特權帳號登入行為即時分析系統之實證研究

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：27

、訪客IP：18.117.233.26

姓名

潘嘉良(Chia-Liang Pan) 查詢紙本館藏

畢業系所

資訊管理學系在職專班

論文名稱

特權帳號登入行為即時分析系統之實證研究
(An Empirical Study on the Instant Analysis System of Privileged Account Login Behavior)

相關論文

★ 網路合作式協同教學設計平台－以國中九年一貫課程為例	★ 內容管理機制於常用問答集(FAQ)之應用
★ 行動多重代理人技術於排課系統之應用	★ 存取控制機制與國內資安規範之研究
★ 信用卡系統導入NFC手機交易機制探討	★ App應用在電子商務的推薦服務-以P公司為例
★ 建置服務導向系統改善生產之流程-以W公司PMS系統為例	★ NFC行動支付之TSM平台規劃與導入
★ 關鍵字行銷在半導體通路商運用-以G公司為例	★ 探討國內田徑競賽資訊系統－以103年全國大專田徑公開賽資訊系統為例
★ 航空地勤機坪作業盤櫃追蹤管理系統導入成效評估—以F公司為例	★ 導入資訊安全管理制度之資安管理成熟度研究－以B個案公司為例
★ 資料探勘技術在電影推薦上的應用研究-以F線上影音平台為例	★ BI視覺化工具運用於資安日誌分析—以S公司為例
★ 郵件系統異常使用行為偵測與處理-以T公司為例	★ Google文字關聯在多領域文件分類上的應用

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

至系統瀏覽論文 ( 永不開放)

摘要(中)

摘要
隨著網際網路的普及，網路攻擊入侵的事件也層出不窮，因而造成社會、企業組織及大眾的困擾與恐懼。而持續演進的攻擊手法，對於組織所造成的損失也越趨嚴重。然而許多入侵活動與特權帳號管理息息相關，特權帳號若被盜用則易造成組織的內部威脅。因此對特權帳號進行妥善管理是必需的，對於其使用行為亦須加以監控，以避免異常使用行為的發生而對企業組織造成傷害。
本研究以某組織的特權帳號管理機制為研究對象，透過強化其「特權帳號管理」作業模式，並結合「資安事件管理平台系統 ( SIEM )」的紀錄管理及即時告警之功能，探討如何透過系統整合建立一套工具，對特權帳號使用行為能有效即時監控各種登入行為樣態，且具有即時自動告警機制，針對特權帳號異常登入行為發生時能即時通知管理人員，使其可在第一時間掌握情況並採取因應策略，以避免或減少入侵行為對於企業組織的危害。
本研究以常見之特權帳號登入成功行為之樣態種類，建立了十二種樣態組合之關聯分析規則，可供SIEM作為前述異常行為檢核之用，並經測試驗證此十二項規則皆能有效即時偵測特權帳號異常登入行為，因此運用於企業組織將強化其防禦能力，當遭遇到資訊安全攻擊時能透過本研究之即時監測機制早期發現，並快速因應以大幅降低損失及傷害。

摘要(英)

Abstract
With the rise in popularity of the Internet, the events of cyber attacks have also emerged endlessly, causing troubles and fears of society, enterprise organizations and the public. The continually evolving attack methods have also caused the losses of the organization to become more serious. However, many intrusions are related to privileged account management. If a privileged account is stolen, it is likely to cause internal threats to the organization. Therefore, proper management of privileged accounts is necessary. It is also need to monitor the usage behavior of their privileged accounts to avoid damage to the organization caused by abnormal use.
This study is based on an organization′s privileged account management mechanism. It strengthens its "privileged account management" operation mode and combines the functions of the " security information and event management (SIEM) " records and logs management and instant alarms to explore how to through the system integration to establish a mechanism for effective monitoring and real-time analysis of various privileged account login behaviors, and have an automatic alert function. When an abnormal login behavior occurs, the privileged account administrator can be notified immediately, so that the administrator can grasp the situation and take countermeasures in the first time to avoid or reduce the harm of the intrusion to the organization.
Through the common privileged account login success behavior type, the correlation rules of twelve patterns are developed, which can be used by SIEM as the aforementioned abnormal behavior check in this study. It has been tested and verified that these twelve correlation rules can instantly detect abnormal login behavior of privileged accounts, so the application to enterprise organizations will strengthen their immediate defense capabilities. When an organization encounters information security attacks, it can achieve early detection through the instant monitoring mechanism of this research, and quickly respond to significantly reduce losses and injuries.

關鍵字(中)

★ 資訊安全
★ 特權帳號
★ 日誌
★ SIEM
★ 關聯規則
★ 風險評估

關鍵字(英)

★ information security
★ privileged accounts
★ logs
★ SIEM
★ correlation rules
★ risk assessment

論文目次

目錄
摘要 i
Abstract ii
誌謝 iv
目錄 v
圖目錄 viii
表目錄 xi
第一章緒論 1
1.1 研究背景 1
1.2 研究動機 2
1.3 研究目的 2
1.4 論文架構 2
第二章文獻探討 4
2.1 特權帳號管理 4
2.2 稽核日誌管理 6
2.3 資安事件管理平台系統 9
2.4 風險管理 10
第三章系統設計 13
3.1 系統環境說明 13
3.2 特權帳號管理系統 14
3.3 ArcSight ESM 17
3.4 特權帳號登入行為監控 19
3.5 系統架構 20
3.5.1 特權帳號申用資訊 21
3.5.2 特權帳號登入行為樣態 22
3.5.3 特權帳號登入行為樣態組合 23
3.5.4 風險評估 28
第四章系統實作 31
4.1 建置條件規則 31
4.1.1「合法授權(申用) 特權帳號及登入」之條件規則 31
4.1.2「密碼變更期間逾期登入」的條件規則 33
4.1.3 登入遠端主機「來源IP合法性」之條件規則 34
4.1.4「登入遠端主機時間」之條件規則 35
4.2 建構關聯規則 36
4.2.1 關聯規則1 36
4.2.2 關聯規則2 37
4.2.3 關聯規則3 39
4.2.4 關聯規則4 41
4.2.5 關聯規則5 42
4.2.6 關聯規則6 42
4.2.7 關聯規則7 44
4.2.8 關聯規則8 46
4.2.9 關聯規則9 46
4.2.10 關聯規則10 48
4.2.11 關聯規則11 50
4.2.12 關聯規則12 50
4.3 風險對應 53
4.3.1風險評估值0~1的事件的警示通知機制 53
4.3.2風險評估值2~9的事件的警示通知機制 58
4.4 測試作業 59
4.4.1測試案例設計 59
4.5 測試執行 61
4.5.1關聯規則1測試 61
4.5.2關聯規則2測試 62
4.5.3關聯規則3測試 63
4.5.4關聯規則4測試 64
4.5.5關聯規則5測試 65
4.5.6關聯規則6測試 67
4.5.7關聯規則7測試 68
4.5.8關聯規則8測試 69
4.5.9關聯規則9測試 71
4.5.10關聯規則10測試 73
4.5.11關聯規則11測試 75
4.5.12關聯規則12測試 77
第五章結論 80
5.1 研究貢獻 80
5.1.1 實現即時合規性檢核 80
5.1.2 提高作業時效性及降低變異性 80
5.1.3 作業成本降低 81
5.2未來研究方向與建議 81
5.2.1 登入失敗的樣態及潛在風險分析 81
5.2.2 特權帳號共用行為模式研究 81
參考文獻 83

參考文獻

【英文部分】
[1] Afsaneh, M., Saed, R., Hossein, G. (2011): “Log Management Comprehensive Architecture in Security Operation Center (SOC),” Iran Telecommunication Research Center (ITRC), pp. 284-289.

[2] Henrik, K. (2009): “An Analysis of Security Informatio n and Event Management Systems ,” Department of Computer Science and Engineering, Chalmers University of Technology University of Gothenburg. pp. 8-15.

[3] Kelly, M.K., and Oliver, R. (2015): “Magic Quadrant for Security Informationand Event Management,” Gartner Magic Quadrant.

[4] Micro Focus Community (2017): “ArcSight Console 6.11.0 User′s Guide”.

[5] Swift David (2006): “A Practical Application of SIM/SEM/SIEM Automating Threat Identification.” SANS Infosec Reading Room.

【中文部分】
[6] 中華民國銀行商業同業公會全國聯合會 (2011)：金融機構資訊系統安全基準與使用說明。

[7] 金融監督管理委員會 (2017)：電子支付機構資訊系統標準及安全控管作業基準辦法，金管銀票字第10640005200號令修正。

[8] 金融監督管理委員會檢查局 (2018)：金融控股公司檢查手冊--資訊作業。

[9] 財團法人資訊工業策進會 (2014)：資訊系統風險評鑑參考指引修訂報告。

[10] 國家資通安全會報技術服務中心 (2013)：102年度雲端資安防護整合服務委外服務案 SOC參考指引。

[11] 廖建興 (2014)：以交叉稽核解決多人共用帳號登入遠端主機歸責問題之技術研究，國立中央大學資訊管理學系碩士論文。

【網路資料】
[12] iThome (2016)，一銀ATM遭駭事件大剖析，上網日期：2018/4/17，取自：https://www.ithome.com.tw/article/107291

[13] Wikipedia (無日期), Log file，上網日期：2018/4/17，取自：https://en.wikipedia.org/wiki/Log_file

[14] 王榮信 (2010)，「邁向成功SOC之路」，上網日期：2018/4/17，取自： https://www.informationsecurity.com.tw/article/article_detail.aspx?tv=&aid= 5944&pages=1

[15] 洪羿漣 (2015)，特權帳號自動配發管理輕鬆遵循法規並落實資安，上網日期：2018/4/17，取自：http://www.netadmin.com.tw/article_content.aspx?sn=1509080006

[16] 陳曉莉 (2015)，美國人事管理局再傳2150萬筆個資外洩，局長下台，上網日期：2018/4/17，取自：https://www.ithome.com.tw/news/97350

[17] 黃彥棻 (2010)，BS 10012個資保護標準的10大實務作法，上網日期：2018/4/17，取自：https://www.ithome.com.tw/news/94882

[18] 黃彥棻 (2015)，索尼影業遭駭事件始末大剖析，上網日期：2018/4/17，取自：https://www.ithome.com.tw/news/93457

[19] 黃彥棻 (2017)，【遠銀遭駭追追追】更多入侵細節大公開！18億元遠銀遭駭盜轉事件追追追，上網日期：2018/4/17，取自：https://www.ithome.com.tw/news/117397

[20] 新浪財經 (2013)，Target?4000万客?信用卡?据或被?，上網日期：2018/4/17，取自：http://finance.sina.com.cn/world/20131219/213717690997.shtml

指導教授

林熙禎(Shi-Jen Lin)

審核日期

2018-7-24

推文