Browsing by Author "Lee, Yung-Feng"

Filter results by typing the first few letters
Now showing 1 - 1 of 1
  • No Thumbnail Available
    Item
    提取日誌資料生成溯源圖
    (2025) 李永豐; Lee, Yung-Feng
    隨著資訊安全防護日益重要,系統日誌的分析扮演關鍵角色,能協助即時偵測異常行為與追蹤潛在攻擊路徑。本研究旨在透過 Auditbeat 蒐集 Linux 系統的審計日誌(Audit Log),並結合 Elasticsearch 與 Kibana 建立可視化分析環境,進一步使用 Python 與 Graphistry 建構 Provenance Graph(溯源圖),以圖形化方式揭示系統中事件間的因果關係。本研究以實際攻擊模擬方式,結合資安事件進行溯源分析。首先透過 Auditbeat 收集檔案操作、程序建立與網路連線等系統層級事件,將資料傳送至 Elasticsearch 並以 Kibana 進行初步視覺化。為強化分析效率,進一步使用 Python 與 Pandas 擷取關鍵欄位,並透過 Graphistry 建構事件溯源圖,呈現節點間的因果關係與行為路徑。此外,研究亦模擬 Subrion CMS 中 CVE-2018-19422 漏洞,攻擊者上傳惡意 .phar 檔案取得 reverse shell,Auditbeat 可偵測其檔案異動與非預期連線行為,並於溯源圖中呈現 apache2 觸發 shell 的完整路徑。本研究亦納入釣魚攻擊模擬場景,誘導使用者輸入帳密並下載含有反向連線功能的惡意 ELF 檔案。受害者執行該檔後成功建立 Meterpreter 控制連線,進而進行檔案操作與系統控制。相關行為全程被 Auditbeat 紀錄,並以溯源圖方式具體呈現從網頁誘騙到系統被控的完整流程,驗證本方法於異常行為還原與關鍵節點追蹤之可行性。總結而言,本研究提出一套自動化、可視化的系統日誌分析流程,不僅能有效提取安全關鍵事件,亦能協助資安人員以溯源圖方式掌握攻擊者行為軌跡。此方法可應用於入侵偵測與安全監控領域,為企業與研究機構提供具實用性的日誌分析與威脅溯源工具。