TWI781448B - 資安防護系統、方法及電腦可讀媒介 - Google Patents
資安防護系統、方法及電腦可讀媒介 Download PDFInfo
- Publication number
- TWI781448B TWI781448B TW109132912A TW109132912A TWI781448B TW I781448 B TWI781448 B TW I781448B TW 109132912 A TW109132912 A TW 109132912A TW 109132912 A TW109132912 A TW 109132912A TW I781448 B TWI781448 B TW I781448B
- Authority
- TW
- Taiwan
- Prior art keywords
- behavior
- information
- program
- vulnerability
- abnormal
- Prior art date
Links
Images
Landscapes
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
一種資安防護系統與對應之方法,該系統包括複數行為蒐集模組以及行為分析模組。該等行為蒐集模組各係安裝於一對應之端點裝置,各該端點裝置之保護模式至少具有使用者模式,各該行為蒐集模組用於以該使用者模式偵測並蒐集對應之該端點裝置所執行的每一程序之行為資訊。行為分析模組用於根據該等行為蒐集模組所蒐集之該等行為資訊判斷各該端點裝置是否出現異常行為,以於出現該異常行為時,記錄該異常行為並發出警報。本發明復提供一種電腦可讀媒介,係用於執行本發明之資安防護方法。
Description
本發明係有關資安防護,且特別係有關一種資安防護系統與方法。
隨著開源軟體的興盛,享受開源軟體的便利之際,也會面臨到各種的資安漏洞,已公開的軟體漏洞在數年內仍可被駭客利用來入侵,原因可能是維運人員無法判斷軟體的安全更新是否影響運作,或是版本更新造成的成本是否值得。因此,如何有效地追蹤漏洞以及可能的入侵是很大的挑戰。
在現有技術中,對主機內所有檔案進行靜態程式碼掃描(又稱為白箱掃描),以檢視哪些程式具有漏洞,是一種追蹤漏洞與入侵的方法,但這樣的掃描與識別會耗費大量時間,尤其對於存放有大量資料的服務主機,掃描整個檔案系統更是事半功倍。因此,需要一種有效、快速、精確地追蹤漏洞以及可能的入侵的技術,並耗費較少時間與資源。
為解決上述問題,本發明提供一種資安防護系統,該系統包括複數行為蒐集模組以及行為分析模組。該等行為蒐集模組各係安裝一對應之端點裝置,其中,各該端點裝置之保護模式至少具有使用者模式,各該行為蒐集模組用於以該使用者模式偵測並蒐集對應之該端點裝置所執行的每一程序之行為資訊。行為分析模組用於根據該等行為蒐集模組所蒐集之該等行為資訊判斷各該端點裝置是否出現異常行為,以於出現該異常行為時,記錄該異常行為並發出警報。
本發明另提供一種資安防護方法,包括:以複數端點裝置中之各該端點裝置之使用者模式偵測並蒐集各該端點裝置所執行之每一程序之行為資訊;根據該等行為資訊判斷各該端點裝置是否出現異常行為;以及於出現該異常行為時,記錄該異常行為並發出警報。
本發明復提供一種電腦可讀媒介,應用於計算裝置或電腦中,係儲存有指令,以執行上述之資安防護方法。
本發明係以使用者模式持續蒐集各端點裝置內的執行程序與其相關之行為資訊,並傳送到雲端之行為分析模組集中分析,以提供異常執行行為之輕量化監控。另外,本發明亦可比對漏洞情資和過往記錄之程序行為資訊,以檢查漏洞程式是否正在或曾經執行,進而有效識別漏洞程式之運行狀態,以此判斷真實的資安風險。
100:資安防護系統
110:行為蒐集模組
115:端點裝置
120:行為分析模組
122:行為基準建立模組
124:行為異常判斷模組
130:漏洞分析模組
140:漏洞情資資料庫
S210~S270:方法步驟
S310~S370:方法步驟
S410~S460:方法步驟
圖1為根據本發明一實施例之一種資安防護系統的方塊圖。
圖2至圖4為根據本發明一實施例之一種資安防護方法的流程圖。
以下藉由特定的具體實施例說明本發明之實施方式,在本技術領域具有通常知識者可由本說明書所揭示之內容輕易地瞭解本發明之其他優點及功效。
圖1為根據本發明一實施例之一種資安防護系統100的方塊圖。資安防護系統100包括複數行為蒐集模組110、行為分析模組120以及漏洞分析模組130。各該行為蒐集模組110分別安裝於各端點裝置115。端點裝置115可為任何一種能執行程序之電子裝置,例如伺服器、電腦或物聯網裝置。各該端點裝置115之保護模式包括核心模式(kernel mode,或稱為ring 0)及使用者模式(user mode,或稱為ring 3)。各該行為蒐集模組110用於以該使用者模式偵測並蒐集對應之端點裝置115所執行的每一程序之行為資訊,並將該等行為資訊傳送至雲端之行為分析模組120集中分析。
在一實施例中,該行為蒐集模組110係以非常輕量方式監控該端點裝置115之虛擬檔案系統的變化,以進行後續作業,故有效且效能耗損極少,並可適用於在不同運算能力的機器或設備。
例如,端點裝置115以Linux為作業系統,行為蒐集模組110以使用者模式監控其虛擬檔案系統之變化,以偵測是否有新程序被執行,且於新程序執行時偵測並蒐集其執行期間之行為資訊,再將該行為資訊傳送至行為分析模組120。在一實施例中,該行為資訊可包括該新程序之程序識別碼(process
ID)、父程序識別碼(parent process ID)、程序名稱(例如該新程序執行檔名稱)、執行該新程序之完整指令(包括執行指令及執行參數)、該新程序所載入或執行之檔案與其檔案類型(例如執行檔或共用函式庫)及檔案內容雜湊值(hash value)、該新程序使用之檔案描述符(file descriptor)與相對應之檔案資訊、該新程序使用之檔案(例如讀取與寫入之檔案)與其檔案內容雜湊值、以及該新程序所開啟之各種通訊協定之服務埠,例如傳輸控制協定(Transmission Control Protocol,TCP)與使用者資料協定(User Datagram Protocol,UDP)之服務埠,其中,上述雜湊值可用已知之任何一種演算法產生,例如安全雜湊演算法一號(Secure Hash Algorithm 1,SHA-1)。
在另一實施例中,端點裝置115可執行其他種類之作業系統,且上述之虛擬檔案系統可替換為其他種類之檔案系統。
行為分析模組120用於接收並記錄行為蒐集模組110所傳送之行為資訊,根據該等行為資訊判斷各該端點裝置115是否出現異常行為,以於出現異常行為時,記錄該異常行為並發出警報。
漏洞分析模組130用於自漏洞情資資料庫140接收漏洞情資,並比對該漏洞情資與行為分析模組120所記錄之行為資訊,以判斷端點裝置115中是否有該漏洞情資中之漏洞程式正在執行或曾被執行,且於該漏洞程式正在執行或曾被執行時發出警報。
本實施例中,漏洞情資資料庫140為獨立於資安防護系統100之外的外部資料庫。在另一實施例中,漏洞情資資料庫140可為隸屬於資安防護系統100之內部資料庫。
行為蒐集模組110、行為分析模組120以及漏洞分析模組130均可為軟體、硬體或韌體;若為硬體,則可為具有資料處理與運算能力之處理單元、處理器、電腦或伺服器;若為軟體或韌體,則可包括處理單元、處理器、電腦或伺服器可執行之指令。
在一實施例中,行為分析模組120、漏洞分析模組130以及漏洞情資資料庫140可安裝於或實作為同一硬體或複數分散之不同硬體。
行為分析模組120包括行為基準建立模組122及行為異常判斷模組124。當行為分析模組120收到來自行為蒐集模組110之行為資訊,會記錄該行為資訊,並檢查產生該行為資訊之端點裝置115是否已完成行為基準建立模組122之行為基準建立;若尚未完成,則該端點裝置115為新加入之新端點裝置,由行為基準建立模組122執行圖2流程以根據該行為資訊為該新端點裝置115建立行為基準;若已完成,則該端點裝置115為已加入之已知端點裝置,由行為異常判斷模組124執行圖3流程以根據該行為資訊判斷該已知端點裝置115是否有異常行為。
圖2為根據本發明一實施例之一種資安防護方法的流程圖,以下為其說明:
在步驟S210,行為蒐集模組110持續偵測並蒐集新端點裝置115所執行之程序之行為資訊,接著進至步驟S220。
在步驟S220,行為蒐集模組110將行為資訊傳送至行為基準建立模組122,接著進至步驟S230,其中,後續之步驟S230~S270均由行為基準建立模組122執行。
在步驟S230,行為基準建立模組122將所接收之行為資訊與可信賴程序名單(亦稱為程序白名單)、惡意程序名單(亦稱為程序黑名單)、以及分析端點裝置115中除該新端點裝置115以外之其他端點裝置115的行為資訊所得之已知行為類型(例如已知正常行為及已知異常行為)比對,以將該行為資訊歸類為所有端點裝置115之共同基準、該新端點裝置115之自主行為、或異常行為。
在一實施例中,該可信賴程序名單例如可包括作業系統內含之程序及知名應用軟體之程序,而該惡意程序名單可包括已知之病毒程序、木馬程序及綁架程序等惡意程序。
詳言之,若該可信賴程序名單包括該行為資訊所對應之程序,或該行為資訊符合該已知正常行為,則行為基準建立模組122將該行為資訊歸類為所有端點裝置115之共同基準,並於步驟S240將該行為資訊之全部或部分加入該共同基準。反之,若該惡意程序名單包括該行為資訊所對應之程序,或該行為資訊符合該已知異常行為,則行為基準建立模組122將該行為資訊歸類為異常行為,且於步驟S260記錄該異常行為,並發出警報以通知資安防護系統100之管理人員或維運人員,其中,記錄該異常行為之步驟包括記錄該行為資訊及該行為資訊所對應之程序的啟動時間。
另一方面,若該可信賴程序名單及該惡意程序名單均不包括該行為資訊所對應之程序,且該行為資訊不符合該已知正常行為亦不符合該已知異常行為,例如僅有該新端點裝置115會執行之程序,則行為基準建立模組122將該行為資訊歸類為該新端點裝置115獨有之自主行為,且於步驟S250通報資安防護系統100之管理人員或維運人員,以供該人員判定該行為資訊是否
屬於正常行為;若該人員判定為非正常行為,則流程進入步驟S260;若該人員判定為正常行為,則行為基準建立模組122在步驟S270將該行為資訊之全部或部分加入該新端點裝置115特有之自主行為。
行為基準建立模組122會為該新端點裝置115持續執行圖2流程,並持續觀察該新端點裝置115執行程序之規律,若經過一段預設時間後,該新端點裝置115執行程序之規律沒有變化,則行為基準建立模組122判定該新端點裝置115已完成行為基準建立,並停止執行該新端點裝置115之圖2流程。
圖3為根據本發明一實施例之一種資安防護方法的流程圖,以下為其說明:
在步驟S310,行為蒐集模組110持續偵測並蒐集已知端點裝置115所執行之程序之行為資訊,接著進至步驟S320。
在步驟S320,行為蒐集模組110將行為資訊傳送至行為異常判斷模組124,接著進至步驟S330,其中,後續之步驟S330~S370均由行為異常判斷模組124執行。
在步驟S330,行為異常判斷模組124接收行為資訊,然後根據行為基準建立模組122先前建立之共同基準和產生該行為資訊之已知端點裝置115之自主行為,判斷該行為資訊是否為正常行為。
步驟S330包含至少一條件,行為異常判斷模組124會在步驟S330將所接收之行為資訊和該共同基準及該自主行為比對,以判斷該行為資訊是否符合上述條件;若該行為資訊符合每一條件,則該行為資訊為正常行為,且流程結束;若該行為資訊不符合任一條件,則流程進入步驟S340。
例如,由於攻擊者入侵後往往會植入惡意控制程序,因此執行未知程序屬於高風險行為,所以上述條件之一為該行為資訊中之程序名稱必須與已加入該共同基準或該自主行為中之至少一項行為資訊相同。
另外,攻擊者可能未植入新的程式,但透過變更執行指令造成正常行為的異變,以達到惡意控制目的。例如,某端點裝置使用Netcat網路管理工具,執行指令「'nc' '目標機器' '目標服務埠'」原本用於判斷終端裝置之服務是否正常,但若攻擊者執行「'nc' '-1' '特定服務埠'」則變成受害終端裝置開啟可被外部存取之服務或對外傳輸資料之異常行為。因此,上述條件之一為該行為資訊所對應之程序的執行指令及執行參數必須與已加入該共同基準或該自主行為中之至少一項行為資訊完全一致。
同理,為避免原本正常程序之執行檔被攻擊者竄改或載入額外之未知程序,所以上述條件之一為該行為資訊所對應之程序所載入或執行的檔案與其雜湊值必須與已加入該共同基準或該自主行為中之至少一項行為資訊完全一致。若有雜湊值不一致,表示對應之檔案已被竄改,可能已出現資安漏洞。
此外,上述條件之一為該行為資訊所對應之程序所開啟之服務埠與其對應之通訊協定必須與已加入該共同基準或該自主行為中之至少一項行為資訊完全一致。若有不一致,則表示該程序有新開啟或異動之服務埠,這可能為開啟可遠端控制之後門。
再者,上述條件之一為該行為資訊所對應之程序所載入或執行之程序樹狀關係必須於該共同基準或該自主行為中有相同之程序樹狀關係。行為異常判斷模組124可根據程序識別碼及父程序識別碼於行為資訊中之關聯,
以檢查所接收之行為資訊是否符合此條件。例如,行為異常判斷模組124透過上述識別碼之關聯,分析出某端點裝置115之新程序Telnet為透過bash程序載入執行,而此bash程序則是由Apache ActiveMQ程序所載入執行。雖然該共同基準包括Apache ActiveMQ執行bash之行為資訊,也包括bash執行Telnet之行為資訊,但並未包括Apache ActiveMQ執行bash再執行Telnet之行為資訊,故行為異常判斷模組124將此新程序Telnet之行為資訊判斷為異常行為。
本發明並不限於上述條件。在另一實施例中,可省略上述條件其中一部分。或者,在又一實施例中,可根據程序之行為資訊之內容定義更多條件。
接著,在步驟S340,行為異常判斷模組124檢查在行為分析模組120已記錄之其他端點裝置115之行為資訊中,是否有與行為異常判斷模組124於步驟S330所判斷之行為資訊相似且已被判斷為正常行為之行為資訊;如果有,則流程結束;如果沒有,則流程進入步驟S350。上述之其他端點裝置115為除了產生於步驟S330所判斷之該行為資訊的該已知端點裝置115以外之所有端點裝置115。上述之「相似」係指兩項行為資訊中,步驟S330之上述全部條件所涉及之程序名稱、執行指令與執行參數等內容均相同。
在步驟S350,行為異常判斷模組124檢查在行為分析模組120已記錄之其他端點裝置115之行為資訊中,是否有與行為異常判斷模組124於步驟S330所判斷之行為資訊相似且已被判斷為異常行為之行為資訊;如果有,則流程進入步驟S370;如果沒有,則流程進入步驟S360。
在步驟S360,行為異常判斷模組124通報資安防護系統100之管理人員或維運人員,以供該人員判定此行為資訊是否屬於正常行為;若該人
員判定為非正常行為,則流程進入步驟S370;若該人員判定為正常行為,則流程結束。在步驟S370,行為異常判斷模組124判斷此行為資訊為異常行為,所以記錄此異常行為,並發出警報以通知資安防護系統100之管理人員或維運人員。
圖4為圖1之漏洞分析模組130所執行之資安防護方法的流程圖。
在步驟S410,漏洞分析模組130自漏洞情資資料庫140接收最新的漏洞情資。漏洞分析模組130可分析該漏洞情資,以確認會產生資安漏洞之程式(以下簡稱為漏洞程式)的版本、程序名稱與檔案之雜湊值。例如,漏洞分析模組130自漏洞情資資料庫140接收到的漏洞情資編號為CVE-2019-17571,漏洞分析模組130分析此漏洞情資後,得知Apache Log4j版本1.2至1.2.17為漏洞程式,可被遠端控制以執行任意程式碼,且漏洞分析模組130可自該漏洞情資取得具有資安漏洞之Apache Log4j檔案的雜湊值,例如Apache Log4j版本1.2.17之執行檔雜湊值為"5af35056b4d257e4b64b9e8069c0746e8b08629f",且版本1.2.16之執行檔雜湊值為"0278c9d0ae02132ab6d00e709926c227022e85a4",依此類推,接著進至步驟S420。
在步驟S420,漏洞分析模組130取得行為分析模組120記錄之行為資訊,接著進至步驟S430。
在步驟S430,漏洞分析模組130將漏洞程式之檔案雜湊值和行為分析模組120所記錄之行為資訊中的所有曾經或正在運行的程序所載入或執行檔案之雜湊值比對,以判斷端點裝置115中是否有漏洞程式正在執行或曾被
執行;如果沒有漏洞程式正在執行或曾被執行,則流程返回步驟S420,以持續追蹤新端點裝置或新執行程序是否有資安漏洞;如果有漏洞程式正在執行或曾被執行,則流程進入步驟S440。
在步驟S440,漏洞分析模組130根據行為分析模組120記錄之行為資訊判斷該漏洞程式是否曾開啟對外服務,例如是否曾透過TCP或UDP服務埠以開啟對外服務,接著進至步驟S450。
在步驟S450,漏洞分析模組130判斷該漏洞程式是否與行為異常判斷模組124所記錄之異常行為有關。以上述之Apache ActiveMQ與Telnet的異常執行關係及漏洞情資CVE-2019-17571為例,漏洞分析模組130比對漏洞情資CVE-2019-17571與該異常行為,可發現Apache ActiveMQ曾開啟對外服務,曾使用到漏洞程式Apache Log4j並出現異常行為,據此,可判斷攻擊者之前可能利用CVE-2019-17571漏洞進行零日攻擊(zero-day attack)而開啟Telnet服務作為後門以利後續存取控制,接著進至步驟S460。
在步驟S460,漏洞分析模組130發出警報以通知資安防護系統100之管理人員或維運人員,該警報之內容可包括漏洞程式之相關資訊、漏洞程式之執行狀態(正在執行或曾被執行)、執行漏洞程式之端點裝置115與程序、漏洞程式是否曾開啟對外服務、以及漏洞程式是否與異常行為有關。
此外,本發明還揭示一種電腦可讀媒介,係應用於具有處理器(例如,CPU、GPU等)及/或記憶體的計算裝置或電腦中,且儲存有指令,並可利用此計算裝置或電腦透過處理器及/或記憶體執行此電腦可讀媒介,以於執行此電腦可讀媒介時執行上述之方法及各步驟。
綜上所述,本發明可持續蒐集各端點裝置內的執行程序與其行為資訊,並傳送到雲端集中分析,以監控是否出現異常行為,並掌握即時之執行狀態。當收到新公開之漏洞情資,本發明亦可分析漏洞情資並比對過往記錄之行為資訊,以檢查是否有漏洞程式正在執行或曾經執行,故能有效識別漏洞程式運行狀態,以判斷真實之資安風險,並降低資安管理成本。本發明亦能透過先前記錄之異常行為,在漏洞公開後進行回溯,以揭露先前發生之零日攻擊。
本發明係以使用者模式進行監控,且僅監控新執行之程序,若是漏洞程式未曾執行,則根本不需要分析與追蹤漏洞確切的發生位置,故本發明之監控非常輕量,對於端點裝置之負擔極小,且能有效降低監控漏洞之成本。例如,在四核心處理器與1GB記憶體的端點裝置環境測試,本發明監控虛擬檔案系統之變化並判斷是否有新程序僅需0.00015秒,對比乾淨的相同環境,以C語言撰寫之Hello World程式單次執行時間平均為0.0032秒,由此可見本發明之監控不僅有效,且對於效能損耗極少,亦可適用在不同運算能力之裝置或設備。相較於對端點裝置內所有檔案進行白箱掃描以搜尋資安漏洞,本發明可以更精準地且更有效率地找出哪些漏洞程式有被執行之風險。
上述實施形態僅例示性說明本發明之原理及其功效,而非用於限制本發明。任何在本技術領域具有通常知識者均可在不違背本發明之精神及範疇下,對上述實施形態進行修飾與改變。因此,本發明之權利保護範圍,應如後述之申請專利範圍所列。
100:資安防護系統
110:行為蒐集模組
115:端點裝置
120:行為分析模組
122:行為基準建立模組
124:行為異常判斷模組
130:漏洞分析模組
140:漏洞情資資料庫
Claims (9)
- 一種資安防護系統,包括:複數行為蒐集模組,各係安裝於一對應之端點裝置,其中,各該端點裝置之保護模式包括核心模式及使用者模式,各該行為蒐集模組用於以該使用者模式偵測並蒐集對應之該端點裝置所執行的每一程序之行為資訊,其中,該行為資訊包括該程序之程序識別碼、父程序識別碼、程序名稱、執行該程序之完整指令、該程序所載入或執行之檔案與其檔案類型及檔案內容雜湊值、該程序使用之檔案描述符與相對應之檔案資訊、該程序使用之檔案與其檔案內容雜湊值、以及該程序所開啟之各種通訊協定的服務埠中之至少一者;行為分析模組,用於根據該等行為蒐集模組所蒐集之該等行為資訊判斷各該端點裝置是否出現異常行為,以於出現該異常行為時,記錄該異常行為並發出警報;以及漏洞分析模組,用於接收漏洞情資,比對該漏洞情資與該等行為資訊,以判斷該等端點裝置中是否有該漏洞情資中之漏洞程式正在執行或曾被執行,俾於該漏洞程式正在執行或曾被執行時發出警報,且用於判斷該漏洞程式是否與該行為分析模組所記錄之該異常行為有關,以將此判斷之結果列入該警報中。
- 如請求項1所述之資安防護系統,其中,該行為分析模組包括:行為基準建立次模組,用以於一新端點裝置新加入於該等端點裝置時,將該新端點裝置之行為資訊與可信賴程序名單、惡意程序名單、以及分析該等端點裝置中除該新端點裝置外之其他該端點裝置的行為資訊所得之已知行為類型進行比對,以將該新端點裝置之該行為資訊歸類為該等端點裝置之共同基準、該新端 點裝置之自主行為或異常行為,以於出現該異常行為時,記錄該異常行為並發出警報。
- 如請求項2所述之資安防護系統,其中,該行為分析模組復包括:行為異常判斷次模組,於該新端點裝置加入該等端點裝置後,根據該共同基準、該新端點裝置之該自主行為以及該等端點裝置中除該新端點裝置外之其他該端點裝置的相似行為資訊,判斷該行為資訊為正常行為或該異常行為,以於出現該異常行為時,記錄該異常行為並發出警報。
- 如請求項1所述之資安防護系統,其中,該漏洞分析模組復用於根據該等行為資訊判斷該漏洞程式是否曾開啟對外服務,以將此判斷之結果列入該警報中。
- 一種資安防護方法,包括:以複數端點裝置中之各該端點裝置之使用者模式偵測並蒐集各該端點裝置所執行之每一程序之行為資訊,其中,各該端點裝置之保護模式包括核心模式及該使用者模式,且該行為資訊包括該程序之程序識別碼、父程序識別碼、程序名稱、執行該程序之完整指令、該程序所載入或執行之檔案與其檔案類型及檔案內容雜湊值、該程序使用之檔案描述符與相對應之檔案資訊、該程序使用之檔案與其檔案內容雜湊值、以及該程序所開啟之各種通訊協定的服務埠中之至少一者;根據該等行為資訊判斷各該端點裝置是否出現異常行為;於出現該異常行為時,記錄該異常行為並發出警報;接收漏洞情資; 比對該漏洞情資與該等行為資訊,以判斷該等端點裝置中是否有該漏洞情資中之漏洞程式正在執行或曾被執行;於該漏洞程式正在執行或曾被執行時發出警報;以及判斷該漏洞程式是否與該異常行為有關,以將此判斷之結果列入該警報中。
- 如請求項5所述之資安防護方法,其中,該根據該等行為資訊判斷各該端點裝置是否出現該異常行為之步驟包括:於新端點裝置新加入於該等端點裝置時,將該新端點裝置之行為資訊與可信賴程序名單、惡意程序名單以及分析該等端點裝置中之除該新端點裝置外之其他該端點裝置的行為資訊所得之已知行為類型進行比對,以將該新端點裝置之行為資訊歸類為該等端點裝置之共同基準、該新端點裝置之自主行為或異常行為。
- 如請求項6所述之資安防護方法,其中,該根據該等行為資訊判斷各該端點裝置是否出現該異常行為之步驟復包括:於該新端點裝置加入該端點裝置後,根據該共同基準、該新端點裝置之自主行為以及該端點裝置中之其他該端點裝置的相似行為資訊,判斷該行為資訊為正常行為或該異常行為。
- 如請求項5所述之資安防護方法,復包括:根據該等行為資訊判斷該漏洞程式是否曾開啟對外服務,以將此判斷之結果列入該警報中。
- 一種電腦可讀媒介,應用於計算裝置或電腦中,係儲存有指令,以執行如請求項5至8之任一者所述之資安防護方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109132912A TWI781448B (zh) | 2020-09-23 | 2020-09-23 | 資安防護系統、方法及電腦可讀媒介 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109132912A TWI781448B (zh) | 2020-09-23 | 2020-09-23 | 資安防護系統、方法及電腦可讀媒介 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202213142A TW202213142A (zh) | 2022-04-01 |
| TWI781448B true TWI781448B (zh) | 2022-10-21 |
Family
ID=82197385
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109132912A TWI781448B (zh) | 2020-09-23 | 2020-09-23 | 資安防護系統、方法及電腦可讀媒介 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI781448B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110691064A (zh) * | 2018-09-27 | 2020-01-14 | 国家电网有限公司 | 一种现场作业终端安全接入防护和检测系统 |
| CN111193719A (zh) * | 2019-12-14 | 2020-05-22 | 贵州电网有限责任公司 | 一种网络入侵防护系统 |
| CN111556473A (zh) * | 2020-05-08 | 2020-08-18 | 国家计算机网络与信息安全管理中心 | 一种异常访问行为检测方法及装置 |
-
2020
- 2020-09-23 TW TW109132912A patent/TWI781448B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110691064A (zh) * | 2018-09-27 | 2020-01-14 | 国家电网有限公司 | 一种现场作业终端安全接入防护和检测系统 |
| CN111193719A (zh) * | 2019-12-14 | 2020-05-22 | 贵州电网有限责任公司 | 一种网络入侵防护系统 |
| CN111556473A (zh) * | 2020-05-08 | 2020-08-18 | 国家计算机网络与信息安全管理中心 | 一种异常访问行为检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202213142A (zh) | 2022-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zhang et al. | An IoT honeynet based on multiport honeypots for capturing IoT attacks | |
| US9954872B2 (en) | System and method for identifying unauthorized activities on a computer system using a data structure model | |
| Shameli-Sendi et al. | Intrusion response systems: survey and taxonomy | |
| EP3205072B1 (en) | Differential dependency tracking for attack forensics | |
| Corona et al. | Adversarial attacks against intrusion detection systems: Taxonomy, solutions and open issues | |
| Chen et al. | A model-based approach to self-protection in computing system | |
| US10547634B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
| US11647037B2 (en) | Penetration tests of systems under test | |
| WO2014112185A1 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
| US20200344250A1 (en) | Context profiling for malware detection | |
| US20230007032A1 (en) | Blockchain-based host security monitoring method and apparatus, medium and electronic device | |
| CN104866407A (zh) | 一种虚拟机环境下的监控系统及监控方法 | |
| CN117527412A (zh) | 数据安全监测方法及装置 | |
| CN115694928A (zh) | 全舰计算环境云端蜜罐、攻击事件感知和行为分析方法 | |
| US20210367958A1 (en) | Autonomic incident response system | |
| Nikolai et al. | A system for detecting malicious insider data theft in IaaS cloud environments | |
| KR102311997B1 (ko) | 인공지능 행위분석 기반의 edr 장치 및 방법 | |
| Kachare et al. | Sandbox environment for real time malware analysis of IoT devices | |
| Jaber et al. | Methods for preventing distributed denial of service attacks in cloud computing | |
| CN111859386A (zh) | 基于行为分析的木马检测方法及系统 | |
| TWI781448B (zh) | 資安防護系統、方法及電腦可讀媒介 | |
| Luo et al. | Security of HPC systems: From a log-analyzing perspective | |
| Mukherjee et al. | Interpreting gnn-based ids detections using provenance graph structural features | |
| Janagam et al. | Analysis of network intrusion detection system with machine learning algorithms (deep reinforcement learning algorithm) | |
| US20240086522A1 (en) | Using thread patterns to identify anomalous behavior |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GD4A | Issue of patent certificate for granted invention patent |