TWI726449B - 網路攻擊分析方法 - Google Patents
網路攻擊分析方法 Download PDFInfo
- Publication number
- TWI726449B TWI726449B TW108137792A TW108137792A TWI726449B TW I726449 B TWI726449 B TW I726449B TW 108137792 A TW108137792 A TW 108137792A TW 108137792 A TW108137792 A TW 108137792A TW I726449 B TWI726449 B TW I726449B
- Authority
- TW
- Taiwan
- Prior art keywords
- attack
- database system
- network
- package
- network attack
- Prior art date
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本案提出一種網路攻擊分析方法。所述方法包含接收來自監控設備之一日誌資料,自日誌資料取得第一資料庫系統受一網路攻擊時儲存之一攻擊資訊,根據攻擊資訊分析網路攻擊之一攻擊手段,根據攻擊手段對未遭受網路攻擊之一第二資料庫系統進行一攻擊測試程序並產生一測試結果,根據測試結果產生相應網路攻擊之一建議防禦手段。
Description
本案是關於一種網路攻擊之分析及防禦方法。
隨著雲端技術之發展,服務提供者經常使用雲端伺服器儲存大量資料,使用者可操作遠端裝置來存取雲端伺服器,以取得服務提供者提供之服務或完成前述服務,帶來生活上之便利性。然而,雲端伺服器係連線於網際網路,雲端伺服器經常遭受網路攻擊,例如駭客常利用網路攻擊竊取或破壞儲存於雲端伺服器之資料,或是使用加密技術將儲存於雲端伺服器之資料鎖定,如此將造成服務提供者與其使用者之損失。
再者,針對網路攻擊,當前多半是以人工的方式進行檢視,再以人工的方式補強受攻擊之雲端伺服器。然而,以人工的方式檢視網路攻擊經常出現誤判或漏判的情況,如此將造成雲端伺服器之資安漏洞,且在雲端伺服器遭受網路攻擊後始對受攻擊之雲端伺服器進行補強,並無法主動地防範潛在之資安威脅。
在一實施例中,一種網路攻擊分析方法包含:接收來自監控設備之一日誌資料,自日誌資料取得第一資料庫系統受一網路攻擊時儲存之一攻擊資訊,根據攻擊資訊分析網路攻擊之一攻擊手段,根據攻擊手段對未遭受網路攻擊之一第二資料庫系統進行一攻擊測試程序並產生一測試結果,根據測試結果產生相應網路攻擊之一建議防禦手段。
綜上所述,根據本案之網路攻擊分析方法之一實施例,網路攻擊分析方法可根據已遭受網路攻擊之資料庫系統分析其網路攻擊之攻擊手段,並針對還未受具有相同攻擊手段之網路攻擊之資料庫系統產生建議防禦手段,如此可提前地對資料庫系統之弱點或漏洞進行補強,以避免受到具有相同攻擊手段之網路攻擊影響而造成資料庫系統儲存之資料遺失或損壞。
圖1為應用本案之網路攻擊分析系統13之一實施例之方塊示意圖。網路攻擊分析系統13耦接監控設備15,且監控設備15耦接複數資料庫系統11、12(為方便描述,以下稱為第一資料庫系統11及第二資料庫系統12)。監控設備15可監控第一資料庫系統11及第二資料庫系統12是否受網路攻擊。其中,圖1係以資料庫系統的數量為二為例,然本案不以此為限,資料庫系統的數量亦可為大於二。第一資料庫系統11及第二資料庫系統12係有受網路攻擊之可能。當第一資料庫系統11及第二資料庫系統12中之一者受網路攻擊時,監控設備15可將相應網路攻擊之攻擊資訊儲存於日誌(log)資料S1,網路攻擊分析系統13可自監控設備15取得日誌資料S1以分析網路攻擊,網路攻擊分析系統13並根據分析結果產生對應之建議防禦手段S4,資料庫系統之管理者可針對建議防禦手段S4對未受同一網路攻擊之資料庫系統進行預先之處置。
以下係以第一資料庫系統11已受網路攻擊且第二資料庫系統12在第一資料庫系統11受網路攻擊時並未受相同之前述網路攻擊為例。請合併參照圖1及圖2,圖2係為根據本案之網路攻擊分析系統13之網路攻擊分析方法之一實施例之流程圖。網路攻擊分析系統13包含輸入模組131、分析模組132、測試模組133及輸出模組134。分析模組132耦接測試模組133,且分析模組132與測試模組133耦接在輸入模組131與輸出模組134之間。
當第一資料庫系統11受網路攻擊時,監控設備15儲存相應網路攻擊之攻擊資訊於日誌(log)資料S1。在監控設備15將攻擊資訊寫入日誌資料S1之後,監控設備15發送包含攻擊資訊之日誌資料S1,網路攻擊分析系統13之輸入模組131自監控設備15接收日誌資料S1(步驟S01),分析模組132即自日誌資料S1取得攻擊資訊,分析模組132根據攻擊資訊分析網路攻擊之攻擊手段S2(步驟S02),測試模組133自分析模組132取得網路攻擊之攻擊手段S2,測試模組133根據攻擊手段S2對第二資料庫系統12進行攻擊測試程序並產生測試結果S3(步驟S03)。測試模組133可發送測試結果S3至輸出模組134,輸出模組134再根據測試結果S3產生相應前述網路攻擊之建議防禦手段S4(步驟S04)。
基此,第二資料庫系統12之管理者即可針對建議防禦手段S4對第二資料庫系統12進行預先之處置,例如針對第二資料庫系統12之弱點或漏洞進行補強,以避免第二資料庫系統12受相同模式之網路攻擊而造成儲存在第二資料庫系統12之資料遺失或損壞(例如受病毒感染或處於鎖定(lock)狀態)。
在一實施例中,前述之網路攻擊係藉由第一資料庫系統11之漏洞將惡意檔案或惡意程式植入於第一資料庫系統11。針對前述之網路攻擊,請合併參照圖1及圖3,分析模組132在取得日誌資料S1(步驟S01)之後更判斷第一資料庫系統11是否受網路攻擊影響(步驟S06),分析模組132在步驟S06中係判斷第一資料庫系統11中是否存在來自網路攻擊之惡意檔案或惡意程式。當第一資料庫系統11中存在惡意檔案或惡意程式時,分析模組132判定第一資料庫系統11已受網路攻擊影響(判斷結果為「是」),當第一資料庫系統11中不存在惡意檔案或惡意程式時,分析模組132判定第一資料庫系統11未受網路攻擊影響(判斷結果為「否」)。於是,在分析模組132判定第一資料庫系統11已受網路攻擊影響時(判斷結果為「是」),分析模組132始執行步驟S02以分析得攻擊手段S2為藉由資料庫系統之漏洞植入惡意檔案或惡意程式。
接著,在步驟S03中,測試模組133係嘗試以相同之攻擊手段S2將惡意檔案或惡意程式植入於第二資料庫系統12,分析模組132再接收測試模組133產生之測試結果S3,分析模組132根據測試結果S3判斷第二資料庫系統12中是否受攻擊測試程序影響而產生惡意檔案或惡意程式,也就是分析模組132係根據測試結果S3判斷第二資料庫系統12中是否存在原先不存在之惡意檔案或惡意程式。當第二資料庫系統12中不存在惡意檔案或惡意程式時,分析模組132判定第二資料庫系統12未受攻擊測試程序影響(判斷結果為「否」),當第二資料庫系統12中存在惡意檔案或惡意程式時,分析模組132判定第二資料庫系統12已受攻擊測試程序影響(判斷結果為「是」)。
基此,如圖1所示,分析模組132可耦接輸出模組134,當分析模組132判定第二資料庫系統12已受攻擊測試程序影響(判斷結果為「是」)時,分析模組132始驅使輸出模組134根據測試結果S3產生相應網路攻擊之一建議防禦手段S4(步驟S04);或者,在其他的實施例中,分析模組132亦可在判定第二資料庫系統12已受攻擊測試程序影響(判斷結果為「是」)時始驅使測試模組133發送測試結果S3至輸出模組134,使輸出模組134根據測試結果S3產生相應之建議防禦手段S4(步驟S04)。
在一實施例中,當分析模組132在步驟S07中判定第二資料庫系統12未受攻擊測試程序影響時(判斷結果為「否」),輸出模組134可不產生建議防禦手段S4(步驟S08)。
在一實施例中,前述之網路攻擊係藉由第一資料庫系統11之漏洞遠端控制具有第一資料庫系統11之電腦或伺服器。針對前述之網路攻擊,在步驟S02中,分析模組132可判斷攻擊手段S2是否為透過第一資料庫系統11之漏洞遠端控制具有第一資料庫系統11之電腦或伺服器。於是,在步驟S03中,測試模組133係判斷第二資料庫系統12是否具有相同之漏洞,當第二資料庫系統12具有相同之漏洞時,測試模組133可以相同之攻擊手段S2嘗試藉由第二資料庫系統12之漏洞遠端控制具有第二資料庫系統12之電腦或伺服器,並產生測試結果S3,分析模組132在步驟S04中再根據第二資料庫系統12之漏洞產生相應之建議防禦手段S4。
在一實施例中,第一資料庫系統11包含網際網路站台(以下稱為第一網際網路站台),第一網際網路站台可顯示第一資料庫系統11儲存之資訊,或供第一資料庫系統11之使用者藉由第一網際網路站台存取第一資料庫系統11;並且,第二資料庫系統12亦包含網際網路站台(以下稱為第二網際網路站台),第二網際網路站台可顯示第二資料庫系統12儲存之資訊,或供第二資料庫系統12之使用者藉由第二網際網路站台存取第二資料庫系統12。
基此,第一資料庫系統11在受網路攻擊時係其第一網際網路站台受網路攻擊,在步驟S02中,分析模組132於分析網路攻擊時係判斷第一網際網路站台使用之套件(kit)(以下稱為第一套件)的名稱(以下稱為第一套件名稱)及版本號碼(以下稱為第一版本號碼);並且,測試模組133在攻擊測試程序中(步驟S03)係判斷第二網際網路站台使用之套件(以下稱為第二套件)的名稱(以下稱為第二套件名稱)及版本號碼(以下稱為第二版本號碼),測試模組133產生包含第二套件名稱及第二版本號碼之測試結果S3。於是,在步驟S07中,分析模組132接收包含第二套件名稱及第二版本號碼之測試結果S3,分析模組132根據第一套件名稱、第一版本號碼、第二套件名稱及第二版本號碼判斷第二套件是否關聯於第一套件。若第二套件與第一套件相關聯,例如第一套件名稱與第二套件名稱相同且第一版本號碼與第二版本號碼相同,則分析模組132判定第二套件與第一套件相關連,第二資料庫系統12將受攻擊測試程序影響(判斷結果為「是」),分析模組132即驅使輸出模組134根據包含第二套件名稱及第二版本號碼之測試結果S3產生對應之建議防禦手段S4。舉例來說,建議防禦手段S4可包含升級第二套件、設定防火牆阻擋攻擊來源位址、更新防毒軟體之病毒碼或設定入侵防禦系統(IPS)阻擋具有攻擊手段S2之其他網路攻擊。
在一些實施例中,分析模組132在判斷第二套件是否關聯於第一套件時可根據預先儲存之相關連之套件名稱及版本號碼來判斷第一套件是否相關聯於第二套件。當第一套件名稱、第一版本號碼、第二套件名稱及第二版本號碼中之任一者不符合預先儲存之相關連之套件名稱及版本號碼時,分析模組132即判定第一套件不相關於第二套件,分析模組132即判定第二資料庫系統12並不受攻擊測試程序影響(判斷結果為「否」),輸出模組134不產生建議防禦手段S4(步驟S08)。
在一實施例中,日誌資料S1儲存之攻擊資訊可包含網路攻擊之攻擊時間、攻擊來源位址(IP)、攻擊目標位址、及/或攻擊指令(command)碼。
在一實施例中,日誌資料S1係可具有不同的資料格式,也就是監控設備15可使用不同之日誌資料產生軟體。舉例來說監控設備15可產生具有第一資料格式之日誌資料S1,或者,使用不相同之監控設備15可產生具有第二資料格式之日誌資料S1。為避免分析模組132接收不同資料格式之日誌資料S1而無法辨識出日誌資料S1包含之攻擊資訊,網路攻擊分析系統13更包含格式處理模組135,格式處理模組135耦接在輸入模組131與分析模組132之間。在輸入模組131自監控設備15接收日誌資料S1之後,輸入模組131發送日誌資料S1至格式處理模組135,格式處理模組135再根據預設資料格式轉換日誌資料S1(步驟S05),以產生具有相同資料格式之日誌資料S1,分析模組132在步驟S02中即可根據具有一致資料格式之日誌資料S1辨識出日誌資料S1包含之攻擊資訊,以分析網路攻擊之攻擊手段S2。
在一實施例中,如圖4所示,網路攻擊分析系統13更耦接第三資料庫系統14,第三資料庫系統14耦接監控設備15。監控設備15亦可判斷第三資料庫系統14是否受網路攻擊。在第一資料庫系統11受網路攻擊時,若第三資料庫系統14未遭受相同攻擊手段S2之網路攻擊,則網路攻擊分析系統13亦可在步驟S03中對第三資料庫系統14進行攻擊測試程序,並判斷第三資料庫系統14是否受攻擊測試程序影響(步驟S07),以根據測試結果S3決定是否產生對應第三資料庫系統14之建議防禦手段S4(步驟S04);基此,在前述之實施例中,分析模組132在步驟S02中分析網路攻擊時更可分別統計資料庫系統13、14之受攻擊次數(以下將第二資料庫系統12之受攻擊次數及第三資料庫系統14之受攻擊次數分別稱為第一受攻擊次數及第二受攻擊次數),也就是分析模組132根據第一受攻擊次數及第二受攻擊次數分析其攻擊手段S2係較頻繁地攻擊第二資料庫系統12或較頻繁地攻擊第三資料庫系統14。
在一實施例中,第一資料庫系統11、第二資料庫系統12、第三資料庫系統14及網路攻擊分析系統13可儲存在不同的電腦主機中,例如以四台電腦主機分別儲存第一資料庫系統11、第二資料庫系統12、第三資料庫系統14及網路攻擊分析系統13。再者,網路攻擊分析系統13可應用在金融服務之提供者,例如銀行,第一資料庫系統11、第二資料庫系統12及第三資料庫系統14可為銀行所開發之帳務資料系統、提款機(Automated Teller Machine;ATM)資料系統、網路銀行資料系統或匯利率資料系統,網路攻擊分析系統13可提升各金融資料庫系統之主動防禦能力。
綜上所述,根據本案之網路攻擊分析方法之一實施例,網路攻擊分析方法可根據已遭受網路攻擊之資料庫系統分析其網路攻擊之攻擊手段,並針對還未受具有相同攻擊手段之網路攻擊之資料庫系統產生建議防禦手段,如此可提前地對資料庫系統之弱點或漏洞進行補強,以避免受到具有相同攻擊手段之網路攻擊影響而造成資料庫系統儲存之資料遺失或損壞。
雖然本案已以實施例揭露如上然其並非用以限定本案,任何所屬技術領域中具有通常知識者,在不脫離本案之精神和範圍內,當可作些許之更動與潤飾,故本案之保護範圍當視後附之專利申請範圍所界定者為準。
11 第一資料庫系統
12 第二資料庫系統
13 網路攻擊分析系統
131 輸入模組
132 分析模組
133 測試模組
134 輸出模組
135 格式處理模組
14 第三資料庫系統
15 監控設備
S1 日誌資料
S2 攻擊手段
S3 測試結果
S4 建議防禦手段
S01-S08 步驟
[圖1] 為應用本案之網路攻擊分析系統之一實施例之方塊示意圖。
[圖2] 為根據本案之網路攻擊分析系統之網路攻擊分析方法之一實施例之流程圖。
[圖3] 為圖2之網路攻擊分析方法之一實施態樣之流程圖。
[圖4] 為圖1之網路攻擊分析系之另一實施例之方塊示意圖。
11 第一資料庫系統
12 第二資料庫系統
13 網路攻擊分析系統
131 輸入模組
132 分析模組
133 測試模組
134 輸出模組
135 格式處理模組
15 監控設備
S1 日誌資料
S2 攻擊手段
S3 測試結果
S4 建議防禦手段
Claims (4)
- 一種網路攻擊分析方法,包含:接收來自一監控設備之一日誌資料;自該日誌資料取得一第一資料庫系統受一網路攻擊時儲存之一攻擊資訊;根據該攻擊資訊分析該網路攻擊之一攻擊手段;根據該攻擊手段對未遭受該網路攻擊之一第二資料庫系統判斷該第二資料庫系統之一第二網際網路站台使用之一第二套件;根據該第一資料庫系統之一第一網際網路站台使用之一第一套件之一第一套件名稱、該第一套件之一第一版本號碼、該第二套件之一第二套件名稱及該第二套件之一第二版本號碼判斷該第一套件與該第二套件是否相關聯,以產生一測試結果;及當該測試結果為該第一套件與該第二套件相關聯時,產生相應該網路攻擊之為升級該第二套件之一建議防禦手段。
- 如請求項1所述之網路攻擊分析方法,更包含:在接收該日誌資料之後,根據一預設資料格式轉換該日誌資料,以根據具有該預設資料格式之該日誌資料取得該攻擊資訊。
- 如請求項1所述之網路攻擊分析方法,其中分析該攻擊手段之步驟包含:統計該第二資料庫系統之一受攻擊次數;統計一第三資料庫系統之另一受攻擊次數;及根據該受攻擊次數及該另一受攻擊次數分析該攻擊手段。
- 如請求項1所述之網路攻擊分析方法,其中該建議防禦手段包含對應具有相同該攻擊手段之另一網路攻擊之一防火牆阻擋設定、一入侵防禦系統阻擋設定或更新防毒軟體之病毒碼。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW108137792A TWI726449B (zh) | 2019-10-18 | 2019-10-18 | 網路攻擊分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW108137792A TWI726449B (zh) | 2019-10-18 | 2019-10-18 | 網路攻擊分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW202118261A TW202118261A (zh) | 2021-05-01 |
TWI726449B true TWI726449B (zh) | 2021-05-01 |
Family
ID=77020818
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW108137792A TWI726449B (zh) | 2019-10-18 | 2019-10-18 | 網路攻擊分析方法 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI726449B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103842965A (zh) * | 2011-05-24 | 2014-06-04 | 帕洛阿尔托网络公司 | 恶意软件分析系统 |
US9537880B1 (en) * | 2015-08-19 | 2017-01-03 | Palantir Technologies Inc. | Anomalous network monitoring, user behavior detection and database system |
TWI587170B (zh) * | 2013-09-11 | 2017-06-11 | Nss實驗室股份有限公司 | 惡意軟體及攻擊程式碼活動檢測系統及方法 |
CN109074454A (zh) * | 2016-02-29 | 2018-12-21 | 帕洛阿尔托网络公司 | 基于赝象对恶意软件自动分组 |
CN109558207A (zh) * | 2017-09-25 | 2019-04-02 | 卡巴斯基实验室股份制公司 | 在虚拟机中形成用于进行文件的防病毒扫描的日志的系统和方法 |
-
2019
- 2019-10-18 TW TW108137792A patent/TWI726449B/zh active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103842965A (zh) * | 2011-05-24 | 2014-06-04 | 帕洛阿尔托网络公司 | 恶意软件分析系统 |
TWI587170B (zh) * | 2013-09-11 | 2017-06-11 | Nss實驗室股份有限公司 | 惡意軟體及攻擊程式碼活動檢測系統及方法 |
US9537880B1 (en) * | 2015-08-19 | 2017-01-03 | Palantir Technologies Inc. | Anomalous network monitoring, user behavior detection and database system |
CN109074454A (zh) * | 2016-02-29 | 2018-12-21 | 帕洛阿尔托网络公司 | 基于赝象对恶意软件自动分组 |
CN109558207A (zh) * | 2017-09-25 | 2019-04-02 | 卡巴斯基实验室股份制公司 | 在虚拟机中形成用于进行文件的防病毒扫描的日志的系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
TW202118261A (zh) | 2021-05-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7046111B2 (ja) | マルウェアのランタイム中の自動検出 | |
US11055411B2 (en) | System and method for protection against ransomware attacks | |
AU2018204262B2 (en) | Automated code lockdown to reduce attack surface for software | |
KR102419574B1 (ko) | 컴퓨터 애플리케이션에서 메모리 손상을 교정하기 위한 시스템 및 방법 | |
US9832213B2 (en) | System and method for network intrusion detection of covert channels based on off-line network traffic | |
US7530104B1 (en) | Threat analysis | |
US8572750B2 (en) | Web application exploit mitigation in an information technology environment | |
US9635033B2 (en) | Methods, systems and computer readable media for detecting command injection attacks | |
KR20160039306A (ko) | 클라우드 기술을 사용한 멀웨어에 대한 동적 클리닝 | |
US20160373447A1 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
JP2017228264A (ja) | 安全なオンライン認証のためのシステム及び方法 | |
TWM592531U (zh) | 網路攻擊分析系統 | |
Geetha Ramani et al. | Nonvolatile kernel rootkit detection using cross‐view clean boot in cloud computing | |
JP2024023875A (ja) | インラインマルウェア検出 | |
TWI726449B (zh) | 網路攻擊分析方法 | |
TWI742799B (zh) | 網路攻擊分析方法 | |
US9202065B2 (en) | Detecting sensitive data access by reporting presence of benign pseudo virus signatures | |
Anand et al. | Comparative study of ransomwares | |
Rose et al. | System hardening for infrastructure as a service (IaaS) | |
Jayakrishnan et al. | Internet of things forensics honeynetcloud investigation model | |
US20230319071A1 (en) | Systems and methods for automated generation of playbooks for responding to cyberattacks | |
Salemi et al. | " Automated rules generation into Web Application Firewall using Runtime Application Self-Protection | |
US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
Askan | Securing an operational fintech web platform | |
El Emary et al. | Machine Learning Classifier Algorithms for Ransomware Lockbit Prediction |