TWI731821B - 建立應用程式白名單之方法與系統 - Google Patents

建立應用程式白名單之方法與系統 Download PDF

Info

Publication number
TWI731821B
TWI731821B TW109143230A TW109143230A TWI731821B TW I731821 B TWI731821 B TW I731821B TW 109143230 A TW109143230 A TW 109143230A TW 109143230 A TW109143230 A TW 109143230A TW I731821 B TWI731821 B TW I731821B
Authority
TW
Taiwan
Prior art keywords
adm
clean room
actual operation
nodes
determined
Prior art date
Application number
TW109143230A
Other languages
English (en)
Other versions
TW202218392A (zh
Inventor
迪馬 徐
闕志克
陽鳴谷
Original Assignee
財團法人工業技術研究院
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人工業技術研究院 filed Critical 財團法人工業技術研究院
Application granted granted Critical
Publication of TWI731821B publication Critical patent/TWI731821B/zh
Publication of TW202218392A publication Critical patent/TW202218392A/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5058Service discovery by the service manager
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一種建立應用程式白名單之方法,包括:收集由至少一伺服器所傳來的一執行緒間資訊記錄,其中,複數個分散式應用程式係安裝於該至少一伺服器內;根據該執行緒間資訊記錄,以發現在潔淨室環境中之一拓樸資訊;根據該拓樸資訊來建立一組白名單法則;以及執行該組白名單法則。

Description

建立應用程式白名單之方法與系統
本案是有關於一種建立應用程式白名單之方法與系統。
近來,網路安全已變得越來越重要。隨著安裝在資料中心內的分散式應用程式(distributed application)的數量增長,自動惡意程式與入侵偵測的需求亦增加中。在最近,應用程式白名單主要是由人工定義,而對於包括數以千計節點的分散式應用程式,建立此種法則的自動系統是重要的。
分散式應用程式是指執行於網路內的多台電腦上的軟體。這些分散式應用程式彼此互動以達成特殊目的或任務。傳統上,應用程式依賴單一系統來執行。即便是在客戶端-伺服器模型中,應用程式軟體必需執行於客戶端上,或執行於被客戶端所存取的伺服器上。
白名單上所列出的事項(item)是指對某一系統或協定而言是允許的存取行為。當使用白名單時,所有實體(entity)是被拒絕存取,除非已被包括在白名單上。傳統上,白名單是由系統管理人員所定義。雖然此種方式可以對於小型系統與分散式應 用程式有良好作用,隨著節點數量增加,愈加可能發生錯誤或錯失該些法則之一,而導致應用程式無法正常動作。
本案是有關於一種利用拓樸資訊來建立應用程式白名單之方法與系統。
本案一實施例提供一種建立應用程式白名單之方法,包括:收集由至少一伺服器所傳來的一執行緒間資訊記錄,其中,複數個分散式應用程式係安裝於該至少一伺服器內;根據該執行緒間資訊記錄,以發現在潔淨室環境中之一拓樸資訊;根據該拓樸資訊來建立一組白名單法則;以及執行該組白名單法則。
本案另一實施例提供一種建立應用程式白名單之系統,包括:至少一伺服器,複數個分散式應用程式係安裝於該至少一伺服器內;以及一分析引擎,耦接至該至少一伺服器,以收集由該至少一伺服器所傳來的一執行緒間資訊記錄。該分析引擎架構成:根據該執行緒間資訊記錄,以發現在潔淨室環境中之一拓樸資訊;根據該拓樸資訊來建立一組白名單法則;以及執行該組白名單法則。
為了對本案之上述及其他方面有更佳的瞭解,下文特舉實施例,並配合所附圖式詳細說明如下:
100:建立應用程式白名單系統
120:分析引擎
120、130:伺服器
141~143:應用程式
210~230:步驟
310~330:步驟
410~470:節點
510~555:步驟
第1圖繪示根據本案一實施例之建立應用程式白名單系統之方塊 圖。
第2圖繪示依照本案一實施例的建立應用程式白名單方法之流程圖。
第3圖繪示依照本案一實施例的建立應用程式相依圖(application dependency map(ADM))之流程圖。
第4A圖繪示依照本案一實施例的潔淨室(green room)ADM之示範例。
第4B圖繪示依照本案一實施例的實際操作(real operation)ADM之示範例。
第4C圖繪示依照本案一實施例的另一種實際操作ADM之示範例。
第5圖繪示依照本案一實施例的執行白名單法則之流程圖,其可最小化偽陽性警報(false-positive alarm)。
第6A圖與第6B圖顯示藉由決定不完整邊緣(incomplete edge)是否合法(legitimate)以如何決定潔淨室ADM與實際操作ADM是否相等的示意圖。
第7圖顯示根據本案一實施例的惡意攻擊決定(attack determination)。
第8圖顯示,在確認連線是有效之後,將該有效連線用於更新潔淨室ADM的示意圖。
本說明書的技術用語係參照本技術領域之習慣用語, 如本說明書對部分用語有加以說明或定義,該部分用語之解釋係以本說明書之說明或定義為準。本揭露之各個實施例分別具有一或多個技術特徵。在可能實施的前提下,本技術領域具有通常知識者可選擇性地實施任一實施例中部分或全部的技術特徵,或者選擇性地將這些實施例中部分或全部的技術特徵加以組合。
在本案實施例中,方法與系統係有關於自動定義分散式應用程式系統(distributed application system)之白名單法則與威脅程度。在本案實施例中,方法與系統係有關於發現分散式應用程式相依圖(application dependency map,ADM)。在本案實施例中,方法與系統係有關於將相依圖轉換成白名單法則。在本案實施例中,方法與系統係有關於執行白名單法則,以聚焦在減少偽陽性錯誤(false-positive)。
第1圖繪示根據本案一實施例之建立應用程式白名單系統之方塊圖。建立應用程式白名單系統100包括:分析引擎(analytic engine)110與耦合至分析引擎110之至少一伺服器(例如但不受限於,2個伺服器120與130)。至少有一分散式應用程式安裝於伺服器120,且至少有一分散式應用程式安裝於伺服器130。例如但不受限於,應用程式141與142安裝於伺服器120,且應用程式143安裝於伺服器130。
分析引擎110收集由伺服器120與130所傳來的執行緒間(inter-thread)資訊記錄(traffic log)。執行緒間資訊記錄係記載應用程式141、142與143在執行時的執行緒資訊。
在本案一實施例中,分析引擎110分析執行緒間資訊記 錄以執行三個階段處理:根據執行緒間資訊記錄以發現拓樸資訊(topology information)(拓樸資訊例如但不受限於,潔淨室環境的應用程式相依圖(ADM));根據拓樸資訊或潔淨室ADM來建立一組白名單法則;以及,執行該組白名單法則且最小化偽陽性(false-positive)警報。潔淨室環境代表被隔離且安全的具有存取控制的工作空間,此空間中沒有惡意軟體(malware)與病毒(virus)的攻擊。在此空間中,可以收集應用程式的正常行為(normal behavior),從而建立基礎的應用程式白名單。
第2圖繪示依照本案一實施例的建立應用程式白名單方法之流程圖。在步驟210中,根據執行緒間資訊記錄以發現拓樸資訊或潔淨室環境ADM。在步驟220中,根據拓樸資訊或潔淨室ADM來建立一組白名單法則。在步驟230中,執行該組白名單法則且最小化偽陽性(false-positive)警報。
ADM建立相互依存(interdependent)應用程式之間的關係。ADM可辨別:彼此通訊的複數個裝置(例如,伺服器120與130);該些裝置用於通訊的TCP IP埠;以及執行於該些裝置上的程式。
第3圖繪示依照本案一實施例的建立ADM之流程圖。在步驟310中,在送出系統呼叫(system call)的封包處截聽(intercept)客戶端作業系統(guest OS)。在步驟320中,得到執行緒與TCP連線資訊(來源TCP IP埠、目的TCP IP埠)。在步驟330中,從執行緒間資訊記錄產生正確的ADM。
本案一實施例係檢視連線的執行緒層級執行(thread-level execution)。系統呼叫截聽可致能改變的偵測與部署(deployment)。記錄在執行緒間層級的資訊可確保產生正確的應用程式相依性。
現將解釋在本案一實施例中,如何轉換ADM成為一組白名單法則以建立一組白名單法則。對於在ADM中的每一筆記錄,本案實施例建立防火牆法則(一組白名單法則),包括複數個節點,各節點的屬性(attribute)包括應用程式命名資訊與目的埠資訊。
第4A圖繪示依照本案一實施例的潔淨室ADM之示範例。第4B圖繪示依照本案一實施例的實際操作(real operation)ADM之示範例。第4C圖繪示依照本案一實施例的另一種實際操作ADM之示範例。潔淨室ADM是指在潔淨室下所定義或所產生的ADM,而實際操作ADM是指在實際操作下所定義或所產生的ADM。
如第4A圖所示,潔淨室ADM包括節點410-425,各節點的屬性包括應用程式命名資訊與目的埠資訊。例如,節點410的屬性包括應用程式命名資訊(亦即app1)與目的埠資訊(無(N/A)),而節點415的屬性包括應用程式命名資訊(亦即app2)與目的埠資訊(port 2)。第4B圖與第4C圖的節點430-445與450-470的屬性亦相似。
第5圖繪示依照本案一實施例的執行白名單法則之流程圖,其可最小化偽陽性警報(false-positive alarm)。在比較潔淨室ADM與實際操作ADM時,實際操作ADM可能有所不同,特別是,各節點的IP位址將會改變,但應用程式命名資訊與目的埠資訊仍是保持不變。 在此情況下,在本案實施例中,需要執行全圖匹配(full graph matching)。
至於白名單法則執行,在改變原始白名單法則以匹配在產品環境(實際操作)中的分散式應用程式之後,本案實施例開始阻擋不在白名單上的所有連線。當阻擋一些連線時,可能有兩種情況:該連線是值得信賴的但在潔淨室環境觀察中未觀察到此情況。這可能是相當少發生的事件,例如是每月的備份。另一情況是,當連線不值得信賴時,此情況可能發生於當系統中存在惡意程式(malware)時。
在步驟510中,藉由比較潔淨室ADM與實際操作ADM來執行全圖匹配。在步驟515中,根據比較結果,決定潔淨室ADM是否匹配於實際操作ADM。
例如,藉由比較第4A圖中的潔淨室ADM與第4B圖中的實際操作ADM,則決定此兩者是匹配。另一方面來說,藉由比較第4A圖中的潔淨室ADM與第4C圖中的實際操作ADM,則決定此兩者不匹配。
詳細地說,在比較的潔淨室ADM與實際操作ADM時,比較ADM中的所有節點。在比較第4A圖中的潔淨室ADM與第4B圖中的實際操作ADM時,分別比較潔淨室ADM的該些節點410-425與實際操作ADM的節點430-445,藉由比較潔淨室ADM的該些節點410-425的該些屬性與實際操作ADM的節點430-445的該些屬性。在比較後,當該些節點410-425的該些屬性與節點430-445的該些屬性是相同時,則決定第4A圖的潔淨室ADM的該 些節點410-425相等於(等同於)第4B圖的實際操作ADM的節點430-445,因此決定第4A圖的潔淨室ADM匹配於第4B圖的實際操作ADM。
相反地,在比較第4A圖中的潔淨室ADM與第4C圖中的實際操作ADM時,分別比較潔淨室ADM的該些節點410-425與實際操作ADM的節點450-470,藉由比較潔淨室ADM的該些節點410-425的該些屬性與實際操作ADM的節點450-470的該些屬性。在比較後,實際操作ADM的節點470(屬性包括應用程式命名資訊(app5)與目的埠資訊(port 5)不匹配於潔淨室ADM的任一該些節點。故而,決定第4A圖的潔淨室ADM不匹配於第4C圖的實際操作ADM。
在步驟515中,當決定潔淨室ADM匹配於實際操作ADM時,則在步驟520中,決定潔淨室ADM是等效於實際操作ADM(亦即沒有偽陽性錯誤)。藉此,本案實施例將不會出現偽陽性錯誤與偽陰性錯誤。在本案中,偽陽性錯誤是指,本案實施例系統辨別出有惡意攻擊存在,但實際上並不存在惡意攻擊;而偽陰性錯誤是指,本案實施例系統辨別出是合法(legitimate)行為,但實際上並不是合法行為。
在步驟515中,當決定潔淨室ADM並不匹配於實際操作ADM時,流程接續步驟525。在步驟525中,對潔淨室ADM與實際操作ADM執行子圖匹配(sub-graph matching)以找出實際操作ADM的所有不完整邊緣(incomplete edge)。例如,在步驟 525中,對第4A圖的潔淨室ADM與第4C圖的實際操作ADM執行子圖匹配(sub-graph matching)以找出實際操作ADM的不完整邊緣(亦即,節點470)。
在步驟530,藉由決定該不完整邊緣是否合法來決定是否潔淨室ADM等效於實際操作ADM。第6A圖與第6B圖顯示藉由決定不完整邊緣是否合法以決定潔淨室ADM與實際操作ADM是否相等的示意圖。例如,如第6A圖所示,在比較潔淨室ADM與實際操作ADM後,發現應用程式app2與應用程式app3之間的連線是一個不完整邊緣。如第6B圖所示,當應用程式app1與應用程式app2之間的連線透過應用程式app1的執行緒t11而連線至應用程式app2的執行緒t21,以及,應用程式app2與應用程式app3之間的連線透過應用程式app2的執行緒t22而連線至應用程式app3,則決定應用程式app2與應用程式app3之間的連線不是合法的,因為應用程式app2內的該些連線不是透過相同的執行緒(t21)。
也就是說,在本案實施例中,即便有不在原始拓樸(例如但不受限於,潔淨室ADM)上的連線請求(例如,從應用程式app2至應用程式app3的連線請求),但該連線是完成於應用程式app2上的相同執行緒(在接收連線請求後,例如,從應用程式app1至應用程式app2的連線請求),則該連線請求將會被允許。因此,是否允許該連線請求是根據該連線是否完成於同一執行緒而決定。
當在步驟530中決定該不完整邊緣不是合法的,藉此以決定潔淨室ADM不等效於實際操作ADM時,流程接續至步驟535以決 定潔淨室ADM不等效於實際操作ADM(亦即,實際操作ADM並不合法)。
相反地,當在步驟530中決定該不完整邊緣是合法的,藉此以決定潔淨室ADM係等效於實際操作ADM時,流程接續至步驟540以執行不完整邊緣處理,以根據該合法的不完整邊緣而更新潔淨室ADM,並根據潔淨室ADM而執行智能更新分散式應用程式白名單。
在步驟545,決定是否有惡意攻擊。第7圖顯示根據本案一實施例的惡意攻擊決定(attack determination)。如第7圖所示,在潔淨室ADM中,應用程式app1與應用程式app2之間的連線平均約1.5秒完成,而且,應用程式app2與應用程式app3之間的連線平均約0.1秒完成。然而,在實際操作ADM中,應用程式app1與應用程式app2之間的連線約1.5秒完成,而且,應用程式app2與應用程式app3之間的連線約4秒完成。因為應用程式app2與應用程式app3之間的連線請求比起一般情況花費更多時間,這可能會是惡意活動,故而,在步驟550中,發出警報。也就是說,乃是根據連線請求的完成時間而決定是否存在惡意攻擊,並據以發出惡意活動的警報。
另一方面,當在步驟545中決定該連線不是一種攻擊,流程接續至步驟555以辨別該連線是合法的且該潔淨室ADM要被更新。
在本案一實施例中,允許原本不在白名單內的某些通訊可以連線而在之後確認其有效法,藉由決定是否在相同執行緒上完 成,亦即,如果從應用程式app1至應用程式app2的看似不合法通訊之後接續著從應用程式app2至應用程式app3的合法通訊。第8圖顯示,在確認應用程式app1至應用程式app2之間連線是有效之後,將應用程式app1至應用程式app2之間的該有效連線用於更新潔淨室ADM圖。
本案實施例的目的在於,提供自動安全系統,其允許被視為是合法的某些網路連線,但其他的網路連線則會先檢查且取決於感脅程度來決定該些網路連線是該阻擋,允許或者是否要觸發警報。本案實施例的主要目的是減少人工與系統之間的互動,並減少偽陽性錯誤。
簡言之,在本案實施例中,分散式應用程式是在網路上的多個電腦上同時執行的軟體,且可儲存於伺服器上或儲存於雲端計上。先在潔淨室環境中檢查分散式應用程式,以決定該些應用程式的各節點之間的關係。利用所收集的資訊來形成拓樸與ADM。根據ADM,形成一組白名單法則,以只讓有效合法連線執行。當分散式應用程式處於實際環境中時,該些資訊會被使用。ADM用以辨別該分散式應用程式的各節點。在辨別各節點後,更改該些白名單法則,以匹配於新環境(實際操作)。當有原本未出現於潔淨室環境中的新連線出現時,ADM可用於測量其有效性(合法性)。如果決定該新連線是有效的,該新連線用於更新潔淨室ADM。
本案導入自動系統,兼具白名單法則之建立與執行。本案不只可自動化白名單法則之建立,也可導入智慧白名單法則之執行,不會阻擋在白名單之外的每一條連線,而是先檢查且辨別其感脅 程度。
綜上所述,雖然本案已以實施例揭露如上,然其並非用以限定本案。本案所屬技術領域中具有通常知識者,在不脫離本案之精神和範圍內,當可作各種之更動與潤飾。因此,本案之保護範圍當視後附之申請專利範圍所界定者為準。
210~230:步驟

Claims (18)

  1. 一種建立應用程式白名單之方法,包括:收集由至少一伺服器所傳來的一執行緒間資訊記錄,其中,複數個分散式應用程式係安裝於該至少一伺服器內;根據該執行緒間資訊記錄,以發現在潔淨室環境中之一拓樸資訊;根據該拓樸資訊來建立一組白名單法則,其中該拓樸資訊包括一應用程式相依圖(ADM);以及執行該組白名單法則,藉由比較一潔淨室ADM與一實際操作ADM來執行全圖匹配,以及根據一比較結果,決定是否該潔淨室ADM匹配於該實際操作ADM。
  2. 如請求項1所述之方法,其中,該ADM產生該至少一伺服器的該些分散式應用程式之間的複數個關係;以及該ADM辨別:彼此相通訊的複數個裝置;該些裝置用於通訊所用的複數個TCP IP埠;以及該些裝置上所執行的複數個程式。
  3. 如請求項1所述之方法,其中,建立該ADM包括:在送出一系統呼叫的一封包處截聽一客戶端作業系統;得到一執行緒與一TCP連線資訊;以及從該執行緒間資訊記錄產生該ADM。
  4. 如請求項1所述之方法,其中,在建立該組白名單法則時,對於該ADM中之各記錄,該組白名單法則包括複數個節點,各該些節點的一屬性包括一應用程式命名資訊與一目的埠資訊。
  5. 如請求項4所述之方法,其中,於比較該潔淨室ADM與該實際操作ADM時,藉由比較該潔淨室ADM的複數個節點的複數個屬性與該實際操作ADM的複數個節點的複數個屬性,以分別比較該潔淨室ADM的該些節點與該實際操作ADM的該些節點。
  6. 如請求項1所述之方法,其中,當該潔淨室ADM匹配於該實際操作ADM時,該潔淨室ADM等效於該實際操作ADM;以及當該潔淨室ADM不匹配於該實際操作ADM時,對該潔淨室ADM與該實際操作ADM執行子圖匹配,以找到該實際操作ADM的任一不完整邊緣。
  7. 如請求項6所述之方法,其中,在子圖匹配時,藉由根據一連線是否執行於同一執行緒來決定該實際操作ADM的該不完整邊緣是否合法,來決定該潔淨室ADM是否等效於該實際操作ADM。
  8. 如請求項7所述之方法,其中, 在子圖匹配時,當決定該實際操作ADM的該不完整邊緣是不合法的以決定該潔淨室ADM不等效於該實際操作ADM時,決定該實際操作ADM不合法;以及在子圖匹配時,當決定該實際操作ADM的該不完整邊緣是合法的以決定該潔淨室ADM等效於該實際操作ADM時,執行不完整邊緣處理以根據該不完整邊緣來更新該該潔淨室ADM,並根據該潔淨室ADM來執行智能更新分散式應用程式白名單。
  9. 如請求項1所述之方法,其中,當根據一連線請求的一花費時間來決定有惡意攻擊時,發起一惡意活動警報;以及,一旦決定該連線請求不是惡意攻擊時,辨認該連線請求是合法的且更新該潔淨室ADM。
  10. 一種建立應用程式白名單之系統,包括:至少一伺服器,複數個分散式應用程式係安裝於該至少一伺服器內;以及一分析引擎,耦接至該至少一伺服器,以收集由該至少一伺服器所傳來的一執行緒間資訊記錄,其中,該分析引擎架構成:根據該執行緒間資訊記錄,以發現在潔淨室環境中之一拓樸資訊;根據該拓樸資訊來建立一組白名單法則,其中該拓樸資訊包括一應用程式相依圖(ADM);以及 執行該組白名單法則,藉由比較一潔淨室ADM與一實際操作ADM來執行全圖匹配,以及根據一比較結果,決定是否該潔淨室ADM匹配於該實際操作ADM。
  11. 如請求項10所述之系統,其中,該ADM產生該至少一伺服器的該些分散式應用程式之間的複數個關係;以及該ADM辨別:彼此相通訊的複數個裝置;該些裝置用於通訊所用的複數個TCP IP埠;以及該些裝置上所執行的複數個程式。
  12. 如請求項10所述之系統,其中,在建立該ADM時,該分析引擎架構成:在送出一系統呼叫的一封包處截聽一客戶端作業系統;得到一執行緒與一TCP連線資訊;以及從該執行緒間資訊記錄產生該ADM。
  13. 如請求項10所述之系統,其中,在建立該組白名單法則時,對於該ADM中之各記錄,該組白名單法則包括複數個節點,各該些節點的一屬性包括一應用程式命名資訊與一目的埠資訊。
  14. 如請求項13所述之系統,其中,該分析引擎架構成:於比較該潔淨室ADM與該實際操作ADM時,藉由比較該潔淨室ADM的複數個節點的複數個屬性與該實際操作ADM的複 數個節點的複數個屬性,以分別比較該潔淨室ADM的該些節點與該實際操作ADM的該些節點。
  15. 如請求項10所述之系統,其中,該分析引擎架構成:當該潔淨室ADM匹配於該實際操作ADM時,該潔淨室ADM等效於該實際操作ADM;以及當該潔淨室ADM不匹配於該實際操作ADM時,對該潔淨室ADM與該實際操作ADM執行子圖匹配,以找到該實際操作ADM的任一不完整邊緣。
  16. 如請求項15所述之系統,其中,該分析引擎架構成:在子圖匹配時,藉由根據連線是否執行於同一執行緒來決定該實際操作ADM的該不完整邊緣是否合法,來決定該潔淨室ADM是否等效於該實際操作ADM。
  17. 如請求項16所述之系統,其中,該分析引擎架構成:在子圖匹配時,當決定該實際操作ADM的該不完整邊緣是不合法的以決定該潔淨室ADM不等效於該實際操作ADM時,決定該實際操作ADM不合法;以及在子圖匹配時,當決定該實際操作ADM的該不完整邊緣是合法的以決定該潔淨室ADM等效於該實際操作ADM時,執行不完整邊緣處理以根據該不完整邊緣來更新該該潔淨室ADM, 並根據該潔淨室ADM來執行智能更新分散式應用程式白名單。
  18. 如請求項10所述之系統,其中,該分析引擎架構成:當根據一連線請求的一花費時間來決定有惡意攻擊時,發起一惡意活動警報;以及,一旦決定該連線請求不是惡意攻擊時,辨認該連線請求是合法的且更新該潔淨室ADM。
TW109143230A 2020-10-28 2020-12-08 建立應用程式白名單之方法與系統 TWI731821B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/082,581 US20220131864A1 (en) 2020-10-28 2020-10-28 Method and system for establishing application whitelisting
US17/082,581 2020-10-28

Publications (2)

Publication Number Publication Date
TWI731821B true TWI731821B (zh) 2021-06-21
TW202218392A TW202218392A (zh) 2022-05-01

Family

ID=77517557

Family Applications (1)

Application Number Title Priority Date Filing Date
TW109143230A TWI731821B (zh) 2020-10-28 2020-12-08 建立應用程式白名單之方法與系統

Country Status (3)

Country Link
US (1) US20220131864A1 (zh)
CN (1) CN114491522A (zh)
TW (1) TWI731821B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI802040B (zh) * 2021-10-08 2023-05-11 精品科技股份有限公司 基於檔案屬性特徵之應用程式控管方法

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI815715B (zh) * 2022-10-27 2023-09-11 英業達股份有限公司 利用伺服器日誌資料判斷伺服器狀態之判斷系統與判斷方法
CN116595509B (zh) * 2023-07-11 2023-10-03 北京珞安科技有限责任公司 一种程序白名单构建方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201102927A (en) * 2009-04-07 2011-01-16 Sony Corp Information processing device and method of execution control
US20160359915A1 (en) * 2015-06-05 2016-12-08 Cisco Technology, Inc. Policy-driven compliance
US20180121659A1 (en) * 2016-10-28 2018-05-03 Tala Security, Inc. Application security service
US20190036957A1 (en) * 2017-11-30 2019-01-31 Intel Corporation Trust topology selection for distributed transaction processing in computing environments
TW202001582A (zh) * 2018-06-08 2020-01-01 英研智能移動股份有限公司 裝置辨識方法及具有裝置辨識功能的伺服器

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10038671B2 (en) * 2016-12-31 2018-07-31 Fortinet, Inc. Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201102927A (en) * 2009-04-07 2011-01-16 Sony Corp Information processing device and method of execution control
US20160359915A1 (en) * 2015-06-05 2016-12-08 Cisco Technology, Inc. Policy-driven compliance
EP3641225A1 (en) * 2015-06-05 2020-04-22 Cisco Technology, Inc. Policy-driven compliance
US20180121659A1 (en) * 2016-10-28 2018-05-03 Tala Security, Inc. Application security service
US20190036957A1 (en) * 2017-11-30 2019-01-31 Intel Corporation Trust topology selection for distributed transaction processing in computing environments
TW202001582A (zh) * 2018-06-08 2020-01-01 英研智能移動股份有限公司 裝置辨識方法及具有裝置辨識功能的伺服器

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI802040B (zh) * 2021-10-08 2023-05-11 精品科技股份有限公司 基於檔案屬性特徵之應用程式控管方法

Also Published As

Publication number Publication date
CN114491522A (zh) 2022-05-13
TW202218392A (zh) 2022-05-01
US20220131864A1 (en) 2022-04-28

Similar Documents

Publication Publication Date Title
TWI731821B (zh) 建立應用程式白名單之方法與系統
US11818146B2 (en) Framework for investigating events
US20230388338A1 (en) Managing security actions in a computing environment based on movement of a security threat
US10929538B2 (en) Network security protection method and apparatus
US10476891B2 (en) Monitoring access of network darkspace
US10057284B2 (en) Security threat detection
EP2715975B1 (en) Network asset information management
US9609019B2 (en) System and method for directing malicous activity to a monitoring system
US8407798B1 (en) Method for simulation aided security event management
CN111193719A (zh) 一种网络入侵防护系统
US7941853B2 (en) Distributed system and method for the detection of eThreats
US20170171244A1 (en) Database deception in directory services
US20150347751A1 (en) System and method for monitoring data in a client environment
US20150326587A1 (en) Distributed system for bot detection
JP7204247B2 (ja) 脅威対応自動化方法
CN112073437B (zh) 多维度的安全威胁事件分析方法、装置、设备及存储介质
CN113382010B (zh) 基于协同入侵检测的大规模网络安全防御系统
RU2769075C1 (ru) Система и способ активного обнаружения вредоносных сетевых ресурсов
TWI526872B (zh) 用於隔離一受管理伺服器之系統及其相關方法及非暫時性電腦可讀儲存媒體
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
CN116938605B (zh) 网络攻击防护方法、装置、电子设备及可读存储介质
TOUMI et al. COOPERATIVE TRUST FRAMEWORK BASED ON HY-IDS, FIREWALLS, AND MOBILE AGENTS TO ENHANCE SECURITY IN A CLOUD ENVIRONMENT
CN115486031A (zh) 威胁传感器部署和管理
CN116566654A (zh) 一种区块链管理服务器用的防护系统
CN114079575A (zh) 一种基于随机镜像端口的分布式云防御系统及防御方法