TWI742799B - 網路攻擊分析方法 - Google Patents
網路攻擊分析方法 Download PDFInfo
- Publication number
- TWI742799B TWI742799B TW109127630A TW109127630A TWI742799B TW I742799 B TWI742799 B TW I742799B TW 109127630 A TW109127630 A TW 109127630A TW 109127630 A TW109127630 A TW 109127630A TW I742799 B TWI742799 B TW I742799B
- Authority
- TW
- Taiwan
- Prior art keywords
- attack
- database system
- network attack
- network
- analysis
- Prior art date
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本案提出一種網路攻擊分析方法。所述方法包含接收來自監控設備之一日誌資料,自日誌資料取得第一資料庫系統受一網路攻擊時儲存之一攻擊資訊,根據攻擊資訊分析網路攻擊之一攻擊手段,根據攻擊手段對未遭受網路攻擊之一第二資料庫系統進行一攻擊測試程序並產生一測試結果,根據測試結果產生相應網路攻擊之一建議防禦手段。
Description
本案是關於一種網路攻擊之分析及防禦方法。
隨著雲端技術之發展,服務提供者經常使用雲端伺服器儲存大量資料,使用者可操作遠端裝置來存取雲端伺服器,以取得服務提供者提供之服務或完成前述服務,帶來生活上之便利性。然而,雲端伺服器係連線於網際網路,雲端伺服器經常遭受網路攻擊,例如駭客常利用網路攻擊竊取或破壞儲存於雲端伺服器之資料,或是使用加密技術將儲存於雲端伺服器之資料鎖定,如此將造成服務提供者與其使用者之損失。
再者,針對網路攻擊,當前多半是以人工的方式進行檢視,再以人工的方式補強受攻擊之雲端伺服器。然而,以人工的方式檢視網路攻擊經常出現誤判或漏判的情況,如此將造成雲端伺服器之資安漏洞,且在雲端伺服器遭受網路攻擊後始對受攻擊之雲端伺服器進行補強,並無法主動地防範潛在之資安威脅。
在一實施例中,一種網路攻擊分析方法包含:接收來自監控設備之一日誌資料,自日誌資料取得第一資料庫系統受一網路攻擊時儲存之一攻擊資訊,根據攻擊資訊分析網路攻擊之一攻擊手段,根據攻擊手段對未遭受網路攻擊之一第二資料庫系統進行一攻擊測試程序並產生一測試結果,根據測試結果產生相應網路攻擊之一建議防禦手段。
綜上所述,根據本案之網路攻擊分析方法之一實施例,網路攻擊分析方法可根據已遭受網路攻擊之資料庫系統分析其網路攻擊之攻擊手段,並針對還未受具有相同攻擊手段之網路攻擊之資料庫系統產生建議防禦手段,如此可提前地對資料庫系統之弱點或漏洞進行補強,以避免受到具有相同攻擊手段之網路攻擊影響而造成資料庫系統儲存之資料遺失或損壞。
圖1為應用本案之網路攻擊分析系統13之一實施例之方塊示意圖。網路攻擊分析系統13耦接監控設備15,且監控設備15耦接複數資料庫系統11、12(為方便描述,以下稱為第一資料庫系統11及第二資料庫系統12)。監控設備15可監控第一資料庫系統11及第二資料庫系統12是否受網路攻擊。其中,圖1係以資料庫系統的數量為二為例,然本案不以此為限,資料庫系統的數量亦可為大於二。第一資料庫系統11及第二資料庫系統12係有受網路攻擊之可能。當第一資料庫系統11及第二資料庫系統12中之一者受網路攻擊時,監控設備15可將相應網路攻擊之攻擊資訊儲存於日誌(log)資料S1,網路攻擊分析系統13可自監控設備15取得日誌資料S1以分析網路攻擊,網路攻擊分析系統13並根據分析結果產生對應之建議防禦手段S4,資料庫系統之管理者可針對建議防禦手段S4對未受同一網路攻擊之資料庫系統進行預先之處置。
以下係以第一資料庫系統11已受網路攻擊且第二資料庫系統12在第一資料庫系統11受網路攻擊時並未受相同之前述網路攻擊為例。請合併參照圖1及圖2,圖2係為根據本案之網路攻擊分析系統13之網路攻擊分析方法之一實施例之流程圖。網路攻擊分析系統13包含輸入模組131、分析模組132、測試模組133及輸出模組134。分析模組132耦接測試模組133,且分析模組132與測試模組133耦接在輸入模組131與輸出模組134之間。
當第一資料庫系統11受網路攻擊時,監控設備15儲存相應網路攻擊之攻擊資訊於日誌(log)資料S1。在監控設備15將攻擊資訊寫入日誌資料S1之後,監控設備15發送包含攻擊資訊之日誌資料S1,網路攻擊分析系統13之輸入模組131自監控設備15接收日誌資料S1(步驟S01),分析模組132即自日誌資料S1取得攻擊資訊,分析模組132根據攻擊資訊分析網路攻擊之攻擊手段S2(步驟S02),測試模組133自分析模組132取得網路攻擊之攻擊手段S2,測試模組133根據攻擊手段S2對第二資料庫系統12進行攻擊測試程序並產生測試結果S3(步驟S03)。測試模組133可發送測試結果S3至輸出模組134,輸出模組134再根據測試結果S3產生相應前述網路攻擊之建議防禦手段S4(步驟S04)。
基此,第二資料庫系統12之管理者即可針對建議防禦手段S4對第二資料庫系統12進行預先之處置,例如針對第二資料庫系統12之弱點或漏洞進行補強,以避免第二資料庫系統12受相同模式之網路攻擊而造成儲存在第二資料庫系統12之資料遺失或損壞(例如受病毒感染或處於鎖定(lock)狀態)。
在一實施例中,前述之網路攻擊係藉由第一資料庫系統11之漏洞將惡意檔案或惡意程式植入於第一資料庫系統11。針對前述之網路攻擊,請合併參照圖1及圖3,分析模組132在取得日誌資料S1(步驟S01)之後更判斷第一資料庫系統11是否受網路攻擊影響(步驟S06),分析模組132在步驟S06中係判斷第一資料庫系統11中是否存在來自網路攻擊之惡意檔案或惡意程式。當第一資料庫系統11中存在惡意檔案或惡意程式時,分析模組132判定第一資料庫系統11已受網路攻擊影響(判斷結果為「是」),當第一資料庫系統11中不存在惡意檔案或惡意程式時,分析模組132判定第一資料庫系統11未受網路攻擊影響(判斷結果為「否」)。於是,在分析模組132判定第一資料庫系統11已受網路攻擊影響時(判斷結果為「是」),分析模組132始執行步驟S02以分析得攻擊手段S2為藉由資料庫系統之漏洞植入惡意檔案或惡意程式。
接著,在步驟S03中,測試模組133係嘗試以相同之攻擊手段S2將惡意檔案或惡意程式植入於第二資料庫系統12,分析模組132再接收測試模組133產生之測試結果S3,分析模組132根據測試結果S3判斷第二資料庫系統12中是否受攻擊測試程序影響而產生惡意檔案或惡意程式,也就是分析模組132係根據測試結果S3判斷第二資料庫系統12中是否存在原先不存在之惡意檔案或惡意程式。當第二資料庫系統12中不存在惡意檔案或惡意程式時,分析模組132判定第二資料庫系統12未受攻擊測試程序影響(判斷結果為「否」),當第二資料庫系統12中存在惡意檔案或惡意程式時,分析模組132判定第二資料庫系統12已受攻擊測試程序影響(判斷結果為「是」)。
基此,如圖1所示,分析模組132可耦接輸出模組134,當分析模組132判定第二資料庫系統12已受攻擊測試程序影響(判斷結果為「是」)時,分析模組132始驅使輸出模組134根據測試結果S3產生相應網路攻擊之一建議防禦手段S4(步驟S04);或者,在其他的實施例中,分析模組132亦可在判定第二資料庫系統12已受攻擊測試程序影響(判斷結果為「是」)時始驅使測試模組133發送測試結果S3至輸出模組134,使輸出模組134根據測試結果S3產生相應之建議防禦手段S4(步驟S04)。
在一實施例中,當分析模組132在步驟S07中判定第二資料庫系統12未受攻擊測試程序影響時(判斷結果為「否」),輸出模組134可不產生建議防禦手段S4(步驟S08)。
在一實施例中,前述之網路攻擊係藉由第一資料庫系統11之漏洞遠端控制具有第一資料庫系統11之電腦或伺服器。針對前述之網路攻擊,在步驟S02中,分析模組132可判斷攻擊手段S2是否為透過第一資料庫系統11之漏洞遠端控制具有第一資料庫系統11之電腦或伺服器。於是,在步驟S03中,測試模組133係判斷第二資料庫系統12是否具有相同之漏洞,當第二資料庫系統12具有相同之漏洞時,測試模組133可以相同之攻擊手段S2嘗試藉由第二資料庫系統12之漏洞遠端控制具有第二資料庫系統12之電腦或伺服器,並產生測試結果S3,分析模組132在步驟S04中再根據第二資料庫系統12之漏洞產生相應之建議防禦手段S4。
在一實施例中,第一資料庫系統11包含網際網路站台(以下稱為第一網際網路站台),第一網際網路站台可顯示第一資料庫系統11儲存之資訊,或供第一資料庫系統11之使用者藉由第一網際網路站台存取第一資料庫系統11;並且,第二資料庫系統12亦包含網際網路站台(以下稱為第二網際網路站台),第二網際網路站台可顯示第二資料庫系統12儲存之資訊,或供第二資料庫系統12之使用者藉由第二網際網路站台存取第二資料庫系統12。
基此,第一資料庫系統11在受網路攻擊時係其第一網際網路站台受網路攻擊,在步驟S02中,分析模組132於分析網路攻擊時係判斷第一網際網路站台使用之套件(kit)(以下稱為第一套件)的名稱(以下稱為第一套件名稱)及版本號碼(以下稱為第一版本號碼);並且,測試模組133在攻擊測試程序中(步驟S03)係判斷第二網際網路站台使用之套件(以下稱為第二套件)的名稱(以下稱為第二套件名稱)及版本號碼(以下稱為第二版本號碼),測試模組133產生包含第二套件名稱及第二版本號碼之測試結果S3。於是,在步驟S07中,分析模組132接收包含第二套件名稱及第二版本號碼之測試結果S3,分析模組132根據第一套件名稱、第一版本號碼、第二套件名稱及第二版本號碼判斷第二套件是否關聯於第一套件。若第二套件與第一套件相關聯,例如第一套件名稱與第二套件名稱相同且第一版本號碼與第二版本號碼相同,則分析模組132判定第二套件與第一套件相關連,第二資料庫系統12將受攻擊測試程序影響(判斷結果為「是」),分析模組132即驅使輸出模組134根據包含第二套件名稱及第二版本號碼之測試結果S3產生對應之建議防禦手段S4。舉例來說,建議防禦手段S4可包含升級第二套件、設定防火牆阻擋攻擊來源位址、更新防毒軟體之病毒碼或設定入侵防禦系統(IPS)阻擋具有攻擊手段S2之其他網路攻擊。
在一些實施例中,分析模組132在判斷第二套件是否關聯於第一套件時可根據預先儲存之相關連之套件名稱及版本號碼來判斷第一套件是否相關聯於第二套件。當第一套件名稱、第一版本號碼、第二套件名稱及第二版本號碼中之任一者不符合預先儲存之相關連之套件名稱及版本號碼時,分析模組132即判定第一套件不相關於第二套件,分析模組132即判定第二資料庫系統12並不受攻擊測試程序影響(判斷結果為「否」),輸出模組134不產生建議防禦手段S4(步驟S08)。
在一實施例中,日誌資料S1儲存之攻擊資訊可包含網路攻擊之攻擊時間、攻擊來源位址(IP)、攻擊目標位址、及/或攻擊指令(command)碼。
在一實施例中,日誌資料S1係可具有不同的資料格式,也就是監控設備15可使用不同之日誌資料產生軟體。舉例來說監控設備15可產生具有第一資料格式之日誌資料S1,或者,使用不相同之監控設備15可產生具有第二資料格式之日誌資料S1。為避免分析模組132接收不同資料格式之日誌資料S1而無法辨識出日誌資料S1包含之攻擊資訊,網路攻擊分析系統13更包含格式處理模組135,格式處理模組135耦接在輸入模組131與分析模組132之間。在輸入模組131自監控設備15接收日誌資料S1之後,輸入模組131發送日誌資料S1至格式處理模組135,格式處理模組135再根據預設資料格式轉換日誌資料S1(步驟S05),以產生具有相同資料格式之日誌資料S1,分析模組132在步驟S02中即可根據具有一致資料格式之日誌資料S1辨識出日誌資料S1包含之攻擊資訊,以分析網路攻擊之攻擊手段S2。
在一實施例中,如圖4所示,網路攻擊分析系統13更耦接第三資料庫系統14,第三資料庫系統14耦接監控設備15。監控設備15亦可判斷第三資料庫系統14是否受網路攻擊。在第一資料庫系統11受網路攻擊時,若第三資料庫系統14未遭受相同攻擊手段S2之網路攻擊,則網路攻擊分析系統13亦可在步驟S03中對第三資料庫系統14進行攻擊測試程序,並判斷第三資料庫系統14是否受攻擊測試程序影響(步驟S07),以根據測試結果S3決定是否產生對應第三資料庫系統14之建議防禦手段S4(步驟S04);基此,在前述之實施例中,分析模組132在步驟S02中分析網路攻擊時更可分別統計資料庫系統13、14之受攻擊次數(以下將第二資料庫系統12之受攻擊次數及第三資料庫系統14之受攻擊次數分別稱為第一受攻擊次數及第二受攻擊次數),也就是分析模組132根據第一受攻擊次數及第二受攻擊次數分析其攻擊手段S2係較頻繁地攻擊第二資料庫系統12或較頻繁地攻擊第三資料庫系統14。
在一實施例中,第一資料庫系統11、第二資料庫系統12、第三資料庫系統14及網路攻擊分析系統13可儲存在不同的電腦主機中,例如以四台電腦主機分別儲存第一資料庫系統11、第二資料庫系統12、第三資料庫系統14及網路攻擊分析系統13。再者,網路攻擊分析系統13可應用在金融服務之提供者,例如銀行,第一資料庫系統11、第二資料庫系統12及第三資料庫系統14可為銀行所開發之帳務資料系統、提款機(Automated Teller Machine;ATM)資料系統、網路銀行資料系統或匯利率資料系統,網路攻擊分析系統13可提升各金融資料庫系統之主動防禦能力。
綜上所述,根據本案之網路攻擊分析方法之一實施例,網路攻擊分析方法可根據已遭受網路攻擊之資料庫系統分析其網路攻擊之攻擊手段,並針對還未受具有相同攻擊手段之網路攻擊之資料庫系統產生建議防禦手段,如此可提前地對資料庫系統之弱點或漏洞進行補強,以避免受到具有相同攻擊手段之網路攻擊影響而造成資料庫系統儲存之資料遺失或損壞。
雖然本案已以實施例揭露如上然其並非用以限定本案,任何所屬技術領域中具有通常知識者,在不脫離本案之精神和範圍內,當可作些許之更動與潤飾,故本案之保護範圍當視後附之專利申請範圍所界定者為準。
11:第一資料庫系統
12:第二資料庫系統
13:網路攻擊分析系統
131:輸入模組
132:分析模組
133:測試模組
134:輸出模組
135:格式處理模組
14:第三資料庫系統
15:監控設備
S1:日誌資料
S2:攻擊手段
S3:測試結果
S4:建議防禦手段
S01~S08:步驟
[圖1] 為應用本案之網路攻擊分析系統之一實施例之方塊示意圖。
[圖2] 為根據本案之網路攻擊分析系統之網路攻擊分析方法之一實施例之流程圖。
[圖3] 為圖2之網路攻擊分析方法之一實施態樣之流程圖。
[圖4] 為圖1之網路攻擊分析系之另一實施例之方塊示意圖。
11:第一資料庫系統
12:第二資料庫系統
13:網路攻擊分析系統
131:輸入模組
132:分析模組
133:測試模組
134:輸出模組
135:格式處理模組
15:監控設備
S1:日誌資料
S2:攻擊手段
S3:測試結果
S4:建議防禦手段
Claims (3)
- 一種網路攻擊分析方法,包含:接收來自複數監控設備之複數日誌資料;根據一預設資料格式轉換該複數日誌資料;自具有該預設資料格式之該日誌資料取得一第一資料庫系統受一網路攻擊時儲存之一攻擊資訊;判斷該第一資料庫系統是否存在來自該網路攻擊之一惡意檔案或一惡意程式;當該惡意檔案或該惡意程式存在時,根據該攻擊資訊分析該網路攻擊之一攻擊手段;以分析得之該攻擊手段對未遭受該網路攻擊之一第二資料庫系統嘗試植入該惡意檔案或該惡意程式;判斷該第二資料庫系統是否存在該惡意檔案或該惡意程式,以產生一測試結果;及當該測試結果為該惡意檔案或該惡意程式存在時,產生相應該網路攻擊之一建議防禦手段。
- 如請求項1所述之網路攻擊分析方法,其中分析該攻擊手段之步驟包含:統計該第二資料庫系統之一受攻擊次數;統計一第三資料庫系統之另一受攻擊次數;及根據該受攻擊次數及該另一受攻擊次數分析該攻擊手段。
- 如請求項1所述之網路攻擊分析方法,其中該建議防禦手段包含對應具有相同該攻擊手段之另一網路攻擊之一防火牆阻擋設定、一入侵防禦系統阻擋設定或更新防毒軟體之病毒碼。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109127630A TWI742799B (zh) | 2019-10-18 | 2019-10-18 | 網路攻擊分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109127630A TWI742799B (zh) | 2019-10-18 | 2019-10-18 | 網路攻擊分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202117569A TW202117569A (zh) | 2021-05-01 |
| TWI742799B true TWI742799B (zh) | 2021-10-11 |
Family
ID=77020859
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109127630A TWI742799B (zh) | 2019-10-18 | 2019-10-18 | 網路攻擊分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI742799B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080229419A1 (en) * | 2007-03-16 | 2008-09-18 | Microsoft Corporation | Automated identification of firewall malware scanner deficiencies |
| CN102882884A (zh) * | 2012-10-13 | 2013-01-16 | 山东电力集团公司电力科学研究院 | 信息化生产环境下基于蜜网的风险预警系统及方法 |
| US20160164909A1 (en) * | 2014-12-03 | 2016-06-09 | Phantom Cyber Corporation | Learning based security threat containment |
| TWI587170B (zh) * | 2013-09-11 | 2017-06-11 | Nss實驗室股份有限公司 | 惡意軟體及攻擊程式碼活動檢測系統及方法 |
| TWI663523B (zh) * | 2018-02-06 | 2019-06-21 | 可立可資安股份有限公司 | 資安攻防規劃之管理系統 |
-
2019
- 2019-10-18 TW TW109127630A patent/TWI742799B/zh active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080229419A1 (en) * | 2007-03-16 | 2008-09-18 | Microsoft Corporation | Automated identification of firewall malware scanner deficiencies |
| CN102882884A (zh) * | 2012-10-13 | 2013-01-16 | 山东电力集团公司电力科学研究院 | 信息化生产环境下基于蜜网的风险预警系统及方法 |
| TWI587170B (zh) * | 2013-09-11 | 2017-06-11 | Nss實驗室股份有限公司 | 惡意軟體及攻擊程式碼活動檢測系統及方法 |
| US20160164909A1 (en) * | 2014-12-03 | 2016-06-09 | Phantom Cyber Corporation | Learning based security threat containment |
| TWI663523B (zh) * | 2018-02-06 | 2019-06-21 | 可立可資安股份有限公司 | 資安攻防規劃之管理系統 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202117569A (zh) | 2021-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10509906B2 (en) | Automated code lockdown to reduce attack surface for software | |
| US9832213B2 (en) | System and method for network intrusion detection of covert channels based on off-line network traffic | |
| JP2020095753A (ja) | マルウェアのランタイム中の自動検出 | |
| US8572750B2 (en) | Web application exploit mitigation in an information technology environment | |
| US9635033B2 (en) | Methods, systems and computer readable media for detecting command injection attacks | |
| US7530104B1 (en) | Threat analysis | |
| KR101607951B1 (ko) | 클라우드 기술을 사용한 멀웨어에 대한 동적 클리닝 | |
| US9210184B2 (en) | Determining the vulnerability of computer software applications to attacks | |
| JP2017228264A (ja) | 安全なオンライン認証のためのシステム及び方法 | |
| TWM592531U (zh) | 網路攻擊分析系統 | |
| Geetha Ramani et al. | Nonvolatile kernel rootkit detection using cross‐view clean boot in cloud computing | |
| JP2024023875A (ja) | インラインマルウェア検出 | |
| TWI742799B (zh) | 網路攻擊分析方法 | |
| TWI726449B (zh) | 網路攻擊分析方法 | |
| US9202065B2 (en) | Detecting sensitive data access by reporting presence of benign pseudo virus signatures | |
| Anand et al. | Comparative study of ransomwares | |
| Jayakrishnan et al. | Internet of things forensics honeynetcloud investigation model | |
| US20230319071A1 (en) | Systems and methods for automated generation of playbooks for responding to cyberattacks | |
| Araujo et al. | Embedded honeypotting | |
| US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
| Mirza et al. | Malicious Software Detection, Protection & Recovery Methods: A Survey | |
| Salemi et al. | " Automated rules generation into Web Application Firewall using Runtime Application Self-Protection | |
| Staunton | Containment through Exploitation: Utilising exploit code to achieve containment and patching of vulnerable systems | |
| Muhumuza | Developing a low interaction honeypot detection system in a networked environment using live environment and network analysis. | |
| Sridhar | Testbed Design For Evaluation Of Active Cyber Defense Systems |