行動網路社會蓬勃建立起各式大樓之時,能否藉由不同的措施與政策保障所有人皆能一同享受網路帶來的便利與優點也是未來發展的重點。

美夢成真的量子電腦發展

 

量子電腦自1981年費曼提出可模擬的量子電腦模型,及1985年英國牛津大學杜奇提出量子杜林機,顯示量子電路可行後,世界各國及各大廠都在研發及商轉上投入巨資;尤其近三年來,更是突飛猛進,令人咋舌;除了希望在不久的未來,能全面重新定義我們的未來外,更企圖在全球經濟中重新定義霸權。

首先談談量子電腦吧!全球第一款商用型量子電腦D-Wave One於2011年由D-Wave公司宣告誕生,隨即於2013年釋出的D-Wave Two,被Google及NASA組成的量子人工智慧實驗室所採用,宣稱執行特定演算法比傳統電腦快上一億倍(比超級電腦快3,600倍);而2000量子位元(QuBit)的D-Wave 2000Q於2017年問世,除了Google、NASA外,美國國家實驗室Los Alamos National Laboratory、洛克希德馬丁等均用以進行如網路安全、太空探索、新藥研發等複雜實驗。

對一般無法支付龐大經費的研究者而言,最感歡欣的消息是, D-Wave於2018年所提供的全球第一個即時量子應用環境D-Wave Leap,讓大家可以在雲端即時「免費」使用量子運算!雖然每月僅可免費使用1分鐘,但別小看這1分鐘,以量子電腦的運算速度卻可至少執行4000多個指令呢!想想看,追逐高科技的駭客們應該早已開始使用那免費的1分鐘了吧!我們的資安防護需要拉高警戒嗎?

D-Wave的量子電腦所使用的量子技術在學術界雖有所爭議,認為不是真正的量子電腦,卻也震醒大家:量子電腦有市場、有需求。那麼,學術界所謂真正的量子電腦發展又如何呢?2012年加州理工學院物理學家John Preskill提出「量子霸權」(Quantum Supremacy)的概念,他認為量子電腦要達到50量子位元時,才具有解決傳統電腦無解問題的能力。自此,各家大廠莫不磨刀霍霍,為達量子霸權全力衝刺。

2017年IBM首先宣布IBM Q具有50量子位元,並可望在5年內推出商用、可量產的量子電腦;Google也不甘示弱,於2018年3月推出72量子位元的處理器Bristlecone,號稱錯誤率只有1%;微軟也宣布程式語言Q#,採現行C#、F#、Python等關鍵概念,希望在五年內讓量子電腦進入商業市場。

看到各家大廠如火如荼的競賽,你可否想過:假如你有一台量子電腦時,第一件事你想做什麼?請別告訴我,你想的是如何解決工作上的難題,我可是先想到把剩餘的比特幣挖出來致富!哈哈……可惜的是,不愧是駭客出身的比特幣發明人,早已在2017年底打造全新的比特幣2.0生態系統,宣稱是不怕量子電腦的破解呢!殘念……

2019年新世代企業安全防護之道

文/張凱棊  捷睿智能產品經理

隨著科技進步便利你我生活同時網路威脅(Cyber Threat)也隨之而來。近年來可從報章雜誌、網路媒體介紹國內外知名駭客入侵事件。常見的駭客攻擊不外乎勒索軟體與物聯網和工業控制威脅2大類。勒索軟體,由於加密貨幣興起,有不少駭客也看準比特幣的匿名性等特性,開始利用比特幣從事犯罪交易。2013年9月,加密勒索軟體CryptoLocker使用2048位元的RSA加密金鑰,並將其回傳至主控病毒行動的伺服器。CryptoLocker威脅受害者,若不以比特幣(Bitcoin)或付費卡在三天內繳款,就會將所有加密檔案刪除。2016年3月出現第一個在OS X作業系統上運作的勒索軟體KeRanger。該病毒加密受害者的個人檔案,並且要求1 BTC的贖金以解密檔案。2016年4月病毒Manamecrypt 宣稱加密受害者檔案,並且要求1/3 BTC來解密檔案。 2017年5月WannaCrypt利用Windows系統漏洞進行入侵感染全球超過230,000台電腦,此病毒要求支付價值等同於300美元的比特幣才可解密所有遭加密檔案。2017年10,發現新型勒索軟體「Bad Rabbit」,Bad Rabbit加密了用戶的檔案表後要求支付比特幣解鎖。

閱讀全文 “2019年新世代企業安全防護之道”

台灣網路維運社群發展之路

時間又到了春暖花開的時節,台灣網路維運社群恰好是在一年前杜鵑花開的春季之時開始萌芽。

NOG這個名詞雖然對大部分人來說很陌生,但是在網路技術人員的世界裡,網路維運社群(Network Operators’ Group)卻是早就在世界各地蓬勃發展的社群組織,舉北美地區的NANOG (North American NOG)為例,就是源自於美國國家科技基金會(National Science Foundation,NSF)於1987年開始進行的第一個以國家教育與研究為用途的高速網際網路骨幹計畫,該計畫早期夥伴包括NSF、ANS(Advanced Network & Services Inc.?)、IBM、MCI通訊及密西根州,經過多次定期聚會與交流,逐漸發展為區域型技術會議的形式,最終於1994年在聖地牙哥舉辦的會議中確立了將更多元的網路維運者納入組織,並正式以NANOG為名建立北美地區的網路維運社群。

閱讀全文 “台灣網路維運社群發展之路”

臺灣學術網路(TANet)推動IPv6之歷程成果與未來展望

一、前言

臺灣學術網路(Taiwan Academic Network;以下簡稱 TANet)係由教育部及各主要國立大學,於民國 79 年所共同建立之全國性教學及研究用途之電腦網路,提供包括157所大專校院、511所高中(職)、732所國中、2630所國小等各級學校連線至網際網路,使用者(在校教職員生)約為500萬人左右,為國內極大型網際網路服務提供者之一,服務的應用範圍極為廣泛,需要有大量獨立 IP 位址(Internet Protocol Address)供各級學校使用。因此,配合全球IPv6的推廣,教育部資訊及科技教育司(前身為電子計算機中心)自民國89年申請取得IPv6位址起,民國92年參加IPv6建置發展計畫,積極參與IPv6技術與應用的試驗以及各校IPv6網路環境的升級佈建。

二、重要歷程與成果

為迎接IPv6網路新世代的來臨,教育部於民國98年先透過「新一代校園寬頻有線及無線網路環境計畫」將既有的 TANet 各區域網路中心及縣市教育網路中心之路由器進行汰舊換新,提升其功能至可支援 IPv6 網路資訊新科技應用服務環境,使TANet骨幹網路全面支援 IPv4/IPv6 雙協定網路(Dual-Stack),當時屬於國內率先佈建支援 IPv6 的網路先驅之一,後續更進一步要求各級學校將校園網路環境逐步調整達到支援IPv6 協定,俾便 TANet 能順利過渡轉換至 IPv6 環境中。TANet 在推廣 IPv6 的首要任務便是讓各級學校的 Web 網站及 DNS 服務具有 IPv6 協定的能力,目前各縣市國中、小學網站首頁及DNS服務均已全面支援 IPv6。

經上述推動 Web 及 DNS 服務建構 IPv6 的成功推廣經驗,TANet不但鼓勵各縣市在國中、小學班級教室內佈建IPv4/IPv6 雙協定的網路語音系統,以測試在 IPv6 網路環境也能有 IPv4 一樣的通話品質,經此大規模的網路語音即時通話的使用,也驗證此一應用可順暢的在IPv6 的網路環境運作,更接續再導入校園無線網路支援 IPv4/IPv6 雙協定(Dual-Stack)的建置,以提供校園可使用 IPv6 支援行動載具進行教學活動或是上網查詢資料的能力,

近年教育部積極投入臺灣學術網路(TANet)的網路基礎建設,民國105年由教育部、中央研究院與國家高速網路與計算中心三方在度合作規劃「教育學術研究骨幹網路頻寬效能提升計畫」,選擇暗光纖(Dark Fiber)骨幹網路架構,配合資通訊技術整合規劃技術,同步世界級學術頻寬水準,打造出國家級高品質、高可靠度、高頻寬特性之TANet 100G教育學術研究光纖骨幹網路,加上各級連線學校均已完備IPv4/IPv6雙協定(Dual- Stack)的基礎網路環境,臺灣學術網路(TANet)早已完備接軌全球IPv6學術網路的連網能力,提升我國學研競爭能力。TANet 100G骨幹網路自啟用2年以來,全面承載IPv4/IPv6服務及運用所需的頻寬,根據統計臺灣學術網路(TANet)的傳統IPv4訊務量與IPv6訊務量的比例約為4:1,舉例來說,臺灣學術網路(TANet)連接國際的30G頻寬,其中IPv4訊務量約為16G~20G,而IPv6的訊務量維持在4G~5G左右。日益增加的IPv6流量,在網路管理與資訊安全上,是臺灣學術網路(TANet)努力的目標。

三、臺灣學術網路(TANet)IPv6位址分配現況

臺灣學術網路(TANet)經由 APNIC核發取得[/32] IPv6位址,教育部即著手建立校園IPv6位址配發政策,TANet IPv6位址分配原則如表1。若以TANet取得的[/32] IPv6位址計算,共可核發出16個[/36] IPv6位址,目前已分配出15個[/36] IPv6位址給13個區網(表2)、中研院及教育部本身使用,另配置25個[/39] IPv6位址給22縣市教育網,以供區網及縣市教育網配置[/48] IPv6位址給轄下各連線學校或研究單位使用。

表1:臺灣學術網路(TANet)IPv6位址分配原則

單位 IPv6配發原則
教育部 /36
中央研究院 /36
區域網路中心(區網) /36
縣(市)教育網路中心(縣市教育網) /39
各級連線學校 /48
各級學研單位 /48

 

表2:臺灣學術網路(TANet)IPv6位址配置統計表

區網中心 (/36位址) 負責國立學校 學研單位數 (/48位址) 教育網路中心 (/39位址) 連線總數(/39及/48)
臺北區網1 臺灣大學 41 臺北市教育網 42
臺北區網2 政治大學 29 新北市教育網 31
基隆市教育網
桃園區網 中央大學 29 桃園市教育網 32
金門縣教育網
連江縣教育網
竹苗區網 交通大學 21 新竹縣教育網 24
新竹市教育網
苗栗縣教育網
臺中區網 中興大學 49 臺中市教育網* 52
彰化縣教育網
南投區網 暨南國際大學 19 南投縣教育網 20
雲嘉區網 中正大學 20 雲林縣教育網 23
嘉義縣教育網
嘉義市教育網
臺南區網 成功大學 61 臺南市教育網* 63
高屏澎區網 中山大學 33 高雄市教育網* 37
屏東縣教育網
澎湖縣教育網
宜蘭區網 宜蘭大學 16 宜蘭縣教育網 17
花蓮區網 東華大學 14 花蓮縣教育網 15
臺東區網 臺東大學 11 臺東縣教育網 12
新竹區網 清華大學 2 2
合計 /48計 345段 /39 計25段 370
註1:*表示該縣市教育網中心配給2組/39位址。
註2:區網連線包含大專校院及部分高中職校,各連線單位配置[/48]位址。
註3:縣市教育網連線包含高中職校及國中小學,各連線學校配置[/48]位址。

 

四、未來展望

綜觀未來 TANet 於校園網路 IPv6 之運用,除持續擴大網路語音系統、無線

網路環境及漫遊等相關應用服務使用 IPv6 的比例提高外,教育部將持續推動IPv6政策,透過臺灣學術網路管理會及技術小組,廣泛納入IPv6推動相關議題,研擬開發IPv6技術能力;教育部資訊及科技教育司配合網路基礎建設的提升,將IPv6列為臺灣學術網路(TANet)的推動項目指標,並擴大涵蓋範圍(有線、無線網路)。例如完備IPv6基礎建設,除設備具備IPv4/IPv6雙協定功能外,骨幹網路頻寬升級至100G外,主要縣市教育網路頻寬亦已達到4G~12G,各級學校連線頻寬也逐年升級至300M以上。使用者裝置如電腦、平板、手機等多元化教學工具亦逐步廣泛性支援IPv6連線,未來在配合如機房服務向上集中的國家政策下,臺灣學術網路(TANet)上所有網路服務系統都必須優先提供IPv6服務,同時考量資安防護政策,如推動DNSSEC0 安全防護,完善DNS IPv6的支援等,此外,為達人才培育願景,推動數位校園、智慧學習的目標,教育部在教學面、資源面及環境面均會同步規劃臺灣學術網路(TANet)各項IPv6推廣策略,以達全面性IPv6升級目標。

加密勒索病毒對資安帶來的衝擊

張宏義/國立嘉義大學資訊管理學系 教授

隨著科技的進步與時間的累積,加密勒索病毒的種類已經有著成千上萬種的類型,最耳熟能詳的莫過於2017年5月份的驚天案例 WannaCry勒索病毒[1],該勒索病毒大規模感染了包括西班牙電信、英國國民保健署、聯邦快遞和德國鐵路股份公司等等。據當時的報導,至少有99個國家在同一時間遭受到該勒索病毒的感染,且都被要求支付等同於300美元的比特幣才可以解密,可見勒索病毒的影響範圍之廣,對於勒索病毒不管是政府機關或者是民間企業都是需要加以重視。WannaCry的影響範圍之所以可以達到這麼的廣泛,進而達到全球攻擊,是因為WannaCry是利用了目前世界最被廣泛使用的Microsoft Windows系統中的永恆之藍(Eternal Blue)漏洞,WannaCry經過網際網路對Microsoft Windows作業系統進行攻擊,是一種加密型勒索軟體兼具蠕蟲病毒。該病毒利用AES-128和RSA演算法惡意加密檔案,並在完成加密後自行刪除原始檔案以勒索比特幣。加密勒索病毒實質地造成使用者影響,特別是許多企業組織也因此造成重要或營運文件被加密等損失[2]。甚至傳出許多工業控制系統、工業生產線的因感染加密型勒索病毒而導致停工的案例,如2018年8月時台灣的科技業龍頭台積電感染了WannaCry的一個變種,導致台積電的生產網路中斷3日才陸續恢復正常,當季損失78億台幣的營收。事後調查起因為準備上線的一部本身已帶有病毒的新機台,在未經網路隔離及防毒系統處理的人為疏忽因素所造成[3]。本作者也在查詢加密勒索病毒的資料時,被感染勒索病毒,如圖1。因此,加密勒索病毒對企業帶了不小的衝擊,姑且不論是否要付贖金取得解密金鑰救回檔案,如何追蹤加密行勒索病毒的感染途徑以避免再度衝擊內部網路及營運是大多數企業組織較為重視的議題之一

感染加密勒索病毒的電腦畫面

根據來自NTT Security的2018年全球威脅情報報告(GTIR)[4]指出勒索病毒的影響較前年上升了350%,其中WannaCry為勒索病毒的傳播速度設定了新標準,在一天內影響了400,000台機器和150個國家。在此同時,賽門鐵克[5]與Recorded Future[6]對於2018年勒索病毒的觀察均發現勒索病毒的變種愈來愈多樣化,Recorded Future更進一步指出,在2017年1月起13個月內發現的勒索病毒變種就增加了74%。SentinelOne[7]一份針對勒索病毒的研究調查指出其散佈感染主要途徑為釣魚電子郵件或社群網路、經被入侵的網站下載(Drive-by-download)、透過Botnet或蠕蟲病毒感染。其中經被入侵的網站下載的感染途徑曾在2016年造成大量的正常使用者被勒索病毒感染,攻擊者透過廣告聯盟發放會出現在大型網站如:《紐約時報》、BBC 、MSN 等的惡意廣告,藉此安裝勒索軟體或病毒。在大型網站或入口網網頁中由廣告聯盟透過Json或腳本(script),讓瀏覽網頁的使用者在觀看網頁時,重導到真正放置廣告圖片的第三方主機中。攻擊者透過入侵或租用廣告等方式,取得第三方主機的存取權限,並植入隨機感染的勒索軟體或病毒。這類的方法能夠於大量的合法網站快速散播且不需與個別網站進行溝通即可擴大勒索軟體或病毒感染範圍。

加密勒索病毒是如何運作的呢? 加密技術為勒索軟體的重點之一,目前已從過去的對稱式金鑰加密(symmetric key cryptography)改良成非對稱式金鑰加密(asymmetric key cryptography),如圖2。在2017年,林敬黃與王周玉的論文「勒索病毒感染途徑個案鑑識分析為例」[2]中提到,當使用者機器被勒索病毒感染時將透過多個 Proxy Server(通常是合法但已被駭客入侵的proxy server) 連上C&C (Command & Control) Server請求 Public Encryption Key。在C&C Server中,會為每個感染的機器產生成一對Public/Private Encryption Key,並將Public Encryption Key傳回到受感染的主機(Private Encryption Key不會離開C&C Server)。然後,Public Encryption Key將用來加密對用戶來說是最重要的文件,勒索成功後,在要求贖金過程,為求隱匿網路位址,要求受害者使用高匿名性的比特幣(Bitcoin)進行贖金支付。

典型的基於非對稱金鑰加密的勒索病毒運作流程[8]
2017年利用勒索病毒及虛擬貨幣挖礦程式獲利的惡意程式數量持續攀升,儼然成為駭客的主要攻擊手法。而全球企業因勒索病毒而損失的總金額高達50億美元,比起2016年增加了四倍之多,而台灣受勒索病毒攻擊的次數更是高達千萬次以上,全球排名向上升了兩名[9]。McAfee lab提到超過60%的C&C Server是以HTTP協定當作攻擊者與受害主機之間的通道,目的是為了向駭客的C&C Server溝通,因企業的防火牆通常會允許80 Port通過,加上大量的HTTP流量讓可疑流量不易被發現,因此HTTP協定經常被駭客做為攻擊的管道。根據文獻[10],C&C伺服器利用不同協定做為溝通管道的比例如下圖3所示。

C&C伺服器使用不同協定比例圖[10]
因HTTP流量讓可疑流量不易被發現的緣故,要完全防止主機受到惡意程式感染變得十分困難,因此若能從受害主機的HTTP流量中即早發現試圖進行惡意活動的流量,將能有效減少資料外洩以及受其他惡意程式威脅的風險。早期一般採用黑名單機制,由專屬組織來判定惡意網站、惡意伺服器的IP或是惡意的域名並記錄下來,以防有任何主機受害,但如果專屬組織在評估該網站是惡意網站時誤判,或是該網站太新而來不及評估都可能導致惡意網站無法及時記錄在黑名單中,因此黑名單和白名單機制存在一些缺點。對於偵測未知攻擊手法可以利用正常主機的連線行為,來判斷該連線是否異常,而通常需收集正常主機之間的關係。Xu等人[11]提出主機之間共同拜訪網站數量為判斷的特徵,但是利用這種正常主機行為模型都需要大量的正常主機資料。有些學者以惡意軟體封包上的HTTP協定特徵來判斷該封包是否為惡意,Chiba等人[12]蒐集2011年八月到2012年十二月的惡意軟體封包建立模型,雖然不需要大量的正常主機資料,但卻反而需要大量惡意軟體封包資料,此外因為是以已知惡意軟體為基礎建立模型,可能對未知惡意軟體無法做出有效的偵測。

隨著利用HTTP可疑流量進行溝通的惡意軟體日益增加,研究人員也開始致力於提出解決方案,在學術研究上,有不少學者以預測流量的方式,提出HTTP可疑流量的偵測演算法。Ma等人[13]的研究中提到惡意軟體和正常使用者所發出的HTTP流量不論是在網域名稱、連線行為或是HTTP封包上都有所不同,在HTTP協定上仍有許多非主機之間連線行為特徵,例如:HTTP封包中referer欄位是否被使用,使用的HTTP標頭數量等都可以被利用來建立正常主機模型,用來偵測未知攻擊,不需要依靠大量主機資料才能建立模型。Zarras 等人[14]提出每一個應用程式所發出的HTTP封包中,HTTP Header 的順序會有所不同,主要原因是RFC文件中並未規定HTTP Header的順序,因此每個應用程式在實作HTTP協定時需自行設定順序,因此HTTP Header的順序可以用來偵測惡意軟體所發出的HTTP流量。Chiba等人[11]認為受害主機內的惡意軟體所發出的HTTP request中含有固定的關鍵字,因此在計算兩個HTTP request封包的相似度時,應該要將關鍵字去除,才能降低誤判率,該研究驗證結果可減少2% 的誤判率。Matin等人[15]為了偵測惡意軟體所發出HTTP封包,從User-Agent的觀點出發,將User-Agent分為五種類型。(1) Legitimate user’s browser:指的是一般使用的瀏覽器。(2) Empty:指User-Agent為空值。(3) Specific:指非瀏覽器類型的User-Agent。(4) Spoofed:指的是惡意軟體為了避免被偵測到,會入侵使用者正在使用的瀏覽器,利用合法瀏覽器發出惡意活動的流量。(5) Discrepant:指惡意軟體偽造瀏覽器所發出的HTTP封包,在User-Agent的欄位上改成和使用者一樣的瀏覽器,而非入侵使用者的瀏覽器。為了要分辨Empty類型惡意封包,方法是這類型的封包大多是要進行更新服務,若某個網址只有少數的使用者用Empty類型封包發出請求,則可能是惡意軟體所發出的;如果是合法的Specific類型封包,其出現的頻率應該會大於那些惡意的Specific類型封包,透過統計每一個Specific類型封包的在網路中的出現次數便可以建立偵測模型;另外,一般使用者大部份不會在系統中安裝兩個不同版本以上的相同瀏覽器。透過調查一個主機中出現兩個不同版本而相同瀏覽器的HTTP封包是不是因為剛好瀏覽器更新造成,再加上統計每個瀏覽器版本封包在網路中出現的次數,便能給予可疑封包一定的惡意程度。

近年來機器學習、深度學習及人工智慧技術日益成熟,Chao等人[16]於2018年提出以支援向量機(Support Vector Machine,SVM)模型,來進行HTTP可疑流量偵測的演算法開發,有別於其他研究,該研究利用HTTP協定上GET封包、POST封包以及RESPONSE封包的特徵建立一個有效GET請求封包偵測模型,結合SVM技術,將一群少數主機的在正常情況下,所發出的HTTP流量當作訓練資料,建立一個正常主機模型,再將惡意軟體所發出HTTP流量以及不包含在訓練資料的另一個主機所發出流量當作測試資料,當現時流量的惡意分數大於0.5時則判定該流量為惡意流量,該演算法向管理人員提出警告,如公式1所示,P(x)1代表在Stream x中GET封包被判斷為惡意的數量;P(x)2代表在Stream x中POST封包被判斷為惡意的數量;P(x)3代表在Stream x中RESPONSE封包被判斷為惡意的數量,W1W2W3則是各代表每一個類型封包的權重,T(x)則是Stream x中GET封包、POST封包以及RESPONSE封包的數量總合。該預測模型比利用惡意流量建立的預測模型擁有較高的未知惡意流量偵測能力,其偵測率達到88%。

 

參考文獻

  1. [Online] WannaCry-維基百科,
    Available: https://zh.wikipedia.org/wiki/WannaCry (Accessed on Dec. 25,2018)
  2. 林敬皇 and王周玉, “勒索病毒感染途徑個案鑑識分析, “台灣網際網路研討會(TANET), Oct. 24-16, 中壢, 台灣, 2018.
  3. [Online] iThome Online,陳曉莉,台積電遭病毒感染原因出爐:新機台安裝軟體時操作不慎Available: http://www.ithome.com.tw/news/125007 (Accessed on Dec. 6,2018)
  4. [Online] NTT Security,2018 Global Threat Intelligence Report, NTTDATA NTT Security, 2018,
    Available: https://www.nttsecurity.com/docs/librariesprovider3/resources/gbl-ntt-security-2018-gtir-summary-uea.pdf?sfvrsn=e8c7f625_4 (Accessed on Dec. 6, 2018)
  5. [Online] Symantec, 2018 Internet Security Threat Report, Symantec ISTR vol.23 , March, 2018.
    Available: https://www.symantec.com/content/dam/symantec/docs/reports/istr-23-executive-summary-en.pdf (Accessed on Dec. 10, 2018)
  6. [Online] Allan Liska, 5 Ransomware Trends to Watch in 2018, Recorded Future blog,
    Available: https://www.recordedfuture.com/ransomwaretrends-2018 (Accessed on Dec. 12, 2018)
  7. SentinelOne: Global Ransomware Study 2018, SentinelOne Report, 2018,
    Available:https://go.sentinelone.com/rs/327MNM087/images/Ransomware%20Research%20Data %20Summary%202018.pdf (Accessed on Dec. 12, 2018)
  8. Cabaj, M. Gregorczyk, W. Mazurczyk, “Software-define d networking-base d crypto ransomware detection using HTTP traffic characteristics,” Computers and Electrical Engineering, Vol. 66, 2018, pp.353-368.
  9. [Online]趨勢科技2017年度資安總評報告以獲利為主的駭客攻擊稱王Available:http://www.trendmicro.tw/tw/aboutus/newsroom/releases/articles/20180309101025.html (Accessed on Dec. 24, 2018)
  10. Jian-Zhi Zhao, On the Study of HTTP Based Suspicious Traffic Detection Mechanism, Master Thesis, Department of Information Management, National Central University, Taoyuan city, Taiwan, 2016.
  11. Kuai Xu, Feng Wang, Lin Gu, “Behavior analysis of internet traffic via bipartite graphs and one-mode projections,” IEEE/ACM Transactions on Networking, 22(3), pp.931-942, 2014.
  12. Daiki Chiba et al., “BotProfiler: Detecting Malware-Infected Hosts by Profiling Variability of Malicious Infrastructure,” IEICE Transactions on Communications, 2016(5), pp.1012-1023, 2016.
  13. Justin Ma et al., “Beyond blacklists: learning to detect malicious web sites from suspicious URLs,” 15th ACM SIGKDD international conference on Knowledge discovery and data mining. pp.1245-1254, 2009.
  14. Zarras et al., “Automated generation of models for fast and precise detection of http-based malware,” 12th Annual International Conference on Privacy, Security and Trust, pp. 249-256, 2014.
  15. Grill Martin, Rehak Martin, “Malware detection using HTTP user-agent discrepancy identification, “IEEE International Workshop on Information Forensics and Security (WIFS), 2014, pp.221-226.
  16. 趙健智 and 陳奕明, “基於SVM之可疑HTTP流量偵測, “台灣網際網路研討會(TANET), Oct. 24-16, 中壢, 台灣, 2018.

數位化世界的煉金術─訊號、資料、資訊、知識跟智慧

生活在今天的現代人,大概每天都要聽到一大堆的科技時髦術語,今天是大數據,明天就是人工智慧,後天又來了一個互聯網、區塊鏈等等等等。但是所有這些時髦術語的背後其實都有一些最基本的概念。如果不能理解這些基本術語跟他們之間的關係,只是一昧的把這些時髦術語囫圇吞棗地塞進腦袋裡面,就像你的腸胃沒辦法消化乳糖,卻拼命的把營養的牛奶往肚裡吞一樣,其實只會害你拉肚子,一點好處都沒有。

閱讀全文 “數位化世界的煉金術─訊號、資料、資訊、知識跟智慧”