TWI667587B - 資訊安全防護方法 - Google Patents
資訊安全防護方法 Download PDFInfo
- Publication number
- TWI667587B TWI667587B TW107116388A TW107116388A TWI667587B TW I667587 B TWI667587 B TW I667587B TW 107116388 A TW107116388 A TW 107116388A TW 107116388 A TW107116388 A TW 107116388A TW I667587 B TWI667587 B TW I667587B
- Authority
- TW
- Taiwan
- Prior art keywords
- information
- monitored
- usage record
- platform
- data analysis
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一種資訊安全防護方法,適用於一待監控設備、一數據分析平台、及一部署平台,並包含下列步驟:藉由該待監控設備產生一即時的使用紀錄資訊;藉由該數據分析平台根據該使用紀錄資訊,以機器學習的方式建立一行為模型;藉由該部署平台根據該行為模型,監控該待監控設備的一即時資料串流資訊;當該部署平台判斷該待監控設備的一即時資料串流資訊,屬於該行為模型的一異常行為時,阻擋該待監控設備的該即時資料串流資訊的傳送。該方法藉由機器學習的方式,主動建立對應該待監控設備的該行為模型,而實現一種主動且即時的資訊安全防護架構。
Description
本發明是有關於一種防護方法,特別是指一種資訊安全防護方法。
習知一種建立傳統資訊安全防禦架構的資訊安全防護方法通常包含以下步驟:設定特徵碼規則;阻擋符合異常特徵碼的連網行為;接收使用者的回饋訊息;當判斷回饋信息顯示阻擋連網行為是錯誤時(即連網行為不屬於異常時),修改特徵碼規則。此外,特徵碼規則的初期建立或後續更新還可以是來自外部資訊安全相關資料,經由人工的方式設定。然而,這種以人工制定規則為基礎(Rule-based)的資訊安全防護方法是採用被動地進行準備與反應,仍然存有很多可以改善的空間。
因此,本發明的目的,即在提供一種主動防禦的資訊安全防護方法。
於是,本發明資訊安全防護方法,適用於一待監控設備、一數據分析平台、及一部署平台,並包含步驟(a)~(d)。
於步驟(a),藉由該待監控設備產生一即時的使用紀錄資訊。
於步驟(b),藉由該數據分析平台根據該使用紀錄資訊,以機器學習的方式建立一行為模型。
於步驟(c),藉由該部署平台根據該行為模型,監控該待監控設備的一即時資料串流資訊。
於步驟(d),當該部署平台判斷該待監控設備的該即時資料串流資訊,屬於該行為模型的一異常行為時,阻擋該待監控設備的該即時資料串流資訊的傳送。
在一些實施態樣中,還適用於一過濾平台,其中,在步驟(a)中,當該使用紀錄資訊屬於一第一類資訊時,該待監控設備將該使用紀錄資訊直接傳送至該數據分析平台。當該使用紀錄資訊屬於一第二類資訊時,該待監控設備將該使用紀錄資訊直接傳送至該過濾平台,該過濾平台將該使用紀錄資訊過濾後,再傳送至該數據分析平台。其中,該第一類資訊包含該數據分析平台所需要分析的資訊而不包含一隱私資訊,該第二類資訊包含該數據分析平台所需要分析的資訊及該隱私資訊。
在一些實施態樣中,其中,在步驟(b)中,該數據分析平台還根據該待監控設備的一資安紀錄資訊及該部署平台判斷的結果,監控該行為模型的一準確率。
在一些實施態樣中,其中,在步驟(a)中,該使用紀錄資訊包含一資安防禦設備使用紀錄、一網路設備使用紀錄、一伺服器使用紀錄之其中任一者。
本發明的功效在於:藉由該數據分析平台根據該待監控設備的該使用紀錄資訊,以機器學習的方式主動建立對應該待監控設備的該行為模型,使得該部署平台能夠根據該行為模型,即時監控該待監控設備的該即時資料串流資訊,進而能夠實現一種主動且即時的資訊安全防護架構。
在本發明被詳細描述之前,應當注意在以下的說明內容中,類似的元件是以相同的編號來表示。
參閱圖1與圖2,本發明資訊安全防護方法,適用於一待監控設備1、一數據分析平台3、一部署平台4、及一過濾平台2。舉例來說,該監控設備是企業內部既有的資訊基礎設施,如資安防禦設備、網路設備、伺服器主機、電腦主機、連網裝置等等,但不以此為限。該數據分析平台3是採用大數據(Big Data)分析的技術,且需要電腦叢集(Cluster)或功能夠強大的單一電腦主機來實施,並包括一監控(Tracing)模組31及一分析(Mining)模組32。該部署平台4是屬於一種人工智慧引擎(AI Engine)。該過濾平台2是一種過濾器(Collector),例如是另一電腦主機或另一伺服器主機。
該資訊安全防護方法包含步驟S1~S4。
於步驟S1,藉由該待監控設備1產生一即時的使用紀錄資訊(Log)。該使用紀錄資訊依照該待監控設備1的不同,例如包含一資安防禦設備使用紀錄、一網路設備使用紀錄、一伺服器使用紀錄之其中任一者,但不以此為限。
另外,該使用紀錄資訊可以區分成一第一類資訊及一第二類資訊,其中,該第一類資訊包含該數據分析平台3所需要分析的資訊而不包含一隱私資訊,該第二類資訊包含該數據分析平台3所需要分析的資訊及該隱私資訊。
當該使用紀錄資訊屬於該第一類資訊時,該待監控設備1將該使用紀錄資訊直接傳送至該數據分析平台3,如圖2的路徑P2。當該使用紀錄資訊屬於該第二類資訊時,該待監控設備1將該使用紀錄資訊先傳送至該過濾平台2,該過濾平台2將該使用紀錄資訊過濾後,才將過濾後的該使用紀錄資訊傳送至該數據分析平台3,如圖2的路徑P1與P3。
舉例來說,該使用紀錄資訊可能是企業(如銀行)內部的電腦主機之間所傳遞的網路封包,當該網路封包的內容包括某些使用者的帳號、密碼、或其他的個人隱私訊息,尤其是不屬於該數據分析平台3所需要分析的資訊時,該過濾平台2會將這些不必要或多餘的資訊過濾(刪除),以保障相關的隱私內容。
於步驟S2,藉由該數據分析平台3根據該使用紀錄資訊,以機器學習的方式建立一行為模型。機器學習應用於資安分析的方法包含第一種的分類方法,如邏輯回歸(Logistic Regression)、決策樹、隨機森林、Xgboost、深度學習(Deep Learning)等等,以判斷惡意與正常的連線或檔案,第二種的分群方法,如k-means演算法、基於密度的聚類演算法(Dbscan)等等,以把檔案或是行為模式分群。透過分析軟體或是程式模組,如R語言、Python語言、TensorFlow、SAS等等,可以實現上述各種機器學習的方法,且藉由上述各種方法之其中一種或其中多種的組合,能夠建立該行為模型。
更詳細地說,在本實施例中,該數據分析平台3的該監控模組31根據該待監控設備1的該使用紀錄資訊(如圖2的路徑P2與P3)及該部署平台4的一判斷結果(如圖2的路經P7),監控整體的資訊安全現況及該行為模型的準確率。該數據分析平台3的該分析模組32對該使用紀錄資訊進行進一步的資料探勘,並透過機器學習的方式找出特定的行為模式,而建立該行為模型。而在其他實施例中,該數據分析平台3的該監控模組31也可以根據該待監控設備1的該使用紀錄資訊與一資安紀錄資訊,及該部署平台4的該判斷結果,監控整體的資訊安全現況及該行為模型的準確率。
另外要補充說明的是:在本實施例中,該數據分析平台3的該分析模組32是根據該使用紀錄資訊,建立該行為模型。而在其他實施例中,該分析模組32也可以是根據該使用者紀錄資訊(如圖2的路徑P8),及來自一外部資訊源5的外部資訊,來建立該行為模型。該外部資訊源例如是其他網站,該外部資訊例如是包含黑名單與白名單的資訊內容。
於步驟S3,藉由該部署平台4根據該行為模型(如圖2的路徑P4),監控該待監控設備1的一即時資料串流資訊(如圖2的路徑P1與P5)。也就是說,該部署平台4所監控的該即時資料串流資訊,是先經由該過濾平台2作過濾以去除機密或敏感的隱私內容,再作即時地監控。
此外,在本實施例中,該部署平台4是根據該行為模型,監控該即時資料串流資訊,而在其他實施例中,該部署平台除了根據該行為模型,還可以根據來自該外部資訊源的另一模型,同時據以監控該即時資料串流資訊。也就是說,本案的資訊安全防護方法可以與現有的資安防護機制同時運作,而不相衝突。
於步驟S4,當該部署平台4判斷該待監控設備1的該即時資料串流資訊,屬於該行為模型的一異常行為時,阻擋該待監控設備1的該即時資料串流資訊的傳送,如圖2的路徑P6。當該部署平台4判斷該即時資料串流資訊,不屬於該行為模型的該異常行為時,則持續保持監控與判斷。
利用本發明資訊安全防護方法所建立的資訊安全架構除了可以單獨運作,也可以輔助既有的資安防禦設備來共同運作,以檢視是否有潛在的網路威脅。舉例來說,該待監控設備1是企業內部的一電腦主機,該使用紀錄資訊包括相關於該電腦主機使用時的連線時間及連線目標等資訊,該數據分析平台3根據該連線時間及該連線目標,建立對應該待監控設備1的多個行為模型,第一個行為模型是相關於該電腦主機的連線目標是否異常,第二個行為模型是相關於該電腦主機的連線時間是否異常,第三個行為模型是相關於該電腦主機在預定時間區間內連結一個特定的內部或外部的網頁(或系統)的頻率是否異常,第四個行為模型是相關於該電腦主機在連結至一網站時是否有異常跳轉現象,第五個行為模型是相關於該電腦主機所連結之站台是否屬於疑似黑名單或相似正常網站(即釣魚網站)。
更詳細地說,第五個行為模型是一種相關於網域名稱(Domain Name)的長短期記憶(Long Short-Term Memory;LSTM)模型。長短期記憶是一種時間遞歸神經網路(Recurrent Neural Network;RNN),透過建立帶有「記憶與忘卻」機制的模型,以分析前後文中辭彙的相關性,而作到語意分析。
長短期記憶(LSTM)模型是一種已知的技術,利用類神經網路框架所建立的一個二元分類模型,其建立的過程,簡單說明如後。該電腦主機會根據屬於一個白名單的多個網域名稱,並將其標記為正常域名的樣本。該電腦主機還根據屬於一個黑名單的多個網域名稱,並將其標記為異常域名的樣本。該白名單可以藉由網路現存的白名單網站而獲得,該黑名單可以藉由已知的多組網域產生演算法(DGA)來產生,但不在此限。舉例來說,屬於白名單的網域名稱如***.com、esunbank.com、yahoo.com等等,屬於黑名單的網域名稱如xyafilk.com、uiteeraab.com等等。
該電腦主機會先在白名單及黑名單的每一網域名稱中,擷取其中最長字串的前八個字元,如***、esunbank、yahoo、xyafilk、uiteeraa等等。該電腦主機再將每一被擷取的字串轉換為一向量,也就是將每一個字元對應到一個預訂的數值,且當字元長度小於八個時,以數值0填補,承上述例子,例如將a、b、c、…、z、…、-、_分別轉換為數值1、2、3、…、26、…、36、37等等,則***、esunbank、yahoo、xyafilk、uiteeraa分別被轉換為向量[7,15,15,7,12,5,0,0]、[5,19,21,14,2,1,14,11]、[25,1,8, 15,15,0,0,0]、[24,25,1,6,9,12, 11,0]、[21,9,20,5,5,18,1,1]。
該長短期記憶模型以分別屬於正常域名及異常域名的該兩種樣本作為輸入資料,以訓練模型如何分辨域名是否正常,且利用遞迴執行向前傳播(Forward Propagation)及反向傳播(Back Propagation),再透過給定的優化演算法修正模型。此外,在模型的建立過程中,經由該模型判斷域名的精確率(Precision)、召回率(Recall)、及參數(F1-value)等常用的數學評量指標,評估該模型的準確率。
該部署平台4根據該長短期記憶模型,監控該待監控設備1的該即時資料串流資訊。更具體的說,該電腦主機是擷取每一個偵測到的封包的網域名稱中最長的字串,並當該最長的字串大於八個字元時,刪減至八個字元,再對其作數值轉換,而獲得一個向量。該長短期記憶模型是接收該向量,並據以判斷是否屬於一個惡意網域名稱(即異常域名),且輸出一個介於0~1之間的數字作為一判斷數值,如0.4、0.98…等等。該長短期記憶模型具有一個預先設定的門檻值,例如0.9,當該判斷數值小於該門檻值時,如0.4<0.9,則判斷該網域名稱不屬於一個惡意網域名稱。反之,當該判斷數值大於該門檻值時,如0.98>0.9,則判斷該網域名稱屬於一個惡意網域名稱。
另外要補充說明的是:在本實施例中,為方便說明起見,該資訊安全防護方法所適用的該待監控設備1僅以一個待監控設備表示,而實際上,該資訊安全防護方法也可以適用於多個待監控設備,例如企業內部的多個電腦主機、伺服器主器、網路設備、連網裝置等等,藉由該數據分析平台3根據該等待監控設備建立對應的該行為模型,例如根據同單位或執行同業務性質的電腦設備,建立相同的行為模型,也可以根據每一台電腦設備,建立各自的行為模型,並藉由該部署平台4將每一該行為模型部署至對應的每一該監控設備,則能達到相同的功效。
也就是說,本發明資訊安全防護方法所建立的資訊安全架構是屬於一種主動式的資安防禦,能夠藉由分析同一台或多台待監控設備相似的連網行為,建立其行為模型,並在驗證可疑的行為案例時修正行為模型的假設條件,而定義出行為模型的正常行為及異常行為,以阻斷非法連網行為而能進一部作事件調查,且進而回饋阻擋連網的機制。
綜上所述,藉由該數據分析平台根據該待監控設備的該使用紀錄資訊,以人工智慧的機器學習的方式主動建立對應該待監控設備的該行為模型,使得該部署平台能夠根據該行為模型,即時監控該待監控設備的該即時資料串流資訊。另外,藉由該過濾平台過濾該使用紀錄資訊中的機密或敏感資訊,也能達到個人資訊保密的良好控管,故確實能達成本發明的目的。
惟以上所述者,僅為本發明的實施例而已,當不能以此限定本發明實施的範圍,凡是依本發明申請專利範圍及專利說明書內容所作的簡單的等效變化與修飾,皆仍屬本發明專利涵蓋的範圍內。
S1~S4‧‧‧步驟
1‧‧‧待監控設備
2‧‧‧過濾平台
3‧‧‧數據分析平台
31‧‧‧監控模組
32‧‧‧分析模組
4‧‧‧部署平台
5‧‧‧外部資訊源
P1~P9‧‧‧路徑
本發明的其他的特徵及功效,將於參照圖式的實施方式中清楚地呈現,其中: 圖1是一個流程圖,說明本發明資訊安全防護方法的一個實施例;及。 圖2是一個方塊圖,說明該實施例所適用的一種態樣。
Claims (3)
- 一種資訊安全防護方法,適用於一待監控設備、一數據分析平台、一過濾平台、及一部署平台,並包含下列步驟:(a)藉由該待監控設備產生一即時的使用紀錄資訊;(b)藉由該數據分析平台根據該使用紀錄資訊,以機器學習的方式建立一行為模型;(c)藉由該部署平台根據該行為模型,監控該待監控設備的一即時資料串流資訊;及(d)當該部署平台判斷該待監控設備的該即時資料串流資訊,屬於該行為模型的一異常行為時,阻擋該待監控設備的該即時資料串流資訊的傳送;其中,在步驟(a)中,當該使用紀錄資訊屬於一第一類資訊時,該待監控設備將該使用紀錄資訊直接傳送至該數據分析平台,當該使用紀錄資訊屬於一第二類資訊時,該待監控設備將該使用紀錄資訊直接傳送至該過濾平台,該過濾平台將該使用紀錄資訊過濾後,再傳送至該數據分析平台,該第一類資訊包含該數據分析平台所需要分析的資訊而不包含一隱私資訊,該第二類資訊包含該數據分析平台所需要分析的資訊及該隱私資訊。
- 如請求項1所述的資訊安全防護方法,其中,在步驟(b)中,該數據分析平台還根據該待監控設備的一資安紀錄資訊及該部署平台判斷的結果,監控該行為模型的一準確率。
- 如請求項2所述的資訊安全防護方法,其中,在步驟(a)中,該使用紀錄資訊包含一資安防禦設備使用紀錄、一網路設備使用紀錄、一伺服器使用紀錄之其中任一者。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107116388A TWI667587B (zh) | 2018-05-15 | 2018-05-15 | 資訊安全防護方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107116388A TWI667587B (zh) | 2018-05-15 | 2018-05-15 | 資訊安全防護方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI667587B true TWI667587B (zh) | 2019-08-01 |
| TW201947441A TW201947441A (zh) | 2019-12-16 |
Family
ID=68316419
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW107116388A TWI667587B (zh) | 2018-05-15 | 2018-05-15 | 資訊安全防護方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI667587B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7165830B2 (ja) * | 2020-09-29 | 2022-11-04 | 楽天グループ株式会社 | 異常判定システム、異常判定方法及びプログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201502845A (zh) * | 2013-07-15 | 2015-01-16 | Isgoodidea | 網站防毒資安系統 |
| CN105553940A (zh) * | 2015-12-09 | 2016-05-04 | 北京中科云集科技有限公司 | 一种基于大数据处理平台的安全防护方法 |
| TW201719484A (zh) * | 2015-11-20 | 2017-06-01 | 財團法人資訊工業策進會 | 以應用層日誌分析為基礎的資安管理系統及其方法 |
-
2018
- 2018-05-15 TW TW107116388A patent/TWI667587B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201502845A (zh) * | 2013-07-15 | 2015-01-16 | Isgoodidea | 網站防毒資安系統 |
| TW201719484A (zh) * | 2015-11-20 | 2017-06-01 | 財團法人資訊工業策進會 | 以應用層日誌分析為基礎的資安管理系統及其方法 |
| CN105553940A (zh) * | 2015-12-09 | 2016-05-04 | 北京中科云集科技有限公司 | 一种基于大数据处理平台的安全防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201947441A (zh) | 2019-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210273959A1 (en) | Cyber security system applying network sequence prediction using transformers | |
| US20240121263A1 (en) | Autonomous report composer | |
| CN107645503B (zh) | 一种基于规则的恶意域名所属dga家族的检测方法 | |
| Jansen et al. | Inside Job: Applying Traffic Analysis to Measure Tor from Within. | |
| Yavanoglu et al. | A review on cyber security datasets for machine learning algorithms | |
| US20210273953A1 (en) | ENDPOINT AGENT CLIENT SENSORS (cSENSORS) AND ASSOCIATED INFRASTRUCTURES FOR EXTENDING NETWORK VISIBILITY IN AN ARTIFICIAL INTELLIGENCE (AI) THREAT DEFENSE ENVIRONMENT | |
| US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| CN108156131B (zh) | Webshell检测方法、电子设备和计算机存储介质 | |
| US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| Fallah et al. | Android malware detection using network traffic based on sequential deep learning models | |
| US20230095415A1 (en) | Helper agent and system | |
| US20230135660A1 (en) | Educational Tool for Business and Enterprise Risk Management | |
| TWI615730B (zh) | 以應用層日誌分析為基礎的資安管理系統及其方法 | |
| Tayal et al. | Active monitoring & postmortem forensic analysis of network threats: A survey | |
| WO2021236661A1 (en) | Endpoint client sensors for extending network visibility | |
| CN114338064B (zh) | 识别网络流量类型的方法、装置、***、设备和存储介质 | |
| CN112385196A (zh) | 用于报告计算机安全事故的***和方法 | |
| Buchyk et al. | Devising a method of protection against zero-day attacks based on an analytical model of changing the state of the network sandbox | |
| CN113225331A (zh) | 基于图神经网络的主机入侵安全检测方法、***及装置 | |
| Alhassan et al. | A fuzzy classifier-based penetration testing for web applications | |
| Cao et al. | Learning state machines to monitor and detect anomalies on a kubernetes cluster | |
| US20210084061A1 (en) | Bio-inspired agile cyber-security assurance framework | |
| US10965693B2 (en) | Method and system for detecting movement of malware and other potential threats | |
| TWI667587B (zh) | 資訊安全防護方法 | |
| Zammit | A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data |