Symantec2007下半年「全球網路安全威脅研究報告」中指出，2007年新惡意碼(Malicious Code)較2006年成長4.68倍，共計711,912個。目前資安設備雖有日誌檔供管理者查詢，但依目前惡意碼產生的速度，事後追蹤往往已造成資訊安全防護上的漏洞，因此本研究搜集淡江大學Symantec防毒伺服器之日誌檔，分析惡意碼在校園中的趨勢，運用安全營運中心(Security Operation Center)－ArcSight系統建置即時監控儀表板，掌握校園惡意碼感染行為。
研究發現，實際感染電腦主機之惡意碼主要來自：使用者不當之上網行為，佔82.67%；惡意碼新增速度太快，防毒廠商尚未製造相對應病毒碼，佔17.33%；電腦主機因啟動Symantec防毒軟體而未自動更新病毒碼而中毒為0%；2007年由Symantec建立的病毒碼中，12.3%新惡意碼未有相對應之病毒碼，而淡江大學2008年實際感染惡意碼數量，發現25.76%來自於新惡意碼；異常惡意碼數量增加主要來自同一主機持續感染且以特洛伊木馬為首要來源；再結合惡意碼即時監控平台之建置，讓管理者能準確掌控校園電腦使用情形，包含每日惡意碼數量、主機感染惡意碼現況與最常感染之惡意碼排名，期望透過瞭解校園惡意碼趨勢並提供一個監控平台，供管理者掌控校園電腦主機被惡意碼感染之現況。

During the second half of 2007, Symantec 2007 of "Global Internet Security Threat Report," indicated the new malicious code growth has become 4.68 times larger than 2006, overall 711,912 pieces. Although the information security equipment provides query log file for the information security manager, but according to the current speed of malicious code generation, it’s too little to late for us to tracking the malicious code owing to the fact the malicious code has resulted in information security weakness. Therefore, in this study, we had been collecting Symantec antivirus server log files of the Tamkang University, analyzing the malicious code growth on campus and used security operations center (SOC) -ArcSight system build real-time to monitor the malicious code infection acts on campus.
.	As the matter of fact, the research turn out that the actual infection of the host computer is mainly caused by the misbehavior of the current internet users, accounting for 82.67%、Malicious code increased too fast, anti-virus vendors have not invented the corresponding virus solutions, accounting for 17.33%、Mainframe computer was not updated virus definitions, accounting for 0%. Abnormal increase in the number of malicious code from the same host, and the continuous infection of the Trojan horse is in the majority.
	Finally, combined with real-time monitoring of malicious code on the build platform, so managers can accurately control the use of campus computer, including daily number of malicious code, host infected with malicious code and the status of the most common malicious code infection rankings. Expectations of the campus through an understanding of the trend of malicious code to monitor and provide a monitor platform for the management control of the campus mainframe computer has been infected with malicious code on the current situation.

中文摘要	I
英文摘要	II
目錄	IV
表目錄	VI
圖目錄	VII
第壹章	緒論	1
第一節	研究背景及動機	1
第二節	研究目的	2
第三節	研究範圍與限制	3
第四節	論文架構	3
第貳章	文獻探討	4
第一節	惡意碼	4
第二節	惡意碼分類	4
第三節	惡意碼比較	12
第四節	即時監控系統相關應用	13
第五節	相關研究	14
第參章	研究方法與過程	16
第一節	個案描述	16
第二節	資料來源	17
第三節	使用工具	17
第四節	研究過程	18
第肆章	研究分析	20
第一節	惡意碼數量分析	20
第二節	惡意碼類型分析	27
第三節	惡意碼名稱分析	30
第伍章	即時監控平台建置	34
第一節	規則撰寫	34
第二節	惡意碼異常數量監控	37
第三節	短時間大量中毒主機	38
第四節	實際感染的惡意碼排行	39
第陸章	結論與建議	41
第一節	結論	41
第二節	建議	42
參考文獻	43

表目錄
表 1 1　近年重大網路病毒攻擊事件損害表	2
表 2 1　病毒、蠕蟲、特洛伊木馬比較表	9
表 2 2　惡意碼區別	12
表 4 1　2008年淡江大學惡意碼數量	21
表 4 2　2008年淡江大學實際感染的惡意碼來源分佈統計	21
表 4 3　淡江大學2008年校內主機啟用自動防護比例	22
表 4 4　淡江大學2008年電腦主機中毒來源	22
表 4 5　淡江大學2008/10/31前五名電腦主機感染惡意碼	23
表 4 6　淡江大學2008/11/24前五名電腦主機感染惡意碼	23
表 4 7　淡江大學2008/12/29前五名電腦主機感染惡意碼	24
表 4 8　2008年淡江大學惡意碼類型百分比	28
表 4 9　前十大實際感染的惡意碼(年排行)	31
表 4 10　2008年全球前十大新惡意碼	32
表 4 11　2008年亞太地區前十大惡意碼	32

圖目錄
圖 2 1　全球病毒即時監控中心(趨勢科技)	13
圖 3 1　淡江大學Symantec運作流程圖	17
圖 3 2　惡意碼分類	19
圖 4 1　淡江大學2008年10~12月實際感染的惡意碼數量	22
圖 4 2　2008年病毒碼發佈至淡江大學偵測到平均天數	25
圖 4 3　2003-2007年新惡意碼與病毒碼數量	26
圖 4 4　2007-2008年全球前50大惡意碼類型	29
圖 4 5　2008年亞太地區與全球惡意碼類型比較	30
圖 5 1　關連式規則(統計惡意碼數量)	35
圖 5 2　 關連式規則(統計中毒主機數量)	35
圖 5 3　中毒主機清單	35
圖 5 4　淡江大學惡意碼即時監控	36
圖 5 5　每天實際感染惡意碼數量(2月)	37
圖 5 6　每天實際感染惡意碼數量(3月)	38
圖 5 7　每天實際感染惡意碼數量(5月)	38
圖 5 8　24小時內各單位中毒主機數	38
圖 5 9　24小時內中毒主機	39
圖 5 10　一週內中毒主機排行	39
圖 5 11　前十大實際感染的惡意碼(月排行)	40
圖 5 12　前十大實際感染的惡意碼(週排行)	40

一、中文文獻
[1]	ESET，威脅解釋，網址：http://www.eset.com.cn/html/64/61/，2009。
[2]	Symantec, 「病毒、病蟲和特洛伊木馬有何不同？」，網址: http://service1.symantec.com/SUPPORT/INTER/traditionalchinesekb.nsf/tw_docid/pf/20020823102243932，2009。
[3]	Symantec安全機制應變中心，詞彙，網址：http://www.symantec.com/zh/
tw/business/security_response/glossary.jsp，2009。
[4]	人民網，「認清病毒、蠕蟲與木馬之間的區別」，網址： http://it.people.com.
cn/GB/42892/42929/5053384.html，2006.11。
[5]	中華人民共和國國務院，「中華人民共和國計算機信自系統安全保護條例第28條」，網址：http://www.isec.org.cn/fwyzc/laws.asp?id=184，2009。
[6]	台灣電腦網路危機處理中心(TWCERT)，「2007電腦犯罪與安全調查」，2007。
[7]	台灣電腦網路危機處理中心(TWCERT)，「校園網路安全性之評估」，2001。
[8]	吳志祥，「具自動問題處理能力之電子商務即時監控系統」，私立中華大學資訊工程研究所碩士論文，2003。
[9]	林建宏，「正規化概念分析建構電腦病毒特徵之知識本體」，國立雲林科技大學資訊管理研究所碩士論文，2006。
[10]	林敬皇、姜忠志等，「攻擊事件因果關聯設計與實現」，網際網路技術學刊，第八卷第二期，2007.04。
[11]	林敬皇、陳威宇、姜忠志等，「於安全管理營運中心實現有效警訊整合與呈現攻擊事件之因果關聯圖」，台灣網際網路研討會，2006。
[12]	邱春樹，「行為偵測技術已成防毒軟體主流」，網址：http://rogerspeaking.blogspot.com/2007/09/blog-post_3909.html，2007。
[13]	南常義，「資通安全之發展與資訊安全監控中心建置概況」，證券暨期貨月刊，第二十四卷第六期，2004。
[14]	洪裕傑，「企業資訊安全風險評估－以電腦病毒為例」，國立政治大學資訊管理研究所碩士論文，2005。
[15]	孫思源，「跨國企業遭惡意程式攻擊影響因素之探討」，國立第一科技大學資訊管理研究所碩士論文，2007。
[16]	袁勤國、李秋華，「校園網路安全防護機制之建立」，2002年台灣網際網路研討會，p.733-p.737，2002。
[17]	陳大任、黃賢驎譯，Robert Slade, David Harley, Urs E. Gattiker 著，「病毒聖經」，台北，美商麥格羅．希爾國際，2002。
[18]	黃彥棻，賽門鐵克：惡意程式變形超出專家預期，iThome，網址：http://www.ithome.com. tw/itadm/article.php?c=53448，2009.02.19。
[19]	微軟技術中心，「防毒措施深入指南」，網址： http://www.microsoft.
com/taiwan/technet/security/guidance/avdind_2.mspx，2004。
[20]	賴守全、謝木政，「校園網路安全事故自動防治系統之設計與實作」，2002年台灣網際網路研討會，p.727-p.732，2002。
[21]	趨勢科技，「2007下半年資安威脅報告」，2008。
[22]	趨勢科技，「灰色軟體當道個人隱私全都錄」，網址：http:// tw.trendmicro.com/tw/about/news/pr/article/20070906124713.html，2005。
[23]	趨勢科技，網址：http://tw.trendmicro.com/tw，2009。


二、英文文獻
[24]	CERT Coordination Center, "CERT Advisory CA-1989-04 WANK Worm On SPAN Network ", from http://www.cert.org/advisories/CA-1989-04.html.
[25]	Cohen, F.,"Computer Viruses Theory and Experiments," Computers and Security, vol. 6,pp. 22—35, 1987.
[26]	Cristina Abad, Jed Taylor, Cigdem Sengul, William Yurcik, "Log Correlation for Intrusion Detection: A Proof of Concept", 19th Annual Computer Security Applications Conference (ACSAC 2003), IEEE Computer Society, 2003.
[27]	Erbschloe, Michael., "Trojans, worms, and spyware : a computer security professional's guide to malicious code. U.S.: Elsevier Butterworth　-　Heinemann", 2005.
[28]	Lehtinen, R., "Computer Security Basics", 2nd Edition, O'Reilly Publishing, June 2006.
[29]	Moore, D., Paxson, V., Savage, S., Shannon, C., Staniford, S. and Weaver, N., "Inside the SLAMmer Worm ", IEEE Security and Privacy, Vol. 1, No. 4, pp. 33-39, July 2003.
[30]	Moore, D., Shannon, C. and Brown, J., "Code-Red: A Case Study on the Spread and Victims of an Internet Worm ", In Proceedings of the 2002 ACM Internet Measurement Workshop, pp. 273-284, November 2002.
[31]	SANS Institute, "Lion Worm ", from http://www.sans.org/y2k/lion.htm.
[32]	Shoch, J. F. and Hupp, J. A., "The ‘Worm’ Programs – Early Experience with a Distributed Computation," Communications of the ACM, Vol. 25, No. 3, pp. 172-180, March 1982.
[33]	Symantec Corp., " Symantec Global Internet Security Threat Report Volume IX ", Mar 2006.
[34]	Symantec Corp., " Symantec Global Internet Security Threat Report Volume VII ", Mar 2005.
[35]	Symantec Corp., " Symantec Global Internet Security Threat Report Volume VIII ", Sep 2005.
[36]	Symantec Corp., " Symantec Global Internet Security Threat Report Volume X ", Sep 2006.
[37]	Symantec Corp., " Symantec Global Internet Security Threat Report Volume XI ", Mar 2007.
[38]	Symantec Corp., "Interpreting the log files for Symantec AntiVirus Corporate Edition and Symantec Endpoint Protection", 2009. 
[39]	Symantec Corp., "Symantec APJ Internet Security Threat Report: Trends for July-December 2007", April 2008. 
[40]	Symantec Corp., "Symantec APJ Internet Security Threat Report: Trends for 2008", April 2009.
[41]	Symantec Corp., "Symantec Global Internet Security Threat Report Volume XIII: Trends for July-December 2007", April 2008.
[42]	Symantec Corp., "Symantec Global Internet Security Threat Report Volume XIV: Trends for 2008", April 2009.
[43]	Symantec Corporation, "Symantec Security Response - Linux.Ramen.Worm ", from http://www.symantec.com/avcenter/venc/data/linux.ramen.
worm.html.
[44]	Trend Micro., "2007 Threat Report | 2008 Threat and Technology Forecast",　2008。
[45]	Webopedia, "What is greyware? What is greyware? - A word definition from the Webopedia Computer Dictionary.", from http://webopedia.com/TERM/g/greyware.html.，2006.06。