TWI381284B - 反駭客之偵測防護系統及方法 - Google Patents
反駭客之偵測防護系統及方法 Download PDFInfo
- Publication number
- TWI381284B TWI381284B TW98113594A TW98113594A TWI381284B TW I381284 B TWI381284 B TW I381284B TW 98113594 A TW98113594 A TW 98113594A TW 98113594 A TW98113594 A TW 98113594A TW I381284 B TWI381284 B TW I381284B
- Authority
- TW
- Taiwan
- Prior art keywords
- malicious
- information
- station
- hacker
- service platform
- Prior art date
Links
Landscapes
- Computer And Data Communications (AREA)
Description
本發明係有關於一種反駭客之偵測防護系統及方法,更詳言之,係一種結合誘捕偵測、惡意行為分析與資訊安全防護的反駭客之偵測防護系統及方法。
隨著網路寬頻時代來臨以及電子商務交易盛行,人與人之間的種種行為模式逐漸受到網路影響,因為網路的快速和便捷,使得網路成為人類生活的一部分,故網路安全因此逐漸受到人們重視。
通常網路安全防護的目的係為防止病毒或駭客入侵用戶電腦,因此使用者會架設如入侵防護設備或防毒軟體等防護設備以阻擋來自外部的攻擊。然而,入侵防護設備或防毒軟體並無誘捕偵測病毒或駭客的機制,只能針對已知的病毒或攻擊特徵進行防護,因此無法防護未知的攻擊以及惡意站台的入侵。換句話說,若病毒或駭客資料的更新速度過慢,會大大增加使用者受駭的可能性。另外,由於提供入侵防護設備或防毒軟體之廠商多係來自歐美國家或地區,因廠商成本考量,難以兼顧特定區域所產生之最新的功擊或惡意站台,導致安全防護的效果不佳。
為了服務特定區域的使用者,由具有區域性質的網際網路服務提供者(ISP)來提供網路安全服務是一個較佳的解決方案。然而,目前的ISP若只是於其機房端架設一些外購的入侵防護設備或防毒設備,如此上述病毒或駭客資料更新的問題仍然無法解決。綜上所述,如何能提出一種反駭客之防護系統與方法,使ISP能即時執行誘捕偵測、惡意行為分析與資訊安全防護的動作,以強化其客戶使用網路時的安全性,實為目前亟需解決之問題。
為解決上述習知技術之缺失,本發明提供一種反駭客之偵測防護系統及方法,用以進行大規模自動化惡意行為的偵測、分析、監控及阻擋防護,同時,若系統發現有站台遭駭,將主動通知該受駭之站台進行後續處理。
本發明之反駭客之偵測防護方法,係應用於一網路系統,該網路系統具有至少一誘捕設備、分析設備及服務平台,該反駭客之偵測防護方法至少包括以下步驟:(1)將該誘捕設備放置於預設之網段(Network),以於該誘捕設備遭受攻擊時形成受駭資訊;(2)將該受駭資訊輸入該分析設備,使該分析設備執行或分析該受駭資訊俾據之形成惡意資訊記錄,再將該惡意資訊記錄輸入該服務平台;以及(3)令該服務平台依據該惡意資訊記錄啟動相應之反駭客防護動作。
於一較佳態樣中,該分析設備具有中控機台與至少一個虛擬機台,且步驟(2)復包括:(2-1)令該中控機台將該受駭資訊配發給該虛擬機台;(2-2)令該虛擬機台執行該受駭資訊並進行分析,以將分析結果傳回該中控機台,再由該中控機台產生惡意資訊記錄;以及(2-3)將該惡意資訊記錄傳送至該服務平台,並將該虛擬機台之狀態回復至初始狀態。
本發明之反駭客之偵測防護系統,係應用於一網路系統中,該反駭客之偵測防護系統至少包括:誘捕設備,係設置在可能遭受駭客攻擊之網段(Network),用以於該誘捕設備遭受攻擊時形成受駭資訊;分析設備,係輸入該受駭資訊以執行或分析該受駭資訊俾據之形成惡意資訊記錄;以及服務平台,係依據該惡意資訊記錄啟動相應之反駭客防護動作。
於一較佳態樣中,上述之分析設備復包括:中控機台;以及至少一虛擬機台,係用以執行該受駭資訊並進行分析,以將分析結果傳回該中控機台,再由該中控機台依據該分析結果形成惡意資訊記錄,其中,該中控機台將該惡意資訊記錄傳送至該服務平台,並將該虛擬機台之狀態回復至初始狀態,以由該服務平台執行後續之告警或即時防護服務。
因此,本發明之反駭客之偵測防護系統及方法,係結合誘捕偵測、惡意行為分析與資訊安全防護的方式,能即時且有效地主動偵測出惡意站台,例如惡意功擊者、病毒感染者、殭屍電腦、殭屍電腦控制站及惡意下載點,以避免用戶端電腦設備誤連至這些惡意站台而遭植入木馬或後門程式。同時,若系統發現站台遭駭,也將主動傳送告警訊息至受駭站台進行處理,大大強化了用戶端使用網路時的安全性。
以下係以特定的具體實施例說明本發明之實施方式,讓熟悉此技藝之人士可由本說明書所揭示之內容輕易地瞭解本發明之其他優點與功效。本發明亦以其他相異的具體實例加以施行或應用,因此,本說明書中的各項細節亦基於相異觀點與應用,在不悖離本發明之精神下得進行各種修飾與變更。
請參閱第1圖,係用以說明本發明之反駭客之偵測防護系統的基本系統架構方塊示意圖。如圖所示,本發明之反駭客之偵測防護系統4係應用於一網路系統,該網路系統具有至少一誘捕設備41、分析設備42及服務平台43。
誘捕設備41、分析設備42及服務平台43可透過軟體的形態實現,並可整合設於同一電腦或是分設於不同電腦。首先,將誘捕設備41設置在可能遭受駭客1攻擊之網段(Network),用以於該誘捕設備41遭受攻擊時形成受駭資訊,以將該受駭資訊輸入分析設備42。接著,由該分析設備42執行或分析該受駭資訊俾據之形成惡意資訊記錄,再透過服務平台43依據該惡意資訊記錄啟動相應之反駭客防護動作,例如利用資訊安全防護設備對用戶端進行即時防護。
請參閱第2圖,係本發明之反駭客之偵測防護系統之一實施例的系統架構方塊示意圖,如圖所示,該分析設備42復包括中控機台421;以及至少一虛擬機台422,該虛擬機台422係用以擴充受駭資訊之執行與分析的能力,因此執行該受駭資訊並進行分析,以將分析結果傳回該中控機台,再由該中控機台依據該分析結果形成惡意資訊記錄。此外,該虛擬機台422藉由執行該受駭資訊以找出被新增、刪除、修改或複製之檔案、檔案記錄、帳號、登錄檔,或對外連線、執行資料下載之惡意程式及組態,最後產生一惡意資訊記錄,該惡意資訊記錄係為惡意攻擊者、病毒感染者、殭屍電腦、殭屍電腦控制站及惡意下載點的資訊。
接著,分析設備42將該惡意賞訊記錄傳送至該服務平台43,並將該受駭虛擬機台422回復至初始狀態,以由該服務平台43比對該惡意資訊記錄以決定是否需要執行告警或即時防護。
於一較佳實施例中,該服務平台43復包括惡意站台存活檢測模組43a、危害等級區分模組43b、惡意站台資料庫43c及受駭用戶資料庫43e。
該惡意站台存活檢測模組43a係用以判斷該惡意站台是否存活。危害等級區分模組43b係用以透過該惡意站台的發現時間與出現頻率判斷該惡意站台之危害等級,以由該服務平台形成惡意站台清單。
其次,該服務平台復包括惡意站台資料庫43c,用以儲存該惡意站台清單,以由該服務平台透過一資訊安全防護設備44依據該惡意站台清單即時阻擋用戶所執行之惡意站台的連線,其中,該資訊安全防護設備44,係可為防護伺服器、路由器或閘道器等,用以確實落實駭客入侵之防護。
此外,該服務平台43可將該惡意資訊記錄與惡意站台資料庫43c中的惡意站台清單進行比對,以形成惡意活動分佈資訊、惡意活動情況和趨勢變化分析。而該服務平台43將該惡意資訊記錄與用戶資料進行比對,以將比對結果產生該受駭用戶資料庫43e,俾依據該受駭用戶資料庫之資料即時通知受駭之用戶端進行後續處理,並隨時提供惡意活動趨勢變化分析予用戶。
請參閱第3圖,係本發明反駭客之偵測防護方法的基本作業流程示意圖,該反駭客之偵測防護方法係應用於一網路系統,該網路系統具有至少一誘捕設備、分析設備及服務平台。如圖所示,首先執行步驟S31中,將該誘捕設備放置於預設之網段(Network),以於該誘捕設備遭受攻擊時形成受駭資訊,接著進至步驟S32。
於該步驟S32中,將該受駭資訊輸入該分析設備,使該分析設備執行或分析該受駭資訊俾據之形成惡意資訊記錄,再將該惡意資訊記錄輸入該服務平台,接著進至步驟S33。
於該步驟S33中,令該服務平台依據該惡意賞訊記錄啟動相應之反駭客防護動作。
上述之誘捕設備係用以測試用戶端網段的資訊安全狀況,且該誘捕設備係依據網段的活躍程度分散地且廣闊地放置該誘捕設備,以提升誘捕率。
請參閱第4圖,係本發明之反駭客之偵測防護方法之第一實施例的作業流程示意圖,如圖所示,首先執行步驟S41中,令該中控機台將該受駭資訊配發給虛擬機台,接著進至步驟S42。
於步驟S42中,令該虛擬機台執行該受駭資訊並進行分析,以將分析結果傳回該中控機台,再由該中控機台產生惡意資訊記錄,接著進至步驟S43。
於步驟S43中,將該惡意資訊記錄傳送至該服務平台,並將該虛擬機台之狀態回復至初始狀態。
上述之虛擬機台係用以擴充受駭資訊執行與分析能力;該虛擬機台藉由執行該受駭資訊以找出被新增、刪除、修改或複製之檔案、檔案記錄、帳號、登錄檔,或對外連線、執行資料下載之惡意程式及組態,俾產生惡意資訊記錄;而該惡意資訊記錄係為惡意攻擊者、病毒感染者、殭屍電腦、殭屍電腦控制站或惡意下載點的資訊。
請參閱第5圖,係本發明之反駭客之偵測防護方法之第二實施例的作業流程示意圖,如圖所示,於該步驟S51中,該服務平台依據該惡意資訊記錄啟動相應之反駭客防護動作,接著進至步驟S52。
於該步驟S52中,該服務平台判斷該惡意站台是否存活與該惡意站台之危害等級,以形成惡意站台清單,接著進至步驟S53。
於該步驟S53中,該惡意站台之危害等級係透過該惡意站台的發現時間與出現頻率進行判斷,接著進至步驟S54。
於該步驟S54中,該服務平台復包括用以儲存惡意站台清單之惡意站台資料庫,且該服務平台透過一資訊安全防護設備依據該惡意站台清單即時阻擋用戶所執行之惡意站台的連線之步驟,接著進至步驟S55。
於該步驟S55中,該服務平台將該惡意資訊記錄與惡意站台資料庫中的惡意站台清單進行比對,以形成惡意活動分佈資訊、惡意活動情況和趨勢變化分析。
由上述實施例可知,該反駭客之偵測防護方法係利用主動出擊引誘之方式,取得惡意站台進行攻擊之各種惡意資料,用以進行後續資料分析,以利於將分析結果提供給予資訊安全防護設備及用戶端進行資訊安全之防護。而該服務平台可將該惡意資訊記錄與用戶資料進行比對,以將比對結果產生該受駭用戶資料庫,俾依據該受駭用戶資料庫之資料即時通知受駭之用戶端進行後續處理,並隨時提供惡意活動趨勢變化分析予用戶。該趨勢變化分析係用以針對國家或區域之攻擊型態、攻擊弱點及常受駭之通信埠進行分析。
綜上所述,本發明之反駭客之偵測防護方法及系統可大規模自動化地進行惡意行為的偵測、分析及阻擋防護,若系統發現惡意站台或駭客攻擊行為的存在,將主動告知用戶端或受駭站台進行處理,用以避免用戶端電腦設備因連結至這些惡意站台而受駭或遭惡意站台植入木馬或後門程式,進而受到控制成為殭屍電腦。本發明亦可規劃為獨立之資訊安全服務產品或提升現有資安服務的附加價值。
上述實施例僅例示性說明本發明之原理、特點及其功效,並非用以限制本發明之可實施範疇,任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下,對上述實施例進行修飾與改變。任何運用本發明所揭示內容而完成之功效改變及修飾,均仍應為下述之申請專利範圍所涵蓋。因此,本發明之權利保護範圍,應如後述之申請專利範圍所列。
1...駭客
2...網際網路
3...受駭站台
4...反駭客之偵測防護系統
41...誘捕設備
42...分析設備
421...中控機台
422...虛擬機台
43...服務平台
43a...惡意站台存活檢測模組
43b...危害等級區分模組
43c...惡意站台資料庫
43e...受駭用戶資料庫
44...資訊安全防護設備
S31至S33...步驟
S41至S43...步驟
S51至S55...步驟
第1圖係本發明之反駭客之偵測防護系統的基本系統架構方塊示意圖。
第2圖係本發明之反駭客之偵測防護系統之一實施例的系統架構方塊示意圖。
第3圖係本發明之反駭客之偵測防護方法的基本作業流程示意圖。
第4圖係本發明之反駭客之偵測防護方法之第一實施例的作業流程示意圖。
第5圖係本發明之反駭客之偵測防護方法之第二實施例的作業流程示意圖。
1...駭客
2...網際網路
3...受駭站台
4...反駭客之偵測防護系統
41...誘捕系統
42...分析設備
43...服務平台
Claims (21)
- 一種反駭客之偵測防護方法,係應用於一網路系統,該網路系統具有至少一誘捕設備、包括有中控機台與至少一個虛擬機台之分析設備及服務平台,該反駭客之偵測防護方法至少包括以下步驟:(1)將該誘捕設備放置於預設之網段(Network),以於該誘捕設備遭受攻擊時形成受駭資訊;(2)將該受駭資訊輸入該分析設備,使該分析設備執行或分析該受駭資訊俾據之形成惡意資訊記錄,再將該惡意資訊記錄輸入該服務平台;以及(3)令該服務平台依據該惡意資訊記錄啟動相應之反駭客防護動作,其中,該虛擬機台藉由執行該受駭資訊以找出被新增、刪除、修改或複製之檔案、檔案記錄、帳號、登錄檔,或對外連線、執行資料下載之惡意程式及組態,俾產生該惡意資訊記錄。
- 如申請專利範圍第1項之反駭客之偵測防護方法,其中,步驟(1)係依據網段的活躍程度分散地且廣闊地放置該誘補設備,以提升誘捕率。
- 如申請專利範圍第1項之反駭客之偵測防護方法,其中,步驟(2)復包括:(2-1)令該中控機台將該受駭資訊配發給該虛擬機台;(2-2)令該虛擬機台執行該受駭資訊並進行分析, 以將分析結果傳回該中控機台,再由該中控機台產生惡意資訊記錄;以及(2-3)將該惡意資訊記錄傳送至該服務平台,並將該虛擬機台之狀態回復至初始狀態。
- 如申請專利範圍第3項之反駭客之偵測防護方法,其中,該虛擬機台係用以擴充受駭資訊執行與分析的能力。
- 如申請專利範圍第1項之反駭客之偵測防護方法,其中,該惡意資訊記錄係為惡意攻擊者、病毒感染者、殭屍電腦、殭屍電腦控制站或惡意下載點的資訊。
- 如申請專利範圍第1項之反駭客之偵測防護方法,其中,步驟(3)復包括判斷惡意站台是否存活與該惡意站台之危害等級,以形成惡意站台清單之步驟。
- 如申請專利範圍第6項之反駭客之偵測防護方法,其中,該惡意站台之危害等級係透過該惡意站台的發現時間與出現頻率進行判斷。
- 如申請專利範圍第1項之反駭客之偵測防護方法,其中,服務平台復包括用以儲存惡意站台清單之惡意站台資料庫,且步驟(3)復包括令該服務平台透過一資訊安全防護設備依據該惡意站台清單即時阻擋用戶所執行之惡意站台的連線之步驟。
- 如申請專利範圍第1項之反駭客之偵測防護方法,其中,服務平台復包括用以儲存惡意站台清單之惡意站台資料庫,且步驟(3)復包括令該服務平台將該惡意資 訊記錄與惡意站台資料庫中的惡意站台清單進行比對,以形成惡意活動分佈資訊、惡意活動情況和趨勢變化分析之步驟。
- 如申請專利範圍第9項之反駭客之偵測防護方法,其中,該趨勢變化分析係用以針對國家或區域之攻擊型態、攻擊弱點及常受駭之通信埠進行樣本分析。
- 如申請專利範圍第8項之反駭客之偵測防護方法,其中,服務平台復包括受駭用戶資料庫,且步驟(3)復包括令該服務平台將該惡意資訊記錄與用戶資料進行比對,以將比對結果產生該受駭用戶資料庫,俾依據該受駭用戶資料庫之資料即時通知受駭之用戶端進行後續處理。
- 如申請專利範圍第1項之反駭客之偵測防護方法,其中,該誘捕設備、分析設備及服務平台係設於同一電腦或分設於不同電腦。
- 一種反駭客之偵測防護系統,係應用於一網路系統中,該反駭客之偵測防護系統至少包括:誘捕設備,係放置在預設之網段,用以於該誘捕設備遭受攻擊時形成受駭資訊;分析設備,包括有中控機台與至少一虛擬機台,該分析設備係輸入該受駭資訊以執行或分析該受駭資訊俾據之形成惡意資訊記錄;以及服務平台,係依據該惡意資訊記錄啟動相應之反駭客防護動作, 其中,該虛擬機台藉由執行該受駭資訊以找出被新增、刪除、修改或複製之檔案、檔案記錄、帳號、登錄檔,或對外連線、執行資料下載之惡意程式及組態。
- 如申請專利範圍第13項之反駭客之偵測防護系統,其中,該至少一虛擬機台係用以執行該受駭資訊並進行分析,以將分析結果傳回該中控機台,再由該中控機台依據該分析結果形成惡意資訊記錄。
- 如申請專利範圍第14項之反駭客之偵測防護系統,其中,該虛擬機台係用以擴充受駭資訊執行與分析的能力。
- 如申請專利範圍第13項之反駭客之偵測防護系統,其中,該惡意資訊記錄係為惡意攻擊者、病毒感染者、殭屍電腦、殭屍電腦控制站或惡意下載點的資訊。
- 如申請專利範圍第13項之反駭客之偵測防護系統,其中,該服務平台復包括:惡意站台存活檢測模組,係用以判斷惡意站台是否存活;以及危害等級區分模組,係用以透過該惡意站台的發現時間與出現頻率判斷該惡意站台之危害等級,以由該服務平台形成惡意站台清單。
- 如申請專利範圍第17項之反駭客之偵測防護系統,其中,該服務平台復包括惡意站台資料庫,用以儲存該 惡意站台清單,以由該服務平台透過一資訊安全防護設備依據該惡意站台清單即時阻擋用戶所執行之惡意站台的連線。
- 如申請專利範圍第18項之反駭客之偵測防護系統,其中,該惡意站台資料庫將該惡意資訊記錄與惡意站台資料庫中的惡意站台清單進行比對,以形成惡意活動分佈資訊、惡意活動情況和趨勢變化分析。
- 如申請專利範圍第13項之反駭客之偵測防護系統,其中,該服務平台復包括受駭用戶資料庫,係用以儲存受駭用戶資料,使該服務平台依據該受駭用戶資料即時通知受駭之用戶端進行後續處理。
- 如申請專利範圍第13項之反駭客之偵測防護系統,其中,該誘補設備、分析設備及服務平台係設於同一電腦或分設於不同電腦。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW98113594A TWI381284B (zh) | 2009-04-24 | 2009-04-24 | 反駭客之偵測防護系統及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW98113594A TWI381284B (zh) | 2009-04-24 | 2009-04-24 | 反駭客之偵測防護系統及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201039169A TW201039169A (en) | 2010-11-01 |
TWI381284B true TWI381284B (zh) | 2013-01-01 |
Family
ID=44995351
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW98113594A TWI381284B (zh) | 2009-04-24 | 2009-04-24 | 反駭客之偵測防護系統及方法 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI381284B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111726570B (zh) * | 2020-01-01 | 2021-11-02 | 上海大参林医疗健康科技有限公司 | 基于数据解析的连续图像辨识*** |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW252976B (zh) * | 1993-03-24 | 1995-08-01 | Bayer Ag | |
US20060191008A1 (en) * | 2004-11-30 | 2006-08-24 | Sensory Networks Inc. | Apparatus and method for accelerating intrusion detection and prevention systems using pre-filtering |
-
2009
- 2009-04-24 TW TW98113594A patent/TWI381284B/zh not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW252976B (zh) * | 1993-03-24 | 1995-08-01 | Bayer Ag | |
US20060191008A1 (en) * | 2004-11-30 | 2006-08-24 | Sensory Networks Inc. | Apparatus and method for accelerating intrusion detection and prevention systems using pre-filtering |
Non-Patent Citations (1)
Title |
---|
Taiwan Malicious Webpage and Spyware Hacking", , 3rd Hacks in Taiwan Conference, July 21, 2007. http://hitcon.org/download/2007/-Taiwan%20Malicious%20Webpage%20and%20Spyware%20Hacking.pdf * |
Also Published As
Publication number | Publication date |
---|---|
TW201039169A (en) | 2010-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Antonakakis et al. | Understanding the mirai botnet | |
US10482260B1 (en) | In-line filtering of insecure or unwanted mobile device software components or communications | |
Shabtai et al. | Intrusion detection for mobile devices using the knowledge-based, temporal abstraction method | |
Malik et al. | CREDROID: Android malware detection by network traffic analysis | |
US9055090B2 (en) | Network based device security and controls | |
KR101669694B1 (ko) | 네트워크 자원들에 대한 건강 기반 액세스 | |
US9679140B2 (en) | Outbreak pathology inference | |
US20220358217A1 (en) | Using browser context in evasive web-based malware detection | |
US8850584B2 (en) | Systems and methods for malware detection | |
CN106797375B (zh) | 恶意软件代理的行为检测 | |
US20160036849A1 (en) | Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies | |
Zaidi et al. | A survey on security for smartphone device | |
Chen et al. | Simple and effective method for detecting abnormal internet behaviors of mobile devices | |
US10771477B2 (en) | Mitigating communications and control attempts | |
US20220217164A1 (en) | Inline malware detection | |
US11636208B2 (en) | Generating models for performing inline malware detection | |
TW201211817A (en) | Network virus protection method and system | |
US20240045954A1 (en) | Analysis of historical network traffic to identify network vulnerabilities | |
JP2017016674A (ja) | 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体 | |
US20230007013A1 (en) | Visualization tool for real-time network risk assessment | |
Faghani et al. | Modeling the propagation of trojan malware in online social networks | |
Hyun et al. | Design and Analysis of Push Notification‐Based Malware on Android | |
KR20150133370A (ko) | 웹서비스 접속제어 시스템 및 방법 | |
TWI381284B (zh) | 反駭客之偵測防護系統及方法 | |
KR102676386B1 (ko) | 인라인 멀웨어 검출 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |