TWI744545B - 分散式網路流分析惡意行為偵測系統與其方法 - Google Patents
分散式網路流分析惡意行為偵測系統與其方法 Download PDFInfo
- Publication number
- TWI744545B TWI744545B TW107126736A TW107126736A TWI744545B TW I744545 B TWI744545 B TW I744545B TW 107126736 A TW107126736 A TW 107126736A TW 107126736 A TW107126736 A TW 107126736A TW I744545 B TWI744545 B TW I744545B
- Authority
- TW
- Taiwan
- Prior art keywords
- malicious behavior
- network flow
- information
- network
- analysis
- Prior art date
Links
Images
Abstract
本發明係揭露一種分散式網路流分析惡意行為偵測系統及其方法。分散式網路流分析惡意行為偵測系統適用於即時監控物聯網網路環境,分散式網路流分析惡意行為偵測系統包含分散式網路連線數據蒐集模組、威脅良善識別模組、網路流特徵分析模組及風險評估警示模組。分散式網路連線數據蒐集模組包含網路連線數據蒐集單元且連結複數個網路交換機,網路連線數據蒐集單元蒐集複數個網路交換機之網路流資訊。威脅良善識別模組連結分散式網路連線數據蒐集模組且接收複數個網路交換機之網路流資訊,並對複數個網路流資訊進行熵值計算並據以對複數個網路流資訊分群。網路流特徵分析模組連結威脅良善識別模組,由分群後之惡意行為群的複數個網路流資訊中擷取至少一惡意行為特徵資訊,並對至少一惡意行為特徵資訊進行關聯分析而取得至少一惡意行為關聯資訊,再依據至少一惡意行為特徵資訊及至少一惡意行為關聯資訊產生至少一惡意行為偵測準則。風險評估警示模組連結網路流特徵分析模組,並對惡意行為特徵資訊及惡意行為關聯資訊進行系統弱點威脅分析、風險威脅機率計算、系統衝擊計算、損害及復原成本計算,並據以產生風險等級及其警示訊息。
Description
本發明是有關於一種偵測系統與其方法,特別是有關於一種分散式網路流分析惡意行為偵測系統與其方法。
先前網路入侵偵測技術為透過網路入口裝置(Edge Router與Proxy Server)對威脅來源執行監測封包,包括以資安政策管制進出網路連線、行為特徵比對入侵型態分析善惡與風險管制,例如運用防火牆、網路入侵偵測系統(Network Intrusion Detection System,NIDS)及入侵防護系統(Network Intrusion Prevention System,NIPS)進行網路連線行為特徵之比對(Signature-based Detection)與連線通訊協定比對的偵測等方法,並能適時提出網路異常警告。
隨著倍數成長的物聯網裝置連上網際網路,已創造出新型態的物聯網應用服務,同時亦引發物聯網安全問題。因物聯網設備產生大量資訊流,傳統網路流管理方法為透過企業網路入口單點比對,已無法支援物聯網即時資安監控的需求,現有的網路入侵偵測方法須加以調適。
是以,亟需提出可即時監控物聯網之可能威脅來源之相關系統及方法,以利在大規模攻擊前發現網路異常徵候,預先做資安防範措施。
有鑑於上述習知之問題,本發明的目的在於提供一種分散式網路流分析惡意行為偵測系統,適用於即時監控物聯網網路環境,分散式網路流分析惡意行為偵測系統包含分散式網路連線數據蒐集模組、威脅良善識別模組、網路流特徵分析模組及風險評估警示模組。分散式網路連線數據蒐集模組包含網路連線數據蒐集單元且連結複數個網路交換機,網路連線數據蒐集單元蒐集複數個網路交換機之網路流資訊。威脅良善識別模組連結分散式網路連線數據蒐集模組且接收複數個網路交換機之網路流資訊,並對複數個網路流資訊進行熵值計算並據以對複數個網路流資訊分群。網路流特徵分析模組連結威脅良善識別模組,由分群後之惡意行為群的複數個網路流資訊中擷取至少一惡意行為特徵資訊,並對至少一惡意行為特徵資訊進行關聯分析而取得至少一惡意行為關聯資訊,再依據至少一惡意行為特徵資訊及至少一惡意行為關聯資訊產生至少一惡意行為偵測準則。風險評估警示模組連結網路流特徵分析模組,並對惡意行為特徵資訊及惡意行為關聯資訊進行系統弱點威脅分析、風險威脅機率計算、系統衝擊計算、損害及復原成本計算,並據以產生風險等級及其警示訊息。
較佳地,分散式網路連線數據蒐集模組可包含記憶單元,記憶單元連結網路連線數據蒐集單元且儲存複數個網路交換機之網路流資訊。
較佳地,網路流資訊之惡意行為特徵資訊可包含封包IP位置、封包連接埠位置、封包數量、封包停留時間或其組合。
較佳地,網路流特徵分析模組可依據惡意行為偵測準則判斷另一網路流資訊對物聯網網路環境是否具有威脅。
較佳地,威脅良善識別模組可紀錄符合惡意行為偵測準則之網路流資訊之熵值計算之計算結果,並將符合計算結果之另一網路流資訊分群至惡意行為群。
基於上述目的,本發明再提供一種分散式網路流分析惡意行為偵測方法,適用於包含分散式網路連線數據蒐集模組、威脅良善識別模組、網路流特徵分析模組及風險評估警示模組之分散式網路流分析惡意行為偵測系統,分散式網路流分析惡意行為偵測方法係包含下列步驟:蒐集複數個網路交換機之網路流資訊。對複數個網路流資訊進行熵值計算並據以對複數個網路流資訊分群。由分群後之惡意行為群的複數個網路流資訊中擷取至少一惡意行為特徵資訊。對至少一惡意行為特徵資訊進行關聯分析而取得至少一惡意行為關聯資訊。依據至少一惡意行為特徵資訊及至少一惡意行為關聯資訊產生至少一惡意行為偵測準則。對惡意行為特徵資訊及惡意行為關聯資訊進行系統弱點威脅分析、風險威脅機率計算、系統衝擊計算、損害及復原成本計算,並據以產生風險等級及其警示訊息。
承上所述,本發明之分散式網路流分析惡意行為偵測系統及其方法針藉由威脅良善識別模組對各威脅來源之網路連線執行熵值計算及分群計算,以利威脅來源之良善分群分析,接下來將惡意連線的資訊進行暫存,以利後續特徵分析;網路流特徵分析模組提供惡意程式之行為與特徵,提供管理者之風險分析基礎資訊;風險評估與警示模組針對系統之弱點對應威脅機率的產生、攻擊成本及判斷風險等級,提供管理者決策判斷功能,並進行最佳修補路徑建議與防衛成本之計算,以利後續資訊安全管理作為。
100:分散式網路流分析惡意行為偵測系統
110:分散式網路連線數據蒐集模組
111:網路連線數據蒐集單元
112:記憶單元
120:威脅良善識別模組
130:網路流特徵分析模組
140:風險評估警示模組
200:網路交換機
S31至S36:步驟
第1圖係為本發明之分散式網路流分析惡意行為偵測系統之第一方塊圖。
第2圖係為本發明之分散式網路流分析惡意行為偵測系統之第二方塊圖。
第3圖係為本發明之分散式網路流分析惡意行為偵測方法之流程圖。
為利瞭解本發明之特徵、內容與優點及其所能達成之功效,茲將本發明配合圖式,並以實施例之表達形式詳細說明如下,而其中所使用之圖式,其主旨僅為示意及輔助說明書之用,未必為本發明實施後之真實比例與精準配置,故不應就所附之圖式的比例與配置關係解讀、侷限本發明於實際實施上的權利範圍。
本發明之優點、特徵以及達到之技術方法將參照例示性實施例及所附圖式進行更詳細地描述而更容易理解,且本發明或可以不同形式來實現,故不應被理解僅限於此處所陳述的實施例,相反地,對所屬技術領域具有通常知識者而言,所提供的實施例將使本揭露更加透徹與全面且完整地傳達本發明的範疇,且本發明將僅為所附加的申請專利範圍所定義。
請參閱第1及2圖;第1圖係為本發明之分散式網路流分析惡意行為偵測系統之第一方塊圖;第2圖係為本發明之分散式網路流分析惡意行為偵測系統之第二方塊圖。如圖所示,本發明之分散式網路流分析惡意行為偵測系統100適用於即時監控物聯網網路環境,且包含了分散式網路連線數據蒐集模組110、威脅良善識別模組120、網路流特徵分析模組130及風險評估警示模組140。
續言之,分散式網路連線數據蒐集模組110包含網路連線數據蒐集單元111且連結複數個網路交換機200,網路連線數據蒐集單元111蒐集複數個網路交換機200之網路流資訊。
威脅良善識別模組120連結分散式網路連線數據蒐集模組110且接收複數個網路交換機200之網路流資訊,並對複數個網路流資訊進行熵值計算並據以對複數個網路流資訊分群。
網路流特徵分析模組130連結威脅良善識別模組120,由分群後之惡意行為群的複數個網路流資訊中擷取至少一惡意行為特徵資訊,並對至少一惡意行為特徵資訊進行關聯分析而取得至少一惡意行為關聯資訊,再依據至少一惡意行為特徵資訊及至少一惡意行為關聯資訊產生至少一惡意行為偵測準則。
風險評估警示模組140連結網路流特徵分析模組130,並對惡意行為特徵資訊及惡意行為關聯資訊進行系統弱點威脅分析、風險威脅機率計算、系統衝擊計算、損害及復原成本計算,並據以產生風險等級及其警示訊息。
如第2圖所示,分散式網路連線數據蒐集模組110可包含記憶單元112,記憶單元112連結網路連線數據蒐集單元111且儲存複數個網路交換機之網路流資訊。是以,分散式網路連線數據蒐集模組110透過OpenFlow協定以蒐集企業內特定作業的網路交換機之資訊流(Information Flow),並將其打包與整理在記憶單元中112。其中,記憶單元112可為動態暫存記憶體。
補充一提,網路流資訊之惡意行為特徵資訊可包含封包IP位置、封包連接埠位置、封包數量、封包停留時間或其組合。
更詳細地說,網路流特徵分析模組130可依據惡意行為偵測準則判斷另一網路流資訊對物聯網網路環境是否具有威脅,即其可判斷該網路流資訊是否具有惡意行為特徵資訊或符合惡意行為關聯資訊,而可立即採取對應的應對措施。
進一步地,威脅良善識別模組120可紀錄符合惡意行為偵測準則之網路流資訊之熵值計算之計算結果,並將符合計算結果之另一網路流資訊分群至惡意行為群,進而達到提升分群效率及準確性的目的。
儘管前述在說明本發明之分散式網路流分析惡意行為偵測系統的過程中,亦已同時說明本發明之分散式網路流分析惡意行為偵測方法的概念,但為求清楚起見,以下另繪示流程圖詳細說明。
請參閱第3圖,其係為本發明之分散式網路流分析惡意行為偵測方法之流程圖。如圖所示,本發明之分散式網路流分析惡意行為偵測方法,適用於上述包含分散式網路連線數據蒐集模組、威脅良善識別模組、網路流特徵分析模組及風險評估警示模組之分散式網路流分析惡意行為偵測系統,分散式網路流分析惡意行為偵測方法係包含下列步驟:在步驟S31中:蒐集複數個網路交換機之網路流資訊。
在步驟S32中:對複數個網路流資訊進行熵值計算並據以對複數個網路流資訊分群。
在步驟S33中:由分群後之惡意行為群的複數個網路流資訊中擷取至少一惡意行為特徵資訊。
在步驟S34中:對至少一惡意行為特徵資訊進行關聯分析而取得至少一惡意行為關聯資訊。
在步驟S35中:依據至少一惡意行為特徵資訊及至少一惡意行為關聯資訊產生至少一惡意行為偵測準則。
在步驟S36中:對惡意行為特徵資訊及惡意行為關聯資訊進行系統弱點威脅分析、風險威脅機率計算、系統衝擊計算、損害及復原成本計算,並據以產生風險等級及其警示訊息。
本發明之分散式網路流分析惡意行為偵測方法的詳細說明以及實施方式已於前面敘述本發明之分散式網路流分析惡意行為偵測系統時描述過,在此為了簡略說明便不再贅述。
本發明之分散式網路流分析惡意行為偵測系統及其方法之主要特點為透過結合支援OpenFlow協定之網路交換機與即時監控工具,執行分散式網路流連線蒐集,以運用資訊流統計分析(Flow Statistics Analysis)與熵值法(Entropy method)執行威脅良善識別,再以啟發式分析法比對惡意行為特徵以判定威脅來源之威脅類別,最後運用失效樹分析可能的攻擊路徑之風險值與所需攻擊成本(即被攻擊後所產生之損害及復原成本),管理者可參考可能的攻擊路徑之發生機率、產生衝擊及風險值,以利管理者以量化分析來評估系統修補方案。並且,建立啟發式分析法,輸入可疑連線的封包,擷取連線的惡意行為特徵,搭配關聯分析(Association Analysis)計算分群相似度,以利產出偵測準則,管理者依據偵測準則以過濾與阻斷惡意的網路連線。行為特徵運算是由多個惡意行為項目所組成,透過支持度(Support)與信賴度(Confidence)計算作為篩選偵測準則的基準,從大量資料中萃取出惡意行為特徵項目,以產出特定威脅之偵測準則。
承上所述,本發明之分散式網路流分析惡意行為偵測系統及其方法針藉由威脅良善識別模組對各威脅來源之網路連線執行熵值計算及分群計算,以利威脅來源之良善分群分析,接下來將惡意連線的資訊進行暫存,以利後續特徵分析;網路流特徵分析模組提供惡意程式之行為與特徵,提供管理者之風險分析基礎資訊;風險評估與警示模組針對系統之弱點對應威脅機率的產生、攻擊成本及判斷風險等級,提供管理者決策判斷功能,並進行最佳修補路徑建議與防衛成本之計算,以利後續資訊安全管理作為。其更可具有下列優點:
1.降低管理者的數位資產遭受資安威脅來源攻擊之機率。
2.減少管理者遭受資安威脅來源之攻擊次數。
3.提高管理者的數位資產之可用性與完整性。
以上所述之實施例僅係為說明本發明之技術思想及特點,其目的在使熟習此項技藝之人士能夠瞭解本發明之內容並據以實施,當不能以之限定本發明之專利範圍,即大凡依本發明所揭示之精神所作之均等變化或修飾,仍應涵蓋在本發明之專利範圍內。
100:分散式網路流分析惡意行為偵測系統
110:分散式網路連線數據蒐集模組
111:網路連線數據蒐集單元
120:威脅良善識別模組
130:網路流特徵分析模組
140:風險評估警示模組
200:網路交換機
Claims (8)
- 一種分散式網路流分析惡意行為偵測系統,適用於即時監控一物聯網網路環境,該分散式網路流分析惡意行為偵測系統係包含:一分散式網路連線數據蒐集模組,係包含一網路連線數據蒐集單元且連結複數個網路交換機,該網路連線數據蒐集單元係蒐集該複數個網路交換機之一網路流資訊;一威脅良善識別模組,係連結該分散式網路連線數據蒐集模組且接收該複數個網路交換機之該網路流資訊,並對該複數個網路流資訊進行熵值計算並據以對該複數個網路流資訊分群;以及一網路流特徵分析模組,係連結該威脅良善識別模組,由分群後之一惡意行為群的該複數個網路流資訊中擷取至少一惡意行為特徵資訊,並對該至少一惡意行為特徵資訊進行關聯分析而取得至少一惡意行為關聯資訊,再依據該至少一惡意行為特徵資訊及該至少一惡意行為關聯資訊產生至少一惡意行為偵測準則;以及一風險評估警示模組,係連結該網路流特徵分析模組,並對該惡意行為特徵資訊及該惡意行為關聯資訊進行系統弱點威脅分析、風險威脅機率計算、系統衝擊計算、損害及復原成本計算,並據以產生一風險等級及其一警示訊息;其中該分散式網路連線數據蒐集模組係包含一記憶單元,該記憶單元係連結該網路連線數據蒐集單元且儲存該複數個網路交換機之該網路流資訊。
- 如申請專利範圍第1項所述之分散式網路流分析惡意行為偵測系統,其中該網路流資訊之一惡意行為特徵資訊係包含封包IP位置、封包連接埠位置、封包數量、封包停留時間或其組合。
- 如申請專利範圍第1項所述之分散式網路流分析惡意行為偵測系統,其中該網路流特徵分析模組係依據該惡意行為偵測準則判斷另一該網路流資訊對該物聯網網路環境是否具有威脅。
- 如申請專利範圍第1項所述之分散式網路流分析惡意行為偵測系統,其中該威脅良善識別模組係紀錄符合該惡意行為偵測準則之該網路流資訊之熵值計算之計算結果,並將符合該計算結果之另一該網路流資訊分群至該惡意行為群。
- 一種分散式網路流分析惡意行為偵測方法,適用於包含一分散式網路連線數據蒐集模組、一威脅良善識別模組、一網路流特徵分析模組及一風險評估警示模組之一分散式網路流分析惡意行為偵測系統,該分散式網路流分析惡意行為偵測方法係包含下列步驟:蒐集複數個網路交換機之一網路流資訊;對該複數個網路流資訊進行熵值計算並據以對該複數個網路流資訊分群;由分群後之一惡意行為群的該複數個網路流資訊中擷取至少一惡意行為特徵資訊;對該至少一惡意行為特徵資訊進行關聯分析而取得至少一惡意行為關聯資訊; 依據該至少一惡意行為特徵資訊及該至少一惡意行為關聯資訊產生至少一惡意行為偵測準則;以及對該惡意行為特徵資訊及該惡意行為關聯資訊進行系統弱點威脅分析、風險威脅機率計算、系統衝擊計算、損害及復原成本計算,並據以產生一風險等級及其一警示訊息;其中該分散式網路連線數據蒐集模組係包含一記憶單元,該記憶單元係連結該網路連線數據蒐集單元且儲存該複數個網路交換機之該網路流資訊。
- 如申請專利範圍第5項所述之分散式網路流分析惡意行為偵測方法,其中該網路流資訊之一惡意行為特徵資訊係包含封包IP位置、封包連接埠位置、封包數量、封包停留時間或其組合。
- 如申請專利範圍第5項所述之分散式網路流分析惡意行為偵測方法,其中該網路流特徵分析模組係依據該惡意行為偵測準則判斷另一該網路流資訊對該物聯網網路環境是否具有威脅。
- 如申請專利範圍第5項所述之分散式網路流分析惡意行為偵測方法,其中該威脅良善識別模組係紀錄符合該惡意行為偵測準則之該網路流資訊之熵值計算之計算結果,並將符合該計算結果之另一該網路流資訊分群至該惡意行為群
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107126736A TWI744545B (zh) | 2018-08-01 | 2018-08-01 | 分散式網路流分析惡意行為偵測系統與其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107126736A TWI744545B (zh) | 2018-08-01 | 2018-08-01 | 分散式網路流分析惡意行為偵測系統與其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202008758A TW202008758A (zh) | 2020-02-16 |
| TWI744545B true TWI744545B (zh) | 2021-11-01 |
Family
ID=70412781
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW107126736A TWI744545B (zh) | 2018-08-01 | 2018-08-01 | 分散式網路流分析惡意行為偵測系統與其方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI744545B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI736258B (zh) * | 2020-05-11 | 2021-08-11 | 臺灣銀行股份有限公司 | 設備強化順序分析方法 |
| TWI760211B (zh) * | 2021-05-05 | 2022-04-01 | 國立臺灣科技大學 | 網路入侵偵測系統 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100373865C (zh) * | 2004-11-01 | 2008-03-05 | 中兴通讯股份有限公司 | 计算机攻击的威胁评估方法 |
| CN100531219C (zh) * | 2006-12-20 | 2009-08-19 | 浙江大学 | 一种网络蠕虫检测方法及其系统 |
| CN105357063A (zh) * | 2015-12-14 | 2016-02-24 | 成都为帆斯通科技有限公司 | 一种网络空间安全态势实时检测方法 |
-
2018
- 2018-08-01 TW TW107126736A patent/TWI744545B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100373865C (zh) * | 2004-11-01 | 2008-03-05 | 中兴通讯股份有限公司 | 计算机攻击的威胁评估方法 |
| CN100531219C (zh) * | 2006-12-20 | 2009-08-19 | 浙江大学 | 一种网络蠕虫检测方法及其系统 |
| CN105357063A (zh) * | 2015-12-14 | 2016-02-24 | 成都为帆斯通科技有限公司 | 一种网络空间安全态势实时检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202008758A (zh) | 2020-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240022595A1 (en) | Method for sharing cybersecurity threat analysis and defensive measures amongst a community | |
| US9094288B1 (en) | Automated discovery, attribution, analysis, and risk assessment of security threats | |
| Lu et al. | Clustering botnet communication traffic based on n-gram feature selection | |
| US7603709B2 (en) | Method and apparatus for predicting and preventing attacks in communications networks | |
| Wan et al. | Feature-selection-based ransomware detection with machine learning of data analysis | |
| CN109302396A (zh) | 一种基于风险评估的网络安全态势感知方法 | |
| US20230012220A1 (en) | Method for determining likely malicious behavior based on abnormal behavior pattern comparison | |
| Chen et al. | Defending malicious attacks in cyber physical systems | |
| Xiao et al. | Discovery method for distributed denial-of-service attack behavior in SDNs using a feature-pattern graph model | |
| TWI744545B (zh) | 分散式網路流分析惡意行為偵測系統與其方法 | |
| Songma et al. | Classification via k-means clustering and distance-based outlier detection | |
| Shahrestani et al. | Architecture for applying data mining and visualization on network flow for botnet traffic detection | |
| Das et al. | Flood control: Tcp-syn flood detection for software-defined networks using openflow port statistics | |
| CN117040943B (zh) | 基于IPv6地址驱动的云网络内生安全防御方法和装置 | |
| Asha et al. | Analysis on botnet detection techniques | |
| Abushwereb et al. | Attack based DoS attack detection using multiple classifier | |
| CN116827690A (zh) | 基于分布式的抗DDoS攻击及云WAF防御方法 | |
| Blaise et al. | Split-and-Merge: detecting unknown botnets | |
| Khosroshahi et al. | Detection of sources being used in ddos attacks | |
| Elshoush | An innovative framework for collaborative intrusion alert correlation | |
| CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
| Puranik et al. | A Two-level DDoS attack detection using entropy and machine learning in SDN | |
| Shaheen et al. | A proactive design to detect denial of service attacks using SNMP-MIB ICMP variables | |
| Yahyazadeh et al. | BotCatch: Botnet detection based on coordinated group activities of compromised hosts | |
| Hwang et al. | Cooperative anomaly and intrusion detection for alert correlation in networked computing systems |