TWI648650B - 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 - Google Patents
閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 Download PDFInfo
- Publication number
- TWI648650B TWI648650B TW106124398A TW106124398A TWI648650B TW I648650 B TWI648650 B TW I648650B TW 106124398 A TW106124398 A TW 106124398A TW 106124398 A TW106124398 A TW 106124398A TW I648650 B TWI648650 B TW I648650B
- Authority
- TW
- Taiwan
- Prior art keywords
- channel
- trace
- malicious
- traces
- channels
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/022—Capturing of monitoring data by sampling
- H04L43/024—Capturing of monitoring data by sampling by adaptive sampling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明提供一種閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體。此偵測方法包括下列步驟。側錄網路流量。自這些網路流量中解析出蹤跡及通道。各通道係關於一個網域與一個網際網路協定位址的連結,而各蹤跡係關於由此網際網路協定位址用以要求那網域所提出之超文本傳輸協定要求。接著,建立蹤跡-通道行為圖。並且,基於此蹤跡-通道行為圖及威脅情資來訓練出惡意程度模型。藉此,可透過此惡意程度模型判斷未知通道的惡意程度,從而提供精確度高的偵測技術。
Description
本發明是有關於一種資安技術,且特別是有關於一種閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體。
惡意網域一直以來都是網路犯罪活動(例如,散發垃圾郵件、財務詐欺、釣魚網站等惡意行為)的溫床。企業如何在眾多的對外連線中及早發現可疑網域已成為一件極重要的企業資安問題。
當攻擊者建構中繼站後,會企圖藉由社交郵件、釣魚網站或其他途徑將惡意程式植入被害主機後,並使這些主機成為殭屍電腦(Bots)。而成為殭屍電腦內的惡意程式絕大多數需要網路連結以進行其惡意活動(例如,發送垃圾郵件、洩漏私人機密、下載惡意程式更新、傳染周遭主機等)。攻擊者為了提高殭屍網路(Botnet)的存活率,經常使用網域變動(domain flux)等技術,以避免被查獲且降低植入惡意程式之行為遭封鎖的機會。由此可知,資安相關業者勢必需要研究出有效地偵測惡意網域及受駭主機的技術。
有鑑於此,本發明提供一種閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體,其提供正確性高的偵測技術。
本發明的惡意網域與受駭主機的偵測方法,適用於一閘道裝置,且其包括下列步驟。接收網路流量(traffic)。自這些網路流量中解析出蹤跡(traces)及通道(channels)。各通道係關於一個網域與一個網際網路協定(Internet Protocol,IP)位址的連結,而各蹤跡係關於由此網際網路協定位址對那網域所提出之超文本傳輸協定要求。建立那些蹤跡及通道的連接關係。並且,基於此連接關係及威脅情資建構出惡意程度模型。透過惡意程度模型判斷未知通道。
本發明的閘道裝置,分別連線至內部網路及外部網路之間。此閘道裝置包括通訊單元、儲存單元及處理單元。通訊單元收發資料。儲存單元紀錄數個模組。處理單元耦接通訊單元及儲存單元,且存取並執行儲存單元所儲存的那些模組。那些模組包括流量側錄模組、模型學習模組以及網路犯罪通道循跡模組。流量側錄模組透過通訊單元接收內部網路及外部網路之間的網路流量。模型學習模組自那些網路流量中解析出蹤跡及通道,建立那些蹤跡及通道的連接關係,並基於此連接關係及威脅情資建構出惡意程度模型。各通道係關於一個網域與一個網際網路協定位址的連結,而各蹤跡係關於由網際網路協定位址對網域所提出之超文本傳輸協定要求。網路犯罪通道循跡模組即可透過惡意程度模型判斷未知通道。
本發明的非暫態電腦可讀取媒體,其紀錄程式,並經由閘道裝置載入並執行下列步驟。接收網路流量。自這些網路流量中解析出蹤跡及通道。各通道係關於一個網域與一個網際網路協定位址的連結,而各蹤跡係關於由此網際網路協定位址對那網域所提出之超文本傳輸協定要求。建立那些蹤跡及通道的連接關係。並且,基於此連接關係及威脅情資建構出惡意程度模型。透過惡意程度模型判斷未知通道。
基於上述,藉由此連接關係所形成之蹤跡-通道行為圖,可取得惡意通道及良性通道的蹤跡行為特徵,再進一步用機器學習建構出惡意程度模型,以利於後續未知通道之判斷。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
網路流量日誌資料中會紀錄往返網路流量的行蹤,而由於惡意程式通常會連線到外部特定網站,因此其對應超文本傳輸協定(HyperText Transfer Protocol,HTTP)要求(HTTP request)中勢必會留下惡意程式訪問的線索且會被紀錄在網路流量日誌資料內。而本發明便是基於惡意程式會以類似HTTP要求詢問中繼站並進行互動的特點,對網路流量分析以形成蹤跡-通道行為圖,並基於已知的威脅情資建構出偵測未知的惡意網域及受駭主機的惡意程度模型,即可偵測網路通道的惡意程度。透過以下內容將可讓讀者了解本發明之創作精神。
圖1係依據本發明一實施例說明通訊系統1的架構示意圖。此通訊系統1包括一或更多台用戶主機100處於內部網路150(例如,區域網路(LAN))、一或更多台外部主機130處於外部網路170(例如,網際網路(Internet))及閘道裝置200。
這些用戶主機100可以係桌上型電腦、筆記型電腦、伺服器、智慧型手機、平板電腦等任何具備連網功能的電子裝置。
外部主機130可以係伺服器、工作站、中繼站等連網裝置。另須說明的是,本實施例以內、外部網路150, 170主要係用於區分兩個不同網路。
閘道裝置200介於內、外部網路150, 170之間,閘道裝置200並包括通訊單元210、儲存單元230及處理單元250。通訊單元210可以係具備諸如乙太網路(Ethernet)、光纖(optical fiber)或其他具備通訊傳輸功能的任何類型的網路介面,以連線至內、外部網路150, 170。
儲存單元230可以是任何型態的固定或可移動隨機存取記憶體(RAM)、唯讀記憶體(ROM)、快閃記憶體(flash memory)、傳統硬碟(hard disk drive)、固態硬碟(solid-state drive)或類似元件或上述元件的組合如網路連接儲存設備(Network Attached Storage),並用以紀錄流量側錄(日誌)模組231、模型學習模組232、網路犯罪通道循跡模組233、情資收集模組235及情資分享模組236等程式、網路流量、流量日誌、蹤跡-通道行為圖、威脅情資資料庫237等相關資訊。
處理單元250與通訊單元210及儲存單元230及連接,並可以是中央處理單元(CPU),或是其他可程式化之一般用途或特殊用途的微處理器(Microprocessor)、數位信號處理器(DSP)、可程式化控制器、特殊應用積體電路(ASIC)或其他類似元件或上述元件的組合。在本發明實施例中,處理單元250用以執行閘道裝置200的所有作業,且可存取並執行上述儲存單元230中記錄的模組。
為了方便理解本發明實施例的操作流程,以下將舉諸多實施例詳細說明本發明實施例中閘道裝置200對於惡意網域與受駭主機的偵測方法。圖2是依據本發明一實施例說明一種偵測方法流程圖。請參照圖2,本實施例的方法適用於圖1中通訊系統1中的各裝置。下文中,將搭配閘道裝置200的各項元件及模組說明本發明實施例所述之方法。本方法的各個流程可依照實施情形而隨之調整,且並不僅限於此。
流量側錄模組231透過通訊單元210接收網路流量產生的資料(步驟S21),例如,側錄網路流量產生的封包擷取(PCAP)或代理伺服器日誌等網路流量資料。例如,圖3係一範例說明網路流量資料,主要有時間戳(TimeStamp)、用戶網路位址(Client-IP)(例如,用戶主機100之IP位址)、目的網域(DestUrl)(例如,外部主機130所註冊之網域)、連線方法(Method)以及超文本傳輸協定要求(HTTP Request):
另一方面,情資收集模組235接收不同來源(例如,http://www.malware-traffic-analysis.net/、VirusTotal、Bluecoat等來源)所提供的諸如惡意程式、病毒、不當網路行為、網路威脅相關資安情資資訊,並整合新產生的網路威脅情資,以豐富威脅情資資料庫237,進而讓後續分類更加準確。
模型學習模組232自那些網路流量中解析出蹤跡及通道(步驟S23)。具體而言,模型學習模組232將一個網域與一個網際網路協定(IP)位址(例如,用戶主機100的IP位址)的連結視為一個通道,並將由一個網際網路協定位址對一個網域所提出之HTTP要求視為一個蹤跡。由於連結惡意中繼站的不同惡意程式會使用相似的http要求來查詢中繼站(例如,外部主機130),故本發明針對HTTP要求進行解析。
例如,圖4係一範例說明解析HTTP要求,
m表示查詢統一資源定位符(Uniform Resource Locator,URL)時使用的方法(method) ,
p表示查詢URL的頁面(page) ,其餘查詢URL所用的資訊會以
key=value為一對的組合出現在〝?〞之後並且以〝&〞隔開,
n表示查詢URL的參數名稱(parameter names),而
v表示參數值(parameter values)。而由於
v較容易變動(部分惡意程式會以亂數產生),因此在本實施例中會統一以同一個符號(例如,|)取代
v所指之內容,也就表示本發明實施例不會(或不考慮)使用
v。如圖4所示,原本為「GET /gxtxlxyxx.php?pass=999&psql=99&xio=TW」的HTTP要求),將參數值以同一個符號取代後與方法(
m)結合後即會變成GET_/gxtxlxyxx.php?pass|Psql|xio|的蹤跡。需說明的是,前述替換代碼及規則可視需求而調整。
而基於前述解析方式,網路流量資料即可解析成如圖5所示之內容。請參照圖5,不同的網域與用戶IP間的形成的通道,會使用相似的HTTP要求形成的蹤跡互動。雖然原始HTTP 要求的參數值會有所變化,但是藉由將HTTP要求轉換成蹤跡的方式就可以很清楚得知形成通道的蹤跡十分相似。基於上述的實際現象,本發明實施例才會將網路流量中的網域與用戶IP當作是一個通道,例如表(1)中的項目1,2的用戶IP與網域相同,可視為同一個通道1。
模型學習模組232接著建立那些蹤跡及通道的連接關係(步驟S25)。具體而言,藉由前述方法決定通道後,則通道的清單組合可視為
C。另一方面,蹤跡組合的清單視為T。模型學習模組232便將各蹤跡作為一個蹤跡節點,並將各通道作為一個通道節點。基於各網路流量而將對應蹤跡節點及通道節點連線,即可形成蹤跡與通道的二分圖(bipartite graph),此二分圖便稱為蹤跡-通道行為圖(Trace-Channel Behavior Graph)。
例如,圖6係依據圖3所形成之蹤跡-通道行為圖。藉由解析HTTP要求形成蹤跡,可以得到蹤跡1「/PAGE
a?/P
a1|P
a2|P
a3|」與蹤跡2「/PAGE
b?/P
b1|P
b2|P
b3|」皆連線到同一通道1。依此類推,分析表(1)所示的網路流量即可得到,項目3,4的用戶IP與網域相同視為通道2,蹤跡1「/PAGE
a?/P
a1|P
a2|P
a3|」與蹤跡2「/PAGE
b?/P
b1|P
b2|P
b3|」皆連線至同一通道2;項目5視為通道3,蹤跡1「/PAGE
a?/P
a1|P
a2|P
a3|」連線通道3;項目6,7的用戶IP與網域相同視為通道4,蹤跡3「/PAGE
c?/P
c1|P
c2|P
c3|」與蹤跡4「/PAGE
d?/P
d1|P
d2|P
d3|」皆連線同一通道4;項目8視為通道5,蹤跡4「/PAGE
d?/P
d1|P
d2|P
d3|」連線通道5。
產生蹤跡-通道行為圖之後,模型學習模組232便可基於產生蹤跡-通道行為圖所形成連接關係及情資收集模組235所收集之威脅情資,建構出惡意程度模型(步驟S27)。具體而言,模型學習模組232係基於威脅情資資料庫237而將蹤跡-通道行為圖中所有通道節點標記為惡意\良性\未知等通道,由惡意程式產生之PCAP中的通道一律標記為惡意,其餘側錄之網路流量所形成的通道則透過與網域白名單比對網域欄位判斷其通道為良性\未知。模型學習模組232並將連線到至少二個受標記為惡意之通道節點的蹤跡節點標記為惡意。例如,圖7係一範例說明蹤跡-通道行為圖經標記後的示意圖,圖7中以〝✽〞表示惡意,〝?〞表示未知,〝○〞表示良性。
須說明的是,本實施例使用蹤跡-通道行為圖係為了便於後續分析及察看,然於其他實施例中,可改利用對照表、陣列等方式記錄那些蹤跡及通道的連接關係。
模型學習模組232基於標記結果計算蹤跡行為的三個特徵值。這三個特徵值係受駭蹤跡特徵值
m、未知蹤跡特徵值
u及所有蹤跡總數。受駭蹤跡特徵值
,
X係連線至受標記為惡意之通道節點之蹤跡的集合,
T係所有蹤跡節點的集合;未知蹤跡特徵值
,U係連線至受標記為未知之通道節點之蹤跡的集合;而所有蹤跡總數
。模型學習模組232會對所有通道計算其對應的三個特徵值。例如,圖8係一範例說明惡意/良性/未知通道與其特徵值。
模型學習模組232便可將已知惡意\良性的通道搭配其個別的三個特徵值輸入機器學習演算法(例如,類神經網路、隨機森林、支援向量等)進行訓練,以建構出通道惡意程度模型。
網路犯罪通道循跡模組233(或稱分類器)即可透過此惡意程度模型判斷未知通道相似於惡意/良性通道的程度與用戶主機受駭機率(步驟S29)。例如,圖9係一範例說明評斷未知通道的惡意程度。原本被標記為未知的通道,經過惡意程度模型評斷後會依照機率(例如,惡意機率大於特定值或大於良性機率)而歸類到惡意。而機率表示此通道中的用戶IP與網域為惡意的機率(程度),被判定為惡意通道中的網域名稱與機率的資訊可以讓第三方協防設備或者閘道裝置200使用網域情資時更有彈性。佈署在不同企業的閘道裝置200即可藉由機率選擇是否選用某一網域的情資,因此網路犯罪通道循跡模組233可將情資收集模組235整合其它來源的情資一併儲存儲存單元230中的威脅情資資料庫237。當受標記的網域越多,就表示模型學習模組232在進行通道惡意程度模型建構時可以獲得的網域情資越多,進行訓練時的模型也就會建構得越準確。情資分享模組236亦可分享網路犯罪通道循跡模組233的網路威脅情資(即前述評斷之結果(通道對應之機率))給第三方協防系統或設備。
將前述評斷結果與外部威脅情資(例如,VirusToal)進行驗證,可證明被網路犯罪通道循跡模組233歸類的惡意網址確實是外部威脅情資所紀錄惡意網域的結果。
值得說明的是,前述惡意網域與受駭主機的偵測方法亦可作為程式,並記錄在諸如等硬碟、軟碟、隨身碟、CD等非暫態電腦可讀取媒體中,且能透過任何類型的處理單元(例如,處理單元250)執行此程式。
綜上所述,本發明實施例提供了利用網路流量日誌偵測未知惡意網域與受駭主機之技術,透過網路流量中主機連線網域行為產生的蹤跡-通道行為圖,即可有效表示使用者主機與目的網域之間的相互作用(interaction)。此外,由於網路通道是由連線的用戶主機100與目的網域所構成,因此透過惡意通道連線特徵所產生之網路通道惡意程度計算方法,可藉由惡意程度評鑑形成網路通道之用戶主機100之受駭程度與目的網域之惡意程度。另一方面,由網路犯罪通道循跡模組233分析所產生之新網路威脅情報會有惡意程度高低,而這些情報可提供第三方阻斷設備依照其環境彈性選擇信賴程度。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
1‧‧‧通訊系統
100‧‧‧用戶主機
130‧‧‧外部主機
150‧‧‧內部網路
170‧‧‧外部網路
200‧‧‧閘道裝置
210‧‧‧通訊單元
230‧‧‧儲存單元
231‧‧‧流量側錄模組
232‧‧‧模型學習模組
233‧‧‧網路犯罪通道循跡模組
235‧‧‧情資收集模組
236‧‧‧情資分享模組
237‧‧‧威脅情資資料庫
S21~S29‧‧‧步驟
圖1係依據本發明一實施例說明通訊系統的架構示意圖。 圖2是依據本發明一實施例說明一種偵測方法流程圖。 圖3係一範例說明網路流量資料。 圖4係一範例說明解析超文本傳輸協定要求。 圖5係一範例說明網路流量資料經解析所形成之內容。 圖6係依據圖3所形成之蹤跡-通道行為圖。 圖7係一範例說明蹤跡-通道行為圖經標記後的示意圖。 圖8係一範例說明惡意/良性/未知通道與其特徵值。 圖9係一範例說明評斷未知通道的惡意程度。
Claims (8)
- 一種惡意網域與受駭主機的偵測方法,適用於一閘道裝置,該偵測方法包括:接收多個網路流量(traffic);自該些網路流量中解析出多個蹤跡(traces)及多個通道(channels),其中每一該通道係關於一網域與一網際網路協定(Internet Protocol,IP)位址的連結,而每一該蹤跡係關於由該網際網路協定位址對該網域所提出之超文本傳輸協定要求(HyperText Transfer Protocol,HTTP);建立該些蹤跡及該些通道的連接關係,其中該連接關係為一蹤跡-通道行為圖,而建立該連接關係包括:將每一該蹤跡作為一蹤跡節點,並將每一該通道作為一通道節點;以及依據接收的每一網路流量將對應的蹤跡節點及通道節點連線,以形成該蹤跡-通道行為圖,其中該蹤跡-通道行為圖屬於二分圖;基於該連接關係及一威脅情資建構出一惡意程度模型;以及透過該惡意程度模型判斷一未知通道。
- 如申請專利範圍第1項所述的偵測方法,其中基於該連接關係及該威脅情資建構出該惡意程度模型的步驟包括:基於該威脅情資將對應的通道節點標記為惡意;將連線到至少二受標記為惡意之通道節點的蹤跡節點標記為惡意;以及基於標記結果訓練該惡意程度模型。
- 如申請專利範圍第2項所述的偵測方法,其中基於標記結果訓練該惡意程度模型的步驟包括:基於標記結果並針對每一該通道,計算三特徵值,該三特徵值係一受駭蹤跡特徵值m、一未知蹤跡特徵值u及所有蹤跡總數,其中m=|X|/|T|,X係連線至受標記為惡意之通道節點之蹤跡的集合,T係所有蹤跡節點的集合,u=|U|/|T|,U係連線至受標記為未知之通道節點之蹤跡的集合;以及依據受標記為惡意之通道節點及該三特徵值而透過機器學習演算法訓練該惡意程度模型。
- 如申請專利範圍第1項所述的偵測方法,其中自該些網路流量中解析出該些蹤跡及該些通道的步驟包括:自該些網路流量中的超文本傳輸協定要求解析出查詢統一資源定位符(Uniform Resource Locator,URL)所用資訊,以形成該些通道。
- 一種閘道裝置,分別連線至一內部網路及一外部網路之間,該閘道裝置包括:一通訊單元,收發資料;一儲存單元,紀錄多個模組;以及一處理單元,耦接該通訊單元及該儲存單元,且存取並執行該儲存單元所儲存的該些模組,該些模組包括:一流量側錄模組,透過該網路單元接收該內部網路及該外部網路之間的多個網路流量;一模型學習模組,自該些網路流量中解析出多個蹤跡及多個通道,建立該些蹤跡及該些通道的連接關係,其中該連接關係為一蹤跡-通道行為圖,該模型學習模組將每一該蹤跡作為一蹤跡節點,將每一該通道作為一通道節點,並依據接收的每一網路流量將對應的蹤跡節點及通道節點連線,以形成該蹤跡-通道行為圖,其中該蹤跡-通道行為圖屬於二分圖,該模型學習模組並基於該連接關係及一威脅情資建構出一惡意程度模型,其中每一該通道係關於一網域與一網際網路協定位址的連結,而每一該蹤跡係關於由該網際網路協定位址對該網域所提出之超文本傳輸協定要求;以及一網路犯罪通道循跡模組,透過該惡意程度模型判斷一未知通道。
- 如申請專利範圍第5項所述的閘道裝置,其中該模型學習模組基於該威脅情資將對應的通道節點標記為惡意,將連線到至少二受標記為惡意之通道節點的蹤跡節點標記為惡意,並基於標記結果訓練該惡意程度模型。
- 如申請專利範圍第6項所述的閘道裝置,其中該模型學習模組基於標記結果並針對每一該通道,計算三特徵值,該三特徵值係一受駭蹤跡特徵值m、一未知蹤跡特徵值u及所有蹤跡總數,其中m=|X|/|T|,X係連線至受標記為惡意之通道節點之蹤跡的集合,T係所有蹤跡節點的集合,u=|U|/|T|,U係連線至受標記為未知之通道節點之蹤跡的集合,該模型學習模組並依據受標記為惡意之通道節點及該三特徵值而透過機器學習演算法訓練該惡意程度模型。
- 一種非暫態電腦可讀取媒體,紀錄一程式,並經由一閘道裝置載入並執行下列步驟:接收多個網路流量;自該些網路流量中解析出多個蹤跡及多個通道,其中每一該通道係關於一網域與一網際網路協定位址的連結,而每一該蹤跡係關於由該網際網路協定位址對該網域所提出之超文本傳輸協定要求;建立該些蹤跡及該些通道的連接關係,其中該連接關係為一蹤跡-通道行為圖,而建立該連接關係包括:將每一該蹤跡作為一蹤跡節點,並將每一該通道作為一通道節點;以及依據接收的每一網路流量將對應的蹤跡節點及通道節點連線,以形成該蹤跡-通道行為圖,其中該蹤跡-通道行為圖屬於二分圖;基於該連接關係及一威脅情資建構出一惡意程度模型;以及透過該惡意程度模型判斷一未知通道。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106124398A TWI648650B (zh) | 2017-07-20 | 2017-07-20 | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 |
| US15/667,632 US10574695B2 (en) | 2017-07-20 | 2017-08-03 | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106124398A TWI648650B (zh) | 2017-07-20 | 2017-07-20 | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI648650B true TWI648650B (zh) | 2019-01-21 |
| TW201909016A TW201909016A (zh) | 2019-03-01 |
Family
ID=65014188
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106124398A TWI648650B (zh) | 2017-07-20 | 2017-07-20 | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US10574695B2 (zh) |
| TW (1) | TWI648650B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI709874B (zh) * | 2019-04-01 | 2020-11-11 | 中華電信股份有限公司 | 與外部裝置分享威脅情資的方法及其電子裝置 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10862907B1 (en) | 2017-08-07 | 2020-12-08 | RiskIQ, Inc. | Techniques for detecting domain threats |
| US11195107B1 (en) * | 2017-09-13 | 2021-12-07 | Hrl Laboratories, Llc | Method of malicious social activity prediction using spatial-temporal social network data |
| US11122063B2 (en) * | 2017-11-17 | 2021-09-14 | Accenture Global Solutions Limited | Malicious domain scoping recommendation system |
| JP6783261B2 (ja) * | 2018-02-15 | 2020-11-11 | 日本電信電話株式会社 | 脅威情報抽出装置及び脅威情報抽出システム |
| US11134090B1 (en) | 2018-06-04 | 2021-09-28 | Target Brands, Inc. | Network security analysis and malware detection using multiple types of malware information |
| US10972484B1 (en) * | 2018-06-04 | 2021-04-06 | Target Brands, Inc. | Enriching malware information for use with network security analysis and malware detection |
| US11206275B2 (en) | 2019-05-30 | 2021-12-21 | Qatar Foundation For Education, Science And Community Development | Method and system for domain maliciousness assessment via real-time graph inference |
| CN112543186B (zh) * | 2020-11-23 | 2023-02-14 | 西安四叶草信息技术有限公司 | 一种网络行为检测方法、装置、存储介质及电子设备 |
| US20220263734A1 (en) * | 2021-02-14 | 2022-08-18 | Broadstone Technologies, Llc | System and method for telemetry analysis of a digital twin |
| CN113194091A (zh) * | 2021-04-28 | 2021-07-30 | 顶象科技有限公司 | 恶意流量入侵检测系统和硬件平台 |
| CN113642005B (zh) * | 2021-08-17 | 2023-07-21 | 安天科技集团股份有限公司 | 安全防护产品的防御性评估方法、装置、设备及介质 |
| CN114363058B (zh) * | 2021-12-31 | 2024-02-23 | 深信服科技股份有限公司 | 一种设备探测方法、装置及相关设备 |
| CN115001789B (zh) * | 2022-05-27 | 2024-04-02 | 绿盟科技集团股份有限公司 | 一种失陷设备检测方法、装置、设备及介质 |
| CN116743508B (zh) * | 2023-08-15 | 2023-11-14 | 四川新立高科科技有限公司 | 一种电力系统网络攻击链检测方法、装置、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020166063A1 (en) * | 2001-03-01 | 2002-11-07 | Cyber Operations, Llc | System and method for anti-network terrorism |
| US20040250122A1 (en) * | 2003-05-09 | 2004-12-09 | Chris Newton | Network intelligence system |
| US20100077483A1 (en) * | 2007-06-12 | 2010-03-25 | Stolfo Salvatore J | Methods, systems, and media for baiting inside attackers |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6895091B1 (en) | 2000-07-07 | 2005-05-17 | Verizon Corporate Services Group Inc. | Systems and methods for encryption key archival and auditing in a quantum-cryptographic communications network |
| US7236597B2 (en) | 2002-12-20 | 2007-06-26 | Bbn Technologies Corp. | Key transport in quantum cryptographic networks |
| US8260914B1 (en) * | 2010-06-22 | 2012-09-04 | Narus, Inc. | Detecting DNS fast-flux anomalies |
| US8516585B2 (en) * | 2010-10-01 | 2013-08-20 | Alcatel Lucent | System and method for detection of domain-flux botnets and the like |
| US8762298B1 (en) * | 2011-01-05 | 2014-06-24 | Narus, Inc. | Machine learning based botnet detection using real-time connectivity graph based traffic features |
| US8631489B2 (en) | 2011-02-01 | 2014-01-14 | Damballa, Inc. | Method and system for detecting malicious domain names at an upper DNS hierarchy |
| US8402543B1 (en) * | 2011-03-25 | 2013-03-19 | Narus, Inc. | Machine learning based botnet detection with dynamic adaptation |
| TWI455546B (zh) | 2011-06-08 | 2014-10-01 | Univ Nat Cheng Kung | 利用快速變動網域技術之惡意網域之偵測方法與偵測系統 |
| US8561188B1 (en) | 2011-09-30 | 2013-10-15 | Trend Micro, Inc. | Command and control channel detection with query string signature |
| EP3522492A1 (en) * | 2012-03-22 | 2019-08-07 | Triad National Security, LLC | Path scanning for the detection of anomalous subgraphs, anomaly/change detection and network situational awareness |
| GB2502254B (en) * | 2012-04-20 | 2014-06-04 | F Secure Corp | Discovery of suspect IP addresses |
| JP6590481B2 (ja) * | 2012-12-07 | 2019-10-16 | キヤノン電子株式会社 | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム |
| US8813236B1 (en) * | 2013-01-07 | 2014-08-19 | Narus, Inc. | Detecting malicious endpoints using network connectivity and flow information |
| US11093844B2 (en) * | 2013-03-15 | 2021-08-17 | Akamai Technologies, Inc. | Distinguishing human-driven DNS queries from machine-to-machine DNS queries |
| US9363282B1 (en) * | 2014-01-28 | 2016-06-07 | Infoblox Inc. | Platforms for implementing an analytics framework for DNS security |
| US9635049B1 (en) * | 2014-05-09 | 2017-04-25 | EMC IP Holding Company LLC | Detection of suspicious domains through graph inference algorithm processing of host-domain contacts |
| US10038703B2 (en) * | 2014-07-18 | 2018-07-31 | The Regents Of The University Of Michigan | Rating network security posture and comparing network maliciousness |
| EP3225009B1 (en) * | 2014-11-25 | 2024-01-03 | Fortinet, Inc. | Systems and methods for malicious code detection |
| US10440035B2 (en) * | 2015-12-01 | 2019-10-08 | Cisco Technology, Inc. | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling |
| JP6503141B2 (ja) * | 2016-06-17 | 2019-04-17 | 日本電信電話株式会社 | アクセス分類装置、アクセス分類方法及びアクセス分類プログラム |
| US10462159B2 (en) * | 2016-06-22 | 2019-10-29 | Ntt Innovation Institute, Inc. | Botnet detection system and method |
| RU2634211C1 (ru) * | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
| US10375096B2 (en) * | 2016-12-08 | 2019-08-06 | Cisco Technology, Inc. | Filtering onion routing traffic from malicious domain generation algorithm (DGA)-based traffic classification |
| US10681070B2 (en) * | 2017-05-26 | 2020-06-09 | Qatar Foundatiion | Method to identify malicious web domain names thanks to their dynamics |
-
2017
- 2017-07-20 TW TW106124398A patent/TWI648650B/zh active
- 2017-08-03 US US15/667,632 patent/US10574695B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020166063A1 (en) * | 2001-03-01 | 2002-11-07 | Cyber Operations, Llc | System and method for anti-network terrorism |
| US20040250122A1 (en) * | 2003-05-09 | 2004-12-09 | Chris Newton | Network intelligence system |
| US20100077483A1 (en) * | 2007-06-12 | 2010-03-25 | Stolfo Salvatore J | Methods, systems, and media for baiting inside attackers |
Non-Patent Citations (3)
| Title |
|---|
| https://whc.es/NetworkIntrusionDetection.pdf * |
| Stephen Northcutt et al., "Network Intrusion Detection" (August 28, 2002) * |
| Stephen Northcutt et al., "Network Intrusion Detection" (August 28, 2002)。https://whc.es/NetworkIntrusionDetection.pdf |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI709874B (zh) * | 2019-04-01 | 2020-11-11 | 中華電信股份有限公司 | 與外部裝置分享威脅情資的方法及其電子裝置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10574695B2 (en) | 2020-02-25 |
| TW201909016A (zh) | 2019-03-01 |
| US20190028508A1 (en) | 2019-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI648650B (zh) | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 | |
| Ring et al. | Detection of slow port scans in flow-based network traffic | |
| JP6053091B2 (ja) | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム | |
| US10375143B2 (en) | Learning indicators of compromise with hierarchical models | |
| Rahbarinia et al. | Peerrush: Mining for unwanted p2p traffic | |
| Bhatia et al. | Distributed denial of service attacks and defense mechanisms: current landscape and future directions | |
| Kotey et al. | On distributed denial of service current defense schemes | |
| TWI684113B (zh) | 閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體 | |
| Cai et al. | Detecting HTTP botnet with clustering network traffic | |
| CN109525577B (zh) | 基于http行为图的恶意软件检测方法 | |
| Paulauskas et al. | Local outlier factor use for the network flow anomaly detection | |
| Kondracki et al. | Catching transparent phish: Analyzing and detecting mitm phishing toolkits | |
| Lamprakis et al. | Unsupervised detection of APT C&C channels using web request graphs | |
| Fallah et al. | Android malware detection using network traffic based on sequential deep learning models | |
| TWI656778B (zh) | Malicious domain detection method combining network information and network traffic | |
| Feng et al. | Towards learning-based, content-agnostic detection of social bot traffic | |
| Drašar et al. | Similarity as a central approach to flow‐based anomaly detection | |
| Lu et al. | Integrating traffics with network device logs for anomaly detection | |
| Kondracki et al. | The droid is in the details: Environment-aware evasion of android sandboxes | |
| TWI677803B (zh) | 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體 | |
| Oudah et al. | Using burstiness for network applications classification | |
| TWI634769B (zh) | Method for detecting domain name transformation botnet through proxy server log | |
| KR101084681B1 (ko) | 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법 | |
| Kheir et al. | Peerviewer: Behavioral tracking and classification of P2P malware | |
| Hsiao et al. | Detecting stepping‐stone intrusion using association rule mining |