以Honeynet汇集大数据　紧盯网安威胁趋势演进

国家高速网络与计算中心研究员蔡一郎。

不可否认，在一片资通讯科技议题中，当前最炙手可热的项目，无疑就是物联网(IoT)。然而人们在兴奋迎接IoT时代来临之际，殊不知危机已悄然近身，只因为当人、事、物都搭着大量新的终端设备而连上网络，必然会带来新的网安议题。

国家高速网络与计算中心研究员蔡一郎归纳，移动设备的网安威胁主要可分为8类，分别是「数据遗失」、「恶意程序的数据窃取」、「应用程序的网安威胁」、「设备的弱点」、「通讯的网安威胁」、「管理功能的不足」，及「NFC与近场通讯的安全」。

但在上述表象背后，蕴含了一些容易让人们有所忽略，甚至迄今尚且浑然不知的威胁来源。其中包括了山寨版的热门软件，自动化网络组织设定所造成的安全隐忧，网站久未维护因而出现漏洞、导致有莫名东西植入，不易用IP位址追查的黑客中控台，甚至是肇因于云端服务平台与开放数据风潮，导致大众运输系统出现安全问题，以及由于行车信息的数码化，造成行车安全的隐忧，哪天就算出现实体SQL Injection也不让人意外。

善用诱捕网络　发掘未知攻击行为

面对这麽多令人防不胜防的新兴威胁，企业或使用者应该如何防范？蔡一郎认为「诱捕系统」(Honeypot/Honeynet)堪称是解决难题的好工具，他进一步解释，此套工具系透过存在于系统或应用软件上的弱点，藉以掌握网络上的攻击与威胁来源，而目前诱捕网络采用低互动与高互动的侦测架构，配合主动式的信息探勘，发掘未知的攻击行为。

截至目前，国家高速网络与计算中心在教育部信息及科技教育司、台湾大学、台科大、交通大学、宜兰大学、中兴大学、东华大学、中正大学、台东大学、成功大学、中山大学设立多处侦测环境(位于台湾学研网络环境)，广泛蒐集日志、样本与网络流量，据以厚植巨量数据分析的基础。

蔡一郎指出，目前可供部署的诱捕系统，可分为诸多类型，包括「Dionaea/Nepenthes」：可模拟系统与应用软件弱点，接受来自网络上的攻击，借此蒐集恶意程序与网络流量；「Kippo」：旨在模拟SSH服务，统计帐号？口令猜测次数、攻击者行为模式，以蒐集黑客工具；「Amun」：模拟网站服务弱点，蒐集攻击的数据与手法；「Glastopf」：模拟网站应用程序弱点，侦测与蒐集攻击者探测、入侵等巨量攻击行为；「Conpot」：模拟SCADA系统、AC/DC控制器，蒐集恶意攻击来源、侦测IoT网络中异常通讯。

现今国家高速网络与计算中心所布建的诱捕系统，动用逾6,000个IPv4位址，采用虚拟主机架构规划，其中95%皆为低交互式诱捕系统。而在2014年期间，共计侦测到2,081百万次攻击次数，其中来自Dionaea系统的1,680百万次为最多。

经由实时侦测来自网际网络的攻击与进行威胁分析，平均每天侦测到的攻击数量达6百万次，尖峰值超过3,000万次，特别是在2014年4月8日微软停止维护Windows XP、Office 2003，及惊爆Open SSL或IE 10重大漏洞的同时，皆出现大规模自动化攻击行为。

总计2014年攻击行为特性，较为明显的趋向，包括因应放大攻击的手法已运用关键服务(DNS、NTP)，2014年3月初已持续约40天侦测到巨量的攻击行为；恶意程序巨量出现，在首次侦测到的24小时内，端点防护设备平均检出率低于5%；DDoS攻击移动配合恶意程序与殭屍网络大规模运作。若以每月新型态恶意程序的角度来观察，则可发现恶意程序变种速度极快，活跃的殭屍网络变种周期约1~3天；新型态的恶意程序透过编码、加壳机制、程序产生器进行变种。

目前诱捕网络于2014年，陆续掌握69,194种新型态恶意程序，采用沙箱测试与行为分析进行攻击行为定义；殭屍网络攻击对象已涵盖Android系统。

殭屍网络为主要威胁　且战场扩及移动设备

上述发现，辅以与国际信息安全组织的情资交换，成为国家高速网络与计算中心赖以建构恶意程序知识库的来源，目前累积建立的恶意程序样本达1,200万种，恶意程序分析报告为160万份，攻击威胁来源清单为2,500笔。

「侦测到来自台湾的攻击，近9成的恶意程序，具备区域网络扩散能力，利用网络芳邻进行感染与扩大影响范围，」蔡一郎说，至于侦测到来自海外的攻击，除网络芳邻攻击外，另针对常用的网络应用服务进行扫描及弱点攻击，仍为主要目标。

而攻击端使用之OS，仍为Windows XP，另在攻击事件的受害主机，则采用Windows XP SP1、SP2与SP3的合计比重极高，占85%之谱，此外针对攻击来源国家、最活跃IP来源、来源IP活动规律，该中心皆有详尽统计报告。

总括而论，蔡一郎表示，殭屍网络仍为当前网络安全威胁的主要来源；匿踪技术的演进造成追踪上的困难；预期未来DDoS攻击威胁将持续增加；现阶段恶意程序的活动，以数据窃取为主要目的；多层次巨量数据分析与时间上的挑战亟待克服；视觉化处理，为今后处理网安信息的核心技术；移动设备已成为殭屍网络的新战场。