TWI834320B - 自動動態安全連線系統及其方法 - Google Patents

自動動態安全連線系統及其方法 Download PDF

Info

Publication number
TWI834320B
TWI834320B TW111137015A TW111137015A TWI834320B TW I834320 B TWI834320 B TW I834320B TW 111137015 A TW111137015 A TW 111137015A TW 111137015 A TW111137015 A TW 111137015A TW I834320 B TWI834320 B TW I834320B
Authority
TW
Taiwan
Prior art keywords
database
information
unit
processing unit
data
Prior art date
Application number
TW111137015A
Other languages
English (en)
Other versions
TW202415031A (zh
Inventor
呂佳諺
Original Assignee
池安量子資安股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 池安量子資安股份有限公司 filed Critical 池安量子資安股份有限公司
Priority to TW111137015A priority Critical patent/TWI834320B/zh
Application granted granted Critical
Publication of TWI834320B publication Critical patent/TWI834320B/zh
Publication of TW202415031A publication Critical patent/TW202415031A/zh

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一種自動動態安全連線系統及其方法,其包括以下步驟:至少一用戶設備執行軟體程式產生有至少一執行資訊;由一設備資訊判斷裝置之中央處理單元接收所述執行資訊且擷取其執行資訊中之異常資訊;中央處理單元將所述異常資訊與一白名單資料庫及一惡意行為特徵資料庫及一黑名單資料庫比對判斷,及與一人工智慧模型分析結果整合,再依照一設定條件產生有一判斷結果;該中央處理單元由該判斷結果決定是否調整連線行為,藉此,該自動動態安全連線系統達到可判斷軟體執行狀況來調整連線行為,以避免遭受網路惡意攻擊之功效者。

Description

自動動態安全連線系統及其方法
本發明係有關於一種可判斷軟體執行狀況來調整連線行為,以避免遭受網路惡意攻擊之自動動態安全連線系統及其方法。
隨著網路及數位資訊的發展,電腦與電子設備已經是企業或組織內各成員的聯繫工具,而其聯繫之間主要是透過網路來進行資料的傳輸,網路的傳輸雖然方便且快速,但是網路資訊傳遞也帶來許多如資料的盜取、病毒的散播等的風險,因此為確保在網際網路上的安全,因此如何防止網路攻擊是一件重大的議題,故企業會在網路環境中建立有多個網路安全管理系統,如:透過防火牆或防毒程式來隔絕,以避免有心人士由企業外部竊取資訊及電腦病毒的散播,但是隨著網際網路的傳輸方式的多樣化,使得過去的單一型態的網路攻擊行為開始轉變成複合式的攻擊行為或是全新的攻擊方式,因此前述的安全管理系統仍有漏洞,並無法即時應付網路駭客的更新攻擊方式,也因此無法避免因成員的不當操作所造成的資料外洩,或是有心人士透過企業內部網路或電腦竊取資訊、入侵系統等。
是以,要如何解決上述習用之問題與缺失,即為本案之發明人與從事此行業之相關廠商所亟欲研究改善之方向所在者。
爰此,為有效解決上述之問題,本發明之主要目的在於提供一種可判斷軟體執行狀況來調整連線行為,以避免遭受網路惡意攻擊之自動動態安全連線系統及其方法。
本發明之次要目的,在於提供一種可有效更新軟體執行狀況以對應更新網路惡意攻擊之自動動態安全連線系統及其方法。
為達上述目的,本發明係提供一種自動動態安全連線系統,係包括:至少一用戶設備;及至少一設備資訊判斷裝置,該設備資訊判斷裝置具有一中央處理單元且電性連接所述用戶設備,而該用戶設備執行軟體程式產生有至少一執行資訊,該中央處理單元接收所述執行資訊且擷取其執行資訊中之異常資訊,並該中央處理單元將所述異常資訊與一白名單資料庫及一惡意行為特徵資料庫及一黑名單資料庫比對判斷,及與一人工智慧模型分析結果整合,再依照一設定條件產生有一判斷結果,且該中央處理單元經由所述判斷結果決定是否調整連線行為。
根據本發明自動動態安全連線系統之一實施例,其中所述設備資訊判斷裝置設置有一連線單元,該連線單元電性連接所述中央處理單元,且該中央處理單元經由所述判斷結果決定是否調整所述連線單元之連線行為。
根據本發明自動動態安全連線系統之一實施例,其中所述設備資訊判斷裝置更具有一資訊擷取單元,該資訊擷取單元擷取所述異常資訊且由該異常資訊產生有至少一固定特徵資料與至少一動態特徵資料。
根據本發明自動動態安全連線系統之一實施例,更包括有一伺服設備,該伺服設備訊號連接所述用戶設備,且該伺服設備具有一訓練單元及一條件更新單元,而該伺服設備接收所述固定特徵資料與所述動態特徵資料並傳遞至所述訓練單元,使該訓練單元擷取所述固定特徵資料與所述動態特徵資料並產生一更新訓練模型傳遞至人工智慧模型進行優化。
根據本發明自動動態安全連線系統之一實施例,其中所述設備資訊判斷裝置更包括有一原始資訊處理單元,該原始資訊處理單元電性連接所述中央處理單元及該人工智慧模型,且該中央處理單元所擷取之異常資訊係傳遞至所述原始資訊處理單元且由該原始資訊處理單元過濾雜訊。
根據本發明自動動態安全連線系統之一實施例,其中所述伺服設備更具有一更新資訊處理單元,該更新資訊處理單元訊號連接所述資訊擷取單元與該訓練單元,且該更新資訊處理單元接收所述固定特徵資料與所述動態特徵資料並產生有一更新惡意行為特徵資料傳遞至所述訓練單元,使該訓練單元擷取所述更新惡意行為特徵資料並產生所述更新訓練模型傳遞至人工智慧模型進行優化。
根據本發明自動動態安全連線系統之一實施例,其中所述伺服設備更具有一條件更新單元,該條件更新單元訊號連接所述訓練單元與該人工智慧模型,而該條件更新單元接收所述更新訓練模型且傳遞至所述人工智慧模型進行優化。
根據本發明自動動態安全連線系統之一實施例,其中所述條件更新單元訊號連接所述白名單資料庫及惡意行為特徵資料庫及黑名單資料庫,且該條件更新單元接收有至少一更新白名單資料及至少一更新惡意行為特徵資料及至少一更新黑名單資料分別傳遞至所述白名單資料庫及惡意行為特徵資料庫及黑名單資料庫。
根據本發明自動動態安全連線系統之一實施例,其中所述伺服設備更包括有一控制中心,該控制中心訊號連接所述條件更新單元與該所述白名單資料庫及惡意行為特徵資料庫及黑名單資料庫及人工智慧模型,且該控制中心接收所述條件更新單元之更新訓練模型及更新白名單資料及更新惡意行為特徵資料及更新黑名單資料並分別傳遞至所述人工智慧模型及白名單資料庫及惡意行為特徵資料庫及黑名單資料庫。
本發明還提供一種自動動態安全連線方法,包括: 至少一用戶設備執行軟體程式產生有至少一異常資訊; 由一設備資訊判斷裝置之中央處理單元接收所述異常資訊且與一白名單資料庫及一惡意行為特徵資料庫及一黑名單資料庫及一人工智慧模型比對判斷並依照一設定條件產生有一判斷結果; 該中央處理單元由該判斷結果決定是否調整連線行為。
根據本發明自動動態安全連線方法之一實施例,其中所述設備資訊判斷裝置設置有一連線單元,該連線單元電性連接所述中央處理單元,且該中央處理單元經由所述判斷結果決定是否調整所述連線單元之連線行為。
根據本發明自動動態安全連線方法之一實施例,該設備資訊判斷裝置之一資訊擷取單元擷取所述異常資訊且由該異常資訊產生有至少一固定特徵資料與至少一動態特徵資料。
根據本發明自動動態安全連線方法之一實施例,再由一伺服設備接收所述固定特徵資料與所述動態特徵資料並傳遞至所述一訓練單元,該訓練單元擷取所述固定特徵資料與所述動態特徵資料並產生一更新訓練模型傳遞至人工智慧模型進行優化。
根據本發明自動動態安全連線方法之一實施例,其中所述中央處理單元擷取之異常資訊傳遞至一原始資訊處理單元且由該原始資訊處理單元過濾雜訊。
根據本發明自動動態安全連線方法之一實施例,其中所述伺服設備之一更新資訊處理單元接收所述固定特徵資料與所述動態特徵資料並產生有一更新惡意行為特徵資料傳遞至所述訓練單元,該訓練單元擷取所述更新惡意行為特徵資料並產生一更新訓練模型傳遞至人工智慧模型進行優化。
根據本發明自動動態安全連線方法之一實施例,其中所述伺服設備之一更新資訊處理單元接收所述固定特徵資料與所述動態特徵資料並產生有一更新惡意行為特徵資料傳遞至所述訓練單元,該訓練單元擷取所述更新惡意行為特徵資料並產生一更新訓練模型傳遞至人工智慧模型進行優化。
根據本發明自動動態安全連線方法之一實施例,其中所述條件更新單元接收有至少一更新白名單資料及至少一更新惡意行為特徵資料及至少一更新黑名單資料分別傳遞至所述白名單資料庫及惡意行為特徵資料庫及黑名單資料庫。
根據本發明自動動態安全連線方法之一實施例,其中所述伺服設備之一控制中心接收所述條件更新單元之更新訓練模型及更新白名單資料及更新惡意行為特徵資料及更新黑名單資料並分別傳遞至所述人工智慧模型及白名單資料庫及惡意行為特徵資料庫及黑名單資料庫。
本發明之上述目的及其結構與功能上的特性,將依據所附圖式之較佳實施例予以說明。
在以下,針對本發明有關自動動態安全連線系統及其方法之構成及技術內容等,列舉各種適用的實例並配合參照隨文所附圖式而加以詳細地説明;然而,本發明當然不是限定於所列舉之該等的實施例、圖式或詳細說明內容而已。
再者,熟悉此項技術之業者亦當明瞭:所列舉之實施例與所附之圖式僅提供參考與說明之用,並非用來對本發明加以限制者;能夠基於該等記載而容易實施之修飾或變更而完成之發明,亦皆視為不脫離本發明之精神與意旨的範圍內,當然該等發明亦均包括在本發明之申請專利範圍。
又,以下實施例所提到的方向用語,例如:「上」、「下」、「左」、「右」、「前」、「後」等,僅是參考附加圖示的方向。因此,使用的方向用語是用來說明,而並非用來限制本發明;再者,在下列各實施例中,相同或相似的元件將採用相同或相似的元件標號。
請參閱第1圖所示,係為本發明自動動態安全連線系統之系統架構示意圖,其中所述自動動態安全連線系統1係包括有至少一用戶設備2及至少一設備資訊判斷裝置3,其中該用戶設備2與該設備資訊判斷裝置3係可為兩單獨個體且電性連接,或該設備資訊判斷裝置3係設置於所述用戶設備2內並電性連接。
其中該用戶設備2安裝有軟體程式或處理器安裝有如作業軟體、背景程式等等之軟體程式,並該用戶設備2執行軟體程式產生有至少一執行資訊。
其中該設備資訊判斷裝置3係包括有一中央處理單元31,其中該中央處理單元31係為如MCU、CPU等安裝有軟體且可進行比對判斷與更改連線行為之處理模組,且該中央處理單元31訊號連接所述用戶設備2,並該設備資訊判斷裝置3儲存有一白名單資料庫32及一惡意行為特徵資料庫33及一黑名單資料庫34並建置有一人工智慧模型35,且該人工智慧模型35與該中央處理單元31間可連接有一原始資訊處理單元351,也可由該人工智慧模型35直接連接所述中央處理單元31,其人工智慧模型35與該中央處理單元31間不設置有所述原始資訊處理單元351,而於本實施例中,係以設置有所述原始資訊處理單元351為實施方式,其中該白名單資料庫32內之資料可為該系統所開發之程式或用戶設備2運作必要的程式等等,而該惡意行為特徵資料庫33內之資料可為惡意行為的特徵或窺探程式狀態或針對作業系統關鍵元件檔案名稱或資訊進行搜尋等惡意行為,而該黑名單資料庫34內之資料則可為病毒碼、威脅指標(IOC)等等,但不依此為限,其各資料庫內之資料主要是依照使用者自行定義內容,整體來說,白名單資料庫32內之資料即是非惡意程式資訊、黑名單資料庫34及惡意行為特徵資料庫33即是惡意程式資訊或動作,另該中央處理單元31訊號連接所述白名單資料庫及惡意行為特徵資料庫及黑名單資料庫,另該設備資訊判斷裝置3更設置有一連線單元36,該連線單元36係以連線行為進行該用戶設備2網路之連接,其中該連線行為可包括有通訊協定、連線路徑、連線金鑰、連線埠、重新連線、斷線等等可進行網路連線之連線行為。
再請參閱第2圖所示,係為本發明自動動態安全連線系統之系統架構實施示意圖,其中該中央處理單元31係接收所述用戶設備2執行軟體程式所產生之執行資訊,而該執行資訊若有被第三方程式干涉時,該中央處理單元則擷取其執行資訊中之異常資訊I1,其中該第三方程式干涉之狀況則有可能為惡意程式或惡意程式行為資訊,而其中惡意程式或惡意程式行為資訊可例如為木馬程式資訊或木馬程式所產生的行為等等,又或者惡意程式可能對異常資訊做讀取、修改或清除等動作,因此若有被第三方程式干涉時,該中央處理單元31透過端點偵測與回應技術(EDR)偵測到該執行資訊中之惡意程式或惡意程式讀取、修改或清除等動作之異常資訊I1,而在該中央處理單元31具有所述異常資訊I1時,該中央處理單元31則分別擷取該白名單資料庫32與該惡意行為特徵資料庫33與該黑名單資料庫34之資料且與異常資訊I1進行比對,並將所述異常資訊I1輸入人工智慧模型35且由該人工智慧模型35進行分析,且該中央處理單元31經由分別與白名單資料庫32、惡意行為特徵資料庫33、黑名單資料庫34比對之結果,及人工智慧模型35所分析之結果整合,且該中央處理單元31會將整合結果依照一設定條件產生有一判斷結果R1,而該原始資訊處理單元351則是接收所述異常資訊I1且轉換為該人工智慧模型35所能判讀之資訊格式及過濾雜訊,以便於人工智慧模型35進行分析判斷,但也是可以不透過所述原始資訊處理單元351,直接由人工智慧模型35分析判斷異常資訊I1。
而其中中央處理單元31之設定條件則是可由用戶設備2之需求或優先條件來進行設定,而其以用戶設備2之需求為設定條件可例如為,設定單一資料庫比對判斷、多個資料庫比對判斷、多個資料庫比對及人工智慧模型35分析判斷、單一資料庫比對及人工智慧模型35分析判斷、僅由人工智慧模型35比對判斷,更可以以優先條件為設定條件,例如當資料庫比對與人工智慧模型35分析判斷結果不一致時,則以其中一資料庫或人工智慧模型35之判斷為基準,但不因此為限。
而於本實施例中,該中央處理單元31之設定條件係為單一資料庫比對判斷,其中該中央處理單元31係將該異常資訊I1與白名單資料庫32內之資料進行比對判斷,若該異常資訊I1之內容符合白名單資料庫32內之資料時,便判斷該異常資訊I1並非惡意攻擊所產生之資訊,該中央處理單元31產生有非惡意攻擊之判斷結果R1,且該中央處理單元31不調整該連線單元36之連線行為。
另於本實施例中,該中央處理單元31之設定條件係為單一資料庫比對判斷,其中該中央處理單元31係將該異常資訊I1與黑名單資料庫34內之資料進行比對判斷,若該異常資訊I1之內容為黑名單資料庫34內之資料時,便判斷該異常資訊I1為惡意攻擊所產生之資訊,該中央處理單元31產生有惡意攻擊之判斷結果R1,且該中央處理單元31調整該連線單元36之連線行為,而連線行為之調整例如為改變原始連線路徑、改變連線金鑰、改變網際網路通訊協定、改變非設備接口之連線埠,如: TCP/IP協定中的連線埠、瀏覽網頁服務的80連線埠、FTP服務的21連線埠,進行網路重新連線或網路斷線等連線行為的變動。
另於本實施例中,該中央處理單元31之設定條件係以多重比對判斷方式進行,而其多重比對判斷可以是依序判斷或同時判斷,若為依序判斷時,該中央處理單元31係先將該異常資訊I1與白名單資料庫32內之資料進行比對判斷,若該異常資訊I1之內容符合白名單資料庫32內之資料時,該中央處理單元31再將該異常資訊I1與惡意行為特徵資料庫33內之資料進行比對判斷,若該異常資訊I1之內容不符合惡意行為特徵資料庫33內之資料時,該中央處理單元31再將異常資訊I1與黑名單資料庫34內之資料進行比對判斷,若該異常資訊I1之內容非黑名單資料庫34內之資料時,該中央處理單元31再將該異常資訊I1交由人工智慧模型35進行判讀,而該人工智慧模型35判斷該異常資訊I1並非惡意攻擊所產生之資訊時,該中央處理單元31產生有非惡意攻擊之判斷結果R1且不調整該連線單元36之連線行為,而為同時判斷時,該中央處理單元31則同時將異常資訊I1與白名單資料庫32、惡意行為特徵資料庫33、黑名單資料庫34及由人工智慧模型35進行判讀,又或者,該中央處理單元31之設定條件係以多重比對判斷且具優先條件方式進行時,也可能發生異常資訊I1之內容符合白名單資料庫32內之資料,而異常資訊I1之內容為黑名單資料庫34內之資料的狀況,因此,該中央處理單元31比對白名單資料庫32及黑名單資料庫34之結果有衝突時,便會依設定條件之優先條件當最終結果,如此若優先條件判斷的第一順位為白名單資料庫32時,便可由設定條件進行設定為只要達到異常資訊I1之內容符合白名單資料庫32內之資料,該中央處理單元31便產生有非惡意攻擊之判斷結果R1且不調整該連線單元36之連線行為。
另於本實施例中,該中央處理單元31之設定條件係為多個資料庫與人工智慧模型35比對判斷,而其比對判斷方式可以是依序判斷或同時判斷,若為依序判斷時,若為依序判斷時,其中該中央處理單元31係將該異常資訊I1與白名單資料庫32內之資料進行比對判斷,若該中央處理單元31無法判斷時,該中央處理單元31再將該異常資訊I1與惡意行為特徵資料庫33內之資料進行比對判斷,而該中央處理單元31也無法判斷時,該中央處理單元31再將該異常資訊I1與黑名單資料庫34內之資料進行比對判斷,該中央處理單元31同樣無法判斷時,該異常資訊I1便由人工智慧模型35進行判讀,也就是中央處理單元31無法由白名單資料庫32、惡意行為特徵資料庫33、黑名單資料庫34進行判斷時,則由人工智慧模型35進行比對判斷,又或者同時判斷時,該中央處理單元31則同時將異常資訊I1與白名單資料庫32、惡意行為特徵資料庫33、黑名單資料庫34及由人工智慧模型35進行判讀,若與白名單資料庫32、惡意行為特徵資料庫33、黑名單資料庫34內之資料進行比對判斷時,再由人工智慧模型35判斷該異常資訊I1是否為惡意攻擊所產生之資訊,而該中央處理單元31便接收該人工智慧模型35之判讀而產生所述判斷結果R1並由該判斷結果R1決定是否調整連線單元36之連線行為,藉此,該自動動態安全連線系統1達到可判斷軟體執行狀況來調整連線行為,以避免遭受網路惡意攻擊之功效者。
再請參閱第3圖所示,係為本發明自動動態安全連線系統具伺服設備之系統架構示意圖,其中所述自動動態安全連線系統1更包括有一伺服設備4,該伺服設備4訊號連接所述設備資訊判斷裝置3,而該設備資訊判斷裝置3具有一資訊擷取單元37,該資訊擷取單元37訊號連接所述用戶設備2,另該伺服設備4具有一訓練單元41及一條件更新單元42,且該設備資訊判斷裝置3經由所述資訊擷取單元37訊號連接所述訓練單元41,其中該資訊擷取單元37則是以端點偵測及應變機制(Endpoint Detection and Response, EDR)之技術來擷取所述異常資訊I1,且該訓練單元41與該資訊擷取單元37間可連接有一更新資訊處理單元411,也可由該訓練單元41與直接連接所述資訊擷取單元37,其訓練單元41與資訊擷取單元37間不設置有所述更新資訊處理單元411,而於本實施例中,係以設置有所述更新資訊處理單元411為實施方式,該條件更新單元42訊號連接所述訓練單元41與該人工智慧模型35,且該條件更新單元42另訊號連接所述白名單資料庫32及惡意行為特徵資料庫33及黑名單資料庫34,並該條件更新單元42可接收有至少一更新白名單資料D4及至少一更新惡意行為特徵資料D5及至少一更新黑名單資料D6。
再請參閱第4圖所示,係為本發明自動動態安全連線系統具伺服設備之系統架構實施示意圖,其中所述資訊擷取單元37係擷取所述異常資訊I1之資訊並由其資訊中之固定特徵及動態特徵產生有至少一固定特徵資料D1及至少一動態特徵資料D2,該固定特徵資料D1係可包括有檔案內容存取、檔案雜湊、電腦文件數字簽名、電腦系統資源、簽名者資訊、電腦耦合性等資料,另外動態特徵資料D2係可包括有檔案變更、電腦調用路徑改變、電腦系統資源、文件屬性改變等資料,又其中檔案又包括有電腦檔案、腳本語言、裝置檔案、資料庫檔案等等。
該資訊擷取單元37所產生之固定特徵資料D1與動態特徵資料D2係傳遞至所述更新資訊處理單元411,或資訊擷取單元37所產生之固定特徵資料D1與動態特徵資料D2直接傳遞至至所述訓練單元41,而於本實施例中,係以先傳遞至所述更新資訊處理單元411為實施方式,其中透過更新資訊處理單元411主要是便於訓練單元41進行訓練,但不因此為限,而該更新資訊處理單元411接收所述固定特徵資料D1與所述動態特徵資料D2且轉換為人工智慧模型35所能判斷之資訊格式及過濾雜訊的一更新特徵處理資料D3,並該更新資訊處理單元411傳遞所述更新特徵處理資料D3至所述訓練單元41,該訓練單元41擷取所述更新特徵處理資料D3並產生有一更新訓練模型M1,並其中該訓練單元41所產生之更新訓練模型M1也可傳遞至所述條件更新單元42,該條件更新單元42接收所述更新訓練模型M1且傳遞至所述人工智慧模型35進行更新優化,另該條件更新單元42接收有所述更新白名單資料D4及更新惡意行為特徵資料D5及更新黑名單資料D6時,該條件更新單元42將所述更新白名單資料D4及更新惡意行為特徵資料D5及更新黑名單資料D6分別傳遞至所述白名單資料庫32及惡意行為特徵資料庫33及黑名單資料庫34,使該白名單資料庫32及惡意行為特徵資料庫33及黑名單資料庫34內之資料進行更新,以便於中央處理單元31判斷具有所述異常資訊I1時,該中央處理單元31以更新資料之白名單資料庫32及惡意行為特徵資料庫33及黑名單資料庫34與優化過之人工智慧模型35進行比對判斷,藉此,該自動動態安全連線系統1達到可有效更新軟體執行狀況以對應更新網路惡意攻擊之功效者。
再請參閱第5圖所示,係為本發明自動動態安全連線系統具控制中心之系統架構實施示意圖,其中所述伺服設備4更包括有一控制中心43,該控制中心43訊號連接所述條件更新單元42與該所述白名單資料庫32及惡意行為特徵資料庫33及黑名單資料庫34及人工智慧模型35,且該控制中心43於該伺服設備4中係進行與設備資訊判斷裝置3安全連線及資料控管與用戶設備2資料確認及更新資料管理,而該控制中心43接收所述條件更新單元42之更新訓練模型M1及更新白名單資料D4及更新惡意行為特徵資料D5及更新黑名單資料D6,且該控制中心43將所述更新訓練模型M1係傳遞至所述人工智慧模型35,使該人工智慧模型35進行優化,並將更新白名單資料D4及更新惡意行為特徵資料D5及更新黑名單資料D6分別傳遞至所述白名單資料庫32及惡意行為特徵資料庫33及黑名單資料庫34,使該白名單資料庫32及惡意行為特徵資料庫33及黑名單資料庫34內之資料進行更新,以便於中央處理單元31再次判斷具有所述異常資訊I1時,該中央處理單元31以更新資料之白名單資料庫32及惡意行為特徵資料庫33及黑名單資料庫34與優化過之人工智慧模型35進行比對判斷,藉此,該自動動態安全連線系統1達到可有效更新軟體執行狀況以對應更新網路惡意攻擊之功效者。
為清楚說明此實施例的運作過程,還請參考第6圖為本發明自動動態安全連線方法的流程圖。自動動態安全連線方法包括以下步驟:
步驟S1:至少一用戶設備執行軟體程式產生有至少一執行資訊;其中所述用戶設備2安裝有軟體程式或由處理器安裝軟體程式,並該用戶設備2執行軟體程式產生有執行資訊。
步驟S2:由一設備資訊判斷裝置之中央處理單元接收所述執行資訊且擷取其執行資訊中之異常資訊;其中所述執行資訊若有被第三方程式干涉時,該中央處理單元31則擷取其執行資訊中之異常資訊I1。
步驟S3:中央處理單元將所述異常資訊與一白名單資料庫及一惡意行為特徵資料庫及一黑名單資料庫比對判斷,及與一人工智慧模型分析結果整合,再依照一設定條件產生有一判斷結果;該中央處理單元31係接收所述用戶設備2執行軟體程式所產生之執行資訊,而該執行資訊若有被第三方程式干涉時,該中央處理單元則擷取其執行資訊中之異常資訊I1,而該中央處理單元31具有有所述異常資訊I1後,該中央處理單元31分別擷取該白名單資料庫32與該惡意行為特徵資料庫33與該黑名單資料庫34之資料且與異常資訊I1進行比對,並將所述異常資訊I1輸入人工智慧模型35且由該人工智慧模型35進行分析,並該中央處理單元經由分別與白名單資料庫32、惡意行為特徵資料庫33、黑名單資料庫34比對之結果,及人工智慧模型35所分析之結果整合,且該中央處理單元31會將整合結果依照一設定條件產生有一判斷結果R1,其中所述中央處理單元31之設定條件則是可由使用端之需求或安全係數來進行設定,而其設定條件可例如為,設定單一資料庫比對判斷、多個資料庫比對判斷、多個資料庫及人工智慧模型35比對判斷、資料庫及人工智慧模型35比對判斷、僅由人工智慧模型35比對判斷、以優先條件比對判斷,但不因此為限,並該中央處理單元31由該設定條件將該異常資訊I1與該白名單資料庫32與該惡意行為特徵資料庫33與該黑名單資料庫34與該人工智慧模型35進行比對,且該中央處理單元31產生有所述判斷結果R1,另其中該中央處理單元31接收所述異常資訊I1後可先傳遞至所述原始資訊處理單元351且由該原始資訊處理單元351過濾雜訊。
步驟S4:該中央處理單元由該判斷結果決定是否調整連線行為;而該中央處理單元31由該判斷結果R1決定是否調整連線單元36之連線行為,而連線行為之調整例如為改變原始連線路徑、改變連線金鑰、改變網際網路通訊協定、改變非設備接口之連線埠,如: TCP/IP協定中的連線埠、瀏覽網頁服務的80連線埠、FTP服務的21連線埠,進行網路重新連線或網路斷線等連線行為的變動,以使該自動動態安全連線系統1達到可判斷軟體執行狀況來調整連線行為,以避免遭受網路惡意攻擊之功效者。
再請參閱第7圖所示,係為本發明自動動態安全連線方法具伺服設備之流程圖,其中所述步驟S4後可接續有以下步驟,且以下步驟也可與前述步驟同時執行。
步驟S51:該設備資訊判斷裝置之一資訊擷取單元擷取所述異常資訊且由該異常資訊產生有至少一固定特徵資料與至少一動態特徵資料;其中所述資訊擷取單元37係接收所述異常資訊I1,且該資訊擷取單元37係擷取所述異常資訊I1之資訊並由其資訊中之固定特徵及動態特徵產生有至少一固定特徵資料D1及至少一動態特徵資料D2,該固定特徵資料D1係可包括有檔案內容存取、檔案雜湊、電腦文件數字簽名、電腦系統資源、簽名者資訊、電腦耦合性等資料,另外動態特徵資料D2係可包括有檔案變更、電腦調用路徑改變、電腦系統資源、文件屬性改變等資料,又其中檔案又包括有電腦檔案、腳本語言、裝置檔案、資料庫檔案等等。
步驟S52:再由一伺服設備接收所述固定特徵資料與所述動態特徵資料並傳遞至所述一訓練單元,該訓練單元擷取所述固定特徵資料與所述動態特徵資料並產生一更新訓練模型傳遞至人工智慧模型進行優化;該資訊擷取單元37所產生之固定特徵資料D1與動態特徵資料D2係傳遞至所述更新資訊處理單元411,或資訊擷取單元37所產生之固定特徵資料D1與動態特徵資料D2直接傳遞至至所述訓練單元41,而於本實施例中,係以先傳遞至所述更新資訊處理單元411為實施方式,其中透過更新資訊處理單元411主要是便於訓練單元41進行訓練,但不因此為限,其中所述伺服設備4之更新資訊處理單元411接收所述固定特徵資料D1與所述動態特徵資料D2並產生有所述更新特徵處理資料D3,並該更新資訊處理單元411傳遞所述更新特徵處理資料D3至所述訓練單元41,該訓練單元41擷取所述更新特徵處理資料D3並產生所述更新訓練模型M1,且該更新訓練模型M1係傳遞至所述人工智慧模型35,使該人工智慧模型35進行優化,並其中該訓練單元41所產生之更新訓練模型M1也可傳遞至所述條件更新單元42,該條件更新單元42接收所述更新訓練模型M1且傳遞至所述人工智慧模型35進行優化
步驟S53:所述條件更新單元接收有至少一更新白名單資料及至少一更新惡意行為特徵資料及至少一更新黑名單資料分別傳遞至所述白名單資料庫及惡意行為特徵資料庫及黑名單資料庫;另該條件更新單元42接收有所述更新白名單資料D4及更新惡意行為特徵資料D5及更新黑名單資料D6時,該條件更新單元42將所述更新白名單資料D4及更新惡意行為特徵資料D5及更新黑名單資料D6分別傳遞至所述白名單資料庫32及惡意行為特徵資料庫33及黑名單資料庫34,使該白名單資料庫32及惡意行為特徵資料庫33及黑名單資料庫34內之資料進行更新,以便於中央處理單元31再次具有所述異常資訊I1時,該中央處理單元31以更新資料之白名單資料庫32及惡意行為特徵資料庫33及黑名單資料庫34與優化過之人工智慧模型35進行比對判斷,藉此,該自動動態安全連線系統1達到可有效更新軟體執行狀況以對應更新網路惡意攻擊之功效者。
又其中該條件更新單元42可透過所述控制中心43訊號連接所述人工智慧模型35及所述白名單資料庫32及惡意行為特徵資料庫33及黑名單資料庫34,該控制中心43於該伺服設備4中係進行安全連線及資料控管與用戶設備2資料確認及更新資料管理,而該控制中心43接收所述條件更新單元42之更新訓練模型M1及更新白名單資料D4及更新惡意行為特徵資料D5及更新黑名單資料D6,且該控制中心43將所述更新訓練模型M1係傳遞至所述人工智慧模型35,使該人工智慧模型35進行優化,並將更新白名單資料D4及更新惡意行為特徵資料D5及更新黑名單資料D6分別傳遞至所述白名單資料庫32及惡意行為特徵資料庫33及黑名單資料庫34,使該白名單資料庫32及惡意行為特徵資料庫33及黑名單資料庫34內之資料進行更新,以便於中央處理單元31再次具有所述異常資訊I1時,該中央處理單元31以更新資料之白名單資料庫32及惡意行為特徵資料庫33及黑名單資料庫34與優化過之人工智慧模型35進行比對判斷,藉此,該自動動態安全連線系統1達到可有效更新軟體執行狀況以對應更新網路惡意攻擊之功效者。
以上已將本發明做一詳細說明,惟以上所述者,僅為本發明之一較佳實施例而已,當不能限定本發明實施之範圍,即凡依本發明申請範圍所作之均等變化與修飾等,皆應仍屬本發明之專利涵蓋範圍。
1:自動動態安全連線系統 2:用戶設備 3:設備資訊判斷裝置 31:中央處理單元 32:白名單資料庫 33:惡意行為特徵資料庫 34:黑名單資料庫 35:人工智慧模型 351:原始資訊處理單元 36:連線單元 37:資訊擷取單元 4:伺服設備 41:訓練單元 411:更新資訊處理單元 42:條件更新單元 43:控制中心 I1:異常資訊 R1:判斷結果 D1:固定特徵資料 D2:動態特徵資料 D3:更新特徵處理資料 M1:更新訓練模型 D4:更新白名單資料 D5:更新惡意行為特徵資料 D6:更新黑名單資料 S1~S4:步驟 S51~S53:步驟
第1圖係為本發明自動動態安全連線系統之系統架構示意圖。 第2圖係為本發明自動動態安全連線系統之系統架構實施示意圖一。 第3圖係為本發明自動動態安全連線系統具伺服設備之系統架構示意圖。 第4圖係為本發明自動動態安全連線系統具伺服設備之系統架構實施示意圖。 第5圖係為本發明自動動態安全連線系統具控制中心之系統架構示意圖。 第6圖係為本發明自動動態安全連線方法之流程圖。 第7圖係為本發明自動動態安全連線方法具伺服設備之流程圖。
1:自動動態安全連線系統
2:用戶設備
3:設備資訊判斷裝置
31:中央處理單元
32:白名單資料庫
33:惡意行為特徵資料庫
34:黑名單資料庫
35:人工智慧模型
351:原始資訊處理單元
36:連線單元

Claims (12)

  1. 一種自動動態安全連線系統,係包括:至少一用戶設備;至少一設備資訊判斷裝置,該設備資訊判斷裝置具有一中央處理單元及一連線單元及一資訊擷取單元,且該中央處理單元電性連接所述用戶設備,另該連線單元電性連接所述中央處理單元,而該用戶設備執行軟體程式產生有至少一執行資訊,該中央處理單元接收所述執行資訊且擷取其執行資訊中之異常資訊,而該資訊擷取單元擷取所述異常資訊且由該異常資訊產生有至少一固定特徵資料與至少一動態特徵資料,並該中央處理單元將所述異常資訊與一白名單資料庫及一惡意行為特徵資料庫及一黑名單資料庫比對判斷,及與一人工智慧模型分析結果整合,再依照一設定條件產生有一判斷結果,且該中央處理單元經由所述判斷結果決定是否調整所述連線單元之連線行為;及一伺服設備,該伺服設備訊號連接所述資訊擷取單元,且該伺服設備具有一訓練單元及一條件更新單元,而該伺服設備接收所述固定特徵資料與所述動態特徵資料並傳遞至所述訓練單元,使該訓練單元擷取所述固定特徵資料與所述動態特徵資料並產生一更新訓練模型傳遞至人工智慧模型進行優化。
  2. 如請求項1所述之自動動態安全連線系統,其中所述設備資訊判斷裝置更包括有一原始資訊處理單元,該原始資訊處理單元電性連接所述中 央處理單元及該人工智慧模型,且該中央處理單元所擷取之異常資訊係傳遞至所述原始資訊處理單元且由該原始資訊處理單元過濾雜訊。
  3. 如請求項1所述之自動動態安全連線系統,其中所述伺服設備更具有一更新資訊處理單元,該更新資訊處理單元訊號連接所述資訊擷取單元與該訓練單元,且該更新資訊處理單元接收所述固定特徵資料與所述動態特徵資料並產生有一更新惡意行為特徵資料傳遞至所述訓練單元,使該訓練單元擷取所述更新惡意行為特徵資料並產生所述更新訓練模型傳遞至人工智慧模型進行優化。
  4. 如請求項3所述之自動動態安全連線系統,其中所述伺服設備更具有一條件更新單元,該條件更新單元訊號連接所述訓練單元與該人工智慧模型,而該條件更新單元接收所述更新訓練模型且傳遞至所述人工智慧模型進行優化。
  5. 如請求項4所述之自動動態安全連線系統,其中所述條件更新單元訊號連接所述白名單資料庫及惡意行為特徵資料庫及黑名單資料庫,且該條件更新單元接收有至少一更新白名單資料及至少一更新惡意行為特徵資料及至少一更新黑名單資料分別傳遞至所述白名單資料庫及惡意行為特徵資料庫及黑名單資料庫。
  6. 如請求項5所述之自動動態安全連線系統,其中所述伺服設備更包括有一控制中心,該控制中心訊號連接所述條件更新單元與該所述白名單資料庫及惡意行為特徵資料庫及黑名單資料庫及人工智慧模型,且該控制中心接收所述條件更新單元之更新訓練模型及更新白名單資料及更新惡意行為特徵 資料及更新黑名單資料並分別傳遞至所述人工智慧模型及白名單資料庫及惡意行為特徵資料庫及黑名單資料庫。
  7. 一種自動動態安全連線方法,包括:至少一用戶設備執行軟體程式產生有至少一執行資訊;由一設備資訊判斷裝置之中央處理單元接收所述執行資訊且擷取其執行資訊中之異常資訊;另由該設備資訊判斷裝置之一資訊擷取單元擷取所述異常資訊且由該異常資訊產生有至少一固定特徵資料與至少一動態特徵資料;中央處理單元將所述異常資訊與一白名單資料庫及一惡意行為特徵資料庫及一黑名單資料庫比對判斷,及與一人工智慧模型分析結果整合,再依照一設定條件產生有一判斷結果;該中央處理單元由該判斷結果決定是否調整一連線單元之連線行為;再由一伺服設備接收所述固定特徵資料與所述動態特徵資料並傳遞至所述一訓練單元,該訓練單元擷取所述固定特徵資料與所述動態特徵資料並產生一更新訓練模型傳遞至人工智慧模型進行優化。
  8. 如請求項7所述之自動動態安全連線方法,其中所述中央處理單元擷取之異常資訊傳遞至一原始資訊處理單元且由該原始資訊處理單元過濾雜訊。
  9. 如請求項7所述之自動動態安全連線方法,其中所述伺服設備之一更新資訊處理單元接收所述固定特徵資料與所述動態特徵資料並產生有一 更新惡意行為特徵資料傳遞至所述訓練單元,該訓練單元擷取所述更新惡意行為特徵資料並產生一更新訓練模型傳遞至人工智慧模型進行優化。
  10. 如請求項8所述之自動動態安全連線方法,其中所述伺服設備之一條件更新單元接收所述更新訓練模型且傳遞至所述人工智慧模型進行優化。
  11. 如請求項9所述之自動動態安全連線方法,其中所述條件更新單元接收有至少一更新白名單資料及至少一更新惡意行為特徵資料及至少一更新黑名單資料分別傳遞至所述白名單資料庫及惡意行為特徵資料庫及黑名單資料庫。
  12. 如請求項10所述之自動動態安全連線方法,其中所述伺服設備之一控制中心接收所述條件更新單元之更新訓練模型及更新白名單資料及更新惡意行為特徵資料及更新黑名單資料並分別傳遞至所述人工智慧模型及白名單資料庫及惡意行為特徵資料庫及黑名單資料庫。
TW111137015A 2022-09-29 2022-09-29 自動動態安全連線系統及其方法 TWI834320B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW111137015A TWI834320B (zh) 2022-09-29 2022-09-29 自動動態安全連線系統及其方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW111137015A TWI834320B (zh) 2022-09-29 2022-09-29 自動動態安全連線系統及其方法

Publications (2)

Publication Number Publication Date
TWI834320B true TWI834320B (zh) 2024-03-01
TW202415031A TW202415031A (zh) 2024-04-01

Family

ID=91269431

Family Applications (1)

Application Number Title Priority Date Filing Date
TW111137015A TWI834320B (zh) 2022-09-29 2022-09-29 自動動態安全連線系統及其方法

Country Status (1)

Country Link
TW (1) TWI834320B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120227105A1 (en) * 2010-12-01 2012-09-06 Immunet Corporation Method and apparatus for detecting malicious software using machine learning techniques
TWI677209B (zh) * 2018-07-26 2019-11-11 玉山商業銀行股份有限公司 網名過濾方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120227105A1 (en) * 2010-12-01 2012-09-06 Immunet Corporation Method and apparatus for detecting malicious software using machine learning techniques
TWI677209B (zh) * 2018-07-26 2019-11-11 玉山商業銀行股份有限公司 網名過濾方法

Similar Documents

Publication Publication Date Title
US7870612B2 (en) Antivirus protection system and method for computers
EP3127301B1 (en) Using trust profiles for network breach detection
US7246156B2 (en) Method and computer program product for monitoring an industrial network
KR101150128B1 (ko) 보안 대책들을 병합하기 위한 방법 및 시스템
US20160373408A1 (en) Usb firewall devices
US20090271504A1 (en) Techniques for agent configuration
US20070050777A1 (en) Duration of alerts and scanning of large data stores
US20100037317A1 (en) Mehtod and system for security monitoring of the interface between a browser and an external browser module
EP1564623A1 (en) System and method for securing a computer system connected to a network from attacks
RU2634173C1 (ru) Система и способ обнаружения приложения удалённого администрирования
US20060161965A1 (en) Method and system for separating rules of a security policy from detection criteria
WO2006101758A2 (en) Application identity and rating service
EP1567926A2 (en) Method, system and computer software product for responding to a computer intrusion
KR101951730B1 (ko) 지능형 지속위협 환경에서의 통합 보안 시스템
US7908659B2 (en) Extensible framework for system security state reporting and remediation
CN113364750B (zh) 一种基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法
CN110958246B (zh) 一种基于web服务器的动态智能防护方法及其应用
KR100989347B1 (ko) 보안규칙 기반의 웹공격 탐지 방법
KR100959276B1 (ko) 커널계층에서 통제리스트를 이용한 악성프로세스 설치차단 시스템 및 그 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체
TWI834320B (zh) 自動動態安全連線系統及其方法
RU2724796C1 (ru) Система и способ защиты автоматизированных систем при помощи шлюза
CN115086081B (zh) 一种蜜罐防逃逸方法及系统
US20240137768A1 (en) Automatic dynamic secure connection system and method thereof
US20240236682A9 (en) Automatic dynamic secure connection system and method thereof
WO2021129201A1 (zh) 一种基于Linux主机的入侵检测方法及装置