Implementing an Active Defending Platform against Worm Propagation on Personal Communication Software

網路蠕蟲是利用系統弱點或使用者疏失進行感染的惡意程式。在校園網路中，由於使用者經常利用電子郵件與MSN 網路進行個人訊息的傳遞，如果所使用的程式具有弱點，而使用者又沒有足夠的資安意識，便很可能被蠕蟲入侵，導致網路流量大增，甚至癱瘓了網路的正常運作。要防禦蠕蟲的迅速傳播，通常可以會運用防火牆進行封包阻擋，並且用入侵偵測系統(IDS)來偵測異常的連線行為。目前在網際網路上，已經有Snort 與ipTables 等工具可以達成上述功能。不過，當新型蠕蟲進入校園網路之後，通常會在校園網路內部進行近鄰之間的感染，而即使各子網路都架設防火牆或入侵偵測系統，也因為防禦工具無法彼此傳遞蠕蟲特徵，而無法阻擋新型蠕蟲的蔓延。基於上述原因，本計畫的目的是設計一個具有傳遞蠕蟲特徵功能的主動式防禦平台，針對校園當中最常被使用的個人通訊軟體（MSN 與電子郵件），來進行系統實作。本計畫將會使用現有的開放軟體，利用OpenSSL 來進行安全訊息的處理，應用WinPCap來抓取封包，並且透過MySQL 來建立封包資料庫。預期本系統完成之後，將可以建立一個具有協同合作功能的主動防禦平台，在目前的自由軟體社群當中，具有協同合作特性的網路防禦軟體尚不多見，而參與本計畫的人員也都能因此獲得開發自由軟體的經驗。另外，本系統也將針對進入校園網路的MSN 與電子郵件封包加以抽樣儲存，這使得本系統在一定的抽樣機率之下，可以針對特定位址還原出新型病毒入侵的連線封包；這對於瞭解蠕蟲的原始型態，預期可有一定程度的貢獻。

Project ID:PB9609-5829
External Project ID:NSC96-2218-E182-065