自動化網路安全防禦系統

Abstract

隨著網路攻擊手法的日趨成熟與多樣化，網路入侵與攻擊事件也有逐年遞增的趨勢。在日新月異的攻擊手法中最令人擔憂的是內部合法授權使用者的攻擊事件。傳統觀念中，攻擊行為都是來自外部網路，內部合法使用者總是被認定不會特意攻擊與破壞內部網路；然而現今的網路運用方式，使用者除了從網路上獲取了大量的資訊，也使得使用者遭受電腦病毒與網路蠕蟲入侵的機會大增，內部使用者往往成為非法使用者的跳板而不自知，因此如何有效保護內部網路與資訊安全成了當前資訊人員首要關切的議題。 然而現今市場中入侵偵測產品定位均針對如何偵測與阻擋外來攻擊事件，而對內部人員不當使用與異常事件的管理都無一適當的解決方案與統一管理機制，這使得管理人員面臨極大的困擾。現今的網管人員並非沒有管理系統與工具，傳統的網路管理系統與現今的資訊安全監控中心都整合了許多不同資源與資訊，然而這兩套強大的系統現今幾乎都是各自獨立運作；如何做有效的監測，如何從眾多的資訊中擷取有效的資訊，如何做進一步適當處理都考驗著管理人員的判斷與處理時效。現行許多網路設備與系統也都提供了許多的功能與資訊，然而並沒有一個系統提供合宜的解決方式將不同系統間的資訊做充分有效的整合。 在本篇論文中，我們將研究如何有效整合不同系統，發揮各系統功能特性，使設備與系統間的資訊能互為所用，擴充網路的自我學習與自動防禦能力，達成早期預警與主動隔離機制，減低攻擊事件對系統與網路的傷害程度。根據所採集記錄的資料，網管人員也可進一步分析事件原委並釐清真相。