TWI820973B - 資訊安全預警裝置以及方法 - Google Patents

資訊安全預警裝置以及方法 Download PDF

Info

Publication number
TWI820973B
TWI820973B TW111139523A TW111139523A TWI820973B TW I820973 B TWI820973 B TW I820973B TW 111139523 A TW111139523 A TW 111139523A TW 111139523 A TW111139523 A TW 111139523A TW I820973 B TWI820973 B TW I820973B
Authority
TW
Taiwan
Prior art keywords
program code
malicious
virtual
core network
data stream
Prior art date
Application number
TW111139523A
Other languages
English (en)
Other versions
TW202418857A (zh
Inventor
童裕淇
陳秉君
Original Assignee
財團法人資訊工業策進會
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人資訊工業策進會 filed Critical 財團法人資訊工業策進會
Priority to TW111139523A priority Critical patent/TWI820973B/zh
Priority to US18/056,723 priority patent/US20240129741A1/en
Priority to JP2022186335A priority patent/JP7441291B1/ja
Application granted granted Critical
Publication of TWI820973B publication Critical patent/TWI820973B/zh
Publication of TW202418857A publication Critical patent/TW202418857A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/73Access point logical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Alarm Systems (AREA)

Abstract

本揭示提供一種資訊安全預警裝置,包括資料擷取電路、記憶體以及處理器。處理器用以運行虛擬使用者裝置、虛擬基地台以及虛擬核網,並執行以下操作:當第一資料流檢測為非惡意流量且異常時,將第一資料流由虛擬基地台模擬傳送至虛擬核網,並判斷虛擬核網接收第一資料流後於虛擬使用者裝置以及虛擬核網之間是否能建立連線;當能建立連線時,利用第一資料流更新異常檢測的設定;當無法建立連線時,由虛擬核網所產生的多個檢測日誌中選擇包括第一惡意程序碼的錯誤日誌;以及利用第一惡意程序碼以及第一資料流更新惡意特徵資料庫。

Description

資訊安全預警裝置以及方法
本揭示有關於一種通訊技術,特別是關於一種資訊安全預警裝置以及方法。
在第五代獨立組網(5th generation standalone,5G SA)架構中,由於第五代基地台的軟體化趨勢,現在除了可能會從外部受到的攻擊外,存取與移動管理功能(access and mobility management function,AMF)與下世代節點B(next generation node B,gNB)之間也可能受到攻擊。以開放原始碼為基底所開發的基地台元件,亦可能被入侵成為攻擊跳板以攻擊第五代核心網路(5th generation core network,5GC)(特別是經由N2介面)。
本揭示提供一種資訊安全預警裝置,包括資料擷取電路、記憶體以及處理器。資料擷取電路以鏡像方法擷取 第一資料流。記憶體用以儲存惡意特徵資料庫以及多個指令。處理器連接資料擷取電路以及記憶體,用以運行虛擬使用者裝置、虛擬基地台以及虛擬核網,並存取多個指令以執行以下操作:根據惡意特徵資料庫檢測第一資料流,當第一資料流並非惡意流量時,對第一資料流進行異常檢測;當第一資料流檢測為異常時,將第一資料流由虛擬基地台模擬傳送至虛擬核網,並判斷虛擬核網接收第一資料流後於虛擬使用者裝置以及虛擬核網之間是否能建立連線;當虛擬使用者裝置以及虛擬核網之間能建立連線時,利用第一資料流更新異常檢測的設定;當虛擬使用者裝置以及虛擬核網之間無法建立連線時,由虛擬核網所產生的多個檢測日誌中選擇錯誤日誌,其中錯誤日誌指示第一資料流中的第一錯誤封包具有第一惡意程序碼;以及利用第一惡意程序碼以及第一資料流更新惡意特徵資料庫。
本揭示提供一種資訊安全預警方法,包括:以鏡像方法擷取第一資料流;根據惡意特徵資料庫檢測第一資料流,當第一資料流並非惡意流量時,對第一資料流進行異常檢測;當第一資料流檢測為異常時,將第一資料流由虛擬基地台模擬傳送至虛擬核網,並檢測虛擬核網接收第一資料流後於虛擬使用者裝置以及虛擬核網之間是否能建立連線;當虛擬使用者裝置以及虛擬核網之間能建立連線時,利用第一資料流更新異常檢測的設定;當虛擬使用者裝置以及虛擬核網之間無法建立連線時,由虛擬核網所產生的多個檢測日誌中選擇錯誤日誌,其中錯誤日誌指示第一資 料流中的第一錯誤封包具有第一惡意程序碼;以及利用第一惡意程序碼以及第一資料流更新惡意特徵資料庫。
UE:使用者裝置
RAN:無線存取網路
N2I:N2介面
5GC:第五代核心網路
100:資訊安全預警裝置
110:資料擷取電路
120:記憶體
130:處理器
BD:惡意特徵資料庫
WD:正常流量白名單
VUE:虛擬使用者裝置
VgNB:虛擬基地台
V5GC:虛擬核網
OAM:第五代專網安控平台
S210~S260、S231~S232B、S250’、S251’~S255B’、 S250”、S251”~S252”:步驟
AF:第一資料流
VM1、VM2:虛擬機器
VN2I:虛擬N2介面
NGAP:下世代應用協定
INFO:檢測資訊
AB_INFO:異常資訊
AB_LOG:錯誤日誌
LOGS:檢測日誌
第1圖是本揭示的資訊安全預警裝置的示意圖。
第2圖是根據本揭示一些實施例的執行資訊安全預警方法的示意圖。
第3圖是根據本揭示一些實施例的第2圖中的其中一步驟的詳細步驟的流程圖。
第4圖是根據本揭示一些實施例的模擬傳送的示意圖。
第5圖是根據本揭示一些實施例的建立連線的示意圖。
第6圖是根據本揭示一些實施例的檢測日誌的示意圖。
第7圖是根據本揭示一些實施例的第2圖中進一步包括的步驟的流程圖。
第8圖是根據本揭示一些實施例的第2圖中進一步包括的步驟的流程圖。
在目前第五代行動通訊(5th generation mobile networks,5G)技術中,無線存取網路(radio access network,RAN)以及第五代核心網路(5th generation core network,5GC)之間的N2介面還沒有完善的惡意攻擊警告或防護,這往往造成網路安全的一大漏洞。此外,由於無線存取網路已進行軟體化且軟體化的結果將可能導致更多漏洞(先前技術的基地台皆採用統一硬體規格,較不容易產生漏洞),這導致網路攻擊者更容易經由N2介面攻擊第五代核心網路。有鑑於此,本揭示提出一種資訊安全預警裝置,本揭示的資訊安全預警裝置對經由N2介面的資料流(data flow)進行動態分析,這樣的動態分析利用虛擬機器的動態模擬進一步更新惡意特徵資料庫以及正常流量白名單。因此,將大大提升惡意攻擊警告的準確度。
參照第1圖,第1圖是本揭示的資訊安全預警裝置100的示意圖。如第1圖所示,在現代的第五代行動網路架構中,使用者裝置UE會連接無線存取網路RAN,無線存取網路RAN會連接第五代核心網路5GC,其中無線存取網路RAN中的下世代節點B(next generation node B,gNB)(未繪示)以及第五代核心網路5GC中的存取與移動管理功能(access and mobility management function,AMF)(未繪示)之間存在一個N2介面(N2 interface)N2I。本揭示的資訊安全預警裝 置100便從N2介面N2I擷取資料流。
在本實施例中,資訊安全預警裝置100包括資料擷取電路110、記憶體120以及處理器130。處理器130連接於資料擷取電路110以及記憶體120。
在一些實施例中,資料擷取電路110可以利用用以從N2介面N2I擷取資料流的傳輸電路來實現。在一些實施例中,記憶體120可以利用記憶單元、快閃記憶體、唯讀記憶體、硬碟或任何具相等性的儲存組件來實現。在一些實施例中,處理器130可由處理單元、中央處理單元或計算單元實現。
資料擷取電路110以鏡像(mirror)方法擷取資料流(以下將所擷取的資料流稱為第一資料流)。在一些實施例中,資料擷取電路110可以鏡像方法從N2介面N2I擷取NetFlow格式的第一資料流。換言之,資料擷取電路110可將在N2介面N2I上傳輸的資料流進行複製並擷取下來。
記憶體120儲存惡意特徵(malicious feature)資料庫BD以及多個指令。在一些實施例中,多個指令可以是由韌體或軟體實現的指令。在一些實施例中,惡意特徵資料庫BD可儲存多個惡意特徵,其中惡意特徵指示與惡意攻擊的資料流相關的特徵。在一些實施例中,惡意特徵可包括惡意程序碼(procedure code)序列、惡意資訊元素(information element)或上述二者的結合。
舉例而言,惡意程序碼序列可包括依序排列的多個 程序碼,其中這樣排序的這些程序碼可造成第五代核心網路5GC的癱瘓。惡意資訊元素為資料流的封包中的惡意欄位(例如,除了下世代應用協定(next generation application protocol,NGAP)所定義的封包欄位之外的多餘欄位,或在下世代應用協定的定義下的缺漏欄位)或特定欄位中的惡意數值(例如,特定欄位中的數值不符合下世代應用協定所定義的特定欄位的數值),其中惡意欄位或特定欄位中的惡意數值也會造成第五代核心網路5GC的癱瘓。
在一些實施例中,記憶體120更可儲存正常流量白名單(whitelisting)WD,其中正常流量白名單WD可包括多個正常流量特徵。在一些實施例中,正常流量特徵可包括正常程序碼序列、正常資訊元素或上述二者的結合。
舉例而言,正常程序碼序列可包括依序排列的多個程序碼,其中這樣排序的這些程序碼不會造成第五代核心網路5GC的癱瘓。正常資訊元素為資料流的封包中的正常欄位(例如,下世代應用協定所定義的封包欄位)以及欄位中的正常數值(例如,符合下世代應用協定所定義的欄位的數值),其中正常欄位以及正常數值不會造成第五代核心網路5GC的癱瘓。
在一些實施例中,處理器130可基於相應的軟體或韌體指令程序以運行機器學習(machine learning)模型,機器學習模型可利用惡意特徵資料庫BD進行訓練, 並判斷資料流是否為惡意流量。此外,處理器130也可基於相應的軟體或韌體指令程序以運行另一機器學習模型,另一機器學習模型可利用正常流量白名單WD進行訓練,並判斷資料流是否為異常。
值得注意的是,上述這些資料庫的更新將在後續段落詳細說明。
處理器130基於相應的軟體或韌體指令程序以運行虛擬使用者裝置VUE、虛擬基地台VgNB以及虛擬核網V5GC,並存取上述多個指令。在一些實施例中,處理器130可利用虛擬機器(virtual machine)運行虛擬使用者裝置VUE、虛擬基地台VgNB以及虛擬核網V5GC。在一些實施例中,虛擬使用者裝置VUE以及虛擬基地台VgNB可以是由一個虛擬機器運行,且虛擬核網V5GC可以是由另一個虛擬機器運行(因為虛擬核網V5GC具有較複雜的功能以及運算能力)。
在一些實施例中,處理器130可根據預先儲存於記憶體120中的虛擬機器規格以及映像檔的相關資訊產生並執行虛擬機器,其中虛擬機器可利用虛擬的硬體或軟體執行對應的虛擬作業系統以及虛擬應用程式。
在一些實施例中,虛擬使用者裝置VUE可以是虛擬化的上述使用者裝置UE,且虛擬使用者裝置VUE具有相同於使用者裝置UE的功能以及運算能力。在一些實施例中,虛擬基地台VgNB可以是虛擬化的上述無線存取網路RAN中的下世代節點B,且虛擬基地台VgNB具有相 同於下世代節點B的功能以及運算能力。在一些實施例中,虛擬核網V5GC可以是虛擬化的上述第五代核心網路5GC中的存取與移動管理功能,且虛擬核網V5GC具有相同於存取與移動管理功能的功能以及運算能力。
值得注意的是,上述虛擬使用者裝置VUE、虛擬基地台VgNB以及虛擬核網V5GC的操作將在後續段落詳細說明。
一併參照第2圖,第2圖是根據本揭示一些實施例的執行資訊安全預警方法的示意圖。第2圖所示的實施例的方法可應用於第1圖中的資訊安全預警裝置100,並協同資訊安全預警裝置100中的各元件進行說明,但不限於此。如第2圖所示,資訊安全預警方法包括步驟S210~S260。
首先,於步驟S210中,資料擷取電路110以鏡像方法擷取第一資料流。接著,進入靜態分析的階段(即,步驟S220~S230)。在一些實施例中,資料擷取電路110可擷取在N2介面N2I進行傳輸的第一資料流。
於步驟S220中,處理器130根據惡意特徵資料庫BD檢測第一資料流(即,第一惡意檢測)。當第一資料流並非惡意流量時,進入步驟S230。反之,則產生惡意警告的訊息,並將惡意警告的訊息傳送至第五代專網安控平台OAM。
在一些實施例中,惡意警告的訊息可指示目前在N2介面N2I上已發生惡意攻擊。在一些實施例中,第五 代專網安控平台OAM可由用以管理網路的網路管理主機或是網路管理伺服器實現。
於步驟S230中,處理器130對第一資料流進行異常檢測。以下對異常檢測進一步說明。
一併參照第3圖,第3圖是根據本揭示一些實施例的第2圖中的步驟S230的詳細步驟的流程圖。如第3圖所示,步驟S230包括步驟S231~S232B。
於步驟S231中,處理器130利用正常流量白名單WD與第一資料流比對。當第一資料流與正常流量白名單比對不符時,進入步驟S232A。反之,則進入步驟S232B。於步驟S232A中,處理器130判定第一資料流為異常。於步驟S232B中,處理器130判定第一資料流為正常。
如第2圖所示,當處理器130判定第一資料流為異常時,進入動態分析階段(即,步驟S240~S250B)。而當處理器130判定第一資料流為正常時,處理器130判定第一資料流是正常的流量。
於步驟S240中,處理器130將第一資料流由虛擬基地台VgNB模擬傳送至虛擬核網V5GC(即,虛擬機器模擬),並判斷虛擬核網V5GC接收第一資料流後於虛擬使用者裝置VUE以及虛擬核網V5GC之間是否能建立連線(即,第二惡意檢測)。當虛擬使用者裝置VUE以及虛擬核網V5GC之間無法建立連線時(即,判斷為惡意),進入步驟S250A,進而產生惡意警告的訊息,並將惡意警告 的訊息傳送至第五代專網安控平台OAM。反之(即,判斷為非惡意),處理器130判定第一資料流是正常的流量,並進入步驟S250B。
以下對模擬傳送以及建立連線進一步說明。
一併參照第4圖,第4圖是根據本揭示一些實施例的模擬傳送的示意圖。如第4圖所示,處理器130執行虛擬機器VM1~VM2。虛擬機器VM1用以模擬虛擬使用者裝置VUE以及虛擬基地台VgNB。虛擬機器VM2用以模擬虛擬核網V5GC。藉由處理器130,虛擬基地台VgNB、虛擬使用者裝置VUE以及虛擬核網V5GC之間建立虛擬連線,其中處理器130在虛擬使用者裝置VUE以及虛擬核網V5GC之間模擬虛擬N2介面VN2I,且虛擬N2介面VN2I支援下世代應用協定NGAP。
由於針對第五代核心網路5GC的攻擊大多來自無線存取網路RAN,因此,處理器130將已被判定為流量的第一資料流AF(即,異常流量)導入虛擬基地台VgNB以傳送至虛擬核網V5GC。
一併參照第5圖,第5圖是根據本揭示一些實施例的建立連線的示意圖。如第5圖所示,在處理器130將已被判定為異常的第一資料流AF導入虛擬基地台VgNB以傳送至虛擬核網V5GC後,處理器130判斷虛擬核網V5GC接收第一資料流AF後於虛擬使用者裝置VUE以及虛擬核網V5GC之間是否能建立連線(即,連線測試)。
舉例而言,處理器130可模擬虛擬使用者裝置 VUE經由虛擬基地台VgNB向虛擬核網V5GC傳送連線請求(connection request),並檢測虛擬使用者裝置VUE是否接收到連線回應(connection response)。當接收連線回應時,處理器130判斷於虛擬使用者裝置VUE以及虛擬核網V5GC之間能建立連線。
如第2圖所示,於步驟S250A中,處理器130由虛擬核網V5GC所產生的多個檢測日誌(logs)中選擇錯誤日誌(即,惡意特徵分析),其中錯誤日誌指示第一資料流中的第一錯誤封包具有第一惡意程序碼。
在一些實施例中,當虛擬使用者裝置VUE以及虛擬核網V5GC之間無法建立連線時,虛擬核網V5GC可檢測由虛擬基地台VgNB所上傳的第一資料流以產生多個檢測日誌,其中各檢測日誌對應於第一資料流中的各封包。
在一些實施例中,當虛擬基地台VgNB檢測到檢測日誌指示第一資料流中的封包的程序碼出現錯誤時,虛擬基地台VgNB可將此檢測日誌做為錯誤日誌,並將封包以及程序碼分別做為第一錯誤封包以及第一惡意程序碼,以擷取出此錯誤封包。
舉例而言,當虛擬基地台VgNB需要與虛擬核網V5GC進行特定程序(例如,虛擬使用者裝置VUE對虛擬核網V5GC進行連線請求)時,虛擬基地台VgNB會傳送與特定程序對應的資料流,其中資料流中的多個封包的程序碼具有特定的數值以及順序。虛擬核網V5GC可根據特 定程序辨識多個封包的程序碼的數值以及順序。當虛擬核網V5GC檢測到一個封包的程序碼的數值或順序錯誤時,虛擬核網V5GC可產生錯誤日誌,錯誤日誌指示資料流中的錯誤封包具有惡意程序碼。
以下將以實際的例子說明錯誤日誌。
一併參照第6圖,第6圖是根據本揭示一些實施例的檢測日誌LOGS的示意圖。如第6圖所示,當虛擬基地台VgNB需要與虛擬核網V5GC進行特定程序時,虛擬基地台VgNB會傳送與特定程序對應的資料流,虛擬核網V5GC根據資料流產生監測資訊。虛擬核網V5GC根據資料流檢測出目前要進行的特定程序,並根據特定程序辨識資料流中的多個封包的程序碼應該要有的數值以及順序,進而據此產生監測資訊。
監測資訊包括檢測資訊INFO以及檢測日誌LOGS,檢測資訊INFO指示多個檢測結果,檢測日誌LOGS指示特定的程序碼資訊(例如,「HandleNasNonDelivery)。處理器130可從檢測資訊INFO擷取出異常資訊AB_INFO(指示「ERROR」或「WARNING」的資訊),並從檢測日誌LOGS擷取與異常資訊AB_INFO對應的錯誤日誌AB_LOG。錯誤日誌AB_LOG指示一個錯誤程序碼資訊「HandleNasNonDelivery」,錯誤程序碼資訊「HandleNasNonDelivery」指示一個程序碼,此程序碼為35(下世代應用協定定義程序碼資訊會對應什麼程序 碼)。藉此,處理器130從檢測日誌LOGS選擇錯誤日誌AB_LOG。此外,處理器130也可從第一資料流選擇具有此程序碼的封包,以得知此封包發生錯誤。
如第2圖所示,於步驟S250B中,處理器130利用第一資料流更新異常檢測的設定。在一些實施例中,處理器130可利用第一資料流更新正常流量白名單WD。在一些實施例中,處理器130可利用與第一資料流對應的正常程序碼序列更新正常流量白名單WD。
舉例而言,第一資料流具有可由第一資料流中的3個封包的程序碼產生一個正常程序碼序列,此正常程序碼序列為1->6->7。換言之,當3個封包的程序碼依序為1、6以及7時並不會造成第五代核心網路5GC癱瘓。因此,可將此正常程序碼序列儲存於正常流量白名單WD(即,更新正常流量白名單WD)。
值得注意的是,由於本揭示會這樣即時且動態更新正常流量白名單WD,這將大大降低資料流被誤報為異常的可能。
於步驟S260中,處理器130利用第一惡意程序碼以及第一資料流更新惡意特徵資料庫BD。
在一些實施例中,處理器130可由第一資料流中的多個封包的程序碼產生一個第一惡意程序碼序列,並產生包括第一惡意程序碼序列以及第一惡意程序碼的惡意特徵,進而將惡意特徵儲存於惡意特徵資料庫BD。舉例而言,以下表一為一個惡意特徵。
Figure 111139523-A0305-02-0016-1
由表一可得知,上述惡意特徵的惡意特徵編號為A,惡意程序碼序列依序為15、6以及7,惡意程序碼為15,以及這樣的惡意特徵造成第五代核心網路5GC癱瘓(即,錯誤)。換言之,這樣的惡意特徵指示當3個封包的程序碼依序為15、6以及7時會造成第五代核心網路5GC癱瘓,且主要是由程序碼15造成的。
本揭示除了可利用造成第五代核心網路5GC癱瘓的惡意特徵更新惡意特徵資料庫BD,更可以對惡意特徵進行擴增。以下將對惡意特徵的擴增進一步說明。
一併參照第7圖,第7圖是根據本揭示一些實施例的第2圖中進一步包括的步驟S250’的流程圖。如第7圖所示,步驟S250’包括步驟S251’~S255B’。
當執行步驟S250B時,可進入步驟S251’。於步驟S251’中,處理器130根據程序碼相關表(procedure relational table)以及第一惡意程序碼產生第二惡意程序碼,其中程序碼相關表對應於第一惡意程序碼。在一些實施例中,程序碼相關表包括第一惡意程序碼以及多個候選程序碼之間的多個相關性數值(由下世代應用協定定義程序碼與什麼程序碼最相關)。在一些實施例中,處理器130由多個候選程序碼選擇具有最高相關性數 值的候選程序碼,並將具有最高相關性數值的候選程序碼做為第二惡意程序碼。
舉例而言,以下表二為一個程序碼相關表。
Figure 111139523-A0305-02-0017-5
由表二可得知,此為程序碼資訊「DownLinkNASTransport」的程序碼相關表。程序碼相關表指示與程序碼資訊「DownLinkNASTransport」最相關的是程序碼資訊「DownLinkNAS Configuration Transport」以及程序碼資訊「DownLinkNAS Status Transport」(即,具有最高的相關性數值3)。因此,可將程序碼6或7做為第二惡意程序碼。
於步驟S252’中,處理器130利用第二惡意程序碼取代第一錯誤封包中的第一惡意程序碼以產生第二錯誤封包。換言之,處理器130就是將第二惡意程序碼做為第 一錯誤封包中的程序碼以取代原本的第一惡意程序碼,進而產生第二錯誤封包。
於步驟S253’中,處理器130將第二錯誤封包取代第一資料流中的第一錯誤封包以產生第二資料流。換言之,處理器130就是將第一資料流中的第一錯誤封包由第二錯誤封包取代。
舉例而言,參照表一,假設第一惡意程序碼序列為15->6->7,第一惡意程序碼為15,以及與第一惡意程序碼15最相關的是程序碼16,處理器130可將程序碼16做為第二惡意程序碼,並將與第一惡意程序碼對應的第一錯誤封包的程序碼修改為16以產生第二錯誤封包。藉此,處理器130可將第一資料流中的第一錯誤封包取代為第二錯誤封包以產生第二資料流。此時,處理器130可由第二資料流產生一個第二惡意程序碼序列,第二資料流的第二惡意程序碼序列為16->6->7。
於步驟S254’中,處理器130將第二資料流由虛擬基地台VgNB模擬傳送至虛擬核網V5GC,並檢測虛擬核網V5GC接收第二資料流後於虛擬使用者裝置VUE以及虛擬核網V5GC之間是否能建立連線。當虛擬使用者裝置VUE以及虛擬核網V5GC之間能建立連線時(即,判斷為非惡意),進入步驟S255A’。反之(即,判斷為惡意),進入步驟S255B’。
值得注意是,針對第二資料流的模擬連線方法與上述針對第一資料流的模擬連線方法相同,因此,在此不加 以贅述。
於步驟S255A’中,處理器130利用第二資料流更新異常檢測的設定。於步驟S255B’中,處理器130利用第二惡意程序碼以及第二資料流更新惡意特徵資料庫BD(即,加入未知攻擊的特徵)。接著,便結束本揭示的資訊安全預警方法。值得注意是,這裡更新異常檢測的設定的方法以及更新惡意特徵資料庫BD的方法分別相同於上述步驟S250B以及步驟S260,因此,在此不加以贅述。
本揭示除了可對惡意特徵進行擴增,更可在惡意特徵中擴增惡意的資訊元素(information element)。以下將對惡意特徵的擴增進一步說明。
一併參照第8圖,第8圖是根據本揭示一些實施例的第2圖中進一步包括的步驟S250”的流程圖。如第8圖所示,步驟S250”包括步驟S251”~S252”。
當執行步驟S250B時,可進入步驟S251”。於步驟S251”中,處理器130根據資訊元素規則表(information elements table)檢測第一錯誤封包中的多個資訊元素中是否異常,其中資訊元素規則表對應於第一惡意程序碼。當檢測第一錯誤封包中的多個資訊元素中的至少一者異常時,進入步驟S252”。反之,則結束本揭示的資訊安全預警方法。
在一些實施例中,資訊元素規則表指示與第一惡意程序碼對應的封包所包括的多個必要欄位以及與各必要欄位對應的數值範圍(皆由下世代應用協定所定義)。換言之, 不同的程序碼會有不同的資訊元素規則表。
在一些實施例中,處理器130可將第一錯誤封包的多個欄位與上述多個必要欄位比對,以判斷第一錯誤封包中是否存在多餘欄位或缺漏欄位,並將第一錯誤封包的多個欄位以及多個對應的數值範圍比對,以判斷第一錯誤封包中是否存在欄位異常數值。接著,處理器130可將多餘欄位或缺漏欄位做為惡意欄位,並將欄位異常數值做為惡意數值。
於步驟S252”中,處理器130利用第一惡意程序碼、多個資訊元素中的至少一者以及第一資料流更新惡意特徵資料庫BD。
在一些實施例中,處理器130可根據第一資料流的程序碼產生第一惡意程序碼序列,並由多個資訊元素中的至少一者產生惡意欄位或惡意數值。接著,處理器130可產生一個惡意特徵,其中惡意特徵包括第一惡意程序碼、第一惡意程序碼序列以及惡意欄位/惡意數值。藉此,處理器130可利用此惡意特徵更新惡意特徵資料庫BD。
綜上所述,本揭示的資訊安全預警裝置以及方法利用模擬5G環境的方法動態判斷就N2介面的資料流是否會造成5G核網的癱瘓,並根據判斷結果更新惡意特徵資料庫以及正常流量白名單。藉此,將大大提升惡意流量以及流量的異常的判斷精準度。此外,本揭示的資訊安全預警裝置以及方法更利用程序碼相關表以及資訊元素規則表進一步擴增惡意特徵以更新惡意特徵資料庫。如此一來,將 可獲得未知攻擊的特徵以避免未來可能發生的未知攻擊。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
UE:使用者裝置
RAN:無線存取網路
N2I:N2介面
5GC:第五代核心網路
100:資訊安全預警裝置
110:資料擷取電路
120:記憶體
130:處理器
BD:惡意特徵資料庫
WD:正常流量白名單
VUE:虛擬使用者裝置
VgNB:虛擬基地台
V5GC:虛擬核網

Claims (8)

  1. 一種資訊安全預警裝置,包括:一資料擷取電路,以鏡像方法擷取一第一資料流;一記憶體,用以儲存一惡意特徵資料庫以及多個指令;以及一處理器,連接該資料擷取電路以及該記憶體,用以運行一虛擬使用者裝置、一虛擬基地台以及一虛擬核網,並存取該些指令以執行以下操作:根據該惡意特徵資料庫檢測該第一資料流,當該第一資料流並非惡意流量時,對該第一資料流進行一異常檢測;當該第一資料流檢測為異常時,將該第一資料流由該虛擬基地台模擬傳送至該虛擬核網,並判斷該虛擬核網接收該第一資料流後於該虛擬使用者裝置以及該虛擬核網之間是否能建立連線;當該虛擬使用者裝置以及該虛擬核網之間能建立連線時,利用該第一資料流更新該異常檢測的設定;當該虛擬使用者裝置以及該虛擬核網之間無法建立連線時,由該虛擬核網所產生的多個檢測日誌中選擇一錯誤日誌,其中該錯誤日誌指示該第一資料流中的一第一錯誤封包具有一第一惡意程序碼;利用該第一惡意程序碼以及該第一資料流更新該惡意特徵資料庫;根據一程序碼相關表以及該第一惡意程序碼產生一第 二惡意程序碼,其中該程序碼相關表對應於該第一惡意程序碼;利用該第二惡意程序碼取代該第一錯誤封包中的該第一惡意程序碼以產生一第二錯誤封包;將該第二錯誤封包取代該第一資料流中的該第一錯誤封包以產生一第二資料流;將該第二資料流由該虛擬基地台模擬傳送至該虛擬核網,並檢測該虛擬核網接收該第二資料流後於該虛擬使用者裝置以及該虛擬核網之間是否能建立連線;當該虛擬使用者裝置以及該虛擬核網之間無法建立連線時,利用該第二惡意程序碼以及該第二資料流更新該惡意特徵資料庫;以及當該虛擬使用者裝置以及該虛擬核網之間能建立連線時,利用該第二資料流更新該異常檢測的設定。
  2. 如請求項1所述之資訊安全預警裝置,其中該處理器更執行以下操作:利用一正常流量白名單與該第一資料流比對,判斷該第一資料流是否異常;當該第一資料流與該正常流量白名單比對不符時,判定該第一資料流為異常;以及當該虛擬使用者裝置以及該虛擬核網之間能建立連線時,利用該第一資料流更新該正常流量白名單。
  3. 如請求項1所述之資訊安全預警裝置,其中該程序碼相關表包括該第一惡意程序碼以及多個候選程序碼之間的多個相關性數值,其中該處理器更執行以下操作:由該些候選程序碼選擇具有最高相關性數值的候選程序碼,並將該具有最高相關性數值的候選程序碼做為該第二惡意程序碼。
  4. 如請求項1所述之資訊安全預警裝置,其中該處理器更執行以下操作:根據一資訊元素規則表檢測該第一錯誤封包中的多個資訊元素是否異常,其中該資訊元素規則表對應於該第一惡意程序碼;以及當檢測該第一錯誤封包中的該些資訊元素中的至少一者異常時,利用該第一惡意程序碼、該些資訊元素中的該至少一者以及該第一資料流更新該惡意特徵資料庫。
  5. 一種資訊安全預警方法,包括:以鏡像方法擷取一第一資料流;根據一惡意特徵資料庫檢測該第一資料流,當該第一資料流並非惡意流量時,對該第一資料流進行一異常檢測;當該第一資料流檢測為異常時,將該第一資料流由一虛擬基地台模擬傳送至一虛擬核網,並檢測該虛擬核網接收該第一資料流後於一虛擬使用者裝置以及該虛擬核網之間 是否能建立連線;當該虛擬使用者裝置以及該虛擬核網之間能建立連線時,利用該第一資料流更新該異常檢測的設定;當該虛擬使用者裝置以及該虛擬核網之間無法建立連線時,由該虛擬核網所產生的多個檢測日誌中選擇一錯誤日誌,其中該錯誤日誌指示該第一資料流中的一第一錯誤封包具有一第一惡意程序碼;利用該第一惡意程序碼以及該第一資料流更新該惡意特徵資料庫;根據一程序碼相關表以及該第一惡意程序碼產生一第二惡意程序碼,其中該程序碼相關表對應於該第一惡意程序碼;利用該第二惡意程序碼取代該第一錯誤封包中的該第一惡意程序碼以產生一第二錯誤封包;將該第二錯誤封包取代該第一資料流中的該第一錯誤封包以產生一第二資料流;將該第二資料流由該虛擬基地台模擬傳送至該虛擬核網,並檢測該虛擬核網接收該第二資料流後於該虛擬使用者裝置以及該虛擬核網之間是否能建立連線;當該虛擬使用者裝置以及該虛擬核網之間無法建立連線時,利用該第二惡意程序碼以及該第二資料流更新該惡意特徵資料庫;以及當該虛擬使用者裝置以及該虛擬核網之間能建立連線時,利用該第二資料流更新該異常檢測的設定。
  6. 如請求項5所述之資訊安全預警方法,更包括:利用一正常流量白名單與該第一資料流比對,判斷該第一資料流是否異常;當該第一資料流與該正常流量白名單比對不符時,判定該第一資料流為異常;以及當該虛擬使用者裝置以及該虛擬核網之間能建立連線時,利用該第一資料流更新該正常流量白名單。
  7. 如請求項5所述之資訊安全預警方法,其中該程序碼相關表包括該第一惡意程序碼以及多個候選程序碼之間的多個相關性數值,其中根據該程序碼相關表以及該第一惡意程序碼產生該第二惡意程序碼的步驟包括:由該些候選程序碼選擇具有最高相關性數值的候選程序碼,並將該具有最高相關性數值的候選程序碼做為該第二惡意程序碼。
  8. 如請求項5所述之資訊安全預警方法,更包括:根據一資訊元素規則表檢測該第一錯誤封包中的多個資訊元素是否異常,其中該資訊元素規則表對應於該第一惡意程序碼;以及當檢測該第一錯誤封包中的該些資訊元素中的至少一者 異常時,利用該第一惡意程序碼、該些資訊元素中的該至少一者以及該第一資料流更新該惡意特徵資料庫。
TW111139523A 2022-10-18 2022-10-18 資訊安全預警裝置以及方法 TWI820973B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW111139523A TWI820973B (zh) 2022-10-18 2022-10-18 資訊安全預警裝置以及方法
US18/056,723 US20240129741A1 (en) 2022-10-18 2022-11-18 Information security early warning device and method thereof
JP2022186335A JP7441291B1 (ja) 2022-10-18 2022-11-22 情報セキュリティ早期警報装置及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW111139523A TWI820973B (zh) 2022-10-18 2022-10-18 資訊安全預警裝置以及方法

Publications (2)

Publication Number Publication Date
TWI820973B true TWI820973B (zh) 2023-11-01
TW202418857A TW202418857A (zh) 2024-05-01

Family

ID=89722357

Family Applications (1)

Application Number Title Priority Date Filing Date
TW111139523A TWI820973B (zh) 2022-10-18 2022-10-18 資訊安全預警裝置以及方法

Country Status (3)

Country Link
US (1) US20240129741A1 (zh)
JP (1) JP7441291B1 (zh)
TW (1) TWI820973B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105262722B (zh) * 2015-09-07 2018-09-21 深信服网络科技(深圳)有限公司 终端恶意流量规则更新方法、云端服务器和安全网关
EP3993331A1 (en) * 2020-10-30 2022-05-04 Palo Alto Networks, Inc. Flow metadata exchanges between network and security functions for a security service
US20220318387A1 (en) * 2021-04-01 2022-10-06 Academia Sinica Method and Computer for Learning Correspondence Between Malware and Execution Trace of the Malware

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11017084B2 (en) 2017-11-21 2021-05-25 International Business Machines Corporation Detection of malicious code fragments via data-flow isolation
US11159542B2 (en) 2019-03-21 2021-10-26 Microsoft Technology Licensing, Llc Cloud view detection of virtual machine brute force attacks
CN110830450A (zh) 2019-10-18 2020-02-21 平安科技(深圳)有限公司 基于统计的异常流量监测方法、装置、设备及存储介质
CN113225339B (zh) 2021-05-07 2023-04-07 恒安嘉新(北京)科技股份公司 网络安全监测方法、装置、计算机设备及存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105262722B (zh) * 2015-09-07 2018-09-21 深信服网络科技(深圳)有限公司 终端恶意流量规则更新方法、云端服务器和安全网关
EP3993331A1 (en) * 2020-10-30 2022-05-04 Palo Alto Networks, Inc. Flow metadata exchanges between network and security functions for a security service
US20220318387A1 (en) * 2021-04-01 2022-10-06 Academia Sinica Method and Computer for Learning Correspondence Between Malware and Execution Trace of the Malware

Also Published As

Publication number Publication date
JP7441291B1 (ja) 2024-02-29
US20240129741A1 (en) 2024-04-18
TW202418857A (zh) 2024-05-01
JP2024059530A (ja) 2024-05-01

Similar Documents

Publication Publication Date Title
TW201830929A (zh) 在網路流量型樣中以上下文為基礎之異常行為之偵測
US9203804B2 (en) Method and system for defending against malware and method for updating filtering table thereof
US11381599B2 (en) Cyber chaff using spatial voting
US20220368706A1 (en) Attack Behavior Detection Method and Apparatus, and Attack Detection Device
US10581849B2 (en) Data packet transmission method, data packet authentication method, and server thereof
KR20140137003A (ko) 멀웨어를 검출하기 위한 컴퓨팅 디바이스
US20180089424A1 (en) Methods and apparatus to improve feature engineering efficiency with metadata unit operations
US11546295B2 (en) Industrial control system firewall module
US10516690B2 (en) Physical device detection for a mobile application
EP4024765A1 (en) Method and apparatus for extracting fault propagation condition, and storage medium
KR20220068859A (ko) 인접 행렬 기반의 악성 코드 탐지 및 분류 장치와 악성 코드 탐지 및 분류 방법
CN114430894B (zh) 通过扫描规则引擎最小化生产中断
WO2021135257A1 (zh) 一种漏洞处理方法及相关设备
TWI820973B (zh) 資訊安全預警裝置以及方法
US9471713B2 (en) Handling complex regex patterns storage-efficiently using the local result processor
JP2019009680A (ja) 検知装置および検知方法
CN106919844A (zh) 一种Android系统应用程序漏洞检测方法
US11860724B2 (en) Method and system for facilitating a self-healing network
US20210406362A1 (en) Request control device, request control method, and request control program
US11636100B2 (en) Systems and methods for compression-based search engine
KR102546946B1 (ko) 이동통신 표준 문서를 기반으로 이동통신 베이스밴드 소프트웨어를 자동으로 비교 분석하는 방법 및 시스템
CN114401246B (zh) 访问域名的方法及装置
TWI798603B (zh) 惡意程式偵測方法及系統
US20230224275A1 (en) Preemptive threat detection for an information system
CN108132990B (zh) 一种app内置图片的替换方法、装置及存储介质