TWI883754B - 以機器學習分析與封鎖異常來源網路位址之系統、方法及電腦可讀媒介 - Google Patents
以機器學習分析與封鎖異常來源網路位址之系統、方法及電腦可讀媒介 Download PDFInfo
- Publication number
- TWI883754B TWI883754B TW112151677A TW112151677A TWI883754B TW I883754 B TWI883754 B TW I883754B TW 112151677 A TW112151677 A TW 112151677A TW 112151677 A TW112151677 A TW 112151677A TW I883754 B TWI883754 B TW I883754B
- Authority
- TW
- Taiwan
- Prior art keywords
- source network
- network address
- user account
- machine learning
- analysis module
- Prior art date
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明揭露一種以機器學習分析與封鎖異常來源網路位址之系統、方法及電腦可讀媒介,係於同一用戶帳號之來源網路位址在一定時間區間內所嘗試之登入次數超過次數門檻值時,由機器學習分析模組分析用戶帳號之來源網路位址之通過狀態分別為成功與失敗之次數,再依據成功之次數與失敗之次數分析出通過成功率與通過失敗率,俾依據通過成功率與通過失敗率分析出綜合通過比值。再者,當綜合通過比值落在第一比值區間或第二比值區間時,由機器學習分析模組判定為正常用戶帳號之來源網路位址,而當綜合通過比值落在第三比值區間時,由機器學習分析模組判定為異常用戶帳號之來源網路位址,俾由來源網路位址封鎖模組針對異常用戶帳號之來源網路位址進行封鎖。
Description
本發明係關於一種異常來源網路位址(如來源IP位址)之分析與封鎖技術,特別是指一種以機器學習(Machine Learning)分析與封鎖異常來源網路位址之系統、方法及電腦可讀媒介。
目前在各種系統(如會員帳號系統)、電子裝置、應用程式(APP)、網頁瀏覽器或帳號登入介面中,經常需要用戶輸入正確之用戶帳號、密碼或驗證碼(如一次性密碼OTP)等資訊,才能有效登入各種系統、電子裝置、應用程式、網頁瀏覽器或帳號登入介面中,以進一步使用相關之服務或功能。
惟,用戶可能為會員(如個人/公司/學校用戶等),亦有可能為駭客(如惡意攻擊者/帳號盜取者等),若用戶無法一次輸入正確之用戶帳號、密碼或驗證碼時,則大多會嘗試多次輸入不同或曾經使用之用戶帳號、
密碼或驗證碼,以嘗試或企圖登入各種系統、電子裝置、應用程式、網頁瀏覽器或帳號登入介面。
再者,各種系統、電子裝置、應用程式、網頁瀏覽器或帳號登入介面在判斷用戶帳號之來源網路位址(如來源IP位址)時,通常難以有效區分用戶帳號之來源網路位址為正常用戶帳號(如會員/公司/學校用戶帳號)之來源網路位址或異常用戶帳號(如駭客用戶帳號)之來源網路位址,導致不易對異常用戶帳號之來源網路位址進行有效之防範措施。
現有技術之解決方式為同一用戶帳號之來源網路位址(如來源IP位址)針對同一系統、電子裝置、應用程式、網頁瀏覽器或帳號登入介面在一定時間區間(如5分鐘)內所嘗試之登入次數超過次數門檻值(如3次或10次)後,便直接將此用戶帳號之來源網路位址進行封鎖。
然而,此種解決方式會造成若是用戶(如公司用戶)有使用網路代理(proxy),且同時有用戶以多次嘗試錯誤來企圖登入各種系統、電子裝置、應用程式、網頁瀏覽器或帳號登入介面時,有可能將正常用戶帳號之來源網路位址誤判為異常用戶帳號之來源網路位址,導致錯誤地將正常用戶帳號之來源網路位址進行封鎖,從而造成用戶(如公司用戶)之不必要客訴。
因此,如何提供一種創新之異常來源網路位址(如來源IP位址)之分析與封鎖技術,以解決上述之任一問題並提供相關之系統或方法,已成為本領域技術人員之一大研究課題。
本發明所述以機器學習分析與封鎖異常來源網路位址之系統包括:一機器學習分析模組,係於同一用戶帳號之來源網路位址針對同一系統、電子裝置、應用程式、網頁瀏覽器或帳號登入介面在一定時間區間內所嘗試之登入次數超過次數門檻值時,由機器學習分析模組分析用戶帳號之來源網路位址之通過狀態分別為或以統計出成功與失敗之次數,再由機器學習分析模組依據成功之次數與失敗之次數分析出用戶帳號之來源網路位址之通過成功率與通過失敗率,俾由機器學習分析模組依據用戶帳號之來源網路位址之通過成功率與通過失敗率分析出用戶帳號之來源網路位址之綜合通過比值;以及一來源網路位址封鎖模組,係通訊連結機器學習分析模組;其中,當機器學習分析模組分析出用戶帳號之來源網路位址之綜合通過比值落在一第一比值區間或大於第一比值區間之一第二比值區間時,由機器學習分析模組判定用戶帳號之來源網路位址為正常用戶帳號之來源網路位址,而當機器學習分析模組分析出用戶帳號之來源網路位址之綜合通過比值落在第一比值區間與第二比值區間之間的一第三比值區間時,由機器學習分析模組判定用戶帳號之來源網路位址為異常用戶帳號之來源網路位址,俾由來源網路位址封鎖模組針對機器學習分析模組所判定之異常用戶帳號之來源網路位址進行封鎖。
本發明所述以機器學習分析與封鎖異常來源網路位址之方法,係由電腦或伺服器所執行,該方法包括:當同一用戶帳號之來源網路位址針對同一系統、電子裝置、應用程式、網頁瀏覽器或帳號登入介面在一定時間區間內所嘗試之登入次數超過次數門檻值時,由一機器學習分析模組分析用戶帳號之來源網路位址之通過狀態分別為或以統計出成功與失
敗之次數,再由機器學習分析模組依據成功之次數與失敗之次數分析出用戶帳號之來源網路位址之通過成功率與通過失敗率,俾由機器學習分析模組依據用戶帳號之來源網路位址之通過成功率與通過失敗率分析出用戶帳號之來源網路位址之綜合通過比值;以及當機器學習分析模組分析出用戶帳號之來源網路位址之綜合通過比值落在一第一比值區間或大於第一比值區間之一第二比值區間時,由機器學習分析模組判定用戶帳號之來源網路位址為正常用戶帳號之來源網路位址,而當機器學習分析模組分析出用戶帳號之來源網路位址之綜合通過比值落在第一比值區間與第二比值區間之間的一第三比值區間時,由機器學習分析模組判定用戶帳號之來源網路位址為異常用戶帳號之來源網路位址,俾由一來源網路位址封鎖模組針對機器學習分析模組所判定之異常用戶帳號之來源網路位址進行封鎖。
本發明之電腦可讀媒介應用於計算裝置或電腦中,係儲存有指令,以執行上述以機器學習分析與封鎖異常來源網路位址之方法。
因此,本發明提供一種創新之以機器學習分析與封鎖異常來源網路位址之系統、方法及電腦可讀媒介,係能由機器學習分析模組採用「綜合通過比值」來判斷用戶帳號之來源網路位址為正常用戶帳號或異常用戶帳號之來源網路位址,以利快速得到較高的判斷精準度或正確性,俾使機器學習分析模組大幅降低對於正常用戶帳號或異常用戶帳號之來源網路位址之誤判機率。
或者,本發明之機器學習分析模組能自動地分析正常用戶帳號之來源網路位址之行為(如正常登入/驗證行為)與異常用戶帳號之來源網路位址之行為(如異常登入/嘗試行為),亦能針對正常用戶帳號之來源網
路位址與異常用戶帳號之來源網路位址兩者之綜合通過比值進行比較或判讀,也能由機器學習分析模組有效地分辨正常用戶帳號之來源網路位址與異常用戶帳號之來源網路位址兩者之差異,有利於更精準地判斷正常用戶帳號(如一般用戶帳號)與異常用戶帳號(如大量攻擊/駭客用戶帳號)之行為。
亦或者,本發明之機器學習分析模組能分析或判斷異常用戶帳號(如可疑用戶帳號)之來源網路位址,以由來源網路位址封鎖模組針對異常用戶帳號之來源網路位址進行封鎖,藉此強化各種系統、電子裝置、應用程式(APP)、網頁瀏覽器或帳號登入介面等之資安防護力,亦能減少不必要之客訴產生,也能增加客戶之信賴度。
又或者,本發明可以具有[1]分辨能力:機器學習分析模組能依據綜合通過比值有效地分辨正常用戶帳號之來源網路位址與異常用戶帳號之來源網路位址兩者之差異。[2]即時性:毋須以人工方式辨別大量攻擊之異常用戶帳號之來源網路位址(如來源IP位址),且每日全時(如24小時)皆能運作。[3]安全性:能安全保護各種系統(如會員帳號系統)之帳戶安全。[4]防護力:來源網路位址封鎖模組能針對暴力破解或異常攻擊之異常用戶帳號之來源網路位址(如來源IP位址)進行有效封鎖及防護。
為使本發明之上述特徵與優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明。在以下描述內容中將部分闡述本發明之額外特徵及優點,且此等特徵及優點將部分自所述描述內容可得而知,或可藉由對本發明之實踐習得。應理解,前文一般描述與以下詳細描述二者均為例示性及解釋性的,且不欲約束本發明所欲主張之範圍。
1:以機器學習分析與封鎖異常來源網路位址之系統
10:日誌資料庫
11:日誌資料表
12:用戶帳號
13:來源網路位址
20:機器學習分析模組
30:機器學習模型訓練模組
31:機器學習套件
32:機器學習模型
40:來源網路位址判讀模組
50:來源網路位址封鎖模組
A:通過成功率
B:通過失敗率
C:綜合通過比值
C1:第一比值區間
C2:第二比值區間
C3:第三比值區間
S1至S2:步驟
圖1為本發明所述以機器學習分析與封鎖異常來源網路位址之系統之架構示意圖。
圖2為本發明所述以機器學習分析與封鎖異常來源網路位址之方法之流程示意圖。
以下藉由特定的具體實施形態說明本發明之實施方式,熟悉此技術之人士可由本說明書所揭示之內容瞭解本發明之其他優點與功效,亦可因而藉由其他不同具體等同實施形態加以施行或運用。
圖1為本發明所述以機器學習分析與封鎖異常來源網路位址之系統1之架構示意圖。如圖1所示,以機器學習分析與封鎖異常來源網路位址之系統1可包括互相通訊連結之一日誌資料庫10、一機器學習分析模組20、一機器學習模型訓練模組30、一來源網路位址判讀模組40以及一來源網路位址封鎖模組50等。日誌資料庫10可具有至少一(如複數)日誌資料表11,且機器學習模型訓練模組30可具有一機器學習套件31(如python sklearn套件)與一機器學習模型32等。
在一實施例中,機器學習分析模組20可分別通訊連結日誌資料庫10、機器學習模型訓練模組30、來源網路位址判讀模組40與來源網路位址封鎖模組50,且來源網路位址判讀模組40亦可進一步通訊連結機器學習模型訓練模組30與來源網路位址封鎖模組50。
在一實施例中,日誌資料庫10可為日誌資料儲存器、日誌資料伺服器、日誌資料硬碟等,機器學習分析模組20可為機器學習分析器(晶片/電路)、機器學習分析軟體(程式)等。機器學習模型訓練模組30可為機器學習模型訓練器(晶片/電路)、機器學習模型訓練軟體(程式)等,機器學習套件31可為機器學習軟體或機器學習應用程式(APP)等。來源網路位址判讀模組40可為來源網路位址判讀器(晶片/電路)、來源網路位址判讀軟體(程式)等,來源網路位址封鎖模組50可為來源網路位址封鎖器(晶片/電路)、來源網路位址封鎖軟體(程式)等。
本發明所述「至少一」代表一個以上(如一、二或三個以上),「複數」代表二個以上(如二、三、四、十或百個以上),「通訊連結」代表透過資料、訊號、電性、有線方式(如有線網路)或無線方式(如無線網路)等各種形式互相通訊或連結。「用戶帳號」可能為正常用戶帳號或異常用戶帳號,「網路位址」可為IP(網際網路協定;Internet Protocol)位址,「來源網路位址」可為來源IP位址等,「一定時間區間」可為預定或設定之時間區間(如5分鐘、1小時、1日等),「次數門檻值」可為預定或設定之次數(如5次、20次、100次等)。但是,本發明並不以各實施例所提及者為限。
首先,日誌資料庫10可具有至少一(如複數)日誌資料表11以記錄有關用戶帳號12之來源網路位址13與登入資訊(使用行為)之日誌(log)資料,且用戶帳號12之登入資訊可包括用戶帳號12之來源網路位址13之通過狀態(如帳號登入狀態)為成功(如登入成功)或失敗(如登入失敗)等資訊。
其次,機器學習分析模組20可統整(如統計/整合/分析)日誌資料庫10之日誌資料表11所記錄之日誌資料以取得用戶帳號12(如可疑用戶帳號)之來源網路位址13之登入資訊(使用行為),且機器學習分析模組20亦能以機器學習技術或機器學習方式分析(計算)出用戶帳號12之來源網路位址13(如來源IP位址)之通過成功率A(如登入成功率)與通過失敗率B(如登入失敗率)。
舉例而言,日誌資料庫10之日誌資料表11中之通過狀態(status)或狀態欄位,可以記錄用戶帳號12之來源網路位址13(如來源IP位址)每次之通過狀態(登入結果)為成功(如登入成功)或失敗(如登入失敗)之資訊。當機器學習分析模組20分析出同一用戶帳號12之來源網路位址13針對同一系統、電子裝置、應用程式、網頁瀏覽器或帳號登入介面等,在一定時間區間(如5分鐘)內所嘗試之登入次數超過次數門檻值(如100次)時,由機器學習分析模組20以機器學習技術或機器學習方式分析(計算)日誌資料庫10之日誌資料表11中有關用戶帳號12之來源網路位址13之通過狀態(status)或狀態欄位分別為成功(success)之次數與失敗(fail)之次數,再由機器學習分析模組20以機器學習技術或機器學習方式依據成功之次數與失敗之次數分析(計算)出用戶帳號12之來源網路位址13之[1]通過成功率A與[2]通過失敗率B,俾由機器學習分析模組20依據通過成功率A與通過失敗率B分析(計算)出用戶帳號12之來源網路位址13之[3]綜合通過比值C。
在一實施例中,前述系統可為會員帳號系統、帳號登入系統或其他系統,電子裝置可為電腦、智慧型手機或其他電子裝置,應用程式
可為帳號登入軟體、帳號登入程式、應用軟體或其他應用程式,但不以此為限。
[1]通過成功率A:機器學習分析模組20能以機器學習技術或機器學習方式分析(計算)出用戶帳號12之來源網路位址13(如來源IP位址)之通過成功率A等於「日誌資料庫10之日誌資料表11中有關用戶帳號12之來源網路位址13之通過狀態(status)或狀態欄位為成功(success)之次數除以一定時間區間之次數門檻值再乘以100%」,亦即通過成功率=成功之次數/一定時間區間之次數門檻值*100%。
[2]通過失敗率B:機器學習分析模組20能以機器學習技術或機器學習方式分析(計算)出用戶帳號12之來源網路位址13(如來源IP位址)之通過失敗率B等於「日誌資料庫10之日誌資料表11中有關用戶帳號12之來源網路位址13之通過狀態(status)或狀態欄位為失敗(fail)之次數除以一定時間區間之次數門檻值再乘以100%」,亦即通過失敗率=通過失敗之次數/一定時間區間之次數門檻值*100%。
[3]綜合通過比值C:機器學習分析模組20可先比較用戶帳號12之來源網路位址13(如來源IP位址)之通過成功率A與通過失敗率B兩者之大小,再由機器學習分析模組20以機器學習技術或機器學習方式依據通過成功率A與通過失敗率B兩者之大小比較結果分析(計算)出用戶帳號12之來源網路位址13之綜合通過比值C:(1)等於較小之通過失敗率B除以較大之通過成功率A、(2)或者等於較小之通過成功率A除以較大之通過失敗率B、(3)或者等於相同之通過成功率A除以通過失敗率B,俾使用戶帳號12之來源網路位址13之綜合通過比值C介於0至1之間。亦即,
綜合通過比值=(1)較小之通過失敗率/較大之通過成功率、(2)或者較小之通過成功率/較大之通過失敗率、(3)或者相同之通過成功率/通過失敗率,以使綜合通過比值=0-1。
當機器學習分析模組20分析(計算)出用戶帳號12之來源網路位址13(如來源IP位址)之綜合通過比值C落在一第一比值區間C1(如0-0.33)或大於第一比值區間C1之一第二比值區間C2(如0.67-1)時,機器學習分析模組20可初步判定用戶帳號12之來源網路位址13為正常用戶帳號之來源網路位址13。
當機器學習分析模組20以機器學習技術或機器學習方式分析(計算)出用戶帳號12之來源網路位址13(如來源IP位址)之綜合通過比值C落在第一比值區間C1(如0-0.33)與第二比值區間C2(如0.67-1)之間的一第三比值區間C3(如0.34-0.66)時,機器學習分析模組20可初步判定用戶帳號12之來源網路位址13為異常用戶帳號之來源網路位址13。
在一實施例中,綜合通過比值C可為0至1之間,第一比值區間C1可為0至0.33之間,第二比值區間C2可為0.67至1之間,而第三比值區間C3可為0.34至0.66之間,但不以此為限。此外,上述比值區間可依不同系統、電子裝置、應用程式而變動,亦可透過機器學習分析模組20分析後產生上述比值區間。
[1]正常用戶帳號之來源網路位址13:在本實施例中,例如機器學習分析模組20以機器學習技術或機器學習方式分析(計算)出用戶帳號12之來源網路位址13之通過成功率A等於80%至100%之任一者(如80%)且通過失敗率B等於0%至20%之任一者(如20%),則機器學習分析
模組20可比較出用戶帳號12之來源網路位址13之通過失敗率B(如20%)小於通過成功率A(如80%)。因此,機器學習分析模組20可分析(計算)出用戶帳號12之來源網路位址13之綜合通過比值C為較小之通過失敗率B(如20%)除以較大之通過成功率A(如80%)等於0.25,即綜合通過比值C=20%/80%=0.25,故機器學習分析模組20能以機器學習技術或機器學習方式分析(計算)出綜合通過比值C(如0.25)落在第一比值區間C1(如0-0.33),以由機器學習分析模組20依據落在第一比值區間C1之綜合通過比值C初步判定用戶帳號12之來源網路位址13為正常用戶帳號之來源網路位址13。
[2]異常用戶帳號之來源網路位址13:在本實施例中,例如機器學習分析模組20分析(計算)出用戶帳號12之來源網路位址13之通過成功率A等於30%至40%之任一者(如30%)且通過失敗率B等於60%至70%之任一者(如70%),則機器學習分析模組20可比較出用戶帳號12之來源網路位址13之通過成功率A(如30%)小於通過失敗率B(如70%)。因此,機器學習分析模組20可分析(計算)出用戶帳號12之來源網路位址13之綜合通過比值C為較小之通過成功率A(如30%)除以較大之通過失敗率B(如70%)等於0.43,即綜合通過比值C=30%/70%=0.43,故機器學習分析模組20可分析(計算)出綜合通過比值C(如0.43)落在第三比值區間C3(如0.34-0.66),以由機器學習分析模組20依據落在第三比值區間C3之綜合通過比值C初步判定用戶帳號12之來源網路位址13為異常用戶帳號之來源網路位址13。
再者,機器學習模型訓練模組30可將機器學習分析模組20
所初步判定之正常用戶帳號之來源網路位址13(如來源IP位址)與異常用戶帳號之來源網路位址13(如來源IP位址)進行統整,以由機器學習模型訓練模組30使用機器學習套件31(如python sklearn套件)對機器學習分析模組20所初步判定之正常用戶帳號之來源網路位址13與異常用戶帳號之來源網路位址13進行線性回歸(Linear Regression)處理,且由機器學習模型訓練模組30將正常用戶帳號與異常用戶帳號兩者之來源網路位址13之通過成功率A、通過失敗率B及相關聯之損失函數(Loss Function)與擬合函數(Fitting Function)等各種資訊導入機器學習套件31中,再由機器學習模型訓練模組30之機器學習套件31利用正常用戶帳號與異常用戶帳號兩者之來源網路位址13之通過成功率A、通過失敗率B及相關聯之損失函數與擬合函數等各種資訊訓練機器學習模型32,俾供機器學習模型訓練模組30之機器學習模型32能依據正常用戶帳號與異常用戶帳號兩者之來源網路位址13之通過成功率A、通過失敗率B及相關聯之損失函數與擬合函數等各種資訊較精準或正確地輸出用戶帳號12之來源網路位址13之綜合通過比值C。
另外,來源網路位址判讀模組40可利用機器學習分析模組20或機器學習模型訓練模組30之機器學習模型32所分析或輸出之用戶帳號12之來源網路位址13之綜合通過比值C落在第一比值區間C1(如0-0.33)或第二比值區間C2(如0.67-1)時,由來源網路位址判讀模組40最終判定或再次確認用戶帳號12之來源網路位址13為正常用戶帳號之來源網路位址13,亦可利用機器學習分析模組20或機器學習模型訓練模組30之機器學習模型32所分析或輸出之用戶帳號12之來源網路位址13之綜
合通過比值C落在第三比值區間C3(如0.34-0.66)時,由來源網路位址判讀模組40最終判定或再次確認用戶帳號12之來源網路位址13為異常用戶帳號之來源網路位址13。
最後,來源網路位址封鎖模組50可針對機器學習分析模組20或來源網路位址判讀模組40所判定之異常用戶帳號之來源網路位址13進行封鎖(如拒絕登入/限制存取權限/放入黑名單),以強化系統之資安防護力,並減少不必要之客訴產生及增加客戶之信賴度。
圖2為本發明所述以機器學習分析與封鎖異常來源網路位址之方法之流程示意圖,並參閱圖1一併說明。同時,以機器學習分析與封鎖異常來源網路位址之方法主要包括下列步驟S1至步驟S2之技術內容,其餘內容相同於上述圖1之詳細說明,於此不再重覆敘述。
在步驟S1中,當同一用戶帳號12之來源網路位址13針對同一系統、電子裝置、應用程式、網頁瀏覽器或帳號登入介面在一定時間區間內所嘗試之登入次數超過次數門檻值時,由機器學習分析模組20分析用戶帳號12之來源網路位址13之通過狀態分別為或以統計出成功與失敗之次數,再由機器學習分析模組20依據成功之次數與失敗之次數分析出用戶帳號12之來源網路位址13之通過成功率A與通過失敗率B,俾由機器學習分析模組20依據用戶帳號12之來源網路位址13之通過成功率A與通過失敗率B分析出用戶帳號12之來源網路位址13之綜合通過比值C。
在步驟S2中,當機器學習分析模組20分析出用戶帳號12之來源網路位址13之綜合通過比值C落在一第一比值區間C1或大於第一比值區間C1之一第二比值區間C2時,由機器學習分析模組20初步判定
用戶帳號12之來源網路位址13為正常用戶帳號之來源網路位址13,而當機器學習分析模組20分析出用戶帳號12之來源網路位址13之綜合通過比值C落在第一比值區間C1與第二比值區間C2之間的一第三比值區間C3時,由機器學習分析模組20初步判定用戶帳號12之來源網路位址13為異常用戶帳號之來源網路位址13,俾由來源網路位址封鎖模組50針對機器學習分析模組20所初步判定之異常用戶帳號之來源網路位址13進行封鎖(如拒絕登入/限制存取權限/放入黑名單)。
因此,倘若單純以「通過成功率A」及/或「通過失敗率B」來判斷用戶帳號12之來源網路位址13為正常用戶帳號或異常用戶帳號之來源網路位址13,會導致得到較低的判斷精準度或正確性,從而大幅提高對於正常用戶帳號或異常用戶帳號之來源網路位址13之誤判機率。所以,本發明之機器學習分析模組20或來源網路位址判讀模組40採用「綜合通過比值C」來判斷用戶帳號12之來源網路位址13為正常用戶帳號或異常用戶帳號之來源網路位址13,以利得到較高的判斷精準度或正確性,俾使機器學習分析模組20或來源網路位址判讀模組40大幅降低對於正常用戶帳號或異常用戶帳號之來源網路位址13之誤判機率。
換言之,本發明並非單純只採用「通過成功率A」及/或「通過失敗率B」來判斷正常用戶帳號或異常用戶帳號之來源網路位址13,而是採用「綜合通過比值C」來判斷正常用戶帳號或異常用戶帳號之來源網路位址13,故能將更多的日誌資料(可記錄用戶帳號12之來源網路位址13及相關之登入資訊)輸入機器學習模型訓練模組30之機器學習模型32中進行學習,以利機器學習模型訓練模組30所訓練出之機器學習模型32能具
有更高的判斷精準度或正確性,俾使來源網路位址判讀模組40能大幅降低對於正常用戶帳號或異常用戶帳號之來源網路位址13之誤判機率。
本發明之機器學習分析模組20能自動地分析正常用戶帳號之來源網路位址13之行為(如正常登入/驗證行為)與異常用戶帳號之來源網路位址13之行為(如異常登入/嘗試行為),亦能針對正常用戶帳號之來源網路位址13與異常用戶帳號之來源網路位址13兩者之綜合通過比值C進行比較或判讀,也能由機器學習分析模組20有效地分辨正常用戶帳號之來源網路位址13與異常用戶帳號之來源網路位址13兩者之差異,有利於更精準地判斷正常用戶帳號(如一般用戶帳號)與異常用戶帳號(如大量攻擊/駭客用戶帳號)之行為。
本發明之機器學習分析模組20或來源網路位址判讀模組40能分析或判斷異常用戶帳號(如可疑用戶帳號)之來源網路位址13,以由來源網路位址封鎖模組50針對異常用戶帳號之來源網路位址13進行封鎖(如拒絕登入/限制存取權限/放入黑名單),藉此強化各種系統(如會員帳號系統)、電子裝置、應用程式(APP)、網頁瀏覽器或帳號登入介面等之資安防護力,亦能減少不必要之客訴產生,也能增加客戶之信賴度。
本發明之機器學習分析模組20能於每次驗證用戶帳號12時,以機器學習技術或機器學習方式分析(計算)出用戶帳號12之來源網路位址13之通過成功率A(如登入成功率)與通過失敗率B(如登入失敗率),以由機器學習分析模組20依據用戶帳號12之來源網路位址13之通過成功率A與通過失敗率B分析(計算)出正常用戶帳號或異常用戶帳號之來源網路位址13之綜合通過比值C,俾由機器學習模型訓練模組30之機器學
習模型32以機器學習技術或機器學習方式有效率地學習正常用戶帳號與異常用戶帳號之來源網路位址13兩者之綜合通過比值C之差異。
本發明之機器學習分析模組20、機器學習模型訓練模組30之機器學習模型32或來源網路位址判讀模組40能有效區分大量登入之正常用戶帳號(如個人/公司/行號/學校之用戶帳號)之來源網路位址13與異常用戶帳號(如駭客/暴力破解之用戶帳號)之來源網路位址13,亦能解決難以採用人工方式分辨用戶帳號12之來源網路位址13(如來源IP位址)之問題。
本發明至少具有下列優點:
[1]快速分辨能力:機器學習分析模組20能依據綜合通過比值C快速且有效地分辨正常用戶帳號之來源網路位址13與異常用戶帳號之來源網路位址13兩者之差異。
[2]即時性:毋須以人工方式辨別大量攻擊之異常用戶帳號之來源網路位址13(如來源IP位址),且每日全時(如24小時)皆能運作。
[3]安全性:能安全保護各種系統(如會員帳號系統)之帳戶安全。
[4]防護力:來源網路位址封鎖模組50能針對暴力破解或異常攻擊之異常用戶帳號之來源網路位址13(如來源IP位址)進行有效封鎖及防護。
此外,本發明還提供一種針對以機器學習分析與封鎖異常來源網路位址之方法之電腦可讀媒介,係應用於具有處理器與記憶體之計算裝置或電腦中,且電腦可讀媒介儲存有指令,並可利用計算裝置或電腦透
過處理器與記憶體執行電腦可讀媒介,以於執行電腦可讀媒介時執行上述內容。在另一實施例中,此電腦可讀媒介係非暫時性(non-transitory)之電腦可讀儲存媒介。
在一實施例中,處理器可為中央處理器(CPU)、圖形處理器(GPU)、微處理器(MPU)、微控制器(MCU)、人工智慧(AI)處理器等,記憶體可為隨機存取記憶體(RAM)、唯讀記憶體(ROM)、快閃(Flash)記憶體、記憶卡、硬碟(如雲端/網路/外接式硬碟)、光碟、隨身碟、資料庫等,且計算裝置或電腦可為計算機、智慧型手機、平板電腦、個人電腦、筆記型電腦、桌上型電腦、伺服器(如雲端/遠端/網路伺服器)等。在另一實施例中,上述模組均可為軟體、硬體或韌體;若為硬體,則可為具有資料處理與運算能力之處理單元、處理器、或電腦主機;若為軟體或韌體,則可包括處理單元、處理器、電腦或電腦主機可執行之指令,且可安裝於同一硬體裝置或分布於不同的複數硬體裝置。
上述實施形態僅例示性說明本發明之原理、特點及其功效,並非用以限制本發明之可實施範疇,任何熟習此項技藝之人士均能在不違背本發明之精神及範疇下,對上述實施形態進行修飾與改變。任何使用本發明所揭示內容而完成之等效改變及修飾,均仍應為申請專利範圍所涵蓋。因此,本發明之權利保護範圍應如申請專利範圍所列。
1:以機器學習分析與封鎖異常來源網路位址之系統
10:日誌資料庫
11:日誌資料表
12:用戶帳號
13:來源網路位址
20:機器學習分析模組
30:機器學習模型訓練模組
31:機器學習套件
32:機器學習模型
40:來源網路位址判讀模組
50:來源網路位址封鎖模組
A:通過成功率
B:通過失敗率
C:綜合通過比值
C1:第一比值區間
C2:第二比值區間
C3:第三比值區間
Claims (11)
- 一種以機器學習分析與封鎖異常來源網路位址之系統,包括:一機器學習分析模組,係於同一用戶帳號之來源網路位址針對同一系統、電子裝置、應用程式、網頁瀏覽器或帳號登入介面在一定時間區間內所嘗試之登入次數超過次數門檻值時,由該機器學習分析模組分析該用戶帳號之來源網路位址之通過狀態分別為或以統計出成功與失敗之次數,再由該機器學習分析模組依據該成功之次數與該失敗之次數分析出該用戶帳號之來源網路位址之通過成功率與通過失敗率,俾依據該用戶帳號之來源網路位址之通過成功率與通過失敗率分析出該用戶帳號之來源網路位址之綜合通過比值;以及一來源網路位址封鎖模組,係通訊連結該機器學習分析模組;其中,當該機器學習分析模組分析出該用戶帳號之來源網路位址之該綜合通過比值落在一第一比值區間或大於該第一比值區間之一第二比值區間時,由該機器學習分析模組判定該用戶帳號之來源網路位址為正常用戶帳號之來源網路位址,而當該機器學習分析模組分析出該用戶帳號之來源網路位址之該綜合通過比值落在該第一比值區間與該第二比值區間之間的一第三比值區間時,由該機器學習分析模組判定該用戶帳號之來源網路位址為異常用戶帳號之來源網路位址,俾由該來源網路位址封鎖模組針對該機器學習分析模組所判定之該異常用戶帳號之來源網路位址進行封鎖。
- 如請求項1所述之系統,其中,該機器學習分析模組係利用機器學習分析出該用戶帳號之來源網路位址之通過成功率等於該用戶帳 號之來源網路位址之通過狀態為該成功之次數除以一定時間區間之次數門檻值再乘以100%,且利用該機器學習分析出該用戶帳號之來源網路位址之通過失敗率等於該用戶帳號之來源網路位址之通過狀態為該失敗之次數除以該一定時間區間之次數門檻值再乘以100%。
- 如請求項1所述之系統,其中,該機器學習分析模組係比較該用戶帳號之來源網路位址之通過成功率與通過失敗率,再由該機器學習分析模組依據該通過成功率與該通過失敗率之比較結果分析出該用戶帳號之來源網路位址之綜合通過比值等於較小之通過失敗率除以較大之通過成功率、或者等於較小之通過成功率除以較大之通過失敗率、或者等於相同之通過成功率除以通過失敗率,俾使該用戶帳號之來源網路位址之綜合通過比值介於0至1之間。
- 如請求項1所述之系統,更包括一具有機器學習套件與機器學習模型之機器學習模型訓練模組,係使用該機器學習套件對該機器學習分析模組所判定之該正常用戶帳號之來源網路位址與該異常用戶帳號之來源網路位址進行線性回歸處理,且由該機器學習模型訓練模組將該正常用戶帳號與該異常用戶帳號兩者之來源網路位址之通過成功率、通過失敗率及相關聯之損失函數與擬合函數導入該機器學習套件中,俾由該機器學習套件利用該正常用戶帳號與該異常用戶帳號兩者之來源網路位址之通過成功率、通過失敗率及相關聯之損失函數與擬合函數訓練該機器學習模型。
- 如請求項1所述之系統,更包括一具有機器學習模型之機器學習模型訓練模組與一來源網路位址判讀模組,其中,當該機器學習模型訓練模組之該機器學習模型所輸出之該用戶帳號之來源網路位址之綜合 通過比值落在該第一比值區間或該第二比值區間時,由該來源網路位址判讀模組最終判定或再次確認該用戶帳號之來源網路位址為該正常用戶帳號之來源網路位址,而當該機器學習模型訓練模組之該機器學習模型所輸出之該用戶帳號之來源網路位址之綜合通過比值落在該第三比值區間時,由該來源網路位址判讀模組最終判定或再次確認該用戶帳號之來源網路位址為該異常用戶帳號之來源網路位址。
- 一種以機器學習分析與封鎖異常來源網路位址之方法,包括:當同一用戶帳號之來源網路位址針對同一系統、電子裝置、應用程式、網頁瀏覽器或帳號登入介面在一定時間區間內所嘗試之登入次數超過次數門檻值時,由一機器學習分析模組分析該用戶帳號之來源網路位址之通過狀態分別為或以統計出成功與失敗之次數,再由該機器學習分析模組依據該成功之次數與該失敗之次數分析出該用戶帳號之來源網路位址之通過成功率與通過失敗率,俾由該機器學習分析模組依據該用戶帳號之來源網路位址之通過成功率與通過失敗率分析出該用戶帳號之來源網路位址之綜合通過比值;以及當該機器學習分析模組分析出該用戶帳號之來源網路位址之該綜合通過比值落在一第一比值區間或大於該第一比值區間之一第二比值區間時,由該機器學習分析模組判定該用戶帳號之來源網路位址為正常用戶帳號之來源網路位址,而當該機器學習分析模組分析出該用戶帳號之來源網路位址之該綜合通過比值落在該第一比值區間與該第二比值區間之間的一第三比值區間時,由該機器學習分析模組判定該用戶帳號之來源網路位址為異 常用戶帳號之來源網路位址,俾由一來源網路位址封鎖模組針對該機器學習分析模組所判定之該異常用戶帳號之來源網路位址進行封鎖。
- 如請求項6所述之方法,更包括由該機器學習分析模組利用機器學習分析出該用戶帳號之來源網路位址之通過成功率等於該用戶帳號之來源網路位址之通過狀態為該成功之次數除以一定時間區間之次數門檻值再乘以100%,且利用該機器學習分析出該用戶帳號之來源網路位址之通過失敗率等於該用戶帳號之來源網路位址之通過狀態為該失敗之次數除以該一定時間區間之次數門檻值再乘以100%。
- 如請求項6所述之方法,更包括由該機器學習分析模組比較該用戶帳號之來源網路位址之通過成功率與通過失敗率,再由該機器學習分析模組依據該通過成功率與該通過失敗率之比較結果分析出該用戶帳號之來源網路位址之綜合通過比值等於較小之通過失敗率除以較大之通過成功率、或者等於較小之通過成功率除以較大之通過失敗率、或者等於相同之通過成功率除以通過失敗率,俾使該用戶帳號之來源網路位址之綜合通過比值介於0至1之間。
- 如請求項6所述之方法,更包括由一機器學習模型訓練模組使用機器學習套件對該機器學習分析模組所判定之該正常用戶帳號之來源網路位址與該異常用戶帳號之來源網路位址進行線性回歸處理,且由該機器學習模型訓練模組將該正常用戶帳號與該異常用戶帳號兩者之來源網路位址之通過成功率、通過失敗率及相關聯之損失函數與擬合函數導入該機器學習套件中,俾由該機器學習套件利用該正常用戶帳號與該異常用戶 帳號兩者之來源網路位址之通過成功率、通過失敗率及相關聯之損失函數與擬合函數訓練機器學習模型。
- 如請求項6所述之方法,更包括當一機器學習模型訓練模組之機器學習模型所輸出之該用戶帳號之來源網路位址之綜合通過比值落在該第一比值區間或該第二比值區間時,由一來源網路位址判讀模組最終判定或再次確認該用戶帳號之來源網路位址為該正常用戶帳號之來源網路位址,而當該機器學習模型訓練模組之該機器學習模型所輸出之該用戶帳號之來源網路位址之綜合通過比值落在該第三比值區間時,由該來源網路位址判讀模組最終判定或再次確認該用戶帳號之來源網路位址為該異常用戶帳號之來源網路位址。
- 一種電腦可讀媒介,應用於計算裝置或電腦中,係儲存有指令,以執行如請求項6至10之其中一者所述以機器學習分析與封鎖異常來源網路位址之方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW112151677A TWI883754B (zh) | 2023-12-29 | 2023-12-29 | 以機器學習分析與封鎖異常來源網路位址之系統、方法及電腦可讀媒介 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW112151677A TWI883754B (zh) | 2023-12-29 | 2023-12-29 | 以機器學習分析與封鎖異常來源網路位址之系統、方法及電腦可讀媒介 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI883754B true TWI883754B (zh) | 2025-05-11 |
| TW202527524A TW202527524A (zh) | 2025-07-01 |
Family
ID=96581931
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW112151677A TWI883754B (zh) | 2023-12-29 | 2023-12-29 | 以機器學習分析與封鎖異常來源網路位址之系統、方法及電腦可讀媒介 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI883754B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201036399A (en) * | 2003-03-03 | 2010-10-01 | Microsoft Corp | Feedback loop for spam prevention |
| US20210105302A1 (en) * | 2018-02-09 | 2021-04-08 | Bolster, Inc. | Systems And Methods For Determining User Intent At A Website And Responding To The User Intent |
| US20210264004A1 (en) * | 2017-05-17 | 2021-08-26 | Forescout Technologies, Inc. | Account monitoring |
| US20220263846A1 (en) * | 2019-07-26 | 2022-08-18 | Sony Group Corporation | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF |
| US20230412640A1 (en) * | 2019-11-25 | 2023-12-21 | Level 3 Communications, Llc | Web service-based monitoring and detection of fraudulent or unauthorized use of calling service |
-
2023
- 2023-12-29 TW TW112151677A patent/TWI883754B/zh active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201036399A (en) * | 2003-03-03 | 2010-10-01 | Microsoft Corp | Feedback loop for spam prevention |
| US20210264004A1 (en) * | 2017-05-17 | 2021-08-26 | Forescout Technologies, Inc. | Account monitoring |
| US20210105302A1 (en) * | 2018-02-09 | 2021-04-08 | Bolster, Inc. | Systems And Methods For Determining User Intent At A Website And Responding To The User Intent |
| US20220263846A1 (en) * | 2019-07-26 | 2022-08-18 | Sony Group Corporation | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF |
| US20230412640A1 (en) * | 2019-11-25 | 2023-12-21 | Level 3 Communications, Llc | Web service-based monitoring and detection of fraudulent or unauthorized use of calling service |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202527524A (zh) | 2025-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101375546B (zh) | 用于欺骗监控、检测和分层用户鉴权的系统和方法 | |
| CN104811449B (zh) | 检测撞库攻击方法及系统 | |
| TW202004606A (zh) | 核身方法和裝置 | |
| US10320841B1 (en) | Fraud score heuristic for identifying fradulent requests or sets of requests | |
| US7827592B2 (en) | Implicit authentication to computer resources and error recovery | |
| CN103593609B (zh) | 一种可信行为识别的方法和装置 | |
| CN110611635B (zh) | 一种基于多维度失陷账号的检测方法 | |
| CN107276982A (zh) | 一种异常登录检测方法及装置 | |
| CN107172004A (zh) | 一种网络安全设备的风险评估方法和装置 | |
| WO2016003531A1 (en) | Classifying a program interacting with a system using questioning and fingerprinting | |
| Valluripally et al. | Detection of security and privacy attacks disrupting user immersive experience in virtual reality learning environments | |
| KR102143510B1 (ko) | 정보 보안 위험 관리 시스템 | |
| US20230412636A1 (en) | Risk measurement method for user account and related apparatus | |
| KR101947757B1 (ko) | 취약점 분석을 수행하는 보안 관리 시스템 | |
| RU2659482C1 (ru) | Способ защиты веб-приложений при помощи интеллектуального сетевого экрана с использованием автоматического построения моделей приложений | |
| CN117240598A (zh) | 攻击检测方法、装置、终端设备及存储介质 | |
| CN114298714A (zh) | 账户身份认证方法、装置、电子设备及存储介质 | |
| US20240098113A1 (en) | Mitigating risk from multi-factor authentication fatigue attacks | |
| CN113949578A (zh) | 基于流量的越权漏洞自动检测方法、装置及计算机设备 | |
| TWI883754B (zh) | 以機器學習分析與封鎖異常來源網路位址之系統、方法及電腦可讀媒介 | |
| CN113938312B (zh) | 一种暴力破解流量的检测方法及装置 | |
| CN112131551A (zh) | 验证码验证方法、装置、计算机设备及可读存储介质 | |
| CN111767575A (zh) | 数据防爬方法、装置、设备及计算机可读存储介质 | |
| US20210006565A1 (en) | Access analysis system and access analysis method | |
| CN118378304B (zh) | 基于深度学习的数据安全管理方法、系统、设备及产品 |