台灣網路資訊中心專案委託研究計劃書.doc

台灣網路資訊中心專案委託研究計畫期末報告 DNS安全檢測及事件紀錄分析機制實作研究 執行單位：國立中山大學電腦網路危機處理中心 台灣電腦網路危機處理暨協調中心 執行時間：93年7月23日至94年2月16日 計畫主持人：陳嘉玫教授cchen@.tw 協同計畫主持人：林宜隆教授paul@.tw 鄭進興副教授jscheng@.tw 連絡人：陳秀如joanon@.tw 電話： (07) 5250211 (02)傳真： (07) 5250212 (02)地址： 804高雄市鼓山區蓮海路70號 電腦網路危機處理中心 目次 iii 圖目錄 iv 第一章 緒論 1 1.1 計畫目標 1 1.2 計畫緣由 1 1.3 網域伺服主機所在的網路 2 1.4 DNS伺服器 2 1.5 名稱解析機制及協定 4 1.6 事件分析機制 5 1.7 研究架構 6 第二章 文獻探討 8 2.1 DNS攻擊弱點分析 8 2.2 DNS安全分析 8 2.3 事件記錄分析機制 8 2.4 入侵偵測預防 10 2.5 Security Operation Center 15 2.6 以入侵攻擊事件為基礎之記錄分析機制 16 2.7 設計上遭遇之問題與解決方式 17 2.8 Log複雜度 19 2.9 分析工具 20 2.10 Snort工具 21 第三章 系統架構及研究方式 23 3.1 研究目的 23 3.2 系統設計 23 3.3 Log Collection，系統事件蒐集機制 24 3.4 Formatting module，資料正規化模組 25 3.5 Inference Engine，推論分析引擎 26 3.6 Event discover DB，預警事件資料庫 27 3.7 Log monitor console，中央控制中心 28 第四章 實作進度及系統開發 29 4.1 系統架構 29 4.2 系統開發 32 4.2.1 實驗環境架構 32 4.2.2 模組一（M1）：系統事件蒐集機制 33 4.2.3 模組二（M2）：資料正規化模組 37 4.2.4 模組三（M3）：事件分析過濾模組 43 4.2.5 模組四（M4）：預警事件資料庫 46 4.2.6 模組五(M5)：中央控制中心 48 4.3 系統流程方塊 48 4.4 系統實作與展示 50 4.4.1 首頁 50 4.4.2 主機服務提供情況 50 4.4.3 與主機核心相關之log資訊 52 4.4.4 與主機提供之服務相關之log資訊 53 4.4.5 Check log觀測 55 4.4.6 Secure Log資訊觀測 57 4.4.7 MailLog資訊觀測 59 4.4.8 Cron資訊觀測 60 4.4.9 Snort狀態檢測 61 4.4.10 即時預警資訊歷史資訊查詢 63 4.4.11 預警規則庫設定 63 4.4.12 後台系統執行狀態 64 4.4.13 資料蒐集主機狀態檢測 65 4.4.14 Router資訊展示 67 4.4.15 後台設定檔及執行狀態 67 4.5 事件紀錄分析機制實作小結 69 第五章 結論與未來工作 69 附錄一 資料庫 E-R關係圖 71 附錄二 系統過濾法則庫資訊 73 表目錄 表 1事件記錄檔分類 9 表 2 LIDS與Snort比較 17 表 3各種偵測法之比較 19 表 4系統所使用的log檔案 20 表 5常用log種類 33 表 6常見資料同步 35 表 7偵測主機狀態 36 表 8 demon類型 39 表 9攻擊工具列表 46 表 10 預警階層 47 表11 檢測時間表 71 表12 第一、二層DNS伺服主機資訊 74 表13 主機漏洞資訊 76 表14 主機弱點統計表 77 表15各伺服主機啟開的port列表 79 表16 與a.dns.tw同一網段之其它主機 81 表17 與a.dns.tw同一網段之其它主機弱點列表 82 表18 與c.dns.tw同一網段之其它主機 82 表19 與c.dns.tw同一網段之其它主機弱點列表 82 表20 與d.dns.tw同一網段之其它主機 83 表21 與d.dns.tw同一網段之其它主機弱點列表 83 表22 與.tw同一網段之其它主機 84 表23 與.tw同一網段之其它主機弱點列表 84 表24 與.tw同一網段之其它主機 84 表25 與.tw同一網段之其它主機弱點列表 84 表26 與同一網段之其它主機 85 表27 IP Address與domain name解析錯誤列表 85 表28 上