TWI709874B - 與外部裝置分享威脅情資的方法及其電子裝置 - Google Patents
與外部裝置分享威脅情資的方法及其電子裝置 Download PDFInfo
- Publication number
- TWI709874B TWI709874B TW108111564A TW108111564A TWI709874B TW I709874 B TWI709874 B TW I709874B TW 108111564 A TW108111564 A TW 108111564A TW 108111564 A TW108111564 A TW 108111564A TW I709874 B TWI709874 B TW I709874B
- Authority
- TW
- Taiwan
- Prior art keywords
- threat
- information
- threat information
- electronic device
- external
- Prior art date
Links
Images
Abstract
提出一種與外部裝置分享威脅情資的方法及其電子裝置。所述方法包括:通過對等式網路連接至外部裝置;自本地網域收集本地威脅情資;根據本地威脅情資產生入侵指標;整合內部入侵指標以及外部威脅情資以產生整合威脅情資;以及基於整合威脅情資符合第一預設規則而傳送整合威脅情資至外部裝置。
Description
本發明是有關於一種電腦惡意軟體的偵測與處理的技術,且特別是有關於一種與外部裝置分享威脅情資的方法及其電子裝置。
傳統上,代表用戶終端之電子裝置可透過訂閱防毒軟體供應商之資料庫或開源資料庫來更新與電腦病毒、駭客威脅等相關的威脅情資。圖1繪示一種由電子裝置20透過中央資料庫10更新威脅情資的示意圖。如圖1所示。當電子裝置20需更新或上傳儲存於本地端的威脅情資時,電子裝置20會與中央資料庫10進行連線,並自中央資料庫10下載最新本版的威脅情資或上傳發生於電子裝置20的威脅事件之威脅情資,以供例如防毒軟體供應商分析。在此架構下,電子裝置30或電子裝置40之本地端所發生的威脅事件的威脅情資將無法即時地通知給電子裝置20。待中央資料庫10確認由電子裝置30或電子裝置40上傳之威脅情資並發佈給電子裝置20之前,電子裝置20可能早已蒙受損害。
另一方面,電子裝置20的使用者也有可能基於遭受攻擊之檔案為機密檔案而無法將與機密檔案相關聯的威脅情資傳送給中央資料庫10以進行分析。如此,電子裝置30或40更不可能取得與電子裝置20相關的威脅情資,面對威脅事件之防禦手段的開發也會變得更加困難。
本發明提供一種電子裝置,適於與外部裝置分享威脅情資。電子裝置包括處理器、儲存媒體以及收發器。收發器通過對等式(peer to peer,P2P)網路連接至外部裝置。儲存媒體儲存多個模組。處理器耦接收發器及儲存媒體,並且存取並執行該些模組,該些模組包括本地威脅分析模組、資訊整合模組以及資訊交換模組。本地威脅分析模組自本地網域收集本地威脅情資,並且根據本地威脅情資產生入侵指標。資訊整合模組整合入侵指標以及外部威脅情資以產生整合威脅情資。資訊交換模組基於整合威脅情資符合第一預設規則而透過收發器傳送整合威脅情資至外部裝置。
本發明的提供一種與外部裝置分享威脅情資的方法,包括:通過對等式網路連接至外部裝置;自本地網域收集本地威脅情資;根據本地威脅情資產生入侵指標;整合入侵指標以及外部威脅情資以產生整合威脅情資;以及基於整合威脅情資符合第一預設規則而傳送整合威脅情資至外部裝置。
基於上述,本發明的電子裝置可透過對等式網路以即時地與同屬相同網路社群的外部裝置分享威脅情資。如此,相同網路社群的電子裝置可共同構築多點的聯合防禦體系,快速地對針對本地端的威脅進行應變。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
本發明的主要目的在於提出一種創新的威脅情資之共享架構及回饋方法。透過使用本發明,電子裝置可快速地分析本地端發生的區域性威脅情資。另一方面,同一網路社群的電子裝置之間可透過對等式網路快速地整合及交換私有威脅情資,強化威脅情資的即時性、正確性及完整性,提高資安事故早期預警與應變能力,從而降低企業整體的資安風險。
圖2根據本發明的實施例繪示一種去中心化之資訊安全管理系統50的示意圖。一或多個在同一網路社群之中的電子裝置,例如電子裝置100、200及300,可通過對等式網路互相連接,藉以交換由各自整合過的威脅情資。電子裝置100、200及300的構造與功能可完全相同。為方便起見,將基於電子裝置100進行以下描述。
圖3根據本發明的實施例繪示一種適於與外部裝置分享威脅情資的電子裝置100的示意圖,其中外部裝置例如是如圖2所示的電子裝置200或電子裝置300等在與電子裝置100相同之網路社群中的裝置,本發明不限於此。電子裝置100例如包括處理器110、儲存媒體120以及收發器130。
處理器110例如是中央處理單元(central processing unit,CPU),或是其他可程式化之一般用途或特殊用途的微處理器(microprocessor)、數位信號處理器(digital signal processor,DSP)、可程式化控制器、特殊應用積體電路(application specific integrated circuit,ASIC)、圖型處理器(graphics processing unit,GPU)或其他類似元件或上述元件的組合。處理器110耦接儲存媒體120及收發器130,而可存取並執行儲存於儲存媒體120中的模組或各種應用程式。
儲存媒體120例如是任何型態的固定式或可移動式的隨機存取記憶體(random access memory,RAM)、唯讀記憶體(read-only memory,ROM)、快閃記憶體(flash memory)、硬碟(hard disk drive,HDD)、固態硬碟(solid state drive,SSD)或類似元件或上述元件的組合,而用於記錄可由電子裝置100執行的多個模組或各種應用程式。在本實施例中,儲存媒體120可儲存包括本地威脅分析模組121、資訊整合模組122、資訊交換模組123以及威脅情資資料庫124等多個模組,其功能將於後續說明。
收發器130以無線或有線的方式傳輸及接收訊號。收發器電路還可以執行例如低噪聲放大(low noise amplifying,LNA)、阻抗匹配、混頻、上下變頻轉換、濾波、放大以及類似的操作。在本實施例中,電子裝置100可使用收發器130以通過對等式網路連接至外部裝置,其中外部裝置例如是如圖2所示的電子裝置200或電子裝置300。
本地威脅分析模組121自電子裝置100所在之本地網域(local domain)收集本地威脅情資,並透過運用資料科學分析方法快速地分析所收集的本地威脅情資,藉以根據本地威脅情資產生入侵指標(indicator of compromise,IOC)。所述本地網域可以是任意種等級的網域階層,諸如頂級網域(top-level)、二級網域(second-level)或更低層級的網域(lower level)等,本發明不限於此。
本地威脅情資關聯於本地端的資安設備日誌、網路流量或終端設備資料。資安設備日誌例如是關聯於防火牆、入侵偵測設備、郵件安全防護設備、網頁應用程式防火牆(web application firewall,WAF)、安全資訊和事件管理(security information and event management)系統等設備之日誌。網路流量例如是關聯於對應不同應用傳輸通訊協定之元資料(metadata)和封包原始檔,其中所述應用傳輸通訊協定包括超文本傳輸協定(hypertext transfer protocol,HTTP)、傳輸層安全協定(transport layer security,TLS)、網域名稱系統(domain name system,DNS)或網際網路控制訊息協定(internet control message protocol,ICMP)等類型之傳輸通訊協定,本發明不限於此。終端設備資料例如是關聯於對應作業系統的系統登錄檔、事件日誌、防毒日誌、系統程序、系統排程或主機日誌等類型之資料。
在分析本地威脅情資時,本地威脅分析模組121可根據資安設備日誌、網路流量或終端設備資料計算對應於本地威脅情資的威脅程度,並且基於所計算的威脅程度高於一閾值而將關聯於本地威脅情資的物件設定為入侵指標。具體來說,本地威脅分析模組121可對資安設備日誌、網路流量或終端設備資料進行靜態程序分析或動態程序分析。靜態程序分析或動態程序分析可通過偵測到的可疑連線活動行為、偵測到的可疑檔案及程序、偵測到的異常使用行為以及重要性權重計算出對應於本地威脅情資的威脅程度。
舉例來說,本地威脅分析模組121可根據本地威脅情資的分析結果偵測出本地威脅情資之中是否出現一或多筆可疑連線活動行為。若存在可疑連線活動行為,則本地威脅分析模組121透過收發器130發出資安告警,並將該些可疑連線活動行為列入觀察清單。本地威脅分析模組121還可交叉比對具有相同來源(例如:具有相同或相似的網際網路協定(Internet protocol,IP)位址、來源主機或使用者帳號等來源)的多個可疑連線活動行為,藉以作為計算威脅程度的參考。若本地威脅情資之中記錄了對應於相同的IP位址的多筆可疑連線活動行為,且該IP位址的出現次數大於一次數閾值,則本地威脅分析模組121可據以判斷該IP位址可能具有威脅性,並且記錄該IP位址以將該IP位址設定為入侵指標的其中之一。此外,電子裝置100可根據使用者的經驗或訓練資料集來設定不同類型之本地威脅情資的分數權重,使得所計算出的威脅程度更具參考價值。
資訊整合模組122用以整合產生自本地威脅分析模組121的入侵指標以及來自電子裝置100之外部的外部威脅情資,藉以產生整合威脅情資。資訊整合模組122可透過收發器130接收來自外部的外部威脅情資,其中外部威脅情資的來源可包括如圖2所示的電子裝置200(或電子裝置300)、開源情報(open-source intelligence,OSINT)資料庫或由威脅情資供應商提供之資料庫。除了入侵指標之外,整合威脅情資還可關聯於諸如戰術、技術和流程(tactics, techniques, and procedures,TTP)、資安告警、威脅分析報告或安全工具設定等項目。入侵指標代表被入侵的確鑿證據,並能揭示攻擊活動中的明確惡意行為,入侵指標關聯於例如幕後操縱(command and control,C&C)IP位址、網域、網頁地址(uniform resource locator,URL)、檔案散列(file hash)、電子郵件或登錄機碼(registry key)等。戰術、技術和流程關聯於例如駭客動機、針對之目標與系統資訊、攻擊手法或惡意程式散播路徑或駭客工具特徵等。威脅分析報告關聯於例如靜態程序分析或動態程序分析的分析結果等。安全工具設定關聯於例如入侵偵測系統(intrusion detection system,IDS)的設定、防火牆的設定、YARA規則或存取控制清單(access control list,ACL)等。
威脅情資資料庫124可儲存產生自本地威脅分析模組121的入侵指標、來自電子裝置100之外部的外部威脅情資以及產生自資訊整合模組122的整合威脅情資。威脅情資資料庫124還可將所儲存的入侵指標、外部威脅情資以及整合威脅情資標準化為相同的格式。在完成整合威脅情資的標準化後,威脅情資資料庫124可進一步地根據外部資料庫來更新整合威脅情資,將對應IP位址的地理資訊、網域註冊(WHOIS)資訊或通用漏洞揭露(common vulnerabilities and exposures,CVE)資訊新增至整合威脅情資之中。具體來說,威脅情資資料庫124可透過收發器130通訊連接至例如對應於各國的資安資訊分享與分析中心(information sharing and analysis center,ISAC)、電腦緊急應變小組(computer emergency response team,CERT)或威脅情資供應商等組織的外部資料庫/開源情報資料庫,從而根據該外部資料庫/開源情報資料庫進行整合威脅情資的更新,使整合威脅情資更具有參考價值。
在一實施例中,威脅情資資料庫124更儲存關聯於已知威脅事件的威脅情資關聯預測模型。威脅情資資料庫124可基於威脅情資關聯預測模型來預測所儲存的整合威脅情資是否關聯於已知威脅事件。舉例來說,威脅情資資料庫124可透過收發器130通訊連接至外部資料庫,藉以將威脅情資關聯預測模型更新為關聯於近期發生的重大威脅事件。在資訊整合模組120整合來自本地端的入侵指標以及來自外部的外部威脅情資而產生整合威脅情資後,威脅情資資料庫124可儲存整合威脅情資並根據威脅情資關聯預測模型即時地判斷整合威脅情資是否關聯於該重大威脅事件。如此,可幫助網管人員防範威脅事件。
資訊交換模組123可儲存第一預設規則。在資訊整合模組122產生整合威脅情資後,資訊交換模組123可判斷整合威脅情資是否符合第一預設規則。資訊交換模組123可基於整合威脅情資符合第一預設規則而透過收發器130將整合威脅情資傳送至與電子裝置100同屬相同網路社群的裝置,如圖2所示的電子裝置200或電子裝置300,其中第一預設規則關聯於威脅事件機密程度、威脅事件嚴重程度、威脅事件調查進度或威脅事件屬性。舉例來說,若一整合威脅情資對應於一較低的威脅事件機密程度,代表分享該整合威脅情資較沒有隱私上的疑慮。因此,資訊交換模組123可基於整合威脅情資對應的威脅事件機密程度低於一機密程度閾值,而透過收發器130將整合威脅情資傳送至與電子裝置100同屬相同網路社群的裝置。資訊交換模組123可例如根據交通號誌協議(traffic light protocol)來區分威脅事件機密程度。例如,被標示為綠燈的整合威脅情資代表可分享的資訊。因此,資訊交換模組123可基於整合威脅情資被標記為綠燈而決定透過收發器130將整合威脅情資傳送至與電子裝置100同屬相同網路社群的裝置,藉以分享該整合威脅情資。在傳送整合威脅情資前,資訊交換模組123可基於預定的封裝格式對整合威脅情資進行封裝,並且基於預定的演算法對整合威脅情資進行加密。
類似地,資訊交換模組123可儲存第二預設規則。在收發器130接收了來自外部裝置(例如:如圖2所示的電子裝置200或電子裝置300)的外部威脅情資後,資訊交換模組123可基於預定的封裝格式對外部威脅情資進行解封,並且基於預定的演算法對整合威脅情資進行解密。而後,資訊交換模組123可判斷所接收的外部威脅情資是否符合第二預設規則。資訊交換模組123可基於外部威脅情資符合第二預設規則而透過威脅情資資料庫124儲存該外部威脅情資,其中第二預設規則關聯於威脅事件機密程度、威脅事件嚴重程度、威脅事件調查進度或威脅事件屬性。舉例來說,若一外部威脅情資對應於一較高的威脅事件嚴重程度,代表該外部威脅情資所能造成的影響較顯著。因此,資訊交換模組123可基於外部威脅情資對應於威脅事件嚴重程度高於一嚴重程度閾值而透過威脅情資資料庫124儲存該外部威脅情資,以作日後分析使用。
圖4根據本發明的實施例繪示一種與外部裝置分享威脅情資的方法的流程圖,其中所述方法可由如圖3所示的電子裝置100來實施。在步驟S410,通過對等式網路連接至外部裝置。在步驟S420,自本地網域收集本地威脅情資。在步驟S430,根據本地威脅情資產生入侵指標。在步驟S440,整合入侵指標以及外部威脅情資以產生整合威脅情資。在步驟S450,基於整合威脅情資符合第一預設規則而傳送整合威脅情資至外部裝置。
綜上所述,本發明的電子裝置可透過對等式網路以即時地與同屬相同網路社群的外部裝置分享威脅情資,並且達到威脅情資分享的去中心化。如此,相同網路社群的電子裝置可共同構築出多點聯合防禦體系,快速地對針對本地端的威脅進行應變。不同的電子裝置之間不會因為所使用的防毒軟體或防火牆…等資安設備不同,而導致防禦出現漏洞。此外,電子裝置可設置預設規則並根據預設規則來判斷是否傳送或接收威脅情資,如此,可防止機密檔案外泄並且有效地保護使用者的隱私。使用本發明所建構的去中心化資訊安全管理系統可對客製化的攻擊事件進行有效地防禦。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
10:中央資料庫
110:處理器
120:儲存媒體
121:本地威脅分析模組
122:資訊整合模組
123:資訊交換模組
124:威脅情資資料庫
130:收發器
20、30、40:電子裝置
100、200、300:適於與外部裝置分享威脅情資的電子裝置
50:去中心化之資訊安全管理系統
S410、S420、S430、S440、S450:步驟
圖1繪示一種由電子裝置透過中央資料庫更新威脅情資的示意圖。
圖2根據本發明的實施例繪示一種去中心化之資訊安全管理系統的示意圖。
圖3根據本發明的實施例繪示一種適於與外部裝置分享威脅情資的電子裝置的示意圖。
圖4根據本發明的實施例繪示一種與外部裝置分享威脅情資的方法的流程圖。
S410、S420、S430、S440、S450:步驟
Claims (14)
- 一種電子裝置,適於與外部裝置分享威脅情資,該電子裝置包括:收發器,通過對等式網路連接至該外部裝置;儲存媒體,儲存多個模組;以及處理器,耦接該收發器及該儲存媒體,該處理器存取並執行該些模組,並且該些模組包括:本地威脅分析模組,自本地網域收集本地威脅情資,並且根據該本地威脅情資產生入侵指標;資訊整合模組,整合該入侵指標以及外部威脅情資以產生整合威脅情資;以及資訊交換模組,基於該整合威脅情資符合第一預設規則而透過該收發器傳送該整合威脅情資至該外部裝置,該資訊交換模組基於該外部威脅情資符合第二預設規則而透過威脅情資資料庫儲存該外部威脅情資。
- 如申請專利範圍第1項所述的電子裝置,其中該第一預設規則關聯於威脅事件機密程度、威脅事件嚴重程度、威脅事件調查進度以及威脅事件屬性中的至少其中之一。
- 如申請專利範圍第1項所述的電子裝置,其中該本地威脅情資關聯於資安設備日誌、網路流量以及終端設備資料中的至少其中之一。
- 如申請專利範圍第3項所述的電子裝置,其中該本地威脅分析模組根據該資安設備日誌、該網路流量以及該終端設備資料中的至少其中之一計算對應於該本地威脅情資的威脅程度,並且基於該威脅程度高於閾值而將關聯於該本地威脅情資的物件設定為該入侵指標。
- 如申請專利範圍第4項所述的電子裝置,其中該本地威脅模組對該資安設備日誌、該網路流量以及該終端設備資料中的至少其中之一進行靜態程序分析以及動態程序分析中的至少其中之一,藉以計算對應於該本地威脅情資的該威脅程度。
- 如申請專利範圍第5項所述的電子裝置,其中該靜態程序分析以及該動態程序分析中的至少其中之一根據偵測到的可疑連線活動行為、偵測到的可疑檔案及程序、偵測到的異常使用行為以及重要性權重計算出該威脅程度。
- 如申請專利範圍第1項所述的電子裝置,其中該外部威脅情資的來源包括該外部裝置、開源情報資料庫以及由威脅情資供應商提供之資料庫中的至少其中之一。
- 如申請專利範圍第7項所述的電子裝置,更包括:威脅情資資料庫,儲存該入侵指標、該外部威脅情資以及該整合威脅情資,並將該入侵指標、該外部威脅情資以及該整合威脅情資標準化為相同的格式。
- 如申請專利範圍第8項所述的電子裝置,其中該威脅情資資料庫根據外部資料庫來更新下列的至少其中之一種資訊至該 整合威脅情資:對應IP位址的地理資訊、網域註冊資訊以及通用漏洞揭露資訊。
- 如申請專利範圍第8項所述的電子裝置,其中該威脅情資資料庫亦儲存威脅情資關聯預測模型,並且該威脅情資關聯預測模型用於挖掘潛在威脅事件是否與已知威脅事件發生關聯。
- 如申請專利範圍第1項所述的電子裝置,其中在傳送該整合威脅情資前,該資訊交換模組基於預定的封裝格式對該整合威脅情資進行封裝,並且基於預定的演算法對該整合威脅情資進行加密。
- 如申請專利範圍第1項所述的電子裝置,其中該整合威脅情資關聯於下列的至少其中之一:威脅入侵指標;戰術、技術和流程;資安告警,關聯於通用漏洞揭露資訊及漏洞利用方法中的至少其中之一;威脅分析報告,關聯於靜態程序分析及動態程序分析的分析結果中的至少其中之一;以及安全工具設定,關聯於入侵偵測系統的設定、防火牆的設定、YARA規則以及存取控制清單中的至少其中之一。
- 如申請專利範圍第1項所述的電子裝置,其中該外部裝置與該電子裝置對應於相同的網路社群。
- 一種與外部裝置分享威脅情資的方法,包括: 通過對等式網路連接至該外部裝置;自本地網域收集本地威脅情資;根據該本地威脅情資產生入侵指標;整合該入侵指標以及外部威脅情資以產生整合威脅情資;以及基於該整合威脅情資符合第一預設規則而傳送該整合威脅情資至該外部裝置,基於該外部威脅情資符合第二預設規則而透過威脅情資資料庫儲存該外部威脅情資。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW108111564A TWI709874B (zh) | 2019-04-01 | 2019-04-01 | 與外部裝置分享威脅情資的方法及其電子裝置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW108111564A TWI709874B (zh) | 2019-04-01 | 2019-04-01 | 與外部裝置分享威脅情資的方法及其電子裝置 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW202038119A TW202038119A (zh) | 2020-10-16 |
TWI709874B true TWI709874B (zh) | 2020-11-11 |
Family
ID=74091291
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW108111564A TWI709874B (zh) | 2019-04-01 | 2019-04-01 | 與外部裝置分享威脅情資的方法及其電子裝置 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI709874B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI820961B (zh) * | 2022-10-11 | 2023-11-01 | 中華電信股份有限公司 | 基於微服務及公雲元件處理情資的電子裝置及方法 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220179908A1 (en) * | 2020-12-03 | 2022-06-09 | Institute For Information Industry | Information security device and method thereof |
CN112866264A (zh) * | 2021-01-25 | 2021-05-28 | 深圳融安网络科技有限公司 | 网络安全检测方法及装置、网络安全设备、可读存储介质 |
TWI764607B (zh) * | 2021-03-08 | 2022-05-11 | 中華電信股份有限公司 | 一種用於網路威脅情資分享之系統、方法及電腦可讀儲存媒介 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160072770A1 (en) * | 2012-09-18 | 2016-03-10 | Earl N. Crane | Emergent network defense system |
US10003608B2 (en) * | 2015-09-18 | 2018-06-19 | Palo Alto Networks, Inc. | Automated insider threat prevention |
TW201902174A (zh) * | 2017-05-22 | 2019-01-01 | 中華電信股份有限公司 | 結合網域情資與網路流量之惡意網域偵測方法 |
TWI648650B (zh) * | 2017-07-20 | 2019-01-21 | 中華電信股份有限公司 | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 |
-
2019
- 2019-04-01 TW TW108111564A patent/TWI709874B/zh active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160072770A1 (en) * | 2012-09-18 | 2016-03-10 | Earl N. Crane | Emergent network defense system |
US10003608B2 (en) * | 2015-09-18 | 2018-06-19 | Palo Alto Networks, Inc. | Automated insider threat prevention |
TW201902174A (zh) * | 2017-05-22 | 2019-01-01 | 中華電信股份有限公司 | 結合網域情資與網路流量之惡意網域偵測方法 |
TWI648650B (zh) * | 2017-07-20 | 2019-01-21 | 中華電信股份有限公司 | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI820961B (zh) * | 2022-10-11 | 2023-11-01 | 中華電信股份有限公司 | 基於微服務及公雲元件處理情資的電子裝置及方法 |
Also Published As
Publication number | Publication date |
---|---|
TW202038119A (zh) | 2020-10-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI709874B (zh) | 與外部裝置分享威脅情資的方法及其電子裝置 | |
JP6894003B2 (ja) | Apt攻撃に対する防御 | |
US9942270B2 (en) | Database deception in directory services | |
US9769204B2 (en) | Distributed system for Bot detection | |
US9356950B2 (en) | Evaluating URLS for malicious content | |
US8839442B2 (en) | System and method for enabling remote registry service security audits | |
US9118702B2 (en) | System and method for generating and refining cyber threat intelligence data | |
JP2021507375A (ja) | コンテキストリスク監視 | |
Tsikerdekis et al. | Approaches for preventing honeypot detection and compromise | |
CN116389003A (zh) | 用于证书过滤的方法和系统 | |
WO2022072134A1 (en) | Enhanced risk assessment | |
Priya et al. | Containerized cloud-based honeypot deception for tracking attackers | |
Atluri et al. | Botnets threat analysis and detection | |
Deri et al. | Using deep packet inspection in cybertraffic analysis | |
KR20130116418A (ko) | Ip 평판 분석 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
Davanian et al. | MalNet: A binary-centric network-level profiling of IoT malware | |
Azodi et al. | Towards better attack path visualizations based on deep normalization of host/network IDS alerts | |
Huang et al. | Design and implementation of a distributed early warning system combined with intrusion detection system and honeypot | |
JP6889673B2 (ja) | セキュリティ対処策立案装置および方法 | |
Crespo et al. | Fighting botnets with cyber-security analytics: Dealing with heterogeneous cyber-security information in new generation siems | |
Al Maskari et al. | Security and vulnerability issues in university networks | |
Anbar et al. | NADTW: new approach for detecting TCP worm | |
Schölzel et al. | Monitoring Android devices by using events and metadata | |
Beaudoin et al. | Coalition network defence common operational picture | |
US20240129338A1 (en) | Risk Mitigation Effectiveness Score of Network Security Services |