TW201719484A - 以應用層日誌分析為基礎的資安管理系統及其方法 - Google Patents
以應用層日誌分析為基礎的資安管理系統及其方法 Download PDFInfo
- Publication number
- TW201719484A TW201719484A TW104138484A TW104138484A TW201719484A TW 201719484 A TW201719484 A TW 201719484A TW 104138484 A TW104138484 A TW 104138484A TW 104138484 A TW104138484 A TW 104138484A TW 201719484 A TW201719484 A TW 201719484A
- Authority
- TW
- Taiwan
- Prior art keywords
- behavior
- context
- user
- learner
- security management
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/68—Gesture-dependent or behaviour-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本發明實施例提供一種以應用層日誌分析為基礎的資安管理系統及其方法。所述的資安管理系統及其方法,主要是採用使用者的應用層日誌來進行分析,並且針對使用者的連續行為進行塑模,亦同時考量在不同情境下的模型選擇,以藉此有效判斷出使用者是否有異常行為的發生。
Description
本發明是有關於一種資安管理系統及其方法,且特別是一種以應用層日誌(Application Level Log)分析為基礎的資安管理系統及其方法。
習知的資安管理技術,大多是採用防火牆的黑名單過濾機制,以達到維護資訊安全之目的。然而,上述作法必需仰賴於技術人員所預先決定出的過濾名單,才可以有效地被據以實施。因此,上述作法將受限於固定的專家法則,且難以具有靈活及多元化的應用缺點。
另外,雖近年來提倡利用網路層日誌(例如,防火牆日誌或封包流量等)來進行資料的分析與辯識,以藉此達到資訊安全的監控。但,就現有的技術手段來說,以網路層分析為基礎的資安管理系統及其方法,仍存在有相當多的缺點及待需解決問題。例如,難以探究出使用者的實際行為及意圖,且無法能夠因應場域或情境的不同,而做出適當的彈性調整。
因此,這也意謂著,對於日漸興起的進階持續性滲透威脅(Advanced persistent threat,APT)來說,針對以網路層日誌分析為基礎的資安官理系統及其方法,仍不足以適合在於維護資訊安
全上的應用。
本發明實施例提供一種以應用層日誌分析為基礎的資安管理系統,所述資安管理系統包括偵測模組、情境感知學習器、個人行為塑模學習器及整合分析模組。偵測模組根據使用者的應用層日誌來擷取出多個情境特徵值及多個行為序列資料。情境感知學習器用以對這些情境特徵值進行分析,以產生出關聯於此使用者的多個情境辨識索引。個人行為塑模學習器則用以對這些行為序列資料進行塑模,以產生出關聯於此使用者的多個行為評估模型。整合分析模組用以對這些情境辨識索引及這些行為評估模型進行整合,以產生出關聯於此使用者的多個事件組合,並且使得整合分析模組用以根據這些事件組合,來對此使用者目前所執行的一組連續行為進行比較,以藉此判斷出此組連續行為中是否具有一異常行為的發生,其中每一事件組合係包含這些情境辨識索引的至少其中之一及這些行為評估模型的其中之一。
本發明實施例另提供一種以應用層日誌分析為基礎的資安管理方法,所述資安管理方法適用於一資安管理系統中,此資安管理系統包括偵測模組、情境感知學習器、個人行為塑模學習器以及整合分析模組。所述資安管理方法包括以下步驟。利用偵測模組根據使用者的應用層日誌來擷取出多個情境特徵值及多個行為序列資料。利用情境感知學習器來對這些情境特徵值進行分析,以產生出關聯於此使用者的多個情境辨識索引。利用個人行為塑模學習器來對這些行為序列資料進行塑模,以產生出關聯於此使用者的多個行為評估模型。利用整合分析模組來對這些情境辨識索引及這些行為評估模型進行整合,以產生出關聯於此使用者的多個事件組合,並且利用整合分析模組根據這些事件組合,來對此使用者目前所執行的一組連續行為進行比較,以藉此判斷出此
組連續行為中是否具有一異常行為的發生,其中每一事件組合係包含這些情境辨識索引的至少其中之一及這些行為評估模型的其中之一。
綜上所述,本發明實施例所提供的以應用層日誌分析為基礎的資安管理系統及其方法,主要是採用使用者的應用層日誌來進行分析,並且針對使用者的連續行為進行塑模,亦同時考量在不同情境下的模型選擇,以藉此有效判斷出使用者是否有異常行為的發生。除此之外,由於本發明實施例是針對使用者的連續行為來進行塑模與判斷,因此更能夠藉由分析出連續行為之間的前後差異,而有效地體察出使用者的意圖,並且進而提高判斷出異常行為的準確性。
為使能更進一步瞭解本發明之特徵及技術內容,請參閱以下有關本發明之詳細說明與附圖,但是此等說明與所附圖式僅係用來說明本發明,而非對本發明的權利範圍作任何的限制。
1‧‧‧資安管理系統
11‧‧‧偵測模組
13‧‧‧情境感知學習器
15‧‧‧個人行為塑模學習器
17‧‧‧整合分析模組
S501~S509、S601~S607‧‧‧流程步驟
圖1是本發明實施例所提供的以應用層日誌分析為基礎的資安管理系統之功能方塊圖。
圖2是本發明實施例所提供的這些事件組合中的其中之一之示意圖。
圖3是本發明實施例所提供的使用者目前所執行的連續行為之示意圖。
圖4是本發明實施例所提供的資安管理系統中情境感知學習器與個人行為塑模學習器交互運行之示意圖。
圖5是本發明實施例所提供的以應用層日誌分析為基礎的資安管理方法之流程示意圖。
圖6是本發明實施例所提供的資安管理方法中整合分析模組以判斷此連續行為中是否具有異常行為之流程示意圖。
在下文中,將藉由圖式說明本發明之各種實施例來詳細描述本發明。然而,本發明概念可能以許多不同形式來體現,且不應解釋為限於本文中所闡述之例示性實施例。此外,在圖式中相同參考數字可用以表示類似的元件。
請參閱圖1,圖1是本發明實施例所提供的以應用層日誌分析為基礎的資安管理系統之功能方塊圖。資安管理系統1包括偵測模組11、情境感知學習器13、個人行為塑模學習器15及整合分析模組17。其中上述各元件可以是透過純硬件電路來實現,或者是透過硬件電路搭配固件或軟件來實現,總而言之,本發明並不限制其具體實現方式。另外,上述各元件可以是整合或是分開設置,且本發明亦不以此為限制。值得注意的是,圖1的資安管理系統1亦只是所述資安管理方法中的一種實現方式,其並非用以限制本發明。
進一步來說,偵測模組11根據一使用者的應用層日誌(圖未繪示)來擷取出多個情境特徵值及多個行為序列資料。情境感知學習器13用以對這些情境特徵值進行分析,以產生出關聯於此使用者的多個情境辨識索引。個人行為塑模學習器15用以對這些行為序列資料進行塑模,以產生出關聯於此使用者的多個行為評估模型。整合分析模組17用以對這些情境辨識索引及這些行為評估模型進行整合,以產生出關聯於此使用者的多個事件組合,並且使得整合分析模組17用以根據這些事件組合,來對此使用者目前所執行的一組連續行為進行比較,以藉此判斷出此組連續行為中是否具有一異常行為的發生。
詳細來說,資安管理系統1可事先於偵測模組11執行前,經由某一日誌記錄器(圖未繪示)取得到關聯於此使用者的一應用層日誌。接著,利用偵測模組11分析此應用層日誌中的所有描述內容,並以藉此擷取出多個情境特徵值及多個行為序列資料。值
得一提的是,本發明並不限制取得到應用層日誌的詳細實現方式,本技術領域中具有通常知識者可依據實際需求或應用來進行設計。另外,由於應用層日誌的技術特徵為本技術領域中具有通常知識者所習知,因此有關於分析應用層日誌的細部內容於此就不再多加贅述。
舉例來說,當偵測模組11藉由應用層日誌中所記錄描述的多個狀態碼中,而分析出此使用者執行過某一組連續行為時(例如:首先,利用Outlook接收郵件;其次,利用Outlook寄發大量郵件;最後,瀏覽Facebook),則偵測模組11將可進而擷取出此組連續行為作為該些行為序列資料的其中之一。基於上述說明的同時,本技術領域中具有通常知識者應能理解到,所述的情境特徵值即意味者為,當此使用者在執行某一組連續行為下的時間、地點或任何的情境感知(Context awareness)信息。值得一提的是,本發明亦不限制擷取出情境特徵值及行為序列資料的詳細實現方式,或情境特徵值及行為序列資料的具體呈現格式,本技術領域中具有通常知識者可依據實際需求或應用來進行設計。
對此,根據以上內容之教示,並且透過現有的已知信息,本技術領域中具有通常知識者應可理解到,藉由較高層級的應用層日誌來進行分析,除了不需要仰賴連接到特定的網路硬體設備做支援外,亦可具有較高解讀性的優點,因此相較於以網路層日誌分析為基礎的習知技藝,本發明更能夠經易地融入至現有的電子設備中,並且有益強化維護資訊安全的管理。再者,應用層服務已經是「使用者意圖」的高度具象化實現,因此基於應用層日誌來進行分析時,將可無需地額外考慮其描述內容的真實性。
更進一步來說,假設某一應用層日誌記錄著一固定使用者在某辦公室環境下的一台桌上型電腦之每日行為時,資安管理系統1會先令偵測模組11根據此應用層日誌進行分析,並以藉此擷取出多個情境特徵值及多個行為序列資料,而這些情境特徵值及這些
行為序列資料,則會被作為情境感知學習器13及個人行為塑模學習器15所個別進行處理時的輸入數據。
對此,若仍以上述說明為例,情境感知學習器13所產生出的這些情境辨識索引,係可能為「星期一的上班時間」、「星期一的下班時間」、「星期二的上班時間」、「星期二的下班時間」、「星期三的上班時間」等,以此類推,而個人行為塑模學習器15所產生出的這些行為評估模型,則可能為任一組連續行為的一馬爾可夫模型(Markov Model)。其中,由於馬爾可夫模型為本技術領域中具有通常知識者所習知,因此有關於馬爾可夫模型的細部內容於此就不再多加贅述。
另外,請參閱到圖2,圖2是本發明實施例所提供的這些事件組合中的其中之一之示意圖。其中,圖2的事件組合乃用於指示出,此使用者在星期三的上班時間(亦即,情境辨識索引)所可能執行的一組連續行為的馬爾可夫模型。根據以上內容之教示,本技術領域中具有通常知識者應可理解到,每一事件組合係為利用其情境辨識索引,以相對應地索引至這些行為評估模型的其中之一。值得注意的是,上述情境辨識索引及行為評估模型的具體呈現方式在此僅是用以舉例,其並非用以限制本發明。
附帶一提的是,由於上述例子是在固定環境下,故僅考量在不同時域的情境(例如,「星期一的上班時間」、「星期一的下班時間」等)以選擇出所相應的行為評估模型。因此,在上述例子中,每一事件組合將僅會包含有這些情境辨識索引的其中之一,以及這些行為評估模型的其中之一,如圖2所示,但本發明並不以此為限制。舉例來說,若本發明是在非固定環境下實施時,則本發明實施例將可同時考量在不同場域(例如,「場所A」、「場所B」等)及在不同時域的多重情境下,以選擇出所相應的一行為評估模型。換言之,每一事件組合係可包含為這些情境辨識索引的至少其中之一,以及這些行為評估模型的其中之一。
簡單來說,根據以上內容之教示,本技術領域中具有通常知識者應可理解到,本發明實施例的主要精神之一乃在於,藉由將情境感知學習器13及個人行為塑模學習器15所個別輸出的結果(亦即,情境辨識索引及行為評估模型)進行整合,俾使得整合分析模組17可歸納得出此使用者在每一特定情境下(亦即,每一情境辨識索引),所可能執行的一組連續行為的馬爾可夫模型(亦即,行為評估模型)。
接著,整合分析模組17更用以根據這些事件組合,來對此使用者目前所執行的一組連續行為進行比較,以藉此判斷出目前所執行的此組連續行為中是否具有一異常行為的發生。舉例來說,請參閱圖3,圖3是本發明實施例所提供的使用者目前所執行的連續行為之示意圖,其中假設圖3的該組連續行為係同樣發生在「星期三的上班時間」。換言之,圖2的事件模型乃意味著,過去一段歷史時間以來,此使用者在每星期三的上班時間,所可能執行的一組連續行為的馬爾可夫模型,而圖3的該組連續行為則意味著為,此使用者在目前當下星期三的上班時間,所即時執行的一組連續行為。
由於圖3的該組連續行為所相應的情境感知信息(亦即,星期三的上班時間)與圖2的事件組合之一的情境辨識索引相符合,因此整合分析模組17將可令圖2的行為評估模型被選作為一預期行為模型,並且藉此判斷圖3的該組連續行為是否符合於此預期行為模型,以進而決定出圖3的該組連續行為中是否具有異常行為的發生。
具體來說,藉由圖2中的行為評估模型(亦即,圖2中的馬爾可夫模型),整合分析模組17可以清楚地知道出此使用者於過去每星期三的上班時間,所執行於此台桌上型電腦的連續行為有哪些(例如,行為A、行為B、行為C及行為D)。然而,在此使用者目前所執行的該組連續行為中(亦即,圖3),卻多了個行為E
及行為F的執行,且目前所執行的該組連續行為之前後順序,亦不符合於圖2中的馬爾可夫模型之概率分佈。因此,整合分析模組17可藉由上述顯者的差異,以進而判斷得出目前所執行的該組連續行為中可能具有某一異常行為的發生。
若以更廣義且長遠的角度來看,此異常行為所發生的原因乃可能在於,目前所執行該組連續行為的人非屬於為此使用者本人,也就是說,該組連續行為可能為某駭客所惡意侵入時的操作行為,因此本發明實施例的資安管理系統1,亦可藉由該組連續行為而體察出此駭客的使用意圖,以進而評估出當前的威脅等級,並且採取適當的防護措施。值得一提的是,上述只是本發明實施方式後續可執行的措施的其一舉例,其並非用以限制本發明。
總結來說,本發明實施例的精神乃在於,藉由應用層日誌來對使用者的連續行為進行塑模,並且同時考量到針對不同情境(例如,場域、時域等)下的模型選擇,以藉此提高辨識的準確性及應用的靈活性。另外,有別於習知技藝大多採用單一行為來進行判斷,而本發明實施例則是針對使用者的連續行為來進行塑模與判斷,因此更能夠藉由分析出連續行為之間的前後差異,而有效地體察出使用者的意圖,並且進而提高判斷異常行為的準確性。
另外一方面,由於偵測模組11所根據應用層日誌而擷取出的情境特徵值及行為序列資料可能過於眾多且複雜,因此亦會相對導致情境感知學習器13及個人行為塑模學習器15的處理耗時。有鑒於此,實務上,本發明實施例的情境感知學習器13可同時用以依據個人行為塑模學習器15所產生出的這些行為評估模型,來對情境特徵值進行分析,以藉此產生出關聯於使用者的這些情境辨識索引。同理,本發明實施例的個人行為塑模學習器15亦可同時用以依據情境感知學習器13所產生出的這些情境辨識索引,來對行為序列資料進行塑模,以藉此產生出關聯於使用者的這些行為評估模型。
具體來說,請參閱圖4,圖4是本發明實施例所提供的資安管理系統中情境感知學習器與個人行為塑模學習器交互運行之示意圖。由此可知,情境感知學習器13與個人行為塑模學習器15之間可存在著有一種相互影響的強化學習機制。然而,藉由上述的強化學習機制,將可有助於增進情境感知學習器13與個人行為塑模學習器15彼此之間輸出結果的正確性。
舉例來說,若仍以上述說明為例,當情境感知學習器13已先確定產生出為「星期一的上班時間」、「星期一的下班時間」、「星期二的上班時間」及「星期二的下班時間」的四個情境辨識索引時,情境感知學習器13便可將此四個情境辨識索引,先一併地輸入至個人行為塑模學習器15中,俾使得個人行為塑模學習器15能夠依據此四個情境辨識索引,來對這些行為序列資料進行相關塑模,以有效協助個人行為塑模學習器15能夠從眾多且複雜的多個行為序列資料中,優先且快速地建立出相對應於此四個情境辨識索引的各自行為評估模型。總而言之,本發明實施例並不限制情境感知學習器13與個人行為塑模學習器15之間的強化學習機制的具體實現方式,本技術領域中具有通常知識者應可依據實際需求或應用來進行設計。
再者,為了更進一步說明關於資安管理系統的運作流程,本發明進一步提供其資安管理方法的一種實施方式。請參閱圖5,圖5是本發明實施例所提供的以應用層日誌分析為基礎的資安管理方法之流程示意圖。本例所述的方法可以在圖1所示的資安管理系統1中執行,因此請一併照圖1以利理解。另外,詳細步驟流程如前述實施例所述,故於此不再多加冗述。
首先,在步驟S501中,利用偵測模組11根據一使用者的應用層日誌(圖未繪示)來擷取出多個情境特徵值及多個行為序列資料。其次,在步驟S503中,利用情境感知學習器13來對這些情境特徵值進行分析,以產生出關聯於此使用者的多個情境辨識索
引。在步驟S505中,利用個人行為塑模學習器15來對這些行為序列資料進行塑模,以產生出關聯於此使用者的多個行為評估模型。接著,在步驟S507中,利用整合分析模組17來對這些情境辨識索引及這些行為評估模型進行整合,以產生出關聯於此使用者的多個事件組合。最後,在步驟S509中,利用整合分析模組17根據這些事件組合,來對此使用者目前所執行的一組連續行為進行比較,以藉此判斷出目前所執行的此組連續行為中是否具有一異常行為的發生,其中每一事件組合係包含這些情境辨識索引的至少其中之一及這些行為評估模型的其中之一。
如同前面內容所述,由於情境感知學習器13與個人行為塑模學習器15之間可能存在者有一種相互影響的強化學習機制。因此,根據以上內容之教示,本技術領域中具有通常知識者應可以理解到,步驟S503及步驟S505應該為並行執行而未衝突之步驟。換言之,情境感知學習器13可同時用以依據個人行為塑模學習器15所產生出的這些行為評估模型,來對情境特徵值進行分析,以藉此產生出關聯於使用者的這些情境辨識索引,而個人行為塑模學習器15亦可同時用以依據情境感知學習器13所產生出的這些情境辨識索引,來對行為序列資料進行塑模,以藉此產生出關聯於使用者的這些行為評估模型。
另外一方面,基於上述說明,本發明係進一步地提供其整合分析模組17以判斷出此連續行為中是否具有異常行為發生(亦即,步驟S509)的一種實施方式。請參閱圖6,圖6是本發明實施例所提供的資安管理方法中整合分析模組以判斷此連續行為中是否具有異常行為之流程示意圖。其中,圖6中部分與圖5相同之流程步驟以相同之圖號標示,因此在此不再詳述其細節。
請同時參閱圖5與圖6,步驟S509中更包括有步驟S601~步驟S607。首先,在步驟S601中,當在這些事件組合之一的情境辨識索引符合於此組連續行為所相對應的情境感知信息時,則整
合分析模組17可令此情境辨識索引所相應的行為評估模型被選作為一預期行為模型。接著,在步驟S603中,比較此組連續行為是否符合於此預期行為模型。最後,在步驟S605中,當在此組連續行為不符合於此預期行為模型時,則可判斷出此組連續行為中具有異常行為的發生。相反地,在步驟S607中,當在此組連續行為符合於此預期行為模型時,則可判斷出此組連續行為中不具有異常行為的發生。
綜上所述,本發明實施例所提供的以應用層日誌分析為基礎的資安管理系統及其方法,主要是採用使用者的應用層日誌來進行分析,並且針對使用者的連續行為進行塑模,亦同時考量在不同情境下的模型選擇,以藉此有效判斷出使用者是否有異常行為的發生。除此之外,由於本發明實施例是針對使用者的連續行為來進行塑模與判斷,因此更能夠藉由分析連續行為之間的前後差異,而有效地體察出使用者的意圖,並且進而提高判斷出異常行為的準確性。
以上所述僅為本發明之實施例,其並非用以侷限本發明之專利範圍。
1‧‧‧資安管理系統
11‧‧‧偵測模組
13‧‧‧情境感知學習器
15‧‧‧個人行為塑模學習器
17‧‧‧整合分析模組
Claims (10)
- 一種以應用層日誌(Application Level Log)分析為基礎的資安管理系統,包括:一偵測模組,根據一使用者的該應用層日誌來擷取出多個情境特徵值及多個行為序列資料;一情境感知學習器(Context-Aware Learner),用以對該些情境特徵值進行分析,以產生出關聯於該使用者的多個情境辨識(Context Recognition)索引;一個人行為塑模學習器(Behavioral Modeling Learner),用以對該些行為序列資料進行塑模,以產生出關聯於該使用者的多個行為評估(Behavioral Evaluation)模型;以及一整合分析模組,用以對該些情境辨識索引及該些行為評估模型進行整合,以產生出關聯於該使用者的多個事件組合,並且使得該整合分析模組用以根據該些事件組合,來對該使用者目前所執行的一組連續行為進行比較,以藉此判斷出該組連續行為中是否具有一異常行為的發生,其中每一該些事件組合係包含該些情境辨識索引的至少其中之一及該些行為評估模型的其中之一。
- 如請求項第1項所述的資安管理系統,其中該情境感知學習器,更用以依據該些行為評估模型來對該些情境特徵值進行分析,以藉此產生出關聯於該使用者的該些情境辨識索引。
- 如請求項第1項所述的資安管理系統,其中該個人行為塑模學習器,更用以依據該些情境辨識索引來對該些行為序列資料進行塑模,以藉此產生出關聯於該使用者的該些行為評估模型。
- 如請求項第1項所述的資安管理系統,其中當在該些事件組合之一的該情境辨識索引符合於該組連續行為所相對應的一情境感知(Context awareness)信息時,則令該情境辨識索引所相應的該行為評估模型被選作為一預期行為模型,並且進而比 較該組連續行為是否符合於該預期行為模型,以藉此判斷出該組連續行為中是否具有該異常行為的發生。
- 如請求項第4項所述的資安管理系統,其中當在該組連續行為不符合於該預期行為模型時,則令該整合分析模組判斷出該組連續行為中具有該異常行為的發生。
- 一種以應用層日誌分析為基礎的資安管理方法,適用於一資安管理系統中,該資安管理系統包括一偵測模組、一情境感知學習器、一個人行為塑模學習器以及一整合分析模組,該資安管理方法包括:利用該偵測模組根據一使用者的該應用層日誌來擷取出多個情境特徵值及多個行為序列資料;利用該情境感知學習器來對該些情境特徵值進行分析,以產生出關聯於該使用者的多個情境辨識索引;利用該個人行為塑模學習器來對該些行為序列資料進行塑模,以產生出關聯於該使用者的多個行為評估模型;以及利用該整合分析模組來對該些情境辨識索引及該些行為評估模型進行整合,以產生出關聯於該使用者的多個事件組合,並且利用該整合分析模組根據該些事件組合,來對該使用者目前所執行的一組連續行為進行比較,以藉此判斷出該組連續行為中是否具有一異常行為的發生,其中每一該些事件組合係包含該些情境辨識索引的至少其中之一及該些行為評估模型的其中之一。
- 如請求項第6項所述的資安管理方法,其中該情境感知學習器,更用以依據該些行為評估模型來對該些情境特徵值進行分析,以藉此產生出關聯於該使用者的該些情境辨識索引。
- 如請求項第6項所述的資安管理方法,其中該個人行為塑模學習器,更用以依據該些情境辨識索引來對該些行為序列資料進行塑模,以藉此產生出關聯於該使用者的該些行為評估模型。
- 如請求項第6項所述的資安管理方法,其中該整合分析模組係執行以下步驟以判斷該連續行為中具有該異常行為的發生:當在該些事件組合之一的該情境辨識索引符合於該組連續行為所相對應的一情境感知信息時,則令該情境辨識索引所相應的該行為評估模型被選作為一預期行為模型,並且進而比較該組連續行為是否符合於該預期行為模型,以藉此判斷出該組連續行為中是否具有該異常行為的發生。
- 如請求項第9項所述的資安管理方法,其中當在該組連續行為不符合於該預期行為模型時,則令該整合分析模組判斷出該組連續行為中具有該異常行為的發生。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW104138484A TWI615730B (zh) | 2015-11-20 | 2015-11-20 | 以應用層日誌分析為基礎的資安管理系統及其方法 |
US14/959,685 US20170149800A1 (en) | 2015-11-20 | 2015-12-04 | System and method for information security management based on application level log analysis |
JP2015241949A JP6165224B2 (ja) | 2015-11-20 | 2015-12-11 | アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW104138484A TWI615730B (zh) | 2015-11-20 | 2015-11-20 | 以應用層日誌分析為基礎的資安管理系統及其方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201719484A true TW201719484A (zh) | 2017-06-01 |
TWI615730B TWI615730B (zh) | 2018-02-21 |
Family
ID=58721339
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW104138484A TWI615730B (zh) | 2015-11-20 | 2015-11-20 | 以應用層日誌分析為基礎的資安管理系統及其方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20170149800A1 (zh) |
JP (1) | JP6165224B2 (zh) |
TW (1) | TWI615730B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI667587B (zh) * | 2018-05-15 | 2019-08-01 | 玉山商業銀行股份有限公司 | 資訊安全防護方法 |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019215478A1 (en) * | 2018-05-08 | 2019-11-14 | Abc Software, Sia | A system and a method for sequential anomaly revealing in a computer network |
TWI727213B (zh) | 2018-10-08 | 2021-05-11 | 安碁資訊股份有限公司 | 偵測作業系統的異常操作的異常偵測的方法及裝置 |
CN110324316B (zh) * | 2019-05-31 | 2022-04-22 | 河南九域恩湃电力技术有限公司 | 一种基于多种机器学习算法的工控异常行为检测方法 |
CN110460459B (zh) * | 2019-07-03 | 2020-09-04 | 中国南方电网有限责任公司 | 电力监控系统网络安全态势感知方法 |
CN110677430B (zh) * | 2019-10-14 | 2020-09-08 | 西安交通大学 | 基于网络安全设备日志数据的用户风险度评估方法和系统 |
CN110795705B (zh) * | 2019-10-22 | 2022-07-15 | 武汉极意网络科技有限公司 | 轨迹数据处理方法、装置、设备及存储介质 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7162741B2 (en) * | 2001-07-30 | 2007-01-09 | The Trustees Of Columbia University In The City Of New York | System and methods for intrusion detection with dynamic window sizes |
JP2003280945A (ja) * | 2002-03-19 | 2003-10-03 | Hitachi Information Systems Ltd | ログ解析システム,該ログ解析システムによる解析対象抽出方法および解析対象抽出プログラム |
JP2005332345A (ja) * | 2004-05-21 | 2005-12-02 | Lightwell Co Ltd | 行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラム |
JP4484643B2 (ja) * | 2004-09-10 | 2010-06-16 | 独立行政法人科学技術振興機構 | 時系列データ異常判定用プログラム及び時系列データ異常判別方法 |
CN101355504B (zh) * | 2008-08-14 | 2012-08-08 | 成都市华为赛门铁克科技有限公司 | 一种用户行为的确定方法和装置 |
JP2010108469A (ja) * | 2008-10-01 | 2010-05-13 | Sky Co Ltd | 操作監視システム及び操作監視プログラム |
US8572736B2 (en) * | 2008-11-12 | 2013-10-29 | YeeJang James Lin | System and method for detecting behavior anomaly in information access |
US8769684B2 (en) * | 2008-12-02 | 2014-07-01 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior |
JP5468837B2 (ja) * | 2009-07-30 | 2014-04-09 | 株式会社日立製作所 | 異常検出方法、装置、及びプログラム |
JP5471859B2 (ja) * | 2010-06-10 | 2014-04-16 | 富士通株式会社 | 解析プログラム、解析方法、および解析装置 |
WO2012001795A1 (ja) * | 2010-06-30 | 2012-01-05 | 富士通株式会社 | 証跡ログ解析システム、証跡ログ解析プログラム、および証跡ログ解析方法 |
KR20120083196A (ko) * | 2011-01-17 | 2012-07-25 | 서울대학교산학협력단 | 부분적으로 코팅된 구조물 어레이를 구비한 광학 필름 및 그의 제조 방법 |
CN103765820B (zh) * | 2011-09-09 | 2016-10-26 | 惠普发展公司,有限责任合伙企业 | 基于依照事件序列中时间位置的参考基线评估事件的系统和方法 |
CN102413013B (zh) * | 2011-11-21 | 2013-11-06 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
-
2015
- 2015-11-20 TW TW104138484A patent/TWI615730B/zh active
- 2015-12-04 US US14/959,685 patent/US20170149800A1/en not_active Abandoned
- 2015-12-11 JP JP2015241949A patent/JP6165224B2/ja active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI667587B (zh) * | 2018-05-15 | 2019-08-01 | 玉山商業銀行股份有限公司 | 資訊安全防護方法 |
Also Published As
Publication number | Publication date |
---|---|
TWI615730B (zh) | 2018-02-21 |
JP6165224B2 (ja) | 2017-07-19 |
US20170149800A1 (en) | 2017-05-25 |
JP2017097819A (ja) | 2017-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI615730B (zh) | 以應用層日誌分析為基礎的資安管理系統及其方法 | |
Cvitić et al. | Boosting-based DDoS detection in internet of things systems | |
US11399039B2 (en) | Automatic detection of illicit lateral movement | |
WO2017152742A1 (zh) | 一种网络安全设备的风险评估方法和装置 | |
US20180248902A1 (en) | Malicious activity detection on a computer network and network metadata normalisation | |
US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
US20170262353A1 (en) | Event correlation | |
EP3341881A1 (en) | Predictive human behavioral analysis of psychometric features on a computer network | |
US20180246797A1 (en) | Identifying and monitoring normal user and user group interactions | |
Mahmood et al. | Intrusion detection system based on K-star classifier and feature set reduction | |
WO2018022321A1 (en) | An automated machine learning scheme for software exploit prediction | |
US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
JP7120350B2 (ja) | セキュリティ情報分析方法、セキュリティ情報分析システム、及び、プログラム | |
Serrano et al. | A survey of twitter rumor spreading simulations | |
US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
EP3343421A1 (en) | System to detect machine-initiated events in time series data | |
Bhosale et al. | Data mining based advanced algorithm for intrusion detections in communication networks | |
RU148692U1 (ru) | Система мониторинга событий компьютерной безопасности | |
KR101847277B1 (ko) | 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템 | |
US10015181B2 (en) | Using natural language processing for detection of intended or unexpected application behavior | |
US20210075812A1 (en) | A system and a method for sequential anomaly revealing in a computer network | |
Basu et al. | COPPTCHA: COPPA tracking by checking hardware-level activity | |
Landauer et al. | A framework for automatic labeling of log datasets from model-driven testbeds for HIDS evaluation | |
Iorliam | Cybersecurity in Nigeria: A Case Study of Surveillance and Prevention of Digital Crime | |
TWI667587B (zh) | 資訊安全防護方法 |