以樹狀關聯式架構偵測電子郵件病毒之研究

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：8

、訪客IP：18.223.32.230

姓名

劉順德(Shuin-De Liu ) 查詢紙本館藏

畢業系所

資訊管理研究所

論文名稱

以樹狀關聯式架構偵測電子郵件病毒之研究

相關論文

★ 應用數位版權管理機制於數位影音光碟內容保護之研究	★ 以應用程式虛擬化技術達成企業軟體版權管理之研究
★ 以IAX2為基礎之網頁電話架構設計	★ 應用機器學習技術協助警察偵辦詐騙案件之研究
★ 擴充防止詐欺及保護隱私功能之帳戶式票務系統研究-以大眾運輸為例	★ 網際網路半結構化資料之蒐集與整合研究
★ 電子商務環境下網路購物幫手之研究	★ 網路安全縱深防護機制之研究
★ 國家寬頻實驗網路上資源預先保留與資源衝突之研究	★ 考量地區差異性之隨選視訊系統影片配置研究
★ 不信任區域網路中數位證據保留之研究	★ 入侵偵測系統事件說明暨自動增加偵測規則之整合性輔助系統研發
★ 利用程序追蹤方法關聯分散式入侵偵測系統之入侵警示研究	★ 一種網頁資訊擷取程式之自動化產生技術研發
★ 應用XML/XACML於工作流程管理系統之授權管制研究	★ 快速建置SIP服務的設計與實作研究

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

[檢視]

[下載]

本電子論文使用權限為同意立即開放。
已達開放權限電子全文僅授權使用者為學術研究之目的，進行個人非營利性質之檢索、閱讀、列印。
請遵守中華民國著作權法之相關規定，切勿任意重製、散佈、改作、轉貼、播送，以免觸法。

摘要(中)

隨著網路的普及，電子郵件已取代傳統郵件成為人們溝通的重要工具之一，這也使得以電子郵件為傳播媒介的病毒急速成長。但現今的防毒程式總是以已知的特徵來偵測這類的病毒，使得愈來愈多的郵件病毒利用變形的技巧與快速傳播的特性，輕易的躲過防毒程式的偵測，進而達到其攻擊的目的。在這種四通八達的網路環境中，網路管理人員更是有義務為網域中的使用者提供安全工作環境。
本研究藉由分析郵件病毒的特性，從中找出一般正常的郵件特性與郵件病毒產生的郵件特性間之差異，試圖以入侵偵測的角度，透過樹狀關聯分析的方法來偵測與抑制郵件病毒。並希望能以這樣的方式，有效減少網路管理人員與網路使用者的困擾。
為了證明本研究所提出之方法的可行性，我們以真實的網路資料建置一個模擬環境。在這個環境中，我們模擬郵件病毒的行為與正常的郵件使用行為，利用這些行為來測試我們的系統在偵測郵件病毒的偵測率與誤判率。實驗結果顯示我們提出的方法可以有效地偵測出快速傳播的郵件病毒。

關鍵字(中)

★ 入侵偵測
★ 樹狀關聯式分析
★ 郵件病毒
★ 郵件病毒偵測

關鍵字(英)

論文目次

第一章緒論1
第一節研究背景1
第二節研究動機與目的3
第三節研究範圍、假設與名詞定義4
第五節研究方法與流程5
第六節章節架構7
第二章相關研究與文獻探討8
第一節病毒偵測方法8
2.1.1 病毒碼比對法8
2.1.2 完整性檢查法9
2.1.3 即時輸出/輸入掃描法10
2.1.4 程式行為偵測法10
2.1.5 以代理人程式為基礎(Agent-based)的偵測法11
第二節入侵偵測12
2.2.1 入侵偵測系統的分類12
2.2.2 Anomaly 偵測的方式14
第三節關聯分析技術18
2.3.1 Spice18
2.3.2 NetStat19
2.3.3 GrIDS20
第四節 Anomaly-Based入侵偵測系統評估22
2.4.1 測試指標-偵測率與誤判率23
2.4.2 評估的流程24
2.4.3 評估結果的呈現25
第三章郵件病毒分析26
第一節郵件病毒的存在方式26
3.1.1 常見的郵件病毒檔案格式27
3.1.2 郵件病毒的偽裝方式29
第二節郵件病毒分類31
3.2.1 大量傳播型32
3.2.2 非大量傳播型34
第三節綜合分析結果34
第四章系統設計36
第一節設計考量因素36
4.1.1 線上即時偵測或是離線分析36
4.1.2 即時回報與精確度37
4.1.3 偵測系統架構37
第二節偵測郵件病毒的方法38
4.2.1 偵測郵件病毒方法簡介38
4.2.2 建立寄件行為的Profile40
4.2.3 建立正常寄件數量的Profile44
4.2.4 資料穩定度檢定44
4.2.5 郵件病毒的傳播擴散45
第三節系統架構47
第四節系統模組說明49
4.4.1 郵件資訊過濾模組49
4.4.2 樹狀關聯分析模組50
4.4.3 寄件行為維護模組56
第五章系統模擬與結果討論59
第一節模擬的設計59
5.1.1 建置模擬環境59
5.1.2 建立測試樣本62
5.1.3 模擬流程64
第二節模擬結果與討論66
5.2.1 第一階段模擬結果66
5.2.2 第二階段模擬結果67
5.2.3 第三階段模擬結果69
5.2.4 系統效能評估71
第三節綜合討論72
5.3.1 綜合分析各階段模擬結果72
5.3.2深入檢視模擬資料後的發現73
第六章結論與未來發展方向75
第一節研究結論與貢獻75
第二節未來研究方向76
參考文獻77
附錄一：系統偵測率模擬結果80

參考文獻

[1] Davis, R. “Aerospace Computer Security Applications Conference”, Fourth , 1988 , Page(s): 7/11.
[2]Lawrence M. Bridwell, Content Security Program Manager, ICSA Labs, Peter Tippett, MD, phD, Chief Technology Officer, ISCA.net. “ICSA Labs 6th Annual Computer Virus Prevalence Survey 2000”. http://www.icsa.net/html/communities/antivirus/vps2000/vps20001.pdf.
[3]趨勢科技網站
http://www.trend.com.tw/endusers/products/pcc2000.htm
[4]賽門鐵克網站http://www.Symantec.com/region/tw/enterprise/article/virus_protect.html
[5] Garber, L. “Melissa Virus Creates a New Type of Threat”; Computer Volume: 32 6 , June 1999 , Page(s): 16 -19
[6]Matt, Curtin. Gary, Ellison. Doug, Monroe(Interhack Corporation), “Why Anti-Virus Software Cannot Stop the Spread of Email Worms “ http://www.interhack.net/pubs/email-trojan, May 11, 2000.
[7] 賽門鐵克SARC 防毒研究中心
http://www.symantec.com/avcenter/index.html
[8] 趨勢科技病毒字典http://www.trend.com.tw/EncyclopediaV2/vinfo/virusencyclo/default.asp
[9] Cohen, F. Security Technology. “Current best practice against computer viruses”, 25th Annual 1991 IEEE International Carnahan Conference on, 1991, Page(s): 261-270.
[10]蔡秉欣. “利用字碼組合病毒特徵的病毒偵測法”, 逢甲大學資訊工程研究所碩士論文, Dec, 2000.
[11] Luke, J.; Harris, C.J. “The application of CMAC based intelligent agents in the detection of previously unseen computer viruses”,Information Intelligence and Systems, 1999. Proceedings. 1999 International Conference on, 1999 ,Page(s): 662 —666.
[12] ”Understanding Heuristics: Symatec’s Bloodhound Technology”, Symatec White Paper Series, Vo1.XXXIV.
[13]Jieh-Sheng Lee, Jieh Hsiang, Po-Hao Tsang. “A Generic Virus Detection Agent on the Internet”, System Sciences, Proceedings of the Thirtieth Hwaii International Conference on Volume: 4 , 1997 , Page(s): 210 -219 vol.4
[14]Julla Alien, Alan Christie, William Fithen, John Mcrlugh, Jed Pickel, Ed Stoner. “State of the Practice of Intrusion Detection Technologies”,http:// www.sei.cmu.edu/publications/documents/99.reports/99tr028/99tr028abstract.html, Jan, 2000.
[15]Intrusion Detection FAQ
www.sans.org/newlook/resources/IDFAQ/aint.htm
[16]Stefan Axelsson. “Intrusion Detection Systems: A Survey and Taxonomy”, http://citeseer.nj.nec.com/axelsson00intrusion.html, (2000).
[17]Philip A Porras and Peter G Neimann. “EMERALD: Event monitoring enabling responses to anomalous live disturbances”, In Proceedings of the 20th National Information Sysytems Security Conference, Oct, 1997, pages 353-365.
[18]A. Larson. “Global security survey: virus attack”, http://www.informationweek.com/743/security.htm
[19]Stuart Staniford, James A. Hoagland, Joseph M. McAlerney. “Practical Automated Detection of Stealthy Portscans”, Silicon Defense, http://www.silicondefense.com/research/index.htm.
[20] Vigna, Giovanni & Kemmerer, Richard A. "NetSTAT: A Network-Based Intrusion Detection Approach" Computer Security Applications Conference, 1998. Proceedings. 14th Annual , 1998 , Page(s): 25 -34.
[21] Kemmerer, Richard A., et al. (University of California, Santa Barbara). “STAT Projects”, http://www.cs.ucsb.edu/~kemm/netstat.html/project.html, 1999.
[22] Steven Cheung, Rick Crawford, Mark Dilger, Jeremy Frank, Jim Hoagland, Karl Levitt, Jeff Rowe Stuart Staniford-Chen, Raymond Yip, Dan Zerkle Department of Computer Science, “The Design of GrIDS: a graph based intrusion detection system”, Department of Computer Science, University of California at Davis. Jan, 1999.
[23] Maxion, R.A.; Tan, K.M.C. “Benchmarking Anomaly-Based Detection System”, Dependable Systems and Networks, 2000. DSN 2000. Proceedings International Conference on , 2000 , Page(s): 623 -630.
[24]” Intrusion Detection and Response”, Lawrence Livermore National Laboratory Sandia National Laboratories, http://all.net/journal/ntb/ids.html. Dec, 1996.
[25]歐士源. “環境相依之入侵偵測系統評估方法設計”, 中原大學資訊工程研究所碩士論文, Jun, 2000.
[26]Lee Gaber. “Melissa Virus Create a New Type of Thread”, IEEE Technology News: Computer, Vol. 32, No. 6, June 1999, Page(s):16-19.
[27] Hruska, J. “Virus Detection”, Security and Detection, 1997. ECOS 97., European Conference on , 1997 , Page(s): 128 -130.
[28] Davis, R. “Exploring Computer Virus”, Aerospace Computer Security Applications Conference, 1988., Fourth , 1988 , Page(s): 7-11.
[29]Ian Whalley, Bill Arnold, David Chess, John Morar, Alla Segal, Morton Swimmer. “An Environment for Controlled Worm Replication and Analysis”, IBM TJ Watson Research Center. http://www.research.ibm.com/antivirus/SciPapers/VB2000INW.htm
[30] Yin Zhang. “Detecting Stepping Stone”, Department of Computer Science
Cornell University. http://www.aciri.org/vern/papers/stepping/.
[31]William Sanders, Clarion. “Chi-Square Test”, Applied STATISTICS forth edition, 1992, Page(s):482-487.
[32]Outlook 98/2000 SR-1 E-mail Security Update. (2001/4/5) http://office.Microsoft.com/2000/downloadDetails/Out2ksec.htm.
[33]趨勢科技掃瞄引擎換裝雷霆緝毒手－ScriptTrap(2001/6/18)
http://www.trend.com.tw/corporate/about/pressscenter/2001news/20010615.htm
[34]孫藹彬. “台灣資訊軟體產業發展之生態演進分析”, 國立中央大學資訊管理研究所博士論文, 1998, Page(s):20-21

指導教授

陳奕明(Yi-Ming Chen)

審核日期

2001-7-9

推文