TW201705035A - 快速篩檢資安風險主機方法與系統 - Google Patents
快速篩檢資安風險主機方法與系統 Download PDFInfo
- Publication number
- TW201705035A TW201705035A TW104123811A TW104123811A TW201705035A TW 201705035 A TW201705035 A TW 201705035A TW 104123811 A TW104123811 A TW 104123811A TW 104123811 A TW104123811 A TW 104123811A TW 201705035 A TW201705035 A TW 201705035A
- Authority
- TW
- Taiwan
- Prior art keywords
- malicious
- host
- behavior
- risk
- file
- Prior art date
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本發明係揭露一種快速篩檢資安風險主機的方法,以健康檢查的概念發想,透過受駭風險分析模組所分析的各項受駭指標,快速篩檢出高受駭風險的主機,且所分析的受駭指標可作為下次分析映像標的,透過指標差異可更加精確分析是否受駭。實作上述方法的系統,其包含:一日誌上傳模組,上傳使用者採集的各類型日誌;一日誌分析模組:將各類日誌篩選為惡意行為或惡意檔案日誌;一惡意行為分析模組:分析惡意行為;一惡意檔案分析模組:分析惡意檔案;一受駭風險分析模組:運算惡意行為分析模組及惡意檔案分析模組分析結果風險值;一結果模組:將高風險主機列表回饋給使用者。
Description
本發明係關於一種快速篩檢資安風險主機方法與系統。
舊有藉由一個系統呼叫監視模組攔截一個或多個行程呼叫與所有的系統呼叫有關的參數,並藉由惡意程式碼分析模組對多個預定的系統呼叫的輸入資料流進行分析,並執行疑似的惡意程式碼。一旦發現惡意程式碼分析模組與含有疑似惡意程式碼的原行程具有相同行為,便立即發出一系統遭入侵警告,而資訊安全偵測防護主要透過各式資安設備監控,但各環節資安設備發現異常通報,尚需資安鑑識人員進行確認是否受駭,然而單一主機所需分析時間費時,面臨需大規模分析時,將大幅消耗人力,資安事件反應與分析效率也大幅下降。
本案發明人鑑於上述習用方式所衍生的各項缺點,乃亟思加以改良創新,並經多年苦心孤詣潛心研究後,終於成功研發完成本快速篩檢資安風險主機方法與系統。
本發明之主要目的係在於提供一種快速篩檢資安
風險主機方法與系統,以健康檢查的概念發想,透過受駭風險分析模組所分析的各項受駭指標,快速篩檢出高受駭風險的主機,且所分析的受駭指標作可為下次分析映像標的,透過指標差異可更加精確確認是否受駭。
實作上述方法的系統,系統包含日誌上傳模組、日誌分析模組、惡意行為分析模組、惡意檔案分析模組、風險分析模組、結果模組。使用者將各類型日誌採集後透過系統將其上傳,日誌分析模組將各類日誌篩選為惡意行為或惡意檔案日誌,再透過惡意行為分析模組、惡意檔案分析模組根據其資料庫比對與分析,傳送結果至受駭風險分析模組運算風險值,將高風險主機列表透過結果模組回饋給使用者。
另外本發明提供之一種快速篩檢資安風險主機系統,其主要包括:一日誌上傳模組,上傳使用者採集的各類型日誌,並將主機資料正規化,進行資料時間格式轉換、資訊欄位萃取、關鍵值識別以及異質相關資訊的之關聯;一日誌分析模組,將該正規化之各類型日誌篩選及分類為惡意行為日誌或惡意檔案日誌,其分類,指將日誌進行主機、網路、程序、檔案、日誌之相關分類;一惡意行為分析模組,為進行可疑行為分析,並利用比對惡意行為資料庫,以確認可疑行為是否為惡意行為;一惡意檔案分析模組,為進行可疑檔案分析,並利用比對惡意檔案資料庫,以確認可疑檔案是否為惡意檔案;一風險分析模組,統計惡意行為日誌及惡意檔案日誌之各項風險指標評分,以算出每個疑似受駭主機之風險值,再篩選出高風險主機,並將風險資訊報表送至結果模組;惡意行為資料庫,包含各種惡意行為的資訊,其包括連線惡意網站、惡意排程日誌、登出入行為、刪除日誌行為、
帳號權限提升行為等;一惡意檔案資料庫,包含各種惡意檔案的資訊,其包括檔案名稱、檔案大小、Hash(雜湊)、Fuzzy Hash(模糊雜湊)、惡意行為、發現時間、發現來源等;一結果模組,負責產出風險評估報告,並將高風險主機列表回饋給使用者。
其中評估報告,包含:1. 主機、系統、網路、程序以及檔案的行為模式資訊;2. 可疑與惡意檔案資訊及動態行為資訊;3. 各項風險指標評分;4. 加權後之疑似受駭主機風險值,風險評估報告可提供給分析人員評估及判別該疑似受駭主機之情況。
本發明係另為一種快速篩檢資安風險主機方法,其流程如下:步驟1. 主機資料採集;步驟2. 使用者上傳所搜集主機資料;步驟3. 篩選可疑行為日誌與篩選可疑檔案日誌;步驟4. 可疑行為與惡意行為資料庫進行關聯分析;步驟5. 可疑檔案與惡意檔案資料庫進行比對,其比對包括檔案hash、Fuzzy Hash之檔案特徵;步驟6. 是否有惡意行為與是否有惡意行為檔案步驟7. 若是,計算中高風險值;步驟8. 若否,計算中低風險值;步驟9. 統計風險值;步驟10. 篩選高風險主機;步驟11. 產出評估報告報表。
其中主機資料採集,包括系統資訊、網路連線資
訊、主機稽核日誌、記憶體內容、可疑檔案搜集,其上傳所搜集主機資料,係採用FTPS(使用SSL來加密的檔案傳輸協定)的方式,上傳到欲用來進行快速篩檢系統的主機上,可疑行為與惡意行為資料庫進行關聯分析,將可疑行為篩選出來後,與惡意行為資料庫進行關聯分析,包含主機稽核日誌中,特定事件ID的登出登入行為、帳號權限提升行為、刪除日誌行為,或者排程日誌中是否有At*.job執行的紀錄,若有的話執行的程式、排程時間、執行結果,並一一進行關聯分析。
其計算中高風險值與計算中低風險值,指可疑行為與可疑檔案比對分析完後,計算該主機之風險值,並按照各種比對結果進行權重計算並加總,惡意檔案一旦被比對出來,受駭的風險值即大增,故權重值須設定為較大的值。
本發明所提供一種快速篩檢資安風險主機方法與系統,與其他習用技術相互比較時,更具備下列優點:
1. 本發明提供之系統,可分析主機系統日誌、系統資訊、檔案資料進行關聯規則比對以偵測及比對惡意行為。
2. 本發明提供之方法,評定各項受駭標的之風險指數並授以權重,以做為判定受駭風險等級之依據。
3. 本發明提供之方法,透過各項受駭風險分析指標,可快速篩檢出高受駭風險的主機。
4. 本發明提供之方法所分析後的受駭風險分析指標,可為下次分析映像標的,透過指標差異可更加精確分析是否受駭。
5. 本發明提供之系統,整合主機資訊與各項受駭風險分析指標等相關資訊,可產出主機受駭風險評估報
告。
6. 本發明提供之系統,整合主機資訊、主機受駭關鍵資訊以及各項受駭風險分析指標等相關資訊,可產出主機受駭關鍵報告。
110‧‧‧主機資訊搜集工具
121‧‧‧日誌上傳模組
122‧‧‧日誌分析模組
123‧‧‧惡意行為分析模組
124‧‧‧惡意行為資料庫
125‧‧‧日誌分析模組
126‧‧‧惡意檔案資料庫
127‧‧‧惡意檔案分析模組
128‧‧‧結果模組
S210~S250‧‧‧分析模組流程
S310~S380‧‧‧快速篩檢流程
請參閱有關本發明之詳細說明及其附圖,將可進一步瞭解本發明之技術內容及其目的功效,有關附圖為:圖1為本發明快速篩檢資安風險主機方法與系統之系統架構示意圖;圖2為本發明快速篩檢資安風險主機方法與系統之分析模組流程圖;圖3為本發明快速篩檢資安風險主機方法與系統之快速篩檢流程圖。
為了使本發明的目的、技術方案及優點更加清楚明白,下面結合附圖及實施例,對本發明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅用以解釋本發明,但並不用於限定本發明。
以下,結合附圖對本發明進一步說明:請參閱圖1所示,為本發明快速篩檢資安風險主機方法與系統之系統架構示意圖,其主要包括:一日誌上傳模組121,為上傳使用者採集的各類型日誌,並將主機資料正規化,進行資料時間格式轉換、資訊欄位萃取、關鍵值識別以及異質相關資訊的之關聯;一日誌分析模組122,將該正規化之各類型日誌篩選及分類為惡意行為日誌或惡意檔案日誌,
其分類,指將該日誌進行主機、網路、程序、檔案、日誌之相關分類;一惡意行為分析模組123,為進行可疑行為分析,並利用比對惡意行為資料庫124,以確認可疑行為是否為惡意行為;一惡意檔案分析模組127,係為進行可疑檔案分析,並利用比對惡意檔案資料庫126,以確認可疑檔案是否為惡意檔案;一風險分析模組125,係統計惡意行為日誌及惡意檔案日誌之各項風險指標評分,以算出每個疑似受駭主機之風險值,再篩選出高風險主機,並將風險資訊報表送至結果模組128。其惡意行為資料庫124,包含各種惡意行為的資訊,其包括連線惡意網站、惡意排程日誌、登出入行為、刪除日誌行為、帳號權限提升行為;一惡意檔案資料庫126,包含各種惡意檔案的資訊,其包括檔案名稱、檔案大小、Hash、Fuzzy Hash、惡意行為、發現時間、發現來源;一結果模組128:負責產出風險評估報告,並將高風險主機列表回饋給使用者。
當分析人員要對一台疑似受駭的主機進行受駭風險評估及分析時,分析人員先使用主機資訊搜集工具110,對疑似受駭主機進行資訊收集,其資訊包含有主機軟硬體資料、網路環境及行為資料、系統程序資料、檔案系統資料、系統日誌資料等相關資訊,待資訊收集完成後,再上傳至快速篩檢資安風險主機系統進行快速篩檢,在進行資訊分析前,需先經由日誌上傳模組121,將所收集到的主機相關資料進行正規化的作業,其正規化的行為有:時間格式轉換、資訊欄位萃取、關鍵值識別以及異質資訊關聯等,將資訊進行萃取、轉換、驗證及彙整,以加速後續分析模組對資訊的處理,日誌分析模組122在取得正規化後的主機資訊時,會將資訊分類為:主機、網路、程序、檔案、日誌等相關分類,再送至
惡意行為分析模組123及惡意檔案分析模組127進行分析,惡意行為分析模組123會針對系統安全日誌、應用程式日誌、系統日誌、網路、程序以及檔案等相關資訊進行關聯式行為分析,藉由關鍵的時間區間或關鍵字以串聯起主機、系統、網路、程序以及檔案的行為模式,再經由惡意行為資料庫124中已建置的惡意行為模式(Pattern)進行比對,依據主機、系統、網路、程序以及檔案的行為模式關聯之相似度,給予主機、系統、網路、程序以及檔案等行為風險指標評分,惡意檔案分析模組127則是依據主機資訊搜集工具110所帶回疑似受駭主機上的檔案資訊以及可疑檔案實體進行檔案資料的分析包含有檔案hash、fuzzy hash、關鍵字串、路徑、API(Application Programming Interface,應用程式介面)以及檔案動態行為等相關資訊,其中檔案動態行為又分為(1)系統行為,如RunKey(系統開機自動啟動登錄機碼)的設定;(2)檔案行為,如檔案的產生、修改與刪除;(3)網路行為,如C&C Server的連線,綜合以上相關惡意檔案動態行為資訊,再經由惡意檔案資料庫126的比對,可識別出疑似受駭主機中是否存在有惡意程式或是相似行為的可疑程式,給予可疑檔案資訊與可疑檔案動態行為等風險指標評分,風險分析模組125會加以統計惡意行為日誌及惡意檔案日誌等風險指標評分,加以權重的分配計算出疑似受駭主機之風險值,再將疑似受駭主機之快篩結果送至結果模組128,依據疑似受駭主機的各項風險指標評分產生快篩結果報表,其報表內容包含有:1. 主機、系統、網路、程序以及檔案的行為模式資訊;2. 可疑與惡意檔案資訊及動態行為資訊;3. 各項風險指標評分;
4. 加權後之疑似受駭主機風險值。
經由結果模組128所產生的風險評估報告,分析人員可用以評估及判別該疑似受駭之主機是否遭受駭客入侵並被植入惡意程式,以及受駭主機上的惡意行為模式及惡意程式資訊,新發現之惡意檔案經由分析人員調整後則可回饋至惡意檔案資料庫126中,以增進惡意檔案資料庫之數量,新發現之惡意行為模式可經由分析人員調整後回饋至惡意行為資料庫124中,以增進惡意行為資料庫之關聯式,提升快速分析受駭主機之能力。
請參閱圖2所示,為本發明快速篩檢資安風險主機方法與系統之分析模組流程圖,風險分析模組會進行快速篩檢資安風險分析,將所有收集到的資訊依照行為及檔案兩種類別進行,S210統計惡意檔案符合日誌,會依檔案hash、fuzzy hash、關鍵字串、路徑、API以及檔案屬性等相關資訊,依數值、數量、字串相似性及API使用方式等方法統計出惡意檔案符合日誌數量,S211分類惡意檔案符合日誌,會依不同類型資訊,如:惡意檔案、防毒紀錄、檔案簽章是否通過驗證、以及檔案路徑等資訊,將惡意檔案符合日誌進行分類,以計算出各項風險評分,S220統計惡意行為符合日誌,依系統安全日誌、應用程式日誌、系統日誌、網路、程序以及檔案行為等相關資訊,依數值、數量、字串相似性及行為模式等方法,統計出惡意行符合日誌數量,S221分類符合惡意行為日誌,會再依不同類型資訊,如:系統環境、系統行為、連線行為及檔案行為等相關資訊,將惡意行為符合日誌進行分類,以計算出各項風險評分,待各項風險評分完成後,於S230根據類型運算風險值,再依不同類型資訊重要性授以不
同的權重,以計算出各項風險指標評分,並於S240統整運算主機風險值,計算出各主機受駭風險值,最後於S250列出高風險主機,將高於風險基準的主機列出提供給分析人員快速得知受駭主機風險資訊。
請參閱圖3所示,為本發明快速篩檢資安風險主機方法與系統之快速篩檢流程圖,其流程如下:S310主機資料採集;S320使用者上傳所搜集主機資料;S330篩選可疑行為日誌與S340篩選可疑檔案日誌;S331可疑行為與惡意行為資料庫進行關聯分析;S341可疑檔案與惡意檔案資料庫進行比對;S332是否有惡意行為與S342是否有惡意行為檔案若是,S350計算中高風險值;若否,S333、S343計算中低風險值;S360統計風險值;S370篩選高風險主機;S380產出評估報告報表。
由上述步驟得知,當分析人員要對一台疑似受駭的主機進行受駭風險評估及分析時,分析人員使用主機資訊搜集工具,對疑似受駭主機進行資訊收集,待資訊收集完成後,再上傳至快速篩檢資安風險主機系統以進行快速篩檢,針對所收集到的主機資料分類為:可疑檔案資料與可疑行為日誌,可疑檔案資料經由比對惡意程式資料庫,以確認是否為惡意檔案;可疑行為日誌則經由關聯分析比對可疑行為資料庫,藉以確認是否為惡意行為,當確認為惡意檔案與惡意行為則列入中高風險,如果為否,則列入中低風險值,最後
由風險分析模組統計各項風險指標評分,以算出每個疑似受駭主機之風險值,再篩選出高風險主機,並將風險資訊送至結果模組產出風險評估報告以提供給分析人員評估及判別該疑似受駭主機之情況。
其實施範例如下所示:使用者進行主機資料採集的主機資訊搜集工具,將所收集的主機資料進行調整的主機資訊正規化模組,快速篩檢分析模組包含有日誌分析模組、惡意行為分析模組、惡意檔案分析模組與風險分析模組,以及負責產出報表的結果模組,另有惡意檔案資料庫與惡意行為資料庫以儲存已知的惡意檔案與惡意行為,提供分析與比對。
當分析人員要對一群疑似受駭主機進行快速篩檢資安風險時,需先使用主機資訊搜集工具採集每一台主機資料,該資訊包含有主機軟硬體資料、網路環境及行為資料、系統程序資料、檔案系統資料、系統日誌資料等相關資訊,以供後續進行分析使用。
取得主機資料後,在開始進行資料分析前,需經由日誌上傳模組將主機資料正規化,進行資料時間格式轉換、資訊欄位萃取、關鍵值識別以及異質相關資訊的關聯等,方能進行後續的分析動作,並加快分析速度。
正規化後的主機資料會經由日誌分析模組加以分類為:主機、網路、程序、檔案、日誌等相關分類,並派送至惡意行為分析模組與惡意檔案分析模組,分別對惡意行為與惡意檔案進行風險評估。
惡意行為分析模組在進行可疑行為分析時,會比對惡意行為資料庫,以確認可疑行為是否為惡意行為,惡意
檔案分析模組在進行可疑檔案分析時,會比對惡意檔案資料庫,以確認可疑檔案是否為惡意檔案。
風險分析模組統計惡意行為日誌及惡意檔案日誌等各項風險指標評分,以算出每個疑似受駭主機之風險值,再篩選出高風險主機,並將風險資訊報表送至結果模組。
結果模組負責產出風險評估報告報表,報表內容包含有(1)主機、系統、網路、程序以及檔案的行為模式資訊,(2)可疑與惡意檔案資訊及動態行為資訊,(3)各項風險指標評分,(4)加權後之疑似受駭主機風險值,風險評估報告可提供給分析人員評估及判別該疑似受駭主機之情況。
當分析人員發現有新的惡意檔案時,會將惡意檔案進行分析,再經由分析人員調整資訊後,回饋至惡意檔案資料庫中,以增進惡意檔案資料庫之數量,藉以提升快速分析受駭主機系統之能力。
當分析人員發現有新的惡意行為時,會將惡意行為進行關聯分析,再經由分析人員調整資訊後,回饋至惡意行為資料庫中,以增進惡意行為資料庫之關聯式,藉以提升快速分析受駭主機系統之能力。
上列詳細說明乃針對本發明之一可行實施例進行具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
綜上所述,本案不僅於技術思想上確屬創新,並具備習用之傳統方法所不及之上述多項功效,已充分符合新穎性及進步性之法定發明專利要件,爰依法提出申請,懇請貴局核准本件發明專利申請案,以勵發明,至感德便。
110‧‧‧主機資訊搜集工具
121‧‧‧日誌上傳模組
122‧‧‧日誌分析模組
123‧‧‧惡意行為分析模組
124‧‧‧惡意行為資料庫
125‧‧‧日誌分析模組
126‧‧‧惡意檔案資料庫
127‧‧‧惡意檔案分析模組
128‧‧‧結果模組
Claims (9)
- 一種快速篩檢資安風險主機系統,其主要包括:一日誌上傳模組,係上傳使用者採集的各類型日誌,並將主機資料正規化,進行資料時間格式轉換、資訊欄位萃取、關鍵值識別以及異質相關資訊的之關聯;一日誌分析模組,係將該正規化之各類型日誌篩選及分類為惡意行為日誌或惡意檔案日誌;一惡意行為分析模組,係為進行可疑行為分析,並利用比對惡意行為資料庫,以確認可疑行為是否為惡意行為;一惡意檔案分析模組,係為進行可疑檔案分析,並利用比對惡意檔案資料庫,以確認可疑檔案是否為惡意檔案;一風險分析模組,係統計惡意行為日誌及惡意檔案日誌之各項風險指標評分,以算出每個疑似受駭主機之風險值,再篩選出高風險主機,並將風險資訊報表送至結果模組;該惡意行為資料庫,係包含各種惡意行為的資訊,其包括連線惡意網站、惡意排程日誌、登出入行為、刪除日誌行為、帳號權限提升行為;一惡意檔案資料庫,係包含各種惡意檔案的資訊,其包括檔案名稱、檔案大小、Hash(雜湊)、Fuzzy Hash(模糊雜湊)、惡意行為、發現時間、發現來源;一結果模組:係負責產出風險評估報告,並將高風險主機列表回饋給使用者。
- 如申請專利範圍第1項所述之快速篩檢資安風險主機系統, 其中該分類,係指將該日誌進行主機、網路、程序、檔案、日誌之相關分類。
- 如申請專利範圍第1項所述之快速篩檢資安風險主機系統,其中該評估報告,係包含:A. 主機、系統、網路、程序以及檔案的行為模式資訊;B. 可疑與惡意檔案資訊及動態行為資訊;C. 各項風險指標評分;D. 加權後之疑似受駭主機風險值,風險評估報告可提供給分析人員評估及判別該疑似受駭主機之情況。
- 一種快速篩檢資安風險主機方法,其流程如下:步驟1. 主機資料採集;步驟2. 使用者上傳所搜集主機資料;步驟3. 篩選可疑行為日誌與篩選可疑檔案日誌;步驟4. 可疑行為與惡意行為資料庫進行關聯分析;步驟5. 可疑檔案與惡意檔案資料庫進行比對;步驟6. 是否有惡意行為與是否有惡意行為檔案步驟7. 若是,計算中高風險值;步驟8. 若否,計算中低風險值;步驟9. 統計風險值;步驟10. 篩選高風險主機;步驟11. 產出評估報告報表。
- 如申請專利範圍第4項所述之快速篩檢資安風險主機方法,其中該主機資料採集,係包括系統資訊、網路連線資訊、主機稽核日誌、記憶體內容、可疑檔案搜集。
- 如申請專利範圍第4項所述之快速篩檢資安風險主機方法,其中該上傳所搜集主機資料,係採用FTPS(使用SSL來加 密的檔案傳輸協定)的方式,上傳到欲用來進行快速篩檢系統的主機上。
- 如申請專利範圍第4項所述之快速篩檢資安風險主機方法,其中該可疑行為與惡意行為資料庫進行關聯分析,係將可疑行為篩選出來後,與惡意行為資料庫進行關聯分析,其包含主機稽核日誌中,特定事件ID的登出登入行為、帳號權限提升行為、刪除日誌行為,或者排程日誌中是否有At*.job執行的紀錄,若有的話執行的程式、排程時間、執行結果,並一一進行關聯分析。
- 如申請專利範圍第4項所述之快速篩檢資安風險主機方法,其中該比對,係包括檔案hash、Fuzzy Hash之檔案特徵。
- 如申請專利範圍第4項所述之快速篩檢資安風險主機方法,其中該計算中高風險值與計算中低風險值,係指可疑行為與可疑檔案比對分析完後,計算該主機之風險值,並按照各種比對結果進行權重計算並加總,其惡意檔案被比對出來,受駭的風險值即大增,故權重值須設定為較大的值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104123811A TW201705035A (zh) | 2015-07-23 | 2015-07-23 | 快速篩檢資安風險主機方法與系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104123811A TW201705035A (zh) | 2015-07-23 | 2015-07-23 | 快速篩檢資安風險主機方法與系統 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI560569B TWI560569B (zh) | 2016-12-01 |
| TW201705035A true TW201705035A (zh) | 2017-02-01 |
Family
ID=58227169
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW104123811A TW201705035A (zh) | 2015-07-23 | 2015-07-23 | 快速篩檢資安風險主機方法與系統 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TW201705035A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI640891B (zh) * | 2017-12-25 | 2018-11-11 | 中華電信股份有限公司 | 偵測惡意程式的方法和裝置 |
| TWI678639B (zh) * | 2017-06-02 | 2019-12-01 | 中華電信股份有限公司 | 偵測未知惡意程式的方法 |
| TWI736258B (zh) * | 2020-05-11 | 2021-08-11 | 臺灣銀行股份有限公司 | 設備強化順序分析方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI667589B (zh) * | 2017-09-05 | 2019-08-01 | 關貿網路股份有限公司 | 資安聯防方法、系統、電腦程式產品及電腦可讀取紀錄媒體 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7496960B1 (en) * | 2000-10-30 | 2009-02-24 | Trend Micro, Inc. | Tracking and reporting of computer virus information |
| TWI279106B (en) * | 2005-11-24 | 2007-04-11 | Jau-Yu Lin | Method for analyzing abnormal network behavior and automatically blocking computer virus invasion |
| CN104640105B (zh) * | 2013-11-12 | 2019-08-23 | 上海圣南赛溪信息科技有限公司 | 手机病毒分析和威胁关联的方法和系统 |
| CN103618626A (zh) * | 2013-11-28 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于日志的安全分析报告生成的方法和系统 |
-
2015
- 2015-07-23 TW TW104123811A patent/TW201705035A/zh unknown
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI678639B (zh) * | 2017-06-02 | 2019-12-01 | 中華電信股份有限公司 | 偵測未知惡意程式的方法 |
| TWI640891B (zh) * | 2017-12-25 | 2018-11-11 | 中華電信股份有限公司 | 偵測惡意程式的方法和裝置 |
| TWI736258B (zh) * | 2020-05-11 | 2021-08-11 | 臺灣銀行股份有限公司 | 設備強化順序分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI560569B (zh) | 2016-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI711938B (zh) | 用於使用無監督式機器學習和優先權演算法的高速威脅性情報管理的系統及方法 | |
| US9419996B2 (en) | Detection and prevention for malicious threats | |
| US9628507B2 (en) | Advanced persistent threat (APT) detection center | |
| US20150172303A1 (en) | Malware Detection and Identification | |
| Kanimozhi et al. | UNSW-NB15 dataset feature selection and network intrusion detection using deep learning | |
| Mahmood et al. | Intrusion detection system based on K-star classifier and feature set reduction | |
| CN113705619A (zh) | 一种恶意流量检测方法、系统、计算机及介质 | |
| CN104246786A (zh) | 模式发现中的字段选择 | |
| Xiao et al. | From patching delays to infection symptoms: Using risk profiles for an early discovery of vulnerabilities exploited in the wild | |
| CN113225358B (zh) | 网络安全风险评估系统 | |
| TW201705035A (zh) | 快速篩檢資安風險主機方法與系統 | |
| CN113904881B (zh) | 一种入侵检测规则误报处理方法和装置 | |
| CN109344042B (zh) | 异常操作行为的识别方法、装置、设备及介质 | |
| RU2610395C1 (ru) | Способ расследования распределенных событий компьютерной безопасности | |
| RU148692U1 (ru) | Система мониторинга событий компьютерной безопасности | |
| Gad et al. | A distributed intrusion detection system using machine learning for IoT based on ToN-IoT dataset | |
| RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
| WO2021071696A1 (en) | Automatic triaging of network data loss prevention incident events | |
| CN106060025A (zh) | 应用程序的自动分类方法和装置 | |
| Mihailescu et al. | Unveiling Threats: Leveraging User Behavior Analysis for Enhanced Cybersecurity | |
| CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
| TWI667587B (zh) | 資訊安全防護方法 | |
| Karat et al. | CNN-LSTM Hybrid Model for Enhanced Malware Analysis and Detection | |
| Silva et al. | Dendritic cell algorithm applied to ping scan investigation revisited: detection quality and performance analysis | |
| CN117834311B (zh) | 一种用于网络安全的恶意行为识别系统 |