TWI476628B - 以惡意程式特徵分析為基礎之資安風險評估系統 - Google Patents
以惡意程式特徵分析為基礎之資安風險評估系統 Download PDFInfo
- Publication number
- TWI476628B TWI476628B TW101134204A TW101134204A TWI476628B TW I476628 B TWI476628 B TW I476628B TW 101134204 A TW101134204 A TW 101134204A TW 101134204 A TW101134204 A TW 101134204A TW I476628 B TWI476628 B TW I476628B
- Authority
- TW
- Taiwan
- Prior art keywords
- analysis
- attack
- program
- security
- security risk
- Prior art date
Links
Landscapes
- Computer And Data Communications (AREA)
Description
本發明係為一資安風險評估系統,本系統整合沙網(Sandnet)分析功能、影響圖(influence diagram)分析功能與攻擊樹(attack trees)分析功能,改進現有風險分析方法:1.缺乏攻擊者與防護者兩者間之互動式「決策」(decision)之缺點2.現有網路威脅對惡意程式之發生機率分析不足之處,以強化威脅分析(Threat Analysis)於資訊安全之風險評估,包括攻擊路徑之各子節點之攻擊發生機率、攻擊成本、衝擊與風險,據以管理者的資安政策,擬定網路威脅可行之防禦策略。
習知風險評估技術是透過失效樹分析(Fault Tree Analysis,FTA)與攻擊樹分析。失效樹分析由貝爾電話實驗室於1962年所研發,其為一由上而下的失效分析方法。首先定義一潛在可能發生失效的上層事件(top event),接著由上而下列舉所有可能導致發生上層事件之基本事件(basic events)或過程事件(immediate events),考慮事件的相依性,透過及閘與或閘連接。FTA常應用於工業意外、風險及可靠度分析。
攻擊樹是由Bruce Schneier於1998年提出,攻擊樹是一種描述給
定攻擊之資訊安全分析方法,他將攻擊過程轉變為「樹狀結構」以組合攻擊目標,並以根節點表示,達到目標的不同方法則用子節點(children of that node)表示;子節點的連接是透過「AND」或「OR」兩種類型節點以組合攻擊的各子目標(完成的攻擊步驟及達成狀態),表示要達到攻擊目標所需要滿足的子目標之間的因果邏輯關係,連線表示為攻擊的進行;其中「AND」節點表示達成目標所有必須滿足所有的子目標,攻擊者能夠實現所「OR」節點表示只須達成目標只須滿足任一個子目標(如第1圖所示)。
攻擊樹之特點在於可追蹤出系統可能遭受攻擊威脅及可導致系統安全事件的集合。攻擊樹之風險評估是從底層樹葉(leafs)開始,反向遞迴至攻擊次目標(sub-goals),每一次遞迴須計算次目標之評估指標如表1,最後可求得根節點(root node)之風險值,如公式(1)。
由公式(1)可知,風險值正比於威脅成功機率p i(t)與系統衝擊l i (t)的乘積,但與攻擊成本成反比。其中,表一的公式可參考Rausand and Høyland所著可靠度書籍之失效樹分析法(Fault Tree Analysis,FTA)。[M.Rausand and A.Høyland,System Reliability Theory;Models,Statistical Methods and Applications,Wiley,2004.]
但攻擊樹只考慮攻擊者可能採用手段之「AND」或「OR」的組合,缺乏對威脅發生機率的估算,此外缺乏防護者的不確定防衛「決策」(decision)應對,因為防護者可能採取不同措施(safeguards),導致不同的結果。故缺乏兩者間之互動式的「決策」之風險分析,是無法正確預測估計每一威脅及其所造成的損失。
面對雲端運算服務之開放式服務方式,傳統風險評估方法經常假設威脅發生機率為已知,及防護者將採取固定決策行動。實務上,威脅發生機率常為未知,且防護者常因擁有不同資安處理經驗,面對現存威脅之攻擊與對應的脆弱點,會採取不同防護決策。
因缺乏對網路威脅的認知及防護者對攻擊與防禦措施間互動情境的分析,造成風險評估的結果無法確認是否為合適的防禦解決方案。因此,傳統風險評估方法已無法滿足多變之網路威脅情境下之風險分析需求。
有鑑於此,本發明人有鑑於上述習知在攻擊樹上的缺失,因此本
發明人精心研究,提出一種嶄新的以惡意程式特徵分析為基礎之資安風險評估系統,適用於網路資訊安全技術之應用。藉由結合沙網分析惡意程式之威脅,以及資安風險影響圖(influence diagram)之攻擊與防護者所採取之手段之因果關連分析。進而提高威脅發生機率估算的正確性。此以惡意程式特徵分析為基礎之資安風險評估系統包含惡意程式特徵之威脅分析模組、攻防因果分析模組、風險分析模組及資安修護模組。
首先,惡意程式特徵之威脅分析模組係透過沙網(Sandnet)分析程式,以產生第一分析結果。其中此程式可例如為惡意程式。接著,攻防因果分析模組係透過資安風險影響圖(Influence Diagram)分析第一分析結果,以產生第二分析結果。接著,風險分析模組係透過一攻擊樹(Attack Tree)分析第二分析結果,以產生第三分析結果。最後,資安修護模組係依據第三分析結果,提供防護者採取適當之防護措施。
此外,本發明係以惡意程式之行為與特徵為基礎,提供防護者進行風險分析。並且針對惡意程式對作業系統所採取之至少一個攻擊手段,以及防護者對作業系統所採取之至少一個防護手段,進行攻防因果分析。
此外,針對惡意程式對作業系統之威脅機率、攻擊成本及風險等級,提供防護者決策判斷。進而提供修補路徑之建議與防護成本之計算,以利後續資訊安全管理。
承上所述,依據本發明之以惡意程式特徵分析為基礎之資安風險評估系統,其可具有一或多個下述優點:
(1)本發明之以惡意程式特徵分析為基礎之資安風險評估系統,能夠提供防護者在不同網路攻擊情境下,所採取之不同措施之風險分析。
(2)本發明之以惡意程式特徵分析為基礎之資安風險評估系統,能夠藉由結合沙網與資安風險影響圖提高攻擊樹對威脅發生機率估算的正確性。
(3)本發明之以惡意程式特徵分析為基礎之資安風險評估系統,能夠依據分析結果提供修補路徑之建議與防護成本之計算,以利後續資訊安全管理。
茲為使貴審查委員對本發明之技術特徵及所達到之功效有更進一步之瞭解與認識,謹佐以較佳之實施例及配合詳細之說明如後。
10‧‧‧以惡意程式特徵分析為基礎之資安風險評估系統
11‧‧‧惡意程式特徵之威脅分析模組
12‧‧‧攻防因果分析模組
13‧‧‧風險分析模組
14‧‧‧資安修護模組
20‧‧‧沙網
21‧‧‧沙網伺服端
22‧‧‧惡意程式
23‧‧‧第一分析結果
24‧‧‧感染用戶端
25‧‧‧網路服務模擬
31‧‧‧威脅產生
32‧‧‧攻擊者所採取之手段
33‧‧‧網路威脅
34‧‧‧資安防護技術/產品
35‧‧‧組織資安政策
36‧‧‧防護者所採取之手段
37‧‧‧第二分析結果
38‧‧‧第三分析結果
110‧‧‧作業系統受到網路威脅
111‧‧‧啟動惡意程式蒐集
112‧‧‧以沙網進行惡意程式特徵分析
121‧‧‧威脅因果分析
122‧‧‧防護因果分析
131‧‧‧系統弱點威脅分析
132‧‧‧風險威脅機率計算
133‧‧‧估算系統衝擊
134‧‧‧計算攻擊成本
135‧‧‧判斷風險等級
141‧‧‧建議修補路徑
142‧‧‧計算防護成本
143‧‧‧防護者採取適當的防護措施
第1圖係為習知之資安風險分析系統中之攻擊樹示意圖。
第2圖係為本發明之資安風險分析系統中之沙網運作示意圖。
第3圖係為本發明之資安風險分析系統中之資安風險影響圖。
第4圖係為本發明之資安風險分析系統中之系統架構圖。
第5圖係為本發明之資安風險分析系統中之作業流程方塊圖。
以下將參照相關圖示,說明依本發明之可行實施例並配合圖式詳細說明如下:本發明之以惡意程式特徵分析為基礎之資安風險評估系統,適用
於網路資訊安全技術之應用,其包含惡意程式特徵之威脅分析模組、攻防因果分析模組、風險分析模組及資安修護模組。
請參閱第2圖,第2圖係為本發明之資安風險分析系統中之沙網運作示意圖。當作業系統受到網路威脅時,惡意程式特徵之威脅分析模組係透過沙網分析程式,其中此程式可例如為惡意程式。此惡意程式特徵之威脅分析模組為快速分析惡意程式22之行為,透過沙網20的協助,限制惡意程式22只能在受控制的環境下執行。其中,惡意程式22可例如為病毒、蠕蟲或特洛伊木馬。接著透過網路服務模擬25順利讓惡意程式22進行例如對外連線、查詢、下載及複製等惡意行為。並且將所有的事件加以監控和記錄。其中,網路服務模擬25可例如為模擬DNS、IRC、http、FTP、SMTP及WWW等服務,以增加完整分析惡意程式22的機會。
續言之,沙網伺服端21會儲存感染用戶端24之主機在感染前的映像(Windows images),用以與被惡意程式22感染後之映像作比較。透過網路服務模擬25模擬惡意程式22感染之過程與記錄,以產生第一分析結果23,並且指出主要作業系統被修改處。其中,第一分析結果23可例如為惡意程式22之行為與特徵。
請參閱第2圖及第3圖,第3圖為本發明之資安風險分析系統中之資安風險影響圖。在惡意程式特徵之威脅分析模組透過沙網20分析惡意程式22之行為與特徵後,以攻防因果分析模組透過資安風險影響圖分析第一分析結果23,以產生第二分析結果37。其中,此資安風險影響圖分析第一分析結果23之分析方法屬於質化分析(qualitative analysis)。
續言之,藉由威脅產生31與網路威脅33產生的攻擊者所採取之手段32,以及資安防護技術/產品34與組織資安政策35產生的防護者所採取之手段36,進行攻防因果分析。藉此可依據攻擊者所採取之手段32,搭配防護者所採取之手段36,以產生第二分析結果37。其中,此第二分析結果37可例如為不同攻擊手段所對應之防護手段。
請參閱第4圖,第4圖係為本發明之資安風險分析系統中之模組架構圖。本發明之以惡意程式特徵分析為基礎之資安風險評估系統10,包含惡意程式特徵之威脅分析模組11、攻防因果分析模組12、風險分析模組13及資安修護模組14。
當攻防因果分析模組12透過資安風險影響圖分析第一分析結果23,以產生第二分析結果37之後。風險分析模組13再透過攻擊樹分析第二分析結果37,以產生第三分析結果38。其中,此風險分析模組13透過攻擊樹之分析屬於量化分析(quantitative analysis)。而第三分析結果38為惡意程式對作業系統之威脅機率、攻擊成本及風險等級。其中,風險等級可例如為可能的攻擊路徑(attack path)之風險值。接著,資安修護模組14依據第三分析結果38協助防護者採取適當之防護措施。此防護措施可例如為作業系統之修補路徑或修補方案(safeguards)。因此,藉由風險分析模組13透過攻擊樹分析第二分析結果37,可提高攻擊樹對威脅發生機率估算的正確性。
請參閱第5圖,第5圖係為本發明之資安風險分析系統中之作業流程方塊圖。若作業系統受到網路威脅110時,即啟動惡意程式蒐集111,並以沙網進行惡意程式特徵分析112,以產生第一分析結
果。接著,攻防因果分析模組12透過資安風險影響圖分析第一分析結果,以針對攻擊者所採取之手段進行威脅因果分析121,以及針對防護者所採取之手段進行防護因果分析122,進而產生第二分析結果。接著,風險分析模組13透過攻擊樹分析第二分析結果,以針對系統弱點威脅分析131及風險威脅機率計算132,估算系統衝擊133、計算攻擊成本134及判斷風險等級135,進而產生第三分析結果。最後,利用資安修護模組14依據第三分析結果,以建議修補路徑141與計算防護成本142,進而協助防護者採取適當的防護措施143。
綜前所述,沙網可模擬網路之各種服務,完整分析惡意程式行為、攻擊順序及造成的危害。資安風險影響圖可模擬惡意程式攻擊與防護者防護之因果關連分析。攻擊樹可計算各攻擊路徑之子節點之攻擊成本、衝擊與風險,防護者據以擬定網路威脅之防護措施。因此,藉由結合沙網與資安風險影響圖,能夠提高攻擊樹對威脅發生機率估算的正確性。進而解決傳統風險評估方法缺乏對威脅發生機率的估算之缺點。
以上所述僅為舉例性,而非為限制性者。任何未脫離本發明之精神與範疇,而對其進行之等效修改或變更,均應包含於後附之申請專利範圍中。
10‧‧‧以惡意程式特徵為基礎之資安風險評估系統
11‧‧‧惡意程式特徵之威脅分析模組
12‧‧‧攻防因果分析模組
13‧‧‧風險分析模組
14‧‧‧資安修護模組
23‧‧‧第一分析結果
37‧‧‧第二分析結果
38‧‧‧第三分析結果
Claims (5)
- 一種以惡意程式特徵為基礎之資安風險分析系統,適用於網路資訊安全管理,該以惡意程式特徵為基礎之資安風險分析系統包含:一惡意程式特徵之威脅分析模組,係透過一沙網(Sandnet)分析一程式之行為與特徵,以產生一第一分析結果,其中該沙網之一伺服端係儲存一作業系統受到該程式攻擊前之映像,以比較該作業系統受到該程式攻擊前之映像與受到該程式攻擊後之映像;一攻防因果分析模組,係透過一資安風險影響圖(Influence Diagram)分析該第一分析結果中該程式對該作業系統所採取之至少一攻擊手段以及該防護者對該作業系統所採取之至少一防護手段,以產生一第二分析結果;一風險分析模組,係透過一攻擊樹(Attack Tree)分析該第二分析結果,以產生一第三分析結果;以及一資安修護模組,係依據該第三分析結果,提供一防護者採取適當之一防護措施。
- 如申請專利範圍第1項所述之以惡意程式特徵為基礎之資安風險分析系統,其中該程式係為一惡意程式。
- 如申請專利範圍第2項所述之以惡意程式特徵為基礎之資安風險分析系統,其中該惡意程式為病毒、蠕蟲或特洛伊木馬。
- 如申請專利範圍第1項所述之以惡意程式特徵為基礎之資安風險分析系統,其中該風險分析模組係透過該攻擊樹分析該第二分析 結果中該程式對該作業系統之一威脅機率、一攻擊成本及一風險等級以產生該第三分析結果。
- 如申請專利範圍第4項所述之以惡意程式特徵為基礎之資安風險分析系統,其中該資安修護模組更依據該第三分析結果計算該防護措施所需之一防護成本。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW101134204A TWI476628B (zh) | 2012-09-18 | 2012-09-18 | 以惡意程式特徵分析為基礎之資安風險評估系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW101134204A TWI476628B (zh) | 2012-09-18 | 2012-09-18 | 以惡意程式特徵分析為基礎之資安風險評估系統 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201413488A TW201413488A (zh) | 2014-04-01 |
| TWI476628B true TWI476628B (zh) | 2015-03-11 |
Family
ID=53185897
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW101134204A TWI476628B (zh) | 2012-09-18 | 2012-09-18 | 以惡意程式特徵分析為基礎之資安風險評估系統 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI476628B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI547823B (zh) * | 2015-09-25 | 2016-09-01 | 緯創資通股份有限公司 | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9665721B2 (en) * | 2014-04-23 | 2017-05-30 | NSS Labs, Inc. | Threat and defense evasion modeling system and method |
| US10587641B2 (en) | 2014-05-20 | 2020-03-10 | Micro Focus Llc | Point-wise protection of application using runtime agent and dynamic security analysis |
| CN104408659B (zh) * | 2014-10-29 | 2017-12-19 | 国家计算机网络与信息安全管理中心 | 基于社交应用信息传播模式的评估方法及系统 |
| WO2016099567A1 (en) | 2014-12-19 | 2016-06-23 | Hewlett Packard Enterprise Development Lp | Flushing data content in response to a power loss event to a processor |
| US9800605B2 (en) * | 2015-01-30 | 2017-10-24 | Securonix, Inc. | Risk scoring for threat assessment |
| TWI663523B (zh) * | 2018-02-06 | 2019-06-21 | 可立可資安股份有限公司 | 資安攻防規劃之管理系統 |
| US11108800B1 (en) | 2020-02-18 | 2021-08-31 | Klickklack Information Security Co., Ltd. | Penetration test monitoring server and system |
| CN112819310B (zh) * | 2021-01-25 | 2022-07-26 | 国网山东省电力公司 | 基于影响图的光伏信息物理系统安全风险评估方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020010679A1 (en) * | 2000-07-06 | 2002-01-24 | Felsher David Paul | Information record infrastructure, system and method |
| TW201032542A (en) * | 2008-11-18 | 2010-09-01 | Ibm | Network intrusion protection |
| TW201106191A (en) * | 2009-08-11 | 2011-02-16 | Microsoft Corp | Viral advertisements |
-
2012
- 2012-09-18 TW TW101134204A patent/TWI476628B/zh not_active IP Right Cessation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020010679A1 (en) * | 2000-07-06 | 2002-01-24 | Felsher David Paul | Information record infrastructure, system and method |
| TW201032542A (en) * | 2008-11-18 | 2010-09-01 | Ibm | Network intrusion protection |
| TW201106191A (en) * | 2009-08-11 | 2011-02-16 | Microsoft Corp | Viral advertisements |
Non-Patent Citations (1)
| Title |
|---|
| 王平, 劉佳琪, 劉威志 "以動態分析為基礎的自動化惡意程式特徵萃取" TWCERT / CC電子報 第 19 期 發行日:2012/07/05 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI547823B (zh) * | 2015-09-25 | 2016-09-01 | 緯創資通股份有限公司 | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201413488A (zh) | 2014-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI476628B (zh) | 以惡意程式特徵分析為基礎之資安風險評估系統 | |
| CN106534195B (zh) | 一种基于攻击图的网络攻击者行为分析方法 | |
| WO2017152742A1 (zh) | 一种网络安全设备的风险评估方法和装置 | |
| US8650637B2 (en) | Network security risk assessment | |
| KR101534192B1 (ko) | 사이버보안 실시간 공격대응 교육훈련을 제공하기 위한 시스템 및 그 방법 | |
| CN108040070A (zh) | 一种网络安全测试平台及方法 | |
| CN113542279B (zh) | 一种网络安全风险评估方法、系统及装置 | |
| US20120167161A1 (en) | Apparatus and method for controlling security condition of global network | |
| CN108353088A (zh) | 高级持续性威胁检测 | |
| JP2010539574A (ja) | 侵入検知の方法およびシステム | |
| Marotta et al. | Integrating a proactive technique into a holistic cyber risk management approach | |
| CN106713358A (zh) | 一种攻击性检测方法及装置 | |
| Wang et al. | Drivers of information security search behavior: An investigation of network attacks and vulnerability disclosures | |
| Almadhoob et al. | Cybercrime prevention in the Kingdom of Bahrain via IT security audit plans | |
| Toapanta et al. | Analysis of cyberattacks in public organizations in Latin America | |
| Wagner et al. | Agent-based simulation for assessing network security risk due to unauthorized hardware | |
| Matwyshyn et al. | Broken | |
| Qasaimeh et al. | Advanced security testing using a cyber‐attack forecasting model: A case study of financial institutions | |
| Yeboah-ofori et al. | Cybercrime and risks for cyber physical systems: A review | |
| Le et al. | A threat computation model using a Markov Chain and common vulnerability scoring system and its application to cloud security | |
| Khan et al. | Cyber security quantification model | |
| Barabas et al. | Behavioral signature generation using shadow honeypot | |
| Roumani et al. | Assessing economic impact due to cyber attacks with System Dynamics approach | |
| Sallhammar et al. | A framework for predicting security and dependability measures in real-time | |
| Shandilya et al. | On a generic security game model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |