TWI764618B - Cyber security protection system and related proactive suspicious domain alert system - Google Patents
Cyber security protection system and related proactive suspicious domain alert systemInfo
- Publication number
- TWI764618B TWI764618B TW110108787A TW110108787A TWI764618B TW I764618 B TWI764618 B TW I764618B TW 110108787 A TW110108787 A TW 110108787A TW 110108787 A TW110108787 A TW 110108787A TW I764618 B TWI764618 B TW I764618B
- Authority
- TW
- Taiwan
- Prior art keywords
- domain
- network
- network domain
- information
- suspect
- Prior art date
Links
Images
Abstract
Description
本發明涉及網路資安防護技術,尤指一種網路資安威脅防護系統及相關的前攝性可疑網域示警系統。 The invention relates to a network information security protection technology, in particular to a network information security threat protection system and a related proactive suspicious network domain warning system.
隨著各種網路應用越來越普及,網路攻擊事件在各地層出不窮。網路攻擊的手法非常多樣,典型的網路攻擊方式之一是駭客利用釣魚郵件、釣魚網站、或釣魚簡訊,誘騙使用者將用戶端裝置(例如,各種電腦或手機等等)透過網路連線到惡意網域(malicious domain)。另一種典型的網路攻擊方式,則是駭客利用已植入用戶端裝置的木馬程式,在使用者不知情的情況下偷偷將用戶端裝置透過網路連線到惡意網域,以下載惡意程式碼做進一步攻擊、或是竊取用戶端裝置中的各種資料。 As various network applications become more and more popular, network attacks emerge in an endless stream everywhere. The methods of network attacks are very diverse. One of the typical methods of network attacks is that hackers use phishing emails, phishing websites, or phishing text messages to trick users into connecting client devices (such as various computers or mobile phones, etc.) through the Internet. Connect to a malicious domain. Another typical network attack method is that hackers use the Trojan horse program that has been implanted in the client device to secretly connect the client device to a malicious domain through the network without the user's knowledge, in order to download malicious software. The code performs further attacks or steals various data from the client device.
要進行前述的網路攻擊,駭客需要註冊新的網域或竊取已註冊網域的存取權限。業界已開發出許多偵測惡意網域的技術或資訊分享機制,能夠偵測出被駭客多次用來進行網路攻擊的惡意網域,並將這些惡意網域的資訊提供給相關的網路資安防護工具,致使這些網路資安防護工具能夠阻擋用戶端裝置存取這些已知的惡意網域。 To carry out the aforementioned cyberattacks, hackers need to register new domains or steal access to already registered domains. The industry has developed a number of malicious domain detection technologies or information sharing mechanisms, which can detect malicious domains that have been repeatedly used by hackers to conduct network attacks, and provide information on these malicious domains to relevant websites. Road information security protection tools, so that these network information security protection tools can block client devices from accessing these known malicious domains.
然而,既有的惡意網域偵測機制往往需要等到某個網域已涉入多次網路攻擊行動之後,才有辦法將該網域判定為惡意網域。這樣的判斷機制存在明顯的盲點且需要等待許多時間,所以難以有效抑制駭客的網路攻擊行為,也難以對網路應用環境提供更有效的前攝性資 安防護。 However, the existing malicious domain detection mechanisms often need to wait until a certain domain has been involved in multiple network attacks before there is a way to determine the domain as a malicious domain. Such a judgment mechanism has obvious blind spots and needs to wait for a long time, so it is difficult to effectively suppress the cyber attack behavior of hackers, and it is also difficult to provide more effective proactive information for the network application environment. Security protection.
有鑑於此,如何對駭客使用惡意網域進行網路攻擊的行動造成阻礙,以增加駭客實施網路攻擊的困難度及成本,實為有待解決的問題。 In view of this, how to prevent hackers from using malicious domains to conduct network attacks, so as to increase the difficulty and cost of hackers to carry out network attacks, is a problem to be solved.
本說明書提供一種網路資安威脅防護系統的實施例,其包含:複數個威脅資訊更新裝置,設置成分別監測複數個客戶端網路系統的連網行為;以及一前攝性可疑網域示警系統,其包含有:一網域資訊監測裝置,設置成監測一嫌疑網域的網域對應的變動情況;一網域資訊儲存裝置,耦接於該網域資訊監測裝置,設置成儲存該網域資訊監測裝置所產生的監測紀錄;以及一資安威脅分析裝置,耦接於該網域資訊監測裝置及該網域資訊儲存裝置,並設置成可透過網路與該複數個威脅資訊更新裝置進行資料通信;其中,倘若該網域資訊監測裝置發現該嫌疑網域的網域對應發生變動,且該嫌疑網域的一新網域對應指向一預定的本機地址或複數個預定的本機地址的其中之一,則該網域資訊監測裝置還會監測該嫌疑網域的一網域對應變動頻率;其中,倘若該網域資訊監測裝置判定該嫌疑網域的網域對應變動頻率超過一預定值,則該資安威脅分析裝置會將該嫌疑網域列入一阻擋名單中,以致使該複數個威脅資訊更新裝置阻擋該複數個客戶端網路系統中的成員裝置存取該阻擋名單中的網域。 This specification provides an embodiment of a network information security threat protection system, which includes: a plurality of threat information update devices, configured to respectively monitor the network connection behavior of a plurality of client network systems; and a proactive suspicious network domain warning The system includes: a network domain information monitoring device configured to monitor changes corresponding to the network domain of a suspected network domain; a network domain information storage device, coupled to the network domain information monitoring device, configured to store the network domain information monitoring records generated by a domain information monitoring device; and an information security threat analysis device, coupled to the domain information monitoring device and the domain information storage device, and configured to update the devices with the plurality of threat information through a network Carry out data communication; wherein, if the network domain information monitoring device finds that the domain correspondence of the suspected network domain has changed, and a new network domain of the suspected network domain corresponds to a predetermined local address or a plurality of predetermined local computers one of the addresses, the domain information monitoring device will also monitor the frequency of changes corresponding to a domain of the suspect domain; wherein, if the domain information monitoring device determines that the frequency of changes corresponding to the suspect domain exceeds one a predetermined value, the information security threat analysis device will add the suspected network domain to a blocking list, so that the plurality of threat information updating devices block the member devices in the plurality of client network systems from accessing the blocking list domain in .
本說明書另提供一種前攝性可疑網域示警系統的實施例。該前攝性可疑網域示警系統用於提供一警示名單給複數個威脅資訊更新裝置,該複數個威脅資訊更新裝置分別用於監測複數個客戶端網路系統的連網行為。該前攝性可疑網域示警系統包含有:一前攝性可疑網域示警系統,其包含有:一網域資訊監測裝置,設置成監測一嫌疑網域的網域對應的變動情況;一網域資訊儲存裝置,耦接於該網域資訊監測裝置,設置成儲存該網域資訊監測裝置所產生的監測紀錄;以及一資安威脅分析裝置,耦接於該網域資訊監測裝置及該網域資 訊儲存裝置,並設置成可透過網路與該複數個威脅資訊更新裝置進行資料通信;其中,倘若該網域資訊監測裝置發現該嫌疑網域的網域對應發生變動,且該嫌疑網域的一新網域對應指向一預定的本機地址或複數個預定的本機地址的其中之一,則該網域資訊監測裝置還會監測該嫌疑網域的一網域對應變動頻率;其中,倘若該網域資訊監測裝置判定該嫌疑網域的網域對應變動頻率超過一預定值,則該資安威脅分析裝置會將該嫌疑網域列入該阻擋名單中,以致使該複數個威脅資訊更新裝置阻擋該複數個客戶端網路系統中的成員裝置存取該阻擋名單中的網域。 The present specification further provides an embodiment of a proactive suspicious network domain warning system. The proactive suspicious network domain warning system is used for providing a warning list to a plurality of threat information update devices, and the plurality of threat information update devices are respectively used for monitoring the network connection behavior of a plurality of client network systems. The proactive suspicious network domain warning system includes: a proactive suspicious network domain warning system, which includes: a network domain information monitoring device configured to monitor changes corresponding to a network domain of a suspected network domain; a domain information storage device coupled to the network domain information monitoring device and configured to store monitoring records generated by the network domain information monitoring device; and an information security threat analysis device coupled to the network domain information monitoring device and the network Domain capital information storage device, and is set to perform data communication with the plurality of threat information update devices through the network; wherein, if the domain information monitoring device finds that the domain correspondence of the suspect network domain has changed, and the A new network domain corresponds to a predetermined local address or one of a plurality of predetermined local addresses, the network domain information monitoring device will also monitor the frequency of a corresponding change of a network domain of the suspected network domain; The network domain information monitoring device determines that the corresponding change frequency of the suspected network domain exceeds a predetermined value, and the information security threat analysis device will add the suspected network domain to the blocking list, so that the plurality of threat information is updated The device blocks member devices in the plurality of client network systems from accessing the domains in the blocked list.
上述實施例的優點之一,是即便駭客有時候故意將嫌疑網域的網域對應設置成指向預定的本機地址,以企圖藉此隱匿嫌疑網域和/或已植入成員裝置的惡意程式碼,但只要嫌疑網域的網域對應變動頻率超過預定值,資安威脅分析裝置便會將嫌疑網域列入阻擋名單。如此一來,便可破壞駭客想藉此隱匿嫌疑網域和/或惡意程式碼的企圖,並可對駭客之後利用嫌疑網域進行網路攻擊的行動造成阻礙,所以能夠有效增加駭客實施網路攻擊的困難度。 One of the advantages of the above-mentioned embodiment is that even if the hacker sometimes intentionally sets the domain correspondence of the suspected domain to point to a predetermined local address, in an attempt to hide the maliciousness of the suspected domain and/or the member's device. However, as long as the corresponding change frequency of the suspected network domain exceeds a predetermined value, the information security threat analysis device will add the suspected network domain to the blocking list. In this way, hackers' attempts to hide suspected domains and/or malicious code can be subverted, and hackers' subsequent cyberattacks using suspect domains can be hindered, thus effectively increasing the number of hackers. The difficulty of carrying out a cyber attack.
上述實施例的另一優點,是可增加駭客在不同時段重複使用同一個嫌疑網域進行網路攻擊的困難度,迫使駭客必需註冊更多的網域來使用,所以能夠大幅拉高駭客實施網路攻擊的成本,進而降低駭客進行網路攻擊的可能性。 Another advantage of the above embodiment is that it can increase the difficulty for hackers to repeatedly use the same suspected network domain for network attacks at different time periods, forcing hackers to register more network domains for use, so it can greatly increase the number of hackers. It reduces the cost of cyberattacks by hackers, thereby reducing the possibility of cyberattacks by hackers.
本發明的其他優點將搭配以下的說明和圖式進行更詳細的解說。 Other advantages of the present invention will be explained in more detail in conjunction with the following description and drawings.
100:網路資安威脅防護系統(cyber security protection system) 100: Cyber security protection system
102:網域名稱系統監測裝置(domain name system monitoring device) 102: domain name system monitoring device
104:可疑網域資訊收集裝置(suspicious domain information collection device) 104: Suspicious domain information collection device
106:網域擁有者資訊偵測裝置(domain owner information detection device) 106: domain owner information detection device
110:前攝性可疑網域示警系統(proactive suspicious domain alert system) 110: Proactive suspicious domain alert system
112:網域資訊監測裝置(domain information monitoring device) 112: domain information monitoring device
114:網域資訊儲存裝置(domain information storage device) 114: domain information storage device
116:資安威脅分析裝置(security threat analysis device) 116: Security threat analysis device
120、130、140:威脅資訊更新裝置(threat information updating device) 120, 130, 140: threat information updating device
122、132、142:通信電路(communication circuit) 122, 132, 142: communication circuit (communication circuit)
124、134、144:處理電路(processing circuit) 124, 134, 144: processing circuit
126、136、146:儲存電路(storage circuit) 126, 136, 146: storage circuit
150、160、170:客戶端網路系統(client network system) 150, 160, 170: client network system
152、162、172:網路管理裝置(network management device) 152, 162, 172: network management device
202~222、302~322、402~412、502~514:運作流程(operation) 202~222, 302~322, 402~412, 502~514: Operation process (operation)
圖1為本發明一實施例的網路資安威脅防護系統簡化後的功能方塊圖。 FIG. 1 is a simplified functional block diagram of a network information security threat protection system according to an embodiment of the present invention.
圖2至圖3為本發明判斷新註冊網域是否具有資安威脅的方法的一實施例簡化後的流程圖。 2 to 3 are simplified flowcharts of a method for determining whether a newly registered network domain has an information security threat according to an embodiment of the present invention.
圖4至圖5為本發明判斷已註冊超過一段時間的網域是否具有資安威 脅的方法的一實施例簡化後的流程圖。 Figures 4 to 5 show the present invention to determine whether a domain that has been registered for more than a period of time has information security A simplified flowchart of an embodiment of a method of threat.
以下將配合相關圖式來說明本發明的實施例。在圖式中,相同的標號表示相同或類似的元件或方法流程。 The embodiments of the present invention will be described below with reference to the relevant drawings. In the drawings, the same reference numbers refer to the same or similar elements or method flows.
圖1為本發明一實施例的網路資安威脅防護系統100簡化後的功能方塊圖。網路資安威脅防護系統100包含一前攝性可疑網域示警系統110、以及一或多個威脅資訊更新裝置。前攝性可疑網域示警系統110會針對可能具有網路資安威脅風險的網域(domain)產生相關的網域威脅情資(domain threat intelligence),並將所產生的網域威脅情資提供給各個威脅資訊更新裝置。各個威脅資訊更新裝置可根據前攝性可疑網域示警系統110產生的網域威脅情資,提供相關的示警信息給各自對應的一或多個客戶端網路系統。各個威脅資訊更新裝置還可搭配合適的網路管理裝置來管理相應的客戶端網路系統的連網運作,以避免客戶端網路系統中的各式連網設備存取具有資安風險的網域而遭受網路攻擊。
FIG. 1 is a simplified functional block diagram of a network information security
例如,圖1的實施例中繪示了示例性的威脅資訊更新裝置120、130、及140。威脅資訊更新裝置120可搭配一網路管理裝置152來管理一相應的客戶端網路系統150的連網運作;威脅資訊更新裝置130可搭配一網路管理裝置162來管理一相應的客戶端網路系統160的連網運作;而威脅資訊更新裝置140可搭配一網路管理裝置172來管理一相應的客戶端網路系統170的連網運作。
For example, exemplary threat
請注意,圖1中所繪示的威脅資訊更新裝置、客戶端網路系統、以及網路管理裝置的數量,只是為了舉例說明,並非有意將網路資安威脅防護系統100中的前述裝置和網路系統的數量侷限在特定數目。網路資安威脅防護系統100中的威脅資訊更新裝置、客戶端網路系統、以及網路管理裝置的數量,都可依據需求來彈性調整。例如,威脅資訊更新裝置120可搭配多個網路管理裝置152來管理客戶端網
路系統150的連網運作;威脅資訊更新裝置130可搭配多個網路管理裝置162來管理客戶端網路系統160的連網運作;而威脅資訊更新裝置140也可搭配多個網路管理裝置172來管理客戶端網路系統170的連網運作。
Please note that the numbers of threat information update devices, client network systems, and network management devices shown in FIG. 1 are only for illustration, and are not intended to be the same as the aforementioned devices in the network security
在實際應用中,前述的客戶端網路系統150、160、及170可以是各種規模的企業、學校、研究機構、政府機關、或非營利組織的內部網路系統,且各自包含若干數量的成員裝置(圖1中未繪示)。每個客戶端網路系統中的成員裝置的數量,從個位數、數十台、數百台、甚至超過千台以上都有可能。另外,每個客戶端網路系統中的多個成員裝置,有可能都位於同一個地理區域,也有可能是分散在不同的地理區域(例如,不同的城市或國家)。
In practical applications, the aforementioned
前述的網路管理裝置152、162、及172可以用各種合適的連網存取權限控管裝置來實現,例如、路由器(router)、網路閘道器(network gateway)、無線基地台(access point)等等。或者,也可以將前述的網路管理裝置152、162、及172利用各種合適的遠端伺服器、或是設置在各種雲端系統上的運算裝置(例如,架構在各種私有雲系統或公有雲平台上的虛擬機器、運算模組、或應用模組)來實現。
The aforementioned
在說明書及申請專利範圍中所指稱的「成員裝置」一詞,指的是各種能執行特定作業系統(例如:Windows、Linux、macOS、Android、Chrome OS、HarmonyOS等等)進行運作、並支援合適的資料通信協定的電子設備,例如,桌上型電腦、筆記型電腦、平板電腦、伺服器、網路儲存裝置(Network Attached Storage,NAS)、智慧電視、智慧手機、或智慧音箱等等。前述的資料通信協定則可以是各種有線資料傳輸協定或無線資料傳輸協定,例如,TCP/IP通信協定、UDP(User Datagram Protocol)通信協定、IEEE 802.11系列通信協定等等。 The term "member device" referred to in the specification and the scope of the patent application refers to a variety of devices that can execute a specific operating system (eg: Windows, Linux, macOS, Android, Chrome OS, HarmonyOS, etc.) and support suitable Electronic devices that use data communication protocols, such as desktop computers, notebook computers, tablet computers, servers, Network Attached Storage (NAS), smart TVs, smart phones, or smart speakers, etc. The aforementioned data communication protocol may be various wired data transmission protocols or wireless data transmission protocols, such as TCP/IP communication protocol, UDP (User Datagram Protocol) communication protocol, IEEE 802.11 series communication protocol and so on.
每個客戶端網路系統中的個別成員裝置,可以透過適當的資料傳輸機制(例如,個別客戶端網路系統的內部網路或資料傳輸線),與其他的一或多個成員裝置直接或間接進行各種資料通信。在運作時,每個客戶端網路系統中可有一部分的成員裝置採用有線資料傳輸方式來進行資料通信,並有一部分的成員裝置採用無線資料傳輸方式來進行資料通信。換言之,不同的成員裝置所採用的資料傳輸方式可以有所不同。 Individual member devices in each client network system can directly or indirectly communicate with one or more other member devices through an appropriate data transmission mechanism (eg, the intranet or data transmission line of the individual client network system). Carry out various data communications. During operation, some member devices in each client network system may use wired data transmission mode for data communication, and some member devices use wireless data transmission mode for data communication. In other words, the data transmission methods used by different member devices may be different.
在圖1的實施例中,前攝性可疑網域示警系統110包含一網域資訊監測裝置112、一網域資訊儲存裝置114、以及一資安威脅分析裝置116。網域資訊監測裝置112設置成可間歇性收集與監測一或多個預定地區的網域註冊資訊、檢核網域的網域年齡、和/或監測網域的網域對應(domain mapping)的變動情況。網域資訊儲存裝置114耦接於網域資訊監測裝置112,並設置成儲存網域資訊監測裝置112所收集到的網域註冊資訊,和/或網域資訊監測裝置112所產生的監測紀錄。資安威脅分析裝置116耦接於網域資訊監測裝置112及網域資訊儲存裝置114,並設置成可控制網域資訊監測裝置112及網域資訊儲存裝置114的運作。資安威脅分析裝置116還設置成可依據網域資訊監測裝置112所收集到的網域註冊資訊、和/或網域資訊監測裝置112產生的監測紀錄,針對具有網路資安威脅風險的網域產生相關的網域威脅情資,並將所產生的網域威脅情資透過合適的網路(例如,私人網路或網際網路),傳送給前述的威脅資訊更新裝置120、130、及140。
In the embodiment of FIG. 1 , the proactive suspicious network
在說明書及申請專利範圍中所指稱的「網域年齡」一詞,指的是一網域從完成註冊開始到目前為止所經過的時間長度,實作上可用各種合適的時間單位來衡量,例如,若干分鐘數、若干時數、若干天數等等。 The term "domain age" referred to in the description and the scope of the patent application refers to the length of time that has elapsed since the completion of registration of a domain. In practice, it can be measured in various suitable time units, such as , a number of minutes, a number of hours, a number of days, etc.
實作上,前述的網域資訊監測裝置112與資安威脅分析裝置116皆可
用各種具有連網能力、運算能力、以及資料處理能力的單一處理器模塊、多個處理器模塊的組合、單一電腦系統、多個電腦系統的組合、單一伺服器、多個伺服器的組合、或是雲端運算系統來實現。網域資訊儲存裝置114可用各種揮發性儲存裝置、非揮發性儲存裝置、資料庫系統、或是雲端儲存系統來實現。
In practice, both the aforementioned network domain
如圖1所示,威脅資訊更新裝置120包含一通信電路122、一處理電路124、以及一儲存電路126。威脅資訊更新裝置130包含一通信電路132、一處理電路134、以及一儲存電路136。威脅資訊更新裝置140包含一通信電路142、一處理電路144、以及一儲存電路146。
As shown in FIG. 1 , the threat
在威脅資訊更新裝置120中,通信電路122耦接於相應的客戶端網路系統150及網路管理裝置152,並設置成透過適當的網路連線(例如,客戶端網路系統150的內部網路或網際網路),與資安威脅分析裝置116、網路管理裝置152、以及客戶端網路系統150中的多個成員裝置進行資料通信,以接收前攝性可疑網域示警系統110傳來的網域威脅情資、以及客戶端網路系統150中的多個成員裝置的連網行為紀錄。處理電路124耦接於通信電路122,設置成控制通信電路122的運作,並對接收到的連網行為紀錄進行處理,以檢核客戶端網路系統150中的成員裝置的網域存取行為。處理電路124還可根據前攝性可疑網域示警系統110傳來的網域威脅情資,直接控管(或是透過網路管理裝置152間接控管)客戶端網路系統150中的個別成員裝置的網域存取行為,以阻擋個別成員裝置存取特定的網域。儲存電路126耦接於處理電路124,並設置成儲存通信電路122所接收到的網域威脅情資、以及客戶端網路系統150中的成員裝置的連網行為紀錄。
In the threat
在實際應用中,前述的威脅資訊更新裝置120可以安裝在客戶端網路系統150所屬單位的內部,也可以安裝在客戶端網路系統150所屬單位以外的其他地理位置。例如,可以將前述的威脅資訊更新裝置
120以獨立硬體設備的形式安裝在客戶端網路系統150中。又例如,在某些應用中,也可以將前述的威脅資訊更新裝置120改用各種合適的遠端伺服器、或是設置在各種雲端系統上的運算裝置(例如,架構在各種私有雲系統或公有雲平台上的虛擬機器、運算模組、或應用模組)來實現。
In practical applications, the aforementioned threat
網路資安威脅防護系統100中的其他威脅資訊更新裝置(例如,威脅資訊更新裝置130、140),皆可具有與威脅資訊更新裝置120類似的主要架構與配置方式,且其他威脅資訊更新裝置中的主要組成電路之間的連接關係與運作方式,皆可與威脅資訊更新裝置120中的相應電路類似。
Other threat information update devices (eg, threat
惟須注意,實作上並不侷限所有威脅資訊更新裝置120、130、及140都要具有完全相同的電路架構,也不侷限每個威脅資訊更新裝置中的個別電路的運作方式,都要與其他威脅資訊更新裝置中的相應電路完全相同。
However, it should be noted that, in practice, it is not limited that all threat
實作上,前述的通信電路122、132、142皆可用各種有線傳輸電路、無線傳輸電路、整合前述兩種通信機制的混合電路、或是雲端通信系統來實現。處理電路124、134、144皆可用單一處理器模塊、多個處理器模塊的組合、單一電腦系統、多個電腦系統的組合、單一伺服器、多個伺服器的組合、或是雲端運算系統來實現。儲存電路126、136、146皆可用各種揮發性儲存裝置、非揮發性儲存裝置、資料庫系統、或是雲端儲存系統來實現。
In practice, the
以下將搭配圖2至圖3來進一步說明網路資安威脅防護系統100進行網域威脅評估的運作方式。圖2至圖3為本發明判斷新註冊網域是否具有資安威脅的方法的一實施例簡化後的流程圖。
2 to 3 to further illustrate the operation of the network security
在圖2及圖3的流程圖中,位於一特定裝置所屬欄位中的流程,即代表由該特定裝置所進行的流程。例如,標記在「前攝性可疑網域示警系統」欄位中的部分,是由前攝性可疑網域示警系統110所進行
的流程;標記在「威脅資訊更新裝置」欄位中的部分,是由威脅資訊更新裝置120、130、及140中的個別威脅資訊更新裝置所進行的流程。前述的邏輯也適用於後續的其他流程圖中。
In the flowcharts of FIG. 2 and FIG. 3 , the process in the column to which a specific device belongs represents the process performed by the specific device. For example, the portion marked in the "proactive suspicious domain warning system" field is performed by the proactive suspicious
如圖2所示,在網路資安威脅防護系統100進行運作時,前攝性可疑網域示警系統110會進行圖2中的流程202,而威脅資訊更新裝置120、130、及140則可進行圖2中的流程204。
As shown in FIG. 2 , when the network information security
在流程202中,前攝性可疑網域示警系統110的網域資訊監測裝置112會收集與監測一或多個預定地區的網域註冊資訊。例如,網域資訊監測裝置112可透過網際網路連線到各種類型的網路註冊管理機構的網站或伺服器,以查詢某個地區、某些地區、或是全球範圍的新註冊網域(newly registered domain)的相關資料。
In the
又例如,網域資訊監測裝置112可透過合適的私人網路或網際網路,連線到一或多個網域名稱系統監測裝置102,以接收網域名稱系統監測裝置102所收集的網域註冊資料。實作上,前述的網域名稱系統監測裝置102可用各種具有連網能力、運算能力、以及資料查核能力的單一處理器模塊、多個處理器模塊的組合、單一電腦系統、多個電腦系統的組合、單一伺服器、多個伺服器的組合、或是雲端運算系統來實現。
For another example, the domain
前述的網域名稱系統監測裝置102可以是由前攝性可疑網域示警系統110的運營者和/或管理者負責管理與操作的設備。或者,網域名稱系統監測裝置102也可以是由其他第三方服務提供者負責管理與操作的設備。
The aforementioned network domain name
在實際應用中,網域資訊監測裝置112可在前攝性可疑網域示警系統110運作的過程中,即時(real time)進行流程202的運作,也可間歇性或週期性地進行流程202的運作。在一般情況下,在一新網域註冊完成的5~10分鐘內,網域資訊監測裝置112便可利用前述方式取得該新註冊網域的相關資料。
In practical applications, the network domain
在流程204中,威脅資訊更新裝置120、130、及140可分別監測相應客戶端網路系統150、160、及170的連網行為。例如,威脅資訊更新裝置120會偵測及搜集相應的客戶端網路系統150中的個別成員裝置的連網行為記錄。實作上,威脅資訊更新裝置120的處理電路124可利用網路管理裝置152或是安裝在客戶端網路系統150的個別成員裝置中的預定應用程式,讀取並分析相應成員裝置內的特定非揮發性資料的內容,例如,系統日誌、開機自動啟動項目、執行紀錄、和/或特定類型檔案的檔案詮釋資料(meta data)等等。處理電路124可透過通信電路122接收前述特定應用程式回傳的資料。
In the
例如,在該成員裝置的作業系統是Windows系統的情況下,網路管理裝置152或前述的預定應用程式可讀取並分析成員裝置中所儲存的視窗事件日誌(Windows Event Log)、自動啟動登錄檔(Autorun Registry)、排程工作記錄(Schedule Job)、預取快取(Prefetch cache)、應用程式相容性快取(Shimcache和/或Amcache)、和/或.exe/.dll/.sys格式的可移植性可執行檔案(portable executable files,PE files)的檔案詮釋資料等等,並傳送給威脅資訊更新裝置120的通信電路122。
For example, if the operating system of the member device is Windows, the
又例如,在成員裝置的作業系統是Linux系統的情況下,網路管理裝置152或前述的預定應用程式可讀取並分析成員裝置中的資料夾「/var/log/」底下的日誌項目、系統與服務管理工具(Systemd)、系統初始化腳本(SysV init script)、排程指令(crontab)、系統初始化程序(Upstart)、.php或.jsp格式的動態網頁(dynamic web pages)、指令執行腳本(shell scripts)、敏感性檔案(sensitive files)、指令歷史記錄(command histories)、系統日誌(syslog)、和/或.so/.ko格式的可執行與可連結格式檔案(Executable and Linkable Format files,ELF files)的檔案詮釋資料等等,並傳送給威脅資訊更新裝置120的通信電路122。
For another example, when the operating system of the member device is a Linux system, the
又例如,在成員裝置的作業系統是macOS系統的情況下,網路管理裝置152或前述的預定應用程式可讀取並分析成員裝置中的資料夾「/var/log/」底下的日誌項目、資料夾「/Library/LaunchAgents/」底下的記錄、資料夾「/Library/LaunchDaemons/」底下的記錄、指令執行腳本(shell scripts)、指令歷史記錄(command histories)、和/或Mach物件格式的可執行檔案(Mach object files,Mach-O files)的檔案詮釋資料等等,並傳送給威脅資訊更新裝置120的通信電路122。
For another example, when the operating system of the member device is the macOS system, the
除了前述的非揮發性資料以外,網路管理裝置152或前述的預定應用程式還可在流程204中偵測並分析成員裝置當時的記憶體內容、和/或網路行為等特定揮發性資料的內容,並傳送給威脅資訊更新裝置120的通信電路122。例如,網路管理裝置152或前述的預定應用程式可利用網路連線查詢指令「netstat」查詢成員裝置和外部網路連線的狀況,也可利用各種方式偵測成員裝置試圖存取的網域。
In addition to the aforementioned non-volatile data, the
在運作時,網路管理裝置152或前述的預定應用程式或處理電路124可利用各種過濾及判斷演算法,對前述與成員裝置有關的特定非揮發性資料和/或揮發性資料的內容進行初步分析,以從成員裝置為數眾多的活動歷史記錄中,篩選出可能與連網動作有關的部分活動記錄做為連網行為記錄,藉此減少後續需要由處理電路124進行處理或分析的資料量。
During operation, the
威脅資訊更新裝置130及140,可比照前述威脅資訊更新裝置120的運作方式,分別監測相應的客戶端網路系統160及170的連網行為。為簡潔起見,在此不重複敘述。在實際應用中,威脅資訊更新裝置120、130、及140可分別將對於客戶端網路系統150、160、及170的連網行為的監測記錄,傳送給前攝性可疑網域示警系統110進行各種分析與判斷。
The threat
當網域資訊監測裝置112發現一新註冊網域時,可將該新註冊網域
的相關資訊儲存在網域資訊儲存裝置114中,並通知資安威脅分析裝置116。
When the domain
例如,網域資訊監測裝置112可在每次發現一新註冊網域時,便直接將該新註冊網域的相關資訊儲存在網域資訊儲存裝置114中,並通知資安威脅分析裝置116。
For example, the network domain
或者,網域資訊監測裝置112可在每次發現一新註冊網域時先檢核該新註冊網域的當前網域年齡,且只有在該新註冊網域的當前網域年齡小於一第一臨界值的情況下,才將該新註冊網域的相關資訊儲存在網域資訊儲存裝置114中,並通知資安威脅分析裝置116。
Alternatively, the domain
在流程206中,資安威脅分析裝置116可將網域資訊監測裝置112所通知的新註冊網域做為一嫌疑網域(suspect domain),並列入一嫌疑名單(suspect list)。
In the
在流程208中,資安威脅分析裝置116可透過網路傳送嫌疑名單給威脅資訊更新裝置120、130、及140。實作上,資安威脅分析裝置116可在嫌疑名單的內容有任何更動時,便即時將最新的嫌疑名單傳送給威脅資訊更新裝置120、130、及140。或者,資安威脅分析裝置116也可間歇性地或週期性地將當前的嫌疑名單傳送給威脅資訊更新裝置120、130、及140。
In the
網域資訊監測裝置112與資安威脅分析裝置116會重複進行前述流程202至流程208的運作。
The network domain
在流程210中,威脅資訊更新裝置120、130、及140會分別利用通信電路122、132、及142接收資安威脅分析裝置116傳來的嫌疑名單。
In the
在流程212中,威脅資訊更新裝置120、130、及140會分別檢核相應客戶端網路系統150、160、及170中的成員裝置的網域存取行為,以判斷在客戶端網路系統150、160、及170中是否有任何成員裝置曾經嘗試存取列在嫌疑名單中的網域。
In the
例如,威脅資訊更新裝置120的處理電路124在流程212中可根據客
戶端網路系統150中的個別成員裝置的前述連網行為紀錄,來分析客戶端網路系統150中的個別成員裝置的網域存取行為,以判斷在客戶端網路系統150中是否有任何成員裝置曾經嘗試存取列在嫌疑名單中的網域。
For example, in the
又例如,網路管理裝置152可複製客戶端網路系統150中的個別成員裝置與外部網路之間的每個網路封包,並將複製的網路封包傳送給威脅資訊更新裝置120的通信電路122。在流程212中,威脅資訊更新裝置120的處理電路124可檢查前述網路封包的目的地網址(destination address)和/或來源網址(source address)的欄位內容,以判斷該成員裝置是否曾經嘗試存取列在嫌疑名單中的網域。
For another example, the
又例如,網路管理裝置152可複製客戶端網路系統150中的個別成員裝置與外部網路之間的每個網路封包的目的地網址和/或來源網址的欄位內容,並將複製的欄位內容傳送給威脅資訊更新裝置120的通信電路122。在流程212中,威脅資訊更新裝置120的處理電路124可檢查前述的欄位內容,以判斷該成員裝置是否曾經嘗試存取列在嫌疑名單中的網域。
For another example, the
又例如,網路管理裝置152可檢查客戶端網路系統150中的個別成員裝置與外部網路之間的每個網路封包的目的地網址和/或來源網址的欄位內容,以判斷該成員裝置是否曾經嘗試存取列在嫌疑名單中的網域,並將判斷結果傳送給威脅資訊更新裝置120的通信電路122。在流程212中,威脅資訊更新裝置120的處理電路124可依據網路管理裝置152傳來的判斷結果,迅速得知客戶端網路系統150中是否有任何成員裝置曾經嘗試存取列在嫌疑名單中的網域。
For another example, the
同樣地,威脅資訊更新裝置130可比照前述威脅資訊更新裝置120的運作方式,搭配相應的一或多個網路管理裝置162來檢核相應的客戶端網路系統160中的成員裝置的網域存取行為,且威脅資訊更新裝置140也可比照前述威脅資訊更新裝置120的運作方式,搭配相應
的一或多個網路管理裝置172來檢核相應的客戶端網路系統170中的成員裝置的網域存取行為。
Similarly, the threat
如圖2所示,資安威脅分析裝置116在傳送嫌疑名單給威脅資訊更新裝置120、130、及140後,也會進行流程214,以等待威脅資訊更新裝置120、130、及140的檢核結果。
As shown in FIG. 2 , after the information security
在資安威脅分析裝置116等待威脅資訊更新裝置120、130、及140產生網域存取通知的過程中,資安威脅分析裝置116可指示網域資訊監測裝置112間歇性地或週期性地進行流程216。
While the information security
在流程216中,網域資訊監測裝置112可檢核嫌疑名單中的個別嫌疑網域的當前網域年齡。倘若網域資訊監測裝置112檢核發現嫌疑名單中的特定嫌疑網域的當前網域年齡尚未超過前述的第一臨界值,則前攝性可疑網域示警系統110可重複進行流程214與流程216的運作。在此情況下,該特定嫌疑網域會被資安威脅分析裝置116保留在嫌疑名單中繼續觀察。
In the
反之,倘若網域資訊監測裝置112檢核發現嫌疑名單中的特定嫌疑網域的當前網域年齡已超過前述的第一臨界值,則網域資訊監測裝置112會將特定嫌疑網域的當前網域年齡已超過前述的第一臨界值的情況,通知資安威脅分析裝置116。在此情況下,資安威脅分析裝置116會進行流程218。
On the contrary, if the domain
在流程218中,資安威脅分析裝置116會判定該特定嫌疑網域到目前為止並無明顯的網路資安威脅,並將該特定嫌疑網域從嫌疑名單中移除。接著,資安威脅分析裝置116會進行流程208,以將更新後的嫌疑名單傳送給威脅資訊更新裝置120、130、及140。
In the
前述第一臨界值的長度,與資安威脅分析裝置116評估嫌疑名單中的嫌疑網域的網域威脅風險的敏感度及觀察時間長短有關。實作上,可將前述的第一臨界值設置為介於1小時至120小時之間的時間長度,例如,1.5小時、2小時、3小時、5小時、10小時、12小時、15小時、
18小時、24小時、36小時、48小時、50小時、60小時、72小時、80小時、96小時、或是100小時等等。
The length of the aforementioned first threshold value is related to the sensitivity of the information security
由前述說明可知,在網域資訊監測裝置112發現新註冊網域後,新註冊網域就會被資安威脅分析裝置116當成嫌疑網域,並列入嫌疑名單中進行觀察。在嫌疑名單中的特定嫌疑網域的網域年齡尚未超過前述的第一臨界值之前,即便該特定嫌疑網域沒有被任何客戶端網路系統中的任何成員裝置嘗試存取,該特定嫌疑網域仍會被資安威脅分析裝置116保留在嫌疑名單之中繼續觀察。此時,威脅資訊更新裝置120、130、及140並不會阻擋相應的客戶端網路系統對該特定的嫌疑網域的存取動作。
As can be seen from the foregoing description, after the network domain
請注意,倘若該特定嫌疑網域的網域年齡已超過第一臨界值卻仍未被任何客戶端網路系統中的任何成員裝置嘗試存取,則該特定嫌疑網域會被資安威脅分析裝置116從嫌疑名單中移除。這樣的做法可減少嫌疑名單中的嫌疑網域的數量,不只能夠降低網域資訊監測裝置112所需的運算負擔、儲存空間需求、和/或記憶體需求,還能夠減輕威脅資訊更新裝置120、130、及140進行前述流程212的檢核運作時的運算負擔、儲存空間需求、和/或記憶體需求。例如,根據測試的結果,將前述的第一臨界值設置為介於1小時至72小時之間的時間長度,可有效降低網域資訊監測裝置112和威脅資訊更新裝置120、130、及140所需的運算負擔、儲存空間需求、和/或記憶體需求,而不會嚴重降低網路資安威脅防護系統100的資安防護效能,因此能夠讓前述裝置在防護效能與資源使用效率上獲得較平衡的設置。
Please note that if the domain age of the specific suspected domain has exceeded the first threshold but has not been accessed by any member device in any client network system, the specific suspected domain will be analyzed by information
另一方面,如圖2所示,任一威脅資訊更新裝置在進行流程212時,倘若發現相應的客戶端網路系統中有成員裝置試圖存取嫌疑名單中的網域,則該威脅資訊更新裝置可進行流程220,以產生及傳送一相應的網域存取通知給前攝性可疑網域示警系統110。在此情況下,
資安威脅分析裝置116會進行流程222,以接收該威脅資訊更新裝置產生的網域存取通知。
On the other hand, as shown in FIG. 2 , when any threat information update device is performing the
為了方便說明起見,以下假設威脅資訊更新裝置120的處理電路124在進行前述流程212的運作時,發現相應的客戶端網路系統150中有一或多個成員裝置試圖存取嫌疑名單中的一嫌疑網域SD1。
For the convenience of description, it is assumed that the
在此情況下,處理電路124會進行流程220,以產生與嫌疑網域SD1相應的一網域存取通知,並將該網域存取通知透過通信電路122傳送給資安威脅分析裝置116。另一方面,資安威脅分析裝置116則會進行流程222,以接收威脅資訊更新裝置120產生的網域存取通知。
In this case, the
請注意,此時嫌疑網域SD1的網域年齡尚未超過前述的第一臨界值,代表嫌疑網域SD1是不久之前才完成註冊的新註冊網域。一般而言,大多數的正常網域在完成註冊之後的一段合理時間內,都還不會被正式公開使用。而且,新註冊網域的管理者或擁有者以外的其他絕大多數人,照理說也應該還不會知道新註冊網域的存在,所以在正常的情況下也不太可能會使用自己的連網設備去試圖存取新註冊網域。 Please note that at this time, the domain age of the suspect domain SD1 has not exceeded the aforementioned first threshold value, which means that the suspect domain SD1 is a newly registered domain that has been registered not long ago. In general, most normal domains are not officially publicly available for a reasonable period of time after registration. Moreover, the vast majority of people other than the administrator or owner of the newly registered domain should logically not know the existence of the newly registered domain, so it is unlikely that they will use their own connection under normal circumstances. network device to try to access the newly registered domain.
然而,嫌疑網域SD1在當前網域年齡還沒超過前述的第一臨界值的情況下,竟然就已被客戶端網路系統150中的成員裝置嘗試存取,這顯然不太像是一般新註冊網域的典型使用態樣。
However, the suspected network domain SD1 has been attempted to be accessed by the member devices in the
因此,資安威脅分析裝置116在接收到前述與嫌疑網域SD1相應的網域存取通知後,會將嫌疑網域SD1當成具有網路資安風險的網域。例如,將嫌疑網域SD1判定為有可能是駭客利用釣魚郵件、釣魚網站、或釣魚簡訊進行網路攻擊時所使用的惡意網域;將嫌疑網域SD1判定為駭客測試木馬程式是否已成功植入客戶端網路系統150中的成員裝置時所使用的測試網域;或是將嫌疑網域SD1判定為已植入用戶端裝置的惡意程式碼想要連線的惡意網域。
Therefore, after receiving the aforementioned network domain access notification corresponding to the suspect network domain SD1, the information security
在此情況下,資安威脅分析裝置116會進行圖3中的流程302,以將
嫌疑網域SD1列入一警示名單(alert list)。同時,資安威脅分析裝置116可將嫌疑網域SD1從前述的嫌疑名單中移除,或是繼續保留在嫌疑名單中一段時間。
In this case, the information security
在流程304中,資安威脅分析裝置116可透過網路傳送警示名單給威脅資訊更新裝置120、130、及140。實作上,資安威脅分析裝置116可在警示名單的內容有任何更動時,便即時將最新的警示名單傳送給威脅資訊更新裝置120、130、及140。或者,資安威脅分析裝置116也可間歇性地或週期性地將當前的警示名單傳送給威脅資訊更新裝置120、130、及140。
In
在流程306中,威脅資訊更新裝置120、130、及140會分別利用通信電路122、132、及142接收資安威脅分析裝置116傳來的警示名單。
In the
在流程308中,威脅資訊更新裝置120、130、及140會阻擋相應客戶端網路系統中的成員裝置存取警示名單中的網域。例如,威脅資訊更新裝置120的處理電路124可直接封鎖客戶端網路系統150中的所有成員裝置對於警示名單中的網域的存取權限,或是指示相應的網路管理裝置152封鎖客戶端網路系統150中的所有成員裝置對於警示名單中的網域的存取權限。
In
同樣地,威脅資訊更新裝置130的處理電路134可直接封鎖客戶端網路系統160中的所有成員裝置對於警示名單中的網域的存取權限,或是指示相應的網路管理裝置162封鎖客戶端網路系統160中的所有成員裝置對於警示名單中的網域的存取權限。威脅資訊更新裝置140的處理電路144可直接封鎖客戶端網路系統170中的所有成員裝置對於警示名單中的網域的存取權限,或是指示相應的網路管理裝置172封鎖客戶端網路系統170中的所有成員裝置對於警示名單中的網域的存取權限。
Similarly, the
在本實施例中,就算只有單一威脅資訊更新裝置120傳送與嫌疑網域SD1相應的網域存取通知給資安威脅分析裝置116,而其他的威
脅資訊更新裝置130及140都沒有傳送與嫌疑網域SD1相應的網域存取通知給資安威脅分析裝置116,資安威脅分析裝置116也會將嫌疑網域SD1列入警示名單,並將警示名單傳佈給威脅資訊更新裝置120、130、及140,以致使威脅資訊更新裝置120、130、及140開始阻擋客戶端網路系統150、160、及170中的所有成員電路對於嫌疑網域SD1的存取權限。
In this embodiment, even if only a single threat
換言之,雖然嫌疑網域SD1只是被發現被單一客戶端網路系統150中的某一個或某幾個成員裝置試圖存取,但仍然會被資安威脅分析裝置116列入警示名單,進而導致威脅資訊更新裝置120、130、及140開始阻擋客戶端網路系統150、160、及170中的所有成員電路存取嫌疑網域SD1。
In other words, although the suspected network domain SD1 is only found to be accessed by one or several member devices of the single-
因此,就算嫌疑網域SD1真的是駭客進行網路攻擊時所使用的惡意網域、駭客測試木馬程式時所使用的測試網域、或是已植入某個用戶端裝置的惡意程式碼想要連線的惡意網域,但也難以對客戶端網路系統150、160、及170中的其他成員裝置造成進一步危害,因為威脅資訊更新裝置120、130、及140已根據資安威脅分析裝置116提供的資安威脅情資(警示名單),開始阻擋客戶端網路系統150、160、及170中的所有成員電路存取嫌疑網域SD1。
Therefore, even if the suspected domain SD1 is really a malicious domain used by hackers to conduct network attacks, a test domain used by hackers to test Trojans, or a malicious program that has been implanted in a client device The malicious domain that the code wants to connect to, but it is also difficult to cause further harm to other member devices in the
由前述說明可知,即便嫌疑網域SD1才剛註冊不久(其當前網域年齡尚未超過第一臨界值),但只要有任一威脅資訊更新裝置發現任一客戶端網路系統中的任一成員裝置試圖存取嫌疑網域SD1,資安威脅分析裝置116便會將嫌疑網域SD1列入警示名單,以大幅提前威脅資訊更新裝置120、130、及140開始阻擋客戶端網路系統150、160、及170存取嫌疑網域SD1的時間點。
As can be seen from the above description, even if the suspected domain SD1 has just been registered (its current domain age has not exceeded the first threshold), as long as any threat information update device discovers any member device in any client network system Attempting to access the suspect network domain SD1, the information security
如此一來,便可對駭客利用新註冊的嫌疑網域SD1進行網路攻擊的行動造成阻礙,進而有效增加駭客實施網路攻擊的困難度。 In this way, it is possible to hinder hackers from using the newly registered suspected domain SD1 to conduct network attacks, thereby effectively increasing the difficulty for hackers to carry out network attacks.
從另一角度而言,前述的前攝性可疑網域示警系統110可對客戶端
網路系統150、160、及170提供前攝性網路資安防護,進而提高對於客戶端網路系統150、160、及170的網路資安防護嚴密程度。
From another perspective, the aforementioned proactive suspicious network
很明顯地,前述的資安防護機制將迫使駭客必需註冊更多的網域來使用,所以能夠大幅拉高駭客實施網路攻擊的成本,進而降低駭客進行網路攻擊的可能性。 Obviously, the aforementioned information security protection mechanism will force hackers to register more domains for use, so it can greatly increase the cost of hackers to carry out network attacks, thereby reducing the possibility of hackers carrying out network attacks.
如圖3所示,資安威脅分析裝置116在傳送警示名單給威脅資訊更新裝置120、130、及140後會進行流程310,以等待關於警示名單中的嫌疑網域的進一步資安威脅評估結果或特定指令。
As shown in FIG. 3 , after the information security
為了方便說明起見,以下以前述被列入警示名單中的嫌疑網域SD1為例來加以說明。 For the convenience of description, the following takes the aforementioned suspected network domain SD1 included in the alert list as an example for description.
例如,資安威脅分析裝置116可採用各種合適的演算法或統計方式,根據網域資訊儲存裝置114中所記錄的網域資料、或是威脅資訊更新裝置120、130、及140所收集的客戶端網路系統150、160、及170的連網行為紀錄,來進一步評估嫌疑網域SD1的資安風險。
For example, the information security
又例如,網域資訊監測裝置112可透過合適的私人網路或網際網路,連線到一或多個可疑網域資訊收集裝置104,以查詢嫌疑網域SD1是否被其他資安威脅評估單位或資安防護服務提供者判別為可疑網域,並將查詢結果回報給資安威脅分析裝置116進一步評估嫌疑網域SD1的資安風險。實作上,前述的可疑網域資訊收集裝置104可用各種具有連網能力、運算能力、以及資料回應能力的單一處理器模塊、多個處理器模塊的組合、單一電腦系統、多個電腦系統的組合、單一伺服器、多個伺服器的組合、或是雲端運算系統來實現。
For another example, the network domain
又例如,網域資訊監測裝置112可透過合適的私人網路或網際網路,連線到一或多個網域擁有者資訊偵測裝置106,以檢核嫌疑網域SD1的網域擁有者資訊,並將檢核結果回報給資安威脅分析裝置116。資安威脅分析裝置116可根據嫌疑網域SD1的網域擁有者資訊,結合其他各種網路資安情資進行綜合判斷,以進一步評估嫌疑網域
SD1的資安風險。實作上,前述的網域擁有者資訊偵測裝置106可用各種具有連網能力、運算能力、以及資料回應能力的單一處理器模塊、多個處理器模塊的組合、單一電腦系統、多個電腦系統的組合、單一伺服器、多個伺服器的組合、或是雲端運算系統來實現。
For another example, the domain
前述的可疑網域資訊收集裝置104和/或網域擁有者資訊偵測裝置106,可以是由前攝性可疑網域示警系統110的運營者和/或管理者負責管理與操作的設備。或者,可疑網域資訊收集裝置104和/或網域擁有者資訊偵測裝置106,也可以是由其他第三方服務提供者負責管理與操作的設備。
The aforementioned suspicious network domain
又例如,資安威脅分析裝置116也可等待專業的資安分析人員利用各種工具或方法對嫌疑網域SD1進行資安威脅評估後,對資安威脅分析裝置116所下達的特定指令,例如,用來將嫌疑網域SD1列入具有高度資安風險的危險名單的設定指令。
For another example, the information security
倘若資安威脅分析裝置116計算出代表嫌疑網域SD1具有高度資安風險的特定風險評估結果,或是接收到資安分析人員所下達將嫌疑網域SD1列入危險名單的設定指令,則資安威脅分析裝置116會進行流程312。
If the information security
在流程312中,資安威脅分析裝置116可根據前述的特定風險評估結果或設定指令,將嫌疑網域SD1列入一危險名單(dangerous list)。實作上,資安威脅分析裝置116在將嫌疑網域SD1列入危險名單後,可以選擇性地(optionally)將嫌疑網域SD1從原先的警示名單中移除。
In the
在流程314中,資安威脅分析裝置116可透過網路傳送危險名單給威脅資訊更新裝置120、130、及140。實作上,資安威脅分析裝置116可在危險名單的內容有任何更動時,便即時將最新的危險名單傳送給威脅資訊更新裝置120、130、及140。或者,資安威脅分析裝置116也可間歇性地或週期性地將當前的危險名單傳送給威脅資訊更
新裝置120、130、及140。
In the
在流程316中,威脅資訊更新裝置120、130、及140會分別利用通信電路122、132、及142接收資安威脅分析裝置116傳來的危險名單。
In the
在流程318中,威脅資訊更新裝置120、130、及140會阻擋相應客戶端網路系統中的成員裝置存取危險名單中的網域。例如,威脅資訊更新裝置120的處理電路124可直接封鎖客戶端網路系統150中的所有成員裝置對於危險名單中的網域的存取權限,或是指示相應的網路管理裝置152封鎖客戶端網路系統150中的所有成員裝置對於危險名單中的網域的存取權限。
In
同樣地,威脅資訊更新裝置130的處理電路134可直接封鎖客戶端網路系統160中的所有成員裝置對於危險名單中的網域的存取權限,或是指示相應的網路管理裝置162封鎖客戶端網路系統160中的所有成員裝置對於危險名單中的網域的存取權限。威脅資訊更新裝置140的處理電路144可直接封鎖客戶端網路系統170中的所有成員裝置對於危險名單中的網域的存取權限,或是指示相應的網路管理裝置172封鎖客戶端網路系統170中的所有成員裝置對於危險名單中的網域的存取權限。
Likewise, the
如圖3所示,在資安威脅分析裝置116等待關於警示名單中的嫌疑網域的資安威脅評估結果或特定指令的過程中,資安威脅分析裝置116可指示網域資訊監測裝置112間歇性地或週期性地進行流程320。
As shown in FIG. 3 , the information security
在流程320中,網域資訊監測裝置112可檢核警示名單中的個別嫌疑網域的當前網域年齡。倘若網域資訊監測裝置112檢核發現警示名單中的特定嫌疑網域的當前網域年齡尚未超過一第二臨界值,則前攝性可疑網域示警系統110可重複進行流程310與流程320的運作。在此情況下,該特定嫌疑網域會被資安威脅分析裝置116保留在警示名單中。
In the
反之,倘若網域資訊監測裝置112檢核發現警示名單中的特定嫌疑
網域的當前網域年齡已超過前述的第二臨界值,則網域資訊監測裝置112會將特定嫌疑網域的當前網域年齡已超過前述的第二臨界值的情況,通知資安威脅分析裝置116。在此情況下,資安威脅分析裝置116會進行流程322。
Conversely, if the domain
在流程322中,資安威脅分析裝置116會判定該特定嫌疑網域的網路資安威脅等級不高,並將該特定嫌疑網域從警示名單中移除。接著,資安威脅分析裝置116會進行流程304,以將更新後的警示名單傳送給威脅資訊更新裝置120、130、及140。
In the
前述第二臨界值的長度,與資安威脅分析裝置116評估警示名單中的嫌疑網域的網域威脅風險的敏感度及阻擋時間長短有關。實作上,可將第二臨界值設置成大於或等於前述的第一臨界值。在本實施例中,可將第二臨界值設置為介於12小時至200小時之間的時間長度,例如,15小時、18小時、24小時、36小時、48小時、50小時、60小時、72小時、80小時、96小時、100小時、110小時、120小時、150小時、168小時、180小時、200小時等等。
The length of the aforementioned second threshold value is related to the sensitivity of the information security
以前述被列入警示名單中的嫌疑網域SD1為例,在嫌疑網域SD1的網域年齡尚未超過前述的第二臨界值之前,只要資安威脅分析裝置116尚未計算出代表嫌疑網域SD1具有高度資安風險的特定風險評估結果,也沒有接收到資安分析人員所下達將嫌疑網域SD1列入危險名單的設定指令,則嫌疑網域SD1就會被資安威脅分析裝置116保留在警示名單之中繼續評估。此時,威脅資訊更新裝置120、130、及140會繼續阻擋相應的客戶端網路系統對嫌疑網域SD1的存取動作。
Taking the aforementioned suspect network domain SD1 included in the warning list as an example, before the age of the suspect network domain SD1 has not exceeded the aforementioned second threshold, as long as the information security
請注意,倘若嫌疑網域SD1的網域年齡已超過第二臨界值卻仍未被資安威脅分析裝置116列入危險名單,則資安威脅分析裝置116便會判定嫌疑網域SD1的網路資安威脅等級不高,並將嫌疑網域SD1從警示名單中移除。這樣的做法可減少警示名單中的嫌疑網域的數量,
不只能夠降低網域資訊監測裝置112及資安威脅分析裝置116所需的運算負擔、儲存空間需求、和/或記憶體需求,還能夠減輕威脅資訊更新裝置120、130、及140進行前述流程308的阻擋運作時的運算負擔、儲存空間需求、和/或記憶體需求。例如,根據測試的結果,將前述的第二臨界值設置為介於24小時至168小時之間的時間長度,可有效降低網域資訊監測裝置112、資安威脅分析裝置116、和威脅資訊更新裝置120、130、及140所需的運算負擔、儲存空間需求、和/或記憶體需求,而不會嚴重降低網路資安威脅防護系統100的資安防護效能,因此能夠讓前述裝置在防護效能與資源使用效率上獲得較平衡的設置。
Please note that if the domain age of the suspected domain SD1 has exceeded the second threshold but has not been included in the danger list by the information security
從另一角度而言,前述在適當條件成立時將嫌疑網域從警示名單中移除的做法,也能有效提升資安威脅分析裝置116以及威脅資訊更新裝置120、130、及140在進行相關資安分析比對運算時的運算效率與反應速度。
From another point of view, the aforementioned method of removing the suspected domain from the alert list when the appropriate conditions are established can also effectively improve the information security
另外,由前述說明可知,被列在警示名單中的網域只是處於被暫時阻擋的狀態。如前所述,倘若警示名單中的特定網域的網域年齡已超過第二臨界值卻仍未被列入危險名單,則該特定網域便會被資安威脅分析裝置116從警示名單中移除。如此一來,威脅資訊更新裝置120、130、及140便可允許相應的客戶端網路系統150、160、及170中的成員裝置對該特定網域進行存取。
In addition, as can be seen from the foregoing description, the domains listed in the alert list are only temporarily blocked. As mentioned above, if the domain age of a specific domain in the alert list has exceeded the second threshold but has not been included in the danger list, the specific domain will be removed from the alert list by the information security
相較之下,被列在危險名單中的網域由於被資安威脅分析裝置116或其他專業資安分析人員判定為具有較高的網路資安威脅,所以會處於被長期或永久阻擋的狀態。
In contrast, the network domains listed in the danger list will be blocked for a long time or permanently because they are judged by the information security
接下來,將搭配圖4至圖5來進一步說明網路資安威脅防護系統100針對不同屬性的網域進行網域威脅評估的運作方式。圖4至圖5為本發明判斷已註冊超過一段時間的網域是否具有資安威脅的方法的一實施例簡化後的流程圖。
Next, with reference to FIG. 4 to FIG. 5 , the operation of the network information security
如前述圖2的流程運作說明所述,倘若嫌疑網域的網域年齡已超過前述的第一臨界值卻仍未被任何客戶端網路系統中的任何成員裝置嘗試存取,則這些嫌疑網域會被資安威脅分析裝置116從嫌疑名單中移除。從某一角度而言,這些嫌疑網域是已註冊超過一段時間(例如,網域年齡超過前述的第一臨界值)、但目前看起來似乎不像是具有明顯資安風險疑慮的網域。
As described in the flow operation description of FIG. 2 above, if the domain age of the suspect network domain has exceeded the aforementioned first threshold but has not yet been accessed by any member device in any client network system, the suspect network The domain is removed from the suspect list by the security
然而,駭客使用惡意網域進行網路攻擊的技巧跟態樣變化非常多。曾發現有些駭客有時候會故意將惡意網域的網域對應(domain mapping)設置成指向已被植入惡意程式碼的成員裝置的本機地址,以企圖藉此隱匿惡意網域和/或已植入成員裝置的惡意程式碼。這是因為在前述情況下,已植入該成員裝置的惡意程式碼就暫時不會透過網路存取外部的惡意網域,類似處於休眠或潛伏狀態,因而導致專業的網路資安分析人員跟既有的網路資安防護工具很難發覺惡意網域跟惡意程式碼的存在。 However, hackers use malicious domains to carry out network attacks in a variety of techniques and styles. It has been found that some hackers sometimes intentionally set the domain mapping of malicious domains to point to the local addresses of member devices that have been implanted with malicious code in an attempt to hide malicious domains and/or Malicious code that has been implanted on member devices. This is because in the above-mentioned situation, the malicious code that has been implanted into the member's device will not temporarily access external malicious domains through the network, and is like being in a dormant or dormant state, which leads to professional network security analysts. It is difficult to detect the existence of malicious domains and malicious codes with existing network information security protection tools.
倘若之後駭客又將惡意網域的網域對應修改成某個外部的網路位址,該成員裝置便很容易遭受網路攻擊,甚至使駭客的攻擊蔓延到其他相關的設備。 If the hacker then modifies the domain of the malicious domain to an external network address, the member device is vulnerable to network attacks, and the hacker's attack even spreads to other related devices.
為了降低前述的駭客攻擊手法可能對客戶端網路系統造成的傷害,網路資安威脅防護系統100可執行圖4至圖5的方法,以判斷已註冊超過一段時間的網域是否具有資安威脅。
In order to reduce the possible damage to the client network system caused by the aforementioned hacking methods, the network information security
如圖4所示,在網路資安威脅防護系統100進行運作時,前攝性可疑網域示警系統110可進行圖4中的流程402。與此同時,威脅資訊更新裝置120、130、及140則可繼續按照前述圖2至圖3的流程圖的方法進行運作,以阻擋客戶端網路系統150、160、及170中的成員裝置存取前述警示名單中的網域及危險名單中的網域。
As shown in FIG. 4 , when the network information security
在流程402中,前攝性可疑網域示警系統110的網域資訊監測裝置112會監測已註冊超過一段時間(例如,網域年齡超過前述的第一
臨界值)的多個嫌疑網域的網域對應(domain mapping)的變動情況(variation)。例如,網域資訊監測裝置112可透過網際網路連線到各種類型的網域註冊管理機構的網站或伺服器,以查詢某個地區、某些地區、或是全球範圍的已註冊網域的網域對應資料。
In the
又例如,網域資訊監測裝置112可透過合適的私入網路或網際網路,連線到前述的一或多個網域名稱系統監測裝置102,以接收網域名稱系統監測裝置102所收集的網域對應資料。實作上,前述的網域名稱系統監測裝置102可用各種具有連網能力、運算能力、以及資料查核能力的單一處理器模塊、多個處理器模塊的組合、單一電腦系統、多個電腦系統的組合、單一伺服器、多個伺服器的組合、或是雲端運算系統來實現。
For another example, the domain
在一實施例中,前述的嫌疑網域的網域對應包含該嫌疑網域的A記錄(A record)、或該嫌疑網域的AAAA記錄(AAAA record)。 In one embodiment, the aforementioned network domain correspondence of the suspect network domain includes an A record (A record) of the suspect network domain, or an AAAA record (AAAA record) of the suspect network domain.
在另一實施例中,前述的嫌疑網域的網域對應除了A記錄、或AAAA記錄之外,還包含該嫌疑網域的名稱伺服器記錄(NS record)、和/或該嫌疑網域的郵件交換記錄(MX record)。 In another embodiment, in addition to the A record or the AAAA record, the aforementioned network domain correspondence of the suspect network domain also includes the name server record (NS record) of the suspect network domain, and/or the name server record of the suspect network domain. Mail exchange record (MX record).
倘若該嫌疑網域的網域對應沒有發生變動,則網域資訊監測裝置112可重複進行流程402,以在之後的不同時間點,間歇性地或週期性地多次查核該嫌疑網域的網域對應資訊,藉此監測該嫌疑網域的網域對應是否發生變動。
If the network domain correspondence of the suspected network domain has not changed, the network domain
反之,倘若網域資訊監測裝置112發現該嫌疑網域的網域對應有發生變動,則網域資訊監測裝置112會進行流程404,以進一步檢核該嫌疑網域的新網域對應的指向目標(destination address)是否指向一預定的本機地址、或是複數個預定的本機地址的其中之一。例如,網域資訊監測裝置112可檢核該嫌疑網域的新網域對應的是否指向一第一預定本機地址「127.0.0.1」、或是否指向一第二預定本機地址「0.0.0.0」、或是否指向前述兩個預定本機地址的其中任何一個。
On the other hand, if the domain
為了方便說明起見,以下假設該嫌疑網域是前述的嫌疑網域SD1。 For the convenience of description, it is assumed that the suspect network domain is the aforementioned suspect network domain SD1.
倘若網域資訊監測裝置112發現嫌疑網域SD1的新網域對應,確實是指向前述的第一預定本機地址或第二預定本機地址,則可將嫌疑網域SD1的相關資訊儲存在網域資訊儲存裝置114中,並傳送一相應的通知給資安威脅分析裝置116。資安威脅分析裝置116會在收到該通知後進行流程406,以將嫌疑網域SD1列入一追蹤名單(tracking list)。
If the network domain
反之,倘若網域資訊監測裝置112發現嫌疑網域SD1的新網域對應並非指向任何一個預定的本機地址,則可將嫌疑網域SD1的相關資訊傳送給資安威脅分析裝置116。資安威脅分析裝置116在收到嫌疑網域SD1的相關資訊後,會進一步判斷嫌疑網域SD1是否已列入追蹤名單中。
Conversely, if the network domain
倘若嫌疑網域SD1並未被列入追蹤名單,則資安威脅分析裝置116會判定嫌疑網域SD1不具資安威脅、或是資安威脅很低。在此情況下,資安威脅分析裝置116會進行流程408,以捨棄(discard)嫌疑網域SD1。
If the suspected network domain SD1 is not included in the tracking list, the information security
反之,倘若嫌疑網域SD1已存在追蹤名單中,則資安威脅分析裝置116會進行流程410,將嫌疑網域SD1繼續保留在追蹤名單中。
On the contrary, if the suspect network domain SD1 already exists in the tracking list, the information security
資安威脅分析裝置116會指示網域資訊監測裝置112,對列入或保留在追蹤名單中的各個嫌疑網域的一網域對應變動頻率(domain mapping variation frequency)進行監測,以判斷各個嫌疑網域的網域對應變動頻率是否超過一預定值。
The information security
因此,網域資訊監測裝置112會針對追蹤名單中的個別的嫌疑網域進行流程412,以監測該嫌疑網域的網域對應變動頻率。
Therefore, the network domain
以嫌疑網域SD1為例,網域資訊監測裝置112可記錄嫌疑網域SD1的網域對應的變動歷史,並計算嫌疑網域SD1的網域對應在一預定時間長度內的變化次數,以產生嫌疑網域SD1所對應的一網域對應變
動頻率,並將該網域對應變動頻率與前述的預定值進行比較。
Taking the suspect network domain SD1 as an example, the network domain
倘若嫌疑網域SD1的網域對應變動頻率沒有超過前述的預定值,則網域資訊監測裝置112會間歇性地或週期性地重複進行流程412,以持續監測嫌疑網域SD1的網域對應變動頻率是否會超過前述的預定值,直到嫌疑網域SD1被資安威脅分析裝置116從追蹤名單中移除為止。
If the frequency of corresponding changes to the network domain of the suspect network domain SD1 does not exceed the aforementioned predetermined value, the network domain
反之,倘若嫌疑網域SD1的網域對應變動頻率超過了前述的預定值,則網域資訊監測裝置112會傳送一相應的通知給資安威脅分析裝置116。
On the contrary, if the corresponding change frequency of the network domain of the suspected network domain SD1 exceeds the aforementioned predetermined value, the network domain
一般而言,大多數的正常網域在網域年齡超過一定程度(例如,超過前述的第二臨界值)之後,其管理者或擁有者通常不會將其網域對應修改成指向特定的本機地址,更沒有道理在將網域對應改成指向特定的本機地址一陣子之後,又頻繁地更改網域對應。 Generally speaking, after the domain age of most normal domains exceeds a certain level (for example, exceeds the aforementioned second threshold), the administrator or owner of the domain usually does not modify its domain correspondence to point to a specific local domain. It makes no sense to change the domain correspondence frequently after changing the domain correspondence to point to a specific local address for a while.
然而,嫌疑網域SD1的網域對應先是被改成指向前述的第一預定本機地址或第二預定本機地址,然後又發生了網域對應變動頻率超過前述預定值的情況,這顯然不太像是一般正常網域的典型使用態樣。 However, the network domain correspondence of the suspected network domain SD1 was first changed to point to the aforementioned first predetermined local address or second predetermined local address, and then the frequency of changes in the corresponding network domain exceeded the aforementioned predetermined value. Too much like the typical usage of normal normal domains.
因此,在資安威脅分析裝置116接收到網域資訊監測裝置112傳來有關嫌疑網域SD1的網域對應變動頻率超過前述預定值的通知後,會將嫌疑網域SD1當成具有網路資安風險的網域。例如,可將嫌疑網域SD1判定是曾經被駭客刻意隱匿的惡意網域。
Therefore, after the information security
在此情況下,資安威脅分析裝置116會進行圖5中的流程502,以將嫌疑網域SD1列入一阻擋名單(block list)。
In this case, the information security
在流程504中,資安威脅分析裝置116可透過網路傳送阻擋名單給威脅資訊更新裝置120、130、及140。實作上,資安威脅分析裝置116可在阻擋名單的內容有任何更動時,便即時將最新的阻擋名單傳送給威脅資訊更新裝置120、130、及140。或者,資安威脅分析裝置116也可間歇性地或週期性地將當前的阻擋名單傳送給威脅資訊更
新裝置120、130、及140。
In
在流程506中,威脅資訊更新裝置120、130、及140會分別利用通信電路122、132、及142接收資安威脅分析裝置116傳來的阻擋名單。
In the
在流程508中,威脅資訊更新裝置120、130、及140會阻擋相應客戶端網路系統中的成員裝置存取阻擋名單中的網域。例如,威脅資訊更新裝置120的處理電路124可直接封鎖客戶端網路系統150中的所有成員裝置對於阻擋名單中的網域的存取權限,或是指示相應的網路管理裝置152封鎖客戶端網路系統150中的所有成員裝置對於阻擋名單中的網域的存取權限。
In
同樣地,威脅資訊更新裝置130的處理電路134可直接封鎖客戶端網路系統160中的所有成員裝置對於阻擋名單中的網域的存取權限,或是指示相應的網路管理裝置162封鎖客戶端網路系統160中的所有成員裝置對於阻擋名單中的網域的存取權限。威脅資訊更新裝置140的處理電路144可直接封鎖客戶端網路系統170中的所有成員裝置對於阻擋名單中的網域的存取權限,或是指示相應的網路管理裝置172封鎖客戶端網路系統170中的所有成員裝置對於阻擋名單中的網域的存取權限。
Likewise, the
在本實施例中,即使前述的威脅資訊更新裝置120、130、及140都沒有傳送與嫌疑網域SD1相關的網域存取通知或其他的資安威脅參考資訊給資安威脅分析裝置116,只要網域資訊監測裝置112對嫌疑網域SD1的網域對應的變動情況及變動頻率的監測結果符合前述的條件,資安威脅分析裝置116就會將嫌疑網域SD1列入阻擋名單,並將阻擋名單傳佈給威脅資訊更新裝置120、130、及140,以致使威脅資訊更新裝置120、130、及140開始阻擋客戶端網路系統150、160、及170中的所有成員電路對於嫌疑網域SD1的存取權限。
In this embodiment, even if the aforementioned threat
換言之,即便駭客有時候故意將嫌疑網域SD1的網域對應設置成指向預定的本機地址,以企圖藉此隱匿嫌疑網域SD1和/或已植入成員
裝置的惡意程式碼,但只要之後嫌疑網域SD1的網域對應變動頻率超過預定值,嫌疑網域SD1仍會被資安威脅分析裝置116列入阻擋名單。
In other words, even if hackers sometimes deliberately set the domain correspondence of the suspected domain SD1 to point to a predetermined local address, in an attempt to hide the suspected domain SD1 and/or the implanted members
However, as long as the corresponding change frequency of the network domain of the suspect network domain SD1 exceeds a predetermined value, the suspect network domain SD1 will still be included in the blocking list by the information security
如此一來,便可破壞駭客想藉此隱匿嫌疑網域SD1和/或惡意程式碼的企圖,並可對駭客之後利用嫌疑網域SD1進行網路攻擊的行動造成阻礙,所以能夠有效增加駭客實施網路攻擊的困難度。 In this way, the hacker's attempt to hide the suspected domain SD1 and/or malicious code can be subverted, and the hacker's subsequent network attacks using the suspected domain SD1 can be hindered, so it can effectively increase the How difficult it is for hackers to carry out cyber attacks.
另外,由於前述的資安防護機制可增加駭客在不同時段重複使用同一個嫌疑網域SD1進行網路攻擊的困難度,迫使駭客必需註冊更多的網域來使用,所以能夠大幅拉高駭客實施網路攻擊的成本,進而降低駭客進行網路攻擊的可能性。 In addition, since the aforementioned information security protection mechanism can increase the difficulty for hackers to repeatedly use the same suspected domain SD1 to conduct network attacks at different times, forcing hackers to register more domains for use, it can greatly increase the The cost of a hacker's cyberattack, thereby reducing the likelihood of a hacker's cyberattack.
從另一角度而言,前述的前攝性可疑網域示警系統110可對客戶端網路系統150、160、及170提供前攝性網路資安防護,進而提高對於客戶端網路系統150、160、及170的網路資安防護嚴密程度。
From another perspective, the aforementioned proactive suspicious network
如圖5所示,資安威脅分析裝置116在將嫌疑網域SD1列入阻擋名單後,還會指示網域資訊監測裝置112進行流程510,以繼續監測嫌疑網域SD1的網域對應的變動情況。
As shown in FIG. 5 , after the information security
網域資訊監測裝置112在流程510中監測嫌疑網域SD1的網域對應的變動情況的方式,與前述的流程402實質上相同,為簡潔起見,在此不重複敘述。
The manner in which the network domain
同樣地,倘若網域資訊監測裝置112發現嫌疑網域SD1的網域對應再次發生變動,則網域資訊監測裝置112會進行流程512,以進一步檢核嫌疑網域SD1此時的新網域對應的指向目標是否指向前述的第一預定本機地址、或是否指向前述的第二預定本機地址、或是否指向前述兩個預定本機地址的其中任何一個。
Similarly, if the network domain
倘若網域資訊監測裝置112發現嫌疑網域SD1的新網域對應並非指向任何一個預定的本機地址,則會重複進行流程510,以繼續監測嫌疑網域SD1的網域對應的變動情況。在此情況下,嫌疑網域SD1
仍會被資安威脅分析裝置116保留在阻擋名單中。因此,威脅資訊更新裝置120、130、及140會繼續阻擋客戶端網路系統150、160、及170中的所有成員電路存取嫌疑網域SD1。
If the network domain
反之,倘若網域資訊監測裝置112發現嫌疑網域SD1的新網域對應,又再次指向前述的第一預定本機地址或第二預定本機地址,則會傳送一相應的通知給資安威脅分析裝置116。資安威脅分析裝置116會在收到該通知後進行流程514。
On the contrary, if the network domain
在流程514中,資安威脅分析裝置116會判定嫌疑網域SD1先前所造成的資安威脅將暫時解除。這是因為嫌疑網域SD1的新網域對應已被再次改成指向前述的第一預定本機地址或第二預定本機地址後,所以就算成員裝置已被植入惡意程式碼,但該惡意程式碼暫時並不會存取外部的惡意網域,所以暫時不會造成實質的網路資安威脅。
In the
因此,資安威脅分析裝置116在流程514中會將嫌疑網域SD1從阻擋名單中移除,但仍會將嫌疑網域SD1保留在追蹤名單中。在此情況下,網域資訊監測裝置112會重複進行前述的流程412,以持續監測嫌疑網域SD1的網域對應變動頻率。
Therefore, the information security
由前述說明可知,在嫌疑網域SD1被列入阻擋名單之後,倘若嫌疑網域SD1的網域對應被再次改成指向前述的第一預定本機地址或第二預定本機地址,則資安威脅分析裝置116便會判定嫌疑網域SD1的網路資安威脅將暫時解除,因此會將嫌疑網域SD1從阻擋名單中移除。這樣的做法可減少阻擋名單中的嫌疑網域的數量,不只能夠降低網域資訊監測裝置112及資安威脅分析裝置116所需的運算負擔、儲存空間需求、和/或記憶體需求,還能夠減輕威脅資訊更新裝置120、130、及140進行前述流程508的阻擋運作時的運算負擔、儲存空間需求、和/或記憶體需求。
It can be seen from the above description that after the suspect network domain SD1 is included in the blocking list, if the network domain correspondence of the suspect network domain SD1 is changed to point to the aforementioned first predetermined local address or second predetermined local address again, the information security The
從另一角度而言,前述在適當條件成立時將嫌疑網域從阻擋名單中移除的做法,也能有效提升資安威脅分析裝置116以及威脅資訊更
新裝置120、130、及140在進行相關資安分析比對運算時的運算效率與反應速度。
From another perspective, the aforementioned method of removing the suspected domain from the blocking list when the appropriate conditions are established can also effectively improve the information security
另外,由圖4至圖5的流程圖內容可知,倘若之後網域資訊監測裝置112又再次發現嫌疑網域SD1的網域對應變動頻率超過了前述的預定值,則資安威脅分析裝置116會再次進行圖5中的流程502,以及時將嫌疑網域SD1再次列入阻擋名單。在此情況下,威脅資訊更新裝置120、130、及140又會開始阻擋客戶端網路系統150、160、及170中的所有成員電路對於嫌疑網域SD1的存取權限。
In addition, as can be seen from the flow charts in FIGS. 4 to 5 , if the network domain
因此,就算嫌疑網域SD1真的是駭客進行網路攻擊時所使用的惡意網域、駭客測試木馬程式時所使用的測試網域、或是已植入某個用戶端裝置的惡意程式碼想要連線的惡意網域,但也難以對客戶端網路系統150、160、及170中的其他成員裝置造成進一步危害,因為資安威脅分析裝置116會及時更新提供給威脅資訊更新裝置120、130、及140的資安威脅情資(阻擋名單),所以嫌疑網域SD1能對客戶端網路系統150、160、及170造成的破壞會被有效控制在相當有限的範圍內。
Therefore, even if the suspected domain SD1 is really a malicious domain used by hackers to conduct network attacks, a test domain used by hackers to test Trojans, or a malicious program that has been implanted in a client device It is difficult to cause further harm to other member devices in the
藉由採用前述圖4至圖5的方法,前攝性可疑網域示警系統110有機會致使威脅資訊更新裝置120、130、及140能夠在早於嫌疑網域SD1造成實質破壞之前,就開始阻擋客戶端網路系統150、160、及170中的所有成員電路存取嫌疑網域SD1。如此一來,駭客試圖利用嫌疑網域SD1進行的網路攻擊行動,甚至可能被網路資安威脅防護系統100所採用的前述資安防護機制完全抑制。
By adopting the aforementioned methods of FIGS. 4-5 , the proactive suspicious
從另一角度而言,採用前述圖4至圖5的方法來評估已註冊超過一段時間的嫌疑網域是否具有潛在的網路資安威脅,可對駭客利用舊網域進行網路攻擊的行動造成阻礙,進而有效增加駭客實施網路攻擊的困難度。 From another point of view, using the aforementioned methods in Figures 4 to 5 to evaluate whether a suspected domain that has been registered for a period of time has potential network security threats can prevent hackers from using the old domain to conduct network attacks. Action creates obstacles, which effectively increases the difficulty for hackers to carry out cyber attacks.
很明顯地,前述的資安防護機制將迫使駭客必需註冊更多的網域來 使用,所以能夠大幅拉高駭客實施網路攻擊的成本,進而降低駭客進行網路攻擊的可能性。 Obviously, the aforementioned information security protection mechanism will force hackers to register more domains to Therefore, it can greatly increase the cost of hackers to carry out network attacks, thereby reducing the possibility of hackers carrying out network attacks.
因此,前述的前攝性可疑網域示警系統110可對客戶端網路系統150、160、及170提供前攝性網路資安防護,進而提高對於客戶端網路系統150、160、及170的網路資安防護嚴密程度。
Therefore, the aforementioned proactive suspicious network
請注意,前述網路資安威脅防護系統100的架構只是一示範性的實施例,並非侷限本發明的實際實施方式。例如,可以將前述的網域名稱系統監測裝置102、可疑網域資訊收集裝置104、和/或網域擁有者資訊偵測裝置106的功能,整合到網域資訊監測裝置112中。在此情況下,便可將圖1中的網域名稱系統監測裝置102、可疑網域資訊收集裝置104、和/或網域擁有者資訊偵測裝置106的功能方塊省略。
Please note that the aforementioned structure of the network information security
又例如,也可將網路管理裝置152、162、及172的功能,分別整合到相應的威脅資訊更新裝置120、130、及140中。在此情況下,便可將圖1中的網路管理裝置152、162、及172的功能方塊省略。
For another example, the functions of the
另外,在前述的實施例中,圖4至圖5的運作流程是接續在前述圖2的運作流程之後進行,但這只是一示範性的實施例,並非侷限本發明的實際實施方式。例如,網路資安威脅防護系統100也可直接將已註冊超過一段時間(例如,網域年齡超過前述的第一臨界值)的網域都直接當成嫌疑網域,並採用前述圖4至圖5的方法來評估這些嫌疑網域的資安威脅,而無需先對嫌疑網域進行前述圖2或圖3的運作流程。
In addition, in the aforementioned embodiment, the operation flow of FIG. 4 to FIG. 5 is performed after the operation flow of the aforementioned FIG. 2 , but this is only an exemplary embodiment and is not intended to limit the actual implementation of the present invention. For example, the network information security
在某些應用中,也可以將前述圖2中的流程204省略,以減輕威脅資訊更新裝置120、130、及140的運算負擔。如此一來,威脅資訊更新裝置120、130、及140便可用更精簡的硬體架構、軟體模組、或雲端模組來實現。
In some applications, the
在說明書及申請專利範圍中使用了某些詞彙來指稱特定的元件,而 本領域內的技術人員可能會用不同的名詞來稱呼同樣的元件。本說明書及申請專利範圍並不以名稱的差異來做為區分元件的方式,而是以元件在功能上的差異來做為區分的基準。在說明書及申請專利範圍中所提及的「包含」為開放式的用語,應解釋成「包含但不限定於」。另外,「耦接」一詞在此包含任何直接及間接的連接手段。因此,若文中描述第一元件耦接於第二元件,則代表第一元件可通過電性連接或無線傳輸、光學傳輸等信號連接方式而直接地連接於第二元件,或通過其它元件或連接手段間接地電性或信號連接至第二元件。 Certain terms are used in the specification and in the claims to refer to specific elements, and Those skilled in the art may refer to the same element by different nouns. This specification and the scope of the patent application do not use the difference in name as a way to distinguish elements, but use the difference in function of the elements as a criterion for distinguishing. The "comprising" mentioned in the description and the scope of the patent application is an open-ended term, and should be interpreted as "including but not limited to". In addition, the term "coupled" herein includes any direct and indirect means of connection. Therefore, if it is described in the text that the first element is coupled to the second element, it means that the first element can be directly connected to the second element through electrical connection or signal connection such as wireless transmission or optical transmission, or through other elements or connections. The means is indirectly electrically or signally connected to the second element.
在說明書中所使用的「和/或」的描述方式,包含所列舉的其中一個項目或多個項目的任意組合。另外,除非說明書中特別指明,否則任何單數格的用語都同時包含複數格的含義。 The descriptions of "and/or" used in the specification include any combination of one or more of the listed items. In addition, unless otherwise specified in the specification, any term in the singular also includes the meaning in the plural.
以上僅為本發明的較佳實施例,凡依本發明請求項所做的等效變化與修改,皆應屬本發明的涵蓋範圍。 The above are only preferred embodiments of the present invention, and all equivalent changes and modifications made according to the claims of the present invention shall fall within the scope of the present invention.
100:網路資安威脅防護系統 100: Network Information Security Threat Protection System
102:網域名稱系統監測裝置 102: Domain Name System Monitoring Device
104:可疑網域資訊收集裝置 104:Suspicious domain information collection device
106:網域擁有者資訊偵測裝置 106: Domain owner information detection device
110:前攝性可疑網域示警系統 110: Proactive suspicious domain warning system
112:網域資訊監測裝置 112: Network domain information monitoring device
114:網域資訊儲存裝置 114: Domain Information Storage Device
116:資安威脅分析裝置 116: Information Security Threat Analysis Device
120、130、140:威脅資訊更新裝置 120, 130, 140: Threat information update device
122、132、142:通信電路 122, 132, 142: Communication circuits
124、134、144:處理電路 124, 134, 144: Processing circuits
126、136、146:儲存電路 126, 136, 146: Storage circuit
150、160、170:客戶端網路系統 150, 160, 170: Client network system
152、162、172:網路管理裝置 152, 162, 172: Network management device
Claims (6)
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/491,881 US11558352B2 (en) | 2020-10-19 | 2021-10-01 | Cyber security protection system and related proactive suspicious domain alert system |
| JP2021170882A JP7161021B2 (en) | 2020-10-19 | 2021-10-19 | Cybersecurity protection system and associated proactive suspicious domain warning system |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202063093546P | 2020-10-19 | 2020-10-19 | |
| US63/093,546 | 2020-10-19 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202217617A TW202217617A (en) | 2022-05-01 |
| TWI764618B true TWI764618B (en) | 2022-05-11 |
Family
ID=82199142
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW110108787A TWI764618B (en) | 2020-10-19 | 2021-03-11 | Cyber security protection system and related proactive suspicious domain alert system |
| TW110108788A TWI761122B (en) | 2020-10-19 | 2021-03-11 | Cyber security protection system and related proactive suspicious domain alert system |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW110108788A TWI761122B (en) | 2020-10-19 | 2021-03-11 | Cyber security protection system and related proactive suspicious domain alert system |
Country Status (1)
| Country | Link |
|---|---|
| TW (2) | TWI764618B (en) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI455546B (en) * | 2011-06-08 | 2014-10-01 | Univ Nat Cheng Kung | Detection method and system for fast-flux malicious domain |
| TWI478561B (en) * | 2012-04-05 | 2015-03-21 | Inst Information Industry | Domain tracing method and system and computer-readable storage medium storing the method |
| TWI524207B (en) * | 2015-06-18 | 2016-03-01 | Chunghwa Telecom Co Ltd | Method of detecting suspicious botnet relay station domain name |
| TW201902174A (en) * | 2017-05-22 | 2019-01-01 | 中華電信股份有限公司 | Malicious domain detection method combining domain intelligence information and network traffic comprising a cyber threat intelligence sharing platform to store the detected threat intelligence for sharing |
| TWI677209B (en) * | 2018-07-26 | 2019-11-11 | 玉山商業銀行股份有限公司 | Domain name filtering method |
| TW202009767A (en) * | 2018-08-28 | 2020-03-01 | 中華電信股份有限公司 | Gateway apparatus, detecting method of malicious domain and hacked host, and non-transitory computer readable medium thereof |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107454109B (en) * | 2017-09-22 | 2020-06-23 | 杭州安恒信息技术股份有限公司 | Network privacy stealing behavior detection method based on HTTP traffic analysis |
| TWM594841U (en) * | 2019-12-18 | 2020-05-01 | 中華資安國際股份有限公司 | Packet capture and analysis device and cyber security system having the same capability |
-
2021
- 2021-03-11 TW TW110108787A patent/TWI764618B/en active
- 2021-03-11 TW TW110108788A patent/TWI761122B/en active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI455546B (en) * | 2011-06-08 | 2014-10-01 | Univ Nat Cheng Kung | Detection method and system for fast-flux malicious domain |
| TWI478561B (en) * | 2012-04-05 | 2015-03-21 | Inst Information Industry | Domain tracing method and system and computer-readable storage medium storing the method |
| TWI524207B (en) * | 2015-06-18 | 2016-03-01 | Chunghwa Telecom Co Ltd | Method of detecting suspicious botnet relay station domain name |
| TW201902174A (en) * | 2017-05-22 | 2019-01-01 | 中華電信股份有限公司 | Malicious domain detection method combining domain intelligence information and network traffic comprising a cyber threat intelligence sharing platform to store the detected threat intelligence for sharing |
| TWI656778B (en) * | 2017-05-22 | 2019-04-11 | 中華電信股份有限公司 | Malicious domain detection method combining network information and network traffic |
| TWI677209B (en) * | 2018-07-26 | 2019-11-11 | 玉山商業銀行股份有限公司 | Domain name filtering method |
| TW202009767A (en) * | 2018-08-28 | 2020-03-01 | 中華電信股份有限公司 | Gateway apparatus, detecting method of malicious domain and hacked host, and non-transitory computer readable medium thereof |
Non-Patent Citations (1)
| Title |
|---|
| 網路文獻 iThome DNS危機解密 iThome 西元2016年7月9日 https://www.ithome.com.tw/guest-post/106780 * |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202218377A (en) | 2022-05-01 |
| TW202217617A (en) | 2022-05-01 |
| TWI761122B (en) | 2022-04-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10560434B2 (en) | Automated honeypot provisioning system | |
| US9306964B2 (en) | Using trust profiles for network breach detection | |
| US10432650B2 (en) | System and method to protect a webserver against application exploits and attacks | |
| EP2659416B1 (en) | Systems and methods for malware detection and scanning | |
| US9519782B2 (en) | Detecting malicious network content | |
| US8869268B1 (en) | Method and apparatus for disrupting the command and control infrastructure of hostile programs | |
| US20160078229A1 (en) | System And Method For Threat Risk Scoring Of Security Threats | |
| US11861008B2 (en) | Using browser context in evasive web-based malware detection | |
| US20180054458A1 (en) | System and method for mitigating distributed denial of service attacks in a cloud environment | |
| US11290424B2 (en) | Methods and systems for efficient network protection | |
| US11258812B2 (en) | Automatic characterization of malicious data flows | |
| JP2006119754A (en) | Network-type virus activity detection program, processing method and system | |
| Man et al. | A collaborative intrusion detection system framework for cloud computing | |
| EP3374870A1 (en) | System and method for threat risk scoring of security threats | |
| JP7161021B2 (en) | Cybersecurity protection system and associated proactive suspicious domain warning system | |
| TWI764618B (en) | Cyber security protection system and related proactive suspicious domain alert system | |
| JP7167290B2 (en) | Cybersecurity protection system and associated proactive suspicious domain warning system | |
| Tupakula et al. | Dynamic state-based security architecture for detecting security attacks in virtual machines |