TW202112110A - 攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體 - Google Patents

攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體 Download PDF

Info

Publication number
TW202112110A
TW202112110A TW108132856A TW108132856A TW202112110A TW 202112110 A TW202112110 A TW 202112110A TW 108132856 A TW108132856 A TW 108132856A TW 108132856 A TW108132856 A TW 108132856A TW 202112110 A TW202112110 A TW 202112110A
Authority
TW
Taiwan
Prior art keywords
host
file
risk
abnormal
attack path
Prior art date
Application number
TW108132856A
Other languages
English (en)
Other versions
TWI717831B (zh
Inventor
鍾孟軒
李�杰
張孝賢
Original Assignee
財團法人資訊工業策進會
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人資訊工業策進會 filed Critical 財團法人資訊工業策進會
Priority to TW108132856A priority Critical patent/TWI717831B/zh
Priority to JP2019178427A priority patent/JP6859412B2/ja
Priority to US16/589,104 priority patent/US11689558B2/en
Application granted granted Critical
Publication of TWI717831B publication Critical patent/TWI717831B/zh
Publication of TW202112110A publication Critical patent/TW202112110A/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computational Mathematics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本揭示內容係關於一種攻擊路徑偵測方法,包含:根據主機日誌集建立複數台主機之間的連線關係以產生主機關聯圖;於主機關聯圖上標記發生異常狀況的至少一主機;計算每一主機對應的風險值;於未發生異常狀況的主機中,判斷對應的風險值是否大於第一門檻值,並將風險值大於第一門檻值的主機作為高風險主機;以及根據主機關聯圖中的主機之間的連線關係,從高風險主機與發生異常狀況的至少一主機之間尋找至少一主機攻擊路徑。

Description

攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體
本揭示內容關於一種資訊安全方法及系統,且特別是有關於一種攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體。
進階持續性威脅(Advanced persistent threat,APT)是指一種隱匿而持久的電腦入侵過程,APT攻擊的發起方通常具備持久而有效地針對特定主體的能力及意圖,當駭客進入到企業內部網路並取得足夠權限時,即可進行橫向擴散,持續攻擊企業的內網並竊取資料。然而,一般的防毒軟體無法偵測到橫向擴散時的攻擊路徑,因此也難以有效的追蹤橫向擴散的感染範圍。據此,如何自動偵測橫向擴散時的攻擊路徑以減少管理人員的追蹤時間是本領域待解決的問題。
本揭示內容之第一態樣是在提供一種攻擊路徑偵測方法。攻擊路徑偵測方法包含下列步驟:根據主機日誌集建立複數台主機之間的連線關係以產生主機關聯圖,其中主機日誌集包含每一主機對應的日誌;於主機關聯圖上標記發生異常狀況的至少一主機,並計算每一主機對應的風險值;於未發生異常狀況的主機中,判斷對應的風險值是否大於第一門檻值,並將風險值大於第一門檻值的主機作為高風險主機;以及根據主機關聯圖中的主機之間的連線關係,從高風險主機與發生異常狀況的至少一主機之間尋找至少一主機攻擊路徑。
本揭示內容之第二態樣是在提供一種攻擊路徑偵測系統,其包含儲存裝置以及處理器。處理器與儲存裝置電性連接。儲存裝置用以儲存主機日誌集以及訓練流量資料集合。處理器包含:主機關聯建立元件、異常標記元件以及主機計算元件。主機關聯建立元件用以根據主機日誌集建立複數台主機之間的連線關係以產生主機關聯圖,其中主機日誌集包含每一主機對應的日誌。異常標記元件與主機關聯建立元件電性連接,用以於主機關聯圖上標記發生異常狀況的至少一主機。主機計算元件與異常標記元件電性連接,用以計算每一主機對應的風險值,於未發生異常狀況的主機中,判斷對應的風險值是否大於第一門檻值,並將風險值大於第一門檻值的主機作為高風險主機;以及主機計算元件根據主機關聯圖中的主機之間的連線關係,從高風險主機與發 生異常狀況的至少一主機之間尋找至少一攻擊路徑。
本案之第三態樣是在提供一種非暫態電腦可讀取媒體包含至少一指令程序,由處理器執行至少一指令程序以實行攻擊路徑偵測方法,其包含以下步驟:根據主機日誌集建立複數台主機之間的連線關係以產生主機關聯圖;其中主機日誌集包含每一主機對應的日誌;於主機關聯圖上標記發生異常狀況的至少一主機,並計算每一主機對應的風險值;於未發生異常狀況的主機中,判斷對應的風險值是否大於第一門檻值,並將風險值大於第一門檻值的主機作為高風險主機;以及根據主機關聯圖中的主機之間的連線關係,從高風險主機與發生異常狀況的至少一主機之間尋找至少一攻擊路徑。
本揭露之攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體,其主要係改進以往僅利用主機內部的日誌進行異常偵測的問題,利用分析主機間的連線關係以及偵測異常點以找出可疑的攻擊路徑,接著將可疑的攻擊路徑提供給管理人員,達到降低管理人員的追蹤時間的效果;再者,提早偵測APT攻擊的入口點,也可達到降低APT攻擊事件發生的機率。
100‧‧‧攻擊路徑偵測系統
110‧‧‧儲存裝置
130‧‧‧處理器
131‧‧‧主機關聯建立元件
132‧‧‧異常標記元件
133‧‧‧主機計算元件
1321‧‧‧檔案關聯建立元件
1322‧‧‧惡意檔案判斷元件
1323‧‧‧檔案計算元件
M1、M2、M3‧‧‧標記
A、B、C、D、E、F、G、H、I、J、K、L‧‧‧主機
300‧‧‧攻擊路徑偵測方法
S310~S350、S321~S327‧‧‧步驟
為讓本發明之上述和其他目的、特徵、優點與實施例能更明顯易懂,所附圖式之說明如下:第1圖係根據本案之一些實施例所繪示之攻擊路徑偵測 系統的示意圖;第2圖係根據本案之一些實施例所繪示之異常標記元件的示意圖;第3圖係根據本案之一些實施例所繪示之攻擊路徑偵測方法的流程圖;第4圖係根據本案之一些實施例所繪示之主機關聯圖的示意圖;第5圖係根據本案之一些實施例所繪示之步驟S320的細部流程圖;第6圖係根據本案之一些實施例所繪示之主機關聯圖的示意圖;第7圖係根據本案之一些實施例所繪示之的主機關聯圖的示意圖;第8A圖係根據本案之一些實施例所繪示之具有風險值的主機關聯圖的示意圖;第8B圖係第8A圖之具有高風險主機與發生異常狀況的主機之主機關聯圖的示意圖;第9A圖係根據本案之一些實施例所繪示之主機關聯圖的示意圖;第9B圖係第9A圖之具有高風險主機與發生異常狀況的主機之主機關聯圖的示意圖;以及第10圖係根據本案之一些實施例所繪示之偵測惡意檔案攻擊路徑的流程圖。
以下將以圖式揭露本案之複數個實施方式,為明確說明起見,許多實務上的細節將在以下敘述中一併說明。然而,應瞭解到,這些實務上的細節不應用以限制本案。也就是說,在本揭示內容部分實施方式中,這些實務上的細節是非必要的。此外,為簡化圖式起見,一些習知慣用的結構與元件在圖式中將以簡單示意的方式繪示之。
於本文中,當一元件被稱為「連接」或「耦接」時,可指「電性連接」或「電性耦接」。「連接」或「耦接」亦可用以表示二或多個元件間相互搭配操作或互動。此外,雖然本文中使用「第一」、「第二」、…等用語描述不同元件,該用語僅是用以區別以相同技術用語描述的元件或操作。除非上下文清楚指明,否則該用語並非特別指稱或暗示次序或順位,亦非用以限定本發明。
請參閱第1圖。第1圖係根據本案之一些實施例所繪示之攻擊路徑偵測系統100的示意圖。如第1圖所繪示,攻擊路徑偵測系統100包含儲存裝置110以及處理器130。儲存裝置110與處理器130電性連接。儲存裝置110用以儲存主機日誌集。處理器130包含主機關聯建立元件131、異常標記元件132以及主機計算元件133。其中,異常標記元件132、主機關聯建立元件131以及主機計算元件133電性連接。
於本發明各實施例中,處理器130可以實施為積體電路如微控制單元(microcontroller)、微處理器 (microprocessor)、數位訊號處理器(digital signal processor)、特殊應用積體電路(application specific integrated circuit,ASIC)、邏輯電路或其他類似元件或上述元件的組合。儲存裝置110可以實施為記憶體、硬碟、隨身碟、記憶卡等。
請參閱第2圖。第2圖係根據本案之一些實施例所繪示之異常標記元件的示意圖。異常標記元件132包含檔案關聯建立元件1321、惡意檔案判斷元件1322以及檔案計算元件1323。惡意檔案判斷元件1322、檔案關聯建立元件1321以及檔案計算元件1323電性連接。
請參閱第3圖,其係根據本案之一些實施例所繪示之攻擊路徑偵測方法的流程圖。攻擊路徑偵測方法300可以應用於第1圖的攻擊路徑偵測系統100上,處理器130用以根據下列攻擊路徑偵測方法300所描述之步驟,判斷多台主機中是否有異常情況發生,並根據多台主機間的連線關係偵測可疑的攻擊路徑。
請同時參考第1圖及第3圖,首先,於步驟S310中:處理器130之主機關聯建立元件131根據主機日誌集建立複數台主機之間的連線關係以產生主機關聯圖。主機日誌集包含每一主機對應的日誌。於一實施例中,主機關聯建立元件131可以利用監控工具(例如,Procmon、Sysmon等監控程式)蒐集每一台主機的日誌,接著之主機關聯建立元件131針對每一台主機對應的日誌擷取需要的資料欄位(例如,事件發生時間、程序ID、程序路徑、來源地IP位址、 目的地IP位址、目的地程序等),以建立程序和檔案或是程序和程序之間的連線關係。舉例而言,如果A電腦透過遠端程式連線至D電腦,可以理解為A電腦連線至D電腦。
承上述,經由分析主機間程序的連線關係可以繪出主機關聯圖。請參閱第4圖,第4圖係根據本案之一些實施例所繪示之主機關聯圖的示意圖。如第4圖所示,主機關聯圖400中包含主機A~L,主機關聯圖400可以直接看出企業內網中主機A~L之間的連線關係。值得注意的是,主機A~L之間的連線關係除了包含有目的端主機及來源端主機的關係之外,更包含有發生連線的時間戳記,因此可以經由時間戳記得知主機A~L之間連線的先後關係。舉例來說,主機D為主機A與主機B的目的端主機,主機D為主機G與主機H的來源端主機,主機E為主機H的目的端主機。
再請回到第3圖,於步驟S320中:處理器130之異常標記元件132於主機關聯圖上標記發生異常狀況的至少一主機。於一實施例中,步驟S320更包含步驟S321~S324,請一併參考第5圖,其係根據本案之一些實施例所繪示之步驟S320的細部流程圖。於步驟S321中,處理器130之異常標記元件132利用一異常連線偵測模型判斷每一主機的流量是否發生異常連線,並將發生異常連線的主機作為發生異常狀況的至少一主機。
承上述,執行步驟S321之前,需先建立異常連線偵測模型。更進一步來說,異常標記元件132輸入包含複數台訓練主機的複數個訓練流量資料的訓練流量資料 集,每一訓練流量資料分別對應至一標記結果,而每個標記結果係代表每一個訓練主機的流量是否發生異常。接著,異常標記元件132將訓練流量資料以及對應的標記結果作為訓練資料進行訓練。於一實施例中,訓練方式係採用支持向量機(Support vector machine,SVM)、卷積神經網路(Convolutional neural network,CNN)或K-最近鄰居法(K-Nearest neighbor algorithm,KNN)等方式來訓練分類器(Classifier)。訓練好的分類器即為異常連線偵測模型,且可以用來判斷每一台主機的流量是否發生異常。值得注意的是,訓練流量資料主要是命令與控制通道(Command and control channel,C&C channel)的流量,尤其是針對於C&C通道中傳輸的封包的負載(payload)進行異常連線判斷。
在其他實施例中,異常連線偵測模型也可以經由外部的處理器訓練完畢後,再儲存至儲存裝置110中,本揭示不以此為限。當需要執行步驟S321時,異常標記元件132再從儲存裝置110中取得異常連線偵測模型來判斷每一主機的流量是否發生異常連線。
承上述,當異常標記元件132判斷出發生異常連線的主機後,將發生異常連線的主機作為發生異常狀況的主機,以於主機關聯圖上標記發生異常狀況的至少一主機。請參閱第6圖,其係根據本案之一些實施例所繪示之主機關聯圖的示意圖。接續第4圖所示的實施例,異常標記元件132利用異常連線偵測模型判斷主機A~L是否發生異常 連線的情況,如果有主機發生異常連線的情況,異常標記元件132將針對異常連線的主機於主機關聯圖上標記一連線異常標記。舉例來說,如第6圖所示,當異常標記元件132判斷主機D發生異常連線的情況時,將於主機D的位置標記連線異常標記M1,意即主機D為發生異常連線的主機,且異常標記元件132將發生異常連線的主機D作為發生異常狀況的主機。
再請回到第5圖並同時參考第2圖,於步驟S322中,異常標記元件132之檔案關聯建立元件1321根據主機日誌集建立每一主機之檔案關聯圖。而每一個檔案關聯圖將包含對應主機中多個檔案之間的關係,且每一個檔案對應至一雜湊值(Hash Value)。在本實施例中,主機日誌集包含每一台主機內程序與檔案或是檔案與檔案之間的關係,以及每一檔案對應到一雜湊值。舉例而言,使用者可以透過檔案總管(Wondows Explorer)開啟文字檔案(text file),意即程序連線至檔案。在另一情況中,使用者也可以透過檔案總管創建瀏覽器程序(Web browser),意即程序連線至程序。因此,可以根據主機日誌記錄的內容,產生檔案關聯圖。而對於每一個檔案對應的雜湊值的產生,處理器130可利用雜湊演算法將每一個檔案轉換成對應的雜湊值,且亦可以其他方式產生雜湊值,本揭示不以此為限。
接下來於步驟S323中:異常標記元件132之惡意檔案判斷元件1322分別透過每一雜湊值判斷對應的檔案中是否具有惡意資料,將不具有惡意資料的檔案標記為 正常檔案,且將具有惡意資料的檔案標記為惡意檔案,且在步驟S324中,異常標記元件132之惡意檔案判斷元件1322將具有惡意檔案的主機作為發生異常狀況的至少一主機。請參閱第7圖,其係根據本案之一些實施例所繪示之主機關聯圖的示意圖。接續第6圖所示的實施例,惡意檔案判斷元件1322利用雜湊值判斷每一主機(主機A~L)內部是否具有惡意資料的檔案,如果有主機內部的檔案具有惡意資料,惡意檔案判斷元件1322將針對具有惡意檔案的主機於主機關聯圖上標記一異常事件標記。舉例來說,如第7圖所示,當惡意檔案判斷元件1322判斷主機L具有惡意檔案時,將於主機L的位置標記異常事件標記M2,意即主機L具有惡意檔案,且惡意檔案判斷元件1322將具有惡意檔案的主機L作為發生異常狀況的主機。
值得注意的是,步驟S321的操作與步驟S322~S324的操作之間並沒有先後順序,可以先執行步驟S321的操作後再執行步驟S322~S324的操作,或是先執行步驟S322~S324的操作再執行步驟S321的操作,本揭示不以此為限。
再請回到第3圖,經由上述的操作(即執行完步驟S320)後已經在主機關聯圖上標記發生異常狀況的主機(主機D及主機L)。接著,於步驟S330中,主機計算元件133將計算每一主機對應的風險值。更進一步來說,主機計算元件133將發生異常狀況的主機對應的風險值設定為異常風險值。請同時參考第8A圖,舉例來說,主機計算元件 133將發生異常連線的主機D對應的風險值以及具有惡意檔案的主機L對應的風險值設定為異常風險值。在本實施例中,異常風險值可以是1,意即主機計算元件133判斷發生異常狀況的主機遭受到感染的機率為1。
此外,主機計算元件133將進一步根據主機關聯圖中每個主機之間的連線關係來判斷發生異常連線的主機是否具有一來源端主機,若具有來源端主機,主機計算元件133將來源端主機作為一高風險主機。而高風險主機代表此主機遭受到感染的機率很大。請同時參考第8A圖,舉例來說,主機計算元件133將主機D及主機L對應的風險值設定為1後,進一步判斷發生異常連線的主機D具有來源端主機,且分別為主機A與主機B。接著,主機計算元件133將主機A與主機B作為高風險主機。在本實施例中,主機計算元件133將主機A與主機B的風險值設定為1。
而對於未發生異常狀況的主機來說,主機計算元件133將依序選擇未發生異常狀況的主機其中之一作為一被選擇主機,接著再根據被選擇主機之一第一風險指數以及一第二風險指數來計算對應的風險值。在本實施例中,第一風險指數代表被選擇主機受到其他主機感染的機率,而第二風險指數則代表被選擇主機自身感染的機率。請同時參考第8A圖,舉例來說,主機計算元件133利用貝式網路(Bayesian Network)分別計算未發生異常狀況的主機C、E~K對應的風險值。第一風險指數代表貝式網路中的接觸感染率(Contact infection rate),第二風險指數代表貝式網 路中的本質感染率(Instrinsic infection rate)。於此實施例中,接觸感染率設定為0.9,本質感染率設定為0.0001,主機G的風險值是根據主機D的風險值推知,主機G的條件機率如《表一》所示,因此主機G遭受到感染的機率為0.9。
Figure 108132856-A0101-12-0012-1
接續前述實施例,主機H的風險值是根據主機D及主機E的風險值推知,主機H的條件機率如《表二》所示,因此主機H遭受到感染的機率為0.85。在此情況中,由於主機E並未檢測出有異常情況並且主機E也並未與主機D連線,並沒有被主機D感染的條件,因此將主機E的風險值假設為0。
Figure 108132856-A0101-12-0012-2
接續前述實施例,主機F的風險值是根據主機C的風險值推知,主機F的條件機率如《表三》所示,因此主機F遭受到感染的機率為0.0001。在此情況中,由於主機C並未檢測出有異常情況並且主機C也並未與主機D連線,並沒有被主機D感染的條件,因此將主機C的風險值假 設為0。
Figure 108132856-A0101-12-0013-3
接續前述實施例,主機J的風險值是根據主機F、主機G以及主機H的風險值推知,主機J的條件機率如《表四》所示,因此主機J遭受到感染的機率為0.846。而主機I與K的風險值算法與前述類似,在此不再贅述。據此,主機I的風險值為0.00019,主機K的風險值為0.719。如第8A圖所示,其分別顯示主機A~L對應的風險值。
Figure 108132856-A0101-12-0013-5
再請回到第3圖,於計算每一主機對應的風險值(步驟S330)後,主機計算元件133接著將於未發生異常狀況的主機中,判斷對應的風險值是否大於第一門檻值,並將風險值大於第一門檻值的主機作為高風險主機(步驟S340)。於此實施例中,假設第一門檻值為0.75,主機計算元件133將於未發生異常狀況的主機C、E~K中,判斷出主機G~H、J的風險值大於第一門檻值,並將主機G、H、J作 為高風險主機。
承上述,請參閱第8B圖及第3圖,第8B圖係第8A圖之具有高風險主機與發生異常狀況的主機之主機關聯圖的示意圖。高風險主機為主機A、B、G、H、J,發生異常狀況的主機為主機D、L。在步驟S340後,主機計算元件133將進一步根據主機關聯圖中的主機之間的連線關係,從高風險主機與發生異常狀況的主機之間尋找至少一主機攻擊路徑(步驟S350)。於此實施例中,可以利用深度優先搜尋演算法(Depth First Search,DFS)找出主機攻擊路徑,然而,本揭示不限於此。
因此,主機計算元件133將根據第8B圖中的主機A、B、D、G、H、J、L之間的連線關係,找到四條主機攻擊路徑。第一條主機攻擊路徑為主機A→主機D→主機G→主機J→主機L。第二條主機攻擊路徑為主機A→主機D→主機H→主機J→主機L。第三條主機攻擊路徑為主機B→主機D→主機G→主機J→主機L。第四條主機攻擊路徑為主機B→主機D→主機H→主機J→主機L。
於另一實施例中,請參考第9A圖,其係根據本案之一些實施例所繪示之主機關聯圖的示意圖。於此情況中,處理器130僅判斷出主機L為發生連線異常的主機,且於其他主機之中並未發現具有惡意檔案。處理器130會將主機L作為發生異常狀況的主機,並於主機L的位置標記異常事件標記M3。接下來,基於上述主機計算元件133尋找發生異常連線的主機是否具有來源端主機的方法,主機計算元 件133將判斷出主機L的來源端主機為主機J(作為高風險主機),並將主機J的風險值設定為1。而基於上述主機計算元件133從未發生異常狀況的主機A~I、K中尋找高風險主機的方法,主機計算元件133將計算出主機K的風險值為0.9,且其他主機A~I的風險值為0,並進一步判斷出高風險主機為主機K。如第9A圖所示,其分別顯示主機A~L對應的風險值。
再請參考第9B圖,其係第9A圖之具有高風險主機與發生異常狀況的主機之主機關聯圖的示意圖。主機計算元件133將根據第9B圖中的主機J、K、L之間的連線關係,找到二條主機攻擊路徑。第一條主機攻擊路徑為主機J→主機K。第二條攻擊路徑為主機J→主機L。
而處理器130除了可以偵測出多台主機之間可疑的攻擊路徑外,也可以偵測出每一台主機中惡意檔案的攻擊路徑。請參考第10圖,其係根據本案之一些實施例所繪示之偵測惡意檔案攻擊路徑的流程圖。如第10圖所示,接續前述步驟S324的操作進一步執行步驟S325:異常標記元件132之檔案計算元件1323將計算每一正常檔案的受感染機率值。於一實施例中,檔案計算元件1323利用貝式網路(Bayesian Network)計算每一正常檔案的受感染機率值。而有關檔案計算元件1323計算正常檔案的受感染機率值的運作方式與前述主機計算元件133計算未發生異常狀況的主機的風險值的運作方式類似,故在此不再贅述。
接著,於步驟S326中,檔案計算元件1323 於每一個主機的檔案關聯圖中,判斷每一正常檔案的受感染機率值是否大於一第二門檻值。於此實施例中,第二門檻值可以設定為0.8,且此步驟的操作方式類似於步驟S340,故在此不再贅述。
接著,於步驟S327中,檔案計算元件1323於每一個主機的檔案關聯圖中,由受感染機率值大於第二機率的至少一正常檔案以及至少一惡意檔案之間尋找至少一檔案攻擊路徑。於此實施例中,可以利用深度優先搜尋演算法(Depth First Search,DFS)找出檔案攻擊路徑,然而,本揭示不限於此,此步驟的操作方式類似於步驟S350,在此不再贅述。
由上述本案之實施方式可知,本揭示內容主要是改進以往僅利用主機內部的日誌進行異常偵測的問題,利用分析主機間的連線關係以及偵測異常點以找出可疑的攻擊路徑,接著將可疑的攻擊路徑提供給管理人員,達到降低管理人員的追蹤時間的效果;再者,提早偵測APT攻擊的入口點,也可達到降低APT攻擊事件發生的機率。
另外,上述例示包含依序的示範步驟,但該些步驟不必依所顯示的順序被執行。以不同順序執行該些步驟皆在本揭示內容的考量範圍內。在本揭示內容之實施例的精神與範圍內,可視情況增加、取代、變更順序及/或省略該些步驟。
雖然本揭示內容已以實施方式揭露如上,然其並非用以限定本發明內容,任何熟習此技藝者,在不脫 離本發明內容之精神和範圍內,當可作各種更動與潤飾,因此本發明內容之保護範圍當視後附之申請專利範圍所界定者為準。
100‧‧‧攻擊路徑偵測系統
110‧‧‧儲存裝置
130‧‧‧處理器
131‧‧‧主機關聯建立元件
132‧‧‧異常標記元件
133‧‧‧主機計算元件

Claims (17)

  1. 一種攻擊路徑偵測方法,包含:根據一主機日誌集建立複數台主機之間的一連線關係以產生一主機關聯圖,其中該主機日誌集包含每一該主機對應的日誌;於該主機關聯圖上標記發生一異常狀況的至少一主機;計算每一該主機的一風險值;於未發生該異常狀況的主機中,判斷對應的該風險值是否大於一第一門檻值,並將該風險值大於該第一門檻值的主機作為一高風險主機;以及根據該主機關聯圖中的該些主機之間的該連線關係,從該高風險主機與發生該異常狀況的該至少一主機之間尋找至少一主機攻擊路徑。
  2. 如請求項1所述之攻擊路徑偵測方法,於標記發生該異常狀況的該至少一主機的步驟中,更包含:利用一異常連線偵測模型判斷每一該主機的流量是否發生一異常連線,並將發生該異常連線的主機作為發生該異常狀況的該至少一主機。
  3. 如請求項2所述之攻擊路徑偵測方法,更包含:輸入一訓練流量資料集,其中該訓練流量資料集包含 複數台訓練主機的複數個訓練流量資料,且每一該訓練流量資料分別對應至一標記結果,其中該標記結果代表每一該訓練主機的流量是否發生異常;以及訓練該些訓練流量資料以及該些訓練流量資料對應的該標記結果,以產生該異常連線偵測模型。
  4. 如請求項2所述之攻擊路徑偵測方法,於標記發生該異常狀況的該至少一主機的步驟中,更包含:根據該主機日誌集建立每一該主機之一檔案關聯圖,其中每一該檔案關聯圖包含對應該主機中複數個檔案之間的關係,且每一該檔案對應一雜湊值;分別透過每一該雜湊值判斷對應的該檔案中是否具有一惡意資料,將不具有該惡意資料的檔案標記為一正常檔案,且將具有該惡意資料的檔案標記為一惡意檔案;以及將具有該惡意檔案的主機作為發生該異常狀況的該至少一主機。
  5. 如請求項4所述之攻擊路徑偵測方法,更包含:計算每一該正常檔案的一受感染機率值;於每一該檔案關聯圖中,判斷每一該正常檔案的該受感染機率值是否大於一第二門檻值;以及於每一該檔案關聯圖中,由該受感染機率值大於該第二機率的該至少一正常檔案以及該至少一惡意檔案之間尋 找至少一檔案攻擊路徑。
  6. 如請求項1所述之攻擊路徑偵測方法,於計算每一該主機的該風險值的步驟中,更包括:依序選擇未發生該異常狀況的該些主機其中之一作為一被選擇主機;以及根據該被選擇主機之一第一風險指數以及一第二風險指數計算對應的該風險值,其中該第一風險指數代表該被選擇主機受到其他主機感染的機率,且該第二風險指數代表該被選擇主機自身感染的機率。
  7. 如請求項2所述之攻擊路徑偵測方法,於判斷發生該異常連線的主機的步驟後,更包含:根據該些主機之間的該連線關係判斷發生該異常連線的主機是否具有一來源端主機;以及若有,將該來源端主機作為該高風險主機。
  8. 如請求項4所述之攻擊路徑偵測方法,其中,該主機攻擊路徑包含發生該異常連線的主機、發生該惡意檔案的主機以及該高風險主機。
  9. 一種攻擊路徑偵測系統,包含:一儲存裝置,用以儲存一主機日誌集;一處理器,與該儲存裝置電性連接,且該處理器包含: 一主機關聯建立元件,用以根據該主機日誌集建立複數台主機之間的一連線關係以產生一主機關聯圖,其中該主機日誌集包含每一該主機對應的日誌;一異常標記元件,與該主機關聯建立元件電性連接,用以於該主機關聯圖上標記發生一異常狀況的至少一主機;以及一主機計算元件,與該異常標記元件電性連接,用以計算每一該主機對應的一風險值,於未發生該異常狀況的主機中,判斷對應的該風險值是否大於一第一門檻值,並將該風險值大於該第一門檻值的主機作為一高風險主機;其中,該主機計算元件根據該主機關聯圖中的該些主機之間的該連線關係,從該高風險主機與發生該異常狀況的該至少一主機之間尋找至少一主機攻擊路徑。
  10. 如請求項9所述之攻擊路徑偵測系統,其中,該異常標記元件利用一異常連線偵測模型判斷每一該主機的流量是否發生一異常連線,並將發生該異常連線的主機作為發生該異常狀況的該至少一主機。
  11. 如請求項10所述之攻擊路徑偵測系統,其中,該異常標記元件輸入包含複數台訓練主機的複數個訓練流量資料的一訓練流量資料集,且訓練該些訓練流量資料以 及每一該訓練流量資料對應的一標記結果,以產生該異常連線偵測模型,其中該標記結果代表每一該訓練主機的流量是否發生異常。
  12. 如請求項10所述之攻擊路徑偵測系統,其中該異常標記元件包含:一檔案關聯建立元件,用以根據該主機日誌集建立每一該主機之一檔案關聯圖,其中每一該檔案關聯圖包含對應該主機中複數個檔案之間的關係,且每一該檔案對應一雜湊值;以及一惡意檔案判斷元件,與該檔案關聯建立元件電性連接,分別透過每一該雜湊值判斷對應的該檔案中是否具有一惡意資料,將不具有該惡意資料的檔案標記為一正常檔案,將具有該惡意資料的檔案標記為一惡意檔案,且將具有該惡意檔案的主機作為發生該異常狀況的該至少一主機。
  13. 如請求項12所述之攻擊路徑偵測系統,其中該異常標記元件更包含:一檔案計算元件,與該惡意檔案判斷元件電性連接,用以計算每一該正常檔案的一受感染機率值,於每一該檔案關聯圖中,判斷每一該正常檔案對應的該受感染機率值是否大於一第二門檻值,且由該受感染機率值大於該第二機率的該至少一正常檔案以及該至少一惡意檔案之間尋找至少一檔案攻擊路徑。
  14. 如請求項9所述之攻擊路徑偵測系統,其中該主機計算元件依序選擇未發生該異常狀況的該些主機其中之一作為一被選擇主機,且根據該被選擇主機之一第一風險指數以及一第二風險指數計算對應的該風險值,其中該第一風險指數代表該被選擇主機受到其他主機感染的機率,且該第二風險指數代表該被選擇主機自身感染的機率。
  15. 如請求項10所述之攻擊路徑偵測系統,其中,該主機計算元件根據該些主機之間的該連線關係判斷發生該異常連線的主機是否具有一來源端主機,若有,該主機計算元件將該來源端主機作為該高風險主機。
  16. 如請求項12所述之攻擊路徑偵測系統,其中,該主機攻擊路徑包含發生該異常連線的主機、發生該惡意檔案的主機以及該高風險主機。
  17. 一種非暫態電腦可讀取媒體,包含至少一指令程序,由一處理器執行該至少一指令程序以實行一攻擊路徑偵測方法,其包含:根據一主機日誌集合建立複數台主機之間的一連線關係以產生一主機關聯圖;其中該主機日誌集合包含每一該主機對應的日誌;於該主機關聯圖上標記發生一異常狀況的至少一主機,並計算每一該主機對應的一風險值; 於未發生該異常狀況的主機中,判斷對應的該風險值是否大於一第一門檻值,並將該風險值大於該第一門檻值的主機作為一高風險主機;以及根據該主機關聯圖中的該些主機之間的該連線關係,從該高風險主機與發生該異常狀況的該至少一主機之間尋找至少一攻擊路徑。
TW108132856A 2019-09-11 2019-09-11 攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體 TWI717831B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW108132856A TWI717831B (zh) 2019-09-11 2019-09-11 攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體
JP2019178427A JP6859412B2 (ja) 2019-09-11 2019-09-30 攻撃経路の検出方法、攻撃経路の検出システム及び非一時的なコンピュータ読み取り可能な記録媒体
US16/589,104 US11689558B2 (en) 2019-09-11 2019-09-30 Attack path detection method, attack path detection system and non-transitory computer-readable medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW108132856A TWI717831B (zh) 2019-09-11 2019-09-11 攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體

Publications (2)

Publication Number Publication Date
TWI717831B TWI717831B (zh) 2021-02-01
TW202112110A true TW202112110A (zh) 2021-03-16

Family

ID=74850283

Family Applications (1)

Application Number Title Priority Date Filing Date
TW108132856A TWI717831B (zh) 2019-09-11 2019-09-11 攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體

Country Status (3)

Country Link
US (1) US11689558B2 (zh)
JP (1) JP6859412B2 (zh)
TW (1) TWI717831B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20240170365A1 (en) 2021-03-18 2024-05-23 Nec Corporation Heat-dissipating structure for electronic device
CN113312625B (zh) * 2021-06-21 2024-01-02 深信服科技股份有限公司 一种攻击路径图构建方法、装置、设备、介质
CN115225304B (zh) * 2022-03-24 2023-05-05 国家计算机网络与信息安全管理中心 一种基于概率图模型的网络攻击路径预测方法及系统
US20240031391A1 (en) * 2022-07-22 2024-01-25 Semperis Technologies Inc. (US) Attack path monitoring and risk mitigation in identity systems

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7134141B2 (en) 2000-06-12 2006-11-07 Hewlett-Packard Development Company, L.P. System and method for host and network based intrusion detection and response
CN101686235B (zh) * 2008-09-26 2013-04-24 北京神州绿盟信息安全科技股份有限公司 网络异常流量分析设备和方法
US8281397B2 (en) 2010-04-29 2012-10-02 Telcordia Technologies, Inc. Method and apparatus for detecting spoofed network traffic
JP6148323B2 (ja) * 2012-03-22 2017-06-14 ロス アラモス ナショナル セキュリティー,リミテッド ライアビリティー カンパニーLos Alamos National Security,Llc 計算機ネットワークにおいて調整グループ攻撃を識別する異常検出
US9591006B2 (en) 2014-09-18 2017-03-07 Microsoft Technology Licensing, Llc Lateral movement detection
US20160359695A1 (en) * 2015-06-04 2016-12-08 Cisco Technology, Inc. Network behavior data collection and analytics for anomaly detection
US9699205B2 (en) 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10972490B2 (en) * 2015-10-06 2021-04-06 Nippon Telegraph And Telephone Corporation Specifying system, specifying device, and specifying method
CN106101252B (zh) * 2016-07-01 2019-02-05 广西电网有限责任公司 基于大数据和可信计算的信息安全风险防护系统
CN106209856B (zh) * 2016-07-14 2017-05-03 广西电网有限责任公司 基于可信计算的大数据安全态势地图生成方法
US10205735B2 (en) * 2017-01-30 2019-02-12 Splunk Inc. Graph-based network security threat detection across time and entities
JP6978662B2 (ja) * 2017-03-23 2021-12-08 富士通株式会社 出力プログラム、情報処理装置、及び出力方法
JP6813451B2 (ja) * 2017-07-28 2021-01-13 日本電信電話株式会社 異常検知システム及び異常検知方法
US11233821B2 (en) * 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
EP3588348A1 (en) * 2018-06-29 2020-01-01 AO Kaspersky Lab Systems and methods for detecting malicious activity in a computer system
US11030311B1 (en) * 2018-09-07 2021-06-08 Ca, Inc. Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise
US10958677B2 (en) * 2018-12-18 2021-03-23 At&T Intellectual Property I, L.P. Risk identification for unlabeled threats in network traffic
US10986121B2 (en) * 2019-01-24 2021-04-20 Darktrace Limited Multivariate network structure anomaly detector
US11349857B1 (en) * 2019-03-21 2022-05-31 Snap Inc. Suspicious group detection

Also Published As

Publication number Publication date
JP6859412B2 (ja) 2021-04-14
US20210075822A1 (en) 2021-03-11
US11689558B2 (en) 2023-06-27
TWI717831B (zh) 2021-02-01
JP2021044791A (ja) 2021-03-18

Similar Documents

Publication Publication Date Title
TWI717831B (zh) 攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體
US11775826B2 (en) Artificial intelligence with cyber security
WO2018121157A1 (zh) 一种网络流量异常检测方法及装置
WO2018107631A1 (zh) 一种基于工业控制网络的入侵检测模型的自动建立方法及装置
US7958559B2 (en) Method, device and computer program product for determining a malicious workload pattern
JP4626811B2 (ja) ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム
US20180234445A1 (en) Characterizing Behavior Anomaly Analysis Performance Based On Threat Intelligence
JP6557774B2 (ja) プロセストレースを用いたグラフベースの侵入検知
Bohara et al. Intrusion detection in enterprise systems by combining and clustering diverse monitor data
Mahmood et al. Intrusion detection system based on K-star classifier and feature set reduction
Zhang et al. User intention-based traffic dependence analysis for anomaly detection
Garg et al. Profiling users in GUI based systems for masquerade detection
WO2021253899A1 (zh) 针对性攻击检测方法及其装置和计算机可读存储介质
EP3531324B1 (en) Identification process for suspicious activity patterns based on ancestry relationship
Lah et al. Proposed framework for network lateral movement detection based on user risk scoring in siem
Shahrestani et al. Architecture for applying data mining and visualization on network flow for botnet traffic detection
Baich et al. Machine Learning for IoT based networks intrusion detection: a comparative study
Chen et al. Distributed denial of service attacks detection method based on conditional random fields
KR102311997B1 (ko) 인공지능 행위분석 기반의 edr 장치 및 방법
CN105791039B (zh) 一种基于特征片段自发现的可疑隧道检测方法与系统
Kadam et al. An enhanced approach for intrusion detection in virtual network of cloud computing
CN113709097B (zh) 网络风险感知方法及防御方法
US20210345527A1 (en) Data Center Liquid Conduction Cooling Apparatus And Method
Zheng et al. Traffic anomaly detection and containment using filter-ary-sketch
Xu et al. A multi-module anomaly detection scheme based on system call prediction