壹、前言讲述.PDFVIP

陳建智　詹偉銘　鄭 棕翰 　黃秀娟　張 光宏　周國 森 網路 安全已演變 成一個複雜且具多重因 子的問題 ，網路 攻擊行為已 不如過 往那樣單 純 。創 建於全世界最 大的國 防工業承包商洛克 希德 ・馬 丁 （Lockh eed Martin ）公司提 出的術語 Cyber Kill Chain ，已被廣泛地使用在資 安社群描述網 “ ” 絡攻擊的 不同階段 ，透過此模型 ，我們可 以了解 網路 攻擊行為的 步驟 與如何 防 範 。Cyber Kill Chain 分成好幾個 步驟 ，攻擊者從偵 察 （Reconnaissance ）、武裝 （Weaponization ）、傳遞 （Delivery ）、弱點 攻擊 （Exploitation ）、植入後門程 式 （Installation ）、安裝可遠端控制工具 （Command and Control, CC ），到持續監 控並完成任務 （Action on Obj ectives ），立足 於目標 ，以能 進行更 進一步的 攻擊 。 此種 攻擊過程即廣為人知的 APT攻擊 （黃 彥棻，20 12 ）。正因 進階持續性滲透攻擊 （Advanced Persistent Threat, APT ）攻擊的發展 ，讓 網路 安全防禦 與事件調查變得 更加困難 ，也因 此衍 生出「網路 威脅情資 分享 」等相關議題 （林子煒 ，2014 ）。許 多攻擊者 經常只編寫 一個惡意程 式，就 將它送往 多重目標組織 ，因 為只 需要做 一些 微幅的修改就可 以不被偵測 出來。然而，如果 企業間彼 此能 集結成一個社群 ，就能 夠迫使網路 攻擊者 每次都 必須建立多個獨特的 攻擊 ，增加他們的 成本負擔 。如果 企 業間可 以分享資訊 ，那麼防衛 成本也會因 此降低 。若能 將這個程 序做 到自動化 ，讓 企業即時 分享資訊 以預防攻擊 ，則 其效益將呈指數增加 。有鑑於此，現今組織愈 來 愈 需要 擁有蒐 集網路 威脅情資的能 力，且要有情資 分享能 力，能 與其信任夥伴 分享 網路 威脅情資 ，共同 防禦網路 威脅 。網路 威脅情資 分享能夠幫 助組織面 對並聚焦在 現今龐大且複雜的 網路 安全資訊 ，透過標準化 、架構性的資訊 ，才能 一窺網路 安全 事件的 全貌 。 打造網路 威脅情資 平臺 需要 透過有效率的蒐 集 、分析 、排序和處理資 安威 脅 ，並整合自 家的 情報 ，重新 產生可供識別的新標的 （Indicators of Compromise, IoC ）。而如何透過社群 力量有效地蒐 集公有情資 ，以及如何利用自 身獨 特所 擁有 的資訊 產生網路 威脅情資 ，都是 決定網路 威脅情資 平臺能否達到其效益的關 鍵 。 自動化情資蒐 集模組 （Collective Intelligence Framework, CIF ），是 一套開 源的 網路 威脅情資 平臺 ，它擷取 了不同種類可觀 察的 情報 ，從不同的 來源 （除 了預設的 來源外 ，使用者也可自行 定義情資 來源 ），並隨著時間 產生一連串的觀 察資 料 ， 幫 助使用者 對網路的 威脅做 出判斷 （Wes, 20 14 ）。這些情資中 ，以IP Address 、 Domain 、URL為最容易從惡意活動中觀 察的資 料型態 。透過自動化情資蒐 集模 64　Journal of Advanced Technology and Management　Vol.6, No.2 (2016) 一種利用網路 流量資訊擴展網路 威脅情資的 系統 組，有效地利用社群的 力量蒐 集公有的 情資 來源 ，並回饋自 身的 情資給社群 。 至於如何利用自 身獨特所 擁有的資訊 來源來產生情資 ，則可 透過分析組織 長天 期的 網路 流量資訊 ，找出異常的活動行為 ，並整合已 知的 網路 威脅情資 ，來產生新 的 網路 威脅情資 。本文提 出一種透過長天期網路 流量資訊擷取特定網路行為的 方 法 ，整合自動化情資蒐 集模組及VirusTota的l 惡意檔 案紀錄 ，以針對具有特定網路 行為的外部 網站群 組做風險評 比，進而擴展網路 情資的內容 。透過擴展及 分享網路 威脅情資