TWI772832B - 網路正常行為之資安盲點偵測系統及其方法 - Google Patents
網路正常行為之資安盲點偵測系統及其方法 Download PDFInfo
- Publication number
- TWI772832B TWI772832B TW109122932A TW109122932A TWI772832B TW I772832 B TWI772832 B TW I772832B TW 109122932 A TW109122932 A TW 109122932A TW 109122932 A TW109122932 A TW 109122932A TW I772832 B TWI772832 B TW I772832B
- Authority
- TW
- Taiwan
- Prior art keywords
- computer
- network
- traffic
- information security
- firewall
- Prior art date
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一種網路正常行為之資安盲點偵測系統及其方法,利用一網路能見度分析系統收集所有通過複數閘道器的一第一網路流量資料,每一閘道器分別連接至少一電腦;利用一防火牆資料庫收集所有通過複數防火牆之一第二網路流量資料,每一防火牆分別設於閘道器之間及/或閘道器與電腦之間及/或電腦之間;以及將第一網路流量資料與第二網路流量資料傳送至一偵測系統進行比對,找出第一網路流量資料中未通過防火牆的流量,此即為資安盲點流量。藉由本發明,可及早偵測出資安盲點流量,以供後續資安強化之處置參考。
Description
本發明係有關一種資安管理方法,特別是指一種網路正常行為之資安盲點偵測系統及其方法。
絕大多數企業內部均配置防火牆(Firewall)、入侵偵測(IDS/IPS)、內網行為分析系統(APT)、資安資訊與事件關聯分析系統(SIEM)等資安監控防護設備。防火牆是一個架設在網際網路與企業內網或內網各個網路介面上的資安系統,根據企業設定的資安策略規則(Policy)來監控阻絕傳輸的往來,是目前最基礎也重要的網路安全防護裝置。從專業角度來說,防火牆是位於兩個(或多個)網路間,進行網路間存取或控制之硬體或軟體。
惟上述資安防護設備與資安管理人員思維均聚焦在異常行為、違例、攔阻。然卻有部分盲點產生隱藏性風險,值得發現、釐清或進一步管制,例如,正常/異常行為界定時是否有盲點或主觀偏差。又如,資料庫與使用者在同一網路區段,使用者跳過應用系統直接存取資料庫,屬異常行為卻因同區段無從管制。「正常行為」內是否仍含有存在風險的方便門,例如受限於防火牆規則管理效能,多開了IP或服務埠(Service port)。其他落在上述資安設備管控以外的未知活動。再如,在實體設備內之VMware上藉由虛擬交換器形成網段的虛擬系統群;或因作業方便所臨時增加的網路區段或跨網段。都可能產生資安管控上的盲點。
坊間資安產品包含網路拓譜繪製系統(例如Solar Winds)、網路能見度分析管理系統(例如CISCO Stealthwatch)、內網行為分析系統(例如DarkTrace)、防火牆規則管理系統(例如FireMon、Tuffin)等,均為資安防護各領域之專業產品,但卻有其限制。例如:防火牆看到違例、攔阻,卻未聚焦放行、通過;防火牆規則管理系統可看到從未被使用的無效影子規則(Shadow rule),卻未聚焦已放行的規則是否過大;內網行為分析系統會把非常態的行為視為異常行為,但把常態的行為視為正常行為不見得合宜;以及網路拓譜繪製與網路能見度分析管理系統能挖掘網路上任一流量之來源IP、目標IP與聯通所採行之服務埠,但未能結合防火牆規則與人為判斷防火牆管控規則的合宜性與防火牆放行流量之合宜性,且網路能見度分析管理工具需能蒐集各網路交換器資料,然部分網路通常是斷絕交通的。
有鑑於此,本發明針對上述習知技術之缺失及未來之需求,提出一種網路正常行為之資安盲點偵測系統及其方法,以有效解決上述該等問題,具體架構及其實施方式將詳述於下:
本發明之主要目的在提供一種網路正常行為之資安盲點偵測系統及其方法,其將全網流量與防火牆流量進行比對,找出未經過防火牆的流量,以供資安管理員做為改善網段間安全管制的依據。
本發明之另一目的在提供一種網路正常行為之資安盲點偵測系統及其方法,其進一步可提前發現潛伏在內部網路的惡意流量,讓資安管理員及早修改防火牆規則或做其它處置,提高資訊安全。
為達上述目的,本發明提供一種網路正常行為之資安盲點偵測系統,包括:複數閘道器,分別連接至少一電腦;複數防火牆,設於該等閘道器之間及/或該等閘道器與該至少一電腦之間及/或該至少一電腦之間;一網路能見度分析系統,連接該等閘道器,收集所有通過該等閘道器的一第一網路流量資料;一防火牆資料庫,連接該等防火牆,收集所有通過該等防火牆之一第二網路流量資料;以及一偵測系統,連接該網路能見度分析系統及該防火牆資料庫,將該第一網路流量資料與該第二網路流量資料進行比對,找出該第一網路流量資料中未通過該等防火牆的一資安盲點流量。
依據本發明之實施例,該電腦中之一第一電腦通過一應用系統輸入帳號密碼連接至一資料庫,該網路能見度分析系統收集到該第一電腦、該應用系統及該資料庫之間的第三網路流量,該偵測系統將該第四網路流量與該防火牆資料庫比對後,判斷該第三網路流量未通過該等防火牆,為該資安盲點流量。
依據本發明之實施例,該電腦中之一第二電腦與一第三電腦之間設有至少一該閘道器及至少一該防火牆,若該偵測系統比對該第一網路流量資料與該第二網路流量資料後,發現該第二電腦的流量未經過該第二電腦與該第三電腦之間的該閘道器及該防火牆就到達該第三電腦,則判斷該第二電腦的流量為該資安盲點流量。
依據本發明之實施例,該電腦中之一第四電腦進入網際網路的路徑中包括至少一該閘道器及至少一該防火牆,若該偵測系統比對該第一網路流量資料與該第二網路流量資料後,發現該第四電腦的流量未經過該閘道器及該防火牆就進入網際網路,則判斷該第四電腦的流量為該資安盲點流量。
本發明另提供一種網路正常行為之資安盲點偵測方法,包括下列步驟:利用一網路能見度分析系統收集所有通過複數閘道器的一第一網路流量資料,其中該等閘道器分別連接至少一電腦;利用一防火牆資料庫收集所有通過複數防火牆之一第二網路流量資料,其中該等防火牆設於該等閘道器之間及/或該等閘道器與該至少一電腦之間及/或該至少一電腦之間;以及將該第一網路流量資料與該第二網路流量資料傳送至一偵測系統進行比對,找出該第一網路流量資料中未通過該等防火牆的一資安盲點流量。
本發明提供一種網路正常行為之資安盲點偵測系統及其方法,其藉由網路流量的比對分析,可驗證防火牆規則的盲點、網路管理的盲點及管理其它未知的資安風險。對於公司行號中眾多電腦的網路管理相當實用,可盡快找到未被限制到的流量,以供是否改進防火牆規則或增設防火牆之參考依據。
請參考第1圖,其為本發明網路正常行為之資安盲點偵測系統之方塊圖。本發明之網路正常行為之資安盲點偵測系統10包含複數閘道器12、複數防火牆14、一網路能見度分析系統16、一防火牆資料庫18及一偵測系統20。其中每一閘道器12分別連接至少一電腦22,在第1圖之實施例中,閘道器12分別連接三台電腦22;防火牆14可設於閘道器12之間,或設在閘道器12與電腦22之間,或電腦22與電腦22之間;網路能見度分析系統16與所有的閘道器12連接,用以收集所有通過閘道器12的網路流量資料,將此種資料設為第一網路流量資料;防火牆資料庫18與所有的防火牆14連接,用以收集所有通過防火牆14之網路流量資料,將此種資料設為第二網路流量資料;偵測系統20則連接網路能見度分析系統16及防火牆資料庫18,接收第一網路流量資料與第二網路流量資料,並進行比對,找出第一網路流量資料中未通過防火牆14的流量,將此種流量設定為資安盲點流量。
網路能見度分析系統16為一端點設備,包含實體與虛擬,其連接上TCP/IP網路需透過路由器、閘道器、分享器等網路連通設備(包含實體與虛擬)串聯,才可與TCP/IP網路上之設備通訊。網路能見度分析系統16蒐集上述網路連通設備之交通流量資訊後,即可得知任一來源端與目標端間之溝通時間、溝通路徑(routing)、溝通管道(Service port)與溝通內容(Content)。任兩設備如有溝通將無所遁形。
請同時參考第2圖,其為本發明網路正常行為之資安盲點偵測方法之流程圖。首先於步驟S10中,先利用一網路能見度分析系統16收集所有通過閘道器12的第一網路流量資料,其中每一閘道器12分別連接至少一電腦22;接著,步驟S12利用一防火牆資料庫18收集所有通過防火牆14之第二網路流量資料,其中,防火牆14設於閘道器12之間及/或閘道器12與電腦22之間及/或二台電腦22之間;最後如步驟S14所述,將第一網路流量資料與第二網路流量資料傳送至一偵測系統20進行比對,找出第一網路流量資料中未通過防火牆14的一資安盲點流量。
第3圖為應用本發明網路正常行為之資安盲點偵測系統找出資安盲點流量之第一實施例之示意圖。此實施例為驗證管理的盲點。一般而言,使用者要從電腦進入資料庫26搜尋資料,如第3圖中之第一電腦22a,必須先在第一電腦22a上輸入帳號密碼以登入一應用系統24,接著才能透過應用系統24進入資料庫26。此應用系統24可能是公司內部的管理系統、帳務系統等等,資料庫26中可能儲存員工資訊、帳務資料、客戶名單等等。然而,使用者卻可在未經應用系統24同意的情況下,直接使用Port 1433連接資料庫26,如圖中的虛線所示。未受應用系統24管制而可直接存取資料庫26,原因在於應用系統24、資料庫26與第一電腦22a之間未跨過防火牆14管制的網路區段。因此網路能見度分析系統16蒐集到路徑a的流量,能看到應用系統24、資料庫26與第一電腦22a之間的交通流量,但防火牆14看不到。是以,當偵測系統20從網路能見度分析系統16的記錄看到應用系統24、資料庫26與第一電腦22a之間有特殊服務埠往來,例如port 1433、port 22…等,與防火牆資料庫18比對後,卻發現該些往來硫量並未經防火牆14管制,沒有通過或阻攔的記錄。此時,從第一電腦22a到資料庫26之間的流量就是資安盲點流量,應檢討是否應該架設防火牆進行管制,以免重要資料外流。
第4圖為應用本發明網路正常行為之資安盲點偵測系統找出資安盲點流量之第二實施例之示意圖。此實施例為驗證防火牆規則的盲點。在此實施例之圖中,電腦22的交通流量應當經過路徑a、閘道器12、防火牆14、另一閘道器12及路徑c後,才能到達第三電腦22c。同理,第二電腦22b的交通流量也須經過與電腦22同樣的路徑才能到達第三電腦22c。若防火牆資料庫18上的第二網路流量資料中未出現電腦22、第二電腦22b及第三電腦22c的交通流量,那除了代表記錄異常外,就是該流量不需防火牆管制,或未經防火牆管制(如路徑d)。換言之,網路能見度分析系統16可看到網路交通的全貌,包含路徑a、b、c、d的所有流量即為第一網路流量資料,而防火牆資料庫18中的第二網路流量資料僅有路徑a、b、c的流量。偵測系統20將第一網路流量資料與第二網路流量資料比對後,便可知道是否有通過路徑d的流量,並對照網路管理的原始認知中應放行的規則,藉以檢視防火牆規則的合宜性。
第5圖為應用本發明網路正常行為之資安盲點偵測系統找出資安盲點流量之第三實施例之示意圖。此實施例為管理未知風險。一般而言,電腦22要進入網際網路30需經過防火牆14,在第5圖之實施例中電腦22及第四電腦22d皆須通過路徑a/b、防火牆14、閘道器12及另一防火牆14後,才能連入網際網路30。但有一種特殊情況,若使用者私設網路,如惡意無線基地台(Rogue Access Point)或ADSL等,而私設的網路又出現與內部網路的流量,則或可在網路能見度分析系統16中發現,當偵測系統20將該私設網路與內部網路的流量與防火牆資料庫18比對後,或可查找出未知網段或未知IP位址,進一步加以禁止使用,因為私設網路很可能對內部網路造成危害。如第5圖左下角部分,第四電腦22d透過一聯外裝置28連線到外部的網際網路30,聯外裝置28可能是手機、ADSL、惡意無線基地台,只要在第四電腦22d上裝設一無線網卡即可透過WiFi、藍芽或其他無線網路連線方式與聯外裝置28連線,進而進入外網。此時,外網與內網連接,將使內部網路不再安全。對於極度重視資訊安全的公司(如銀行等金融機構)或保全研發機密的高科技產業而言,就會形成一個極大的網路破口。
此外,諸如空調監控、攝影機系統等監控與管理設備(Supervisory Control and Data Acquisition, SCADA)網路通常是與公司的網路實體斷開,而藉由本發明,從網路能見度分析系統16如發現連接內部網段的未知網段或未知IP 位址,偵測系統20就可進一步查找是否有人透過空調監控、攝影機系統等設備偷偷進入公司的內部網路。
目前駭客最常使用的攻擊手法「先進持續性威脅」又稱標靶式攻擊(Advanced Persistent Threat) ,是指隱匿而持久的電腦入侵過程,通常針對特定的目標並經精心策劃。根據企業弱點量身訂做工具或入侵手法。「先進持續性威脅」包含三個要素:先進、長期、威脅。先進強調的是使用複雜精密的惡意軟體及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,並從其獲取數據。威脅則指人為參與策劃的攻擊。而本發明所提供之網路正常行為之資安盲點偵測系統及其方法將所有網路流量資料與防火牆資料庫比對,即可找出這些潛伏的流量,讓網路管理員能判斷是否為惡意流量。
唯以上所述者,僅為本發明之較佳實施例而已,並非用來限定本發明實施之範圍。故即凡依本發明申請範圍所述之特徵及精神所為之均等變化或修飾,均應包括於本發明之申請專利範圍內。
10:網路正常行為之資安盲點偵測系統
12:閘道器
14:防火牆
16:網路能見度分析系統
18:防火牆資料庫
20:偵測系統
22:電腦
22a:第一電腦
22b:第二電腦
22c:第三電腦
22d:第四電腦
24:應用系統
26:資料庫
28:聯外裝置
30:網際網路
第1圖為本發明網路正常行為之資安盲點偵測系統之一實施例之示意圖。
第2圖為本發明網路正常行為之資安盲點偵測方法之流程圖。
第3圖為應用本發明網路正常行為之資安盲點偵測系統找出資安盲點流量之第一實施例之示意圖。
第4圖為應用本發明網路正常行為之資安盲點偵測系統找出資安盲點流量之第二實施例之示意圖。
第5圖為應用本發明網路正常行為之資安盲點偵測系統找出資安盲點流量之第三實施例之示意圖。
10:網路正常行為之資安盲點偵測系統
12:閘道器
14:防火牆
16:網路能見度分析系統
18:防火牆資料庫
20:偵測系統
22:電腦
Claims (6)
- 一種網路正常行為之資安盲點偵測系統,包括:複數閘道器,分別連接至少一電腦;複數防火牆,設於該等閘道器之間及/或該等閘道器與該至少一電腦之間及/或該至少一電腦之間;一網路能見度分析系統,連接該等閘道器,收集所有通過該等閘道器的一第一網路流量資料;一防火牆資料庫,連接該等防火牆,收集所有通過該等防火牆之一第二網路流量資料;以及一偵測系統,連接該網路能見度分析系統及該防火牆資料庫,將該第一網路流量資料與該第二網路流量資料進行比對,找出該第一網路流量資料中未通過該等防火牆的一資安盲點流量;其中,該電腦中之一第一電腦通過一應用系統輸入帳號密碼連接至一資料庫,該網路能見度分析系統收集到該第一電腦、該應用系統及該資料庫之間的第三網路流量,該偵測系統將該第三網路流量與該防火牆資料庫比對後,判斷該第三網路流量未通過該等防火牆,為該資安盲點流量。
- 如請求項1所述之網路正常行為之資安盲點偵測系統,其中該電腦中之一第二電腦與一第三電腦之間設有至少一該閘道器及至少一該防火牆,若該偵測系統比對該第一網路流量資料與該第二網路流量資料後,發現該第二電腦的流量未經過該第二電腦與該第三電腦之間的該 閘道器及該防火牆就到達該第三電腦,則判斷該第二電腦的流量為該資安盲點流量。
- 如請求項1所述之網路正常行為之資安盲點偵測系統,其中該電腦中之一第四電腦進入網際網路的路徑中包括至少一該閘道器及至少一該防火牆,若該偵測系統比對該第一網路流量資料與該第二網路流量資料後,發現該第四電腦的流量未經過該閘道器及該防火牆就進入網際網路,則判斷該第四電腦的流量為該資安盲點流量。
- 一種網路正常行為之資安盲點偵測方法,包括下列步驟:利用一網路能見度分析系統收集所有通過複數閘道器的一第一網路流量資料,其中該等閘道器分別連接至少一電腦;利用一防火牆資料庫收集所有通過複數防火牆之一第二網路流量資料,其中該等防火牆設於該等閘道器之間及/或該等閘道器與該至少一電腦之間及/或該至少一電腦之間;以及將該第一網路流量資料與該第二網路流量資料傳送至一偵測系統進行比對,找出該第一網路流量資料中未通過該等防火牆的一資安盲點流量;其中,該電腦中之一第一電腦通過一應用系統輸入帳號密碼連接至一資料庫,該網路能見度分析系統收集到該第一電腦、該應用系統及該資料庫之間的第三網路流量,該偵測系統將該第四網路流量與該防火牆資料庫比對後,判斷該第三網路流量未通過該等防火牆,為該資安盲點流量。
- 如請求項4所述之網路正常行為之資安盲點偵測方法,其中該電腦中之一第二電腦與一第三電腦之間設有至少一該閘道器及至少一該防火牆,若該偵測系統比對該第一網路流量資料與該第二網路流量資料後,發現該第二電腦的流量未經過該第二電腦與該第三電腦之間的該閘道器及該防火牆就到達該第三電腦,則判斷該第二電腦的流量為該資安盲點流量。
- 如請求項4所述之網路正常行為之資安盲點偵測方法,其中該電腦中之一第四電腦進入網際網路的路徑中包括至少一該閘道器及至少一該防火牆,若該偵測系統比對該第一網路流量資料與該第二網路流量資料後,發現該第四電腦的流量未經過該閘道器及該防火牆就進入網際網路,則判斷該第四電腦的流量為該資安盲點流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109122932A TWI772832B (zh) | 2020-07-07 | 2020-07-07 | 網路正常行為之資安盲點偵測系統及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109122932A TWI772832B (zh) | 2020-07-07 | 2020-07-07 | 網路正常行為之資安盲點偵測系統及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202203059A TW202203059A (zh) | 2022-01-16 |
| TWI772832B true TWI772832B (zh) | 2022-08-01 |
Family
ID=80787647
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109122932A TWI772832B (zh) | 2020-07-07 | 2020-07-07 | 網路正常行為之資安盲點偵測系統及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI772832B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI294726B (zh) * | 2005-06-10 | 2008-03-11 | D Link Corp | |
| TW201116012A (en) * | 2009-09-29 | 2011-05-01 | O2Micro Inc | Integrated firewall / VPN system and integrated circuit thereof |
| TWI355168B (en) * | 2007-12-07 | 2011-12-21 | Univ Nat Chiao Tung | Application classification method in network traff |
| TWM602225U (zh) * | 2020-07-07 | 2020-10-01 | 財金資訊股份有限公司 | 網路正常行為之資安盲點偵測系統 |
-
2020
- 2020-07-07 TW TW109122932A patent/TWI772832B/zh active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI294726B (zh) * | 2005-06-10 | 2008-03-11 | D Link Corp | |
| TWI355168B (en) * | 2007-12-07 | 2011-12-21 | Univ Nat Chiao Tung | Application classification method in network traff |
| TW201116012A (en) * | 2009-09-29 | 2011-05-01 | O2Micro Inc | Integrated firewall / VPN system and integrated circuit thereof |
| TWM602225U (zh) * | 2020-07-07 | 2020-10-01 | 財金資訊股份有限公司 | 網路正常行為之資安盲點偵測系統 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202203059A (zh) | 2022-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7596807B2 (en) | Method and system for reducing scope of self-propagating attack code in network | |
| CN103229185B (zh) | 用于针对恶意软件的本地保护的系统和方法 | |
| US20050216956A1 (en) | Method and system for authentication event security policy generation | |
| US20030188189A1 (en) | Multi-level and multi-platform intrusion detection and response system | |
| JP2005517349A (ja) | マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法 | |
| CA2886058A1 (en) | Identifying and mitigating malicious network threats | |
| WO2012172509A2 (en) | Systems and methods that perform application request throttling in a distributed computing environment | |
| US20060203736A1 (en) | Real-time mobile user network operations center | |
| Maesaroh et al. | Wireless network security design and analysis using wireless intrusion detection system | |
| KR20190083458A (ko) | 네트워크 침입탐지시스템 및 그 방법 | |
| CN109150853A (zh) | 基于角色访问控制的入侵检测系统及方法 | |
| Adeleke | Intrusion detection: issues, problems and solutions | |
| JP2000354034A (ja) | 事業:ハッカー監視室 | |
| KR20030057929A (ko) | 내·외부망 통합 보안 시스템 및 방법 | |
| CN112565202A (zh) | 一种用于视频网系统的物联网准入网关 | |
| TWM602225U (zh) | 網路正常行為之資安盲點偵測系統 | |
| TWI772832B (zh) | 網路正常行為之資安盲點偵測系統及其方法 | |
| WO2005026872A2 (en) | Internal lan perimeter security appliance composed of a pci card and complementary software | |
| Jadhav et al. | Detection and mitigation of arp spoofing attack | |
| Mutaher et al. | OPENFLOW CONTROLLER-BASED SDN: SECURITY ISSUES AND COUNTERMEASURES. | |
| Lin et al. | Research on cyber crime threats and countermeasures about tor anonymous network based on meek confusion plug-in | |
| WO2013089395A1 (ko) | 시그니쳐 기반 무선 침입차단시스템 | |
| Nikoi et al. | Enhancing the Design of a Secured Campus Network using Demilitarized Zone and Honeypot at Uew-kumasi Campus | |
| Xiao | Research on computer network information security based on big data technology | |
| KR20120058670A (ko) | Db 보안을 제공하는 통합 게이트웨이 장치 |