TW202014921A - 偵測作業系統的異常操作的異常偵測的方法及裝置 - Google Patents

偵測作業系統的異常操作的異常偵測的方法及裝置 Download PDF

Info

Publication number
TW202014921A
TW202014921A TW107135324A TW107135324A TW202014921A TW 202014921 A TW202014921 A TW 202014921A TW 107135324 A TW107135324 A TW 107135324A TW 107135324 A TW107135324 A TW 107135324A TW 202014921 A TW202014921 A TW 202014921A
Authority
TW
Taiwan
Prior art keywords
abnormal
historical
abnormality
degree
usage
Prior art date
Application number
TW107135324A
Other languages
English (en)
Other versions
TWI727213B (zh
Inventor
李俊賢
利建宏
吳君勉
孫明功
張宗銓
許銀雄
黃瓊瑩
蔡宗憲
Original Assignee
安碁資訊股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 安碁資訊股份有限公司 filed Critical 安碁資訊股份有限公司
Priority to TW107135324A priority Critical patent/TWI727213B/zh
Priority to US16/281,101 priority patent/US11341018B2/en
Priority to EP19162547.4A priority patent/EP3637293B1/en
Publication of TW202014921A publication Critical patent/TW202014921A/zh
Application granted granted Critical
Publication of TWI727213B publication Critical patent/TWI727213B/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • G06F11/3075Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting the data filtering being achieved in order to maintain consistency among the monitored data, e.g. ensuring that the monitored data belong to the same timeframe, to the same system or component

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Debugging And Monitoring (AREA)

Abstract

提供一種異常偵測的方法,適用於偵測作業系統的異常操作。所述方法包括:根據歷史資料流計算作業系統在一或多個時段的使用量安全範圍。根據當前資料流及使用量安全範圍計算對應一或多個時段的異常比率。根據閾值及異常比率從一或多個時段中挑選出一或多個異常時段。根據歷史資料流及當前資料流計算一或多個異常時段的每一者的異常指標。根據異常指標排行一或多個異常時段。

Description

偵測作業系統的異常操作的異常偵測的方法及裝置
本發明是有關於一種資安技術,且特別是有關於一種偵測作業系統的異常操作的異常偵測的方法及裝置。
對於使用者在使用作業系統(Operating System,OS)時需執行的登入帳號與密碼之行為,系統會將該些行為的相關資料記錄於日誌。當該些行為以特定的幅度增加時,可能代表使用者之行為改變或作業系統遭駭客入侵。若一固定時段內的使用行為之次數異常,代表該固定時段的使用行為與歷史上同一固定時段所記錄之使用行為不相符。基此,習知的技術可為不同的時段建立不同的異常預測模型,從而根據異常預測模型判斷對應時段是否發生異常。然而,當使用者欲觀察作業系統是否發生異常時,需基於所欲觀察的時段更換所使用的異常預測模型。如此,為使用者帶來了許多不便,並浪費了許多系統運算量。
有鑑於此,本發明提供一種偵測作業系統的異常操作的異常偵測的方法及裝置,可幫助使用者全盤了解作業系統所發生之異常操作的模式。
本發明的異常偵測的方法適用於偵測作業系統的異常操作,其包括:根據歷史資料流計算作業系統在一或多個時段的使用量安全範圍。根據當前資料流及使用量安全範圍計算對應一或多個時段的異常比率。根據閾值及異常比率從一或多個時段中挑選出一或多個異常時段。根據歷史資料流及當前資料流計算一或多個異常時段的每一者的異常指標。根據異常指標排行一或多個異常時段。
本發明的異常偵測的裝置適用於偵測作業系統的異常操作,其包括:儲存單元及處理單元。儲存單元儲存多個模組。處理單元耦接儲存單元,且存取並執行儲存單元所儲存的多個模組,多個模組包括:資料庫、側錄模組以及異常偵測模組。資料庫記錄歷史資料流。側錄模組側錄當前資料流。異常偵測模組,經配置以執行下列的步驟:根據歷史資料流計算作業系統在一或多個時段的使用量安全範圍。根據當前資料流及使用量安全範圍計算對應一或多個時段的異常比率。根據閾值及異常比率從一或多個時段中挑選出一或多個異常時段。根據歷史資料流及當前資料流計算一或多個異常時段的每一者的異常指標。根據異常指標排行一或多個異常時段。
基於上述,本發明提出了使用量安全範圍可基於例假日動態地調整的概念,故本發明的不會因例假日之原因所造成的使用者行為改變而發生誤判。另一方面,本發明可基於異常程度的不同而為多個異常時段進行排行,令使用者快速地了解作業系統發生異常的高峰期或作業系統在不同時間間隔的異常程度,從而幫助使用者判斷出發生異常的可能原因。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
為了幫助使用者快速地了解作業系統發生異常的高峰期或作業系統在不同時間間隔的異常程度,本發明提供出一種偵測作業系統的異常操作的異常偵測的方法及裝置。透過以下內容將可讓讀者了解本發明之創作精神。
圖1是依照本發明的實施例繪示一種異常偵測的裝置10的示意圖。裝置10可包括處理單元100以及儲存單元300。
儲存單元300用以儲存裝置10運行時所需的各項軟體、資料及各類程式碼。儲存單元300可例如是任何型態的固定式或可移動式的隨機存取記憶體(Random Access Memory,RAM)、唯讀記憶體(Read-only Memory,ROM)、快閃記憶體(Flash Memory)、硬碟(Hard Disk Drive,HDD)、固態硬碟(Solid State Drive,SSD)或類似元件或上述元件的組合。
處理單元100耦接儲存單元300,並可存取及執行儲存單元300所儲存的多個模組。處理單元100可例如是中央處理單元(Central Processing Unit,CPU),或是其他可程式化之一般用途或特殊用途的微處理器(Microprocessor)、數位信號處理器(Digital Signal Processor,DSP)、可程式化控制器、特殊應用積體電路(Application Specific Integrated Circuit,ASIC)或其他類似元件或上述元件的組合。
裝置10可接收關聯於一作業系統(OS)的資料流,並偵測該作業系統是否發生異常操作。在本實施例中,儲存單元300可儲存包括資料庫310、側錄模組330以及異常偵測模組350等多個模組,其中資料庫310用以儲存關聯於作業系統的歷史資料流,且側錄模組330可用以側錄關聯於該作業系統的當前資料流。異常偵測模組350的功能將會於下文說明。
圖2是依照本發明的實施例繪示一種異常偵測的方法20的流程圖,方法20可由如圖1所示的裝置10的異常偵測模組350實施,但本發明並不限於此。
在步驟S210,異常偵測模組350可根據資料庫310中的關聯於作業系統的歷史資料流計算該作業系統在一或多個時段的使用量安全範圍,其中該歷史資料流可對應於一位使用者。歷史資料流可包括作業系統在一或多個時段的歷史使用量及歷史變化程度。以表1為例,表1提出了本發明之歷史資料流之形式的範例: 表1
Figure 107135324-A0304-0001
 其中,歷史使用量用以代表作業系統之異常操作的數量,其可對應於一或多個操作特徵,且該些操作特徵關聯於登入作業系統的次數、作業系統所存取之網際網路協定(Internet Protocol,IP)位址的數量或作業系統所使用之通訊埠(Port)的數量,但本發明不限於此。舉例來說,若表1記載的歷史使用量之代表作業系統所存取之IP位址的數量(即:歷史使用量對應的操作特徵關聯於作業系統所存取之IP位址的數量),則資料編號1中記載的歷史使用量22.5代表作業系統過去在資料編號1之時段所存取的IP位址之個數為22.5次。歷史使用量可以平均數、中位數或其他統計量來代表,且歷史變化程度可以標準差、變異數或其他統計量來代表。表1中的時段及其對應的歷史使用量是以一小時為基準,但也可以例如一天、一星期、一月、一季或一年等不同的時間單位為基準。
基於歷史資料流記錄的一或多個時段的歷史使用量及歷史變化程度,異常偵測模組350可藉由例如公式(1)及公式(2)而計算出作業系統在一時段的使用量安全範圍(使用量安全範圍的上界及下界):上界 =
Figure 02_image001
公式( 1 下界 =
Figure 02_image003
公式( 2 其中μh 為歷史使用量、α 為容忍係數且σh 為歷史變化程度。容忍係數α 可由使用者基於其使用習慣而訂定。以表1為例,假設表1中的使用者1在非例假日時對作業系統的使用量較高,則可將非例假日時的容忍係數α 調高以擴大使用量安全範圍。如此,可避免因使用者1在例假日及非例假日的使用習慣的不同而造成裝置10誤判使用者1的使用量異常。容忍係數α 也可以依據星期、月份、季節或任何會影響使用者使用作業系統的習慣之因素而調整,本發明不限於此。
表2是基於表1的內容及公式(1)、公式(2)計算出每一時段的使用量安全範圍的範例: 表2
Figure 107135324-A0304-0002
 如表2所示,異常偵測模組350可計算出不同的使用者在不同的時段的使用量安全範圍。
在計算完一或多個時段的使用量安全範圍後,在步驟S220,異常偵測模組350可根據側錄模組330所側錄之當前資料流及使用量安全範圍計算對應一或多個時段的異常比率,其中該當前資料流可對應於一位使用者。當前資料流可包括作業系統在一或多個時段的當前使用量,當前使用量的定義將於下文說明。
具體來說,異常偵測模組350可基於對應一或多個操作特徵之當前使用量在使用量安全範圍內的比例計算異常比率,如公式(3)所示。異常比率 =q /p 公式( 3 其中q 為當前使用量在使用量安全範圍外的特徵個數,且p 為當前使用量在使用量安全範圍內的特徵個數。以表2為例,假設在一非為例假日的星期一的7:00~8:00(即:對應於表2之資料編號1的時段),使用者1對作業系統的進行之操作的三個操作特徵(例如:登入作業系統的次數、作業系統所存取之IP位址的數量及作業系統所使用之通訊埠的數量)(即:p = 3)中,有兩個操作特徵(假設為登入作業系統的次數、作業系統所存取之IP位址的數量)(即:q = 2)的當前使用量處於使用量安全範圍外,且有一個操作特徵(假設為作業系統所使用之通訊埠的數量)的當前使用量處於使用量安全範圍內,此代表相較於過去的同一時段(即:對應於表2之資料編號1之時段的過去時段),使用者1在該時段的登入作業系統的次數以及作業系統所存取之IP位址的數量等兩個操作特徵發生異常。異常偵測模組350可透過公式(3)計算出使用者1在該時段(即:對應於表2之資料編號1的時段)對應的異常比率為2/3。
在計算完對應一或多個時段的異常比率後,在步驟S230,異常偵測模組350可根據閾值及異常比率從一或多個時段中挑選出一或多個異常時段,如公式(4)所示。假設一時段對應的異常比率符合公式(4),則異常偵測模組350判定該時段為異常時段。異常比率 β 公式( 4 其中β 為閾值。以表2為例,假設β = 0.5,且一對應於表2之資料編號1的特定時段的異常比率為2/3,則根據公式(4)可知(異常比率 2/3 ≧ 1/2),該特定時段應被異常偵測模組350判定為異常時段。
在挑選出一或多個異常時段後,在步驟S240,異常偵測模組350可根據歷史資料流及當前資料流計算一或多個異常時段的每一者的異常指標。詳言之,異常偵測模組350可根據歷史資料流中的對應於一第一異常時段的歷史使用量、歷史變化程度以及當前使用量計算出第一異常時段的異常程度,如公式(5)所示。
Figure 02_image005
公式( 5 其中s 為異常程度、μh 為歷史使用量、σh 為歷史變化程度且μc 為當前使用量。
以表1的資料為例,假設表1中的資料編號1、2、3及4等資料所對應的時段均在步驟S230被判定為異常時段,則在通過側錄當前資料流而取得表1中每一時段的當前使用量之後,異常偵測模組350可基於公式(5)而計算出表1中各個時段的異常程度,如表3所示。 表3
Figure 107135324-A0304-0003
 其中,當前使用量可用以代表作業系統之異常操作的數量,其可對應於一或多個操作特徵,且該些操作特徵關聯於登入作業系統的次數、作業系統所存取之IP位址的數量或作業系統所使用之通訊埠的數量,但本發明不限於此。舉例來說,若表3記載的當前使用量代表作業系統所存取之IP位址的數量(即:當前使用量對應的操作特徵關聯於作業系統所存取之IP位址的數量),則資料編號1中記載的當前使用量50代表作業系統在資料編號1之時段所存取的IP位址之個數為50次。當前使用量可以平均數、中位數或其他統計量來代表。
在本實施例中,異常程度可代表異常指標。因此,在計算完異常時段中每一者的異常程度後,可取得異常時段中每一者的異常指標後。而後,在步驟S250,異常偵測模組350可根據異常指標對異常時段進行排行。以表3的資料為例,異常偵測模組350可根據異常指標(即:異常程度)的大小而將表1的資料依據資料編號4、資料編號1、資料編號2及資料編號3的順序排行異常時段。換言之,資料編號4對應的異常時段被排行為最前位。換言之,資料編號4所對應的異常時段可能最需要被使用者所關注。
在一些實施例中,異常指標可由多種異常程度組成的綜合異常程度所代表,且用於計算異常指標的步驟S240可進一步地分為如圖3所示的流程。圖3是依照本發明的實施例進一步地繪示圖2之步驟S240的流程圖。
在步驟S241,異常偵測模組350可基於對應於第一異常時段的歷史使用量、歷史變化程度以及當前使用量計算對應於第一時間間隔的第一異常程度,其中第一異常時段包含於如步驟S240所載的一或多個異常時段之中。具體來說,異常偵測模組350可根據公式(5)計算出第一異常時段的異常程度s (以下稱為「第一異常程度s1 」)。
以表4為例,表4記載了多個異常時段,其中對應資料編號1之時段為第一異常時段、對應資料編號2之時段為第二異常時段、對應資料編號3之時段為第三異常時段,以此類推。假設對應資料編號1之時段為第一異常時段(即:時段7:00~8:00,其所使用的時間單位為一小時),且第一時間間隔設定為以一小時為單位。異常偵測模組350可根據公式(5)計算出第一異常時段的第一異常程度s1 = 7.7388。 表4
Figure 107135324-A0304-0004
接著,在步驟S243,異常偵測模組350可基於對應於第二異常時段的歷史使用量、歷史變化程度以及當前使用量計算對應於第一時間間隔的第二異常程度,其中第二時間間隔可與第一時間間隔相異。第二異常時段包含於如步驟S240所載的一或多個異常時段之中,且在一些實施例中,第一時間間隔可包括多個第二時間間隔。具體來說,異常偵測模組350可根據公式(5)計算出第二異常時段的異常程度s2 ,其中異常程度s2 對應於第二時間間隔。在計算出異常程度s2 後,異常偵測模組350可透過公式(6)將對應於第二時間間隔的異常程度s2 轉換為對應於第一時間間隔的第二異常程度
Figure 02_image007
Figure 02_image009
公式( 6 其中n 為第一時間間隔包括的第二時間間隔個數、s2,i 為第一間間隔中的第i 個第二時間間隔的異常程度。
以表4為例,首先設定對應資料編號2之時段為第二異常時段,且第二時間間隔設定為以一分鐘為單位。異常偵測模組350可根據公式(5)計算出第二異常時段的異常程度s2,1 = 0.0682,其中s2,1 對應於第一時間間隔(以一小時為單位)中的第1個(即:i = 1)第二時間間隔(以一分鐘為單位)。基於相似的步驟,異常偵測模組350可根據公式(5)計算出多個對應於第二時間間隔的異常程度s2,2 = 0.5200(對應於資料編號3)、…、s2,60 = 0.4333(對應於資料編號61)。接著,異常偵測模組350可透過公式(6)將對應於第二時間間隔(例如:一分種)的多個異常程度s2,1 s2,2 、…、s2,60 轉換為對應於第一時間間隔(例如:一小時)的第二異常程度
Figure 02_image007
,如公式(7)所示。
Figure 02_image011
公式( 7
在計算出關聯於第一異常時段和第一時間間隔的第一異常程度s1 ,以及關聯於第二異常時段和第一時間間隔的第二異常程度
Figure 02_image007
後,在步驟S245,異常偵測模組350可基於第一異常程度s1 及第二異常程度
Figure 02_image007
計算異常指標。具體來說,異常偵測模組350可根據公式(8)計算出異常指標。異常指標 =
Figure 02_image013
公式( 8 其中𝜔 1 𝜔 2 為權重,可由使用者識其需求而調整,本發明不限於此。基此,由公式(8)所計算之異常指標可同時考慮不同的異常時段(例如:表4資料編號1的時段7:00~8:00,以及表4資料編號2的時段7:00~7:01)對應於相同時間間隔(例如:一小時)的異常程度。
在一些實施例中,異常指標可由多種異常程度組成的綜合異常程度所代表,且用於計算異常指標的步驟S240可進一步地分為如圖4所示的流程。圖4是依照本發明的另一實施例進一步地繪示圖2之步驟S240的流程圖。
在步驟S341,異常偵測模組350可基於對應於第一異常時段的歷史使用量、歷史變化程度以及當前使用量計算對應於第一操作特徵的第一異常程度,其中第一操作特徵可關聯於登入作業系統的次數、作業系統所存取之IP位址的數量以及作業系統所使用之通訊埠的數量等。
以表5的資料為例,異常偵測模組350可根據公式(5)計算出第一異常時段(例如:7:00~8:00)中對應第二操作特徵(操作特徵欄位中為「1」者)的第一異常程度y1 = 7.7388。 表5
Figure 107135324-A0304-0005
 其中操作特徵欄位中的「1」代表登入作業系統的次數,且操作特徵欄位中的「2」代表作業系統所存取之IP位址的數量。
接著,在步驟S343,異常偵測模組350可基於對應於第一異常時段的歷史使用量、歷史變化程度以及當前使用量計算對應於第二操作特徵的第二異常程度,其中第二操作特徵可關聯於登入作業系統的次數、作業系統所存取之IP位址的數量以及作業系統所使用之通訊埠的數量等。
以表5的資料為例,異常偵測模組350可根據公式(5)計算出第一異常時段(例如:7:00~8:00)中對應第二操作特徵(操作特徵欄位中為「2」者)的第二異常程度y2 = 3.8。
在計算出關聯於第一操作特徵的第一異常程度y1 以及關聯於第二操作特徵的第二異常程度y2 後,在步驟345,異常偵測模組350可基於第一異常程度y1 及第二異常程度y2 計算異常指標。具體來說,異常偵測模組350可根據公式(9)計算出異常指標。異常指標 = max(y1 , y2 )       … 公式( 9 基此,由公式(9)所計算之異常指標可同時考慮不同的操作特徵(例如:表4中,對應資料編號1的「登入作業系統的次數」,以及對應資料編號2的「作業系統所存取之IP位址的數量」)對應的異常程度。
綜上所述,本發明可根據一使用者過去操作作業系統時的行為資訊計算出該名使用者在每一時段之合理的使用量安全範圍,並可基於使用量安全範圍觀察該名使用者在未來的一時段中的行為是否存在異常。如此,本發明不需因所觀察時段改變而重新計算對應所觀察時段之使用量安全範圍。再者,使用量安全範圍可基於例假日動態地調整,故本發明的不會因例假日之原因所造成的使用者行為改變而發生誤判。另一方面,本發明可基於異常程度的不同而為多個異常時段進行排行,令使用者快速地了解作業系統發生異常的高峰期或作業系統在不同時間間隔的異常程度,從而幫助使用者判斷出發生異常的可能原因。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
10:異常偵測的裝置100:處理單元20:異常偵測的方法300:儲存單元310:資料庫330:側錄模組350:異常偵測模組S210、S220、S230、S240、S250、S241、S243、S245、S341、S343、S345:步驟
圖1是依照本發明的實施例繪示一種異常偵測的裝置的示意圖。 圖2是依照本發明的實施例繪示一種異常偵測的方法的流程圖。 圖3是依照本發明的實施例進一步地繪示圖2之步驟的流程圖。 圖4是依照本發明的另一實施例進一步地繪示圖2之步驟的流程圖。
20:異常偵測的方法
S210、S220、S230、S240、S250:步驟

Claims (18)

  1. 一種異常偵測的方法,適用於偵測作業系統的異常操作,所述方法包括: 根據歷史資料流計算所述作業系統在一或多個時段的使用量安全範圍; 根據當前資料流及所述使用量安全範圍計算對應所述一或多個時段的異常比率; 根據閾值及所述異常比率從所述一或多個時段中挑選出一或多個異常時段; 根據所述歷史資料流及所述當前資料流計算所述一或多個異常時段的每一者的異常指標;以及 根據所述異常指標排行所述一或多個異常時段。
  2. 如申請專利範圍第1項所述的方法,其中所述歷史資料流包括所述作業系統在所述一或多個時段的歷史使用量及歷史變化程度,且所述當前資料流包括所述作業系統在所述一或多個時段的當前使用量。
  3. 如申請專利範圍第2項所述的方法,其中根據歷史資料流計算所述作業系統在一或多個時段的使用量安全範圍的步驟包括: 根據所述歷史使用量、所述歷史變化程度以及所述一或多個時段的容忍係數計算所述使用量安全範圍。
  4. 如申請專利範圍第3項所述的方法,更包括:基於所述一或多個時段為例假日而調整所述一或多個時段的所述容忍係數。
  5. 如申請專利範圍第2項所述的方法,其中根據當前資料流及所述使用量安全範圍計算對應所述一或多個時段的異常比率的步驟包括: 基於對應一或多個操作特徵之所述當前使用量在所述使用量安全範圍內的比例計算所述異常比率。
  6. 如申請專利範圍第2項所述的方法,其中根據所述歷史資料流及所述當前資料流計算所述一或多個異常時段的每一者的異常指標的步驟包括: 基於對應於第一異常時段的所述歷史使用量、所述歷史變化程度以及所述當前使用量計算對應於第一時間間隔的第一異常程度; 基於對應於第二異常時段的所述歷史使用量、所述歷史變化程度以及所述當前使用量計算對應於所述第一時間間隔的第二異常程度;以及 基於所述第一異常程度及所述第二異常程度計算所述異常指標,其中所述第一異常時段及所述第二異常時段包含於所述一或多個異常時段中。
  7. 如申請專利範圍第2項所述的方法,其中根據所述歷史資料流及所述當前資料流計算所述一或多個異常時段的每一者的異常指標的步驟包括: 基於對應於第一異常時段的所述歷史使用量、所述歷史變化程度以及所述當前使用量計算對應於第一操作特徵的第一異常程度; 基於對應於所述第一異常時段的所述歷史使用量、所述歷史變化程度以及所述當前使用量計算對應於第二操作特徵的第二異常程度;以及 基於所述第一異常程度及所述第二異常程度計算所述異常指標。
  8. 如申請專利範圍第2項所述的方法,更包括: 以平均數及中位數的其中之一來代表所述當前使用量及所述歷史使用量;以及 以標準差及變異數的其中之一來代表所述歷史變化程度。
  9. 如申請專利範圍第2項所述的方法,其中所述歷史使用量及所述當前使用量對應於一或多個操作特徵,且所述一或多個操作特徵關聯於下列的至少其中之一:登入作業系統的次數、作業系統所存取之網際網路協定位址的數量以及作業系統所使用之通訊埠的數量。
  10. 一種異常偵測的裝置,適用於偵測作業系統的異常操作,所述裝置包括: 儲存單元,儲存多個模組;以及 處理單元,耦接所述儲存單元,且存取並執行所述儲存單元所儲存的所述多個模組,所述多個模組包括: 資料庫,記錄歷史資料流; 側錄模組,側錄當前資料流;以及 異常偵測模組,經配置以執行: 根據所述歷史資料流計算所述作業系統在一或多個時段的使用量安全範圍; 根據所述當前資料流及所述使用量安全範圍計算對應所述一或多個時段的異常比率; 根據閾值及所述異常比率從所述一或多個時段中挑選出一或多個異常時段; 根據所述歷史資料流及所述當前資料流計算所述一或多個異常時段的每一者的異常指標;以及 根據所述異常指標排行所述一或多個異常時段。
  11. 如申請專利範圍第10項所述的裝置,其中所述歷史資料流包括所述作業系統在所述一或多個時段的歷史使用量及歷史變化程度,且所述當前資料流包括所述作業系統在所述一或多個時段的當前使用量。
  12. 如申請專利範圍第11項所述的裝置,其中異常偵測模組更經配置以執行: 根據所述歷史使用量、所述歷史變化程度以及所述一或多個時段的容忍係數計算所述使用量安全範圍。
  13. 如申請專利範圍第12項所述的裝置,其中異常偵測模組更經配置以執行: 基於所述一或多個時段為例假日而調整所述一或多個時段的所述容忍係數。
  14. 如申請專利範圍第11項所述的裝置,其中異常偵測模組更經配置以執行: 基於對應一或多個操作特徵之所述當前使用量在所述使用量安全範圍內的比例計算所述異常比率。
  15. 如申請專利範圍第11項所述的裝置,其中異常偵測模組更經配置以執行: 基於對應於第一異常時段的所述歷史使用量、所述歷史變化程度以及所述當前使用量計算對應於第一時間間隔的第一異常程度; 基於對應於第二異常時段的所述歷史使用量、所述歷史變化程度以及所述當前使用量計算對應於所述第一時間間隔的第二異常程度;以及 基於所述第一異常程度及所述第二異常程度計算所述異常指標,其中所述第一異常時段及所述第二異常時段包含於所述一或多個異常時段中。
  16. 如申請專利範圍第11項所述的裝置,其中異常偵測模組更經配置以執行: 基於對應於第一異常時段的所述歷史使用量、所述歷史變化程度以及所述當前使用量計算對應於第一操作特徵的第一異常程度; 基於對應於所述第一異常時段的所述歷史使用量、所述歷史變化程度以及所述當前使用量計算對應於第二操作特徵的第二異常程度;以及 基於所述第一異常程度及所述第二異常程度計算所述異常指標。
  17. 如申請專利範圍第11項所述的裝置,其中異常偵測模組更經配置以執行: 以平均數及中位數的其中之一來代表所述當前使用量及所述歷史使用量;以及 以標準差及變異數的其中之一來代表所述歷史變化程度。
  18. 如申請專利範圍第11項所述的裝置,其中所述歷史使用量及所述當前使用量對應於一或多個操作特徵,且所述一或多個操作特徵關聯於下列的至少其中之一:登入作業系統的次數、作業系統所存取之網際網路協定位址的數量以及作業系統所使用之通訊埠的數量。
TW107135324A 2018-10-08 2018-10-08 偵測作業系統的異常操作的異常偵測的方法及裝置 TWI727213B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW107135324A TWI727213B (zh) 2018-10-08 2018-10-08 偵測作業系統的異常操作的異常偵測的方法及裝置
US16/281,101 US11341018B2 (en) 2018-10-08 2019-02-21 Method and device for detecting abnormal operation of operating system
EP19162547.4A EP3637293B1 (en) 2018-10-08 2019-03-13 Method and device for detecting abnormal operation of operating system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW107135324A TWI727213B (zh) 2018-10-08 2018-10-08 偵測作業系統的異常操作的異常偵測的方法及裝置

Publications (2)

Publication Number Publication Date
TW202014921A true TW202014921A (zh) 2020-04-16
TWI727213B TWI727213B (zh) 2021-05-11

Family

ID=65812050

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107135324A TWI727213B (zh) 2018-10-08 2018-10-08 偵測作業系統的異常操作的異常偵測的方法及裝置

Country Status (3)

Country Link
US (1) US11341018B2 (zh)
EP (1) EP3637293B1 (zh)
TW (1) TWI727213B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI779365B (zh) * 2020-09-30 2022-10-01 中強光電股份有限公司 異常偵測系統以及異常偵測方法

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111813587B (zh) * 2020-05-28 2024-04-26 国网山东省电力公司 一种软件接口评估及故障预警方法及系统
CN111726341B (zh) * 2020-06-02 2022-10-14 五八有限公司 一种数据检测方法、装置、电子设备及存储介质
CN112153044B (zh) * 2020-09-23 2021-11-12 腾讯科技(深圳)有限公司 流量数据的检测方法及相关设备
CN113516529B (zh) * 2021-04-26 2024-03-26 新东方教育科技集团有限公司 异常订单确定方法、装置、存储介质及电子设备
CN116186017B (zh) * 2023-04-25 2023-07-28 蓝色火焰科技成都有限公司 一种大数据协同监管方法及平台
CN116886430B (zh) * 2023-08-17 2024-02-23 奇墨科技(广州)有限公司 检测指标异常的方法、装置及存储介质

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5835786A (en) * 1996-05-24 1998-11-10 Micronics Computers Inc. Computer apparatus with monitoring circuit for displaying fan working condition
US6040953A (en) * 1997-03-25 2000-03-21 International Business Machines Corporation Adaptive data recovery method and means tuned to thermal asperities in a cyclic, multitracked magnetic storage subsystem
US7185367B2 (en) * 1999-05-11 2007-02-27 Cylant, Inc. Method and system for establishing normal software system behavior and departures from normal behavior
US6681331B1 (en) * 1999-05-11 2004-01-20 Cylant, Inc. Dynamic software system intrusion detection
US7096499B2 (en) * 1999-05-11 2006-08-22 Cylant, Inc. Method and system for simplifying the structure of dynamic execution profiles
US7278048B2 (en) * 2003-07-16 2007-10-02 Lucent Technologies Inc. Method, system and computer program product for improving system reliability
US20060064438A1 (en) * 2004-09-17 2006-03-23 International Business Machines Corporation Methods and apparartus for monitoring abnormalities in data stream
TW200825771A (en) 2006-12-15 2008-06-16 Inventec Corp A system and method for establishing an operation habit and interest model of a user
US8572736B2 (en) 2008-11-12 2013-10-29 YeeJang James Lin System and method for detecting behavior anomaly in information access
US8707194B1 (en) * 2009-11-20 2014-04-22 Amazon Technologies, Inc. System and method for decentralized performance monitoring of host systems
US20180349583A1 (en) * 2010-11-29 2018-12-06 Biocatch Ltd. System, Device, and Method of Determining Personal Characteristics of a User
US9124640B2 (en) * 2011-08-09 2015-09-01 CloudPassage, Inc. Systems and methods for implementing computer security
KR101197086B1 (ko) * 2012-04-27 2012-11-07 주식회사 아진엑스텍 스마트 모니터링 장치
US8973133B1 (en) * 2012-12-19 2015-03-03 Symantec Corporation Systems and methods for detecting abnormal behavior of networked devices
US9471411B2 (en) * 2013-01-23 2016-10-18 International Business Machines Corporation Monitoring and capturing early diagnostic data
US9626277B2 (en) * 2015-04-01 2017-04-18 Microsoft Technology Licensing, Llc Anomaly analysis for software distribution
WO2016183347A1 (en) * 2015-05-12 2016-11-17 CloudPassage, Inc. Systems and methods for implementing intrusion prevention
EP3531321B1 (en) * 2015-09-15 2020-08-19 Gatekeeper Ltd. System and method for securely connecting to a peripheral device
TWI615730B (zh) 2015-11-20 2018-02-21 財團法人資訊工業策進會 以應用層日誌分析為基礎的資安管理系統及其方法
US10761828B2 (en) * 2017-01-06 2020-09-01 Microsoft Technology Licensing, Llc Deviation finder
US10536482B2 (en) * 2017-03-26 2020-01-14 Microsoft Technology Licensing, Llc Computer security attack detection using distribution departure
US10318729B2 (en) * 2017-07-26 2019-06-11 Forcepoint, LLC Privacy protection during insider threat monitoring

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI779365B (zh) * 2020-09-30 2022-10-01 中強光電股份有限公司 異常偵測系統以及異常偵測方法

Also Published As

Publication number Publication date
US20200110689A1 (en) 2020-04-09
EP3637293B1 (en) 2021-05-26
EP3637293A1 (en) 2020-04-15
TWI727213B (zh) 2021-05-11
US11341018B2 (en) 2022-05-24

Similar Documents

Publication Publication Date Title
TWI727213B (zh) 偵測作業系統的異常操作的異常偵測的方法及裝置
US20200358826A1 (en) Methods and apparatus to assess compliance of a virtual computing environment
US10878102B2 (en) Risk scores for entities
CN109815332B (zh) 损失函数优化方法、装置、计算机设备及存储介质
EP2811441A1 (en) System and method for detecting spam using clustering and rating of e-mails
US8966036B1 (en) Method and system for website user account management based on event transition matrixes
US8434126B1 (en) Methods and systems for aiding parental control policy decisions
US20160344762A1 (en) Method and system for aggregating and ranking of security event-based data
WO2016206503A1 (zh) 应用推荐方法、服务器及计算机可读介质
US9077614B2 (en) Prioritizing network faults
KR20180097587A (ko) 정보 권고 방법 및 장치
US20160253425A1 (en) Bloom filter based log data analysis
RU2017118317A (ru) Система и способ автоматического расчета кибер-риска в бизнес-критических приложениях
JP2019501547A (ja) DoS/DDoS攻撃を検出する方法、装置、サーバ及び記憶媒体
US10346411B1 (en) Automatic target audience suggestions when sharing in a social network
US10560338B2 (en) Event-based data path detection
US20140032872A1 (en) Storage recommendations for datacenters
US8930773B2 (en) Determining root cause
CN112425122A (zh) 检测警报的通信网络洞察力
CN111124844B (zh) 检测作业系统的异常操作的异常检测的方法及装置
US20160261541A1 (en) Prioritizing log messages
JP2017097819A (ja) アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法
JP2019075131A5 (zh)
US20240005034A1 (en) Sensitive information disclosure prediction system for social media users and method thereof
KR101568800B1 (ko) 실시간 이슈 검색어 선별 방법 및 시스템