| 姓名 |
林柏宇(Po-Yu Lin)
查詢紙本館藏 |
畢業系所 |
資訊管理學系在職專班 |
| 論文名稱 |
非常駐型端點資安檢測系統之研究
(The Research of Non-Resident Endpoint Security Detection System)
|
| 相關論文 | |
| 檔案 |
 [Endnote RIS 格式]
[Bibtex 格式]
 [相關文章]  [文章引用]  [完整記錄]  [館藏目錄]  [檢視] [下載]- 本電子論文使用權限為同意立即開放。
- 已達開放權限電子全文僅授權使用者為學術研究之目的,進行個人非營利性質之檢索、閱讀、列印。
- 請遵守中華民國著作權法之相關規定,切勿任意重製、散佈、改作、轉貼、播送,以免觸法。
|
| 摘要(中) |
近年來針對性惡意程式與入侵攻擊服務模式日趨成熟,攻擊者為達成攻擊目的會透過進階持續威脅(Advanced Persistent Threat , APT)盡一切方法規避組織端點安全軟體,以利長時間潛伏在組織內部進行入侵任務而不被發現最終達到攻擊目的。資安防禦最終的防線是端點,有鑒於此主流端點安全解決方案將以龐大特徵碼資料庫為基礎,搭配機器學習演算法來強化端點異常行為偵測成為主要發展方向。然而上述方案均需安裝常駐型代理程式以達到即時偵測、防禦之目的,但近年資安案例顯示,惡意程式除了能規避組織防毒軟體外,更能進一步置換並控制防毒軟體以達成合法掩飾非法之目的,組織也很難短時間發現異常跡象,此情況顯示常駐型代理程式確實有資安風險,同時端點為因應不同需求也被迫安裝不少代理程式造成效能瓶頸,上述問題導致組織無法完全放心常駐型代理程式的解決方案。然而端點安全檢測又是必要作為,為解決此問題,本研究提出非常駐型端點資安檢測系統(Non-Resident Endpoint Detection and Probe System,簡稱NonR-EDP系統),可降低端點效能影響與避免代理程式遭規避、置換、控制等風險,同時提出在NonR-EDP系統檢測空窗期間,透過Sysmon與微軟原生稽核日誌機制,完整記錄系統活動與偵測日誌是否遭偽造滅跡之方法。經過各種端點日誌滅跡手法測試,NonR-EDP系統能成功偵測出端點日誌是否遭偽造滅跡,也能在確保日誌在未遭偽造滅跡下可成功檢測出端點之異常行為。本研究期望能讓組織在評估端點檢測方案與平衡安全與效能風險問題時在常駐型代理程式之外能有另一種選擇。 |
| 摘要(英) |
In recent years Targeting-Malwares and intrusive attacks were refined as standard modules. The mainstream’s Final-Line of Defense is the endpoint security system. Current solution required a residing-agent to be installed on endpoints for immediate analysis, detection or self-defense. Recent studies reveal that malwares are not only capable to remain undetected by endpoint security system, some of them can even break through its mechanism and replace the agent as their own. Such scenario indicates possible risk of residing-agent might be replaced or controlled by malwares as security issue; another common scenario is that different solutions and its agent were applied on same endpoint for specified purposes respectively, causing performance bottleneck as management issue.
This research is to use Non-Resident Endpoint Detection and Probe(NonR-EDP) Endpoint Security Detection System, reducing the risks of performance issue and preventing residing-agents being replaced or controlled. This research also develops a procedure that will utilize SYSMON with Microsoft native audit logs mechanism, recording entirely system activities and verify logs’ authenticity between NonR-EDP detecting windows. It has been proven in endpoint log erase tests that NonR-EDP system is capable to detect attack events on endpoint with authentic logs |
| 關鍵字(中) |
★ 非常駐型
★ 端點檢測
★ 端點日誌分析
★ 端點回應 |
關鍵字(英) |
★ Non Resident
★ Endpoint Detection
★ Endpoint Log Analysis
★ Endpoint response |
| 論文目次 |
摘要 i
誌謝 iii
目錄 iv
圖表目錄 v
第一章 緒論 1
1.1 研究背景 1
1.2 研究動機與目的 2
1.3 研究方法 4
1.4 論文架構 6
第二章 文獻探討 7
2.1 端點安全檢測應用現況 7
2.2 端點安全檢測技術研究 12
2.3 規避常駐型端點程式技術研究 23
第三章 非常駐型EDP系統設計 34
3.1 研究限制範圍 34
3.2 常駐型EDP系統說明 34
3.3 採用非常駐型EDP系統優點說明 38
3.4 非常駐型EDP系統缺點與改善方式 41
3.5 非常駐型EDP系統說明 58
第四章 非常駐型EDP系統實現與測試 81
4.1 系統架構環境說明 81
4.2 非常駐型EDP系統實現 84
4.3 各項檢測功能實現介紹 86
4.4 測試環境與測試方法設計 92
4.5 各種滅跡方式偵測測試與結果 94
第五章 結論與未來研究方向 121
5.1 研究貢獻 121
5.2 研究限制 122
5.3 未來研究方向 122
參考文獻 123 |
| 參考文獻 |
【中文文獻】
[1] 趨勢科技,趨勢科技2017年資安預測,2017。
https://www.trendmicro.tw/cloud-content/tw/pdfs/security-intelligence/reports/rpt-the-next-tier_c_f.pdf
[2] 賽門鐵克,賽門鐵克網路安全威脅研究報告,2017。
https://www.symantec.com/zh/tw/security-center/threat-report
[3] 劉順德,以回溯式偵測方法發掘潛在APT受駭主機之研究,國立中央大學資訊管理學系博士論文,2013。
[4] 黃瓊瑩、孫明功、陳嘉玫、張子敬、賴谷鑫,注入惡意DLL之APT攻擊手法之研究,TANET 2016臺灣網際網路研討會,2016。
[5] 安碁資訊,仿毒主機近期案例與防護建議,安碁資訊內部調查文件,2016。
[6] 任曉琿,黑客免殺攻防,中國北京市機械工業出版社,2013。
【英文文獻】
[7] Mark Russinovich, How to Go from Responding to Hunting with Sysinternals Sysmon.Mark Russinovich,2017.
https://www.rsaconference.com/writable/presentations/file_upload/hta-t09-how-to-go-from-responding-to-hunting-with-sysinternals-sysmon.pdf
[8] Mark Russinovich, Malware Hunting with the Sysinternals Tools,2015.
https://www.rsaconference.com/writable/presentations/file_upload/hta-t07r-license-to-kill-malware-hunting-with-the-sysinternals-tools_final.pdf
【網路資料】
[9] Sysinternals New Tool Sysmon (System Monitor). [Online]. Available:
https://www.darkoperator.com/blog/2014/8/8/sysinternals-sysmon
[10] DoubleAgent: Zero-Day Code Injection and Persistence Technique. [Online]. Available:
http://cybellum.com/doubleagentzero-day-code-injection-and-persistence-technique/
[11] IThome,賽門鐵克防毒軟體爆漏洞,25項企業及消費安全產品可能受駭。2016年6月30日,取自http://www.ithome.com.tw/news/106822
[12] Netadmin,端點蒐證鑑識工具興起 助企業追溯資安事故始末。2017年4月5日,取自http://www.netadmin.com.tw/article_content.aspx?sn=1703210004
[13] IThome,主動因應未知攻擊!強化端點進階威脅防禦的新世代防毒產品。2016年12月17日,取自http://www.ithome.com.tw/tech/109832
[14] Sysinternals new Sysmon tool looks for intruder traces. [Online]. Available:
http://www.zdnet.com/article/sysinternals-new-sysmon-tool-looks-for-intruder-traces/
[15] 行政院國家資通安全會報技術服務中心,Symantec旗下產品存在多個安全漏洞,部分漏洞允許攻擊者執行任意程式碼或造成阻斷服務,請儘速確認並更新版本。2016年7月5日,取自https://www.nccst.nat.gov.tw/NewInfoDetail?lang=zh&seq=1478
[16] 程序園,黑客X檔案的《黑客免殺入門》。2010年7月23日,取自http://www.voidcn.com/blog/yiqunattack/article/p-4396124.html
[17] Anhkgg,免殺技術有一套(免殺方法大集結)。2017年5月22日,取自
http://anhkgg.github.io/aanti-virus/
[18] Pentest,免殺藝術1: 史上最全的免殺方法彙總。2017年4月,取自
https://zhuanlan.zhihu.com/p/25870577
[19] Microsoft,稽核原則建議。2017年2月,取自
https://msdn.microsoft.com/zh-tw/library/dn487457(v=ws.11).aspx
[20] Microsoft,Microsoft Application Verifier。2008年12月,取自
https://www.microsoft.com/en-us/download/details.aspx?id=20028
[21] Microsoft,稽核登入事件。2015年1月,取自
https://technet.microsoft.com/zh-tw/library/cc787567(v=ws.10).aspx
[22] IThome,史上第一勒索蠕蟲WannaCry。2017年6月28日,取自
http://www.ithome.com.tw/foucs/114242
[23] IThome,偵九揭露一銀ATM駭客入侵內網關鍵,竊取密碼2套手法曝光。2016年12月5日,取自http://www.ithome.com.tw/news/110001
[24] Netadmin,巨量情資結合AI 端點防護升級。2017年1月17日,取自
http://www.netadmin.com.tw/article_content.aspx?sn=1701090005
[25] IThome,企業級端點進階威脅偵防系統採購大特輯。2016年12月17日,取自
http://www.ithome.com.tw/article/109831
[26] 趨勢科技,假面攻擊(Masque Attack)利用iOS程式碼簽章漏洞,造假應用程式並繞過隱私防護。2016年11月9日,取自https://blog.trendmicro.com.tw/?p=33817 |
| 指導教授 |
陳奕明(Yi-Ming Chen)
|
審核日期 |
2017-7-26 |
| 推文 |
 facebook  plurk  twitter  funp  google  live  udn  HD  myshare  reddit  netvibes  friend  youpush  delicious  baidu
|
| 網路書籤 |
 Google bookmarks  del.icio.us  hemidemi myshare
|
