TWI670953B - 異常監控系統及異常監控方法 - Google Patents
異常監控系統及異常監控方法 Download PDFInfo
- Publication number
- TWI670953B TWI670953B TW106132761A TW106132761A TWI670953B TW I670953 B TWI670953 B TW I670953B TW 106132761 A TW106132761 A TW 106132761A TW 106132761 A TW106132761 A TW 106132761A TW I670953 B TWI670953 B TW I670953B
- Authority
- TW
- Taiwan
- Prior art keywords
- network
- log
- network devices
- security
- server
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本發明提供一種異常監控系統及其異常監控方法。此系統包括至少兩個異質網路架構、訊息交換平台及監控伺服器。每個異質網路架構包括日誌伺服器、以及網路設備。此日誌伺服器取得所屬異質網路架構內之那些網路設備的日誌資料,日誌伺服器並將那些網路設備的日誌資料正規化成相同規格之統一日誌。訊息交換平台依據嚴重程度分類那些統一日誌。監控伺服器分析整合分類之那些統一日誌,並據以執行通報作業。藉此,可方便瞭解各網路設備之安全事件發生原由,並能縮短處理時間。
Description
本發明是有關於一種網路監控,且特別是有關於一種針對網路設備之異常監控系統及異常監控方法。
諸如Over the Top(OTT)服務、物聯網(Internet of Thing,IoT)服務、雲端服務等多種類型的數位服務隨網際網路的蓬勃發展而逐漸興起,而這些數位服務皆需要經由網路進行資料交換,故無可避免地會涉及到資安問題。然而,現今大多數的資訊安全研究者通常僅著重於系統安全研究及網路封包分析,而鮮有針對網路設備(例如,電腦、主機、伺服器、電信設備等)提出解決方案。其中,現有的數位服務提供者通常會透過軟硬體技術來強化整體系統安全,使服務能夠正常運作,但事實上網路設備係參與數位服務的必要裝置,若網路設備不幸遭受攻擊則數位服務的資料亦無法傳遞。即便數位服務的系統安全的保護能力再強,受攻擊的網路設備亦會造成服務無法正常運作。由此可知,不論是電信業者還是網路服務提供者,都會十分重視網路設備之安全。
有鑑於此,本發明提供一種異常監控系統及異常監控方法,其能針對異質網路架構中的網路設備,提供日誌資料整合、分析、正規化,再據以通報相關單位,從而提升網路設備之安全。
本發明的異常監控系統,其包括至少兩個異質網路架構、訊息交換平台及監控伺服器。每個異質網路架構包括日誌伺服器、以及網路設備。此日誌伺服器取得所屬異質網路架構內之那些網路設備的日誌資料,日誌伺服器並將那些網路設備的日誌資料正規化成相同規格之統一日誌。訊息交換平台依據嚴重程度分類那些統一日誌。監控伺服器分析整合分類之那些統一日誌,並據以執行通報作業。
本發明的異常監控方法包括下列步驟。對至少二個異質網路架構中的網路設備取得日誌資料。將那些日誌資料正規化成相同規格之統一日誌。依據嚴重程度分類那些統一日誌。分析整合分類之那些統一日誌,並據以執行通報作業。
基於上述,本發明實施例之日誌伺服器佈建於各異質網路架構中蒐集網路設備的日誌資料,並對蒐集的日誌資料正規化組裡,使訊息交換平台能進一步分類,進而讓後續分析結果統整於單一監視畫面,甚至直接進行通報。藉此,可清楚瞭解各種異質網路架設中網路設備之安全事件的原由並縮短後續處理時間。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
圖1是依據本發明一實施例之異常監控系統1的示意圖。請參照圖1,異常監控系統1包括多數個異質網路架構100、訊息交換平台20、監控伺服器30及安全管理中心40。
各異質網路架構100包括日誌(log)伺服器110、以及一個或更多個網路設備(例如,電信設備、電腦、主機、伺服器等,又稱連網設備)130。請參照圖2係不同異質網路架構100之示意圖。這些異質網路架構100包括通訊技術(CT)關鍵標的區300、進出管制區400、外圍區500及資訊技術(IT)關鍵標的區600。各區之間可透過諸如防火牆490或其他類似者進行連線管制,各區內部亦可佈建防火牆來管制其內部連線。
CT關鍵標的區300係重點監視區域,其包括日誌伺服器310(即,日誌伺服器110)、弱點掃描主機390、認證主機370、網管主機350、以及設於電信機房內的一個或更多個電信設備331。日誌伺服器310對那些電信設備331取得原始日誌資料,並進一步處理原始日誌資料,其詳細內容待後續實施例詳述。弱點掃描主機390用於掃描那些網路設備(即,電信設備331)之弱點或漏洞,若發現弱點或漏洞即可盡早補強。認證主機370用於網路設備之連線認證,任何內外部網路之連線皆需透過認證主機370來認證,以決定此連線是否可使用管轄內之網路設備進行資料傳輸。而網管主機350則用於調配那些網路設備之網路資源。
進出管制區400為機房內外部連線的管制區,此區可將外部連線轉介至安全區域(Secure Zone)460,即設備間能建立安全通訊協定(Secure Sockets Layer,SSL)虛擬私人網路(Virtual Private Network,VPN)480來傳遞資料,並使安全區域460內的設備可連接至機房所管轄之網路設備。例如,跳板區內的跳板主機(承商)431可與機房內跳板主機(員工) 432建立連線。
外圍區500係指民眾或企業所使用的連線環境,此環境可能係網際網路(Internet)、公司內部區域網路、專屬維運網路等。例如,員工遠端連線531或承商遠端連線532皆能在外部網路透過行動數據虛擬私人網路(Mobile Data Virtual Private Network,MDVPN)連線至企業內部網路。而專屬維運終端533可透過VPN網路連線至其他網路。
IT關鍵標的區600內可設有諸如OTT服務、IoT服務、雲端服務等類型之數位服務的伺服器、供裝維運系統及服務平台630,這些數位服務伺服器的主機及系統安全需仰賴各相關領域之資安設備來維護。
需說明的是,異質網路架構100可實施態樣可能還有很多種,本發明不加以限制。而進出管制區400、外圍區500及IT關鍵標的區600皆分別具有其日誌伺服器110(可參照日誌伺服器310),並用以對所屬區域內的所有網路設備蒐集日誌資料。
請重新參照圖1,訊息交換平台20可以係與所有異質網路架構100中的日誌伺服器110連接的伺服器、主機或工作站,以取得來自各異質網路架構100中網路設備130的日誌資料,並據以分類,其詳細內容待後續實施例詳述。
監控伺服器30可以係與訊息交換平台20連接的伺服器、主機或工作站,以對由訊息交換平台20所分類之日誌資料進一步分析整合,並判斷是否需要通報相關單位。
安全管理中心40包括不同權責之一個或更多個管理設備45(例如,電腦、手機、平板電腦等),這些管理設備45可能係分別由值班人員(即,安全管理中心的輪班人員)、當責主管、設備管理者、認證管理者等相關人員操作,各值班人員可透過監控伺服器30所送出的資料,而在管理設備45上監控所有網路設備110的運作狀態、資安事件、通報訊息等資訊,並基於管理層級而將通報訊息轉送至其他管理設備45,其詳細內容待後續實施例詳述。
為了方便理解本發明實施例的操作流程,以下將舉實施例詳細說明本發明實施例中異常監控系統1之運作。下文中,將搭配異常監控系統1中的各裝置說明本發明實施例所述之方法。本方法的各個流程、參數及配置可依照實施情形而隨之調整,且並不僅限於此。
基本上,本發明實施例之異常監控方法包括三個主要流程:日誌蒐集、整合監視及通報流程,以下將針對不同流程一一說明。
日誌蒐集:
各異質網路架構100(例如,圖2之CT關鍵標的區300、進出管制區400、外圍區500或IT關鍵標的區600)中的日誌伺服器110(例如,圖2之日誌伺服器310)蒐集其所管轄之區域內之網路設備130的日常運作資訊以作為日誌資料(尚未處理之日誌資料稱為日誌原始資料(Log Raw Data))。這些日誌資料經日誌伺服器110儲存後,將依據監視技術類別篩選所有網路設備130的日誌資料,而此監視技術類別可能是資安、硬體資源、網路資源等類型的技術類別,且各監視技術類別會由所屬領域專家系統預先建立對應的過濾規則。而由於不同網路設備130之種類、型號之日誌資料格式也許不同,因此日誌資料經過濾後,日誌伺服器110進一步將日誌資料正規化成相同規格之統一日誌,並加以儲存這些統一日誌,其中正規化的目的係為了使後續資料加值流程能更加順利且方便。例如,日誌伺服器11可對這些統一日誌建立資料索引並提供日誌搜尋引擎,以快速搜尋出所欲取得之資料。這些統一日誌還能經日誌伺服器110分析而初步判斷是否發生安全事件(例如,攻擊事件、連線中斷、登入異常、頻率異常等),並依據安全規則(可能基於不同技術領域的專家知識並可彈性修改)產生統整報表,且再提供視覺化介面之呈現,使操作者可簡易地評估網路設備130運作是否異常。
而訊息交換平台20再依據嚴重程度分類那些統一日誌,此嚴重程度係指任何異常事件對網路設備130所造成之損害,嚴重程度例如可分成四個等級:嚴重(Critical)、主要(Major)、次要(Minor)及警告(Warning),其嚴重程度係由嚴重至警告依序地減少。例如,圖4係一範例說明重要安全項目。不同類別(即,監視技術類別)預設有不同潛在安全風險之事件所對應之嚴重程度的等級。
需說明的是,監視技術類別、安全規則、過濾規則等參數可能會因應於應用者的實際需求而調整,本發明不加以侷限。
整合監視:
監控伺服器30可彙整各異質網路架構100中網路設備130的統一日誌,並對這些統一日誌進行全區安全告警關聯分析,且將分析結果以報表或趨勢圖方式呈現。例如,圖3是一範例說明訊息整合畫面35之示意圖。請參照圖3,由全區網路資料總表31可得知全區網路設備130發生可能的安全事件數量,並依據嚴重程度分類,其中〝Critical〞代表最嚴重之事件,〝Major〞次之,其餘依次類推。全區網路資安告警統計表32係用於提供細部監視某天各機房重要安全項目發生的安全事件數量,這些內容可經選擇操作後提供詳細的事件描述。全區網路資安趨勢分析圖33則顯示某天每個時間區間內各重要安全項目所發生的安全事件數量,使他人可由趨勢圖觀察網路設備130可能遭受攻擊的尖峰時刻。而網路資安監控區域34則係其他功能選單。
通報流程:
除了圖表呈現之外,部分安全事件仍需進一步通知相關單位。監控伺服器30可因偵測到異常事件自動或經相關人員操作運作,而產生通報訊息(例如,記錄有網路設備130、位置、時間、事件等資訊),並經由手機簡訊、電子郵件、推播訊息或其他方式通報安全管理中心40。管理設備45則反應於通報訊息,而透過顯示面板呈現警示符號、透過揚聲器發出告警聲響或閃爍告警燈等方式通知。管理設備45並依據管理層級轉送至另一管理設備45,使相關人員能著手處理,且處理流程會記錄並提供給相關管理設備45。
例如,值班人員的管理設備45接獲通報訊息,則依據通報訊息所紀錄之事件發生地點通知當責主管的管理設備45,再基於決策告知設備管理者及認證管理者的管理設備45,使設備管理者的管理設備45可將通報訊息所紀錄之網路設備110還原至受害前的設定或修改設定來防禦攻擊,而認證管理者的管理設備45 則可調整例如圖2之認證主機370,以阻擋或隔絕發起攻擊的連線。而當責主管的管理設備45可透過通報訊息或監控伺服器30所送出其他資訊掌握事件處理狀況,並在事件處理完畢後通知設備管理者及認證管理者的管理設備45,以針對網路設備110及認證主機再次調整。
綜上所述,本發明實施例的異常監控系統及其異常監控方法,用於建構全區網路設備安全整合監控,使用單一流程集中化管理各種異質網路架構的設備安全。機房網路設備之日誌蒐集及分析架構相容於現行的網路架構,可直接銜接既有網路管理系統,並針對蒐集的日誌資料加以正規化處理以供後續分析使用,再透過快速的通報及處理流程預防可能產生的攻擊,從而瞭解各種異質網路架構中的設備安全事件之原由,並能據以縮短處理時間。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
1‧‧‧異常監控系統
20‧‧‧訊息交換平台
30‧‧‧監控伺服器
31‧‧‧全區網路資料總表
32‧‧‧全區網路資安告警統計表
33‧‧‧全區網路資安趨勢分析圖
34‧‧‧網路資安監控區域
35‧‧‧訊息整合畫面
40‧‧‧安全管理中心
45‧‧‧管理設備
100‧‧‧異質網路架構
110‧‧‧日誌伺服器
130‧‧‧網路設備
300‧‧‧CT關鍵標的區
310‧‧‧日誌伺服器
350‧‧‧網管主機
370‧‧‧認證主機
390‧‧‧弱點掃描主機
331‧‧‧電信設備
400‧‧‧進出管制區
431‧‧‧跳板主機(承商)
433‧‧‧跳板主機(員工)
460‧‧‧Secure Zone
480‧‧‧SSLVPN
490‧‧‧防火牆
500‧‧‧外圍區
531‧‧‧員工遠端連線
532‧‧‧承商遠端連線
533‧‧‧專屬維運單位
550‧‧‧MDVPN
600‧‧‧IT關鍵標的區
630‧‧‧供裝維運系統及服務平台
圖1是依據本發明一實施例之異常監控系統的示意圖。 圖2是依據本發明一實施例之不同異質網路架構之示意圖。 圖3是一範例說明訊息整合畫面之示意圖。 圖4是一範例說明重要安全項目。
Claims (8)
- 一種異常監控系統,包括:至少二異質網路架構,每一該異質網路架構包括一日誌伺服器、以及多個網路設備,其中該日誌伺服器取得所屬該異質網路架構內之該些網路設備的日誌資料,該日誌伺服器並將該些網路設備的日誌資料正規化成相同規格之多個統一日誌;一訊息交換平台,依據嚴重程度分類該些統一日誌,其中該嚴重程度係指任何異常事件對該些多個網路設備所造成之損害的程度;以及一監控伺服器,分析整合分類之該些統一日誌,並據以執行一通報作業,其中該至少二異質網路架構包括一通訊技術關鍵標的區、一進出管制區、一外圍區及一資訊技術關鍵標的區,其中該通訊技術關鍵標的區包括一弱點掃描主機用於掃描該些網路設備之弱點或漏洞、一認證主機用於該些網路設備之連線認證、以及一網管主機用於調配該些網路設備之網路資源,該進出管制區用於機房內外部連線之管制,該外圍區包括商用或民用之該些網路設備,且該資訊技術關鍵標的區包括多個數位服務伺服器。
- 如申請專利範圍第1項所述的異常監控系統,其中該日誌伺服器依據監視技術類別篩選該些網路設備的日誌資料,並且該監視技術類別包括資安、硬體資源以及網路資源。
- 如申請專利範圍第1項所述的異常監控系統,其中該日誌伺服器依據安全規則產生統整報表。
- 如申請專利範圍第1項所述的異常監控系統,更包括:一安全管理中心,包括不同權責之多個管理設備,且該通報作業係該監控伺服器偵測到異常事件時,將一通報訊息傳送至該安全管理中心,且每一該管理設備依據管理層級轉送至另一該管理設備。
- 一種異常監控方法,包括:對至少二異質網路架構中的多個網路設備取得多個日誌資料;將該些日誌資料正規化成相同規格之多個統一日誌;依據嚴重程度分類該些統一日誌,其中該嚴重程度係指任何異常事件對該些多個網路設備所造成之損害的程度;分析整合分類之該些統一日誌,並據以執行一通報作業;透過一弱點掃描主機用於掃描該些網路設備之弱點或漏洞;透過一認證主機對該些網路設備進行連線認證;透過一網管主機調配該些網路設備之網路資源;以及藉由一進出管制區來進行機房內外部連線之管制,其中該至少二異質網路架構包括商用或民用之該些網路設備以及多個數位服務伺服器。
- 如申請專利範圍第5項所述的異常監控方法,其中對該至少二異質網路架構中的該些網路設備取得該些日誌資料的步驟之後,更包括:依據監視技術類別篩選該些網路設備的日誌資料,並且該監 視技術類別包括資安、硬體資源以及網路資源。
- 如申請專利範圍第5項所述的異常監控方法,其中對該至少二異質網路架構中的該些網路設備取得該些日誌資料的步驟之後,更包括:依據安全規則產生統整報表。
- 如申請專利範圍第5項所述的異常監控方法,其中執行該通報作業的步驟,包括:當偵測到異常事件時,將一通報訊息傳送至一安全管理中心;以及該安全管理中心中的每一管理設備依據管理層級轉送至另一管理設備。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106132761A TWI670953B (zh) | 2017-09-25 | 2017-09-25 | 異常監控系統及異常監控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106132761A TWI670953B (zh) | 2017-09-25 | 2017-09-25 | 異常監控系統及異常監控方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201916640A TW201916640A (zh) | 2019-04-16 |
| TWI670953B true TWI670953B (zh) | 2019-09-01 |
Family
ID=66992354
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106132761A TWI670953B (zh) | 2017-09-25 | 2017-09-25 | 異常監控系統及異常監控方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI670953B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI787781B (zh) * | 2021-04-09 | 2022-12-21 | 住華科技股份有限公司 | 監控自動光學檢測裝置的方法及系統 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1161770A (zh) * | 1994-09-01 | 1997-10-08 | 英国电讯有限公司 | 通信网络用网络管理系统 |
| US8056130B1 (en) * | 2002-12-02 | 2011-11-08 | Hewlett-Packard Development Company, L.P. | Real time monitoring and analysis of events from multiple network security devices |
| US8613083B1 (en) * | 2002-12-02 | 2013-12-17 | Hewlett-Packard Development Company, L.P. | Method for batching events for transmission by software agent |
-
2017
- 2017-09-25 TW TW106132761A patent/TWI670953B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1161770A (zh) * | 1994-09-01 | 1997-10-08 | 英国电讯有限公司 | 通信网络用网络管理系统 |
| US8056130B1 (en) * | 2002-12-02 | 2011-11-08 | Hewlett-Packard Development Company, L.P. | Real time monitoring and analysis of events from multiple network security devices |
| US8613083B1 (en) * | 2002-12-02 | 2013-12-17 | Hewlett-Packard Development Company, L.P. | Method for batching events for transmission by software agent |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201916640A (zh) | 2019-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10250624B2 (en) | Method and device for robust detection, analytics, and filtering of data/information exchange with connected user devices in a gateway-connected user-space | |
| US10367844B2 (en) | Systems and methods of network security and threat management | |
| US11985160B2 (en) | Dynamic adaptive defense for cyber-security threats | |
| US20210273961A1 (en) | Apparatus and method for a cyber-threat defense system | |
| EP3528460A1 (en) | Artificial intelligence privacy protection for cybersecurity analysis | |
| US20190173909A1 (en) | Method and device for robust detection, analytics, and filtering of data/information exchange with connected user devices in a gateway-connected user-space | |
| US8056130B1 (en) | Real time monitoring and analysis of events from multiple network security devices | |
| US7752665B1 (en) | Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory | |
| CN106131023A (zh) | 一种信息安全风险强力识别系统 | |
| Miloslavskaya | Security operations centers for information security incident management | |
| Metzger et al. | Integrated security incident management--concepts and real-world experiences | |
| US9961047B2 (en) | Network security management | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
| US20240114060A1 (en) | Remote monitoring of a security operations center (soc) | |
| KR100401088B1 (ko) | 인터넷을 이용한 통합 보안 서비스 시스템 | |
| CN117155625A (zh) | 一种计算机网络监控系统 | |
| CN115941317A (zh) | 一种网络安全综合分析及态势感知平台 | |
| Skendžić et al. | Management and monitoring security events in a business organization-siem system | |
| TWI670953B (zh) | 異常監控系統及異常監控方法 | |
| US20070094724A1 (en) | It network security system | |
| US10135853B2 (en) | Multi-tier aggregation for complex event correlation in streams | |
| CN113381881B (zh) | 一种主机监控告警处理的方法、装置 | |
| Gnatyuk et al. | Modern SIEM Analysis and Critical Requirements Definition in the Context of Information Warfare | |
| Cheng et al. | An integrated security monitoring system for digital service network devices | |
| KR20200054495A (ko) | 보안관제 서비스 방법 및 그를 위한 장치 |