基於網路流量篩選判定SMB漏洞造成之威脅研究

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：60

、訪客IP：3.144.94.134

姓名

黃獻毅(Hsien-I Huang) 查詢紙本館藏

畢業系所

資訊管理學系在職專班

論文名稱

基於網路流量篩選判定SMB漏洞造成之威脅研究
(On The Study of Netflow Filtering for Assessing the Threats of SMB Attacks)

相關論文

★ 應用數位版權管理機制於數位影音光碟內容保護之研究	★ 以應用程式虛擬化技術達成企業軟體版權管理之研究
★ 以IAX2為基礎之網頁電話架構設計	★ 應用機器學習技術協助警察偵辦詐騙案件之研究
★ 擴充防止詐欺及保護隱私功能之帳戶式票務系統研究-以大眾運輸為例	★ 網際網路半結構化資料之蒐集與整合研究
★ 電子商務環境下網路購物幫手之研究	★ 網路安全縱深防護機制之研究
★ 國家寬頻實驗網路上資源預先保留與資源衝突之研究	★ 以樹狀關聯式架構偵測電子郵件病毒之研究
★ 考量地區差異性之隨選視訊系統影片配置研究	★ 不信任區域網路中數位證據保留之研究
★ 入侵偵測系統事件說明暨自動增加偵測規則之整合性輔助系統研發	★ 利用程序追蹤方法關聯分散式入侵偵測系統之入侵警示研究
★ 一種網頁資訊擷取程式之自動化產生技術研發	★ 應用XML/XACML於工作流程管理系統之授權管制研究

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

至系統瀏覽論文 (2026-7-31以後開放)

摘要(中)

資訊安全多年來一直是國內外資安人員重視的一項課題。隨著科技的發展快速，新的技術及解決方案不斷的出現，駭客攻擊手段逐年的精進。過往駭客多為個人行為，大部分僅是為展現技術，透過惡意軟體或簡單的程序癱瘓使用者主機系統。2008年隨著比特幣的出現，地下匿名交易開始流行，各類型的攻擊型態勢也趨向集團化及經濟化。透過APT類型攻擊來增加駭客集團收益，攻擊者目標不再只是癱瘓單一主機展現技術。例如，釋放勒索軟體對目標的重要資料文件進行加密，藉著受害者付錢了事的心態來增加駭客的收益，甚至攻擊金融機構影響其交易，造成受害者重大損失。
本研究結合現行商用流量分析平台 (Network Secure Analytics) 並針對SMB協定 (Server Message Block) 協定偵測部分進行外加模組，透過模組進一步發現疑似遭受該類型攻擊的主機並進行較精準針對SMB漏洞進行落點掃描。目前大部分企業發生該類型的攻擊時會採取以下對應方式。第一種方式為直接對企業內部所有設備進行弱點掃描來了解該類型SMB漏洞是否存在。第二為針對企業內部所導入的相關資訊安全設備，SOC戰情中心搜集到的LOG進行交叉比對，藉此找出疑似遭受攻擊的用戶端設備。以上兩種方式雖然可以全面在企業內部進行，但該兩種方式在執行上相當曠日費時且投入的人力及技術成本較高，精準度也不佳。在確認痛點後，本研究設計一式SMB流量分析模組系統，即是篩選流量找出高風險使用SMB流量端點。該研究貢獻企業整合流量分析平台後，可精準找出SMB流量之用戶並可進一步確保其電腦是否存在該類型相關漏洞以降低威脅損害。

摘要(英)

Information security is an important issue for many enterprises, public sector, finance and commercial. As the technology go so fast, new product and solution go to market continually. The tools which hacker use is also update very often. In the past attacking behavior is doing personally. Most of them just want to show their muscle. Recently, hacking activity change to teamwork and economical after the bitcoin appeared in the word. APT attack such as ransomware is becoming popular. This thesis focuses on selecting high SMB vulnerability endpoints by Netflow and network behavior and doing vulnerability scanning on those users who is in high risky. Most of enterprise do vulnerability scanning and the log from other security solutions such as SOC, NGFW when they would like to check if they have SMB risky exist in their environment. Although this way can help them find the threaten end user, it needs to put so many resources and time. They cannot get the real time result. With a view to offload security admin’s loading, we purpose using SMB_Gate which is a Netflow base module and help them find the high SMB risk endpoint. By integrating with commercial Netflow platform, this solution can help IT admin find the high SMB risk endpoint more efficient and they do vulnerability scan on the accurate endpoint.

關鍵字(中)

★ SMB
★ 弱點掃描
★ 網路流量分析
★ 勒索軟體
★ APT防護

關鍵字(英)

★ SMB
★ Vulnerability Scanning
★ Ransomware
★ APT
★ Cyber security

論文目次

第一章緒論 1
1.1 研究背景 1
1.2 研究動機 5
1.3 研究方法 9
1.4 研究流程 9
1.5 研究結果 10
第二章文獻探討 11
2.1 SMB歷史發展 11
2.2 SMB漏洞及威脅 14
2.3 NETFLOW原理及格式 16
2.4 商用NETFLOW分析引擎：STEALTHWATCH 18
2.5 相關文獻探討 20
2.5.1 植基於檔案異動行為建模與備援之勒索軟體防禦機制21
2.5.2 企業資訊安全防護：網路封包蒐集分析與網路行為之探索性研
究 21
2.5.3 Real-time DDoS attack detection for Cisco IOS
using NetFlow 22
2.5.4 BotCluster：一個用於Netflow上的P2P殭屍網路群聚系統
22
2.5.5 Ransomware early detection by the analysis of
file sharing traffic 22
2.5.6 基於網路流量篩選判定SMB漏洞造成之威脅研究 23
第三章研究方法 24
3.1 研究方法 24
3.2 實驗對象 24
3.3 實驗架構設計 25
第四章實驗步驟及結果 27
4.1 實驗架構圖及測試準備 27
4.2 實驗步驟及篩選流程 29
4.3 高風險用戶IP流量分析 31
4.4 風險威脅防護政策制定 37
4.5 實驗結果 38
第五章結論及研究限制 42
5.1 研究結論 42
5.2 研究限制 42
5.3 後續研究及未來方向 43
參考文獻 44
附錄測試流量NETFLOW RECORDS節錄 47

參考文獻

[1] 網路資料：攻擊行為－進階持續性滲透攻擊 APT，取自
https://ithelp.ithome.com.tw/articles/10188821#:~:text=%E9%80%B2%E9%9A%8E%E6%8C%81%E7%BA%8C%E6%80%A7%E6%BB%B2%E9%80%8F%E6%94%BB%E6%93%8A%EF%BC%88Advanced%20Persistent%20Threat%2C%20APT,%E5%8F%AF%E7%94%B1%E5%96%AE%E4%B8%80%E9%A7%AD%E5%AE%A2%E6%89%80%E7%82%BA%E3%80%82 accessed at 2021/5/20
[2] Bankinfosecurity: Attacks Targeting IoT Devices and Windows SMB Surge, retrieve from
https://www.bankinfosecurity.com/attacks-targeting-iot-devices-windows-smb-surge-a-13082 accessed at 2021/5/20
[3] Talos Blog: Threat Spotlight: MedusaLocker, retrieve from
https://blog.talosintelligence.com/2020/04/medusalocker.html accessed at 2020/5/20
[4] Talos Blog: Threat Spotlight: Follow the Bad Rabbit, 2017, retrieve from
https://blog.talosintelligence.com/2017/10/bad-rabbit.html accessed at 2021/5/20
[5] Talos Blog: Lemon Duck brings cryptocurrency miners back into the spotlight, retrieve from
https://blog.talosintelligence.com/2020/10/lemon-duck-brings-cryptocurrency-miners.html accessed at 2021/5/20
[6] Marius Portmann, PhD: Machine Learning-Based NIDS Datasets, retrieve from
https://staff.itee.uq.edu.au/marius/NIDS_datasets/#RA1 accessed at 2021/5/20
[7] Microsoft: Stop using SMBv1, retrieve form
https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858 accessed at 2021/5/20
[8] Groklaw: Myths About Samba, retrieve from
http://www.groklaw.net/article.php?story=20050205010415933 accessed 2021/5/20
[9] IETF: Common Internet File System Protocol (CIFS/1.0), retrieve from
https://tools.ietf.org/html/draft-heizer-cifs-v1-spec-00 accessed at 2021/5/20
[10] 網路資料：SMB網路檔案系統協議介紹，取自
https://www.gushiciku.cn/pl/2F65/zh-tw accessed at 2021/5/20
[11] Microsoft: Server Message Block (SMB) Protocol Versions 2 and 3, retrieve from
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb2/5606ad47-5ee0-437a-817e-70c366052962?redirectedfrom=MSDN accessed at 2021/5/20
[12] Ikram Ullah , Detecting Lateral Movement Attacks through SMB using BRO, Master Thesis, University of Twente, 2016
[13] 趨勢科技：EternalBlue對SRV驅動程式的Large Non-Paged Pool溢位, 取自
https://blog.trendmicro.com.tw/?p=50503#more-50503 accessed at 2021/5/20
[14] Nsfocus Blog: BADRABBIT樣本技術分析與防護方案，取自
http://blog.nsfocus.net/badrabbittechnical-analysis-protection-scheme/ accessed at 2021/5/20
[15] 網路資料：A-TEAM, SMBGhost && SMBleed 漏洞深入研究，取自
https://mp.weixin.qq.com/s/Xlfr8AIB43RuJ9lveqUGOA accessed at 2021/5/20
[16] Patent: Network flow switching and flow data export, retrieve from
https://patents.google.com/patent/US6243667B1/en accessed at 2021/5/20
[17] IETF: Cisco Systems NetFlow Services Export Version 9, retrieve from
https://tools.ietf.org/html/rfc3954 accessed at 2021/5/20
[18] Cisco: Cisco Internetworking Operating Systems (IOS), retrieve from
https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-software-releases-110/13327-ios-early.html accessed at 2021/5/20
[19] 網路資料：Netflow版本5與版本9對比，取自
https://blog.csdn.net/devilcash/article/details/7181089 accessed at 2021/5/20
[20] 網路資料：使用Netflow分析網絡異常流量，取自
https://kknews.cc/zh-tw/tech/alb9oj.html accessed at 2021/5/20
[21] 網路資料：利用您自身網路的力量來發現並防禦威脅活動，取自
https://www.sysage.com.tw/Gogobuy/Index?id=56 accessed at 2021/5/20
[22] 網路資料：網路行為分析加持，強化威脅偵測與回應，取自https://www.netadmin.com.tw/netadmin/zhtw/market/95F9D3ED5A474677828639081DE5AD66 accessed at 2021/5/20
[23] ISAC：新世代安全防禦思維，取自
https://www.isac.org.tw/spaw2/uploads/files/20180126/4-1%20-ISAC%20session2%2020180126.pdf accessed at 2021/5/20
[24] 莊般若，植基於檔案異動行為建模與備援之勒索軟體防禦機制，2019臺灣網際網路研討會，工業技術研究院，民國108年
https://tanet2019.nsysu.edu.tw/assets/TANET2019_thesis/D1_009.pdf accessed at 2021/5/20
[25] 陳裕炎，企業資訊安全防護：網路封包蒐集分析與網路行為之探索性研究，碩士論文，國立中央大學資管所，民國109年
[26] Daniël van der Steeg, Real-time DDoS attack detection for Cisco IOS using NetFlow, University of Twente, Enschede, 2015
https://ris.utwente.nl/ws/files/5442386/133800_1.pdf accessed at 2021/5/20
[27] 王俊又，BotCluster:一個用於Netflow上的P2P殭屍網路群聚系統，博士論文，國立成功大學電通所，民國109年。
[28] Daniel Moratob , Ransomware early detection by the analysis of file sharing traffic, Public University of Navarre, 2020
https://www.researchgate.net/publication/327842209_Ransomware_early_detection_by_the_analysis_of_file_sharing_traffic accessed at 2021/5/20
[29] Cisco Blog: SMB and the return of the worm, retrieve from
https://blogs.cisco.com/security/smb-and-the-return-of-the-worm access at 2021
[30] 趨勢科技：新勒索病毒 Bad Rabbit (壞兔子)，取自
https://blog.trendmicro.com.tw/?p=53049 accessed at 2021/5/20
[31] Cisco Threatgrid: Appliance Administrator Guide, retrieve from
https://www.cisco.com/c/en/us/td/docs/security/threat_grid/admin-guide/v2-11/b_threat-grid-admin-guide/m_introduction.html accessed at 2021/5/20
[32] 網路資料：瞭解 MITRE 2020 ATT&CK 端點防衛評估，取自
https://ninedter.medium.com/%E7%9E%AD%E8%A7%A3-mitre-2020-att-ck-%E7%AB%AF%E9%BB%9E%E9%98%B2%E8%A1%9B%E8%A9%95%E4%BC%B0-%E9%BA%BB%E7%93%9C%E7%89%88-part-1-d0df7b14d909 accessed at 2021/5/20

指導教授

陳奕明(Yi-Ming Chen)

審核日期

2021-7-28

推文