TWM564751U - Hacker attack detection system - Google Patents
Hacker attack detection system Download PDFInfo
- Publication number
- TWM564751U TWM564751U TW107204381U TW107204381U TWM564751U TW M564751 U TWM564751 U TW M564751U TW 107204381 U TW107204381 U TW 107204381U TW 107204381 U TW107204381 U TW 107204381U TW M564751 U TWM564751 U TW M564751U
- Authority
- TW
- Taiwan
- Prior art keywords
- module
- sub
- log data
- computer
- application
- Prior art date
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
一種駭客攻擊偵測系統,包含:資訊中心端電腦;主管端電腦;數個應用程式系統,包含應用程式;數個使用者端電腦,使用者端電腦與應用程式系統訊號連接;處理伺服器,與資訊中心端電腦、主管端電腦以及應用程式系統訊號連接,處理伺服器預載資安事件管理模組,資安事件管理模組包含收集器子模組、資料保全子模組以及監控報表子模組;其中收集器子模組用以從應用程式系統收集日誌資料並將其儲存於資料保全子模組;資料保全子模組用以對日誌資料正規化並且加密;監控報表子模組用以找出符合稽核條件的日誌資料並且產出報表,且發出警告訊息。
Description
本創作係關於一種駭客攻擊偵測系統,尤指一種能多方收集日誌資料並對其稽核,進而產出報表且發出警告訊息之駭客攻擊偵測系統。
在網際技術發達的今日,各公司行號的日常作業已與網際網路密不可分。因此,經由網路對企業內部系統進行資料竊取、修改、破壞等的駭客攻擊行為,儼然變成公司行號必須謹慎面對的課題。
各公司行號皆有自己內部的資安事件管理系統,其能避免駭客透過網路去惡意攻擊企業內部的各種資訊系統。習知的做法係透過收集資訊系統的日誌資料(稽核軌跡紀錄),作為判斷是否遭受駭客攻擊的依據。然而,這樣的做法可能會有判斷上的盲點,因為僅以單一類型的日誌資料作為判斷依據,會造成異常行為的誤判,或漏未掌握到偶發性攻擊事件。
為解決上述問題,本創作乃提供一種駭客攻擊偵測系
統,包含:一資訊中心端電腦;一主管端電腦;數個應用程式系統,每一該應用程式系統包含一應用程式;數個使用者端電腦,每一該使用者端電腦與每一該應用程式系統訊號連接;以及一處理伺服器,其係與該資訊中心端電腦、該主管端電腦以及每一該應用程式系統訊號連接,該處理伺服器預載一資安事件管理模組,該資安事件管理模組包含一收集器子模組、一資料保全子模組以及一監控報表子模組;其中該等應用程式系統在一使用者透過該使用者端電腦登入並操作該應用程式時用以產生數個日誌資料;該收集器子模組用以從該等應用程式系統收集該等日誌資料並將該等日誌資料儲存於該資料保全子模組;該資料保全子模組用以將經儲存的該等日誌資料進行正規化並且加密;該監控報表子模組用以根據數個稽核條件對經正規化並且加密的該等日誌資料進行稽核,以及找出符合該稽核條件的經正規化且加密的該等日誌資料並且在該資訊中心端電腦產出一報表,並發出一警告訊息給該資訊中心端電腦以及該主管端電腦。
如前所述的駭客攻擊偵測系統中,其中該稽核條件包含未成功登入該應用程式超過預定次數的經正規化並且加密的數個日誌資料。
如前所述的駭客攻擊偵測系統中,其中該監控報表子模組係用以每日在該資訊中心端電腦產出該報表。
本創作另提供一種駭客攻擊偵測系統,其係包含:一資訊中心端電腦;一主管端電腦;數個應用程式系統,每一該應用程式系統包含一應用程式;數個使用者端電腦,每一該使用者端電腦與每一該應用程式系統訊號連接;以及一處理伺服器,其係與該
資訊中心端電腦、該主管端電腦以及每一該應用程式系統訊號連接,該處理伺服器預載一資安事件管理模組,該資安事件管理模組包含一收集器子模組、一資料保全子模組以及一監控報表子模組;其中該等應用程式系統在一使用者透過該使用者端電腦登入並操作該應用程式時用以產生數個日誌資料;該收集器子模組用以從該等應用程式系統收集該等日誌資料並將該等日誌資料儲存於該資料保全子模組;該資料保全子模組用以將經儲存的該等日誌資料進行正規化並且加密;該監控報表子模組用以根據數個稽核條件對經正規化並且加密的該等日誌資料進行稽核,以及找出符合該稽核條件的經正規化且加密的該等日誌資料,並同時立即發出一警告訊息給該資訊中心端電腦以及該主管端電腦。
如前所述的駭客攻擊偵測系統中,其中該稽核條件包含數個經預設為應發出該警告訊息的IP位址。
10‧‧‧駭客攻擊偵測系統
11‧‧‧資訊中心端電腦
12‧‧‧主管端電腦
13‧‧‧應用程式系統
131‧‧‧應用程式
14‧‧‧使用者端電腦
15‧‧‧處理伺服器
151‧‧‧CPU
152‧‧‧記憶體單元
M‧‧‧資安事件管理模組
M1‧‧‧收集器子模組
M2‧‧‧資料保全子模組
M3‧‧‧監控報表子模組
圖1為本創作之駭客攻擊偵測系統的示意圖。
以下,就實施本創作之實施形態來加以說明。請參照隨附的圖式,並參考其對應的說明。
請參閱圖1,本創作提供一種駭客攻擊偵測系統10,包含:一資訊中心端電腦11、一主管端電腦12、數個應用程式系統13、數個使用者端電腦14以及一處理伺服器15。每一應用程式系統13包含一應用程式131(應了解的是,本創作的數個應用程式系
統13亦可理解為數個伺服器,每個伺服器含有一種應用程式131,例如企業資源規劃平台、核保平台、帳務平台等等,但所含有的應用程式種類非為本創作之重要技術內容,在此不加以贅述);每一使用者端電腦14與每一應用程式系統13訊號連接;處理伺服器15係與資訊中心端電腦11、主管端電腦12以及每一應用程式系統13訊號連接,處理伺服器15包含一CPU(即中央處理單元,本文中一概簡稱為CPU)151及一記憶體單元152,記憶體單元152預載一資安事件管理模組M,資安事件管理模組M包含一收集器子模組M1、一資料保全子模組M2以及一監控報表子模組M3。
當使用者在使用者端電腦14登入並操作應用程式系統13的應用程式131時,會在應用程式系統13產生出數個日誌資料。資安事件管理模組M的收集器子模組M1會從這些應用程式系統13收集日誌資料並將這些日誌資料儲存於資料保全子模組M2。資料保全子模組M2接著將經儲存的日誌資料進行正規化並且加密,應了解的是,收集器子模組M1所收集到的日誌資料並非皆為結構化資料,因此資料保全子模組M2必須要將這些經儲存的日誌資料進行正規化,即係使用欄位分切的方式,將日誌資料的欄位做分切,分門別類重新歸檔,變成正規化(即結構化)的日誌資料,最後,為了避免這些日誌資料被有心人士變更,在正規化之後,還會對這些經正規化的日誌資料進行加密(有關對日誌資料進行正規化以及加密的過程以及方法非為本創作之重要技術特徵,在此並不加以贅述)。
接著,監控報表子模組M3根據數個稽核條件(在此一實施例中,其中一個稽核條件包含未成功登入應用程式131超過預
定次數的經正規化並且加密的數個日誌資料)對經正規化並且加密的這些日誌資料進行稽核(交叉比對),以及找出符合稽核條件的經正規化並且加密的這些日誌資料(即找出未成功登入應用程式131超過預定次數的經正規化並且加密的數個日誌資料),並且在資訊中心端電腦11產出一報表(在此實施例中,每日都會產出報表,監控報表子模組M3會對未成功登入應用程式131超過預定次數的經正規化並且加密的數個日誌資料作分析,在報表上顯示產生前述日誌資料之使用者端電腦14的IP位址、操作該使用者端電腦14之員工等等資訊),且發出一警告訊息(例如藉由電子郵件發出警告訊息)給資訊中心端電腦11(即通知資安控管人員)以及主管端電腦12(即通知主管)。
而在另一實施例中,監控報表子模組M3根據數個稽核條件(在此一實施例中,其中一個稽核條件包含數個經預設為應發出警告訊息的IP位址)對經正規化並且加密的這些日誌資料進行稽核,以及找出符合稽核條件的經正規化並且加密的這些日誌資料(即找出經預設為應發出警告訊息的IP位址之日誌資料),且同時立即發出一警告訊息(例如藉由電子郵件)給資訊中心端電腦11(即通知資安控管人員)以及主管端電腦12(即通知主管)。再進一步說明,這些經預設為應發出警告訊息的IP位址係包含疑似遭例如為釣魚攻擊、垃圾郵件、植入惡意程式等等社交工程入侵的IP位址。因此,當駭客透過這樣的IP位址入侵時,監控報表子模組M3會藉由稽核經正規化並且加密的這些日誌資料即時找出這些IP位址,且如前述般地立即發出警告訊息給資訊中心端電腦11以及主管端電腦12。應注意的是,在此實施例中,監控報表子模組M3在找出經預設為
應發出警告訊息的IP位址之日誌資料後,係即時發出警告訊息去通知資安控管人員以及主管,方能讓資安控管人員以及主管立即處理並採取後續排除此IP繼續登入、操作應用程式131的措施(至於後續的排除非為本創作之重要技術特徵,在此不加以贅述)。
藉由前述的數個實施例,本創作的駭客攻擊偵測系統10能提供全面端點到端點的安全管理,縮短駭客的潛伏時間,提高對資訊科技安全的可控度,以減少資訊安全事件的管理盲點。藉由監控登入應用程式131失敗的紀錄,以及攔截公司外部的社交工程入侵,不僅能掌握資安事件的可疑行為,更可結合網路安全行動,根據安全策略自動分析使用者行為以便識別出違規行為,以致能基於違規行為採取後續的適當措施。
本創作業以經由上述實施例加以描述。以上係為了說明目的使熟此技術人士更容易理解本創作,然而本創作不限於上述實施例所記載內容,熟悉本創作技術人士可理解到在未超脫本創作之思想下可針對上述實施例及變形例進行各種組合以及變化。
Claims (5)
- 一種駭客攻擊偵測系統,包含:一資訊中心端電腦;一主管端電腦;數個應用程式系統,每一該應用程式系統包含一應用程式;數個使用者端電腦,每一該使用者端電腦與每一該應用程式系統訊號連接;以及一處理伺服器,其係與該資訊中心端電腦、該主管端電腦以及每一該應用程式系統訊號連接,該處理伺服器預載一資安事件管理模組,該資安事件管理模組包含一收集器子模組、一資料保全子模組以及一監控報表子模組;其中該等應用程式系統在一使用者透過該使用者端電腦登入並操作該應用程式時用以產生數個日誌資料;該收集器子模組用以從該等應用程式系統收集該等日誌資料並將該等日誌資料儲存於該資料保全子模組;該資料保全子模組用以將經儲存的該等日誌資料進行正規化並且加密;該監控報表子模組用以根據數個稽核條件對經正規化並且加密的該等日誌資料進行稽核,以及找出符合該稽核條件的經正規化且加密的該等日誌資料並且在該資訊中心端電腦產出一報表,並發出一警告訊息給該資訊中心端電腦以及該主管端電 腦。
- 如申請專利範圍第1項所述之駭客攻擊偵測系統,其中該稽核條件包含未成功登入該應用程式超過預定次數的經正規化並且加密的數個日誌資料。
- 如申請專利範圍第1項所述之駭客攻擊偵測系統,其中該監控報表子模組係用以每日在該資訊中心端電腦產出該報表。
- 一種駭客攻擊偵測系統,包含:一資訊中心端電腦;一主管端電腦;數個應用程式系統,每一該應用程式系統包含一應用程式;數個使用者端電腦,每一該使用者端電腦與每一該應用程式系統訊號連接;以及一處理伺服器,其係與該資訊中心端電腦、該主管端電腦以及每一該應用程式系統訊號連接,該處理伺服器預載一資安事件管理模組,該資安事件管理模組包含一收集器子模組、一資料保全子模組以及一監控報表子模組;其中該等應用程式系統在一使用者透過該使用者端電腦登入並操作該應用程式時用以產生數個日誌資料;該收集器子模組用以從該等應用程式系統收集該等日誌資料並將該 等日誌資料儲存於該資料保全子模組;該資料保全子模組用以將經儲存的該等日誌資料進行正規化並且加密;該監控報表子模組用以根據數個稽核條件對經正規化並且加密的該等日誌資料進行稽核,以及找出符合該稽核條件的經正規化且加密的該等日誌資料,並同時立即發出一警告訊息給該資訊中心端電腦以及該主管端電腦。
- 如申請專利範圍第4項所述之駭客攻擊偵測系統,其中該稽核條件包含數個經預設為應發出該警告訊息的IP位址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107204381U TWM564751U (zh) | 2018-04-03 | 2018-04-03 | Hacker attack detection system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107204381U TWM564751U (zh) | 2018-04-03 | 2018-04-03 | Hacker attack detection system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TWM564751U true TWM564751U (zh) | 2018-08-01 |
Family
ID=63961018
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW107204381U TWM564751U (zh) | 2018-04-03 | 2018-04-03 | Hacker attack detection system |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWM564751U (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI703468B (zh) * | 2018-08-22 | 2020-09-01 | 奧義智慧科技股份有限公司 | 用於產生可疑事件時序圖的可疑事件研判裝置與相關的電腦程式產品 |
-
2018
- 2018-04-03 TW TW107204381U patent/TWM564751U/zh unknown
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI703468B (zh) * | 2018-08-22 | 2020-09-01 | 奧義智慧科技股份有限公司 | 用於產生可疑事件時序圖的可疑事件研判裝置與相關的電腦程式產品 |
| TWI709057B (zh) * | 2018-08-22 | 2020-11-01 | 奧義智慧科技股份有限公司 | 診斷網路系統是否已受到駭客入侵的方法以及相關的可疑事件時序圖產生方法 |
| TWI726749B (zh) * | 2018-08-22 | 2021-05-01 | 新加坡商賽博創新新加坡股份有限公司 | 診斷網路系統是否已受到駭客入侵的方法及相關的連動式資料圖框產生方法 |
| TWI726834B (zh) * | 2018-08-22 | 2021-05-01 | 新加坡商賽博創新新加坡股份有限公司 | 用於產生可供診斷標的網路系統是否受到駭客入侵攻擊的可疑事件時序圖的網路安全漏洞診斷系統 |
| TWI726393B (zh) * | 2018-08-22 | 2021-05-01 | 新加坡商賽博創新新加坡股份有限公司 | 用於產生多個連動式資料圖框的多圖框網路安全分析裝置與相關的電腦程式產品 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10320814B2 (en) | Detection of advanced persistent threat attack on a private computer network | |
| Montesino et al. | Information security automation: how far can we go? | |
| US20080307525A1 (en) | System and method for evaluating security events in the context of an organizational structure | |
| US20160164893A1 (en) | Event management systems | |
| US20140172495A1 (en) | System and method for automated brand protection | |
| US20200106790A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic | |
| US11310278B2 (en) | Breached website detection and notification | |
| US20200106791A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics | |
| JP2022037896A (ja) | 脅威対応自動化方法 | |
| US20240070267A1 (en) | Detecting malicious behavior in a network using security analytics by analyzing process interaction ratios | |
| CN112000719A (zh) | 数据安全态势感知系统、方法、设备及存储介质 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| US9385993B1 (en) | Media for detecting common suspicious activity occurring on a computer network using firewall data and reports from a network filter device | |
| Söderström et al. | Secure audit log management | |
| US11095644B2 (en) | Monitoring security configurations of cloud-based services | |
| Miloslavskaya et al. | Taxonomy for unsecure big data processing in security operations centers | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| KR100607110B1 (ko) | 종합 보안 상황 관리 시스템 | |
| TWM564751U (zh) | Hacker attack detection system | |
| JP2006295232A (ja) | セキュリティ監視装置、セキュリティ監視方法、及びプログラム | |
| Raut | Log based intrusion detection system | |
| Frincke et al. | From Intrusion Detection to Self Protection | |
| Miloslavskaya et al. | Taxonomy for unsecure digital information processing | |
| Bedwell | Finding a new approach to SIEM to suit the SME environment | |
| JP2020161017A (ja) | セキュリティインシデント可視化システム |