TWI768462B - 用於偵測虛擬終端的異常連線行為的方法和電子裝置 - Google Patents
用於偵測虛擬終端的異常連線行為的方法和電子裝置 Download PDFInfo
- Publication number
- TWI768462B TWI768462B TW109130962A TW109130962A TWI768462B TW I768462 B TWI768462 B TW I768462B TW 109130962 A TW109130962 A TW 109130962A TW 109130962 A TW109130962 A TW 109130962A TW I768462 B TWI768462 B TW I768462B
- Authority
- TW
- Taiwan
- Prior art keywords
- virtual terminal
- historical
- server
- current
- connection information
- Prior art date
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Testing Of Short-Circuits, Discontinuities, Leakage, Or Incorrect Line Connections (AREA)
Abstract
一種用於偵測虛擬終端的異常連線行為的方法和電子裝置,包含:取得對應第一虛擬終端且包含第一目標資訊的第一歷史連線資訊以及對應第二虛擬終端且包含第二目標資訊的第二歷史連線資訊;響應於第一目標資訊與第二目標資訊匹配而產生歷史虛擬終端清單;取得對應第一虛擬終端的當前目標資訊以及對應第一伺服器的連線資訊;響應於當前目標資訊與第一伺服器匹配而添加對應連線資訊的虛擬終端至歷史虛擬終端清單以產生當前虛擬終端清單;以及計算歷史虛擬終端清單與當前虛擬終端清單的虛擬終端個數差異,並且根據虛擬終端個數差異發出告警。
Description
本發明是有關於一種用於偵測虛擬終端的異常連線行為的方法和電子裝置。
使用者可通過使用虛擬終端或虛擬帳戶來存取實體(例如:終端電腦或伺服器)中的資料,藉以使用由實體提供的服務。在一些情況下,虛擬終端或實體可能遭到駭客入侵進而造成機密資料外流。據此,如何提出一種能防止諸如駭客入侵等資安事件發生的方法,是本領域人員致力的目標之一。
本發明提供一種用於偵測虛擬終端的異常連線行為的方法和電子裝置,可協助管理者確認是否有異常連線行為發生。
本發明的一種電子裝置,適用於偵測虛擬終端的異常連線行為,其中電子裝置包含處理器、儲存媒體以及收發器。儲存媒體儲存多個模組。處理器耦接儲存媒體以及收發器,並且存取和執行多個模組,其中多個模組包含歷史資料收集模組、當前資料收集模組以及運算模組。歷史資料收集模組通過收發器取得對應於第一虛擬終端的第一歷史連線資訊以及對應於第二虛擬終端的第二歷史連線資訊,其中第一歷史連線資訊包含第一目標資訊,並且第二歷史連線資訊包含第二目標資訊。運算模組響應於第一目標資訊與第二目標資訊匹配而產生對應於第一虛擬終端的歷史虛擬終端清單,其中歷史虛擬終端清單包含第二虛擬終端。當前資料收集模組通過收發器取得對應於第一虛擬終端的第一當前連線資訊以及對應於第一伺服器的至少一連線資訊,其中第一當前連線資訊包含當前目標資訊,其中運算模組響應於當前目標資訊與第一伺服器匹配而添加對應於至少一連線資訊的至少一虛擬終端至歷史虛擬終端清單以產生當前虛擬終端清單,其中運算模組計算歷史虛擬終端清單與當前虛擬終端清單的虛擬終端個數差異,並且響應於虛擬終端個數差異大於或等於第一閾值而通過收發器發出對應於第一虛擬終端的第一告警。
在本發明的一實施例中,上述的歷史資料收集模組通過收發器取得對應於第一伺服器的第三歷史連線資訊以及對應於第二伺服器的第四歷史連線資訊,其中第三歷史連線資訊包含第一來源資訊,並且第四歷史連線資訊包含第二來源資訊,其中運算模組響應於第一來源資訊與第二來源資訊匹配而產生對應於第一伺服器的歷史伺服器清單,其中歷史伺服器清單包含第二伺服器。
在本發明的一實施例中,上述的至少一連線資訊包含第二當前連線資訊,其中第二當前連線資訊包含當前來源資訊,其中當前資料收集模組取得對應於第三虛擬終端的至少一第二連線資訊,其中運算模組響應於當前來源資訊與第三虛擬終端匹配而添加對應於至少一第二連線資訊的至少一伺服器至歷史伺服器清單以產生當前伺服器清單,其中運算模組計算歷史伺服器清單與當前伺服器清單的伺服器個數差異,並且響應於伺服器個數差異大於或等於第二閾值而通過收發器發出對應於第一伺服器的第二告警。
在本發明的一實施例中,上述的儲存媒體更儲存白名單,其中運算模組響應於第一虛擬終端與白名單不匹配而發出第一告警。
在本發明的一實施例中,上述的儲存媒體更儲存白名單,其中運算模組響應於第三虛擬終端與白名單不匹配而發出第二告警。
在本發明的一實施例中,上述的第一閾值為大於或等於二的任意正整數。
在本發明的一實施例中,上述的第二閾值為大於或等於二的任意正整數。
本發明的一種用於偵測虛擬終端的異常連線行為的方法,包含:取得對應於第一虛擬終端的第一歷史連線資訊以及對應於第二虛擬終端的第二歷史連線資訊,其中第一歷史連線資訊包含第一目標資訊,並且第二歷史連線資訊包含第二目標資訊;響應於第一目標資訊與第二目標資訊匹配而產生對應於第一虛擬終端的歷史虛擬終端清單,其中歷史虛擬終端清單包含第二虛擬終端;取得對應於第一虛擬終端的第一當前連線資訊以及對應於第一伺服器的至少一連線資訊,其中第一當前連線資訊包含當前目標資訊;響應於當前目標資訊與第一伺服器匹配而添加對應於至少一連線資訊的至少一虛擬終端至歷史虛擬終端清單以產生當前虛擬終端清單;以及計算歷史虛擬終端清單與當前虛擬終端清單的虛擬終端個數差異,並且響應於虛擬終端個數差異大於或等於第一閾值而發出對應於第一虛擬終端的第一告警。
基於上述,本發明的電子裝置可針對虛擬終端或伺服器製作虛擬終端清單或伺服器清單。並隨著時間變化即時地更新各個清單。當清單中所記載的虛擬終端個數或伺服器個數發生較大的變化時,電子裝置可根據變化來判斷是否有異常連線行為發生。
為了使本發明之內容可以被更容易明瞭,以下特舉實施例作為本發明確實能夠據以實施的範例。另外,凡可能之處,在圖式及實施方式中使用相同標號的元件/構件/步驟,係代表相同或類似部件。
圖1根據本發明的實施例繪示一種電子裝置100的示意圖。電子裝置100適用於偵測虛擬終端的異常連線行為。電子裝置100可包含處理器110、儲存媒體120以及收發器130。
處理器110例如是中央處理單元(central processing unit,CPU),或是其他可程式化之一般用途或特殊用途的微控制單元(micro control unit,MCU)、微處理器(microprocessor)、數位信號處理器(digital signal processor,DSP)、可程式化控制器、特殊應用積體電路(application specific integrated circuit,ASIC)、圖形處理器(graphics processing unit,GPU)、影像訊號處理器(image signal processor,ISP)、影像處理單元(image processing unit,IPU)、算數邏輯單元(arithmetic logic unit,ALU)、複雜可程式邏輯裝置(complex programmable logic device,CPLD)、現場可程式化邏輯閘陣列(field programmable gate array,FPGA)或其他類似元件或上述元件的組合。處理器110可耦接至儲存媒體120以及收發器130,並且存取和執行儲存於儲存媒體120中的多個模組和各種應用程式。
儲存媒體120例如是任何型態的固定式或可移動式的隨機存取記憶體(random access memory,RAM)、唯讀記憶體(read-only memory,ROM)、快閃記憶體(flash memory)、硬碟(hard disk drive,HDD)、固態硬碟(solid state drive,SSD)或類似元件或上述元件的組合,而用於儲存可由處理器110執行的多個模組或各種應用程式。在本實施例中,儲存媒體120可儲存包含歷史資料收集模組121、當前資料收集模組122以及運算模組123等多個模組,其功能將於後續說明。
收發器130以無線或有線的方式傳送及接收訊號。收發器130還可以執行例如低噪聲放大、阻抗匹配、混頻、向上或向下頻率轉換、濾波、放大以及類似的操作。
圖2根據本發明的實施例繪示尚未發生異常連線行為的網路拓撲的示意圖,其中圖2中的網路拓撲可對應於第一時間點。在本實施例中,假設網路拓撲中包含兩個網路群組,分別為網路群組A和網路群組B。網路群組A中的網路節點可包含虛擬終端21、虛擬終端22以及伺服器31,其中伺服器31分別與虛擬終端21和虛擬終端22通訊連接。網路群組B中的網路節點可包含虛擬終端23、虛擬終端24、虛擬終端25、伺服器32以及伺服器33,其中伺服器32分別與虛擬終端23與虛擬終端24通訊連接,並且伺服器33分別與虛擬終端24與虛擬終端25通訊連接。網路群組A和網路群組B可由隔離設備40(例如:防火牆)隔離,而使得網路群組A中的任意網路節點不得與網路群組B中的任意節點連線。
歷史資料收集模組121可通過收發器130取得各個網路群組中的網路節點在第一時間點時的歷史連線資訊。以網路群組A為例,當虛擬終端21在第一時間點通過防火牆連線至伺服器31時,歷史資料收集模組121可通過收發器130存取防火牆以取得虛擬終端21或伺服器31的歷史連線資訊。當虛擬終端22在第一時間點通過防火牆連線至伺服器31時,歷史資料收集模組121可通過收發器130存取防火牆以取得虛擬終端22或伺服器31的歷史連線資訊。
歷史連線資訊可包含來源資訊或目標資訊,其中來源資訊可指示存取了伺服器的虛擬終端,並且目標資訊可指示被虛擬終端所存取的伺服器。舉例來說,虛擬終端21可存取伺服器31,因此,對應於虛擬終端21的歷史連線資訊可包含指示伺服器31的位址(例如:IP位址)或識別碼的目標資訊或指示虛擬終端21的位址或識別碼的來源資訊。虛擬終端22可存取伺服器31,因此,對應於虛擬終端22的歷史連線資訊可包含指示伺服器31的位址或識別碼的目標資訊或指示虛擬終端22的位址或識別碼的來源資訊。對應於伺服器31的歷史連線資訊可包含指示虛擬終端21或虛擬終端22的位址或識別碼的來源資訊或指示伺服器31的位址或識別碼的目標資訊。
運算模組123可產生對應於虛擬終端的歷史虛擬終端清單,其中歷史虛擬終端清單可記載在第一時間點時與所述虛擬終端存取相同伺服器的其他虛擬終端。舉例來說,對應於虛擬終端21的歷史連線資訊可包含指示伺服器31的目標資訊,並且對應於虛擬終端22的歷史連線資訊可包含指示伺服器31的目標資訊。運算模組123可響應於對應於虛擬終端21的歷史連線資訊中的目標資訊與對應於虛擬終端22的歷史連線資訊中的目標資訊匹配而產生對應於虛擬終端21的歷史虛擬終端清單,其中所述歷史虛擬終端清單可包含虛擬終端22。
舉另一例來說,歷史資料收集模組121可取得對應於伺服器31的多個歷史連線資訊,其中多個歷史連線資訊中的第一歷史連線資訊可包含指示虛擬終端21的來源資訊以及指示伺服器31的目標資訊,並且多個歷史連線資訊的第二歷史連線資訊可包含指示虛擬終端22的來源資訊以及指示伺服器31的目標資訊。運算模組123可響應於第一歷史連線資訊中的目標資訊與第二歷史連線資訊中的目標資訊匹配而產生對應於虛擬終端21的歷史虛擬終端清單,其中所述歷史虛擬終端清單可包含虛擬終端22。基於類似的步驟,運算模組123可為圖2的網路拓撲中的每一個虛擬終端產生對應的歷史虛擬終端清單,如表1所示。
表1
虛擬終端 | 歷史虛擬終端清單 |
虛擬終端21 | 虛擬終端22 |
虛擬終端22 | 虛擬終端21 |
虛擬終端23 | 虛擬終端24 |
虛擬終端24 | 虛擬終端23、虛擬終端25 |
虛擬終端25 | 虛擬終端24 |
另一方面,運算模組123可產生對應於伺服器的歷史伺服器清單,其中歷史伺服器清單可記載在第一時間點時被與所述伺服器相同的虛擬終端所存取的其他伺服器。舉例來說,對應於伺服器32的歷史連線資訊可包含指示虛擬終端24的來源資訊,並且對應於伺服器33的歷史連線資訊可包含指示虛擬終端24的來源資訊。運算模組123可響應於對應於伺服器32的歷史連線資訊中的來源資訊與對應於伺服器33的歷史連線資訊中的來源資訊匹配而產生對應於伺服器32的歷史伺服器清單,其中所述歷史伺服器清單可包含伺服器33。
舉另一例來說,歷史資料收集模組121可取得對應於虛擬終端24的多個歷史連線資訊,其中多個歷史連線資訊中的第一歷史連線資訊可包含指示伺服器32的目標資訊以及指示虛擬終端24的來源資訊,並且多個歷史連線資訊中的第二歷史連線資訊可包含指示伺服器33的目標資訊以及指示虛擬終端24的來源資訊。運算模組123可響應於第一歷史連線資訊中的來源資訊與第二歷史連線資訊中的來源資訊匹配而產生對應於伺服器32的歷史伺服器清單,其中所述歷史伺服器清單可包含伺服器33。基於類似的步驟,運算模組123可為圖2中的網路拓撲中的每一個伺服器產生對應的歷史伺服器清單,如表2所示。
表2
伺服器 | 歷史伺服器清單 |
伺服器31 | |
伺服器32 | 伺服器33 |
伺服器33 | 伺服器32 |
圖3根據本發明的實施例繪示已發生異常連線行為的網路拓撲的示意圖,其中圖3中的網路拓撲可對應於晚於第一時間點的第二時間點。在本實施例中,假設虛擬終端24突破隔離設備40的防護而非法地連線至伺服器31。電子裝置100可偵測出虛擬終端24或伺服器31的異常連線行為而發出告警訊息以提示管理者。
具體來說,當前資料收集模組122可通過收發器130取得各個網路群組中的網路節點在第二時間點時的當前連線資訊。以網路群組A為例,當虛擬終端21在第二時間點通過防火牆連線至伺服器31時,當前資料收集模組122可通過收發器130存取防火牆以取得虛擬終端21或伺服器31的當前連線資訊。當虛擬終端22在第二時間點通過防火牆連線至伺服器31時,當前資料收集模組122可通過收發器130存取防火牆以取得虛擬終端22或伺服器31的當前連線資訊。
當前連線資訊可包含當前來源資訊或當前目標資訊,其中當前來源資訊可指示存取了伺服器的虛擬終端,並且當前目標資訊可指示被虛擬終端所存取的伺服器。舉例來說,虛擬終端21可存取伺服器31,因此,對應於虛擬終端21的當前連線資訊可包含指示伺服器31的位址(例如:IP位址)或識別碼的當前目標資訊或指示虛擬終端21的位址或識別碼的當前來源資訊。虛擬終端22可存取伺服器31,因此,對應於虛擬終端22的當前連線資訊可包含指示伺服器31的位址或識別碼的當前目標資訊或指示虛擬終端22的位址或識別碼的當前來源資訊。對應於伺服器31的當前連線資訊可包含指示虛擬終端21或虛擬終端22的位址或識別碼的當前來源資訊或指示伺服器31的位址或識別碼的當前目標資訊。
運算模組123可產生對應於虛擬終端的當前虛擬終端清單,其中當前虛擬終端清單可記載在第二時間點時與所述虛擬終端存取相同伺服器的其他虛擬終端。舉例來說,對應於虛擬終端24的當前連線資訊可包含指示伺服器31的當前目標資訊,並且對應於伺服器31的多個當前連線資訊可包含第一當前連線資訊、第二當前連線資訊以及第三當前連線資訊,其中第一當前連線資訊可包含指示虛擬終端21的當前來源資訊,第二當前連線資訊可包含指示虛擬終端22的當前來源資訊,並且第三當前連線資訊可包含指示虛擬終端24的當前來源資訊。運算模組123可響應於對應於虛擬終端24的當前連線資訊中的當前目標資訊與伺服器31匹配而添加對應於伺服器31的當前連線資訊的虛擬終端(即:虛擬終端21以及虛擬終端22)至虛擬終端24的歷史虛擬終端清單中以產生對應於虛擬終端24的當前虛擬終端清單。
舉另一例來說,對應於虛擬終端24的當前連線資訊可包含指示伺服器31的當前目標資訊,並且對應於虛擬終端21(或虛擬終端22)的當前連線資訊可包含指示伺服器31的當前目標資訊。運算模組123可響應於對應於虛擬終端24的當前連線資訊中的當前目標資訊與對應於虛擬終端21(或虛擬終端22)的當前連線資訊中的當前目標資訊匹配而添加虛擬終端21(或虛擬終端22)至虛擬終端24的歷史虛擬終端清單中以產生對應於虛擬終端24的當前虛擬終端清單。基於類似的步驟,運算模組123可為圖3的網路拓撲中的每一個虛擬終端產生對應的當前虛擬終端清單,如表3所示。
表3
虛擬終端 | 當前虛擬終端清單 |
虛擬終端21 | 虛擬終端22、 虛擬終端 24 |
虛擬終端22 | 虛擬終端21、 虛擬終端 24 |
虛擬終端23 | 虛擬終端24 |
虛擬終端24 | 虛擬終端23、虛擬終端25、 虛擬終端 21 、 虛擬終端 22 |
虛擬終端25 | 虛擬終端24 |
運算模組123可計算歷史虛擬終端清單與當前虛擬終端清單之間的虛擬終端個數差異,並且根據虛擬終端個數差異判斷是否發出告警。具體來說,運算模組123可響應於虛擬終端個數差異大於或等於第一閾值而通過收發器130發出相應的告警,其中第一閾值可為大於或等於二的任意正整數。參照表1和表3,以虛擬終端24為例,運算模組123可計算虛擬終端24的歷史虛擬終端清單與當前虛擬終端清單之間的虛擬終端個數差異。相較於虛擬終端24的歷史虛擬終端清單,虛擬終端24的當前虛擬終端清單增加了虛擬終端21和虛擬終端22等兩個虛擬終端。因此,運算模組123可判斷虛擬終端24的歷史虛擬終端清單與當前虛擬終端清單之間的虛擬終端個數差異為二。運算模組123可響應於虛擬終端個數差異大於或等於二而判斷虛擬終端24出現異常連線行為。據此,運算模組123可通過收發器130發出對應於虛擬終端24的告警。舉例來說,運算模組123可通過收發器130將告警發送至管理者持有的終端裝置,以提示管理者虛擬終端24發生異常連線行為。
在一實施例中,儲存媒體120可儲存記載了一或多個虛擬終端的白名單。若虛擬終端24不包含於白名單中,則運算模組123可響應於虛擬終端24不包含在白名單中而通過收發器130發出對應於虛擬終端24的告警。若虛擬終端24包含於白名單中,則運算模組123可響應於虛擬終端24包含於白名單中而不發出對應於虛擬終端24的告警。
運算模組123可產生對應於伺服器的當前伺服器清單,其中當前伺服器清單可記載在第二時間點時被與所述伺服器相同的虛擬終端存取的其他伺服器。舉例來說,對應於伺服器31的當前連線資訊可包含指示虛擬終端24的當前來源資訊,並且對應於虛擬終端24的多個當前連線資訊可包含第一當前連線資訊、第二當前連線資訊以及第三當前連線資訊,其中第一當前連線資訊可包含指示伺服器31的當前目標資訊,第二當前連線資訊可包含指示伺服器32的當前目標資訊,並且第三當前連線資訊可包含指示伺服器33的當前目標資訊。運算模組123可響應於對應於伺服器31的當前連線資訊中的當前來源資訊與虛擬終端24匹配而添加對應於虛擬終端24的當前連線資訊的伺服器(即:伺服器32以及伺服器33)至伺服器31的歷史伺服器清單中以產生對應於伺服器31的當前伺服器清單。
舉另一例來說,對應於伺服器31的當前連線資訊可包含指示虛擬終端24的當前來源資訊,並且對應於伺服器32(或伺服器33)的當前連線資訊可包含指示虛擬終端24的當前來源資訊。運算模組123可響應於對應於伺服器31的當前連線資訊中的當前來源資訊與對應於伺服器32(或伺服器33)的當前連線資訊中的當前來源資訊匹配而添加伺服器32(或伺服器33)至伺服器31的歷史伺服器清單中以產生對應於伺服器31的當前伺服器清單。基於類似的步驟,運算模組123可為圖3的網路拓撲中的每一個伺服器產生對應的當前伺服器清單,如表4所示。
表4
伺服器 | 歷史伺服器清單 |
伺服器31 | 伺服器 32 、 伺服器 33 |
伺服器32 | 伺服器33、 伺服器 31 |
伺服器33 | 伺服器32、 伺服器 31 |
運算模組123可計算歷史伺服器清單與當前伺服器清單之間的伺服器個數差異,並且根據伺服器個數差異判斷是否發出告警。具體來說,運算模組123可響應於伺服器個數差異大於或等於第二閾值而通過收發器130發出相應的告警,其中第二閾值可為大於或等於二的任意正整數。參照表2和表4,以伺服器31為例,運算模組123可計算伺服器31的歷史伺服器清單與當前伺服器清單之間的伺服器個數差異。相較於伺服器31的歷史伺服器清單,伺服器31的當前伺服器清單增加了伺服器32和伺服器33等兩個伺服器。因此,運算模組123可判斷伺服器31的歷史伺服器清單與當前伺服器清單之間的伺服器個數差異為二。運算模組123可響應於伺服器個數差異大於或等於二而判斷伺服器31發生異常連線行為(例如:遭到非法的虛擬終端的存取)。據此,運算模組123可通過收發器130發出對應於伺服器31的告警。舉例來說,運算模組123可通過收發器130將告警發送至管理者持有的終端裝置,以提示管理者伺服器31發生異常連線行為。
在一實施例中,儲存媒體120可儲存記載了一或多個伺服器的白名單。若伺服器31不包含於白名單中,則運算模組123可響應於伺服器31不包含於白名單中而通過收發器130發出對應於伺服器31的告警。若伺服器31包含於白名單中,則運算模組123可響應於伺服器31包含於白名單中而不發出對應於伺服器31的告警。
圖4根據本發明的實施例繪示一種適用於偵測虛擬終端的異常連線行為的方法的流程圖,其中所述方法可由如圖1所示的電子裝置100實施。在步驟S401中,取得對應於第一虛擬終端的第一歷史連線資訊以及對應於第二虛擬終端的第二歷史連線資訊,其中第一歷史連線資訊包含第一目標資訊,並且第二歷史連線資訊包含第二目標資訊。在步驟S402中,響應於第一目標資訊以及第二目標資訊匹配而產生對應於第一虛擬終端的歷史虛擬終端清單,其中歷史虛擬終端清單包含第二虛擬終端。在步驟S403中,取得對應於第一虛擬終端的第一當前連線資訊以及對應於第一伺服器的至少一連線資訊,其中第一當前連線資訊包含當前目標資訊。在步驟S404中,響應於當前目標資訊與第一伺服器匹配而添加對應於至少一連線資訊的至少一虛擬終端至歷史虛擬終端清單以產生當前虛擬終端清單。在步驟S405中,判斷第一虛擬終端是否在白名單之中。若第一虛擬終端在白名單之中,則結束流程,亦即,不發出對應於第一虛擬終端的告警。若第一虛擬終端並不在白名單之中,則進入步驟S406。在步驟S406中,計算歷史虛擬終端清單與當前虛擬終端清單的虛擬終端個數差異,並且響應於虛擬終端個數差異大於或等於第一閾值而發出對應於第一虛擬終端的第一告警。
綜上所述,本發明的電子裝置可完整地掃描各個網域內的虛擬終端或伺服器的連線行為,協助管理者確認是否有異常連線行為發生。針對虛擬終端,電子裝置可基於虛擬終端的歷史連線行為和當前連線行為判斷與所述虛擬終端存取相同伺服器之其他虛擬終端的個數的變化。若變化過大,電子裝置可判斷所述虛擬終端可能發生異常連線行為。針對伺服器,電子裝置可基於伺服器的歷史連線行為和當前連線行為判斷與所述伺服器被相同的虛擬終端存取的其他伺服器的個數的變化。若變化過大,電子裝置可判斷存取所述伺服器的一或多個虛擬終端中可能包含具有異常連線行為之虛擬終端。
100:電子裝置
110:處理器
120:儲存媒體
121:歷史資料收集模組
122:當前資料收集模組
123:運算模組
130:收發器
21、22、23、24、25:虛擬終端
31、32、33:伺服器
40:隔離設備
S401、S402、S403、S404、S405、S406:步驟
圖1根據本發明的實施例繪示一種電子裝置的示意圖。
圖2根據本發明的實施例繪示尚未發生異常連線行為的網路拓撲的示意圖。
圖3根據本發明的實施例繪示已發生異常連線行為的網路拓撲的示意圖。
圖4根據本發明的實施例繪示一種適用於偵測虛擬終端的異常連線行為的方法的流程圖。
S401、S402、S403、S404、S405、S406:步驟
Claims (8)
- 一種電子裝置,適用於偵測虛擬終端的異常連線行為,其中所述電子裝置包括: 收發器; 儲存媒體,儲存多個模組;以及 處理器,耦接所述儲存媒體以及所述收發器,並且存取和執行所述多個模組,其中所述多個模組包括: 歷史資料收集模組,通過所述收發器取得對應於第一虛擬終端的第一歷史連線資訊以及對應於第二虛擬終端的第二歷史連線資訊,其中所述第一歷史連線資訊包括第一目標資訊,並且所述第二歷史連線資訊包括第二目標資訊; 運算模組,響應於所述第一目標資訊與所述第二目標資訊匹配而產生對應於所述第一虛擬終端的歷史虛擬終端清單,其中所述歷史虛擬終端清單包括所述第二虛擬終端;以及 當前資料收集模組,通過所述收發器取得對應於所述第一虛擬終端的第一當前連線資訊以及對應於第一伺服器的至少一連線資訊,其中所述第一當前連線資訊包括當前目標資訊,其中 所述運算模組響應於所述當前目標資訊與所述第一伺服器匹配而添加對應於所述至少一連線資訊的至少一虛擬終端至所述歷史虛擬終端清單以產生當前虛擬終端清單,其中 所述運算模組計算所述歷史虛擬終端清單與所述當前虛擬終端清單的虛擬終端個數差異,並且響應於所述虛擬終端個數差異大於或等於第一閾值而通過所述收發器發出對應於所述第一虛擬終端的第一告警。
- 如請求項1所述的電子裝置,其中 所述歷史資料收集模組通過所述收發器取得對應於所述第一伺服器的第三歷史連線資訊以及對應於第二伺服器的第四歷史連線資訊,其中所述第三歷史連線資訊包括第一來源資訊,並且所述第四歷史連線資訊包括第二來源資訊,其中 所述運算模組響應於所述第一來源資訊與所述第二來源資訊匹配而產生對應於所述第一伺服器的歷史伺服器清單,其中所述歷史伺服器清單包括所述第二伺服器。
- 如請求項2所述的電子裝置,其中所述至少一連線資訊包括第二當前連線資訊,其中所述第二當前連線資訊包括當前來源資訊,其中 所述當前資料收集模組取得對應於第三虛擬終端的至少一第二連線資訊,其中 所述運算模組響應於所述當前來源資訊與所述第三虛擬終端匹配而添加對應於所述至少一第二連線資訊的至少一伺服器至所述歷史伺服器清單以產生當前伺服器清單,其中 所述運算模組計算所述歷史伺服器清單與所述當前伺服器清單的伺服器個數差異,並且響應於所述伺服器個數差異大於或等於第二閾值而通過所述收發器發出對應於所述第一伺服器的第二告警。
- 如請求項1所述的電子裝置,其中所述儲存媒體更儲存白名單,其中所述運算模組響應於所述第一虛擬終端與所述白名單不匹配而發出所述第一告警。
- 如請求項3所述的電子裝置,其中儲存媒體更儲存白名單,其中所述運算模組響應於所述第三虛擬終端與所述白名單不匹配而發出所述第二告警。
- 如請求項1所述的電子裝置,其中所述第一閾值為大於或等於二的任意正整數。
- 如請求項3所述的電子裝置,其中所述第二閾值為大於或等於二的任意正整數。
- 一種用於偵測虛擬終端的異常連線行為的方法,包括: 取得對應於第一虛擬終端的第一歷史連線資訊以及對應於第二虛擬終端的第二歷史連線資訊,其中所述第一歷史連線資訊包括第一目標資訊,並且所述第二歷史連線資訊包括第二目標資訊; 響應於所述第一目標資訊與所述第二目標資訊匹配而產生對應於所述第一虛擬終端的歷史虛擬終端清單,其中所述歷史虛擬終端清單包括所述第二虛擬終端; 取得對應於所述第一虛擬終端的第一當前連線資訊以及對應於第一伺服器的至少一連線資訊,其中所述第一當前連線資訊包括當前目標資訊; 響應於所述當前目標資訊與所述第一伺服器匹配而添加對應於所述至少一連線資訊的至少一虛擬終端至所述歷史虛擬終端清單以產生當前虛擬終端清單;以及 計算所述歷史虛擬終端清單與所述當前虛擬終端清單的虛擬終端個數差異,並且響應於所述虛擬終端個數差異大於或等於第一閾值而發出對應於所述第一虛擬終端的第一告警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW109130962A TWI768462B (zh) | 2020-09-09 | 2020-09-09 | 用於偵測虛擬終端的異常連線行為的方法和電子裝置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW109130962A TWI768462B (zh) | 2020-09-09 | 2020-09-09 | 用於偵測虛擬終端的異常連線行為的方法和電子裝置 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW202211027A TW202211027A (zh) | 2022-03-16 |
TWI768462B true TWI768462B (zh) | 2022-06-21 |
Family
ID=81746852
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW109130962A TWI768462B (zh) | 2020-09-09 | 2020-09-09 | 用於偵測虛擬終端的異常連線行為的方法和電子裝置 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI768462B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI580216B (zh) * | 2015-01-19 | 2017-04-21 | 瑞昱半導體股份有限公司 | 網路系統及偵測與記錄異常網路連線之方法 |
CN108183950A (zh) * | 2017-12-28 | 2018-06-19 | 新华三技术有限公司 | 一种网络设备建立连接的方法及装置 |
CN108810008A (zh) * | 2018-06-28 | 2018-11-13 | 腾讯科技(深圳)有限公司 | 传输控制协议流量过滤方法、装置、服务器及存储介质 |
US20190190792A1 (en) * | 2017-03-10 | 2019-06-20 | Wangsu Science & Technology Co., Ltd. | Method and system for protecting cdn client source station |
-
2020
- 2020-09-09 TW TW109130962A patent/TWI768462B/zh active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI580216B (zh) * | 2015-01-19 | 2017-04-21 | 瑞昱半導體股份有限公司 | 網路系統及偵測與記錄異常網路連線之方法 |
US20190190792A1 (en) * | 2017-03-10 | 2019-06-20 | Wangsu Science & Technology Co., Ltd. | Method and system for protecting cdn client source station |
CN108183950A (zh) * | 2017-12-28 | 2018-06-19 | 新华三技术有限公司 | 一种网络设备建立连接的方法及装置 |
CN108810008A (zh) * | 2018-06-28 | 2018-11-13 | 腾讯科技(深圳)有限公司 | 传输控制协议流量过滤方法、装置、服务器及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
TW202211027A (zh) | 2022-03-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200244676A1 (en) | Detecting outlier pairs of scanned ports | |
US8321943B1 (en) | Programmatic communication in the event of host malware infection | |
US10574695B2 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
JP5242775B2 (ja) | 低速および/または分散型のスキャニングマルウェアに感染した企業ネットワークホストを識別するための方法およびシステム | |
US20210400073A1 (en) | Malicious port scan detection using source profiles | |
US20190363938A1 (en) | System and method for network infrastructure analysis and convergence | |
US11711389B2 (en) | Scanner probe detection | |
US20140090056A1 (en) | Security alert prioritization | |
US11770396B2 (en) | Port scan detection using destination profiles | |
US11316872B2 (en) | Malicious port scan detection using port profiles | |
WO2018161302A1 (zh) | 数据处理方法、装置和系统 | |
WO2021139308A1 (zh) | 云服务器监控方法、装置、设备及存储介质 | |
WO2020219234A1 (en) | Attestation service for enforcing payload security policies in a data center | |
CN112818307A (zh) | 用户操作处理方法、系统、设备及计算机可读存储介质 | |
CN113678419B (zh) | 端口扫描检测 | |
TWI768462B (zh) | 用於偵測虛擬終端的異常連線行為的方法和電子裝置 | |
US11588678B2 (en) | Generating incident response action recommendations using anonymized action implementation data | |
TW202311994A (zh) | 偵測惡意網域查詢行為的系統及方法 | |
US20180234407A1 (en) | Method for securely exchanging link discovery information | |
WO2022264420A1 (ja) | セキュリティ監視装置、セキュリティ監視方法、及び、セキュリティ監視プログラム | |
CN109787969B (zh) | 主机的身份合法性检测方法、检测装置及身份检测设备 | |
TWI711285B (zh) | 網路故障偵測方法以及網路故障偵測裝置 | |
CN114244809A (zh) | 用于检测目标网络中主机失陷等级的方法及装置 | |
TW202312712A (zh) | 處理資料流的裝置及方法 | |
CN116909785A (zh) | 异常事件的处理方法、装置、设备、存储介质和程序产品 |