TWI509456B - 電腦裝置以及與電腦裝置通訊連結的安全性管理裝置 - Google Patents
電腦裝置以及與電腦裝置通訊連結的安全性管理裝置 Download PDFInfo
- Publication number
- TWI509456B TWI509456B TW103112027A TW103112027A TWI509456B TW I509456 B TWI509456 B TW I509456B TW 103112027 A TW103112027 A TW 103112027A TW 103112027 A TW103112027 A TW 103112027A TW I509456 B TWI509456 B TW I509456B
- Authority
- TW
- Taiwan
- Prior art keywords
- action
- management
- computer device
- security
- computer
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/305—Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/81—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer by operating on the power supply, e.g. enabling or disabling power-on, sleep or resume operations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
- G06F9/4843—Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Description
本發明大體而言係關於電腦裝置,同時也關於與電腦裝置通訊連結的安全性管理裝置。特別地,本發明係提供電腦裝置與安全性管理裝置中更緊密的互動,以共同達成更佳的安全性防護。
為了網路與資訊安全,大型企業或組織以已廣泛地採用安全性資訊和事件管理(SIEM)系統。安全性資訊和事件管理(SI EM)系統可根據內部網路系統中各式各樣電腦系統所提供的日誌文檔(LOGS),將事件(EVENT)、威脅和風險資料結合在一起,提供安全情報(INTELLIGENCE)、事件回應、記錄管理以及各式報表。
關於現有的SIEM系統,可參考IBM公司的產品SECURITY QRADAR®
SIEM,或是HP公司的產品ARCSIGHT SECURITY EVENT MANAGEMENT(ESM)。
關於與SIEM相關的一些現有技術,例如可參考WO 2013019198或是US PUB.20 11/0264608。
本發明一方面係提出一種電腦裝置以及與電腦裝置通訊連
結的安全性管理裝置。特別地,本發明係提供電腦裝置與安全性管理裝置中更緊密的互動,以共同達成更佳的安全性防護。
首先說明的是,本文中的安全性管理裝置有時被稱為『SIEM控制台(console)』或『SIEM管理員(Manager)』,可應用在電腦系統中,特別是例如公司內部網路所架構出的電腦系統。安全性管理裝置主要的角色用於收集電腦系統中其他電腦裝置所提供的日誌文檔,以提供系統層級(system-wide)的安全情報(intelligence)。另一方面,本文中的電腦裝置則有時則被稱為『SIEM感測器(sensor)』或『SIEM代理人(Agent)』。電腦裝置的範例可例如是網頁伺服器、電子郵件伺服器、防火牆裝置、或其他網路資訊設備(appliance)等,一般具有其自身所預定的主要功能以提供安全情報以外的資訊服務,而電腦裝置所配置的軟/硬體資源係主要用於實現其自身功能,而僅少量地用於協助安全性管理裝置產生安全情報。舉例來說,電腦裝置在實現其自身功能的同時,可附帶地產生日誌文檔,以記錄其所觀察到的事件,並回報給安全性管理裝置,而由安全性管理裝置提供安全情報。
在現有技術中,當安全性管理裝置所提供的安全情報中顯示具體安全威脅時,往往仰賴人工作業來對電腦系統中其他的電腦裝置進行處置動作(例如手動關機、重新開機、或關閉特定通訊埠口)。縱使某些較先進的安全性管理裝置可代替人工作業,而直接下達動作指令給電腦裝置,但這需要安全性管理裝置與所要控制的電腦裝置彼此支援(例如皆屬於同一廠商的產品),安全性管理裝置才會清楚知道電腦裝置的種類、型號、所能夠執行的動作等細節,進一步也才能以適合的方式或指令語法來控制電腦裝置。然而,在一般公司電腦系統中,有各式各樣的電腦裝置,且可能隨時增加新的且不同廠商提供的電腦裝置,因此,要讓安全性管理裝置支援全部的電腦裝置,是困難且不切實際的。另一方面的問題在於,現有技術中當安全性管理裝置下達動作指令給一電腦裝置時,並無考量到該電腦裝
置當下運行的狀態,也就是說,並不考慮該電腦裝置當下究竟是否允許執行安全性管理裝置所希望的動作。
有鑑於此,本發明一方面在於,由電腦裝置先主動提供其所能夠執行的動作清單給安全性管理裝置,而安全性管理裝置即可從清單中選擇出適當且電腦裝置當下確實可執行的動作。舉例來說,在一般情況下,電腦裝置可因安全性考量而執行關機、中止特定程式、與中斷對外的網路連線三者其中任一,但在某些特殊狀況下,例如因應某些服務的需要,可能不允許電腦裝置關機,而僅允許中止特定程式與中斷對外的網路連線兩者其中之一。透過上述主動提供給安全性管理裝置的動作清單,即可即時地讓安全性管理裝置知道電腦裝置當下所能允許的動作選項。
本發明另一方面在於電腦裝置與安全性管理裝置間關於動作的溝通,係透過通用(generic)動作代號來傳達。通用動作代號的命名或編碼方式,係共通於所有的電腦裝置,而不特定於單一或特定的電腦裝置,更可不限於特定廠商的產品。每一電腦裝置自身可將通用動作代號匹配到對應的動作的指令碼而加以執行,因此透過通用動作代號,安全性管理裝置將不再需要知道具體控制特定電腦裝置的細節與指令語法。
本發明另一方面在於,安全性管理裝置下達動作指令給電腦裝置時,可附帶有動作執行的觸發條件。此可應用於安全性管理裝置研判安全性風險升高但尚未到達危險程度的狀況。此作法優點在於提供更即時的處置,由於可由電腦裝置(或另外的輔助裝置)判斷條件是否成立,一旦判斷出條件成立,可視為風險到達臨界值,電腦裝置可立刻執行相對應的動作,而不需要再回報給安全性管理裝置,除了增加反應效率,更大幅地減輕安全性管理裝置的負擔,特別是當網路攻擊事件發生時,安全性管理裝置是否能夠負擔也是對抗攻擊的關鍵因素。
進一步地,基於減輕安全性管理裝置的負擔考量,本發明進一步提出安全性管理裝置可下達所謂『傳播式』或『連鎖反應式』的動作
指令與對應的觸發條件,使得後續多個電腦裝置在無需安全性管理裝置介入的情況下,可依照安全性管理裝置預先設定的條件進行動作。進一步說明如下,安全性管理裝置可下達針對第二電腦裝置(或甚至第三電腦裝置)的動作指令與對應條件給第一電腦裝置,而由第一電腦裝置(或另外的輔助裝置)判斷條件是否成立,一旦判斷出條件成立,第一電腦裝置可發出訊息給第二電腦裝置,以要求第二電腦裝置執行該動作,或是可進一步要求第二電腦裝置當另外的條件成立時,再發出訊息給第三電腦裝置,以要求第三電腦裝置執行動作,而達成連鎖反應的效果。另一種作法則是,安全性管理裝置可下達一目標與對應條件給第一電腦裝置,而由第一電腦裝置(或另外的輔助裝置)判斷條件是否成立,並由一旦判斷出觸發條件成立,第一電腦裝置可自行決定出由自身執行特定動作,及/或是發出訊息給第二電腦裝置及/或第三電腦裝置,以要求第二電腦裝置及/或第三電腦裝置執行該動作,來達成安全性管理裝置所要求的目標。
除了上述電腦裝置之外,本發明亦包含上述的安全管理裝置。以及提供給上述電腦裝置與安全管理裝置的使用的電腦程式產品。
本說明書中所提及的特色、優點、或類似表達方式並不表示,可以本發明實現的所有特色及優點應在本發明之任何單一的具體實施例內。而是應明白,有關特色及優點的表達方式是指結合具體實施例所述的特定特色、優點、或特性係包含在本發明的至少一具體實施例內。因此,本說明書中對於特色及優點、及類似表達方式的論述與相同具體實施例有關,但亦非必要。
參考以下說明及隨附申請專利範圍或利用如下文所提之本發明的實施方式,即可更加明瞭本發明的這些特色及優點。
100、200、300‧‧‧電腦系統
102、202、302‧‧‧安全性管理裝置
104、204、214、304、314、324‧‧‧電腦裝置
106‧‧‧資訊發送單元
107‧‧‧資訊發送單元
108‧‧‧分析單元
110‧‧‧處理單元
112‧‧‧匹配模組
AP‧‧‧應用程式
LG‧‧‧日誌文檔
MP‧‧‧管理程式
DB‧‧‧資料庫
LS‧‧‧清單
MT‧‧‧匹配表
MC‧‧‧監控程式
MSG1-MSG10‧‧‧訊息
為了立即瞭解本發明的優點,請參考如附圖所示的特定具體
實施例,詳細說明上文簡短敘述的本發明。在瞭解這些圖示僅描繪本發明的典型具體實施例並因此不將其視為限制本發明範疇的情況下,參考附圖以額外的明確性及細節來說明本發明,圖式中:
圖1係依據本發明具體實施例的電腦系統。
圖2A係依據本發明具體實施例的電腦系統。
圖2B係依據本發明具體實施例的方法流程圖。
圖3A係依據本發明具體實施例的電腦系統。
圖3B係依據本發明具體實施例的方法流程圖。
本說明書中「一具體實施例」或類似表達方式的引用是指結合該具體實施例所述的特定特色、結構、或特性係包括在本發明的至少一具體實施例中。因此,在本說明書中,「在一具體實施例中」及類似表達方式之用語的出現未必指相同的具體實施例。
熟此技藝者當知,本發明可實施為電腦系統/裝置、方法或作為電腦程式產品之電腦可讀媒體。因此,本發明可以實施為各種形式,例如完全的硬體實施例、完全的軟體實施例(包含韌體、常駐軟體、微程式碼等),或者亦可實施為軟體與硬體的實施形式,在以下會被稱為「電路」、「模組」或「系統」。此外,本發明亦可以任何有形的媒體形式實施為電腦程式產品,其具有電腦可使用程式碼儲存於其上。
一個或更多個電腦可使用或可讀取媒體的組合都可以利用。舉例來說,電腦可使用或可讀取媒體可以是(但並不限於)電子的、磁的、光學的、電磁的、紅外線的或半導體的系統、裝置、設備或傳播媒體。更具體的電腦可讀取媒體實施例可以包括下列所示(非限定的例示):由一個或多個連接線所組成的電氣連接、可攜式的電腦磁片、硬碟機、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可抹除程式化唯讀記憶體(EPROM或
快閃記憶體)、光纖、可攜式光碟片(CD-ROM)、光學儲存裝置、傳輸媒體(例如網際網路(Internet)或內部網路(intranet)之基礎連接)、或磁儲存裝置。需注意的是,電腦可使用或可讀取媒體更可以為紙張或任何可用於將程式列印於其上而使得該程式可以再度被電子化之適當媒體,例如藉由光學掃描該紙張或其他媒體,然後再編譯、解譯或其他合適的必要處理方式,然後可再度被儲存於電腦記憶體中。在本文中,電腦可使用或可讀取媒體可以是任何用於保持、儲存、傳送、傳播或傳輸程式碼的媒體,以供與其相連接的指令執行系統、裝置或設備來處理。電腦可使用媒體可包括其中儲存有電腦可使用程式碼的傳播資料訊號,不論是以基頻(baseband)或是部分載波的型態。電腦可使用程式碼之傳輸可以使用任何適體的媒體,包括(但並不限於)無線、有線、光纖纜線、射頻(RF)等。
用於執行本發明操作的電腦程式碼可以使用一種或多種程式語言的組合來撰寫,包括物件導向程式語言(例如Java、Smalltalk、C++或其他類似者)以及傳統程序程式語言(例如C程式語言或其他類似的程式語言)。
於以下本發明的相關敘述會參照依據本發明具體實施例之系統、裝置、方法及電腦程式產品之流程圖及/或方塊圖來進行說明。當可理解每一個流程圖及/或方塊圖中的每一個方塊,以及流程圖及/或方塊圖中方塊的任何組合,可以使用電腦程式指令來實施。這些電腦程式指令可供通用型電腦或特殊電腦的處理器或其他可程式化資料處理裝置所組成的機器來執行,而指令經由電腦或其他可程式化資料處理裝置處理以便實施流程圖及/或方塊圖中所說明之功能或操作。
這些電腦程式指令亦可被儲存在電腦可讀取媒體上,以便指示電腦或其他可程式化資料處理裝置來進行特定的功能,而這些儲存在電腦可讀取媒體上的指令構成一製成品,其內包括之指令可實施流程圖及/或方塊圖中所說明之功能或操作。
電腦程式指令亦可被載入到電腦上或其他可程式化資料處理裝置,以便於電腦或其他可程式化裝置上進行一系統操作步驟,而於該電腦或其他可程式化裝置上執行該指令時產生電腦實施程序以達成流程圖及/或方塊圖中所說明之功能或操作。
其次,請參照圖1至圖3B,在圖式中顯示依據本發明各種實施例的裝置、方法及電腦程式產品可實施的架構、功能及操作之流程圖及方塊圖。因此,流程圖或方塊圖中的每個方塊可表示一模組、區段、或部分的程式碼,其包含一個或多個可執行指令,以實施指定的邏輯功能。另當注意者,某些其他的實施例中,方塊所述的功能可以不依圖中所示之順序進行。舉例來說,兩個圖示相連接的方塊事實上亦可以皆執行,或依所牽涉到的功能在某些情況下亦可以依圖示相反的順序執行。此外亦需注意者,每個方塊圖及/或流程圖的方塊,以及方塊圖及/或流程圖中方塊之組合,可藉由基於特殊目的硬體的系統來實施,或者藉由特殊目的硬體與電腦指令的組合,來執行特定的功能或操作。
圖1顯示一實施例中之電腦系統100之硬體架構。電腦系統100包含安全性管理裝置102與電腦裝置104。安全性管理裝置102與電腦裝置104係透過網路(未圖示)連結,較佳地但不限於,安全性管理裝置102與電腦裝置104透過區域網路連結。需說明的是,圖1中僅繪示出一台電腦裝置104,但應可知此為簡化說明之目的,本發明可延伸至有多台電腦裝置104的情況,且每台電腦裝置104為相同類型或不相同類型。
電腦裝置104可為網頁伺服器、電子郵件伺服器、防火牆裝置、或其他網路資訊設備(appliance),其可與外部網路(未圖示)連結,因此直接面臨從外部網路而來的安全性威脅,例如分散式阻斷服務(Distributed Denial of Service,DDoS)攻擊,但電腦裝置104也可能會受到源自內部網路的安全性威脅,例如電腦病毒。
如圖1所示,電腦裝置104具有應用程式AP、管理程式MP,且維持有資料庫DB。應用程式AP的運作係提供電腦裝置104主要的服務,以網頁伺服器為例,應用程式AP即提供網頁主機(web hosting)的服務,對此可參考例如是Apache HTTP Server應用程式或是IBM HTTP Server應用程式。而在應用程式AP運作以提供服務的過程中,應用程式AP會產生日誌文檔LG以記錄所發生的事件。
管理程式MP較佳,但不限於,實施為作業系統(例如Linux)的形態,透過本文中所指稱的管理動作,可管理電腦裝置104中硬體/軟體的運作,例如開/關機、開/關特定通訊埠口、開/關特定程式或服務等。以上部分可參考現有的網頁伺服器、電子郵件伺服器、防火牆裝置、或其他網路資訊設備。
管理程式MP透過監控電腦裝置104硬體/軟體運作的情況,可得知出哪些管理動作可被允許而加以執行。進一步地,管理程式MP係將當下可允許執行之管理動作記錄於清單LS中並儲存於資料庫DB(可為管理程式MP中的模組)中。而管理程式MP可根據電腦裝置104當下硬體/軟體運作的情況,即時地更新清單LS中所記錄的管理動作,並將更新後的清單LS提供給安全性管理裝置102。
動作清單LS與前述應用程式AP所產生的日誌文檔LG,也可合併為單一訊息MSG1提供給安全性管理裝置102,但應可知兩者亦可分別提供給安全性管理裝置102。另外如圖1所示,電腦裝置104具有資訊發送單元106,用以將日誌文檔LG與清單LS或其他資訊發送至安全性管理裝置102。資訊發送單元106可專用於發送資訊至安全性管理裝置102,但亦可用於發送其他資訊至網路上的其他電腦裝置,本發明並不欲加以限制。
在一較佳但非限定的實施例中,管理程式MP係以通用動作代號來記錄當下可允許執行之管理動作於允許執行之管理動作。此通用動
作代號可為通用名稱或是數字,其命名或編碼方式係不特定於該電腦裝置104,換言之,不同的電腦裝置104(例如網頁伺服器與防火牆裝置)可共用這些通用動作代號,因此安全性管理裝置102而透過這些通用的動作代號與所有種類的電腦裝置104溝通。
以下為清單LS以XML格式之範例,其中id的值為數字,而name的值為簡短的說明文字(例如此動作所要達成的目標或結果),而兩者都可與其他的電腦裝置104共同使用。另外在此範例中,係用enabled的值“true”或“false”來告知安全性管理裝置102此動作現在是否可被允許執行。
另一方面,如圖1所示,安全性管理裝置102包含分析單元108與處理單元110。分析單元108係根據電腦裝置104所提供的日誌文檔LG((或其他的電腦裝置所提供的資訊)進行安全性分析,而產生出安全情報,此部份可參考現有的安全性管理裝置。進一步地,處理單元110根據安全性分析所得出的情報,從清單LS中選出適當的動作。舉例來說,若安全性管理裝置102的安全情報指出電腦裝置104有異常的事件發生,處理單元110即從上述範例中的清單LS進行挑選,例如選出id值為"2",name值為"restart service"的動作。並透過訊息MSG2回傳給電腦裝置104,以要求電腦裝置104重新開啟應用程式AP,以觀察上述異常事件是否繼續發生。以下為訊息MSG2以XML格式之範例。
另外如圖1所示,電腦裝置104具有資訊接收單元107,用接收安全性管理裝置102所回傳的訊息。資訊接收單元107可專用於接收資訊至安全性管理裝置102,但亦可用於接收其他資訊至網路上的其他電腦裝置,本發明並不欲加以限制。
在此範例中,由於安全性管理裝置102所回傳的訊息MSG2中係使用通用動作代號(actionId="2" actionName="restart service")來記錄處理單元110希望電腦裝置104所執行的動作,電腦裝置104中需要根據此通用動作代號而獲得此動作代號所指示的動作的指令碼與相關細節,才能正確地執行安全性管理裝置102所欲的動作。對此,電腦裝置104設置有匹配模組112,其儲存有匹配表MT,以下為匹配表MT以XML格式之範例,因此可以利用訊息MSG1中的動作代號(例如actionId="2")來查找出對應的動作指令碼的路徑與參數(path="/sbin/service" param="httpd restart"/)。
在另一實施例中,處理單元110根據安全性分析所得出的情報,除了決定電腦裝置104所需要採取的動作之外,另外可以對電腦裝置104是否要進行的動作設定觸發條件,並透過訊息MSG3一併回傳給電腦裝置104。以下為訊息MSG3以XML格式之範例,其中觸發條件為每秒鐘的http連結數目超過300,且應用程式AP(以Apache HTTP Server為例)所
使用的記憶體資源超過電腦裝置104總記憶體資源的80%,若此條件成立,則電腦裝置104需要採取的動作為重新開啟應用程式AP。
需說明的是,在上述範例中,電腦裝置104可具有監控程式MC(較佳作為管理程式MP底下的功能模組),以判斷處理單元110所設定的條件是否成立。但判斷安全性管理裝置102所設定的條件是否成立,並不一定要由電腦裝置104本身進行判斷,而可由電腦裝置104以外的其他裝置判斷後,再通知電腦裝置104即可。
圖2A顯示一實施例中之電腦系統200之硬體架構,並配合圖2B的流程圖說明此實施例。電腦系統200包含安全性管理裝置202與電腦裝置204與214。關於安全性管理裝置202與電腦裝置204與214的基本說明,可參見圖1,在此不予贅述。惟需說明的是,圖2實施例中電腦裝置204與214為同類型(homogeneous)的電腦裝置,並共同提供一資訊服務。舉例來說,電腦裝置204與214係屬於一網頁伺服器叢集(web server cluster),但應可知此網頁伺服器叢集可包含更多的電腦裝置(未圖示)。
在此叢集中,電腦裝置204係扮演主要節點(Master node)的
角色,而電腦裝置214與叢集中未圖示的其他電腦裝置係為從屬節點(Slave node)。電腦裝置204作為主要節點,可知悉其他從屬節點的運作狀況,因此較適合由電腦裝置204代表整個叢集提供清單LS給安全性管理裝置202(步驟20)。因此在此實施例中,清單LS可記錄叢集層級所能執行的動作(例如整個叢集停止網頁主機服務)或是叢集層級能達到的管理目標(例如將整個叢集的服務比率(service rate)或每秒所允許建立的http連結數目(MaxClients)調整到特定值),而安全性管理裝置202根據安全性分析,可從清單LS中挑選適合的動作或管理目標,並以訊息MSG4回傳給作為叢集主要節點的電腦裝置204(步驟22)。電腦裝置204中的管理程式MP再透過一預定的演算法或是透過叢集內既有的協調管理機制,決定出電腦裝置204與電腦裝置214各自所需要進行的動作,並透過訊息MSG5告知電腦裝置214(步驟24)。關於預定的演算法或叢集內既有的協調管理機制,可參考現有的伺服器叢集作法,在此不予贅述。
在一較佳但非限定的實施例中,安全性管理裝置202決定適合的叢集層級動作或管理目標之外,另外也可以設定觸發條件,並透過訊息MSG4一併回傳給電腦裝置204(步驟22)。以下為訊息MSG4以XML格式之範例,其中觸發條件為整個叢集每秒鐘的http連結數目超過1,000,000,且http連結來源的IP位址皆為“10.3.4.5”,若此條件成立,則伺服器叢集需要達成整個叢集的服務比率(service rate)調整到50%或是更高。
需說明的是,在上述範例中,電腦裝置204可具有監控程式MC(較佳作為管理程式MP底下的功能模組),以判斷安全性管理裝置102所設定的條件是否成立。一般來說,作為主要節點,電腦裝置204的監控程式MC可獲得其他從屬節點回報的資訊,以瞭解每個從屬節點的運作狀況,因此由電腦裝置204來判斷叢集層級的觸發條件是否成立,應當較為便利,但應可知本發明並不欲局限於此。
圖3A顯示一實施例中之電腦系統300之硬體架構,並配合圖3B的流程圖說明此實施例。。電腦系統300包含安全性管理裝置302與電腦裝置304、314、與324。關於安全性管理裝置202與電腦裝置304、314、與324的基本說明,可參見圖1與圖2A,在此不予贅述。惟需說明的是,不同於圖2A,在此圖3A實施例中電腦裝置304、314、與324為不同類型(heterogeneous)的電腦裝置,分別提供不同的服務。舉例來說,電腦裝置304係為網頁伺服器、電腦裝置314係為防火牆(firewall)裝置、電腦裝置324係為入侵偵測裝置(intrusion detection system、IDS),但應可知此電腦系統300可包含更多不同類型的電腦裝置(未圖示)。
以下以假想的狀況說明本實施例。電腦裝置324,作為入侵偵測裝置,偵測到一疑似但尚未具體的DDoS網路攻擊,並以訊息MSG6通知安全性管理裝置302(步驟30),此部分可參考現有技術,在此不予贅述。一般來說,DDoS網路攻擊的對象會是作為網頁伺服器的電腦裝置304,因此安全性管理裝置302乃發出訊息MSG7給電腦裝置304,以下達所謂『傳播式』或『連鎖反應式』的動作指令與對應的觸發條件(步驟31),藉此電腦裝置304(網頁伺服器)、電腦裝置314(防火牆)、電腦裝置324(入侵偵測裝置)可彼此協調動作,以因應可能的DDoS網路攻擊,而不需要安全
性管理裝置302進一步的介入。另外需說明的是,在此範例中,電腦裝置304亦可如同圖2A中的電腦裝置204,為一伺服器叢集的主要節點。
如以下訊息MSG7以XML格式的範例中所示,其中安全性管理裝置302所設定的第一個觸發條件為電腦裝置304(網頁伺服器)每秒鐘的http連結數目超過1,000,000,且http連結來源的IP位址為“10.3.4.5”,若電腦裝置304(或其他輔助裝置)判斷出此條件成立(步驟32),則電腦裝置304的管理程式MP需執行以下動作。
首先,電腦裝置304的管理程式MP停止網頁主機的服務(即相當於停止圖1電腦裝置104的應用程式AP)。在此同時,因應上述第一個觸發條件的成立,電腦裝置304的管理程式MP根據安全性管理裝置302在訊息MSG7中所指定的其他電腦裝置(例如電腦裝置314與電腦裝置324)的網路位址,由電腦裝置304分別利用訊息MSG8與訊息MSG9發送或傳播安全性管理裝置302所指定的動作與觸發條件給電腦裝置314與電腦裝置324(步驟33)。而關於電腦裝置304與電腦裝置314以及電腦裝置324間的訊息溝通方式,可參考安全性管理裝置302與電腦裝置304之間的訊息溝通方式。
進一步參考上述訊息MSG7以XML的範例可知,針對電腦裝置314(防火牆),安全性管理裝置302在訊息MSG7所設定的觸發條件為若連結來源的IP位址為“10.3.4.5”,若電腦裝置314判斷出此條件成立,則電腦裝置314的管理程式MP阻擋該IP位址的網路通訊。
另一方面,針對電腦裝置324(入侵偵測裝置),安全性管理裝置302在訊息MSG7所設定的觸發條件與提供給電腦裝置314的相同,即為若連結來源的IP位址為“10.3.4.5”,若電腦裝置324判斷出此條件成立(步驟34),則電腦裝置324的管理程式MP首先阻擋該IP位址的網路通訊,但除此之外,特別地,電腦裝置324的管理程式MP進一步地根據安全性管理裝置302在訊息MSG7中所指定的下一個電腦裝置的網路位址,由電腦裝置324利用訊息MSG10發送或傳播安全性管理裝置302所指定的動作給下一個電腦裝置(步驟35)。
在此範例中,安全性管理裝置302在訊息MSG7中所指定電腦裝置324的下一個電腦裝置剛好為電腦裝置304,並要求電腦裝置304的管理程式MP所要執行的動作為重新開啟網頁主機的服務。但應可知本發明不欲侷限於此,電腦系統300中電腦裝置324之外的任何其他電腦裝置皆可作為電腦裝置324的下一個電腦裝置。此外,雖然安全性管理裝置302在訊息MSG7對電腦裝置324的下一個電腦裝置(範例中為電腦裝置302)僅設定有需要執行的動作,而沒有加上觸發條件,但應可知在其他實施例中,亦可針對下一個電腦裝置所要執行的動作加上觸發條件。
另外需說明的是,在上述範例中,電腦裝置304、314、324皆可具有監控程式MC(較佳作為管理程式MP底下的功能模組)以判斷安全性管理裝置302所設定的觸發條件是否成立。電腦裝置304、314、324的監控程式MC更可以與其他電腦裝置進行通訊,以監控其他電腦裝置的運作狀況,以判斷安全性管理裝置302所設定的觸發條件是否成立。但應可知上述觸發條件是否成立,並不一定是要由電腦裝置304、314、324自行判斷,亦可由其他輔助裝置判斷。
在不脫離本發明精神或必要特性的情況下,可以其他特定形式來體現本發明。應將所述具體實施例各方面僅視為解說性而非限制性。因此,本發明的範疇如隨附申請專利範圍所示而非如前述說明所示。所有落在申請專利範圍之等效意義及範圍內的變更應視為落在申請專利範圍的範疇內。
100‧‧‧電腦系統
102‧‧‧安全性管理裝置
104‧‧‧電腦裝置
106‧‧‧資訊發送單元
107‧‧‧資訊發送單元
108‧‧‧分析單元
110‧‧‧處理單元
112‧‧‧匹配模組
AP‧‧‧應用程式
LG‧‧‧日誌文檔
MP‧‧‧管理程式
DB‧‧‧資料庫
LS‧‧‧清單
MT‧‧‧匹配表
MC‧‧‧監控程式
MSG1-MSG3‧‧‧訊息
Claims (12)
- 一種電腦裝置,連結一安全性管理裝置,該電腦裝置包含:一管理程式;一資料庫,儲存一可得動作清單,該可得動作清單記錄該管理程式可允許執行之至少一管理動作;以及一資訊發送單元,發送該可得動作清單至該安全性管理裝置,而該安全性管理裝置進行一安全性分析,並根據該安全性分析,從該可得動作清單中選擇一管理動作。
- 如請求項1之電腦裝置,其中該管理程式可更新該可得動作清單。
- 如請求項1之電腦裝置,更包含:一資訊接收單元,從該安全性管理裝置接收一動作訊息,該動作訊息係記錄該安全性管理裝置從該可得動作清單中所選出之管理動作;其中該管理程式存取該動作訊息,並執行該所選出之管理動作。
- 如請求項1之電腦裝置,更包含:一資訊接收單元,從該安全性管理裝置接收一動作訊息,該動作訊息係記錄該安全性管理裝置從該可得動作清單中所選出之管理動作與該所選出之管理動作所對應之條件;其中該管理程式存取該動作訊息,而當該條件成立,該管理程式執行該所選管理動作。
- 如請求項1之電腦裝置,其中該可得動作清單係利用通用(generic)動作代號以記錄該管理程式可執行之管理動作; 其中每一通用動作代號係對應一管理動作,而該通用動作代號的命名或編碼方式係不特定於該電腦裝置;其中該安全性管理裝置利用該可得動作清單中通用動作代號來選擇該管理動作。
- 如請求項5之電腦裝置,更包含:一資訊接收單元,從該安全性管理裝置接收一動作訊息,該動作訊息係記錄該安全性管理裝置從該可得動作清單中所選出之通用動作代碼;其中該電腦裝置更包含一匹配(mapping)模組,該匹配模組存取該動作訊息,以得出該動作訊息中通用動作代號所匹配的管理動作的指令碼;其中該管理程式根據該匹配模組所得出的管理動作的指令碼,執行該管理動作。
- 如請求項5之電腦裝置,更包含:一資訊接收單元,從該安全性管理裝置接收一動作訊息,該動作訊息係記錄該安全性管理裝置從該可得動作清單中所選出之通用動作代碼與該所選通用動作代碼所對應之條件;其中該電腦裝置更包含一匹配(mapping)模組,該匹配模組存取該動作訊息,以得出該所選動作清單中通用動作代號所匹配的管理動作的指令碼;其中當該所選通用動作代碼所對應之條件成立,該管理程式根據該匹配模組所得出的管理動作的指令碼,執行該管理動作。
- 如請求項4或7之電腦裝置,更包含一監控程式,以判斷該條件是否成立。
- 一種安全性管理裝置,係與如請求項1之電腦裝置連結,用以該可得動作清單,該安全性管理裝置包含:一分析單元,進行安全性分析;以及一處理單元,根據該安全性分析,從該可得動作清單中選擇一管理動作,產生一動作訊息以記錄該所選出的管理動作,並將該動作訊息發送給該電腦裝置。
- 如請求項9之安全性管理裝置,其中該處理單元進一步產生與該所選出之管理動作所對應之條件,而該動作訊息更記錄該條件。
- 一種電腦裝置,連結一安全性管理裝置,該電腦裝置包含:一管理程式;以及一資訊接收單元,其中該安全性管理裝置進行一安全性分析,並根據該安全性分析,決定一管理動作與該管理動作所對應之一條件,並透過一動作訊息傳送給該電腦裝置,而由該資訊接收單元接收;其中該管理程式存取該動作訊息,而當該條件成立,該管理程式執行該所決定之管理動作。
- 如請求項11之電腦裝置,更包含一監控程式,以判斷該條件是否成立。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW103112027A TWI509456B (zh) | 2014-03-31 | 2014-03-31 | 電腦裝置以及與電腦裝置通訊連結的安全性管理裝置 |
US14/658,359 US9514303B2 (en) | 2014-03-31 | 2015-03-16 | Computer devices and security management device communicationally-connected to the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW103112027A TWI509456B (zh) | 2014-03-31 | 2014-03-31 | 電腦裝置以及與電腦裝置通訊連結的安全性管理裝置 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201537381A TW201537381A (zh) | 2015-10-01 |
TWI509456B true TWI509456B (zh) | 2015-11-21 |
Family
ID=54190796
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW103112027A TWI509456B (zh) | 2014-03-31 | 2014-03-31 | 電腦裝置以及與電腦裝置通訊連結的安全性管理裝置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US9514303B2 (zh) |
TW (1) | TWI509456B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI648978B (zh) * | 2017-07-18 | 2019-01-21 | 中華電信股份有限公司 | Hacker reverse connection behavior detection method |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI256227B (en) * | 2002-08-20 | 2006-06-01 | Intel Corp | Device, system and method to manage security credentials in a protected computer network domain |
TWI323116B (en) * | 2003-06-17 | 2010-04-01 | Ibm | System and computer program product for managing a security policy for a multiplicity of networks |
TW201101083A (en) * | 2009-06-18 | 2011-01-01 | Fineart Technology Co Ltd | Information security management method applied to computer and computer system architecture |
TW201102857A (en) * | 2009-07-01 | 2011-01-16 | Fineart Technology Co Ltd | Information security management method applied to computer and computer system architecture |
TW201104488A (en) * | 2009-07-22 | 2011-02-01 | Giga Byte Tech Co Ltd | Security management methods for computer devices |
US20110264608A1 (en) * | 2006-05-23 | 2011-10-27 | Gonsalves Paul G | Security System For and Method of Detecting and Responding to Cyber Attacks on Large Network Systems |
WO2013019198A1 (en) * | 2011-07-29 | 2013-02-07 | Hewlett-Packard Development Company, L. P. | Systems and methods for distributed rule-based correlation of events |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5793763A (en) | 1995-11-03 | 1998-08-11 | Cisco Technology, Inc. | Security system for network address translation systems |
GB2374687A (en) * | 2001-04-19 | 2002-10-23 | Ibm | Managing configuration changes in a data processing system |
US7290275B2 (en) * | 2002-04-29 | 2007-10-30 | Schlumberger Omnes, Inc. | Security maturity assessment method |
US7487121B2 (en) * | 2002-07-08 | 2009-02-03 | Convergys Cmg Utah | Flexible event correlation aggregation tool |
US7650638B1 (en) | 2002-12-02 | 2010-01-19 | Arcsight, Inc. | Network security monitoring system employing bi-directional communication |
US7647647B2 (en) * | 2004-08-05 | 2010-01-12 | International Business Machines Corporation | System, method and program product for temporally authorizing program execution |
US20060048142A1 (en) | 2004-09-02 | 2006-03-02 | Roese John J | System and method for rapid response network policy implementation |
US8413134B2 (en) * | 2005-05-10 | 2013-04-02 | International Business Machines Corporation | Method, system and computer program for installing software products based on package introspection |
US9031916B2 (en) | 2006-12-28 | 2015-05-12 | Hewlett-Packard Development Company, L.P. | Storing log data efficiently while supporting querying to assist in computer network security |
US20100071054A1 (en) * | 2008-04-30 | 2010-03-18 | Viasat, Inc. | Network security appliance |
US7996352B2 (en) * | 2008-05-30 | 2011-08-09 | International Business Machines Corporation | Distributed rule processing for ubiquitous computing environments |
EP2335176A1 (en) * | 2008-08-20 | 2011-06-22 | Wherepro, LLC | Data packet generator for generating passcodes |
US8607339B2 (en) * | 2009-11-02 | 2013-12-10 | Red Hat, Inc. | Systems and methods for improved identification and analysis of threats to a computing system |
US8913507B2 (en) | 2012-06-21 | 2014-12-16 | Breakingpoint Systems, Inc. | Virtual data loopback and/or data capture in a computing system |
US9503475B2 (en) | 2012-08-14 | 2016-11-22 | Ca, Inc. | Self-adaptive and proactive virtual machine images adjustment to environmental security risks in a cloud environment |
-
2014
- 2014-03-31 TW TW103112027A patent/TWI509456B/zh not_active IP Right Cessation
-
2015
- 2015-03-16 US US14/658,359 patent/US9514303B2/en not_active Expired - Fee Related
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI256227B (en) * | 2002-08-20 | 2006-06-01 | Intel Corp | Device, system and method to manage security credentials in a protected computer network domain |
TWI323116B (en) * | 2003-06-17 | 2010-04-01 | Ibm | System and computer program product for managing a security policy for a multiplicity of networks |
US20110264608A1 (en) * | 2006-05-23 | 2011-10-27 | Gonsalves Paul G | Security System For and Method of Detecting and Responding to Cyber Attacks on Large Network Systems |
TW201101083A (en) * | 2009-06-18 | 2011-01-01 | Fineart Technology Co Ltd | Information security management method applied to computer and computer system architecture |
TW201102857A (en) * | 2009-07-01 | 2011-01-16 | Fineart Technology Co Ltd | Information security management method applied to computer and computer system architecture |
TW201104488A (en) * | 2009-07-22 | 2011-02-01 | Giga Byte Tech Co Ltd | Security management methods for computer devices |
WO2013019198A1 (en) * | 2011-07-29 | 2013-02-07 | Hewlett-Packard Development Company, L. P. | Systems and methods for distributed rule-based correlation of events |
Also Published As
Publication number | Publication date |
---|---|
US20150278519A1 (en) | 2015-10-01 |
TW201537381A (zh) | 2015-10-01 |
US9514303B2 (en) | 2016-12-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11750486B2 (en) | Device state management | |
US11122023B2 (en) | Device communication environment | |
US10547710B2 (en) | Device gateway | |
KR102146034B1 (ko) | 네트워크 종점들의 보안 보호와 원격 관리를 위한 사용자 인터페이스 | |
US9100421B2 (en) | Enterprise application session control and monitoring in a large distributed environment | |
US10235516B2 (en) | Method for authenticating a networked endpoint using a physical (power) challenge | |
US8990893B2 (en) | Enterprise application session control and monitoring in a large distributed environment | |
EP2819377B1 (en) | Multi-platform operational objective configurator for computing devices | |
EP2835948B1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
TW200915063A (en) | Remote health monitoring and control | |
EP3035636B1 (en) | Computer defenses and counterattacks | |
WO2021062303A1 (en) | Methods and apparatus to identify and report cloud-based security vulnerabilities | |
US10284631B2 (en) | Management-as-a-service for on-premises information-technology systems | |
US20150319145A1 (en) | Logical Partition Media Access Control Impostor Detector | |
US8793783B2 (en) | Dynamic allocation of network security credentials for alert notification recipients | |
TW201537378A (zh) | 電腦裝置以及與電腦裝置通訊連結的安全性管理裝置 | |
TWI509456B (zh) | 電腦裝置以及與電腦裝置通訊連結的安全性管理裝置 | |
EP3959632B1 (en) | File storage service initiation of antivirus software locally installed on a user device | |
US20180288075A1 (en) | Communication destination determination device, communication destination determination method, and recording medium | |
JP5736346B2 (ja) | 仮想化装置、仮想化制御方法、仮想化装置制御プログラム | |
KR20200113836A (ko) | 보안 통제 장치 및 방법 | |
JP2010219803A (ja) | 検疫システム、検疫管理装置、検疫方法、及びプログラム | |
US10742480B2 (en) | Network management as a service (MaaS) using reverse session-origination (RSO) tunnel |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |