跳到主要內容區塊

ntuccepaper2019

技術論壇

全天候網站安全監控與檢測服務
  • 卷期:v0011
  • 出版日期:2009-12-20

作者:李美雯 / 臺灣大學計算機及資訊網路中心資訊網路組程式設計師


為了幫助學校的網站管理者解決個資與機敏資料外洩的惱人問題,計資中心建置一套「惡意掛馬網頁偵測分析與監控硬體式平台系統」,提供了24小時全天候網站安全監控與檢測服務,以維護學校網站之安全管理,更保障連接學校網站的所有使用者之上網安全。

 

Web2.0結合了網站提供各項服務,增加了使用者的互動,同時也吸引了駭客對網站攻擊的高度興趣。駭客不再直接入侵網站竊取資料,而是透過網站攻擊瀏覽網頁的使用者。竊取瀏覽網頁的使用者個人身分資料與財物等相關資訊,甚至與工作有關的機密資料,造成個資與機敏資料的外洩。本校系所或單位的網站,如果被駭客植入惡意連結或木馬程式,容易造成使用者掉入無知的陷阱中,影響個人或工作機敏資料外洩的機率隨之增加。除此之外,也間接地影響本校網站的聲譽。

 

為了幫助學校的網站管理者解決上述惱人的問題,計中提供了24*7全天候網站安全監控與檢測服務,以維護學校網站之安全管理,更保障連接學校網站的所有使用者之上網安全。
計資中心建置一套「惡意掛馬網頁偵測分析與監控硬體式平台系統」(以下簡稱“本系統”),能夠配合需求即時或排程監控網站的各種惡意網頁安全問題,並在第一時間通知相關人員處理。本系統,可從以下三個面向說明:

 

1. 惡意網頁動態分析

  • (1)真實模擬Client端 Windows作業系統與瀏覽器真實系統環境,能完整顯示「惡意程式 (Malware)」與「木馬 (Trojan)」觸發下載過程,提供惡意網頁偵測結果之正確性與完整性。

  • (2)完整模擬Windows IE等知名之網頁瀏覽器,運用修補前後之各種版本以評估實際 Client 端電腦運作環境。

  • (3)不依賴惡意軟體特徵碼 (Signature-base) 資料庫,而以「異常行為分析模式」為主要判斷依據,可以偵測「已知」、「未知」的惡意軟體,同時能夠支援「零時差之惡意軟體攻擊手法(Browser Zero-Day Exploit)」的異常偵測。

  • (4)可以分析各種「JavaScript變形編碼 (Obfuscated)」的惡意網頁,避免此類變形編碼網頁躲過一般惡意軟體偵測的情況發生。

 

2. 惡意連結靜態分析

  • (1)提供分析網頁中可疑「非法IFRAME」標籤的功能,過濾出可能夾帶惡意連結之網頁。

  • (2)具備「網頁靜態分析」功能,可偵測網頁中異常惡意連結,其中包括由「非法網頁程式腳本(JavaScript Code)」產生之IFRAME下載惡意連結。

  • (3)技術架構請參考圖一

 

3. 惡意程式來源分析

  • (1)透過網頁異常行為演算法,即使中間經過多個跳板網址連結,本系統可以分析出駭客所植入惡意程式或者惡意連結之真正網址源頭,而非僅僅提供初始網址,提高惡意網頁偵測結果之正確性與完整性。

  • (2)本系統可根據檢測結果產生駭客來源網址黑名單,以提供本校其他資安防禦設備使用。

本系統屬於「非侵入式」遠端偵測監控設備,僅從遠端以一般使用者 Client 端網頁瀏覽器方式分析網頁內容,不需安裝任何軟體於 Web 伺服器,避免相容性的問題,亦不影響Web 伺服器主機效能。

如果本校使用者需要此項服務,請與計資中心網路組連絡(email to: net@ntu.edu.tw),並請提供以下資訊:
1. 系所或單位名稱
2. 網站名稱,如http://www.ntu.edu.tw
3. 網站負責人聯絡方式:姓名、電子郵件帳號、聯絡電話