Chulalongkorn University Theses and Dissertations (Chula ETD)

Other Title (Parallel Title in Other Language of ETD)

Exploring network vulnerabilities for corporate security operations

Year (A.D.)

2019

Document Type

Thesis

First Advisor

ญาใจ ลิ่มปิยะกรณ์

Faculty/College

Faculty of Engineering (คณะวิศวกรรมศาสตร์)

Department (if any)

Department of Computer Engineering (ภาควิชาวิศวกรรมคอมพิวเตอร์)

Degree Name

วิทยาศาสตรมหาบัณฑิต

Degree Level

ปริญญาโท

Degree Discipline

วิทยาศาสตร์คอมพิวเตอร์

DOI

10.58837/CHULA.THE.2019.1140

Abstract

งานวิจัยนี้ได้นำเสนอระบบที่ช่วยในการรวบรวม วิเคราะห์ และจำแนกรูปแบบการโจมตีไซเบอร์บนระบบปฏิบัติการยูนิกซ์หรือลินุกซ์ พฤติกรรมน่าสงสัยจะถูกรวบรวมผ่านทางฮันนีพอตที่ถูกติดตั้งไว้เป็นกับดักล่อเหยื่อผู้บุกรุกทางไซเบอร์ โดยข้อมูลจะถูกเก็บในรูปแบบของบันทึกจัดเก็บ ขั้นตอนกระบวนการหลังจากนั้นจะถูกสั่งการผ่านเชลล์สคริปต์เพื่อวิเคราะห์หารูปแบบการโจมตี จากการทดลองค้นพบลักษณะของคำสั่งการโจมตีที่มีความคล้ายกัน ซึ่งสามารถแบ่งกลุ่มของคำสั่งออกเป็น 5 กลุ่มตามจุดมุ่งหมายการบุกรุก ประกอบด้วย 1. สืบค้นข้อมูลสารสนเทศ 2. ติดตั้งเครื่องมือ 3. โอนย้ายข้อมูล 4. เปลี่ยนแปลงข้อมูล 5. ยึดครองเครื่อง และอีก 2 กลุ่ม คือ กลุ่มของคำสั่งที่ผิดพลาด และกลุ่มของคำสั่งใหม่ที่ไม่เคยพบ สังเกตว่าแต่ละกลุ่มมีผลกระทบต่อระบบไม่เท่ากัน ไวรัสโททอลเปรียบเสมือนบริการฐานข้อมูลที่เก็บรวบรวมเอกลักษณ์ของไวรัสหลากหลายรูปแบบเอาไว้ เมื่อพบคำสั่งในกลุ่มเสี่ยง ระบบจะทำการเรียกใช้ไวรัสโททอลเอพีไอ เพื่อทำการแซนด์บ็อกซิ่ง หรือจำลองการดาวน์โหลด และติดตั้งไฟล์ในสภาพแวดล้อมเสมือนจริง เพื่อวิเคราะห์หารูปแบบการโจมตี ในกรณียูอาร์แอลหรือไฟล์ดังกล่าวเป็นไฟล์อันตราย ไวรัสโททอลจะส่งรายงานกลับมายังระบบที่พัฒนา และแจ้งเตือนไปที่ผู้ดูแลระบบเพื่อดำเนินการเสริมกำลัง เตรียมป้องกัน และพัฒนาการปฏิบัติงานด้านความปลอดภัยองค์กรให้รัดกุมมากยิ่งขึ้น ผลจากการทดลองพบว่า ยูอาร์แอลหรือไฟล์ต่าง ๆ ที่ระบุอยู่ในคำสั่งของผู้บุกรุก 86% เป็นภัยคุกคาม

Other Abstract (Other language abstract of ETD)

This research presents a system to facilitate collecting, analyzing and classifying cyber-attack patterns, focusing on Unix or Linux operating systems. The suspect behaviors will be collected through Honeypot set up as a decoy to lure cyber attackers. The data are stored in the form of logs. The systematic process will be instructed through shell scripts in order to analyze the attack patterns. The findings from the experiments reported similar attack commands which can be categorized into 5 groups based on the attack goals consisting of: 1.Query Information, 2.Attempt to install, 3.Transfer files, 4.Change configurations, 5.Taking Over the Server, and two additional categories which are Error Case and New/ unseen Case. Observing that each category has different levels of impact upon the system. VirusTotal is considered a service which operates similar to a database that stores various virus signatures, when it discovers a command that belongs to the risk groups, the system will call VirusTotalAPI function to simulate a download and install the file in a virtual environment (sandboxing) to analyze the attack pattern. In case a particular file is infected, VirusTotal will return a report and notify the system moderator in order to defend, fortify and enhance the organization’s security operations. The experimental result showed that 86% of URLs or files that belong to the command risk groups are threats.

Share

COinS
 
 

To view the content in your browser, please download Adobe Reader or, alternately,
you may Download the file to your hard drive.

NOTE: The latest versions of Adobe Reader do not support viewing PDF files within Firefox on Mac OS and if you are using a modern (Intel) Mac, there is no official plugin for viewing PDF files within the browser window.