TWI736258B - 設備強化順序分析方法 - Google Patents
設備強化順序分析方法 Download PDFInfo
- Publication number
- TWI736258B TWI736258B TW109115649A TW109115649A TWI736258B TW I736258 B TWI736258 B TW I736258B TW 109115649 A TW109115649 A TW 109115649A TW 109115649 A TW109115649 A TW 109115649A TW I736258 B TWI736258 B TW I736258B
- Authority
- TW
- Taiwan
- Prior art keywords
- score
- equipment
- risk score
- devices
- attack
- Prior art date
Links
Images
Abstract
本案提出一種設備強化順序分析方法。所述方法包含接收日誌資料,根據預設副檔名與預設網路資訊協定過濾日誌資料以產生過濾資料,根據預設攻擊語法自過濾資料取得攻擊語法資料,根據攻擊語法資料執行演算法判斷複數設備在預設時間區間中受初始攻擊的第一設備以及設備中受最多不同攻擊來源數量的第二設備,根據第一設備及第二設備計算各設備的風險初始分數,根據風險初始分數產生設備之間之建議強化順序。
Description
本案是關於一種設備強化順序之分析方法。
物聯網、雲端服務等多種類型的數位服務隨網際網路的蓬勃發展而逐漸興起,而這些數位服務皆需要經由網路進行資料交換,故無可避免地會涉及到資安問題。然而,現今大多數的資訊安全研究者通常僅著重於系統安全研究及網路封包分析,而鮮有針對網路設備(例如,電腦、主機、伺服器、電信設備等)提出解決方案。
伴隨著網路的發展,網路往往串聯了大量的網路設備,而企業面對外部駭客攻擊日增,對於網路中龐大的設備數量,企業的設備管理者不易在眾多設備中於短時間內立刻掌握駭客入侵的路徑,企業實施系統安全措施的優先次序因此不易擬定,對於企業來說當這些網路設備被駭客攻擊或有心人士滲透,便可能造成巨大損失。如何有效率又準確地在短時間內針對資安弱點在龐大的網路設備裡找到受攻擊風險程度最高的設備以進行強化補強,或是根據受攻擊風險程度決定設備之間的強化補強順序,將是一項重要的課題。
在一實施例中,一種設備強化順序分析方法包含:接收日誌
資料,根據預設副檔名與預設網路資訊協定過濾日誌資料以產生過濾資料,根據預設攻擊語法自過濾資料取得攻擊語法資料,根據攻擊語法資料執行演算法判斷複數設備在預設時間區間中受初始攻擊的第一設備以及設備中受最多不同攻擊來源數量的第二設備,根據第一設備及第二設備計算各設備的風險初始分數,根據風險初始分數產生設備之間之建議強化順序。
綜上所述,根據本案之設備強化順序分析系統之一實施例,設備強化順序分析系統可根據過濾日誌資料取得攻擊語法資料後,分析攻擊語法資料並產生風險分數,設備強化順序分析系統再根據風險分數產生設備之間的建議強化順序,因此當面對龐大數量的設備時,設備管理者可以快速有效率地根據建議強化順序進行設備的弱點或漏洞進行補強,其中設備強化順序分析系統將日誌資料過濾兩次可使產生的攻擊資料更精確,以提升建議強化順序的可靠度。再者,設備強化順序分析系統更針對各個設備的設備軟體進行風險強弱的分析,以檢查設備之間是否存在相同軟體版本之間的資安漏洞與風險,並提供設備軟體之間的建議強化順序。基此,設備強化順序分析系統對於有效提供設備與設備軟體之間的強化順序以防範潛在之資安威脅有很大的幫助。
11:設備強化順序分析系統
21:第一設備
22:第二設備
23:第三設備
24:第四設備
25:第五設備
26:第六設備
31:網際網路
111:輸入模組
112:過濾模組
113:分析模組
114:評估模組
115:繪圖模組
116:輸出模組
117:儲存模組
S1:日誌資料
S3:攻擊語法資料
S4:建議強化順序
S5:建議修補順序
S01~S010:步驟
S051~S054:步驟
[圖1]係為根據本案之設備強化順序分析系統之一實施例之方塊示意圖。
[圖2]係為適於圖1之設備強化順序分析系統的設備強化順序分析方
法之一實施例之流程圖。
[圖3]係為圖2之設備強化順序分析方法之一實施例之流程圖。
[圖4]係為適於圖1之設備強化順序分析系統的設備強化順序分析方法之另一實施例之流程圖。
請參照圖1,圖1係為根據本案之設備強化順序分析系統11之一實施例之方塊示意圖。設備強化順序分析系統11耦接於網際網路31,且網際網路31耦接於複數設備21、22、23、24、25及26(為方便描述,以下稱為第一設備21、第二設備22、第三設備23、第四設備24、第五設備25及第六設備26)。其中,圖1係以設備強化順序分析系統11經由網際網路31耦接設備21~26為例,然本案不以此為限,設備強化順序分析系統11亦可以其他方式耦接於設備21~26,並且,圖1係以複數設備的數量為六為例,然本案不以此為限,設備之數量亦可為大於六或小於六。
設備強化順序分析系統11包含輸入模組111、過濾模組112、分析模組113及評估模組114。過濾模組112耦接於分析模組113,且過濾模組112與分析模組113耦接於輸入模組111與評估模組114之間。複數設備21~26可匯集各自設備系統的日誌資料S1,並發送至網際網路31,輸入模組111可自網際網路31接收來自各設備之日誌資料S1,過濾模組112透過過濾日誌資料S1取得攻擊語法資料S3,分析模組113再根據分析攻擊語法資料S3判斷設備21~26中受初始攻擊的設備與受最多不同攻擊來源數量的設備,評估模組114再根據分析模組113產生的判斷結果產
生設備21~26之間的建議強化順序S4。
詳細而言,請合併參照圖1及圖2,圖2係為適於圖1之設備強化順序分析系統11的設備強化順序分析方法之一實施例之流程圖。設備強化順序分析系統11的輸入模組111接收設備21~26的日誌資料S1,輸入模組111傳送日誌資料S1至過濾模組112(步驟S01),過濾模組112對日誌資料S1進行二次過濾程序。在第一過濾程序中,過濾模組112根據預設副檔名與預設網路資訊協定過濾日誌資料S1,過濾模組112可判斷日誌資料S1中是否包含預設副檔名及預設網路資訊協定,過濾模組112可將與預設副檔名及預設網路資訊協定有關的記錄除去,以將正常存取行為產生的記錄除去並產生過濾資料(步驟S02)。
在一些實施例中,預設副檔名為非人為存取操作之檔案格式資料,預設副檔名可為圖像互換格式(Graphics Interchange Format,GIF)、聯合圖像專案小組(Joint Photographic Experts Group,JPEG)或文字檔案格式(TXT);預設網路資訊協定可為正常行為存取資訊之使用者識別碼(User ID)、交談識別碼(Session ID)或交易識別碼(Transaction ID)。
過濾模組112產生過濾資料後,過濾資料係包含可能為攻擊語法的資料,過濾模組112更進一步進行第二過濾程序,過濾模組112根據已確認為攻擊語法之預設攻擊語法自過濾資料中取得攻擊語法資料S3(步驟S03)。在一些實施例中,預設攻擊語法可來自於網路攻擊特徵資訊、使用者自訂攻擊特徵資訊或來自於前述兩者。其中網路攻擊特徵資訊可利用網路爬蟲技術或應用程式介面(Application Programming
Interface,API)自動化技術等網路資訊蒐集之相關技術自複數公開網站(例如Hitcon Zeroday網站)的背景原始碼資料中蒐集取得,網路攻擊特徵資訊內容可為網路來源網址、攻擊語法、攻擊類型等資訊;而使用者自訂攻擊特徵資訊為使用者自訂格式的資料,資料內容可為日期時間、攻擊語法、攻擊類型等項目,過濾模組112可先彙整日誌資料S1,或可彙整過濾資料為與網路攻擊特徵資訊及使用者自訂攻擊特徵資訊相同項目之格式,過濾模組112在步驟S03中可比對過濾資料與網路攻擊特徵資訊及使用者自訂攻擊特徵資訊,以保留攻擊語法資料S3。
分析模組113自過濾模組112接收攻擊語法資料S3。分析模組113以攻擊語法資料S3執行演算法,分析模組113藉由演算法判斷設備21~26在預設時間區間中最先受攻擊的設備與受最多不同攻擊來源數量的設備(步驟S04),因最先受攻擊的設備與最多不同攻擊來源數量的設備在一般情況下被視為具有較高的受攻擊風險程度。其中預設時間區間的範圍為可調整的。以下以第一設備21與第二設備22分別為受初始攻擊的設備與受最多不同攻擊來源數量設備為例,第一設備21與第二設備22與其他設備23~26具有不同的風險等級,評估模組114根據第一設備21與第二設備22產生每一設備21~26的風險初始分數(步驟S05),評估模組114並根據每一設備21~26的風險初始分數產生第一設備21、第二設備22與其他設備23~26之間的建議強化順序S4(步驟S06)。
基此,在有限的時間內,設備21~26的管理者可根據建議強化順序S4針對順序較為優先的設備預先進行資安漏洞的補強作業而有效率地提升資訊安全。其中,過濾模組112進行二次過濾可使後續分析模組
113在根據攻擊語法資料S3執行演算法時正確地判斷出最先受攻擊的設備與受最多不同攻擊來源數量的設備,進而提升建議強化順序S4的可信度,設備21~26的管理者可更有效率的針對設備21~26進行補強作業。
在一些實施例中,在步驟S05中,由於最先受攻擊的設備與最多不同攻擊來源數量的設備在一般情況下所具有的較高的受攻擊風險程度,最先受攻擊的設備更容易成為欲攻擊其他設備時的攻擊入口,代表第一設備21受攻擊的風險程度大於第二設備22受攻擊的風險程度,且第一設備21與第二設備22受攻擊的風險程度大於複數設備22~26受攻擊的風險程度。請參照圖1及圖3,圖3係為圖2之設備強化順序分析方法之一實施例之流程圖,評估模組114分別產生第一設備21與第二設備22之風險初始分數(步驟S051),並產生其他設備之風險初始分數(步驟S052),其中第一設備21之風險初始分數高於第二設備22之風險初始分數,而評估模組114產生的第二設備22之風險初始分數高於複數設備22~26之風險初始分數,基於風險程度較大的設備應優先處理的原則,建議強化順序S4為第一設備21的強化順序優先於第二設備22的強化順序,第二設備22的強化順序優先於設備23~26的強化順序。
舉例來說,以設備21~16的風險初始分數可為1分至6分範圍內之數值為例,受初始攻擊的第一設備21視為攻擊發生的疑似進入點,因此,在步驟S051中,評估模組114給予第一設備21的風險初始分數為最高分6分;受最多不同攻擊來源數量的第二設備22視為攻擊熱點,評估模組114給予第二設備22的風險初始分數為次高分5分;評估模組114在步驟S052中再給予設備23~26的風險初始分數為小於5分。基此,在步驟S06
中,評估模組114可根據前述之6分、5分及小於5分風險初始分數產生建議強化順序S4,設備21~26的管理者可在有限的時間內優先地對設備21、22進行補強作業。
在一些實施例中,其中如圖3所示,分析模組113在判斷出第一設備21及第二設備22分別為受初始攻擊的設備與受最多不同攻擊來源數量的設備(步驟S04)之後,分析模組113更藉由演算法統計第一設備21與第二設備22以外之其他各設備23~26的受攻擊次數(步驟S07),在於一般情況下設備受攻擊次數的多寡與設備具有較高的受攻擊風險程度互相關聯。
在步驟S05中,評估模組114在計算各設備21~26的風險初始分數時,評估模組114係根據分析模組113在步驟S04中判斷所得的第一設備21與第二設備22產生第一設備21的風險初始分數與第二設備22的風險初始分數(步驟S051),評估模組114並根據分析模組113在步驟S07中所統計之其他設備23~26的受攻擊次數分別產生各設備23~26的風險初始分數(步驟S052),評估模組114再根據步驟S051與步驟S052中所產生之風險初始分數進行排序而產生設備21~26之間的建議強化順序S4(步驟S06)。
在步驟S052中,評估模組114根據複數設備23~26的受攻擊次數分別產生設備23~26的風險初始分數,一般情況下,受攻擊次數越多的設備代表設備具有的較高的受攻擊風險程度,因此,相較於受攻擊次數較少的設備,受攻擊次數越多的設備對應評估模組114產生的風險初始分數也就越高,而建議強化順序S4也就越優先。舉例在設備23~26中,當第
三設備23的受攻擊次數多於設備24~26的受攻擊次數時,代表第三設備23具有的較高的受攻擊風險程度大於設備24~26,第三設備23的風險初始分數大於設備24~26的風險初始分數,則建議強化順序S4為第三設備23優先於設備24~26。
舉例來說,以前述第一設備21及第二設備22分別為6分及5分為例,在步驟S052中,評估模組114再根據設備23~26之被攻擊次數的多寡給予風險初始分數依序遞減從4分至1分,例如前述之第三設備23的受攻擊次數多於設備24~26的受攻擊次數時,評估模組114在步驟S052中給予第三設備23的風險初始分數為4分,依此類推,評估模組114最後完成設備21~26之風險初始分數1分至6分的排序,評估模組114可在一數值範圍中的最大值與最小值之間根據受攻擊次數的多寡決定設備23~26的風險初始分數的高低。
在一些實施例中,設備21~26可分別安裝設備軟體,設備軟體可為中介軟體、Java軟體或是作業系統(Operating System,OS)軟體,而各設備21~26可包含相同或不相同的設備軟體版本。基此,評估模組114除了產生各設備21~26的風險初始分數之外,評估模組114更可根據設備23~26的設備軟體與設備21~22的設備軟體之間的相關連程度產生各設備23~26的風險加權分數,評估模組114並進一步根據設備23~26的風險初始分數及風險加權分數產生建議強化順序S4,也就是評估模組114可進一步藉由風險加權分數調整設備23~26於建議強化順序S4中的建議順序。
如圖3所示,在步驟S05中,評估模組114分別比對設備23~26的設備軟體版本與第一設備21的設備軟體版本,並比對設備23~26的設備
軟體版本與第二設備22的設備軟體版本,評估模組114再判斷設備23~26的設備軟體版本與第一設備21的設備軟體版本之間的相關聯程度(以下稱為第一相關聯程度),並判斷設備23~26的設備軟體版本與第二設備22的設備軟體版本之間的相關聯程度(以下稱為第二相關聯程度)(步驟S053)。由於第一設備21與第二設備22受攻擊的風險程度大於複數設備23~26受攻擊的風險程度,因此第一設備21與第二設備22可作為比對設備23~26的設備軟體版本的基準。
其中,當前述之相關聯程度越高時,表示複數設備23~26與第一設備21及第二設備22之間具有相同設備軟體版本的數量越多,代表設備23~26具有的資安漏洞與第一設備21及第二設備22的資安漏洞相似程度為高,設備軟體版本相關聯程度高的設備受到與第一設備21及第二設備22相同攻擊的機率高於相關聯程度低的設備。舉例在設備23~26中,當第三設備23之設備軟體版本與第一設備21及第二設備22之設備軟體版本的相關聯程度高於第五設備25之設備軟體版本與第一設備21及第二設備22之設備軟體版本之間的相關聯程度時,代表第三設備23的資安漏洞之嚴重程度高於第五設備25,評估模組114產生第三設備23之風險加權分數高於第五設備25之風險加權分數,因此,評估模組114在產生建議強化順序S4時,評估模組114係綜合考量第三設備23的風險初始分數及風險加權分數以及第五設備25的風險初始分數及風險加權分數,以產生建議強化順序S4。
舉例來說,在步驟S053中,評估模組114可根據前述之第一相關聯程度及第二相關聯程度給予各個複數設備23~16的風險加權分
數。詳細而言,當設備軟體版本之間的關聯程度為高時,表示各設備23~26與第一設備21及第二設備22之間具有相同設備軟體版本的數量多,則評估模組114給予較高的風險加權分數,風險加權分數可為整數、小數或分數,反之,當設備軟體版本之間的關聯程度為低時,表示各設備23~26與第一設備21及第二設備22之間具有相同設備軟體版本的數量少,則評估模組114給予較低的風險加權分數,也就是評估模組114根據比對設備軟體版本相關連程度的高低分別給予各設備23~26風險加權分數。基此,評估模組114可依據前述之6分至1分之間的風險初始分數及風險加權分數產生建議強化順序S4。
在一些實施例中,評估模組114在步驟S053中亦可比對設備23~26之設備軟體版本分別與第一設備21之設備軟體版本以及第二設備22之設備軟體版本之間是否為相同來產生設備23~26的風險加權分數。
在一些實施例中,在步驟S05中,評估模組114相加設備23~26的風險初始分數與風險加權分數以產生加法運算結果(步驟S054),此運算結果為設備23~26最終的風險分數,評估模組114根據第一設備21的風險初始分數、第二設備22的風險初始分數以及透過加法運算取得之設備23~26的風險分數以產生設備21~26的建議強化順序S4(步驟S06)。其中在步驟S054中,加法運算也可為加法平均值運算。以下為根據加法運算產生設備21~26的建議強化順序S4為例,以前述之設備21、22、23分別為6分、5分、4分且以風險加權分數為整數為例,當第三設備23的風險加權分數為1分,以及當第四設備24的風險初始分數為3分且風險加權分數為0分時,此時第三設備23加總後的分數為5分,且第四設備24
加總後的分數為3分,則設備21~26的建議強化順序S4為第一設備21優先於第二設備22(不論其他設備23~26加總後的風險總分數是否大於第一設備21與第二設備22的風險初始分數,第一設備21及第二設備22總是優先於其他設備23~26),再來是第三設備23,再來才是第四設備24,而第五設備25與第六設備26的順序也依照前述類推完成。
在一些實施例中,評估模組114可耦接弱點資料庫,弱點資料庫儲存設備軟體版本以及設備軟體版本的資安漏洞資料,評估模組114可根據弱點資料庫儲存的資料產生設備軟體版本的建議修補順序S5。其中請參照圖1及圖4,圖4係為適於圖1之設備強化順序分析系統11的設備強化順序分析方法之另一實施例之流程圖。評估模組114可根據弱點資料庫中收錄的設備軟體版本以及設備軟體版本的資安漏洞資料比對在設備21~26中之設備軟體版本所存在的風險危害程度(步驟S08),其中弱點資料庫可為通用漏洞揭露資料庫(Common Vulnerabilities and Exposures,CVE)或是美國國家弱點資料庫(National Vulnerability Database,NVD)。評估模組114根據比對結果產生漏洞評鑑分數作為設備21~26中的各個設備軟體之風險危害程度的指標(步驟S09),其中漏洞評鑑分數越高代表設備21~26的設備軟體受攻擊之風險危害程度越高。評估模組114可根據漏洞評鑑分數的高低順序產生設備21~26中各個設備軟體之間的建議修補的先後順序(步驟S010),其中漏洞評鑑分數可為弱點評價系統(Common Vulnerability Scoring System,CVSS)分數。
在一些實施例中,在步驟S04與步驟S07中,分析模組113
可藉由循序樣式探勘演算法判斷在預設時間區間內從複數設備21~26中最先受攻擊的第一設備21與受最多不同攻擊來源數量的第二設備22,分析模組113更可藉由循序樣式探勘演算法統計第一設備21與第二設備22以外之設備23~26的分別受攻擊次數,其中透過執行循序樣式探勘演算法可產生常見攻擊路徑圖以呈現設備21~26受攻擊的狀態過程。在資料探勘的領域中,在龐大複雜的資料庫中找尋資料之間的相關聯性或關鍵資訊不是一件容易的事情。循序樣式探勘演算法能夠從龐大的資料中迅速找出相關聯性或關鍵資訊,相較於習知藉由數量分析相關聯性或關鍵資訊,循序樣式探勘演算法依據各設備的受攻擊時間分析攻擊路徑,並根據預設次數進行過濾,以找出肉眼無法察得的設備間的相關聯性,因此分析模組113可透過執行循序樣式探勘演算法輕易地在複數設備21~26中尋到最先受攻擊的設備、受最多不同攻擊來源數量的設備以及受不同攻擊次數的設備以利評估模組114產生建議強化順序S4。
在一些實施例中,參照圖1,設備強化順序分析系統11更包含繪圖模組115及輸出模組116。繪圖模組115耦接於評估模組114,且輸出模組116耦接於繪圖模組115。繪圖模組115可根據在步驟S04及步驟S07中執行的循序樣式探勘演算法描繪出預設時間區間內的常見攻擊路徑圖並傳送至輸出模組116以輸出給設備21~26的管理者參考使用,其中預設時間區間為可設定調整。輸出模組116更可輸出弱點資料庫與設備21~26之設備軟體版本之間的比對對照表,並根據比對對照表、常見攻擊路徑圖與建議強化順序S4產生統整報表,以作為設備21~26的管理者執行設備安全強化時之參考。
在一些實施例中,設備強化順序分析系統11更可包含儲存模組117,儲存模組117耦接於過濾模組112、評估模組114、繪圖模組115以及輸出模組116,用以儲存來自弱點資料庫的資料、設備軟體版本、預設攻擊語法、常見攻擊路徑圖、風險分數、建議強化順序S4以及建議修補順序S5。
在一些實施例中,在步驟S03中,過濾模組112自過濾資料取得攻擊語法資料S3,將攻擊語法資料S3中屬於URL編碼中的百分比表示轉換為ASCII編碼後存入儲存模組117。
在一些實施例中,過濾模組112、分析模組113、評估模組114及繪圖模組115可以CPU或MCU執行軟體或韌體來實現;儲存模組117可為隨機存取記憶體(Random Access Memory;RAM)、靜態隨機存取記憶體(Static Random Access Memory;SRAM)或硬碟(Hard Disk Drive;HDD)等。
綜上所述,根據本案之設備強化順序分析系統之一實施例,設備強化順序分析系統可根據過濾日誌資料取得攻擊語法資料後,分析攻擊語法資料並產生風險分數,設備強化順序分析系統再根據風險分數產生設備之間的建議強化順序,因此當面對龐大數量的設備時,設備管理者可以快速有效率地根據建議強化順序進行設備的弱點或漏洞進行補強,其中設備強化順序分析系統將日誌資料過濾兩次可使產生的攻擊資料更精確,以提升建議強化順序的可靠度。再者,設備強化順序分析系統更針對各個設備的設備軟體進行風險強弱的分析,以檢查設備之間是否存在相同軟體版本之間的資安漏洞與風險,並提供設備軟體之間的建議強化順序。
基此,設備強化順序分析系統對於有效提供設備與設備軟體之間的強化順序以防範潛在之資安威脅有很大的幫助。
雖然本案已以實施例揭露如上然其並非用以限定本案,任何所屬技術領域中具有通常知識者,在不脫離本案之精神和範圍內,當可作些許之更動與潤飾,故本案之保護範圍當視後附之專利申請範圍所界定者為準。
11:設備強化順序分析系統
21:第一設備
22:第二設備
23:第三設備
24:第四設備
25:第五設備
26:第六設備
31:網際網路
111:輸入模組
112:過濾模組
113:分析模組
114:評估模組
115:繪圖模組
116:輸出模組
117:儲存模組
S1:日誌資料
S3:攻擊語法資料
S4:建議強化順序
S5:建議修補順序
Claims (9)
- 一種設備強化順序分析方法,包含:一輸入模組接收一日誌資料;一過濾模組根據一預設副檔名與一預設網路資訊協定過濾該日誌資料以產生一過濾資料並根據一預設攻擊語法自該過濾資料取得一攻擊語法資料;一分析模組根據該攻擊語法資料執行一循序樣式探勘演算法判斷複數設備在一預設時間區間中受初始攻擊的一第一設備以及該複數設備中受最多不同攻擊來源數量的一第二設備;及一評估模組根據該第一設備及該第二設備計算各該設備的一風險初始分數,並根據該風險初始分數產生該複數設備之間之一建議強化順序。
- 如請求項1所述之設備強化順序分析方法,其中該預設攻擊語法係來自於一網路攻擊特徵資訊、一使用者自訂攻擊特徵資訊或選自前述任一來源所形成之組合。
- 如請求項1所述之設備強化順序分析方法,其中該評估模組根據該風險初始分數產生該建議強化順序之步驟中,該第一設備之該風險初始分數係高於該第二設備之該風險初始分數,該建議強化順序為該第一設備優先於該第二設備。
- 如請求項1所述之設備強化順序分析方法,更包含:該分析模組根據該攻擊語法資料以該循序樣式探勘演算法統計該複數設備中該第一設備與該第二設備以外之每一其他設備的受攻擊次數;其中,計算各該設備的該風險初始分數之步驟包含: 根據每一該其他設備的受攻擊次數分別產生每一該其他設備之該風險初始分數,且每一該其他設備之該風險初始分數小於該第一設備之該風險初始分數與該第二設備之該風險初始分數,以產生該建議強化順序。
- 如請求項4所述之設備強化順序分析方法,其中該評估模組計算各該設備的該風險初始分數之步驟更包含:比對每一該其他設備之設備軟體版本與該第一設備之設備軟體版本之間的相關聯程度並比對每一該其他設備之設備軟體版本與該第二設備之設備軟體版本之間的相關聯程度;根據每一該其他設備之設備軟體版本與該第一設備及該第二設備之設備軟體版本之間的相關聯程度產生每一該其他設備的一風險加權分數;及根據該第一設備之該風險初始分數、該第二設備之該風險初始分數、每一該其他設備之該風險初始分數及該風險加權分數產生該建議強化順序。
- 如請求項5所述之設備強化順序分析方法,其中該評估模組產生該建議強化順序之步驟包含:當該其他設備中之一第三設備的受攻擊次數大於該其他設備中之一第四設備的受攻擊次數時,該建議強化順序為該第三設備優先於該第四設備;及當該其他設備中之該第三設備之設備軟體版本與該第一設備之設備軟體版本及該第二設備之設備軟體版本之間的相關聯程度高於該其他設備中之一第五設備之設備軟體版本與該第一設備之設備軟體版本及該第 二設備之設備軟體版本之間的相關聯程度時,該第三設備的該風險加權分數大於該第五設備的該風險加權分數。
- 如請求項6所述之設備強化順序分析方法,其中該評估模組計算各該設備的該風險初始分數之步驟更包含:根據該第一設備之該風險初始分數、該第二設備之該風險初始分數及每一該其他設備之該風險加權分數執行一加法運算產生一運算結果;及根據該運算結果產生該建議強化順序。
- 如請求項1所述之設備強化順序分析方法,更包含:該評估模組比對一弱點資料庫與該複數設備之設備軟體版本產生一漏洞評鑑分數;及根據該漏洞評鑑分數產生該複數設備之設備軟體版本的一建議修補順序。
- 如請求項1所述之設備強化順序分析方法,其中該評估模組根據該風險初始分數產生該建議強化順序之步驟包含:該第一設備之該風險初始分數大於該第二設備之該風險初始分數,該建議強化順序為該第一設備優先於該第二設備;及該第二設備之該風險初始分數大於該第一設備與該第二設備以外之每一其他設備之該風險初始分數,該建議強化順序為該第二設備優先於每一該其他設備。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109115649A TWI736258B (zh) | 2020-05-11 | 2020-05-11 | 設備強化順序分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109115649A TWI736258B (zh) | 2020-05-11 | 2020-05-11 | 設備強化順序分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI736258B true TWI736258B (zh) | 2021-08-11 |
| TW202143073A TW202143073A (zh) | 2021-11-16 |
Family
ID=78283100
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109115649A TWI736258B (zh) | 2020-05-11 | 2020-05-11 | 設備強化順序分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI736258B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200924428A (en) * | 2007-11-30 | 2009-06-01 | Inventec Corp | An inside tracing method of the network attacking detection |
| CN100518089C (zh) * | 2006-07-19 | 2009-07-22 | 华为技术有限公司 | 安全事件关联分析方法和系统 |
| CN104283889A (zh) * | 2014-10-20 | 2015-01-14 | 国网重庆市电力公司电力科学研究院 | 基于网络架构的电力系统内部apt攻击检测及预警系统 |
| TW201705035A (zh) * | 2015-07-23 | 2017-02-01 | Chunghwa Telecom Co Ltd | 快速篩檢資安風險主機方法與系統 |
| TWM555500U (zh) * | 2017-09-05 | 2018-02-11 | Trade Van Information Services Co | 資安聯防系統 |
| TWM564752U (zh) * | 2018-03-05 | 2018-08-01 | 劉國良 | Information security management system based on check database log file |
| CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
| TWI667589B (zh) * | 2017-09-05 | 2019-08-01 | 關貿網路股份有限公司 | 資安聯防方法、系統、電腦程式產品及電腦可讀取紀錄媒體 |
| TWM590720U (zh) * | 2019-10-25 | 2020-02-11 | 彰化商業銀行股份有限公司 | 弱點管理系統 |
| TWM590729U (zh) * | 2019-09-27 | 2020-02-11 | 彰化商業銀行股份有限公司 | 資訊安全控管系統 |
| TW202008758A (zh) * | 2018-08-01 | 2020-02-16 | 崑山科技大學 | 分散式網路流分析惡意行為偵測系統與其方法 |
| CN110830500A (zh) * | 2019-11-20 | 2020-02-21 | 北京天融信网络安全技术有限公司 | 网络攻击追踪方法、装置、电子设备及可读存储介质 |
| TWM592531U (zh) * | 2019-10-18 | 2020-03-21 | 臺灣銀行股份有限公司 | 網路攻擊分析系統 |
-
2020
- 2020-05-11 TW TW109115649A patent/TWI736258B/zh active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100518089C (zh) * | 2006-07-19 | 2009-07-22 | 华为技术有限公司 | 安全事件关联分析方法和系统 |
| TW200924428A (en) * | 2007-11-30 | 2009-06-01 | Inventec Corp | An inside tracing method of the network attacking detection |
| CN104283889A (zh) * | 2014-10-20 | 2015-01-14 | 国网重庆市电力公司电力科学研究院 | 基于网络架构的电力系统内部apt攻击检测及预警系统 |
| TW201705035A (zh) * | 2015-07-23 | 2017-02-01 | Chunghwa Telecom Co Ltd | 快速篩檢資安風險主機方法與系統 |
| CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
| TWM555500U (zh) * | 2017-09-05 | 2018-02-11 | Trade Van Information Services Co | 資安聯防系統 |
| TWI667589B (zh) * | 2017-09-05 | 2019-08-01 | 關貿網路股份有限公司 | 資安聯防方法、系統、電腦程式產品及電腦可讀取紀錄媒體 |
| TWM564752U (zh) * | 2018-03-05 | 2018-08-01 | 劉國良 | Information security management system based on check database log file |
| TW202008758A (zh) * | 2018-08-01 | 2020-02-16 | 崑山科技大學 | 分散式網路流分析惡意行為偵測系統與其方法 |
| TWM590729U (zh) * | 2019-09-27 | 2020-02-11 | 彰化商業銀行股份有限公司 | 資訊安全控管系統 |
| TWM592531U (zh) * | 2019-10-18 | 2020-03-21 | 臺灣銀行股份有限公司 | 網路攻擊分析系統 |
| TWM590720U (zh) * | 2019-10-25 | 2020-02-11 | 彰化商業銀行股份有限公司 | 弱點管理系統 |
| CN110830500A (zh) * | 2019-11-20 | 2020-02-21 | 北京天融信网络安全技术有限公司 | 网络攻击追踪方法、装置、电子设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202143073A (zh) | 2021-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11025674B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| US11212299B2 (en) | System and method for monitoring security attack chains | |
| US11012472B2 (en) | Security rule generation based on cognitive and industry analysis | |
| JP6863969B2 (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
| US11601475B2 (en) | Rating organization cybersecurity using active and passive external reconnaissance | |
| US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
| US10686829B2 (en) | Identifying changes in use of user credentials | |
| US10574681B2 (en) | Detection of known and unknown malicious domains | |
| US9432387B2 (en) | Detecting network attacks | |
| US7278156B2 (en) | System and method for enforcing security service level agreements | |
| Tripathy et al. | Detecting SQL injection attacks in cloud SaaS using machine learning | |
| WO2016044359A1 (en) | Lateral movement detection | |
| US20210021637A1 (en) | Method and system for detecting and mitigating network breaches | |
| WO2011153227A2 (en) | Dynamic multidimensional schemas for event monitoring priority | |
| WO2010126733A1 (en) | Systems and methods for sensitive data remediation | |
| US20220014561A1 (en) | System and methods for automated internet-scale web application vulnerability scanning and enhanced security profiling | |
| WO2019134224A1 (zh) | 一种网络威胁管理方法、装置、计算机设备及存储介质 | |
| Zhang et al. | User intention-based traffic dependence analysis for anomaly detection | |
| CN114915479B (zh) | 一种基于Web日志的Web攻击阶段分析方法及系统 | |
| EP3531324B1 (en) | Identification process for suspicious activity patterns based on ancestry relationship | |
| Lazarine et al. | Identifying vulnerable GitHub repositories and users in scientific cyberinfrastructure: An unsupervised graph embedding approach | |
| Nkosi et al. | Insider threat detection model for the cloud | |
| Li et al. | A stochastic model for quantitative security analyses of networked systems | |
| RU2610395C1 (ru) | Способ расследования распределенных событий компьютерной безопасности | |
| Doynikova et al. | Analytical attack modeling and security assessment based on the common vulnerability scoring system |