TWI798007B - 基於系統特性之異常偵測系統、方法及電腦可讀媒介 - Google Patents
基於系統特性之異常偵測系統、方法及電腦可讀媒介 Download PDFInfo
- Publication number
- TWI798007B TWI798007B TW111107074A TW111107074A TWI798007B TW I798007 B TWI798007 B TW I798007B TW 111107074 A TW111107074 A TW 111107074A TW 111107074 A TW111107074 A TW 111107074A TW I798007 B TWI798007 B TW I798007B
- Authority
- TW
- Taiwan
- Prior art keywords
- analysis module
- evaluation
- external system
- request
- probability
- Prior art date
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Operation Control Of Excavators (AREA)
- Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
Abstract
本發明揭露一種基於系統特性之異常偵測系統、方法及電腦可讀媒介,係由預測分析模組利用物聯網裝置之請求資訊建立預測模型,且由評價分析模組利用外部系統之系統特性參數以依序分析出系統評價及系統狀態,再由攻擊分析模組依據系統狀態計算出最終過濾門檻值之機率。繼之,由名單過濾模組監測物聯網裝置對外部系統之請求,以由預測分析模組預測出請求之安全值之機率,再由攻擊分析模組比較安全值之機率與最終過濾門檻值之機率,以得出物聯網裝置之名單過濾結果,俾於物聯網裝置之請求為異常、可疑或危險時,由名單過濾模組限制物聯網裝置對外部系統進行連線、請求或訪問。
Description
本發明係關於一種資訊安全技術領域,特別是指一種基於系統特性之異常偵測系統、方法及電腦可讀媒介。
面對例如分散式阻斷服務(distributed denial-of-service;DDoS)攻擊,企業與ISP(Internet Service Provider;網際網路服務供應商)業者通常無法做到完全的防禦,大部分都從減緩分散式阻斷服務(DDoS)攻擊之強度著手。又,系統管理者面對系統(如資訊系統)被攻擊時,需有隨攻擊情境做防護規劃調整之概念或機制,例如上游之流量清洗與下游之阻擋機制。
再者,隨著科技之進步,網路攻擊技術也日新月異。常用的三個防禦面向分別為[1]加強防火牆之通行規則、[2]提升設備之性能(規格)、[3]使用具備分散式阻斷服務(DDoS)攻擊之防禦系統。所以,系統管理者需知其系統(如資訊系統)可能面臨之攻擊,以準備完整之防禦機制及建立健全之系統環境。
近年來,隨著網路攻擊之次數愈來愈多,現有技術也提出許多系統防禦之方法,目前現有技術主要運用系統流量之變化、封包之大小或來源之IP
位址進行系統防禦,卻無法針對系統(如資訊系統)之當前狀態作出更有利之判斷。
另外,目前現有技術無法利用系統(如資訊系統)之系統特性參數以分析出此系統之系統評價或系統狀態,亦無法對物聯網裝置之歷史請求資訊或此系統之歷史系統評價進行分析以判斷此系統目前之優劣狀態,也無法透過預測模型判斷物聯網裝置之請求是否滿足過濾條件以確保此系統之穩定性,更無法在物聯網裝置之請求滿足過濾條件時,過濾異常、可疑或危險性之請求以確保此系統之正常運作。
因此,如何提供一種創新之資訊安全或異常偵測技術,以解決上述之任一問題或提供相關之功能(服務),已成為本領域技術人員之一大研究課題。
本發明提供一種創新之基於系統特性之異常偵測系統、方法及電腦可讀媒介,係利用外部系統(如資訊系統)之系統特性參數以分析出外部系統之系統評價或系統狀態,或者對物聯網裝置之歷史請求資訊或外部系統之歷史系統評價進行分析以判斷外部系統目前之優劣狀態,抑或者透過預測模型判斷物聯網裝置之請求是否滿足過濾條件,以確保外部系統之穩定性,又或者在物聯網裝置之請求滿足過濾條件時,過濾異常、可疑或危險性之請求以確保外部系統之正常運作。
本發明所述基於系統特性之異常偵測系統包括:一預測分析模組,係利用至少一物聯網裝置之歷史請求資訊建立預測模型;一評價分析模組,係依據外部系統之系統特性參數分析出外部系統之系統評價,以由評價分析模組依據外部系統之系統評價分析出外部系統之系統狀態;一攻擊分析模組,係依據評
價分析模組所分析出之外部系統之系統狀態計算出最終過濾門檻值之機率;以及一名單過濾模組,係即時監測物聯網裝置對外部系統之請求,以由預測分析模組透過預測模型預測出名單過濾模組所即時監測之物聯網裝置之請求之安全值之機率,再由攻擊分析模組比較預測分析模組所預測出之物聯網裝置之請求之安全值之機率與攻擊分析模組所計算出之最終過濾門檻值之機率,以得出物聯網裝置之名單過濾結果,俾於依據攻擊分析模組所分析出之物聯網裝置之名單過濾結果判斷出物聯網裝置之請求為異常之請求時,由名單過濾模組限制具有異常之請求之物聯網裝置對外部系統進行連線。
本發明所述基於系統特性之異常偵測方法包括:由一預測分析模組利用至少一物聯網裝置之歷史請求資訊建立預測模型;由一評價分析模組依據外部系統之系統特性參數分析出外部系統之系統評價,以由評價分析模組依據外部系統之系統評價分析出外部系統之系統狀態;由攻擊分析模組依據評價分析模組所分析出之外部系統之系統狀態計算出最終過濾門檻值之機率;以及由一名單過濾模組即時監測物聯網裝置對外部系統之請求,以由預測分析模組透過預測模型預測出名單過濾模組所即時監測之物聯網裝置之請求之安全值之機率,再由攻擊分析模組比較預測分析模組所預測出之物聯網裝置之請求之安全值之機率與攻擊分析模組所計算出之最終過濾門檻值之機率,以得出物聯網裝置之名單過濾結果,俾於依據攻擊分析模組所分析出之物聯網裝置之名單過濾結果判斷出物聯網裝置之請求為異常之請求時,由名單過濾模組限制具有異常之請求之物聯網裝置對外部系統進行連線。
本發明之電腦可讀媒介應用於計算裝置或電腦中,係儲存有指令,以執行上述基於系統特性之異常偵測方法。
為讓本發明之上述特徵與優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明。在以下描述內容中將部分闡述本發明之額外特徵及優點,且此等特徵及優點將部分自所述描述內容可得而知,或可藉由對本發明之實踐習得。應理解,前文一般描述與以下詳細描述二者均為例示性及解釋性的,且不欲約束本發明所欲主張之範圍。
1:異常偵測系統
10:資料擷取模組
21:系統特性資料庫
22:系統評價資料庫
23:請求資訊資料庫
24:名單過濾資料庫
30:評價分析模組
40:預測分析模組
41:預測模型
50:攻擊分析模組
60:名單過濾模組
A:外部系統
B,B1,B2:物聯網裝置
C:電信服務端
p:門檻調整機率
P':預測門檻機率
PV:攻擊演算機率
S1至S4:步驟
V:系統評價之落點分類
圖1為本發明所述基於系統特性之異常偵測系統之架構示意圖。
圖2為本發明所述基於系統特性之異常偵測方法之流程示意圖。
圖3為本發明所述基於系統特性之異常偵測系統及其方法中,有關外部系統之系統評價(評價分數)之分布示意圖。
圖4為本發明所述基於系統特性之異常偵測系統及其方法中,有關攻擊分析模組之攻擊演算分析法之示意圖。
圖5為本發明所述基於系統特性之異常偵測系統及其方法中,有關物聯網裝置之請求之過濾方式之實施例示意圖。
圖6為本發明所述基於系統特性之異常偵測系統及其方法中,有關物聯網裝置之安全通知之實施例示意圖。
以下藉由特定的具體實施形態說明本發明之實施方式,熟悉此技術之人士可由本說明書所揭示之內容了解本發明之其它優點與功效,亦可因而藉由其它不同具體等同實施形態加以施行或運用。
圖1為本發明所述基於系統特性之異常偵測系統1之架構示意圖。如圖所示,異常偵測系統1可透過網路連結或通訊至少一外部系統A與至少一(如複數)物聯網裝置B,且異常偵測系統1可包括互相連結或通訊之一資料擷取模組10、一系統特性資料庫21、一系統評價資料庫22、一請求資訊資料庫23、一名單過濾資料庫24、一評價分析模組30、一預測分析模組40、一攻擊分析模組50及/或一名單過濾模組60等。
此外,本發明所述「網路」可為有線網路、無線網路、網際網路、區域網路(LAN)、無線區域網路(WLAN)、廣域網路(WAN)、都會區域網路(MAN)、虛擬專用網路(VPN)等,「連結」或「通訊」代表有線或無線連結或通訊,「至少一」代表一個以上(如一、二或三個以上),「複數」代表二個以上(如二、三、四、五、十或百個以上),且「系統特性」與「系統特性參數」可分別包括系統服務特性或系統服務特性參數。
在一實施例中,外部系統A可為本發明之異常偵測系統1以外之認證系統、用戶系統、物聯網系統、服務系統、交易系統、訂票系統、監控系統、管理系統、作業系統、電信系統、通訊系統、運輸系統等各種資訊系統。物聯網裝置B可為能連結網路之電腦、智慧手機、智慧手錶、智慧手環、智慧眼鏡等用戶裝置,亦可為能連結網路之伺服器、智慧家電、智慧交通工具、智慧水表、智慧電表、機器人、無人機等。前述電腦可為平板電腦、個人電腦、筆記型電腦、桌上型電腦等,智慧眼鏡可為擴增實境(AR)眼鏡、虛擬實境(VR)眼鏡等,伺服器可為資料伺服器、通用伺服器、網路伺服器、雲端伺服器、遠端伺服器等,智慧家電可為智慧電視、智慧冰箱等,智慧交通工具可為電動汽車、電動巴士、電動機車等。
在一實施例中,資料擷取模組10可為資料擷取器(晶片/電路)、資料接收器、資料傳輸介面、資料擷取軟體(程式)等。系統特性資料庫21可為系統特性資料伺服器、系統特性資料儲存器或系統特性資料儲存媒介等,系統評價資料庫22可為系統評價資料伺服器、系統評價資料儲存器或系統評價資料儲存媒介等,請求資訊資料庫23可為請求資訊資料伺服器、請求資訊資料儲存器或請求資訊資料儲存媒介等,名單過濾資料庫24可為名單過濾資料伺服器、名單過濾資料儲存器或名單過濾資料儲存媒介等。評價分析模組30可為評價分析器(晶片/電路)、評價分析軟體(程式)等。預測分析模組40可為預測分析器(晶片/電路)、預測分析軟體(程式)等,且預測分析模組40之預測模型41可為請求預測模型或預測分析模型等。攻擊分析模組50可為攻擊分析器(晶片/電路)、攻擊分析軟體(程式)等,名單過濾模組60可為名單過濾器(晶片/電路)、名單過濾軟體(程式)等。但是,本發明並不以此為限。
異常偵測系統1之資料擷取模組10可擷取外部系統A之系統特性參數(如系統服務特性參數)與物聯網裝置B之歷史請求資訊,以由資料擷取模組10將外部系統A之系統特性參數與物聯網裝置B之歷史請求資訊分別儲存至異常偵測系統1之系統特性資料庫21與請求資訊資料庫23中。
異常偵測系統1之系統特性資料庫21可儲存(記錄)外部系統A之至少一或複數系統特性參數(如系統服務特性參數),系統評價資料庫22可儲存(記錄)外部系統A之系統評價(如當前系統評價或歷史系統評價),請求資訊資料庫23可儲存(記錄)物聯網裝置B對外部系統A進行連線時之請求資訊(如當前請求資訊或歷史請求資訊)。名單過濾資料庫24可儲存(記錄)物聯網裝置B之名單過濾結果、黑名單或過濾名單,其中,黑名單或過濾名單記載已被過濾或曾被
過濾之物聯網裝置B之資訊。
異常偵測系統1之評價分析模組30可連結或通訊系統特性資料庫21,以由評價分析模組30從系統特性資料庫21中取得外部系統A之複數系統特性參數(如系統服務特性參數),再由評價分析模組30透過層級分析法(Analytic Hierarchy Process;AHP)分析或計算出外部系統A之複數系統特性參數各自搭配之權重。評價分析模組30亦可依據外部系統A之複數系統特性參數及其各自搭配之權重分析或計算出外部系統A之系統評價(如當前系統評價),以將外部系統A之系統評價(如當前系統評價)儲存(記錄)至系統評價資料庫22中。
評價分析模組30可從系統評價資料庫22中取得外部系統A之複數歷史系統評價之資料,以由評價分析模組30分析複數歷史系統評價之分布而區分出外部系統A之不同系統狀態。同時,評價分析模組30可更新外部系統A之系統評價(如當前系統評價),亦可分析外部系統A之系統評價(如當前系統評價)之優劣狀態之分布,也能依據外部系統A之系統評價分析(判斷)出外部系統A之系統狀態(如當前系統狀態)。
異常偵測系統1之預測分析模組40可連結或通訊請求資訊資料庫23,以由預測分析模組40從請求資訊資料庫23中取得物聯網裝置B之歷史請求資訊,再由預測分析模組40依據物聯網裝置B之歷史請求資訊建立預測模型41(如請求預測模型或預測分析模型)。在一實施例中,預測分析模組40可利用隨機森林演算法以依據物聯網裝置B之歷史請求資訊建立預測模型41,且藉由隨機森林演算法提高對物聯網裝置B之不同歷史請求資訊分類之準確度,當物聯網裝置B之不同歷史請求資訊之分類不平衡時,預測分析模組40可利用隨機森林演算法以平衡不同歷史請求資訊之分類之誤差。
又,預測分析模組40可透過預測模型41預測物聯網裝置B之請求之安全值之機率並記錄安全值之機率之預測結果,以由預測分析模組40依據安全值之機率之預測結果分析或判斷物聯網裝置B之請求是否為異常、可疑或危險性之請求。每當一物聯網裝置B對外部系統A發出請求時,異常偵測系統1之預測分析模組40可透過預測模型41(如請求預測模型或預測分析模型)預測物聯網裝置B之請求之安全值之機率,再由攻擊分析模組50比較此請求之安全值之機率(百分比)與最終過濾門檻值之機率(百分比),以分析出物聯網裝置B之名單過濾結果,進而由名單過濾模組60將物聯網裝置B之名單過濾結果儲存至名單過濾資料庫24。當依據攻擊分析模組50所分析之物聯網裝置B之名單過濾結果得到或判斷出物聯網裝置B之請求為異常、可疑或危險性之請求時,由名單過濾模組60限制、暫停或禁止此具有異常、可疑或危險性之請求之物聯網裝置B對外部系統A進行連線、請求或訪問,且由名單過濾模組60將此異常、可疑或危險之物聯網裝置B之資訊儲存至名單過濾資料庫24之黑名單或過濾名單。
異常偵測系統1之攻擊分析模組50可連結或通訊評價分析模組30以取得外部系統A之系統狀態(如當前系統狀態),再由攻擊分析模組50依據外部系統A之系統狀態(如當前系統狀態)計算出最終過濾門檻值之機率。又,攻擊分析模組50可連結或通訊預測分析模組40,且攻擊分析模組50亦能透過預測分析模組40之預測模型41以依據最終過濾門檻值之機率判斷物聯網裝置B之請求是否滿足過濾條件。在一實施例中,攻擊分析模組50可取得異常偵測系統1之系統管理端設定(給定)之基礎過濾門檻值之機率並參照外部系統A之系統狀態(如當前系統狀態),以由攻擊分析模組50依據基礎過濾門檻值之機率搭
配外部系統A之系統狀態而計算出最終過濾門檻值之機率。
異常偵測系統1之名單過濾模組60可連結或通訊名單過濾資料庫24,以從名單過濾資料庫24中取得有關物聯網裝置B之黑名單或過濾名單,再由名單過濾模組60依據黑名單或過濾名單判斷物聯網裝置B是否已被過濾或曾被過濾。又,名單過濾模組60可即時監測(如監聽)物聯網裝置B對外部系統A(如認證系統)之請求,若名單過濾模組60依據黑名單或過濾名單判斷出此物聯網裝置B已被過濾,則名單過濾模組60不允許此物聯網裝置B對外部系統A進行請求及後續之請求行為(如請求服務或請求認證),或者名單過濾模組60可將物聯網裝置B之請求引導至預測分析模組40,以由預測分析模組40預測物聯網裝置B之請求之安全值之機率。
換言之,當名單過濾模組60收到物聯網裝置B對外部系統A之請求時,名單過濾模組60可從名單過濾資料庫24中查詢有關物聯網裝置B之黑名單或過濾名單。若名單過濾模組60從黑名單或過濾名單中查詢出此物聯網裝置B未被過濾,則由預測分析模組40使用預測模型41以預測物聯網裝置B之請求之安全值之機率,且由預測分析模組40將外部系統A之系統狀態與此安全值之機率之預測結果給予攻擊分析模組50,再由攻擊分析模組50依據外部系統A之系統狀態與此安全值之機率之預測結果分析出物聯網裝置B之名單過濾結果,進而由名單過濾模組60將物聯網裝置B之名單過濾結果儲存至名單過濾資料庫24。當依據攻擊分析模組50所分析之物聯網裝置B之名單過濾結果得到或判斷出物聯網裝置B之請求為異常、可疑或危險性之請求時,由名單過濾模組60限制、暫停或禁止此具有異常、可疑或危險性之請求之物聯網裝置B對外部系統A進行連線、請求或訪問,且由名單過濾模組60將此異常、可疑或危險
之物聯網裝置B之資訊儲存至名單過濾資料庫24之黑名單或過濾名單。
圖2為本發明所述基於系統特性之異常偵測方法之流程示意圖,並參閱圖1予以說明。同時,此基於系統特性之異常偵測方法之主要內容如下,其餘內容相同於上述圖1與下述圖3至圖6之記載,於此不再重覆敘述。
如圖2所示,在步驟S1中,由異常偵測系統1之預測分析模組40利用至少一(如複數)物聯網裝置B之歷史請求資訊建立預測模型41。
在步驟S2中,由異常偵測系統1之評價分析模組30週期性(定時)依據外部系統A之系統特性參數分析或計算出外部系統A之系統評價(如評價分數),以由評價分析模組30依據外部系統A之系統評價分析(判斷)出外部系統A之系統狀態(如當前系統狀態),再由攻擊分析模組50依據評價分析模組30所分析出之外部系統A之系統狀態計算出最終過濾門檻值之機率。
在步驟S3中,由異常偵測系統1之名單過濾模組60即時監測(如監聽)物聯網裝置B對外部系統A(如認證系統)之請求,以由預測分析模組40透過預測模型41預測(分析)出名單過濾模組60所即時監測之物聯網裝置B之請求之安全值之機率。
在步驟S4中,由異常偵測系統1之攻擊分析模組50比較預測分析模組40所預測出之物聯網裝置B之請求之安全值之機率與攻擊分析模組50所計算出之最終過濾門檻值之機率,以得出物聯網裝置B之名單過濾結果,再由名單過濾模組60將物聯網裝置B之名單過濾結果儲存至名單過濾資料庫24。當依據攻擊分析模組50所分析之物聯網裝置B之名單過濾結果得到或判斷出物聯網裝置B之請求為異常、可疑或危險性之請求時,由名單過濾模組60限制、暫停或禁止此具有異常、可疑或危險性之請求之物聯網裝置B對外部系統A進
行連線、請求或訪問,且由名單過濾模組60將此異常、可疑或危險之物聯網裝置B之資訊儲存至名單過濾資料庫24之黑名單或過濾名單。
詳言之,本發明所述基於系統特性之異常偵測系統1及其方法中,預測分析模組40可從請求資訊資料庫23中取得物聯網裝置B之歷史請求資訊,以由預測分析模組40依據物聯網裝置B之歷史請求資訊建立預測模型41,再由預測分析模組40透過預測模型41預測物聯網裝置B之請求之安全值之機率,進而由預測分析模組40記錄安全值之機率之預測結果。
評價分析模組30可週期性依據外部系統A之系統特性參數(如系統服務特性參數)分析或計算出外部系統A之系統評價,以由評價分析模組30將外部系統A之系統評價儲存至系統評價資料庫22。評價分析模組30對外部系統A之系統評價之分析時機,除了週期性依據外部系統A之系統特性參數分析或計算出外部系統A之系統評價外,評價分析模組30亦可進一步參照外部系統A之系統特性參數之區間突破(改變)以分析或計算出外部系統A之系統評價,且系統特性參數之區間突破代表系統特性參數之變化值超過變化門檻值(如變化門檻值為10%)。
評價分析模組30可利用移動平均數或平均絕對百分比誤差(Mean absolute percentage error;MAPE)之方法以分析或計算出外部系統A之系統特性參數於不同時間之平均值,再由評價分析模組30依據不同時間之平均值判斷外部系統A之系統特性參數之區間突破。例如,若評價分析模組30分析或計算出外部系統A之系統特性參數於上一時間點之平均值為10且下一時間點之平均值為高於11或低於9,表示外部系統A之系統特性參數之變化值超過變化門檻值(如變化門檻值為10%),則代表系統特性參數之趨勢改變,而需由評價分析模組
30進行一次外部系統A之系統評價(如評價分數)之計算。
舉例而言,本發明之評價分析模組30之計算過程可以如下列之說明與表1至表4之記載。
首先,若評價分析模組30所分析之外部系統A(如認證系統)之複數(不同)系統特性參數包括外部系統A之服務時間(如認證時間)、服務次數(如認證次數)、進線流量及/或服務成功率(如認證成功率)等,則評價分析模組30可透過層級分析法(AHP)分析出外部系統A之複數系統特性參數(如認證時間/認證次數/進線流量/認證成功率)各自搭配之權重,如下列表1所示外部系統A(如認證系統)之權重分析表。
表1:外部系統A(如認證系統)之權重分析表。
繼之,若外部系統A(如認證系統)對於物聯網裝置B實際上之服務紀錄(如認證紀錄)為下列表2所示複數系統特性參數(如認證時間/認證次數/進線流量/認證成功率)之第一數值,則評價分析模組30可利用理想解類似度偏好順序評估法(Technique for Order Preference by Similarity to Ideal Solution;TOPSIS),以依據外部系統A之複數系統特性參數之第一數值及其各自搭配之權重(見表1)而計算出外部系統A(如認證系統)於不同時間之系統評價(如系統評價之評價分
數為0至1之間),後續再由評價分析模組30進行外部系統A(如認證系統)之系統評價(如評價分數)之落點分析。
表2:外部系統A(如認證系統)對於物聯網裝置B之服務紀錄,包括外部系統A於不同時間之複數系統特性參數(如認證時間/認證次數/進線流量/認證成功率)之第一數值。
接著,評價分析模組30可將上列表2所示外部系統A之複數系統特性參數(如認證紀錄/認證次數/進線流量/認證成功率)之第一數值經加權後,再透過正規化矩陣以計算出下列表3所示外部系統A於不同時間之複數系統特性參數之第二數值。
表3:外部系統A於不同時間之複數系統特性參數(如認證時間/認證次數/進線流量/認證成功率)之第二數值。
然後,評價分析模組30可利用理想解類似度偏好順序評估法(TOPSIS),以依據上列表3所示外部系統A之複數系統特性參數之第二數值分析出下列表4所示外部系統A之正理想距離與負理想距離,再由評價分析模組
30依據外部系統A之正理想距離與負理想距離分析或計算出外部系統A之系統評價(如評價分數),進而由評價分析模組30將外部系統A之系統評價(如評價分數)之資料儲存至異常偵測系統1之系統評價資料庫22中。外部系統A之系統評價(如評價分數)愈高,代表外部系統A之系統狀態愈佳;反之,外部系統A之系統評價(如評價分數)愈低,則代表外部系統A之系統狀態愈差。
表4:外部系統A於不同時間之正理想距離、負理想距離與系統評價(如評價分數)。
圖3為本發明所述基於系統特性之異常偵測系統1及其方法中有關外部系統A之系統評價(評價分數)之分布示意圖,並參閱圖1予以說明。
如圖3所示,若外部系統A處於運行中,則理論上外部系統A應長時間呈現穩定狀態,即外部系統A之系統評價(如評價分數)之落點在較為密集且收斂之範圍而為「穩定範圍」之分布。又,外部系統A之系統評價(如評價分數)之落點在較低之範圍為「要緊範圍」之分布,而外部系統A之系統評價(如評價分數)之落點在較高之範圍則為「優良範圍」之分布。因此,評價分析模組30可將外部系統A之系統評價(如評價分數)之落點自低至高依序分類為「要緊範圍」、「穩定範圍」與「優良範圍」三類。例如,若評價分析模組30分析或估計出系統評價資料庫22中之系統評價(如評價分數)之落點收斂在0.4至0.8之範圍,則評價分析模組30可將外部系統A之系統評價(如評價分數)之落點在收斂
之範圍(如0.4至0.8)分類為「穩定範圍」,並將外部系統A之系統評價(如評價分數)之落點在較低之範圍(如0至0.4)分類為「要緊範圍」,且將外部系統A之系統評價(如評價分數)之落點在較高之範圍(如0.8至1.0)分類為「優良範圍」。
圖4為本發明所述基於系統特性之異常偵測系統1及其方法中有關攻擊分析模組50之攻擊演算分析法之示意圖,並參閱圖1予以說明。
如圖4所示,攻擊分析模組50可利用攻擊演算分析法以計算出攻擊演算機率PV,其中,攻擊分析模組50之攻擊演算分析法係如下列公式所示。
攻擊演算分析法:
在上述攻擊分析模組50之攻擊演算分析法之公式中,PV代表攻擊演算機率,其能依據不同系統評價之落點進行自適應門檻機率之調整。V代表系統評價之落點分類,P'代表系統定義或系統管理端設定之預測門檻機率,p代表門檻調整機率。此外,下列之Pp代表物聯網裝置B之請求透過預測分析模組40得出之安全值之機率。
舉例而言,以外部系統A為認證系統作例子,系統定義或系統管理端設定之預測門檻機率P'為85%,且外部系統A之系統評價(如評價分數)之落點分類為「要緊範圍」,表示外部系統A(如認證系統)處於危險狀態而無多餘之資源對物聯網裝置B進行服務(如認證服務)。又,因外部系統A之系統評價(如評價分數)之落點分類為「要緊範圍」,假設門檻調整機率p為8%,則攻擊分析模組50依據上述攻擊演算分析法之公式(即Pv=P'+p)可得出目前之攻擊演算機率Pv為93%(如預測門檻機率85%加上門檻調整機率8%),表示攻擊分析模組50之過濾條件為物聯網裝置B之請求之預測結果(即安全值之機率Pp)需要高於攻
擊演算機率Pv(如93%),以於滿足此過濾條件時,令攻擊分析模組50允許外部系統A(如認證系統)對物聯網裝置B之請求給予相應之服務(如認證服務)。
異常偵測系統1之系統管理端能設定門檻調整機率p之可調整範圍,以將門檻調整機率p之數值從小逐漸加大且不斷地測試而得到適用於目前之外部系統A(如認證系統)之門檻調整機率p。攻擊分析模組50可提供門檻調整機率p之相關設定介面,以供異常偵測系統1之系統管理端反覆測試門檻調整機率p之數值,進而得到合適之門檻調整機率p。此門檻調整機率p與預測分析模組40之預測模型41之準確度有關,若預測模型41之準確度不佳(失準),則預測分析模組40可分析預測模型41之準確度不佳(失準)之原因,以由預測分析模組40校正預測模型41之準確度後重新建立準確之預測模型41。
圖5為本發明所述基於系統特性之異常偵測系統1及其方法中有關物聯網裝置B(如物聯網裝置B1與物聯網裝置B2)之請求之過濾方式之實施例示意圖,並參閱圖1予以說明。
舉例而言,如圖5所示,物聯網裝置B1(如一物聯網裝置群)與物聯網裝置B2(如另一物聯網裝置群)皆欲取得外部系統A(如認證系統)之服務資訊(如認證資訊)與系統連線,且物聯網裝置B1與物聯網裝置B2分別透過網路(如網際網路)連線至異常偵測系統1或名單過濾模組60以進一步連線至外部系統A(如認證系統)。
繼之,異常偵測系統1之名單過濾模組60可分別針對物聯網裝置B1與物聯網裝置B2查詢名單過濾資料庫24,以先行確認物聯網裝置B1與物聯網裝置B2兩者之相關資訊(如名單資訊或認證資訊)皆不存在於名單過濾資料庫24所儲存之黑名單或過濾名單中。
接著,將物聯網裝置B1與物聯網裝置B2兩者之請求分別導入異常偵測系統1之預測分析模組40,以由預測分析模組40分別對物聯網裝置B1與物聯網裝置B2兩者之請求進行分析,再由預測分析模組40依據物聯網裝置B1之請求之分析結果預測出代表異常、可疑或危險之物聯網裝置B1之安全值之機率(例如90%)為低於安全門檻值之機率(例如93%),並依據物聯網裝置B2之請求之分析結果預測出代表正常之物聯網裝置B2之安全值之機率(例如96%)為高於安全門檻值之機率(例如93%)。
然後,異常偵測系統1之評價分析模組30可查詢系統評價資料庫22,以取得外部系統A之系統評價(如評價分數)之落點分析中「穩定範圍」為0.4至0.8(見圖3或圖4)。但評價分析模組30計算出外部系統A目前之系統評價(如當前系統評價)為0.2,此系統評價(0.2)代表外部系統A目前之系統評價處於「要緊範圍」。假設系統定義或系統管理端設定目前之預測門檻機率P'為90%且門檻調整機率p為5%,則攻擊分析模組50依據上述外部系統A之系統評價處於「要緊範圍」時之攻擊演算分析法之公式(即Pv=P'+p),可以計算出攻擊演算機率Pv為95%,即預測門檻機率P'(如90%)加上門檻調整機率p(如5%)。
最後,名單過濾模組60限制、暫停或禁止此異常、可疑或危險之物聯網裝置B1訪問外部系統A一段時間,並將異常、可疑或危險之物聯網裝置B1納入名單過濾模組60之黑名單或過濾名單中。又,正常之物聯網裝置B2通過名單過濾模組60之過濾,故名單過濾模組60可允許物聯網裝置B正常對外部系統A進行請求及後續之請求行為(如請求服務或請求認證)。
圖6為本發明所述基於系統特性之異常偵測系統1及其方法中有關物聯網裝置B之安全通知之實施例示意圖,並參閱圖1予以說明。
舉例而言,如圖6所示,用戶之物聯網裝置B(如智慧手機)不慎被植入惡意程式而成為駭客之殭屍工具,以致物聯網裝置B不斷地對外部系統A(如認證系統)發出請求,例如認證之請求、攻擊之請求或分散式阻斷服務(DDoS)攻擊之請求。同時,異常偵測系統1之名單過濾模組60已將物聯網裝置B列入黑名單或過濾名單中,但用戶並未知悉物聯網裝置B已遭駭客入侵。若用戶先前已透過物聯網裝置B(如智慧手機)留存相關之電子郵件(Email)或通訊資訊(如智慧手機之門號)於電信服務端C(如電信服務商或電信服務單位)中,則名單過濾模組60可通知電信服務端C,以透過電信服務端C之電子裝置(如電子郵件伺服器或簡訊伺服器)發出相關之電子郵件或簡訊來通知物聯網裝置B之用戶,亦即告知用戶有關物聯網裝置B可能已遭駭客入侵之訊息或有資安遺漏之風險存在,以利提升物聯網裝置B之用戶之安全風險意識。
另外,本發明還提供一種針對基於系統特性之異常偵測方法之電腦可讀媒介,係應用於具有處理器及/或記憶體的計算裝置或電腦中,且電腦可讀媒介儲存有指令,並可利用計算裝置或電腦透過處理器及/或記憶體執行電腦可讀媒介,以於執行電腦可讀媒介時執行上述內容。在一實施例中,處理器可為微處理器、中央處理器(CPU)、圖形處理器(GPU)等,記憶體可為隨機存取記憶體(RAM)、記憶卡、硬碟(如雲端/網路硬碟)、資料庫等,但不以此為限。
綜上,本發明所述基於系統特性之異常偵測系統、方法及電腦可讀媒介至少具有下列特色、優點或技術功效。
一、本發明之評價分析模組係利用外部系統之系統特性參數(如系統服務特性參數),以利分析出外部系統之系統評價或系統狀態。
二、本發明之預測分析模組與評價分析模組係分別對物聯網裝置
之歷史請求資訊與外部系統之歷史系統評價進行分析,以利評價分析模組判斷出外部系統目前之優劣狀態。
三、本發明之攻擊分析模組係透過預測分析模組之預測模型以判斷物聯網裝置之請求是否滿足過濾條件,有利於確保外部系統之穩定性。
四、本發明之攻擊分析模組係在物聯網裝置之請求滿足過濾條件時,合理地過濾掉物聯網裝置之異常、可疑或危險性之請求而無法對外部系統進行連線、請求或訪問,以利確保外部系統之正常運作。
五、本發明係運用外部系統之系統特性參數(如系統服務特性參數)以計算出外部系統之系統評價來表達外部系統之優劣狀態,亦分析物聯網裝置之異常、可疑或危險性之請求,有利於決定物聯網裝置之請求能否連結或導入外部系統。
六、本發明於外部系統啟動及常駐(持續運作)時,評價分析模組係判斷外部系統目前之優劣狀態,且依據外部系統之系統狀態動態過濾掉物聯網裝置之異常、可疑或危險性之請求(如攻擊之請求)而無法對外部系統進行連線、請求或訪問,藉此避免物聯網裝置之不必要之請求,也能降低外部系統之負載。
七、本發明之攻擊分析模組係調整攻擊演算機率(自適應門檻機率),以利外部系統之系統評價從要緊範圍(如劣勢狀態)中逐步調整至穩定範圍(如良好穩定狀態)。
八、當外部系統之系統評價處於要緊範圍(如劣勢狀態)時,本發明之攻擊分析模組係利用過濾條件以過濾掉物聯網裝置之異常、可疑或危險性之請求(如攻擊之請求)而無法對外部系統進行連線、請求或訪問,亦降低外部系統之負載及提升外部系統之效能。
上述實施形態僅例示性說明本發明之原理、特點及其功效,並非用以限制本發明之可實施範疇,任何熟習此項技藝之人士均能在不違背本發明之精神及範疇下,對上述實施形態進行修飾與改變。任何使用本發明所揭示內容而完成之等效改變及修飾,均仍應為申請專利範圍所涵蓋。因此,本發明之權利保護範圍應如申請專利範圍所列。
1:異常偵測系統
10:資料擷取模組
21:系統特性資料庫
22:系統評價資料庫
23:請求資訊資料庫
24:名單過濾資料庫
30:評價分析模組
40:預測分析模組
41:預測模型
50:攻擊分析模組
60:名單過濾模組
A:外部系統
B:物聯網裝置
Claims (17)
- 一種基於系統特性之異常偵測系統,包括:一預測分析模組,係利用至少一物聯網裝置之歷史請求資訊建立預測模型;一評價分析模組,係依據外部系統之系統特性參數分析出該外部系統之系統評價,以由該評價分析模組依據該外部系統之系統評價分析出該外部系統之系統狀態;一攻擊分析模組,係依據該評價分析模組所分析出之該外部系統之系統狀態計算出最終過濾門檻值之機率;以及一名單過濾模組,係即時監測該物聯網裝置對該外部系統之請求,以由該預測分析模組透過該預測模型預測出該名單過濾模組所即時監測之該物聯網裝置之請求之安全值之機率,再由該攻擊分析模組比較該預測分析模組所預測出之該物聯網裝置之請求之安全值之機率與該攻擊分析模組所計算出之該最終過濾門檻值之機率,以得出該物聯網裝置之名單過濾結果,俾於依據該攻擊分析模組所分析出之該物聯網裝置之名單過濾結果判斷出該物聯網裝置之請求為異常之請求時,由該名單過濾模組限制具有該異常之請求之該物聯網裝置對該外部系統進行連線。
- 如請求項1所述之異常偵測系統,其中,該評價分析模組更透過層級分析法分析出該外部系統之複數系統特性參數各自搭配之權重,以由該評價分析模組依據該外部系統之複數系統特性參數及其各自搭配之權重分析出該外部系統之系統評價,再由該評價分析模組依據該外部系統之系統評價分析出該外部系統之系統狀態。
- 如請求項1所述之異常偵測系統,其中,該評價分析模組更利用理想解類似度偏好順序評估法以依據該外部系統之複數系統特性參數及其各自搭配之權重分析出該外部系統之系統評價,再由該評價分析模組進行該外部系統之系統評價之落點分析。
- 如請求項1所述之異常偵測系統,其中,該評價分析模組更利用理想解類似度偏好順序評估法以依據該外部系統之複數系統特性參數分析出該外部系統之正理想距離與負理想距離,再由該評價分析模組依據該外部系統之正理想距離與負理想距離分析出該外部系統之系統評價。
- 如請求項1所述之異常偵測系統,其中,該評價分析模組更利用移動平均數或平均絕對百分比誤差以計算出該外部系統之系統特性參數於不同時間之平均值,再由該評價分析模組依據該不同時間之平均值判斷該外部系統之系統特性參數之區間突破,且該系統特性參數之區間突破代表該系統特性參數之變化值超過變化門檻值。
- 如請求項1所述之異常偵測系統,其中,該攻擊分析模組更取得基礎過濾門檻值之機率與該外部系統之系統狀態,以由該攻擊分析模組依據該基礎過濾門檻值之機率搭配該外部系統之系統狀態而計算出該最終過濾門檻值之機率。
- 如請求項1所述之異常偵測系統,其中,該攻擊分析模組更利用攻擊演算分析法以計算出攻擊演算機率,且該攻擊分析模組之過濾條件為該物聯網裝置之請求之安全值之機率需高於該攻擊演算機率,以於滿足該過濾條件時,令該攻擊分析模組允許該外部系統對該物聯網裝置之請求給予相應之服務。
- 如請求項1所述之異常偵測系統,其中,在該名單過濾模組即時監測該物聯網裝置對該外部系統之請求時,若該名單過濾模組依據黑名單或過濾名單判斷出該物聯網裝置已被過濾,則該名單過濾模組不允許該物聯網裝置對該外部系統進行該請求,或者由該名單過濾模組將該物聯網裝置之請求引導至該預測分析模組,以由該預測分析模組預測該物聯網裝置之請求之安全值之機率。
- 一種基於系統特性之異常偵測方法,包括:由一預測分析模組利用至少一物聯網裝置之歷史請求資訊建立預測模型;由一評價分析模組依據外部系統之系統特性參數分析出該外部系統之系統評價,以由該評價分析模組依據該外部系統之系統評價分析出該外部系統之系統狀態;由攻擊分析模組依據該評價分析模組所分析出之該外部系統之系統狀態計算出最終過濾門檻值之機率;以及由一名單過濾模組即時監測該物聯網裝置對該外部系統之請求,以由該預測分析模組透過該預測模型預測出該名單過濾模組所即時監測之該物聯網裝置之請求之安全值之機率,再由該攻擊分析模組比較該預測分析模組所預測出之該物聯網裝置之請求之安全值之機率與該攻擊分析模組所計算出之該最終過濾門檻值之機率,以得出該物聯網裝置之名單過濾結果,俾於依據該攻擊分析模組所分析出之該物聯網裝置之名單過濾結果判斷出該物聯網裝置之請求為異常之請求時,由該名單過濾模組限制具有該異常之請求之該物聯網裝置對該外部系統進行連線。
- 如請求項9所述之異常偵測方法,更包括由該評價分析模組透過層級分析法分析出該外部系統之複數系統特性參數各自搭配之權重,以由該評價分析模組依據該外部系統之複數系統特性參數及其各自搭配之權重分析出該外部系統之系統評價,再由該評價分析模組依據該外部系統之系統評價分析出該外部系統之系統狀態。
- 如請求項9所述之異常偵測方法,更包括由該評價分析模組利用理想解類似度偏好順序評估法以依據該外部系統之複數系統特性參數及其各自搭配之權重分析出該外部系統之系統評價,再由該評價分析模組進行該外部系統之系統評價之落點分析。
- 如請求項9所述之異常偵測方法,更包括由該評價分析模組利用理想解類似度偏好順序評估法以依據該外部系統之複數系統特性參數分析出該外部系統之正理想距離與負理想距離,再由該評價分析模組依據該外部系統之正理想距離與負理想距離分析出該外部系統之系統評價。
- 如請求項9所述之異常偵測方法,更包括由該評價分析模組利用移動平均數或平均絕對百分比誤差以計算出該外部系統之系統特性參數於不同時間之平均值,再由該評價分析模組依據該不同時間之平均值判斷該外部系統之系統特性參數之區間突破,且該系統特性參數之區間突破代表該系統特性參數之變化值超過變化門檻值。
- 如請求項9所述之異常偵測方法,更包括由該攻擊分析模組取得基礎過濾門檻值之機率與該外部系統之系統狀態,以由該攻擊分析模組依據該基礎過濾門檻值之機率搭配該外部系統之系統狀態而計算出該最終過濾門檻值之機率。
- 如請求項9所述之異常偵測方法,更包括由該攻擊分析模組利用攻擊演算分析法以計算出攻擊演算機率,且該攻擊分析模組之過濾條件為該物聯網裝置之請求之安全值之機率需高於該攻擊演算機率,以於滿足該過濾條件時,令該攻擊分析模組允許該外部系統對該物聯網裝置之請求給予相應之服務。
- 如請求項9所述之異常偵測方法,更包括在該名單過濾模組即時監測該物聯網裝置對該外部系統之請求時,若該名單過濾模組依據黑名單或過濾名單判斷出該物聯網裝置已被過濾,則該名單過濾模組不允許該物聯網裝置對該外部系統進行該請求,或者由該名單過濾模組將該物聯網裝置之請求引導至該預測分析模組,以由該預測分析模組預測該物聯網裝置之請求之安全值之機率。
- 一種電腦可讀媒介,應用於計算裝置或電腦中,係儲存有指令,以執行如請求項9至16之任一者所述基於系統特性之異常偵測方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW111107074A TWI798007B (zh) | 2022-02-25 | 2022-02-25 | 基於系統特性之異常偵測系統、方法及電腦可讀媒介 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW111107074A TWI798007B (zh) | 2022-02-25 | 2022-02-25 | 基於系統特性之異常偵測系統、方法及電腦可讀媒介 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI798007B true TWI798007B (zh) | 2023-04-01 |
| TW202335469A TW202335469A (zh) | 2023-09-01 |
Family
ID=86945070
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW111107074A TWI798007B (zh) | 2022-02-25 | 2022-02-25 | 基於系統特性之異常偵測系統、方法及電腦可讀媒介 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI798007B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103580960A (zh) * | 2013-11-19 | 2014-02-12 | 佛山市络思讯环保科技有限公司 | 一种基于机器学习的在线管网异常侦测系统 |
| US20160342903A1 (en) * | 2015-05-21 | 2016-11-24 | Software Ag Usa, Inc. | Systems and/or methods for dynamic anomaly detection in machine sensor data |
| TWI715457B (zh) * | 2020-03-04 | 2021-01-01 | 國立中正大學 | 非監督式惡意流量偵測系統及方法 |
-
2022
- 2022-02-25 TW TW111107074A patent/TWI798007B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103580960A (zh) * | 2013-11-19 | 2014-02-12 | 佛山市络思讯环保科技有限公司 | 一种基于机器学习的在线管网异常侦测系统 |
| US20160342903A1 (en) * | 2015-05-21 | 2016-11-24 | Software Ag Usa, Inc. | Systems and/or methods for dynamic anomaly detection in machine sensor data |
| TWI715457B (zh) * | 2020-03-04 | 2021-01-01 | 國立中正大學 | 非監督式惡意流量偵測系統及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202335469A (zh) | 2023-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2023216641A1 (zh) | 一种电力终端安全防护方法及系统 | |
| US12074888B2 (en) | Network security monitoring method, network security monitoring device, and system | |
| CN104113519B (zh) | 网络攻击检测方法及其装置 | |
| CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
| EP4203349A1 (en) | Training method for detection model, system, device, and storage medium | |
| WO2023273152A1 (zh) | 一种检测业务访问请求的方法及装置 | |
| US20040260947A1 (en) | Methods and systems for analyzing security events | |
| CN111953679A (zh) | 内网用户行为度量方法及基于零信任的网络访问控制方法 | |
| CN103593609B (zh) | 一种可信行为识别的方法和装置 | |
| CN108809749B (zh) | 基于采样率来执行流的上层检查 | |
| JP2019523584A (ja) | ネットワーク攻撃防御システムおよび方法 | |
| CN108234516B (zh) | 一种网络泛洪攻击的检测方法及装置 | |
| CN112383525A (zh) | 一种评价水平和准确性高的工业互联网安全态势评价方法 | |
| CN113938312B (zh) | 一种暴力破解流量的检测方法及装置 | |
| CN118041673A (zh) | 一种基于大数据的网络安全分析系统 | |
| TWI798007B (zh) | 基於系統特性之異常偵測系統、方法及電腦可讀媒介 | |
| Sultana et al. | Detecting and preventing ip spoofing and local area network denial (land) attack for cloud computing with the modification of hop count filtering (hcf) mechanism | |
| CN115442159B (zh) | 一种基于家用路由的风险管控方法、系统和存储介质 | |
| CN115802357A (zh) | 一种5g配电网馈线自动化控制方法、装置及存储介质 | |
| Li et al. | A distributed intrusion detection model based on cloud theory | |
| US11973779B2 (en) | Detecting data exfiltration and compromised user accounts in a computing network | |
| Kadam et al. | Various approaches for intrusion detection system: an overview | |
| US20200067973A1 (en) | Safer Password Manager, Trusted Services, and Anti-Phishing Process | |
| CN109510828B (zh) | 一种网络中的威胁处置效果的确定方法及系统 | |
| KR102665210B1 (ko) | Xai 기반 클라우드 장치의 이상탐지 시스템 및 이상탐지 방법 |