TW202217617A - 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 - Google Patents

網路資安威脅防護系統及相關的前攝性可疑網域示警系統 Download PDF

Info

Publication number
TW202217617A
TW202217617A TW110108787A TW110108787A TW202217617A TW 202217617 A TW202217617 A TW 202217617A TW 110108787 A TW110108787 A TW 110108787A TW 110108787 A TW110108787 A TW 110108787A TW 202217617 A TW202217617 A TW 202217617A
Authority
TW
Taiwan
Prior art keywords
domain
network
network domain
information
suspected
Prior art date
Application number
TW110108787A
Other languages
English (en)
Other versions
TWI764618B (zh
Inventor
邱銘彰
黃暉清
叢培侃
吳明蔚
Original Assignee
新加坡商賽博創新新加坡股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 新加坡商賽博創新新加坡股份有限公司 filed Critical 新加坡商賽博創新新加坡股份有限公司
Priority to US17/491,881 priority Critical patent/US11558352B2/en
Priority to JP2021170882A priority patent/JP7161021B2/ja
Publication of TW202217617A publication Critical patent/TW202217617A/zh
Application granted granted Critical
Publication of TWI764618B publication Critical patent/TWI764618B/zh

Links

Images

Abstract

本發明提出一種網路資安威脅防護系統,包含:複數個威脅資訊更新裝置;以及前攝性可疑網域示警系統,其包含:網域資訊監測裝置;網域資訊儲存裝置;以及資安威脅分析裝置。倘若網域資訊監測裝置發現一嫌疑網域的網域對應發生變動,且嫌疑網域的新網域對應指向一預定的本機地址,則網域資訊監測裝置還會監測嫌疑網域的一網域對應變動頻率。倘若嫌疑網域的網域對應變動頻率超過一預定值,則資安威脅分析裝置會將嫌疑網域列入阻擋名單中,以致使複數個威脅資訊更新裝置阻擋複數個客戶端網路系統中的成員裝置存取阻擋名單中的網域。

Description

網路資安威脅防護系統及相關的前攝性可疑網域示警系統
本發明涉及網路資安防護技術,尤指一種網路資安威脅防護系統及相關的前攝性可疑網域示警系統。
隨著各種網路應用越來越普及,網路攻擊事件在各地層出不窮。網路攻擊的手法非常多樣,典型的網路攻擊方式之一是駭客利用釣魚郵件、釣魚網站、或釣魚簡訊,誘騙使用者將用戶端裝置(例如,各種電腦或手機等等)透過網路連線到惡意網域(malicious domain)。另一種典型的網路攻擊方式,則是駭客利用已植入用戶端裝置的木馬程式,在使用者不知情的情況下偷偷將用戶端裝置透過網路連線到惡意網域,以下載惡意程式碼做進一步攻擊、或是竊取用戶端裝置中的各種資料。
要進行前述的網路攻擊,駭客需要註冊新的網域或竊取已註冊網域的存取權限。業界已開發出許多偵測惡意網域的技術或資訊分享機制,能夠偵測出被駭客多次用來進行網路攻擊的惡意網域,並將這些惡意網域的資訊提供給相關的網路資安防護工具,致使這些網路資安防護工具能夠阻擋用戶端裝置存取這些已知的惡意網域。
然而,既有的惡意網域偵測機制往往需要等到某個網域已涉入多次網路攻擊行動之後,才有辦法將該網域判定為惡意網域。這樣的判斷機制存在明顯的盲點且需要等待許多時間,所以難以有效抑制駭客的網路攻擊行為,也難以對網路應用環境提供更有效的前攝性資安防護。
有鑑於此,如何對駭客使用惡意網域進行網路攻擊的行動造成阻礙,以增加駭客實施網路攻擊的困難度及成本,實為有待解決的問題。
本說明書提供一種網路資安威脅防護系統的實施例,其包含:複數個威脅資訊更新裝置,設置成分別監測複數個客戶端網路系統的連網行為;以及一前攝性可疑網域示警系統,其包含有:一網域資訊監測裝置,設置成監測一嫌疑網域的網域對應的變動情況;一網域資訊儲存裝置,耦接於該網域資訊監測裝置,設置成儲存該網域資訊監測裝置所產生的監測紀錄;以及一資安威脅分析裝置,耦接於該網域資訊監測裝置及該網域資訊儲存裝置,並設置成可透過網路與該複數個威脅資訊更新裝置進行資料通信;其中,倘若該網域資訊監測裝置發現該嫌疑網域的網域對應發生變動,且該嫌疑網域的一新網域對應指向一預定的本機地址或複數個預定的本機地址的其中之一,則該網域資訊監測裝置還會監測該嫌疑網域的一網域對應變動頻率;其中,倘若該網域資訊監測裝置判定該嫌疑網域的網域對應變動頻率超過一預定值,則該資安威脅分析裝置會將該嫌疑網域列入一阻擋名單中,以致使該複數個威脅資訊更新裝置阻擋該複數個客戶端網路系統中的成員裝置存取該阻擋名單中的網域。
本說明書另提供一種前攝性可疑網域示警系統的實施例。該前攝性可疑網域示警系統用於提供一警示名單給複數個威脅資訊更新裝置,該複數個威脅資訊更新裝置分別用於監測複數個客戶端網路系統的連網行為。該前攝性可疑網域示警系統包含有:一前攝性可疑網域示警系統,其包含有:一網域資訊監測裝置,設置成監測一嫌疑網域的網域對應的變動情況;一網域資訊儲存裝置,耦接於該網域資訊監測裝置,設置成儲存該網域資訊監測裝置所產生的監測紀錄;以及一資安威脅分析裝置,耦接於該網域資訊監測裝置及該網域資訊儲存裝置,並設置成可透過網路與該複數個威脅資訊更新裝置進行資料通信;其中,倘若該網域資訊監測裝置發現該嫌疑網域的網域對應發生變動,且該嫌疑網域的一新網域對應指向一預定的本機地址或複數個預定的本機地址的其中之一,則該網域資訊監測裝置還會監測該嫌疑網域的一網域對應變動頻率;其中,倘若該網域資訊監測裝置判定該嫌疑網域的網域對應變動頻率超過一預定值,則該資安威脅分析裝置會將該嫌疑網域列入該阻擋名單中,以致使該複數個威脅資訊更新裝置阻擋該複數個客戶端網路系統中的成員裝置存取該阻擋名單中的網域。
上述實施例的優點之一,是即便駭客有時候故意將嫌疑網域的網域對應設置成指向預定的本機地址,以企圖藉此隱匿嫌疑網域和/或已植入成員裝置的惡意程式碼,但只要嫌疑網域的網域對應變動頻率超過預定值,資安威脅分析裝置便會將嫌疑網域列入阻擋名單。如此一來,便可破壞駭客想藉此隱匿嫌疑網域和/或惡意程式碼的企圖,並可對駭客之後利用嫌疑網域進行網路攻擊的行動造成阻礙,所以能夠有效增加駭客實施網路攻擊的困難度。
上述實施例的另一優點,是可增加駭客在不同時段重複使用同一個嫌疑網域進行網路攻擊的困難度,迫使駭客必需註冊更多的網域來使用,所以能夠大幅拉高駭客實施網路攻擊的成本,進而降低駭客進行網路攻擊的可能性。
本發明的其他優點將搭配以下的說明和圖式進行更詳細的解說。
以下將配合相關圖式來說明本發明的實施例。在圖式中,相同的標號表示相同或類似的元件或方法流程。
圖1為本發明一實施例的網路資安威脅防護系統100簡化後的功能方塊圖。網路資安威脅防護系統100包含一前攝性可疑網域示警系統110、以及一或多個威脅資訊更新裝置。前攝性可疑網域示警系統110會針對可能具有網路資安威脅風險的網域(domain)產生相關的網域威脅情資(domain threat intelligence),並將所產生的網域威脅情資提供給各個威脅資訊更新裝置。各個威脅資訊更新裝置可根據前攝性可疑網域示警系統110產生的網域威脅情資,提供相關的示警信息給各自對應的一或多個客戶端網路系統。各個威脅資訊更新裝置還可搭配合適的網路管理裝置來管理相應的客戶端網路系統的連網運作,以避免客戶端網路系統中的各式連網設備存取具有資安風險的網域而遭受網路攻擊。
例如,圖1的實施例中繪示了示例性的威脅資訊更新裝置120、130、及140。威脅資訊更新裝置120可搭配一網路管理裝置152來管理一相應的客戶端網路系統150的連網運作;威脅資訊更新裝置130可搭配一網路管理裝置162來管理一相應的客戶端網路系統160的連網運作;而威脅資訊更新裝置140可搭配一網路管理裝置172來管理一相應的客戶端網路系統170的連網運作。
請注意,圖1中所繪示的威脅資訊更新裝置、客戶端網路系統、以及網路管理裝置的數量,只是為了舉例說明,並非有意將網路資安威脅防護系統100中的前述裝置和網路系統的數量侷限在特定數目。網路資安威脅防護系統100中的威脅資訊更新裝置、客戶端網路系統、以及網路管理裝置的數量,都可依據需求來彈性調整。例如,威脅資訊更新裝置120可搭配多個網路管理裝置152來管理客戶端網路系統150的連網運作;威脅資訊更新裝置130可搭配多個網路管理裝置162來管理客戶端網路系統160的連網運作;而威脅資訊更新裝置140也可搭配多個網路管理裝置172來管理客戶端網路系統170的連網運作。
在實際應用中,前述的客戶端網路系統150、160、及170可以是各種規模的企業、學校、研究機構、政府機關、或非營利組織的內部網路系統,且各自包含若干數量的成員裝置(圖1中未繪示)。每個客戶端網路系統中的成員裝置的數量,從個位數、數十台、數百台、甚至超過千台以上都有可能。另外,每個客戶端網路系統中的多個成員裝置,有可能都位於同一個地理區域,也有可能是分散在不同的地理區域(例如,不同的城市或國家)。
前述的網路管理裝置152、162、及172可以用各種合適的連網存取權限控管裝置來實現,例如、路由器(router)、網路閘道器(network gateway)、無線基地台(access point)等等。或者,也可以將前述的網路管理裝置152、162、及172利用各種合適的遠端伺服器、或是設置在各種雲端系統上的運算裝置(例如,架構在各種私有雲系統或公有雲平台上的虛擬機器、運算模組、或應用模組)來實現。
在說明書及申請專利範圍中所指稱的「成員裝置」一詞,指的是各種能執行特定作業系統(例如:Windows、Linux、macOS、Android、Chrome OS、HarmonyOS等等)進行運作、並支援合適的資料通信協定的電子設備,例如,桌上型電腦、筆記型電腦、平板電腦、伺服器、網路儲存裝置(Network Attached Storage,NAS)、智慧電視、智慧手機、或智慧音箱等等。前述的資料通信協定則可以是各種有線資料傳輸協定或無線資料傳輸協定,例如,TCP/IP通信協定、UDP(User Datagram Protocol)通信協定、IEEE 802.11系列通信協定等等。
每個客戶端網路系統中的個別成員裝置,可以透過適當的資料傳輸機制(例如,個別客戶端網路系統的內部網路或資料傳輸線),與其他的一或多個成員裝置直接或間接進行各種資料通信。在運作時,每個客戶端網路系統中可有一部分的成員裝置採用有線資料傳輸方式來進行資料通信,並有一部分的成員裝置採用無線資料傳輸方式來進行資料通信。換言之,不同的成員裝置所採用的資料傳輸方式可以有所不同。
在圖1的實施例中,前攝性可疑網域示警系統110包含一網域資訊監測裝置112、一網域資訊儲存裝置114、以及一資安威脅分析裝置116。網域資訊監測裝置112設置成可間歇性收集與監測一或多個預定地區的網域註冊資訊、檢核網域的網域年齡、和/或監測網域的網域對應(domain mapping)的變動情況。網域資訊儲存裝置114耦接於網域資訊監測裝置112,並設置成儲存網域資訊監測裝置112所收集到的網域註冊資訊,和/或網域資訊監測裝置112所產生的監測紀錄。資安威脅分析裝置116耦接於網域資訊監測裝置112及網域資訊儲存裝置114,並設置成可控制網域資訊監測裝置112及網域資訊儲存裝置114的運作。資安威脅分析裝置116還設置成可依據網域資訊監測裝置112所收集到的網域註冊資訊、和/或網域資訊監測裝置112產生的監測紀錄,針對具有網路資安威脅風險的網域產生相關的網域威脅情資,並將所產生的網域威脅情資透過合適的網路(例如,私人網路或網際網路),傳送給前述的威脅資訊更新裝置120、130、及140。
在說明書及申請專利範圍中所指稱的「網域年齡」一詞,指的是一網域從完成註冊開始到目前為止所經過的時間長度,實作上可用各種合適的時間單位來衡量,例如,若干分鐘數、若干時數、若干天數等等。
實作上,前述的網域資訊監測裝置112與資安威脅分析裝置116皆可用各種具有連網能力、運算能力、以及資料處理能力的單一處理器模塊、多個處理器模塊的組合、單一電腦系統、多個電腦系統的組合、單一伺服器、多個伺服器的組合、或是雲端運算系統來實現。網域資訊儲存裝置114可用各種揮發性儲存裝置、非揮發性儲存裝置、資料庫系統、或是雲端儲存系統來實現。
如圖1所示,威脅資訊更新裝置120包含一通信電路122、一處理電路124、以及一儲存電路126。威脅資訊更新裝置130包含一通信電路132、一處理電路134、以及一儲存電路136。威脅資訊更新裝置140包含一通信電路142、一處理電路144、以及一儲存電路146。
在威脅資訊更新裝置120中,通信電路122耦接於相應的客戶端網路系統150及網路管理裝置152,並設置成透過適當的網路連線(例如,客戶端網路系統150的內部網路或網際網路),與資安威脅分析裝置116、網路管理裝置152、以及客戶端網路系統150中的多個成員裝置進行資料通信,以接收前攝性可疑網域示警系統110傳來的網域威脅情資、以及客戶端網路系統150中的多個成員裝置的連網行為紀錄。處理電路124耦接於通信電路122,設置成控制通信電路122的運作,並對接收到的連網行為紀錄進行處理,以檢核客戶端網路系統150中的成員裝置的網域存取行為。處理電路124還可根據前攝性可疑網域示警系統110傳來的網域威脅情資,直接控管(或是透過網路管理裝置152間接控管)客戶端網路系統150中的個別成員裝置的網域存取行為,以阻擋個別成員裝置存取特定的網域。儲存電路126耦接於處理電路124,並設置成儲存通信電路122所接收到的網域威脅情資、以及客戶端網路系統150中的成員裝置的連網行為紀錄。
在實際應用中,前述的威脅資訊更新裝置120可以安裝在客戶端網路系統150所屬單位的內部,也可以安裝在客戶端網路系統150所屬單位以外的其他地理位置。例如,可以將前述的威脅資訊更新裝置120以獨立硬體設備的形式安裝在客戶端網路系統150中。又例如,在某些應用中,也可以將前述的威脅資訊更新裝置120改用各種合適的遠端伺服器、或是設置在各種雲端系統上的運算裝置(例如,架構在各種私有雲系統或公有雲平台上的虛擬機器、運算模組、或應用模組)來實現。
網路資安威脅防護系統100中的其他威脅資訊更新裝置(例如,威脅資訊更新裝置130、140),皆可具有與威脅資訊更新裝置120類似的主要架構與配置方式,且其他威脅資訊更新裝置中的主要組成電路之間的連接關係與運作方式,皆可與威脅資訊更新裝置120中的相應電路類似。
惟須注意,實作上並不侷限所有威脅資訊更新裝置120、130、及140都要具有完全相同的電路架構,也不侷限每個威脅資訊更新裝置中的個別電路的運作方式,都要與其他威脅資訊更新裝置中的相應電路完全相同。
實作上,前述的通信電路122、132、142皆可用各種有線傳輸電路、無線傳輸電路、整合前述兩種通信機制的混合電路、或是雲端通信系統來實現。處理電路124、134、144皆可用單一處理器模塊、多個處理器模塊的組合、單一電腦系統、多個電腦系統的組合、單一伺服器、多個伺服器的組合、或是雲端運算系統來實現。儲存電路126、136、146皆可用各種揮發性儲存裝置、非揮發性儲存裝置、資料庫系統、或是雲端儲存系統來實現。
以下將搭配圖2至圖3來進一步說明網路資安威脅防護系統100進行網域威脅評估的運作方式。圖2至圖3為本發明判斷新註冊網域是否具有資安威脅的方法的一實施例簡化後的流程圖。
在圖2及圖3的流程圖中,位於一特定裝置所屬欄位中的流程,即代表由該特定裝置所進行的流程。例如,標記在「前攝性可疑網域示警系統」欄位中的部分,是由前攝性可疑網域示警系統110所進行的流程;標記在「威脅資訊更新裝置」欄位中的部分,是由威脅資訊更新裝置120、130、及140中的個別威脅資訊更新裝置所進行的流程。前述的邏輯也適用於後續的其他流程圖中。
如圖2所示,在網路資安威脅防護系統100進行運作時,前攝性可疑網域示警系統110會進行圖2中的流程202,而威脅資訊更新裝置120、130、及140則可進行圖2中的流程204。
在流程202中,前攝性可疑網域示警系統110的網域資訊監測裝置112會收集與監測一或多個預定地區的網域註冊資訊。例如,網域資訊監測裝置112可透過網際網路連線到各種類型的網路註冊管理機構的網站或伺服器,以查詢某個地區、某些地區、或是全球範圍的新註冊網域(newly registered domain)的相關資料。
又例如,網域資訊監測裝置112可透過合適的私人網路或網際網路,連線到一或多個網域名稱系統監測裝置102,以接收網域名稱系統監測裝置102所收集的網域註冊資料。實作上,前述的網域名稱系統監測裝置102可用各種具有連網能力、運算能力、以及資料查核能力的單一處理器模塊、多個處理器模塊的組合、單一電腦系統、多個電腦系統的組合、單一伺服器、多個伺服器的組合、或是雲端運算系統來實現。
前述的網域名稱系統監測裝置102可以是由前攝性可疑網域示警系統110的運營者和/或管理者負責管理與操作的設備。或者,網域名稱系統監測裝置102也可以是由其他第三方服務提供者負責管理與操作的設備。
在實際應用中,網域資訊監測裝置112可在前攝性可疑網域示警系統110運作的過程中,即時(real time)進行流程202的運作,也可間歇性或週期性地進行流程202的運作。在一般情況下,在一新網域註冊完成的5~10分鐘內,網域資訊監測裝置112便可利用前述方式取得該新註冊網域的相關資料。
在流程204中,威脅資訊更新裝置120、130、及140可分別監測相應客戶端網路系統150、160、及170的連網行為。例如,威脅資訊更新裝置120會偵測及搜集相應的客戶端網路系統150中的個別成員裝置的連網行為記錄。實作上,威脅資訊更新裝置120的處理電路124可利用網路管理裝置152或是安裝在客戶端網路系統150的個別成員裝置中的預定應用程式,讀取並分析相應成員裝置內的特定非揮發性資料的內容,例如,系統日誌、開機自動啟動項目、執行紀錄、和/或特定類型檔案的檔案詮釋資料(meta data)等等。處理電路124可透過通信電路122接收前述特定應用程式回傳的資料。
例如,在該成員裝置的作業系統是Windows系統的情況下,網路管理裝置152或前述的預定應用程式可讀取並分析成員裝置中所儲存的視窗事件日誌(Windows Event Log)、自動啟動登錄檔(Autorun Registry)、排程工作記錄(Schedule Job)、預取快取(Prefetch cache)、應用程式相容性快取(Shimcache和/或Amcache)、和/或.exe/.dll/.sys格式的可移植性可執行檔案(portable executable files,PE files)的檔案詮釋資料等等,並傳送給威脅資訊更新裝置120的通信電路122。
又例如,在成員裝置的作業系統是Linux系統的情況下,網路管理裝置152或前述的預定應用程式可讀取並分析成員裝置中的資料夾「/var/log/」底下的日誌項目、系統與服務管理工具(Systemd)、系統初始化腳本(SysV init script)、排程指令(crontab)、系統初始化程序(Upstart)、.php或.jsp格式的動態網頁(dynamic web pages)、指令執行腳本(shell scripts)、敏感性檔案(sensitive files)、指令歷史記錄(command histories)、系統日誌(syslog)、和/或.so/.ko格式的可執行與可連結格式檔案(Executable and Linkable Format files,ELF files)的檔案詮釋資料等等,並傳送給威脅資訊更新裝置120的通信電路122。
又例如,在成員裝置的作業系統是macOS系統的情況下,網路管理裝置152或前述的預定應用程式可讀取並分析成員裝置中的資料夾「/var/log/」底下的日誌項目、資料夾「/Library/LaunchAgents/」底下的記錄、資料夾「/Library/LaunchDaemons/」底下的記錄、指令執行腳本(shell scripts)、指令歷史記錄(command histories)、和/或Mach物件格式的可執行檔案(Mach object files,Mach-O files)的檔案詮釋資料等等,並傳送給威脅資訊更新裝置120的通信電路122。
除了前述的非揮發性資料以外,網路管理裝置152或前述的預定應用程式還可在流程204中偵測並分析成員裝置當時的記憶體內容、和/或網路行為等特定揮發性資料的內容,並傳送給威脅資訊更新裝置120的通信電路122。例如,網路管理裝置152或前述的預定應用程式可利用網路連線查詢指令「netstat」查詢成員裝置和外部網路連線的狀況,也可利用各種方式偵測成員裝置試圖存取的網域。
在運作時,網路管理裝置152或前述的預定應用程式或處理電路124可利用各種過濾及判斷演算法,對前述與成員裝置有關的特定非揮發性資料和/或揮發性資料的內容進行初步分析,以從成員裝置為數眾多的活動歷史記錄中,篩選出可能與連網動作有關的部分活動記錄做為連網行為記錄,藉此減少後續需要由處理電路124進行處理或分析的資料量。
威脅資訊更新裝置130及140,可比照前述威脅資訊更新裝置120的運作方式,分別監測相應的客戶端網路系統160及170的連網行為。為簡潔起見,在此不重複敘述。在實際應用中,威脅資訊更新裝置120、130、及140可分別將對於客戶端網路系統150、160、及170的連網行為的監測記錄,傳送給前攝性可疑網域示警系統110進行各種分析與判斷。
當網域資訊監測裝置112發現一新註冊網域時,可將該新註冊網域的相關資訊儲存在網域資訊儲存裝置114中,並通知資安威脅分析裝置116。
例如,網域資訊監測裝置112可在每次發現一新註冊網域時,便直接將該新註冊網域的相關資訊儲存在網域資訊儲存裝置114中,並通知資安威脅分析裝置116。
或者,網域資訊監測裝置112可在每次發現一新註冊網域時先檢核該新註冊網域的當前網域年齡,且只有在該新註冊網域的當前網域年齡小於一第一臨界值的情況下,才將該新註冊網域的相關資訊儲存在網域資訊儲存裝置114中,並通知資安威脅分析裝置116。
在流程206中,資安威脅分析裝置116可將網域資訊監測裝置112所通知的新註冊網域做為一嫌疑網域(suspect domain),並列入一嫌疑名單(suspect list)。
在流程208中,資安威脅分析裝置116可透過網路傳送嫌疑名單給威脅資訊更新裝置120、130、及140。實作上,資安威脅分析裝置116可在嫌疑名單的內容有任何更動時,便即時將最新的嫌疑名單傳送給威脅資訊更新裝置120、130、及140。或者,資安威脅分析裝置116也可間歇性地或週期性地將當前的嫌疑名單傳送給威脅資訊更新裝置120、130、及140。
網域資訊監測裝置112與資安威脅分析裝置116會重複進行前述流程202至流程208的運作。
在流程210中,威脅資訊更新裝置120、130、及140會分別利用通信電路122、132、及142接收資安威脅分析裝置116傳來的嫌疑名單。
在流程212中,威脅資訊更新裝置120、130、及140會分別檢核相應客戶端網路系統150、160、及170中的成員裝置的網域存取行為,以判斷在客戶端網路系統150、160、及170中是否有任何成員裝置曾經嘗試存取列在嫌疑名單中的網域。
例如,威脅資訊更新裝置120的處理電路124在流程212中可根據客戶端網路系統150中的個別成員裝置的前述連網行為紀錄,來分析客戶端網路系統150中的個別成員裝置的網域存取行為,以判斷在客戶端網路系統150中是否有任何成員裝置曾經嘗試存取列在嫌疑名單中的網域。
又例如,網路管理裝置152可複製客戶端網路系統150中的個別成員裝置與外部網路之間的每個網路封包,並將複製的網路封包傳送給威脅資訊更新裝置120的通信電路122。在流程212中,威脅資訊更新裝置120的處理電路124可檢查前述網路封包的目的地網址(destination address)和/或來源網址(source address)的欄位內容,以判斷該成員裝置是否曾經嘗試存取列在嫌疑名單中的網域。
又例如,網路管理裝置152可複製客戶端網路系統150中的個別成員裝置與外部網路之間的每個網路封包的目的地網址和/或來源網址的欄位內容,並將複製的欄位內容傳送給威脅資訊更新裝置120的通信電路122。在流程212中,威脅資訊更新裝置120的處理電路124可檢查前述的欄位內容,以判斷該成員裝置是否曾經嘗試存取列在嫌疑名單中的網域。
又例如,網路管理裝置152可檢查客戶端網路系統150中的個別成員裝置與外部網路之間的每個網路封包的目的地網址和/或來源網址的欄位內容,以判斷該成員裝置是否曾經嘗試存取列在嫌疑名單中的網域,並將判斷結果傳送給威脅資訊更新裝置120的通信電路122。在流程212中,威脅資訊更新裝置120的處理電路124可依據網路管理裝置152傳來的判斷結果,迅速得知客戶端網路系統150中是否有任何成員裝置曾經嘗試存取列在嫌疑名單中的網域。
同樣地,威脅資訊更新裝置130可比照前述威脅資訊更新裝置120的運作方式,搭配相應的一或多個網路管理裝置162來檢核相應的客戶端網路系統160中的成員裝置的網域存取行為,且威脅資訊更新裝置140也可比照前述威脅資訊更新裝置120的運作方式,搭配相應的一或多個網路管理裝置172來檢核相應的客戶端網路系統170中的成員裝置的網域存取行為。
如圖2所示,資安威脅分析裝置116在傳送嫌疑名單給威脅資訊更新裝置120、130、及140後,也會進行流程214,以等待威脅資訊更新裝置120、130、及140的檢核結果。
在資安威脅分析裝置116等待威脅資訊更新裝置120、130、及140產生網域存取通知的過程中,資安威脅分析裝置116可指示網域資訊監測裝置112間歇性地或週期性地進行流程216。
在流程216中,網域資訊監測裝置112可檢核嫌疑名單中的個別嫌疑網域的當前網域年齡。倘若網域資訊監測裝置112檢核發現嫌疑名單中的特定嫌疑網域的當前網域年齡尚未超過前述的第一臨界值,則前攝性可疑網域示警系統110可重複進行流程214與流程216的運作。在此情況下,該特定嫌疑網域會被資安威脅分析裝置116保留在嫌疑名單中繼續觀察。
反之,倘若網域資訊監測裝置112檢核發現嫌疑名單中的特定嫌疑網域的當前網域年齡已超過前述的第一臨界值,則網域資訊監測裝置112會將特定嫌疑網域的當前網域年齡已超過前述的第一臨界值的情況,通知資安威脅分析裝置116。在此情況下,資安威脅分析裝置116會進行流程218。
在流程218中,資安威脅分析裝置116會判定該特定嫌疑網域到目前為止並無明顯的網路資安威脅,並將該特定嫌疑網域從嫌疑名單中移除。接著,資安威脅分析裝置116會進行流程208,以將更新後的嫌疑名單傳送給威脅資訊更新裝置120、130、及140。
前述第一臨界值的長度,與資安威脅分析裝置116評估嫌疑名單中的嫌疑網域的網域威脅風險的敏感度及觀察時間長短有關。實作上,可將前述的第一臨界值設置為介於1小時至120小時之間的時間長度,例如,1.5小時、2小時、3小時、5小時、10小時、12小時、15小時、18小時、24小時、36小時、48小時、50小時、60小時、72小時、80小時、96小時、或是100小時等等。
由前述說明可知,在網域資訊監測裝置112發現新註冊網域後,新註冊網域就會被資安威脅分析裝置116當成嫌疑網域,並列入嫌疑名單中進行觀察。在嫌疑名單中的特定嫌疑網域的網域年齡尚未超過前述的第一臨界值之前,即便該特定嫌疑網域沒有被任何客戶端網路系統中的任何成員裝置嘗試存取,該特定嫌疑網域仍會被資安威脅分析裝置116保留在嫌疑名單之中繼續觀察。此時,威脅資訊更新裝置120、130、及140並不會阻擋相應的客戶端網路系統對該特定的嫌疑網域的存取動作。
請注意,倘若該特定嫌疑網域的網域年齡已超過第一臨界值卻仍未被任何客戶端網路系統中的任何成員裝置嘗試存取,則該特定嫌疑網域會被資安威脅分析裝置116從嫌疑名單中移除。這樣的做法可減少嫌疑名單中的嫌疑網域的數量,不只能夠降低網域資訊監測裝置112所需的運算負擔、儲存空間需求、和/或記憶體需求,還能夠減輕威脅資訊更新裝置120、130、及140進行前述流程212的檢核運作時的運算負擔、儲存空間需求、和/或記憶體需求。例如,根據測試的結果,將前述的第一臨界值設置為介於1小時至72小時之間的時間長度,可有效降低網域資訊監測裝置112和威脅資訊更新裝置120、130、及140所需的運算負擔、儲存空間需求、和/或記憶體需求,而不會嚴重降低網路資安威脅防護系統100的資安防護效能,因此能夠讓前述裝置在防護效能與資源使用效率上獲得較平衡的設置。
另一方面,如圖2所示,任一威脅資訊更新裝置在進行流程212時,倘若發現相應的客戶端網路系統中有成員裝置試圖存取嫌疑名單中的網域,則該威脅資訊更新裝置可進行流程220,以產生及傳送一相應的網域存取通知給前攝性可疑網域示警系統110。在此情況下,資安威脅分析裝置116會進行流程222,以接收該威脅資訊更新裝置產生的網域存取通知。
為了方便說明起見,以下假設威脅資訊更新裝置120的處理電路124在進行前述流程212的運作時,發現相應的客戶端網路系統150中有一或多個成員裝置試圖存取嫌疑名單中的一嫌疑網域SD1。
在此情況下,處理電路124會進行流程220,以產生與嫌疑網域SD1相應的一網域存取通知,並將該網域存取通知透過通信電路122傳送給資安威脅分析裝置116。另一方面,資安威脅分析裝置116則會進行流程222,以接收威脅資訊更新裝置120產生的網域存取通知。
請注意,此時嫌疑網域SD1的網域年齡尚未超過前述的第一臨界值,代表嫌疑網域SD1是不久之前才完成註冊的新註冊網域。一般而言,大多數的正常網域在完成註冊之後的一段合理時間內,都還不會被正式公開使用。而且,新註冊網域的管理者或擁有者以外的其他絕大多數人,照理說也應該還不會知道新註冊網域的存在,所以在正常的情況下也不太可能會使用自己的連網設備去試圖存取新註冊網域。
然而,嫌疑網域SD1在當前網域年齡還沒超過前述的第一臨界值的情況下,竟然就已被客戶端網路系統150中的成員裝置嘗試存取,這顯然不太像是一般新註冊網域的典型使用態樣。
因此,資安威脅分析裝置116在接收到前述與嫌疑網域SD1相應的網域存取通知後,會將嫌疑網域SD1當成具有網路資安風險的網域。例如,將嫌疑網域SD1判定為有可能是駭客利用釣魚郵件、釣魚網站、或釣魚簡訊進行網路攻擊時所使用的惡意網域;將嫌疑網域SD1判定為駭客測試木馬程式是否已成功植入客戶端網路系統150中的成員裝置時所使用的測試網域;或是將嫌疑網域SD1判定為已植入用戶端裝置的惡意程式碼想要連線的惡意網域。
在此情況下,資安威脅分析裝置116會進行圖3中的流程302,以將嫌疑網域SD1列入一警示名單(alert list)。同時,資安威脅分析裝置116可將嫌疑網域SD1從前述的嫌疑名單中移除,或是繼續保留在嫌疑名單中一段時間。
在流程304中,資安威脅分析裝置116可透過網路傳送警示名單給威脅資訊更新裝置120、130、及140。實作上,資安威脅分析裝置116可在警示名單的內容有任何更動時,便即時將最新的警示名單傳送給威脅資訊更新裝置120、130、及140。或者,資安威脅分析裝置116也可間歇性地或週期性地將當前的警示名單傳送給威脅資訊更新裝置120、130、及140。
在流程306中,威脅資訊更新裝置120、130、及140會分別利用通信電路122、132、及142接收資安威脅分析裝置116傳來的警示名單。
在流程308中,威脅資訊更新裝置120、130、及140會阻擋相應客戶端網路中的成員裝置存取警示名單中的網域。例如,威脅資訊更新裝置120的處理電路124可直接封鎖客戶端網路系統150中的所有成員裝置對於警示名單中的網域的存取權限,或是指示相應的網路管理裝置152封鎖客戶端網路系統150中的所有成員裝置對於警示名單中的網域的存取權限。
同樣地,威脅資訊更新裝置130的處理電路134可直接封鎖客戶端網路系統160中的所有成員裝置對於警示名單中的網域的存取權限,或是指示相應的網路管理裝置162封鎖客戶端網路系統160中的所有成員裝置對於警示名單中的網域的存取權限。威脅資訊更新裝置140的處理電路144可直接封鎖客戶端網路系統170中的所有成員裝置對於警示名單中的網域的存取權限,或是指示相應的網路管理裝置172封鎖客戶端網路系統170中的所有成員裝置對於警示名單中的網域的存取權限。
在本實施例中,就算只有單一威脅資訊更新裝置120傳送與嫌疑網域SD1相應的網域存取通知給資安威脅分析裝置116,而其他的威脅資訊更新裝置130及140都沒有傳送與嫌疑網域SD1相應的網域存取通知給資安威脅分析裝置116,資安威脅分析裝置116也會將嫌疑網域SD1列入警示名單,並將警示名單傳佈給威脅資訊更新裝置120、130、及140,以致使威脅資訊更新裝置120、130、及140開始阻擋客戶端網路系統150、160、及170中的所有成員電路對於嫌疑網域SD1的存取權限。
換言之,雖然嫌疑網域SD1只是被發現被單一客戶端網路系統150中的某一個或某幾個成員裝置試圖存取,但仍然會被資安威脅分析裝置116列入警示名單,進而導致威脅資訊更新裝置120、130、及140開始阻擋客戶端網路系統150、160、及170中的所有成員電路存取嫌疑網域SD1。
因此,就算嫌疑網域SD1真的是駭客進行網路攻擊時所使用的惡意網域、駭客測試木馬程式時所使用的測試網域、或是已植入某個用戶端裝置的惡意程式碼想要連線的惡意網域,但也難以對客戶端網路系統150、160、及170中的其他成員裝置造成進一步危害,因為威脅資訊更新裝置120、130、及140已根據資安威脅分析裝置116提供的資安威脅情資(警示名單),開始阻擋客戶端網路系統150、160、及170中的所有成員電路存取嫌疑網域SD1。
由前述說明可知,即便嫌疑網域SD1才剛註冊不久(其當前網域年齡尚未超過第一臨界值),但只要有任一威脅資訊更新裝置發現任一客戶端網路系統中的任一成員裝置試圖存取嫌疑網域SD1,資安威脅分析裝置便會將嫌疑網域SD1列入警示名單,以大幅提前威脅資訊更新裝置120、130、及140開始阻擋客戶端網路系統150、160、及170存取嫌疑網域SD1的時間點。
如此一來,便可對駭客利用新註冊的嫌疑網域SD1進行網路攻擊的行動造成阻礙,進而有效增加駭客實施網路攻擊的困難度。
從另一角度而言,前述的前攝性可疑網域示警系統110可對客戶端網路系統150、160、及170提供前攝性網路資安防護,進而提高對於客戶端網路系統150、160、及170的網路資安防護嚴密程度。
很明顯地,前述的資安防護機制將迫使駭客必需註冊更多的網域來使用,所以能夠大幅拉高駭客實施網路攻擊的成本,進而降低駭客進行網路攻擊的可能性。
如圖3所示,資安威脅分析裝置116在傳送警示名單給威脅資訊更新裝置120、130、及140後會進行流程310,以等待關於警示名單中的嫌疑網域的進一步資安威脅評估結果或特定指令。
為了方便說明起見,以下以前述被列入警示名單中的嫌疑網域SD1為例來加以說明。
例如,資安威脅分析裝置116可採用各種合適的演算法或統計方式,根據網域資訊儲存裝置114中所記錄的網域資料、或是威脅資訊更新裝置120、130、及140所收集的客戶端網路系統150、160、及170的連網行為紀錄,來進一步評估嫌疑網域SD1的資安風險。
又例如,網域資訊監測裝置112可透過合適的私人網路或網際網路,連線到一或多個可疑網域資訊收集裝置104,以查詢嫌疑網域SD1是否被其他資安威脅評估單位或資安防護服務提供者判別為可疑網域,並將查詢結果回報給資安威脅分析裝置116進一步評估嫌疑網域SD1的資安風險。實作上,前述的可疑網域資訊收集裝置104可用各種具有連網能力、運算能力、以及資料回應能力的單一處理器模塊、多個處理器模塊的組合、單一電腦系統、多個電腦系統的組合、單一伺服器、多個伺服器的組合、或是雲端運算系統來實現。
又例如,網域資訊監測裝置112可透過合適的私人網路或網際網路,連線到一或多個網域擁有者資訊偵測裝置106,以檢核嫌疑網域SD1的網域擁有者資訊,並將檢核結果回報給資安威脅分析裝置116。資安威脅分析裝置116可根據嫌疑網域SD1的網域擁有者資訊,結合其他各種網路資安情資進行綜合判斷,以進一步評估嫌疑網域SD1的資安風險。實作上,前述的網域擁有者資訊偵測裝置106可用各種具有連網能力、運算能力、以及資料回應能力的單一處理器模塊、多個處理器模塊的組合、單一電腦系統、多個電腦系統的組合、單一伺服器、多個伺服器的組合、或是雲端運算系統來實現。
前述的可疑網域資訊收集裝置104和/或網域擁有者資訊偵測裝置106,可以是由前攝性可疑網域示警系統110的運營者和/或管理者負責管理與操作的設備。或者,可疑網域資訊收集裝置104和/或網域擁有者資訊偵測裝置106,也可以是由其他第三方服務提供者負責管理與操作的設備。
又例如,資安威脅分析裝置116也可等待專業的資安分析人員利用各種工具或方法對嫌疑網域SD1進行資安威脅評估後,對資安威脅分析裝置116所下達的特定指令,例如,用來將嫌疑網域SD1列入具有高度資安風險的危險名單的設定指令。
倘若資安威脅分析裝置116計算出代表嫌疑網域SD1具有高度資安風險的特定風險評估結果,或是接收到資安分析人員所下達將嫌疑網域SD1列入危險名單的設定指令,則資安威脅分析裝置116會進行流程312。
在流程312中,資安威脅分析裝置116可根據前述的特定風險評估結果或設定指令,將嫌疑網域SD1列入一危險名單(dangerous list)。實作上,資安威脅分析裝置116在將嫌疑網域SD1列入危險名單後,可以選擇性地(optionally)將嫌疑網域SD1從原先的警示名單中移除。
在流程314中,資安威脅分析裝置116可透過網路傳送危險名單給威脅資訊更新裝置120、130、及140。實作上,資安威脅分析裝置116可在危險名單的內容有任何更動時,便即時將最新的危險名單傳送給威脅資訊更新裝置120、130、及140。或者,資安威脅分析裝置116也可間歇性地或週期性地將當前的危險名單傳送給威脅資訊更新裝置120、130、及140。
在流程316中,威脅資訊更新裝置120、130、及140會分別利用通信電路122、132、及142接收資安威脅分析裝置116傳來的危險名單。
在流程318中,威脅資訊更新裝置120、130、及140會阻擋相應客戶端網路中的成員裝置存取危險名單中的網域。例如,威脅資訊更新裝置120的處理電路124可直接封鎖客戶端網路系統150中的所有成員裝置對於危險名單中的網域的存取權限,或是指示相應的網路管理裝置152封鎖客戶端網路系統150中的所有成員裝置對於危險名單中的網域的存取權限。
同樣地,威脅資訊更新裝置130的處理電路134可直接封鎖客戶端網路系統160中的所有成員裝置對於危險名單中的網域的存取權限,或是指示相應的網路管理裝置162封鎖客戶端網路系統160中的所有成員裝置對於危險名單中的網域的存取權限。威脅資訊更新裝置140的處理電路144可直接封鎖客戶端網路系統170中的所有成員裝置對於危險名單中的網域的存取權限,或是指示相應的網路管理裝置172封鎖客戶端網路系統170中的所有成員裝置對於危險名單中的網域的存取權限。
如圖3所示,在資安威脅分析裝置116等待關於警示名單中的嫌疑網域的資安威脅評估結果或特定指令的過程中,資安威脅分析裝置116可指示網域資訊監測裝置112間歇性地或週期性地進行流程320。
在流程320中,網域資訊監測裝置112可檢核警示名單中的個別嫌疑網域的當前網域年齡。倘若網域資訊監測裝置112檢核發現警示名單中的特定嫌疑網域的當前網域年齡尚未超過一第二臨界值,則前攝性可疑網域示警系統110可重複進行流程310與流程320的運作。在此情況下,該特定嫌疑網域會被資安威脅分析裝置116保留在警示名單中。
反之,倘若網域資訊監測裝置112檢核發現警示名單中的特定嫌疑網域的當前網域年齡已超過前述的第二臨界值,則網域資訊監測裝置112會將特定嫌疑網域的當前網域年齡已超過前述的第二臨界值的情況,通知資安威脅分析裝置116。在此情況下,資安威脅分析裝置116會進行流程322。
在流程322中,資安威脅分析裝置116會判定該特定嫌疑網域的網路資安威脅等級不高,並將該特定嫌疑網域從警示名單中移除。接著,資安威脅分析裝置116會進行流程304,以將更新後的警示名單傳送給威脅資訊更新裝置120、130、及140。
前述第二臨界值的長度,與資安威脅分析裝置116評估警示名單中的嫌疑網域的網域威脅風險的敏感度及阻擋時間長短有關。實作上,可將第二臨界值設置成大於或等於前述的第一臨界值。在本實施例中,可將第二臨界值設置為介於12小時至200小時之間的時間長度,例如,15小時、18小時、24小時、36小時、48小時、50小時、60小時、72小時、80小時、96小時、100小時、110小時、120小時、150小時、168小時、180小時、200小時等等。
以前述被列入警示名單中的嫌疑網域SD1為例,在嫌疑網域SD1的網域年齡尚未超過前述的第二臨界值之前,只要資安威脅分析裝置116尚未計算出代表嫌疑網域SD1具有高度資安風險的特定風險評估結果,也沒有接收到資安分析人員所下達將嫌疑網域SD1列入危險名單的設定指令,則嫌疑網域SD1就會被資安威脅分析裝置116保留在警示名單之中繼續評估。此時,威脅資訊更新裝置120、130、及140會繼續阻擋相應的客戶端網路系統對嫌疑網域SD1的存取動作。
請注意,倘若嫌疑網域SD1的網域年齡已超過第二臨界值卻仍未被資安威脅分析裝置116列入危險名單,則資安威脅分析裝置116便會判定嫌疑網域SD1的網路資安威脅等級不高,並將嫌疑網域SD1從警示名單中移除。這樣的做法可減少警示名單中的嫌疑網域的數量,不只能夠降低網域資訊監測裝置112及資安威脅分析裝置116所需的運算負擔、儲存空間需求、和/或記憶體需求,還能夠減輕威脅資訊更新裝置120、130、及140進行前述流程308的阻擋運作時的運算負擔、儲存空間需求、和/或記憶體需求。例如,根據測試的結果,將前述的第二臨界值設置為介於24小時至168小時之間的時間長度,可有效降低網域資訊監測裝置112、資安威脅分析裝置116、和威脅資訊更新裝置120、130、及140所需的運算負擔、儲存空間需求、和/或記憶體需求,而不會嚴重降低網路資安威脅防護系統100的資安防護效能,因此能夠讓前述裝置在防護效能與資源使用效率上獲得較平衡的設置。
從另一角度而言,前述在適當條件成立時將嫌疑網域從警示名單中移除的做法,也能有效提升資安威脅分析裝置116以及威脅資訊更新裝置120、130、及140在進行相關資安分析比對運算時的運算效率與反應速度。
另外,由前述說明可知,被列在警示名單中的網域只是處於被暫時阻擋的狀態。如前所述,倘若警示名單中的特定網域的網域年齡已超過第二臨界值卻仍未被列入危險名單,則該特定網域便會被資安威脅分析裝置116從警示名單中移除。如此一來,威脅資訊更新裝置120、130、及140便可允許相應的客戶端網路系統150、160、及170中的成員裝置對該特定網域進行存取。
相較之下,被列在危險名單中的網域由於被資安威脅分析裝置116或其他專業資安分析人員判定為具有較高的網路資安威脅,所以會處於被長期或永久阻擋的狀態。
接下來,將搭配圖4至圖5來進一步說明網路資安威脅防護系統100針對不同屬性的網域進行網域威脅評估的運作方式。圖4至圖5為本發明判斷已註冊超過一段時間的網域是否具有資安威脅的方法的一實施例簡化後的流程圖。
如前述圖2的流程運作說明所述,倘若嫌疑網域的網域年齡已超過前述的第一臨界值卻仍未被任何客戶端網路系統中的任何成員裝置嘗試存取,則這些嫌疑網域會被資安威脅分析裝置116從嫌疑名單中移除。從某一角度而言,這些嫌疑網域是已註冊超過一段時間(例如,網域年齡超過前述的第一臨界值)、但目前看起來似乎不像是具有明顯資安風險疑慮的網域。
然而,駭客使用惡意網域進行網路攻擊的技巧跟態樣變化非常多。曾發現有些駭客有時候會故意將惡意網域的網域對應(domain mapping)設置成指向已被植入惡意程式碼的成員裝置的本機地址,以企圖藉此隱匿惡意網域和/或已植入成員裝置的惡意程式碼。這是因為在前述情況下,已植入該成員裝置的惡意程式碼就暫時不會透過網路存取外部的惡意網域,類似處於休眠或潛伏狀態,因而導致專業的網路資安分析人員跟既有的網路資安防護工具很難發覺惡意網域跟惡意程式碼的存在。
倘若之後駭客又將惡意網域的網域對應修改成某個外部的網路位址,該成員裝置便很容易遭受網路攻擊,甚至使駭客的攻擊蔓延到其他相關的設備。
為了降低前述的駭客攻擊手法可能對客戶端網路系統造成的傷害,網路資安威脅防護系統100可執行圖4至圖5的方法,以判斷已註冊超過一段時間的網域是否具有資安威脅。
如圖4所示,在網路資安威脅防護系統100進行運作時,前攝性可疑網域示警系統110可進行圖4中的流程402。與此同時,威脅資訊更新裝置120、130、及140則可繼續按照前述圖2至圖3的流程圖的方法進行運作,以阻擋客戶端網路系統150、160、及170中的成員裝置存取前述警示名單中的網域及危險名單中的網域。
在流程402中,前攝性可疑網域示警系統110的網域資訊監測裝置112會監測已註冊超過一段時間(例如,網域年齡超過前述的第一臨界值)的多個嫌疑網域的網域對應(domain mapping)的變動情況(variation)。例如,網域資訊監測裝置112可透過網際網路連線到各種類型的網路註冊管理機構的網站或伺服器,以查詢某個地區、某些地區、或是全球範圍的已註冊網域的網域對應資料。
又例如,網域資訊監測裝置112可透過合適的私人網路或網際網路,連線到前述的一或多個網域名稱系統監測裝置102,以接收網域名稱系統監測裝置102所收集的網域對應資料。實作上,前述的網域名稱系統監測裝置102可用各種具有連網能力、運算能力、以及資料查核能力的單一處理器模塊、多個處理器模塊的組合、單一電腦系統、多個電腦系統的組合、單一伺服器、多個伺服器的組合、或是雲端運算系統來實現。
在一實施例中,前述的嫌疑網域的網域對應包含該嫌疑網域的A記錄(A record)、或該嫌疑網域的AAAA記錄(AAAA record)。
在另一實施例中,前述的嫌疑網域的網域對應除了A記錄、或AAAA記錄之外,還包含該嫌疑網域的名稱伺服器記錄(NS record)、和/或該嫌疑網域的郵件交換記錄(MX record)。
倘若該嫌疑網域的網域對應沒有發生變動,則網域資訊監測裝置112可重複進行流程402,以在之後的不同時間點,間歇性地或週期性地多次查核該嫌疑網域的網域對應資訊,藉此監測該嫌疑網域的網域對應是否發生變動。
反之,倘若網域資訊監測裝置112發現該嫌疑網域的網域對應有發生變動,則網域資訊監測裝置112會進行流程404,以進一步檢核該嫌疑網域的新網域對應的指向目標(destination address)是否指向一預定的本機地址、或是複數個預定的本機地址的其中之一。例如,網域資訊監測裝置112可檢核該嫌疑網域的新網域對應的是否指向一第一預定本機地址「127.0.0.1」、或是否指向一第二預定本機地址「0.0.0.0」、或是否指向前述兩個預定本機地址的其中任何一個。
為了方便說明起見,以下假設該嫌疑網域是前述的嫌疑網域SD1。
倘若網域資訊監測裝置112發現嫌疑網域SD1的新網域對應,確實是指向前述的第一預定本機地址或第二預定本機地址,則可將嫌疑網域SD1的相關資訊儲存在網域資訊儲存裝置114中,並傳送一相應的通知給資安威脅分析裝置116。資安威脅分析裝置116會在收到該通知後進行流程406,以將嫌疑網域SD1列入一追蹤名單(tracking list)。
反之,倘若網域資訊監測裝置112發現嫌疑網域SD1的新網域對應並非指向任何一個預定的本機地址,則可將嫌疑網域SD1的相關資訊傳送給資安威脅分析裝置116。資安威脅分析裝置116在收到嫌疑網域SD1的相關資訊後,會進一步判斷嫌疑網域SD1是否已列入追蹤名單中。
倘若嫌疑網域SD1並未被列入追蹤名單,則資安威脅分析裝置116會判定嫌疑網域SD1不具資安威脅、或是資安威脅很低。在此情況下,資安威脅分析裝置116會進行流程408,以捨棄(discard)嫌疑網域SD1。
反之,倘若嫌疑網域SD1已存在追蹤名單中,則資安威脅分析裝置116會進行流程410,將嫌疑網域SD1繼續保留在追蹤名單中。
資安威脅分析裝置116會指示網域資訊監測裝置112,對列入或保留在追蹤名單中的各個嫌疑網域的一網域對應變動頻率(domain mapping variation frequency)進行監測,以判斷各個嫌疑網域的網域對應變動頻率是否超過一預定值。
因此,網域資訊監測裝置112會針對追蹤名單中的個別的嫌疑網域進行流程412,以監測該嫌疑網域的網域對應變動頻率。
以嫌疑網域SD1為例,網域資訊監測裝置112可記錄嫌疑網域SD1的網域對應的變動歷史,並計算嫌疑網域SD1的網域對應在一預定時間長度內的變化次數,以產生嫌疑網域SD1所對應的一網域對應變動頻率,並將該網域對應變動頻率與前述的預定值進行比較。
倘若嫌疑網域SD1的網域對應變動頻率沒有超過前述的預定值,則網域資訊監測裝置112會間歇性地或週期性地重複進行流程412,以持續監測嫌疑網域SD1的網域對應變動頻率是否會超過前述的預定值,直到嫌疑網域SD1被資安威脅分析裝置116從追蹤名單中移除為止。
反之,倘若嫌疑網域SD1的網域對應變動頻率超過了前述的預定值,則網域資訊監測裝置112會傳送一相應的通知給資安威脅分析裝置116。
一般而言,大多數的正常網域在網域年齡超過一定程度(例如,超過前述的第二臨界值)之後,其管理者或擁有者通常不會將其網域對應修改成指向特定的本機地址,更沒有道理在將網域對應改成指向特定的本機地址一陣子之後,又頻繁地更改網域對應。
然而,嫌疑網域SD1的網域對應先是被改成指向前述的第一預定本機地址或第二預定本機地址,然後又發生了網域對應變動頻率超過前述預定值的情況,這顯然不太像是一般正常網域的典型使用態樣。
因此,在資安威脅分析裝置116接收到網域資訊監測裝置112傳來有關嫌疑網域SD1的網域對應變動頻率超過前述預定值的通知後,會將嫌疑網域SD1當成具有網路資安風險的網域。例如,可將嫌疑網域SD1判定是曾經被駭客刻意隱匿的惡意網域。
在此情況下,資安威脅分析裝置116會進行圖5中的流程502,以將嫌疑網域SD1列入一阻擋名單(block list)。
在流程504中,資安威脅分析裝置116可透過網路傳送阻擋名單給威脅資訊更新裝置120、130、及140。實作上,資安威脅分析裝置116可在阻擋名單的內容有任何更動時,便即時將最新的阻擋名單傳送給威脅資訊更新裝置120、130、及140。或者,資安威脅分析裝置116也可間歇性地或週期性地將當前的阻擋名單傳送給威脅資訊更新裝置120、130、及140。
在流程506中,威脅資訊更新裝置120、130、及140會分別利用通信電路122、132、及142接收資安威脅分析裝置116傳來的阻擋名單。
在流程508中,威脅資訊更新裝置120、130、及140會阻擋相應客戶端網路中的成員裝置存取阻擋名單中的網域。例如,威脅資訊更新裝置120的處理電路124可直接封鎖客戶端網路系統150中的所有成員裝置對於阻擋名單中的網域的存取權限,或是指示相應的網路管理裝置152封鎖客戶端網路系統150中的所有成員裝置對於阻擋名單中的網域的存取權限。
同樣地,威脅資訊更新裝置130的處理電路134可直接封鎖客戶端網路系統160中的所有成員裝置對於阻擋名單中的網域的存取權限,或是指示相應的網路管理裝置162封鎖客戶端網路系統160中的所有成員裝置對於阻擋名單中的網域的存取權限。威脅資訊更新裝置140的處理電路144可直接封鎖客戶端網路系統170中的所有成員裝置對於阻擋名單中的網域的存取權限,或是指示相應的網路管理裝置172封鎖客戶端網路系統170中的所有成員裝置對於阻擋名單中的網域的存取權限。
在本實施例中,即使前述的威脅資訊更新裝置120、130、及140都沒有傳送與嫌疑網域SD1相關的網域存取通知或其他的資安威脅參考資訊給資安威脅分析裝置116,只要網域資訊監測裝置112對嫌疑網域SD1的網域對應的變動情況及變動頻率的監測結果符合前述的條件,資安威脅分析裝置116就會將嫌疑網域SD1列入阻擋名單,並將阻擋名單傳佈給威脅資訊更新裝置120、130、及140,以致使威脅資訊更新裝置120、130、及140開始阻擋客戶端網路系統150、160、及170中的所有成員電路對於嫌疑網域SD1的存取權限。
換言之,即便駭客有時候故意將嫌疑網域SD1的網域對應設置成指向預定的本機地址,以企圖藉此隱匿嫌疑網域SD1和/或已植入成員裝置的惡意程式碼,但只要之後嫌疑網域SD1的網域對應變動頻率超過預定值,嫌疑網域SD1仍會被資安威脅分析裝置116列入阻擋名單。
如此一來,便可破壞駭客想藉此隱匿嫌疑網域SD1和/或惡意程式碼的企圖,並可對駭客之後利用嫌疑網域SD1進行網路攻擊的行動造成阻礙,所以能夠有效增加駭客實施網路攻擊的困難度。
另外,由於前述的資安防護機制可增加駭客在不同時段重複使用同一個嫌疑網域SD1進行網路攻擊的困難度,迫使駭客必需註冊更多的網域來使用,所以能夠大幅拉高駭客實施網路攻擊的成本,進而降低駭客進行網路攻擊的可能性。
從另一角度而言,前述的前攝性可疑網域示警系統110可對客戶端網路系統150、160、及170提供前攝性網路資安防護,進而提高對於客戶端網路系統150、160、及170的網路資安防護嚴密程度。
如圖5所示,資安威脅分析裝置116在將嫌疑網域SD1列入阻擋名單後,還會指示網域資訊監測裝置112進行流程510,以繼續監測嫌疑網域SD1的網域對應的變動情況。
網域資訊監測裝置112在流程510中監測嫌疑網域SD1的網域對應的變動情況的方式,與前述的流程402實質上相同,為簡潔起見,在此不重複敘述。
同樣地,倘若網域資訊監測裝置112發現嫌疑網域SD1的網域對應再次發生變動,則網域資訊監測裝置112會進行流程512,以進一步檢核嫌疑網域SD1此時的新網域對應的指向目標是否指向前述的第一預定本機地址、或是否指向前述的第二預定本機地址、或是否指向前述兩個預定本機地址的其中任何一個。
倘若網域資訊監測裝置112發現嫌疑網域SD1的新網域對應並非指向任何一個預定的本機地址,則會重複進行流程510,以繼續監測嫌疑網域SD1的網域對應的變動情況。在此情況下,嫌疑網域SD1仍會被資安威脅分析裝置116保留在阻擋名單中。因此,威脅資訊更新裝置120、130、及140會繼續阻擋客戶端網路系統150、160、及170中的所有成員電路存取嫌疑網域SD1。
反之,倘若網域資訊監測裝置112發現嫌疑網域SD1的新網域對應,又再次指向前述的第一預定本機地址或第二預定本機地址,則會傳送一相應的通知給資安威脅分析裝置116。資安威脅分析裝置116會在收到該通知後進行流程514。
在流程514中,資安威脅分析裝置116會判定嫌疑網域SD1先前所造成的資安威脅將暫時解除。這是因為嫌疑網域SD1的新網域對應已被再次改成指向前述的第一預定本機地址或第二預定本機地址後,所以就算成員裝置已被植入惡意程式碼,但該惡意程式碼暫時並不會存取外部的惡意網域,所以暫時不會造成實質的網路資安威脅。
因此,資安威脅分析裝置116在流程514中會將嫌疑網域SD1從阻擋名單中移除,但仍會將嫌疑網域SD1保留在追蹤名單中。在此情況下,網域資訊監測裝置112會重複進行前述的流程412,以持續監測嫌疑網域SD1的網域對應變動頻率。
由前述說明可知,在嫌疑網域SD1被列入阻擋名單之後,倘若嫌疑網域SD1的網域對應被再次改成指向前述的第一預定本機地址或第二預定本機地址,則資安威脅分析裝置116便會判定嫌疑網域SD1的網路資安威脅將暫時解除,因此會將嫌疑網域SD1從阻擋名單中移除。這樣的做法可減少阻擋名單中的嫌疑網域的數量,不只能夠降低網域資訊監測裝置112及資安威脅分析裝置116所需的運算負擔、儲存空間需求、和/或記憶體需求,還能夠減輕威脅資訊更新裝置120、130、及140進行前述流程508的阻擋運作時的運算負擔、儲存空間需求、和/或記憶體需求。
從另一角度而言,前述在適當條件成立時將嫌疑網域從阻擋名單中移除的做法,也能有效提升資安威脅分析裝置116以及威脅資訊更新裝置120、130、及140在進行相關資安分析比對運算時的運算效率與反應速度。
另外,由圖4至圖5的流程圖內容可知,倘若之後網域資訊監測裝置112又再次發現嫌疑網域SD1的網域對應變動頻率超過了前述的預定值,則資安威脅分析裝置116會再次進行圖5中的流程502,以及時將嫌疑網域SD1再次列入阻擋名單。在此情況下,威脅資訊更新裝置120、130、及140又會開始阻擋客戶端網路系統150、160、及170中的所有成員電路對於嫌疑網域SD1的存取權限。
因此,就算嫌疑網域SD1真的是駭客進行網路攻擊時所使用的惡意網域、駭客測試木馬程式時所使用的測試網域、或是已植入某個用戶端裝置的惡意程式碼想要連線的惡意網域,但也難以對客戶端網路系統150、160、及170中的其他成員裝置造成進一步危害,因為資安威脅分析裝置116會及時更新提供給威脅資訊更新裝置120、130、及140的資安威脅情資(阻擋名單),所以嫌疑網域SD1能對客戶端網路系統150、160、及170造成的破壞會被有效控制在相當有限的範圍內。
藉由採用前述圖4至圖5的方法,前攝性可疑網域示警系統110有機會致使威脅資訊更新裝置120、130、及140能夠在早於嫌疑網域SD1造成實質破壞之前,就開始阻擋客戶端網路系統150、160、及170中的所有成員電路存取嫌疑網域SD1。如此一來,駭客試圖利用嫌疑網域SD1進行的網路攻擊行動,甚至可能被網路資安威脅防護系統100所採用的前述資安防護機制完全抑制。
從另一角度而言,採用前述圖4至圖5的方法來評估已註冊超過一段時間的嫌疑網域是否具有潛在的網路資安威脅,可對駭客利用舊網域進行網路攻擊的行動造成阻礙,進而有效增加駭客實施網路攻擊的困難度。
很明顯地,前述的資安防護機制將迫使駭客必需註冊更多的網域來使用,所以能夠大幅拉高駭客實施網路攻擊的成本,進而降低駭客進行網路攻擊的可能性。
因此,前述的前攝性可疑網域示警系統110可對客戶端網路系統150、160、及170提供前攝性網路資安防護,進而提高對於客戶端網路系統150、160、及170的網路資安防護嚴密程度。
請注意,前述網路資安威脅防護系統100的架構只是一示範性的實施例,並非侷限本發明的實際實施方式。例如,可以將前述的網域名稱系統監測裝置102、可疑網域資訊收集裝置104、和/或網域擁有者資訊偵測裝置106的功能,可以整合到網域資訊監測裝置112中。在此情況下,便可將圖1中的網域名稱系統監測裝置102、可疑網域資訊收集裝置104、和/或網域擁有者資訊偵測裝置106的功能方塊省略。
又例如,也可將網路管理裝置152、162、及172的功能,分別整合到相應的威脅資訊更新裝置120、130、及140中。在此情況下,便可將圖1中的網路管理裝置152、162、及172的功能方塊省略。
另外,在前述的實施例中,圖4至圖5的運作流程是接續在前述圖2的運作流程之後進行,但這只是一示範性的實施例,並非侷限本發明的實際實施方式。例如,網路資安威脅防護系統100也可直接將已註冊超過一段時間(例如,網域年齡超過前述的第一臨界值)的網域都直接當成嫌疑網域,並採用前述圖4至圖5的方法來評估這些嫌疑網域的資安威脅,而無需先對嫌疑網域進行前述圖2或圖3的運作流程。
在某些應用中,也可以將前述圖2中的流程204省略,以減輕威脅資訊更新裝置120、130、及140的運算負擔。如此一來,威脅資訊更新裝置120、130、及140便可用更精簡的硬體架構、軟體模組、或雲端模組來實現。
在說明書及申請專利範圍中使用了某些詞彙來指稱特定的元件,而本領域內的技術人員可能會用不同的名詞來稱呼同樣的元件。本說明書及申請專利範圍並不以名稱的差異來做為區分元件的方式,而是以元件在功能上的差異來做為區分的基準。在說明書及申請專利範圍中所提及的「包含」爲開放式的用語,應解釋成「包含但不限定於」。另外,「耦接」一詞在此包含任何直接及間接的連接手段。因此,若文中描述第一元件耦接於第二元件,則代表第一元件可通過電性連接或無線傳輸、光學傳輸等信號連接方式而直接地連接於第二元件,或通過其它元件或連接手段間接地電性或信號連接至第二元件。
在說明書中所使用的「和/或」的描述方式,包含所列舉的其中一個項目或多個項目的任意組合。另外,除非說明書中特別指明,否則任何單數格的用語都同時包含複數格的含義。
以上僅為本發明的較佳實施例,凡依本發明請求項所做的等效變化與修改,皆應屬本發明的涵蓋範圍。
100:網路資安威脅防護系統(cyber security protection system)
102:網域名稱系統監測裝置(domain name system monitoring device)
104:可疑網域資訊收集裝置(suspicious domain information collection device)
106:網域擁有者資訊偵測裝置(domain owner information detection device)
110:前攝性可疑網域示警系統(proactive suspicious domain alert system)
112:網域資訊監測裝置(domain information monitoring device)
114:網域資訊儲存裝置(domain information storage device)
116:資安威脅分析裝置(security threat analysis device)
120、130、140:威脅資訊更新裝置(threat information updating device)
122、132、142:通信電路(communication circuit)
124、134、144:處理電路(processing circuit)
126、136、146:儲存電路(storage circuit)
150、160、170:客戶端網路系統(client network system)
152、162、172:網路管理裝置(network management device)
202~222、302~322、402~412、502~514:運作流程(operation)
圖1為本發明一實施例的網路資安威脅防護系統簡化後的功能方塊圖。
圖2至圖3為本發明判斷新註冊網域是否具有資安威脅的方法的一實施例簡化後的流程圖。
圖4至圖5為本發明判斷已註冊超過一段時間的網域是否具有資安威脅的方法的一實施例簡化後的流程圖。
100:網路資安威脅防護系統
102:網域名稱系統監測裝置
104:可疑網域資訊收集裝置
106:網域擁有者資訊偵測裝置
110:前攝性可疑網域示警系統
112:網域資訊監測裝置
114:網域資訊儲存裝置
116:資安威脅分析裝置
120、130、140:威脅資訊更新裝置
122、132、142:通信電路
124、134、144:處理電路
126、136、146:儲存電路
150、160、170:客戶端網路系統
152、162、172:網路管理裝置

Claims (8)

  1. 一種網路資安威脅防護系統(100),其包含有: 複數個威脅資訊更新裝置(120、130、140),設置成分別監測複數個客戶端網路系統(150、160、170)的連網行為;以及 一前攝性可疑網域示警系統(110),其包含有: 一網域資訊監測裝置(112),設置成監測一嫌疑網域的網域對應的變動情況; 一網域資訊儲存裝置(114),耦接於該網域資訊監測裝置(112),設置成儲存該網域資訊監測裝置(112)所產生的監測紀錄;以及 一資安威脅分析裝置(116),耦接於該網域資訊監測裝置(112)及該網域資訊儲存裝置(114),並設置成可透過網路與該複數個威脅資訊更新裝置(120、130、140)進行資料通信; 其中,倘若該網域資訊監測裝置(112)發現該嫌疑網域的網域對應發生變動,且該嫌疑網域的一新網域對應指向一預定的本機地址或複數個預定的本機地址的其中之一,則該網域資訊監測裝置(112)還會監測該嫌疑網域的一網域對應變動頻率; 其中,倘若該網域資訊監測裝置(112)判定該嫌疑網域的網域對應變動頻率超過一預定值,則該資安威脅分析裝置(116)會將該嫌疑網域列入一阻擋名單中,以致使該複數個威脅資訊更新裝置(120、130、140)阻擋該複數個客戶端網路系統(150、160、170)中的成員裝置存取該阻擋名單中的網域。
  2. 如請求項1所述的網路資安威脅防護系統(100),其中,該網域資訊監測裝置(112)還設置成在該嫌疑網域被列入該阻擋名單之後,繼續監測該嫌疑網域的網域對應的變動情況,倘若該網域資訊監測裝置(112)發現該嫌疑網域的網域對應發生變動、且該嫌疑網域的一新網域對應指向一預定的本機地址或複數個預定的本機地址的其中之一,則該資安威脅分析裝置(116)會將該嫌疑網域從該阻擋名單中移除,以降低網域資訊監測裝置(112)、該資安威脅分析裝置(116)、以及該複數個威脅資訊更新裝置(120、130、140)的運算負擔與儲存空間需求。
  3. 如請求項2所述的網路資安威脅防護系統(100),其中,在該嫌疑網域被列入該阻擋名單之前,倘若該網域資訊監測裝置(112)發現該嫌疑網域的網域對應發生變動、該嫌疑網域的一新網域對應並非指向一預定的本機地址也非指向複數個預定的本機地址的其中之一、且該嫌疑網域並未被該資安威脅分析裝置(116)列入一追蹤名單,則該網域資訊監測裝置(112)會捨棄(discard)該嫌疑網域。
  4. 如請求項2所述的網路資安威脅防護系統(100),其中,該嫌疑網域的網域年齡大於72小時。
  5. 一種前攝性可疑網域示警系統(110),用於提供一阻擋名單給複數個威脅資訊更新裝置(120、130、140),該複數個威脅資訊更新裝置(120、130、140)分別用於監測複數個客戶端網路系統(150、160、170)的連網行為,該前攝性可疑網域示警系統(110)包含有: 一前攝性可疑網域示警系統(110),其包含有: 一網域資訊監測裝置(112),設置成監測一嫌疑網域的網域對應的變動情況; 一網域資訊儲存裝置(114),耦接於該網域資訊監測裝置(112),設置成儲存該網域資訊監測裝置(112)所產生的監測紀錄;以及 一資安威脅分析裝置(116),耦接於該網域資訊監測裝置(112)及該網域資訊儲存裝置(114),並設置成可透過網路與該複數個威脅資訊更新裝置(120、130、140)進行資料通信; 其中,倘若該網域資訊監測裝置(112)發現該嫌疑網域的網域對應發生變動,且該嫌疑網域的一新網域對應指向一預定的本機地址或複數個預定的本機地址的其中之一,則該網域資訊監測裝置(112)還會監測該嫌疑網域的一網域對應變動頻率; 其中,倘若該網域資訊監測裝置(112)判定該嫌疑網域的網域對應變動頻率超過一預定值,則該資安威脅分析裝置(116)會將該嫌疑網域列入該阻擋名單中,以致使該複數個威脅資訊更新裝置(120、130、140)阻擋該複數個客戶端網路系統(150、160、170)中的成員裝置存取該阻擋名單中的網域。
  6. 如請求項5所述的前攝性可疑網域示警系統(110),其中,該網域資訊監測裝置(112)還設置成在該嫌疑網域被列入該阻擋名單之後,繼續監測該嫌疑網域的網域對應的變動情況,倘若該網域資訊監測裝置(112)發現該嫌疑網域的網域對應發生變動、且該嫌疑網域的一新網域對應指向一預定的本機地址或複數個預定的本機地址的其中之一,則該資安威脅分析裝置(116)會將該嫌疑網域從該阻擋名單中移除,以降低網域資訊監測裝置(112)、該資安威脅分析裝置(116)、以及該複數個威脅資訊更新裝置(120、130、140)的運算負擔與儲存空間需求。
  7. 如請求項6所述的前攝性可疑網域示警系統(110),其中,在該嫌疑網域被列入該阻擋名單之前,倘若該網域資訊監測裝置(112)發現該嫌疑網域的網域對應發生變動、該嫌疑網域的一新網域對應並非指向一預定的本機地址也非指向複數個預定的本機地址的其中之一、且該嫌疑網域並未被該資安威脅分析裝置(116)列入一追蹤名單,則該網域資訊監測裝置(112)會捨棄(discard)該嫌疑網域。
  8. 如請求項6所述的前攝性可疑網域示警系統(110),其中,該嫌疑網域的網域年齡大於72小時。
TW110108787A 2020-10-19 2021-03-11 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 TWI764618B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US17/491,881 US11558352B2 (en) 2020-10-19 2021-10-01 Cyber security protection system and related proactive suspicious domain alert system
JP2021170882A JP7161021B2 (ja) 2020-10-19 2021-10-19 サイバーセキュリティ保護システムおよび関連する事前対応型の不審ドメイン警告システム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US202063093546P 2020-10-19 2020-10-19
US63/093,546 2020-10-19

Publications (2)

Publication Number Publication Date
TW202217617A true TW202217617A (zh) 2022-05-01
TWI764618B TWI764618B (zh) 2022-05-11

Family

ID=82199142

Family Applications (2)

Application Number Title Priority Date Filing Date
TW110108788A TWI761122B (zh) 2020-10-19 2021-03-11 網路資安威脅防護系統及相關的前攝性可疑網域示警系統
TW110108787A TWI764618B (zh) 2020-10-19 2021-03-11 網路資安威脅防護系統及相關的前攝性可疑網域示警系統

Family Applications Before (1)

Application Number Title Priority Date Filing Date
TW110108788A TWI761122B (zh) 2020-10-19 2021-03-11 網路資安威脅防護系統及相關的前攝性可疑網域示警系統

Country Status (1)

Country Link
TW (2) TWI761122B (zh)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI455546B (zh) * 2011-06-08 2014-10-01 Univ Nat Cheng Kung 利用快速變動網域技術之惡意網域之偵測方法與偵測系統
TWI478561B (zh) * 2012-04-05 2015-03-21 Inst Information Industry 網域追蹤方法與系統及其電腦可讀取記錄媒體
TWI524207B (zh) * 2015-06-18 2016-03-01 Chunghwa Telecom Co Ltd Method of detecting suspicious botnet relay station domain name
TWI656778B (zh) * 2017-05-22 2019-04-11 中華電信股份有限公司 Malicious domain detection method combining network information and network traffic
CN107454109B (zh) * 2017-09-22 2020-06-23 杭州安恒信息技术股份有限公司 一种基于http流量分析的网络窃密行为检测方法
TWI677209B (zh) * 2018-07-26 2019-11-11 玉山商業銀行股份有限公司 網名過濾方法
TWI684113B (zh) * 2018-08-28 2020-02-01 中華電信股份有限公司 閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體
TWM594841U (zh) * 2019-12-18 2020-05-01 中華資安國際股份有限公司 封包擷取分析裝置及具有該封包擷取分析裝置之網路資安系統

Also Published As

Publication number Publication date
TW202218377A (zh) 2022-05-01
TWI761122B (zh) 2022-04-11
TWI764618B (zh) 2022-05-11

Similar Documents

Publication Publication Date Title
US10560434B2 (en) Automated honeypot provisioning system
US9306964B2 (en) Using trust profiles for network breach detection
US10432650B2 (en) System and method to protect a webserver against application exploits and attacks
US8869268B1 (en) Method and apparatus for disrupting the command and control infrastructure of hostile programs
US11861008B2 (en) Using browser context in evasive web-based malware detection
US20180054458A1 (en) System and method for mitigating distributed denial of service attacks in a cloud environment
US11290424B2 (en) Methods and systems for efficient network protection
US20130014253A1 (en) Network Protection Service
US20120005743A1 (en) Internal network management system, internal network management method, and program
EP2659416A1 (en) Systems and methods for malware detection and scanning
JP2006119754A (ja) ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
US11856008B2 (en) Facilitating identification of compromised devices by network access control (NAC) or unified threat management (UTM) security services by leveraging context from an endpoint detection and response (EDR) agent
US11258812B2 (en) Automatic characterization of malicious data flows
WO2016081561A1 (en) System and method for directing malicious activity to a monitoring system
Man et al. A collaborative intrusion detection system framework for cloud computing
CN110581850A (zh) 一种基于网络流量基因检测方法
JP7161021B2 (ja) サイバーセキュリティ保護システムおよび関連する事前対応型の不審ドメイン警告システム
Firoz et al. Performance optimization of layered signature based intrusion detection system using snort
TWI764618B (zh) 網路資安威脅防護系統及相關的前攝性可疑網域示警系統
JP7167290B2 (ja) サイバーセキュリティ保護システムおよび関連する事前対応型の不審ドメイン警告システム
WO2013081521A1 (en) Monitoring traffic in a communication network