TW202126007A

TW202126007A - 網路資安系統、其方法及電腦可讀儲存媒介

Info

Publication number: TW202126007A
Application number: TW108146434A
Authority: TW
Inventors: 邱品仁; 游家珍
Original assignee: 中華資安國際股份有限公司
Priority date: 2019-12-18
Filing date: 2019-12-18
Publication date: 2021-07-01
Also published as: TWI783195B

Abstract

本發明揭露一種網路資安系統、其方法及電腦可讀儲存媒介，係藉由中控台管理複數個分散部署之封包擷取分析裝置，其中，封包擷取分析裝置係經配置以進行全時的封包採集、重組、解析及儲存、幾近即時地對封包進行黑名單比對及異常行為偵測，以及利用機器學習進行封包之異常行為辨識，並在封包出現異常時進行告警。本發明之網路資安系統、其方法及電腦可讀儲存媒介復提供對儲存之封包及相關欄位進行快速檢索，因此能快速且精確地對網路作業進行資安分析。

Description

網路資安系統、其方法及電腦可讀儲存媒介

本發明係關於網路安全技術領域，特別是關於一種偵測封包之網路資安系統、其方法及電腦可讀儲存媒介。

網路封包側錄是網路安全技術中相當重要的技術之一，常見封包側錄方法包括：將資料流(data stream)中的封包全部複製並儲存後，於後續處理中進行分析、或是在擷取封包時直接進行異常行為或黑名單偵測。然而上述方法中，由於封包的儲存需要強大且巨量的儲存空間，造成事後對封包的分析通常相當耗時，且不能及時提供警示訊息。另一方面，對擷取的封包直接作偵測時，由於封包一般並非以時間順序在資料流中被傳送，造成可能無法對資料流作完整偵測，也無法將封包有效率的儲存以供後續檢索的作業，造成無法做到全面的封包偵測。

因此，如何設計而提供一種全時(full-time)的封包採集、對封包幾近即時(near real-time)的黑名單及異常行為偵測，以及對封包之儲存及快速檢索等服務之網路資安設備，係為網路安全技術中的重要課題。

為解決上述問題，本發明提供一種網路資安系統，包括：複數個封包擷取分析裝置，係用於採集與解析封包，其包括：異常行為偵測模組，係根據告警規則偵測該封包，以在偵測到該封包有符合該告警規則之異常行為時產生告警訊息；黑名單比對模組，係根據黑名單偵測該封包，以在該封包存在於該黑名單時產生告警訊息；封包關聯模組，係用於產生該封包之可供檢索之欄位資訊；以及中控台，係用於管理該複數個封包擷取分析裝置以及記錄該異常行為偵測模組及該黑名單比對模組產生之告警訊息，其中，該異常行為偵測模組及該黑名單比對模組係平行地運行。

在一實施例中，該告警規則係由該中控台同步至該異常行為偵測模組。在另一實施例中，該告警規則係為使用者操作該中控台自行定義者或該中控台訂閱網路威脅情資自動產生者。在又一實施例中，該異常行為偵測模組復包括利用機器學習以辨識該封包之異常行為，進而產生告警訊息。

在一實施例中，該黑名單係由該中控台同步至該黑名單比對模組。在另一實施例中，該黑名單係為使用者操作該中控台自行定義者或該中控台訂閱網路威脅情資自動產生者。

在一實施例中，該封包擷取分析裝置復包括：封包存設模組，係用於儲存該封包；封包檢索資料庫，係用於儲存該封包之該欄位資訊；以及檢索模組，係用於檢索該封包存設模組儲存之該封包及該封包檢索資料庫儲存之該欄位資訊，俾以指定格式匯出檢索結果。

在一實施例中，該封包之欄位資訊係為該封包關聯模組根據該封包擷取分析裝置解析該封包之補充數據(metadata)、以及根據該異常行為偵測模組及該黑名單比對模組之偵測結果產生。

本發明復提供一種網路資安方法，包括：令封包擷取分析裝置從封包攔截裝置接收封包；令該封包擷取分析裝置解析該封包，並根據該封包對應之連線會話(session)重組為完整之封包內容負載(payload)，以獲取該封包之欄位補充數據(metadata)；令該封包擷取分析裝置將該封包根據告警規則進行異常行為偵測，並在該封包出現符合該告警規則之異常行為時產生告警資訊；令該封包擷取分析裝置將該封包根據黑名單進行黑名單偵測，並在該封包中或對應之連線會話重組後之封包內容負載中之欄位補充數據存在於該黑名單時產生告警訊息；令該封包擷取分析裝置將該封包之該欄位補充數據、該異常行為偵測之結果及該黑名單偵測之結果關聯為該封包之可供檢索之欄位資訊；以及令該封包擷取分析裝置儲存該封包及該封包之該欄位資訊，其中，該異常行為偵測及該黑名單偵測係平行地運行。

在一實施例中，本發明之網路資安方法復包括：令該封包擷取分析裝置根據該異常行為偵測及該黑名單偵測所產生之告警訊息、該封包以及該封包之該欄位資訊執行該封包之檢索，以獲取該封包之封包軌跡；以及令該封包擷取分析裝置將該封包軌跡以網頁形式、圖形化或文件化形式匯出。

在一實施例中，本發明之網路資安方法復包括令該封包擷取分析裝置以機器學習辨識該封包之異常行為，並在該封包出現異常行為時產生告警訊息。

在一實施例中，該封包攔截裝置係為交換器(Switch)、網路存取測試點(Network TAP)、或網路封包中介(Network Packet Broker)中至少一者。

本發明另提供一種電腦可讀儲存媒介，應用於電腦中，係儲存有指令，以執行如上所述之網路資安方法。

綜上所述，本發明之網路資安系統、其方法及電腦可讀儲存媒介主要透過中控台管理複數個封包擷取分析裝置，其中，封包擷取分析裝置係經配置以進行全時(full-time)的封包採集、重組、解析及儲存，並幾近即時地(near real-time)對封包進行黑名單比對及異常行為偵測且利用機器學習進行封包之異常行為辨識，以及在偵測到有異常時進行告警。故相較於習知封包側錄技術，可做到更全面、完整、快速且精確的封包偵測。此外，本發明之網路資安系統、其方法及電腦可讀儲存媒介復提供對儲存之封包及相關欄位進行快速檢索，因此能快速且精確地對網路作業進行資安分析。

10‧‧‧封包擷取模組

20‧‧‧封包複製模組

30‧‧‧封包重組模組

40‧‧‧封包解析模組

50‧‧‧異常行為偵測模組

51‧‧‧機器學習模組

60‧‧‧黑名單比對模組

70‧‧‧封包關聯模組

80‧‧‧封包存設模組

90‧‧‧封包檢索資料庫

100‧‧‧封包資訊轉發模組

110‧‧‧檢索模組

120‧‧‧封包擷取分析裝置、BOX

130‧‧‧中控台、Portal

140‧‧‧封包攔截裝置

150‧‧‧e-mail收件者

160‧‧‧Syslog伺服器

本案揭露之具體實施例將搭配下列圖式詳述，這些說明顯示在下列圖式：

第1圖為本發明之網路資安系統之系統架構示意圖。

第2圖為本發明之網路資安系統之局部模組關聯圖。

第3圖為本發明之網路資安方法之一示範實施態樣。

第4圖為本發明之網路資安方法之一示範實施態樣。

第5圖為本發明之網路資安方法之一示範實施態樣。

第6圖為本發明之網路資安方法之一示範實施態樣。

以下藉由特定的實施例說明本發明之實施方式，熟習此項技藝之人士可由本文所揭示之內容輕易地瞭解本案之其他優點及功效。本說明書所附圖式所繪示之結構、比例、大小等均僅用於配合說明書所揭示之內容，以供熟悉此技藝之人士之瞭解與閱讀，非用於限定本發明可實施之限定條件，故任何修飾、改變或調整，在不影響本案所能產生之功效及所能達成之目的下，均應仍落在本發明所揭示之技術內容得能涵蓋之範圍內。

如第1圖所示，本發明之網路資安系統主要包括中控台130(亦稱為「Portal」)及一個至複數個封包擷取分析裝置120(亦稱為「BOX」)二部分。其中，Portal 130係用於管理各個BOX 120以及支援複數個BOX 120的分散式部署。並且其中，BOX 120係用於提供全時(full-time)的封包採集、幾近即時(near real-time)的封包黑名單比對及封包的異常行為偵測、告警以及對所採集封包之快速檢索等服務。此外，Portal 130與BOX 120皆可實現於一般符合一定規格(例如，至少128GB記憶體，若干大小可用之硬碟空間等)之伺服器(例如，X86伺服器)上。再者，Portal 130係與各個BOX 120電性連接、耦接或透過網路連接。

在一實施例中，Portal 130可在BOX 120內預設封包之黑名單及/或封包之異常行為偵測之告警規則。在一實施例中，使用者亦可根據自身需求自行定義或從其他地方取得並進行格式轉換，並於Portal 130上傳所欲之黑名單或告警規則以同步至BOX 120。在進一步的實施例中，Portal 130更可訂閱網路威脅情資(Cyber Threat Intelligence,CTI)中心以自動更新關於有問題封包之資訊並同步更新之黑名單及告警規則至BOX 120。此外，Portal 130另可根據實際需求，設定相同或不同之黑名單及/或告警規則至各BOX120。

舉例來說，使用者可透過Portal 130上傳所欲之黑名單或告警規則、或是訂閱來自網路威脅情資中心的情資內容，此時Portal 130將檢查黑名單或告警規則是否符合其所支援之格式，並主動同步黑名單或告警規則至其部署的BOX 120以進行封包的偵測比對。另一方面，使用者亦可操作Portal 130以啟用或停用不需要之黑名單及告警規則，此時Portal 130亦會將此變動同步至其部署的BOX 120中，以供BOX 120進行相關的封包偵測、告警及檢索服務。

繼續參考第1圖，在BOX 120偵測所採集之封包的過程中，如果BOX 120發現符合黑名單的封包(例如，發現封包中的來源端/目的端網際協定位址(Source/Destination IP Address)或DNS/HTTP等協定通訊中所嘗試存取的網域名稱(Domain Name)存在於黑名單中)或是符合告警規則的封包(例如，發現偵測之封包中單位時間內關鍵字(keyword)發生次數超過預定閾值、封包中的資料負載(payload)的offset區隔的值超過預定閾值或命中正規表達式等)，BOX 120係先產生封包的可供檢索的相關欄位(例如，標記(tag))並將其儲存後，將符合黑名單之封包摘要或符合告警規則之告警摘要回傳至Portal 130以進行告警。

Portal 130復提供使用者對各封包引起事件之調查。舉例來說，Portal 130可藉由搜尋規則篩選其所紀錄之告警事件，並引導使用者至對應的BOX 120進行更進一步的調查(例如，使用者可於Portal 130上，透過系統產生之跳轉連結，藉由對應的告警事件之連線會話識別(Session ID)，跳轉至Box 120進行詳細的流量軌跡與紀錄檢索)。

本發明之封包擷取分析裝置(BOX)120分析封包之流程係如第2圖之BOX 120模組關聯圖所示。此外，該BOX 120中之各模組或資料庫係依圖式電性連接、耦接或彼此連接。

在第2圖中，BOX 120內的封包擷取模組10(例如，網路卡)係用於全時地(full-time)接收封包攔截裝置140攔截之封包。封包攔截裝置140可以是網路測試存取點(Network Test Access Point,Network TAP)、交換器(Switch)、網路封包中介(Network Packet Broker,NPB)的至少一者或其他適合的裝置，本發明並不以此為限。再者，封包攔截裝置140係與BOX 120電性連接、耦接或透過網路連接。

接著，封包複製模組20將封包複製，並交由封包重組模組30及封包解析模組40進行重組(例如，Packet De-fragment、Packet Assembly等重組機制)並解析(parsing)，並根據封包對應的連線會話(Session)重組為完整之封包內容負載(Payload)，以獲取封包之相關欄位的補充數據(metadata)。

具體而言，封包重組模組30係可根據開放式系統互聯模型(Open System Interconnection Model,OSI)將封包拆解，而封包解析模組40係依據此OSI模型獲取封包在乙太網路(Ethernet)訊框封裝下第二層(Layer 2)至第七層(Layer 7)相關欄位的補充數據(metadata)(例如，封包的會話識別(session id)、4 tuple資料及封包對應的offset等)，封包關聯模組70係在後續處理中將此補充數據關聯為封包的可供檢索的相關欄位並儲存於封包檢索資料庫90中，以提供後續快速檢索用。

在一實施例中，封包經封包重組模組30拆解出的第二層(資料連結層)補充數據(meta)係如第3圖所示。其中，封包解析模組40會將第4圖中所示來源端/目的端MAC位址的補充數據(metadata)解析(parse)出，封包關聯模組70係於後續處理中將此補充數據作為封包之一相關欄位以供BOX 120儲存及檢索。

在另一實施例中，封包經封包重組模組30拆解出的第三層(網路層)資訊係如第4圖所示。以常見的網際協定版本4(IPv4)為例，封包解析模組40可以解析出封包的第三層中的Total Length、Protocol、Source IP Address及Destination IP address等補充數據(metadata)，封包關聯模組70係在後續處理中將此補充數據作為封包之相關欄位以提供儲存及檢索。

在進一步的實施例中，BOX 120亦可支援封包第七層(應用層)之解析。以HTTP協定為例，若與HTTP請求相關的封包被封包重組模組30及封包解析模組40重組並分析後，可獲取HTTP請求的補充數據(metadata)，例如，HTTP Host欄位、HTTP請求方法與請求URL/URI 等，封包關聯模組70係於後續處理中將此補充數據作為封包之相關欄位以提供儲存及檢索。

繼續參考第2圖，在封包重組模組30及封包解析模組40完成封包之重組並解析後，BOX 120係平行作業地(亦即，幾近即時地)透過異常行為偵測模組50及黑名單比對模組60偵測封包，封包關聯模組70係依據偵測結果產生封包的相關欄位(例如，標記(tag))，以及將前述封包解析模組40解析出的相關欄位之補充數據(metadata)關聯為可供檢索之相關欄位。最後，BOX 120係視需要將完成偵測之封包存入封包存設模組80、或是將封包的相關欄位(包括，封包經解析之補充數據(metadata)的相關欄位及標記(tag)等)存入封包檢索資料庫90中、或是透過封包資訊轉發模組100將異常行為偵測模組50及黑名單比對模組60產生之告警訊息發送給Portal 130。

在一實施例中，黑名單比對模組60用於偵測封包的黑名單係可由使用者透過Portal 130自行定義或從他處取得並轉換為可支援之格式後自行上傳，或是向CTI中心(例如，中華資安國際之CTI中心或其他CTI中心)訂閱以同步至BOX 120中而獲得。進一步地，當黑名單比對模組60偵測到出現於黑名單中的封包時將產生告警訊息，封包關聯模組70係隨之產生封包的相關欄位(例如，標記(tag))以儲存於封包檢索資料庫90中，並透過封包資訊轉發模組100將告警訊息傳送給Portal 130。

在一實施例中，異常行為偵測模組50之偵測機制係包括特徵(signature)偵測與行為(behavior)偵測兩種。

特徵偵測係藉由使用者自行定義或上傳之告警規則、或訂閱CTI中心而自動更新之告警規則等進行封包之異常行為偵測，並於偵測後透過封包關聯模組70產生例如signature、category等封包之相關欄位並儲存於封包檢索資料庫90，以及透過封包資訊轉發模組100將告警訊息傳送給Portal 130。

行為偵測則是透過機器學習(Machine Learning)模組51根據封包之不同的IP位址來源通訊之頻率、封包觸發之告警內容、封包大小、協定變化等進行封包之異常行為識別。其中，機器學習模組51亦可向CTI中心訂閱上述關於封包之異常行為之資訊，並在BOX120背景進行更新後應用於異常行為偵測模組50之行為偵測。

在一實施例中，假設BOX 120收集之流量中一主機(其IP位址例如為“192.168.1.1”)與另一主機(其IP位址例如為“192.168.1.254”)有於每日工作時段8：00-17：00以每60秒固定的HTTP存取行為，且每次存取之封包大小總和固定落於1500-2000bytes的區間，然而異常行為偵測模組50於某周日之凌晨1時，檢測到此二主機有每秒超過1000次之請求，並且封包大小總和超過3000bytes，故經機器學習模組51辨識為異常行為後由異常行為偵測模組50產製「異常行為捕獲-可能為資料外洩」之告警訊息並透過封包資訊轉發模組100回傳至Portal 130。

在進一步實施例中，假設BOX 120收集之流量中有一主機(其IP位址假設為192.168.1.100)所發出之DNS查詢每日統計共有N組不重複之網域名稱，而其中N組不重複網域名稱又分別為M個組織/公司所註冊，每日發送給此N組不重複網域名稱之封包數量皆落在一定區間內，且每日到此N組網域之DNS查詢封包總數變異標準差為5%以內。然而異常行為偵測模組50於某日之統計分析時，檢測出此主機發出了額外的DNS查詢，查詢之網域名稱並不包含於上述N組網域中，經機器學習模組51透過叢集(Clustering)分析後，發現此若干新增之網域名稱無論是在網域名稱長度、網域名稱字元組成Entropy等，皆在分群後屬於非常見之族群，有異於平常之查詢行為，則BOX 120之異常行為偵測模組50會產製「異常行為捕獲-可疑Botnet C&C查詢」之告警訊息，並透過封包資訊轉發模組100回傳至Portal 130。

進一步地，BOX 120傳送告警訊息至Portal 130係如第5圖所示。具體來說，告警訊息會經由封包資訊轉發模組100以應用程式介面(API)形式傳送至Portal 130，使用者還可事先於Portal 130中設定其根據告警訊息的風險等級及來源(例如，異常行為偵測模組50或是黑名單比對模組60)，將告警訊息傳送至指定的接收端(例如，e-mail收件者150或Syslog伺服器160)，進而達到即時警示與共同防禦之目的。

繼續參考第2圖，BOX 120復包括檢索模組110，係提供使用者根據Portal 130紀錄之告警訊息對封包存設模組80所儲存之封包及封包檢索資料庫90儲存之封包的相關欄位進行封包軌跡的檢索、調閱及匯出，其實施態樣係如下所述。

在一實施例中，使用者可於檢索模組110之網頁介面上設定篩選條件，以對封包的特定相關欄位(例如，前述封包解析後補充數據(metadata)的欄位)進行檢索。

在另一實施例中，使用者可於檢索模組110之網頁介面上指定例如時間、Source/Destination IP Address、Source/Destination Port、或其他封包之相關欄位(例如，補充數據(metadata)的欄位)等篩選BOX 120所儲存之封包，並將篩選得出之封包軌跡以JSON、CSV等格式匯出，以利後續的分析作業。

在又一實施例中，使用者可透過瀏覽器操作檢索模組110，以網頁(Web)形式(例如，以ASCII編碼、HEX編碼或Utf-8編碼等方式呈現)瀏覽BOX 120所儲存之封包的相關欄位的補充數據(例如，metadata)或封包Payload等內容。

在再一實施例中，使用者可透過瀏覽器或API呼叫檢索模組110，以指定或不指定的篩選條件取得所欲之封包軌跡，並將封包軌跡的原始封包內容以PCAP檔案格式匯出。

此外，使用者亦可透過Portal 130以API呼叫方式，定時介接BOX 120之檢索模組110撈取以指定或不指定篩選條件取得所欲知之封包軌跡，以加速使用者事件查詢與提升易用性。或者，使用者亦可透過瀏覽器或API呼叫，透過Portal 130介接BOX 120之檢索模組110以指定或不指定篩選條件取得所欲知之封包軌跡，並將該封包軌跡的原始封包內容以PCAP檔案格式匯出。

在進一步實施例中，檢索模組110還可以圖形化方式呈現封包軌跡的資訊予使用者。如第6圖所示，檢索模組110圖形化呈現之封包軌跡的資訊係包括端點與端點(一IP位址至另一IP位址)之間的連線關係、封包行為、封包引起之告警事件等資訊的關係圖。

本發明另提供一種電腦可讀儲存媒介，應用於具有處理器及/或記憶體的電腦或計算裝置中，係儲存有指令，電腦或計算裝置透過處理器(例如，CPU、GPU等)及/或記憶體透過指令執行如上所述之網路資安方法。

綜上所述，本發明之網路資安系統、其方法及電腦可讀儲存媒介主要透過中控台(Portal)管理分散式部署之封包擷取分析裝置(BOX)，其中，封包擷取分析裝置係可進行全時(full-time)的封包採集、重組、解析及儲存，並幾近即時地(near real-time)對封包進行黑名單比對及異常行為偵測且利用機器學習進行封包之異常行為辨識，以及在偵測到有異常時進行告警，故相較於習知封包側錄技術，可提供更全面、完整、快速且精確的封包偵測。本發明之網路資安系統、其方法及電腦可讀儲存媒介復提供對儲存之封包及相關欄位進行快速檢索，因此能快速且精確地對網路作業進行資安分析。

上述實施例係用以例示性說明本發明之原理及其功效，而非用於限制本發明。任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下，對上述實施例進行修改。因此本發明之權利保護範圍，應如後述之申請專利範圍所列。