TW201810176A - 智慧型資訊安全網路阻斷分析之系統與方法 - Google Patents

智慧型資訊安全網路阻斷分析之系統與方法 Download PDF

Info

Publication number
TW201810176A
TW201810176A TW105120119A TW105120119A TW201810176A TW 201810176 A TW201810176 A TW 201810176A TW 105120119 A TW105120119 A TW 105120119A TW 105120119 A TW105120119 A TW 105120119A TW 201810176 A TW201810176 A TW 201810176A
Authority
TW
Taiwan
Prior art keywords
blocking
host
analysis
information
data
Prior art date
Application number
TW105120119A
Other languages
English (en)
Other versions
TWI591576B (zh
Inventor
邱裕婷
劉順德
施君熹
周國森
張保忠
林秀靜
Original Assignee
中華電信股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中華電信股份有限公司 filed Critical 中華電信股份有限公司
Priority to TW105120119A priority Critical patent/TWI591576B/zh
Application granted granted Critical
Publication of TWI591576B publication Critical patent/TWI591576B/zh
Publication of TW201810176A publication Critical patent/TW201810176A/zh

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本發明係揭露一種智慧型資訊安全網路阻斷分析的方法,透過收集日誌資料;傳送並處理資料;加入資產資訊並計算資產分數;加入阻斷資訊並計算阻斷分數;判斷是否為優先阻擋主機;計算最佳阻斷/解除執行點;計算阻斷生命週期;傳送阻斷或解除指令;執行阻斷或解除指令。並提供集中化分析與管控功能,可提高阻斷指令的執行效率與主機管理效率,解決企業內部網路主機安全管理問題。一種智慧型資訊安全網路阻斷分析的系統,其包含:一資料分析單元,用於各式日誌紀錄資料前處理與分析;一IP資產分析單元,用以計算主機的總和資產分數;一資產管理單元,分析主機設備的資產等級與資訊;一阻斷衝擊分析單元,執行衝擊分析,評估主機被阻斷網路服務並下線之後對企業內部網路的整體架構的影響與衝擊程度;一阻斷清單管理單元,用以擷取阻斷清單相關資訊;一資料收集單元,用於蒐集待分析資料並將其儲存於資料庫中;一系統溝通單元,一IP阻斷控制單元,用於執行或解除網路服務阻斷指令。

Description

智慧型資訊安全網路阻斷分析之系統與方法
本發明屬於一種智慧型資訊安全網路阻斷分析之系統與方法。
因大型企業網路中網路架構十分複雜,若欲確保網路服務確實被阻斷則需在多個閘門上執行阻斷指令,可能造成多閘門阻斷之效率不彰與管理不易之困擾,另一方面,過去的阻斷方式被阻斷網路服務之主機容易有無法解除阻斷狀態的管理問題。
本案發明人鑑於上述習用方式所衍生的各項缺點,乃亟思加以改良創新,並經多年苦心孤詣潛心研究後,終於成功研發完成本智慧型資訊安全網路阻斷分析之系統與方法。
為達上述目的,本發明提出提供一智慧型的網路服務阻斷方法與系統,提高阻斷指令的執行效率、提高主機管理效率、並解決主機阻斷與解除阻斷的管理問題。本發明包含智慧型網路阻斷分析伺服器、以及智慧型網路阻斷控制伺服器,在對應的伺服器中裝有智慧型資訊安全網路阻斷分析之程式、以及智慧型資訊安全網路阻斷控制之程式。本發明的伺 服器與程式中包含以下八大模組:資料分析單元、IP資產分析單元、資產管理單元、阻斷衝擊分析單元、阻斷清單管理單元、資料收集單元、系統溝通單元、IP阻斷控制單元。。本發明所收集之資料內容包括但不限於:代理伺服器紀錄、防火牆紀錄等網路活動紀錄日誌,針對有資訊安全疑慮的主機計算阻斷網路服務的優先順序,並智慧型計算最適切的執行阻斷指令的裝置,將須優先阻斷網路服務的阻斷指令派送至裝置上。除了阻斷指令的派送外,本發明亦提供主機網路連線生命週期的預估,根據此生命週期,估算被阻斷網路服務的主機何時能解除其阻斷指令。
一種智慧型資訊安全網路阻斷分析之系統,其主要包括:分析模組,是為分析資料並計算總和的資產分數Srcinv(IP)、以及阻斷分數Srcbk(IP),其中包括:資料分析單元,是透過系統溝通單元接收各式日誌紀錄資料,進行前處理與分析;IP資產分析單元,是於整合資產管理單元分析完之企業資訊設備資產資訊,計算各主機的資產分數Srcinv(IP);阻斷衝擊分析單元,透過阻斷清單管理單元擷取具資安疑慮且需進行網路阻斷的主機資訊,進行主機的衝擊分析,分析主機被阻斷網路服務並下線之後對企業內部網路的整體架構的影響與衝擊程度;資訊管理模組,是於分析以及管理資訊,其中包括:資產管理單元,是擷取企業資訊設備資產資料庫中相關資訊,計算並分析出主機設備的資產等級與資訊;阻斷清單管理單元,是為分析並存取阻斷清單資料庫中之相關資訊;收集模組,是為收集相關資料(請說明為何種資料或資訊);資料收集單元,是蒐集分析資料並將其儲存於資料庫中,透過儲存裝置及網路收集各式紀錄(log)資料;執行模組,是於傳輸資料 與執行指令,其中包括:系統溝通單元,是於智慧型資訊安全網路阻斷分析程式與智慧型資訊安全網路阻斷控制程式之間的溝通;IP阻斷控制單元,是於企業網路邊界的資安設備上,主要將執行網路服務阻斷指令或網路服務阻斷解除指令。
其中資產分數,是為透過線性迴歸模型計算出總和的資產分數Srcinv(IP),資產分數之計算,是指主機所屬之角色的重要程度、網域的重要程度、機密程度、運作繁忙程度、企業網路中連線其他主機的頻繁程度(out-link frequency)、企業網路中被其他主機連線的頻繁程度(in-link frequency),阻斷衝擊分析單元,是於管理所有阻斷主機並提供管控上的協助,並根據IP資產分析單元模組計算的資產分數Srcinv(IP)配合主機的阻斷清單資訊計算阻斷分數Srcbk(IP),並以此分述判斷須優先阻斷其網路服務的主機,阻斷衝擊分析單元,是另針對優先阻斷主機評估其阻斷指令派送的最適切裝置,並將指令派送到裝置上,阻斷衝擊分析單元,是亦記錄被阻斷網路服務主機的起始日期、預計結束日期、指令阻斷執行的裝置之資訊,管理資訊,是為組織或企業內部資產資訊、以及阻斷資訊,各式紀錄(log)資料,是為代理伺服器紀錄、防火牆紀錄,系統溝通單元,是得以將資料收集單元所蒐集之資料從資料庫中取出,並傳送至資料分析單元分析,系統溝通單元,亦接收阻斷衝擊分析模阻的阻斷派送與解除指令,並將指令傳送至資產管理單元,以達成藉由企業內部網路邊界資安設備來控制特定主機網路服務狀態。
一種智慧型資訊安全網路阻斷分析之方法,包括:收集資料,並傳送資料;分析資料,將資料進行處理與分析,取得總和阻斷分數, 作為某一主機是否應優先阻斷網路服務的依據;加入相關資訊,使用輔助性資訊協助分析,其輔助性資訊係指資產資訊、以及阻斷資訊等;判斷是否阻擋,是依據分析資料計算的阻斷分數Srcbk(IP),判斷當前主機IP是否須優先阻斷;若分數高於阻斷門檻,判定為是,則接續,若分數低於門檻,則判定為否並結束流程;計算執行方式,計算主機的生命週期以及最佳的指令執行裝置點;執行命令,在最適切之裝置上執行指令。
其中收集資料,是包含:收集日誌資料,是蒐集各式日誌紀錄資料,並儲存於資料庫中;傳送資料,將所蒐集的日誌紀錄資料傳送到資料分析單元供其分析。
其中分析資料,是包含:處理資料,將接收到的日誌紀錄資料進行前處理與分析;計算資產分數,使用日誌紀錄資料以及主機資產相關資訊計算資產分數Srcinv(IP);計算阻斷分數,根據資產分數Srcinv(IP)以及阻斷清單相關資訊,分析主機被阻斷網路服務並下線之後對企業內部網路的整體架構的影響與衝擊程度,並計算阻斷分數Srcbk(IP)。
其中加入相關資訊,是包含:加入資產資訊,將主機資產相關資訊匯入分析程式中;加入阻斷資訊,將阻斷清單相關資訊匯入分析程式中。
其中計算執行方式,是包含:計算最佳執行點,計算當前主機阻斷指令派送的裝置,為達成最高阻斷效率,本步驟將計算阻斷效果最佳的裝置;計算阻斷生命週期,透過主機生命週期的預估,計算被阻斷主機可能可以解除阻斷指令的日期;傳送阻斷指令,根據傳送資料計算出來的最佳阻斷派送裝置,將阻斷指令派送到裝置上;傳送解除指令,根據處裡資料估算出的主機生命週期與阻斷解除日期,將阻斷解除資訊傳送到裝置上並通知裝置管理員。
其中執行命令,是包含:執行阻斷指令,針對需要阻斷網路服務的主機,在最適切裝置上執行阻斷指令;執行解除指令,針對得以恢復網路服務的主機,在原先阻斷其網路服務的裝置上執行解除指令。
其中主機資產相關資訊,包含主機所屬角色重要程度、主機所屬網域重要程度與機密程度、主機運作繁忙程度、主機連線頻繁程度(out-link frequency)、主機被連線頻繁程度(in-link frequency)。
本發明所提供一種智慧型資訊安全網路阻斷分析之系統與方法,與其他習用技術相互比較時,更具備下列優點: 1.相較於一般的網路阻斷方法,本發明可解決傳統上多種網路服務阻斷方法並行但卻沒有集中管理機制的問題,避免管理不周而產生重複進行阻斷而造成資源浪費、或未將需管制之設備進行阻斷而造成管 理缺漏的情形。本發明自動計算候選阻斷主機之角色與風險程度、以及阻斷該主機之影響層面,系統將推薦角色重要、風險值高、且影響層面廣之主機為須優先處理之主機,不像傳統方法不區分優先順序直接將須阻斷網路服務之主機全部阻斷。另一方面,根據各主機特徵檔案(profile)計算最有效率的阻斷閘門、以及該主機網路活動的生命週期,藉以智慧地派送阻斷指令、以及傳送阻斷解除建議,解決傳統多閘門阻斷造成的效率不彰與管理不易困擾,同時解決被阻斷之下線主機無法解除阻斷狀態的管理問題。另一方面,關於阻斷服務的派送執行裝置,本發明可配合各式攻擊可能會使用的管道,透過不同的阻斷方法更智慧化地進行阻斷,例如針對網域名稱(domain name)進行阻斷,需在DNS或NG-Firewall上執行,針對IP進行阻斷則可直接在Firewall上執行。總體而言,本發明提供更智慧化的網路阻斷方法,可在企業內部網路輔助自動決策,甚而提供自動決策的功能。
110‧‧‧分析模組
111‧‧‧資料分析單元
112‧‧‧IP資產分析單元
113‧‧‧阻斷衝擊分析單元
120‧‧‧資訊管理模組
121‧‧‧資產管理單元
122‧‧‧阻斷清單管理單元
210‧‧‧執行模組
211‧‧‧系統溝通單元
212‧‧‧IP阻斷控制單元
220‧‧‧收集模組
221‧‧‧資料收集單元
S210~S262‧‧‧流程
請參閱有關本發明之詳細說明及其附圖,將可進一步瞭解本發明之技術內容及其目的功效;有關附圖為:圖1為本發明智慧型資訊安全網路阻斷分析之系統與方法之架構示意圖;圖2以及圖3為本發明智慧型資訊安全網路阻斷分析之系統與方法之流程圖。
為了使本發明的目的、技術方案及優點更加清楚明白,下面結合附圖及實施例,對本發明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅用以解釋本發明,但並不用於限定本發明。
以下,結合附圖對本發明進一步說明:請參閱圖1所示,為本發明智慧型資訊安全網路阻斷分析之系統與方法之架構示意圖,一種智慧型資訊安全網路阻斷分析之系統,其主要包括:分析模組110,是為分析資料並計算總和的資產分數Srcinv(IP)、以及阻斷分數Srcbk(IP),其中包括:資料分析單元111,是透過系統溝通單元211接收各式日誌紀錄資料,進行前處理與分析;IP資產分析單元112,是於整合資產管理單元121分析完之企業資訊設備資產資訊,計算各主機的資產分數Srcinv(IP);阻斷衝擊分析單元113,透過阻斷清單管理單元122擷取具資安疑慮且需進行網路阻斷的主機資訊,進行主機的衝擊分析,分析主機被阻斷網路服務並下線之後對企業內部網路的整體架構的影響與衝擊程度;資訊管理模組120,是於分析以及管理資訊,其中包括:資產管理單元121,是擷取企業資訊設備資產資料庫中相關資訊,計算並分析出主機設備的資產等級與資訊;阻斷清單管理單元122,是為分析並存取阻斷清單資料庫中之相關資訊;收集模組220,是為收集相關資料,其相關資料包含網路流量日誌(Traffic log),代理伺服器日誌(Proxy log)、防火牆日誌(Firewall log)、域名系統日誌(DNS log)等;資料收集單元221,是蒐集分析資料並將其儲存於資料庫中,透過儲存裝置及網路收集各式紀錄(log)資料;執行模組210,是於傳輸資料與執 行指令,其中包括:系統溝通單元211,是於智慧型資訊安全網路阻斷分析程式與智慧型資訊安全網路阻斷控制程式之間的溝通;IP阻斷控制單元212,是於企業網路邊界的資安設備上,主要將執行網路服務阻斷指令或網路服務阻斷解除指令。
其中資產分數,是為透過線性迴歸模型計算出總和的資產分數Srcinv(IP),資產分數之計算,是指主機所屬之角色的重要程度、網域的重要程度、機密程度、運作繁忙程度、企業網路中連線其他主機的頻繁程度(out-link frequency)、企業網路中被其他主機連線的頻繁程度(in-link frequency),阻斷衝擊分析單元113,是於管理所有阻斷主機並提供管控上的協助,並根據IP資產分析單元112模組計算的資產分數Srcinv(IP)配合主機的阻斷清單資訊計算阻斷分數Srcbk(IP),並以此分述判斷須優先阻斷其網路服務的主機,阻斷衝擊分析單元113,是另針對優先阻斷主機評估其阻斷指令派送的最適切裝置,並將指令派送到裝置上,阻斷衝擊分析單元113,是亦記錄被阻斷網路服務主機的起始日期、預計結束日期、指令阻斷執行的裝置之資訊,管理資訊,是為組織或企業內部資產資訊、以及阻斷資訊,各式紀錄(1og)資料,是為代理伺服器紀錄、防火牆紀錄,系統溝通單元211,是得以將資料收集單元221所蒐集之資料從資料庫中取出,並傳送至資料分析單元111分析,系統溝通單元211,亦接收阻斷衝擊分析模阻的阻斷派送與解除指令,並將指令傳送至資產管理單元121,以達成藉由企業內部網路邊界資安設備來控制特定主機網路服務狀態。
在本發明的使用情境中,使用者可以在企業內部網路中使用本發明,在智慧型網路阻斷分析伺服器中將會分 析一主機IP是否需阻斷其網路服務,計算該阻斷指令的派送處(或派送裝置)、以及該阻斷指令的解除建議。智慧型網路阻斷分析伺服器的分析結果將傳送至位於企業網路邊界上的智慧型網路阻斷控制伺服器中,透過控制伺服器來控制各項指令的執行。
各個模組係按照功能的不同進行劃分,資料收集單元221主要用於蒐集待分析資料並將其儲存於資料庫中,透過儲存裝置及網路收集各式紀錄(1og)資料,所能接收的資料包括,但不限於,代理伺服器紀錄、防火牆紀錄等。
所描述的系統溝通單元211主要用於智慧型資訊安全網路阻斷分析程式與智慧型資訊安全網路阻斷控制程式之間的溝通,透過系統溝通單元211可將資料收集單元221所蒐集之資料從資料庫中取出,並傳送至資料分析單元111供其分析;另一方面,此系統溝通單元211亦接收阻斷衝擊分析單元113的阻斷派送指令、以及阻斷解除指令,將所接收的指令傳送至IP阻斷控制單元212,透過企業內部網路邊界上的資安設備控制特定主機的網路服務狀態,視需要阻斷其網路服務或恢復其網路服務。
IP阻斷控制單元212安裝於企業網路邊界的資安設備上,IP阻斷控制單元212將執行但不限於網路服務阻斷指令或網路服務阻斷解除指令。
資料分析單元111,主要用於透過系統溝通單元211接收各式日誌紀錄資料,進行前處理與分析。
IP資產分析單元112,透過資產管理單元121擷取分析完成的企業資訊設備資產資訊,計算各主機的資產分數Srcinv(IP);單一主機IP資產分數的估算囊括但不限於主 機所屬角色的重要程度、主機所屬網域的重要程度與機密程度、主機運作繁忙程度、主機在企業網路中連線其他主機的頻繁程度(out-link frequency)、主機在企業網路中被其他主機連線的頻繁程度(in-link frequency)等等多個指標,並藉由上述多項指標,透過線性迴歸模型計算出總和的資產分數Srcinv(IP)。
資產管理單元121從企業資訊設備資產資料庫中取出相關資訊,計算並分析後,可輸出主機設備的資產分析結果包含但不限於主機的角色及其重要程度、主機是否為服務提供或接收服務的主機,主機的繁忙程度等。
阻斷衝擊分析單元113,透過阻斷清單管理單元122擷取具有資安疑慮且需進行網路阻斷的主機資訊,進行主機的衝擊分析,分析主機被阻斷網路服務並下線之後對企業內部網路的整體架構的影響與衝擊程度。並用於管理所有阻斷主機並提供管控上的協助,根據IP資產分析單元112計算的資產分數Srcinv(IP)配合主機的阻斷清單資訊計算阻斷分數Srcbk(IP),並以此分述判斷須優先阻斷其網路服務的主機,也針對優先阻斷主機評估其阻斷指令派送的最適切裝置,並將指令派送到該裝置上,亦記錄被阻斷網路服務主機的起始日期、預計結束日期、指令阻斷執行的裝置等資訊,藉此達到集中化管理的功效。此估算機制考量當前將被阻斷網路服務之主機在企業網路中所在節點,比較由各裝置包括但不限於代理伺服器(Proxy)、防火牆(Firewall)、或網域名稱系統(DNS)進行阻擋的成本與效益,在可達相同阻絕效果的前提下,阻斷管理模組將推薦最少個阻斷派送點、及最佳的阻斷指令派送點,以達智慧型阻斷目的。另一方面,根據主機的特徵檔案(profile)預測該主機網路活動生命週期,預測主機的阻斷起訖 日期、及所需阻斷週期,當主機不再有資訊安全的風險與疑慮時,恢復期網路服務,並自動傳送阻斷解除訊息到特定阻斷裝置上,達成另一層面的智慧阻斷功效。
阻斷清單管理單元122,則從阻斷清單資料庫中取出相關資訊。
請參閱圖2、圖3所示,為本發明智慧型資訊安全網路阻斷分析之系統與方法之流程圖,包括:S210收集資料,並傳送資料;S220分析資料,將資料進行處理與分析,取得總和阻斷分數,作為某一主機是否應優先阻斷網路服務的依據;S230加入相關資訊,使用輔助性資訊協助分析,其輔助性資訊係指資產資訊、以及阻斷資訊等;S240判斷是否阻擋,是依據分析資料計算的阻斷分數Srcbk(IP),判斷當前主機IP是否須優先阻斷;若分數高於阻斷門檻,判定為是,則接續,若分數低於門檻,則判定為否並結束流程;S250計算執行方式,計算主機的生命週期以及最佳的指令執行裝置點;S260執行命令,在最適切之裝置上執行指令。
其中S210收集資料,是包含:S211收集日誌資料,是蒐集各式日誌紀錄資料,並儲存於資料庫中;S212傳送資料,將所蒐集的日誌紀錄資料傳送到資料分析單元供其分析。
其中S220分析資料,是包含:S221處理資料,將接收到的日誌紀錄資料進行前處理與 分析;S222計算資產分數,使用日誌紀錄資料以及主機資產相關資訊計算資產分數Srcinv(IP);S223計算阻斷分數,根據資產分數Srcinv(IP)以及阻斷清單相關資訊,分析主機被阻斷網路服務並下線之後對企業內部網路的整體架構的影響與衝擊程度,並計算阻斷分數Srcbk(IP)。
其中S230加入相關資訊,是包含:S231加入資產資訊,將主機資產相關資訊匯入分析程式中;S232加入阻斷資訊,將阻斷清單相關資訊匯入分析程式中。
其中S250計算執行方式,是包含:S251計算最佳執行點,計算當前主機阻斷指令派送的裝置,為達成最高阻斷效率,本步驟將計算阻斷效果最佳的裝置;S252計算阻斷生命週期,透過主機生命週期的預估,計算被阻斷主機可能可以解除阻斷指令的日期;S253傳送阻斷指令,根據傳送資料計算出來的最佳阻斷派送裝置,將阻斷指令派送到裝置上;S254傳送解除指令,根據處裡資料估算出的主機生命週期與阻斷解除日期,將阻斷解除資訊傳送到裝置上並通知裝置管理員。
其中S260執行命令,是包含:S261執行阻斷指令,針對需要阻斷網路服務的主機,在最適切裝置上執行阻斷指令; S262執行解除指令,針對得以恢復網路服務的主機,在原先阻斷其網路服務的裝置上執行解除指令。
其中主機資產相關資訊,包含主機所屬角色重要程度、主機所屬網域重要程度與機密程度、主機運作繁忙程度、主機連線頻繁程度(out-link frequency)、主機被連線頻繁程度(in-link frequency)。
綜上所述,智慧型網路阻斷分析伺服器、及智慧型網路阻斷控制伺服器中的智慧型資訊安全網路阻斷分析之程式及智慧型資訊安全網路阻斷控制之程式被啟動運行後,將開始資料處理與分析,蒐集各式日誌紀錄資料,並儲存於資料庫中,將所蒐集的日誌紀錄資料傳送到資料分析模組供其分析,將接收到的日誌紀錄資料進行前處理與分析,將主機資產相關資訊匯入分析程式中,使用日誌紀錄資料以及主機資產相關資訊,根據各項指標包含但不限於主機所屬角色重要程度、主機所屬網域重要程度與機密程度、主機運作繁忙程度、主機連線頻繁程度(out-link frequency)、主機被連線頻繁程度(in-link frequency)計算資產分數Srcinv(IP),將阻斷清單相關資訊匯入分析程式中,根據資產分數Srcinv(IP)以及阻斷清單相關資訊,分析主機被阻斷網路服務並下線之後對企業內部網路的整體架構的影響與衝擊程度,並計算阻斷分數Srcbk(IP),依據前一步驟所計算的阻斷分數Srcbk(IP),判斷當前主機IP是否須優先阻斷;若分數高於阻斷門檻,判定為Yes則往下接續,若分數低於門檻,判定為No並結束流程,計算當前主機阻斷指令派送的裝置,為達成最高阻斷效率,本步驟將計算阻斷效果最佳的裝置(例如:防火牆),透過主機生命週期的預估,計算被阻斷主機可能可以解除阻斷指令的日 期,根據計算出來的最佳阻斷派送裝置,將阻斷指令派送到該裝置上,根據估算出的主機生命週期與阻斷解除日期,將阻斷解除資訊傳送到該裝置上並通知裝置管理員,針對需要阻斷網路服務的主機,在最適切裝置上執行阻斷指令,針對可恢復網路服務的主機,在原先阻斷其網路服務的裝置上執行解除指令。
上列詳細說明乃針對本發明之一可行實施例進行具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
綜上所述,本案不僅於技術思想上確屬創新,並具備習用之傳統方法所不及之上述多項功效,已充分符合新穎性及進步性之法定發明專利要件,爰依法提出申請,懇請 貴局核准本件發明專利申請案,以勵發明,至感德便。
110‧‧‧分析模組
111‧‧‧資料分析單元
112‧‧‧IP資產分析單元
113‧‧‧阻斷衝擊分析單元
120‧‧‧資訊管理模組
121‧‧‧資產管理單元
122‧‧‧阻斷清單管理單元
210‧‧‧執行模組
211‧‧‧系統溝通單元
212‧‧‧IP阻斷控制單元
220‧‧‧收集模組
221‧‧‧資料收集單元

Claims (17)

  1. 一種智慧型資訊安全網路阻斷分析之系統,其主要包括:分析模組,係為分析資料並計算總和的資產分數Srcinv(IP)、以及阻斷分數Srcbk(IP),其中包括:資料分析單元,係透過系統溝通單元接收各式日誌紀錄資料,進行前處理與分析;IP資產分析單元,係於整合資產管理單元分析完之企業資訊設備資產資訊,計算各主機的資產分數Srcinv(IP);阻斷衝擊分析單元,透過阻斷清單管理單元擷取具資安疑慮且需進行網路阻斷的主機資訊,進行主機的衝擊分析,分析該主機被阻斷網路服務並下線之後對企業內部網路的整體架構的影響與衝擊程度;資訊管理模組,係於分析以及管理資訊,其中包括:資產管理單元,係擷取企業資訊設備資產資料庫中相關資訊,計算並分析出主機設備的資產等級與資訊;阻斷清單管理單元,係為分析並存取阻斷清單資料庫中之相關資訊;收集模組,係為收集相關資料,包含網路流量日誌(Traffic log),代理伺服器日誌(Proxy log)、防火牆日誌(Firewall log)、域名系統日誌(DNS log);資料收集單元,係蒐集分析資料並將其儲存於資料庫中,透過儲存裝置及網路收集各式紀錄(log)資料;執行模組,係於傳輸資料與執行指令,其中包括:系統溝通單元,係於智慧型資訊安全網路阻斷分析程式與智慧型資訊安全網路阻斷控制程式之間的溝通; IP阻斷控制單元,係於企業網路邊界的資安設備上,主要將執行網路服務阻斷指令或網路服務阻斷解除指令。
  2. 如申請專利範圍第1項所述之智慧型資訊安全網路阻斷分析之系統,其中該資產分數,係為透過線性迴歸模型計算出總和的資產分數Srcinv(IP)。
  3. 如申請專利範圍第1項所述之智慧型資訊安全網路阻斷分析之系統,其中該資產分數之計算,係指該主機所屬之角色的重要程度、網域的重要程度、機密程度、運作繁忙程度、企業網路中連線其他主機的頻繁程度(out-link frequency)、企業網路中被其他主機連線的頻繁程度(in-link frequency)。
  4. 如申請專利範圍第1項所述之智慧型資訊安全網路阻斷分析之系統,其中該阻斷衝擊分析單元,係於管理所有阻斷主機並提供管控上的協助,並根據該IP資產分析單元模組計算的資產分數Srcinv(IP)配合主機的阻斷清單資訊計算阻斷分數Srcbk(IP),並以此分述判斷須優先阻斷其網路服務的主機。
  5. 如申請專利範圍第1項所述之智慧型資訊安全網路阻斷分析之系統,其中該阻斷衝擊分析單元,係另針對優先阻斷主機評估其阻斷指令派送的最適切裝置,並將指令派送到該裝置上。
  6. 如申請專利範圍第1項所述之智慧型資訊安全網路阻斷分析之系統,其中該阻斷衝擊分析單元,係亦記錄被阻斷網路服務主機的起始日期、預計結束日期、指令阻斷執行的裝置之資訊。
  7. 如申請專利範圍第1項所述之智慧型資訊安全網路阻斷分析之系統,其中該管理資訊,係為組織或企業內部資產資訊、以及阻斷資訊。
  8. 如申請專利範圍第1項所述之智慧型資訊安全網路阻斷分析之系統,其中該各式紀錄(log)資料,係為代理伺服器紀錄、防火牆紀錄。
  9. 如申請專利範圍第1項所述之智慧型資訊安全網路阻斷分析之系統,其中該系統溝通單元,係得以將該資料收集單元所蒐集之資料從資料庫中取出,並傳送至該資料分析單元分析。
  10. 如申請專利範圍第1項所述之智慧型資訊安全網路阻斷分析之系統,其中該系統溝通單元,亦接收該阻斷衝擊分析模阻的阻斷派送與解除指令,並將指令傳送至該資產管理單元,以達成藉由企業內部網路邊界資安設備來控制特定主機網路服務狀態。
  11. 一種智慧型資訊安全網路阻斷分析之方法,包括:收集資料,並傳送資料;分析資料,將資料進行處理與分析,取得總和阻斷分數,作為某一主機是否應該優先阻斷網路服務的依據;加入相關資訊,使用輔助性資訊協助分析,其輔助性資訊係指資產資訊、以及阻斷資訊;判斷是否阻擋,係依據該分析資料計算的阻斷分數Srcbk(IP),判斷當前主機IP是否須優先阻斷;若分數高於阻斷門檻,判定為是,則接續,若分數低於門檻,則判定為否並結束流程;計算執行方式,計算主機的生命週期以及最佳的指令執 行裝置點;執行命令,在最適切之裝置上執行指令。
  12. 如申請專利範圍第11項所述之智慧型資訊安全網路阻斷分析之方法,其中該收集資料,係包含:收集日誌資料,係蒐集各式日誌紀錄資料,並儲存於資料庫中;傳送資料,將所蒐集的日誌紀錄資料傳送到資料分析單元供其分析。
  13. 如申請專利範圍第11項所述之智慧型資訊安全網路阻斷分析之方法,其中該分析資料,係包含:處理資料,將接收到的日誌紀錄資料進行前處理與分析;計算資產分數,使用日誌紀錄資料以及主機資產相關資訊計算資產分數Srcinv(IP);計算阻斷分數,根據資產分數Srcinv(IP)以及阻斷清單相關資訊,分析主機被阻斷網路服務並下線之後對企業內部網路的整體架構的影響與衝擊程度,並計算阻斷分數Srcbk(IP)。
  14. 如申請專利範圍第11項所述之智慧型資訊安全網路阻斷分析之方法,其中該加入相關資訊,係包含:加入資產資訊,將主機資產相關資訊匯入分析程式中;加入阻斷資訊,將阻斷清單相關資訊匯入分析程式中。
  15. 如申請專利範圍第11項所述之智慧型資訊安全網路阻斷分析之方法,其中該計算執行方式,係包含:計算最佳執行點,計算當前主機阻斷指令派送的裝置,為達成最高阻斷效率,本步驟將計算阻斷效果最佳的裝置; 計算阻斷生命週期,透過主機生命週期的預估,計算被阻斷主機可能可以解除阻斷指令的日期;傳送阻斷指令,根據該傳送資料計算出來的最佳阻斷派送裝置,將阻斷指令派送到該裝置上;傳送解除指令,根據處裡資料估算出的主機生命週期與阻斷解除日期,將阻斷解除資訊傳送到該裝置上並通知裝置管理員。
  16. 如申請專利範圍第11項所述之智慧型資訊安全網路阻斷分析之方法,其中該執行命令,係包含:執行阻斷指令,針對需要阻斷網路服務的主機,在最適切裝置上執行阻斷指令;執行解除指令,針對得以恢復網路服務的主機,在原先阻斷其網路服務的裝置上執行解除指令。
  17. 如申請專利範圍第13項所述之智慧型資訊安全網路阻斷分析之方法,其中主機資產相關資訊,包含主機所屬角色重要程度、主機所屬網域重要程度與機密程度、主機運作繁忙程度、主機連線頻繁程度(out-link frequency)、主機被連線頻繁程度(in-link frequency)。
TW105120119A 2016-06-27 2016-06-27 System and Method for Blocking Intelligent Information Security Network TWI591576B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW105120119A TWI591576B (zh) 2016-06-27 2016-06-27 System and Method for Blocking Intelligent Information Security Network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW105120119A TWI591576B (zh) 2016-06-27 2016-06-27 System and Method for Blocking Intelligent Information Security Network

Publications (2)

Publication Number Publication Date
TWI591576B TWI591576B (zh) 2017-07-11
TW201810176A true TW201810176A (zh) 2018-03-16

Family

ID=60048360

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105120119A TWI591576B (zh) 2016-06-27 2016-06-27 System and Method for Blocking Intelligent Information Security Network

Country Status (1)

Country Link
TW (1) TWI591576B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI826227B (zh) * 2023-01-06 2023-12-11 中華電信股份有限公司 網路設備的資訊安全管理系統及管理方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111028085A (zh) * 2019-03-29 2020-04-17 哈尔滨安天科技集团股份有限公司 一种基于主被动结合的网络靶场资产信息采集方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI826227B (zh) * 2023-01-06 2023-12-11 中華電信股份有限公司 網路設備的資訊安全管理系統及管理方法

Also Published As

Publication number Publication date
TWI591576B (zh) 2017-07-11

Similar Documents

Publication Publication Date Title
JP2006520937A5 (zh)
US8489441B1 (en) Quality of records containing service data
US20210160262A1 (en) Systems and methods for determining network data quality and identifying anomalous network behavior
Ge et al. Q‐learning based flexible task scheduling in a global view for the Internet of Things
US20150215426A1 (en) Non-transitory computer-readable recording medium having stored therein control program, control apparatus and control method
CN103618652A (zh) 一种业务数据的审计和深度分析系统及其方法
WO2019206100A1 (zh) 一种特征工程编排方法及装置
US11463536B2 (en) Curating proxy server pools
CN101349987A (zh) 一种计算机使用情况的统计分析方法
US20220353271A1 (en) Dynamic user access control management
CN101820635A (zh) 一种移动通讯数据的采集方法和装置
CN109800133A (zh) 一种统一监控告警的方法、一站式监控告警平台及系统
TW201810176A (zh) 智慧型資訊安全網路阻斷分析之系統與方法
JP2022533803A (ja) 車両のインターネットにおける共謀攻撃に対する安全な防御のためのシステム及びその方法
CN105577810A (zh) 一种开放接口的柔性服务方法、装置和系统
US20210103808A1 (en) Automatic triaging of network events
CN115080363B (zh) 一种基于业务日志的系统容量评估方法及装置
CN111221802A (zh) 一种基于大数据的数字资产风险管控系统及其方法
CN112654077B (zh) 节能方法及装置、计算机可存储介质
CN106651145A (zh) 备件管理系统及方法
CN201499180U (zh) 一种实现银企互联通信的装置
CN107566187B (zh) 一种sla违例监测方法、装置和系统
CN111340648A (zh) 一种基于物联网的能源管控方法及系统
CN113220447B (zh) 基于边缘计算的金融风控系统及方法
AU2021103431A4 (en) Cloud forensic system and method for using the same