TWI684113B - 閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體 - Google Patents

閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體 Download PDF

Info

Publication number
TWI684113B
TWI684113B TW107130038A TW107130038A TWI684113B TW I684113 B TWI684113 B TW I684113B TW 107130038 A TW107130038 A TW 107130038A TW 107130038 A TW107130038 A TW 107130038A TW I684113 B TWI684113 B TW I684113B
Authority
TW
Taiwan
Prior art keywords
connection
total number
connection factor
marked
node
Prior art date
Application number
TW107130038A
Other languages
English (en)
Other versions
TW202009767A (zh
Inventor
鄭棕翰
陳建智
周國森
張光宏
黃秀娟
Original Assignee
中華電信股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中華電信股份有限公司 filed Critical 中華電信股份有限公司
Priority to TW107130038A priority Critical patent/TWI684113B/zh
Application granted granted Critical
Publication of TWI684113B publication Critical patent/TWI684113B/zh
Publication of TW202009767A publication Critical patent/TW202009767A/zh

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本發明提出一種惡意網域與受駭主機的偵測方法,包括:接收多個網路流量。自多個網路流量中解析出多個通道及多個連線因子,其中多個通道中的每一者關聯於網域與網際網路協定位址的連結。建立多個通道與多個連線因子的連接關係。基於連接關係及威脅情資建構出網路互動行為鏈結模型。透過所述網路互動行為鏈結模型偵測未知通道的受害情形。

Description

閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體
本發明是有關於一種資安技術,且特別是有關於一種閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體。
惡意網域一直以來都是網路犯罪活動(例如,散發垃圾郵件、財務詐欺、釣魚網站等惡意行為)的溫床。企業如何在眾多的對外連線中及早發現可疑網域已成為一件極重要的企業資安問題。
當攻擊者建構中繼站後,會企圖藉由社交郵件、釣魚網站或其他途徑將惡意程式植入被害主機後,並使這些主機成為殭屍電腦(Bots)。而成為殭屍電腦內的惡意程式絕大多數需要網路連結以進行其惡意活動(例如,發送垃圾郵件、洩漏私人機密、下載惡意程式更新、傳染周遭主機等)。攻擊者為了提高殭屍網路(Botnet)的存活率,經常使用網域變動(domain flux)等技術,以避免被查獲且降低植入惡意程式之行為遭封鎖的機會。由此可知,資安相關業者勢必需要研究出有效地偵測惡意網域及受駭主機的技術。
有鑑於此,本發明提出一種閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體,其提供正確性高的偵測技術。
本發明提供一種惡意網域與受駭主機的偵測方法,適用於閘道裝置,偵測方法包括:接收多個網路流量。自多個網路流量中解析出多個通道及多個連線因子,其中多個通道中的每一者關聯於網域與網際網路協定位址的連結。建立多個通道與多個連線因子的連接關係。基於連接關係及威脅情資建構出網路互動行為鏈結模型。透過所述網路互動行為鏈結模型偵測未知通道的受害情形。
本發明提供一種閘道裝置,分別連線至內部網路及外部網路,閘道裝置包括:通訊單元、儲存單元及處理單元。通訊單元收發資料。儲存單元儲存多個模組。處理單元耦接通訊單元及儲存單元,且存取並執行儲存單元所儲存的多個模組,所述多個模組包括:流量側錄模組、模型學習模組以及受害判定模組。流量側錄模組透過通訊單元接收內部網路及外部網路之間的多個網路流量。模型學習模組自多個網路流量中解析出多個通道及多個連線因子,建立多個通道與多個連線因子的連接關係,並且基於連接關係及威脅情資建構出網路互動行為鏈結模型,其中多個通道中的每一者關聯於網域與網際網路協定位址的連結。受害判定模組透過網路互動行為鏈結模型偵測未知通道的受害情形。
本發明提供一種非暫態電腦可讀取媒體,記錄程式,並經由閘道裝置載入所述程式以執行以下步驟:接收多個網路流量。自多個網路流量中解析出多個通道及多個連線因子,其中多個通道中的每一者關聯於網域與網際網路協定位址的連結。建立多個通道與多個連線因子的連接關係。基於連接關係及威脅情資建構出網路互動行為鏈結模型。透過所述網路互動行為鏈結模型偵測未知通道的受害情形。
基於上述,本發明可藉由連接關係所形成之互動分析二分圖取得通道節點的特徵值,再進一步用機器學習建構出惡意程度模型,以利於後續未知通道之判斷。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
惡意程式雖經常使用網域變動等技術以避免被查獲或遭封鎖,但其造成的威脅行為還是會留下惡意程式的訪問線索於網路流量日誌資料中。有鑑於此,本發明可藉由類似的惡意程式會使用相近之連線因子進行互動行為的特點,提出藉由與惡意程式相關聯之連線因子偵測惡意網域或受駭主機之受害情形的偵測方法。透過以下內容將可讓讀者了解本發明之創作精神。
圖1是根據本發明的實施例繪示通訊系統1的架構的示意圖。通訊系統1包括一或更多台用戶主機100處於內部網路150(例如,區域網路(LAN))、一或更多台外部主機130處於外部網路170(例如,網際網路(Internet))及閘道裝置200。
這些用戶主機100可以係桌上型電腦、筆記型電腦、伺服器、智慧型手機、平板電腦等任何具備連網功能的電子裝置。
外部主機130可以係伺服器、工作站、中繼站等連網裝置。另須說明的是,本實施例之內部網路150、外部網路170主要係用於區分兩個不同的網路。
閘道裝置200介於內部網路150與外部網路170之間。閘道裝置200可包括通訊單元210、儲存單元230及處理單元250。通訊單元210可以係具備諸如乙太網路(Ethernet)、光纖(optical fiber)或其他具備通訊傳輸功能的任何類型的網路介面,以連線至內部網路150與外部網路170。
儲存單元230可以是任何型態的固定或可移動隨機存取記憶體(RAM)、唯讀記憶體(ROM)、快閃記憶體(flash memory)、傳統硬碟(hard disk drive)、固態硬碟(solid-state drive)或類似元件或上述元件的組合如網路連接儲存設備(Network Attached Storage),並用以記錄流量側錄模組231、模型學習模組232、受害判定模組233、情資收集模組235及情資分享模組236等程式、網路流量、流量日誌、互動分析二分圖、威脅情資資料庫237等相關資訊。
處理單元250與通訊單元210及儲存單元230及連接,並可以是中央處理單元(CPU),或是其他可程式化之一般用途或特殊用途的微處理單元(Microprocessor)、數位信號處理單元(DSP)、可程式化控制器、特殊應用積體電路(ASIC)或其他類似元件或上述元件的組合。在本發明實施例中,處理單元250用以執行閘道裝置200的所有作業,且可存取並執行上述儲存單元230中記錄的模組。
為了方便理解本發明實施例的操作流程,以下將舉諸多實施例詳細說明本發明實施例中閘道裝置200對於惡意網域與受駭主機的偵測方法。圖2是根據本發明的實施例繪示惡意網域與受駭主機的偵測方法的流程圖。請參照圖2,本實施例的方法適用於圖1中通訊系統1中的各裝置。下文中,將搭配閘道裝置200的各項元件及模組說明本發明實施例所述之方法。本方法的各個流程可依照實施情形而隨之調整,且並不僅限於此。
在步驟S21,流量側錄模組231透過通訊單元210接收多個網路流量(例如:內部網路150及外部網路170之間的多個網路流量)。流量側錄模組231可側錄閘道裝置200所在之閘道口的流量日誌,從而使閘道裝置200能藉由所側錄的網路流量定期地產生惡意網域或受駭主機的相關情資。舉例來說,閘道裝置200可透過情資分享模組236將受害判定模組233的偵測結果分享給第三方協防系統或設備(例如:防火牆或代理伺服器等)。如此,可幫助第三方阻斷在及時地阻斷或隔離惡意連線。
網路流量可包括如網際網路協定位址(IP)(例如:用戶主機100或外部主機130之IP位址)、網域(Domain)(例如:用戶主機100或外部主機130所註冊之網域)及連線因子(Connection Factor,CF)等相關資訊,其中連線因子的種類可關聯於例如蹤跡(Trace)、用戶代理(User Agent)、時間戳(TimeStamp)、連線方法(Method)或連線請求(例如:超文本傳輸協定要求(HyperText Transfer Protocol Request,HTTP Request)),本發明不限於此。在本實施例中,僅使用單一種類的連線因子在建立互動分析二分圖(Interaction Profiling Bipartite Graph)。互動分析二分圖的建立將會於步驟S25的相關段落說明。
情資收集模組235接收不同來源(例如,http://www.malware-traffic-analysis.net/、VirusTotal、Bluecoat等來源)所提供的諸如惡意程式、病毒、不當網路行為、網路威脅相關資安情資資訊,並整合新產生的(網路)威脅情資,以豐富威脅情資資料庫237中的威脅情資,進而讓後續分類更加準確,其中威脅情資可關聯於通道的資訊,例如威脅情資可包含一通道係為惡意、良性或未知等資訊。另一方面,情資收集模組235可基於所接收之資安情資資訊判斷出流量側錄模組231所接收之網路流量中的何者屬於已知的惡意程式之網路流量。
在步驟S23,模型學習模組232可自多個網路流量中解析出多個通道及多個連線因子,其中多個通道中的每一者關聯於網域及網際網路協定位址的連結。例如,可將一個網域與一個網際網路協定位址的連結視為一通道。由於網路犯罪者經常利用相似的手法(例如:相似的HTTP要求)來使惡意的中繼站(例如,外部主機130)與受駭主機(例如:用戶主機100)進行互動,故本發明可解析該些手法以取得連線因子。舉例來說,由於連結惡意中繼站的不同惡意程式會使用相似的HTTP要求來查詢中繼站(例如,外部主機130),故本發明可針對HTTP要求進行解析以取得可作為連線因子的蹤跡,如圖3所示。
圖3是繪示解析超文本傳輸協定要求的範例,其中 m表示查詢統一資源定位符(Uniform Resource Locator,URL)時使用的方法(method), p表示查詢URL的頁面(page),其餘查詢URL所用的資訊會以 key=value為一對的組合出現在「?」之後並且以「&」隔開, n表示查詢URL的參數名稱(parameter names),而 v表示參數值(parameter values)。而由於 v較容易變動(部分惡意程式會以亂數產生),因此在本實施例中會統一以同一個符號(例如,|)取代 v所指之內容,也就表示本發明實施例不會(或不考慮)使用 v。如圖3所示,原本為「GET /gxtxlxyxx.php?pass=999&psql=99&xio=TW」的HTTP要求),將參數值以同一個符號取代後與方法( m)結合後即會變成GET_/gxtxlxyxx.php?pass|Psql|xio|的蹤跡。需說明的是,前述替換代碼及規則可視需求而調整。
回到圖2,在步驟S25,模型學習模組232可建立多個通道與多個連線因子的連接關係。前述的連接關係可以二分圖(Bipartite Graph)的形式呈現,此二分圖便可稱為互動分析二分圖,如圖4所示。
圖4是根據本發明的實施例繪示互動分析二分圖。模型學習模組232可將多個連線因子中的每一者作為連線因子節點,並將多個通道中的每一者作為通道節點。假設在步驟S23中,模型學習模組232自多個網路流量中解析出多個通道(包括關聯於網域A及用戶IP A之連結的通道A,以及關聯於網域B及用戶IP B之連結的通道B等)並且解析出多個連線因子(包括連線因子CF1、CF2、CF3、CF4、CF5、CF6、CF7、CF8及CF9等)。模型學習模組232可將通道A及通道B作為通道節點繪示於互動分析二分圖中,並將連線因子CF1至CF9作為連線因子節點繪示於互動分析二分圖中。模型學習模組232可藉由解析一連線因子而取得該連線因子與其相關聯的通道。例如,本實施例中的連線因子CF1關聯於通道A,故在互動分析二分圖中,將連線因子CF1與通道A連線。另一方面,同一個連線因子也可以關聯於多個通道,例如,連線因子CF4關聯於通道A及通道B,故在互動分析二分圖中,將連線因子CF4分別與通道A及通道B連線。此代表著通道A及通道B均有使用連線因子CF4。如此,依據多個網路流量的每一者將對應的連線因子節點及對應的通道節點連線,可形成互動分析二分圖,如圖4所示。
由於類似的惡意網域(或惡意程式)可能使用相同的連線因子進行與他者的互動,因此,若一通道被判定為屬於惡意的通道,則在互動分析二分圖中與該通道互相連結的另一通道(例如:原本為未知的通道)將有較大的機率也屬於惡意的通道。
回到圖2。在產生互動分析二分圖後,在步驟S27,模型學習模組232可基於連接關係以及情資收集模組235所收集的威脅情資來建構出網路互動行為鏈結模型。
具體來說,模型學習模組232可基於威脅情資將各個通道節點標記為良性、惡意或未知等標籤屬性。在流量側錄模組231所接收的網路流量中,與已知的惡意程式之網路流量相關的通道一律標記為惡意通道,而其餘的通道則可以透過與威脅情資記載的通道(或網域)之良性名單比對而被判斷為良性通道或未知通道。
在互動分析二分圖標記完通道節點後,模型學習模組232可對連線因子節點進行標記以完成互動分析二分圖,並可基於已完成的互動分析二分圖訓練網路互動行為鏈結模型。
更具體來說,模型學習模組232可基於威脅情資而將互動分析二分圖中的連線因子節點標記為良性(Benign)、惡意(Virulence)、混合(Mixed)、未知(Unknown)或離群(Leaf)等標籤屬性。以圖5為例,圖5是根據本發明的實施例繪示標記連線因子節點後的互動分析二分圖。圖5中,「✽」表示惡意連線因子節點、「?」表示未知連線因子節點且「○」表示良性連線因子節點。模型學習模組232可依據表1的規則而對連線因子節點進行標記。 表1
連線因子節點之標簽屬性 標記規則(需同時符合)
良性 1. 白名單總數大於門檻值 2. 黑名單總數等於零
惡意 1. 黑名單總數大於門檻值 2. 黑名單總數大於白名單總數
混合 1. 黑名單總數大於門檻值 2. 白名單總數大於黑名單總數
未知 1. 白名單總數等於零 2. 黑名單總數等於零
離群 1. 連線因子節點的出現總數等於一
其中連線因子的白名單總數可例如是連線因子在威脅情資的良性名單中出現的次數、連線因子的黑名單總數可例如連線因子在惡意程式的網路流量中出現的次數並且連線因子的出現總數可例如白名單總數加上黑名單總數。透過表1的標記規則,模型學習模組232可針對不同種類的連線因子進行標記。舉例來說,表2展示了當連線因子為蹤跡時,對該些蹤跡進行標記的範例。 表2
蹤跡 蹤跡的標籤屬性
GET_/repoinfo/autoup/stone01/log.jpg?st=|did| 良性
GET_/fucin/upfin/stoneat/exe.intrusions?st=|do| 良性
POST_/PAGEa?/Pa1=1qa&Pa2=2ws&Pa3=3ed 惡意
POST_/PAGEb?/Pb1=z2w&Pb2=cde&Pb3=bgt 惡意
GET_/PAGEd?/Pd1=lo9&Pd2=yre&Pd3=jki 未知
GET_/PAGEc?/Pc1=r5t&Pc2=7yu&Pc3=8i6 混合
在標記完連線因子節點後,模型學習模組232可基於所標記的連線因子節點產生互動分析二分圖中之通道節點中的每一者的特徵值。換言之,模型學習模組232可利用標記後的連線因子節點而將威脅情資中的資訊轉換為各個通道節點的特徵值,從而降低情資的雜訊。在本實施例中,模型學習模組232可根據所標記的連線因子節點計算出每一通道節點的六種特徵值,但本發明不限於此。模型學習模組232可基於表3的規則計算出每一通道節點的六種特徵值。 表3
通道節點的特徵值 計算特徵值的規則
第一特徵值f1 f1 = |T|
第二特徵值f2 f2 = |B|/|T|
第三特徵值f3 f3 = |V|/|T|
第四特徵值f4 f4 = |U|/|T|
第五特徵值f5 f5 = |M|/|T|
第六特徵值f6 f6 = |L|/|T|
其中 T係所有連線因子節點的集合、 B係標記為良性的連線因子節點的集合、 V係標記為惡意的連線因子節點的集合、 U係標記為未知的連線因子節點的集合、 M係標記為混合的連線因子節點的集合並且 L係標記為離群的連線因子節點的集合。
在計算出所有通道節點之特徵值後,模型學習模組232可依據所標記的通道節點及其對應的特徵值而透過機器學習演算法訓練網路互動行為鏈結模型,亦即,將已標記的通道節點及其對應的特徵值作為訓練網路互動行為鏈結模型的標籤資料。機器學習演算法可例如是類神經網路、隨機森林或支援向量等,本發明不限於此。
回到圖2。在訓練完網路互動行為鏈結模型後,在步驟S29,受害判定模組233便可透過網路互動行為鏈結模型來偵測未知通道的受害情形。不論惡意網址的外觀如何變動,閘道裝置200都可以透過受害判定模組233以偵測出具有相似惡意互動行為(Interaction)的網域或受駭主機。在一些實施例中,所述受害情形係指未知通道與惡意網域(或惡意程式)的互動行為程度。表4以特定的目標網域(Domain)及用戶IP(Client IP)為範例展示使用本實施例之網路互動行為鏈結模型來偵測該些目標網域及用戶IP的偵測結果。在本實施例中,惡意行為程度的數值越高,可代表對應通道之網域為惡意網域或對應通道之用戶IP為受駭主機之IP的可能性越高。 表4
通道(目標網域_用戶IP) 互動行為程度
com-wkejf32ljd23409system.net_xx.xx.136.246 0.939896109060041
com-wkejf32ljd23409system.net_oo.oo.117.3 0.939896109060041
com-wkejf32ljd23409system.net_xx.xx.156.110 0.939896109060041
com-wkejf32ljd23409system.net_xx.xo.112.145 0.939896109060041
tw.ads.asiatatler.com_xx.xx.132.126 0.816249826695891
tw.ads.asiatatler.com_xx.xx.124.181 0.806359610748995
tw.ads.asiatatler.com_xx.xx.110.107 0.806359610748995
圖6是一通道「com-wkejf32ljd23409system.net_xx.xx.136.246」經數位鑑識驗證之結果示意圖。由圖6可以發現目標網域與用戶IP之間的互動行為會揭露用戶主機的相關訊息,例如所在區域「city=Taipei」、瀏覽器資訊「Chrome&browserVersion=63…」、主機作業系統資訊「operationSystem=Windows& operationSystemVersion=7…」。當網路攻擊者取得這些用戶主機資訊時,就可以很輕易地知道該名用戶所使用的瀏覽器或者作業系統是否有相對應的漏洞,並且進一步地利用漏洞執行竊取機敏資訊或其他網路犯罪的手法。對照表4及圖6可知,本揭露的偵測方法可有效地偵測出可能遭受惡意程式攻擊的目標網域或用戶IP。
值得說明的是,前述惡意網域與受駭主機的偵測方法亦可作為程式,並記錄在諸如等硬碟、軟碟、隨身碟、CD等非暫態電腦可讀取媒體中,且能透過任何類型的處理單元(例如,處理單元250)執行此程式。
綜上所述,本發明的閘道裝置可定期地產生惡意網域或受駭主機的相關情資並分享給第三方,幫助第三方阻斷在及時地阻斷或隔離惡意連線。閘道裝置還可基於各個通道所使用的連線因子判斷出未知的通道是否屬於惡意的通道。此外,本發明可利用標記後的連線因子節點而將威脅情資中的資訊轉換為特徵值,從而降低情資的雜訊。不論惡意網址的外觀如何變動,閘道裝置都可以透過受害判定模組偵測出具有相似惡意互動行為的網域或受駭主機,並且判斷該些網域或受駭主機的受害情形。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
1‧‧‧通訊系統 100‧‧‧用戶主機 130‧‧‧外部主機 150‧‧‧內部網路 170‧‧‧外部網路 200‧‧‧閘道裝置 210‧‧‧通訊單元 230‧‧‧儲存單元 231‧‧‧流量側錄模組 232‧‧‧模型學習模組 233‧‧‧受害判定模組 235‧‧‧情資收集模組 236‧‧‧情資分享模組 237‧‧‧威脅情資資料庫 250‧‧‧處理單元 CF1、CF2、CF3、CF4、CF5、CF6、CF7、CF8、CF9‧‧‧連線因子/連線因子節點 S21、S23、S25、S27、S29‧‧‧步驟
圖1是根據本發明的實施例繪示通訊系統的架構的示意圖。 圖2是根據本發明的實施例繪示惡意網域與受駭主機的偵測方法的流程圖。 圖3是繪示解析超文本傳輸協定要求的範例。 圖4是根據本發明的實施例繪示互動分析二分圖。 圖5是根據本發明的實施例繪示標記連線因子節點後的互動分析二分圖。 圖6是一通道經數位鑑識驗證之結果示意圖。
S21、S23、S25、S27、S29‧‧‧步驟

Claims (13)

  1. 一種惡意網域與受駭主機的偵測方法,適用於閘道裝置,所述偵測方法包括:接收多個網路流量;自所述多個網路流量中解析出多個通道及多個連線因子,其中所述多個通道中的每一者關聯於網域與網際網路協定位址的連結;建立所述多個通道與所述多個連線因子的連接關係,包括:將所述多個連線因子中的每一者作為連線因子節點,並將所述多個通道中的每一者作為通道節點;基於所述連接關係及威脅情資建構出網路互動行為鏈結模型,包括:基於所述威脅情資標記所述連線因子節點;基於所標記的連線因子節點產生對應所述通道節點中的每一者的特徵值,其中所述特徵值包括下列的至少其中之一:第一特徵值f1,其中f1=|T|,T係所有連線因子節點的集合;第二特徵值f2,其中f2=|B|/|T|,B係標記為良性的連線因子節點的集合;第三特徵值f3,其中f3=|V|/|T|,V係標記為惡意的連線因子節點的集合;第四特徵值f4,其中f4=|U|/|T|,U係標記為未知的連線因子節點的集合;第五特徵值f5,其中f5=|M|/|T|,M係標記為混合的連線因子節點的集合;以及第六特徵值f6,其中f6=|L|/|T|,L係標記為離群的連線因子節點的集合;以及 依據所述特徵值訓練所述網路互動行為鏈結模型;以及透過所述網路互動行為鏈結模型偵測未知通道的受害情形。
  2. 如申請專利範圍第1項所述的偵測方法,其中所述連接關係為互動分析二分圖,而建立所述多個通道與所述多個連線因子的連接關係的步驟包括:依據所述多個網路流量的每一者將對應的連線因子節點及對應的通道節點連線,以形成所述互動分析二分圖。
  3. 如申請專利範圍第2項所述的偵測方法,其中基於所述連接關係及威脅情資建構出網路互動行為鏈結模型的步驟包括:基於所述威脅情資標記所述通道節點;以及基於所標記的通道節點訓練所述網路互動行為鏈結模型。
  4. 如申請專利範圍第3項所述的偵測方法,其中基於所標記的通道節點訓練所述網路互動行為鏈結模型的步驟包括:依據所標記的通道節點而透過機器學習演算法訓練所述網路互動行為鏈結模型。
  5. 如申請專利範圍第4項所述的偵測方法,其中基於所述威脅情資標記所述連線因子節點的步驟包括:依據所述連線因子節點的白名單總數大於門檻值且黑名單總數等於零而將所述連線因子節點標記為良性;依據所述黑名單總數大於所述門檻值且所述黑名單總數大於所述白名單總數而將所述連線因子節點標記為惡意;依據所述黑名單總數大於所述門檻值且所述白名單總數大於 所述黑名單總數而將所述連線因子節點標記為混合;依據所述白名單總數等於零且所述黑名單總數等於零而將所述連線因子節點標記為未知;以及依據所述連線因子節點的出現總數等於一而將所述連線因子節點標記為離群,其中所述白名單總數係所述連線因子在所述威脅情資的良性名單中出現的次數、所述黑名單總數係所述連線因子在惡意程式的網路流量中出現的次數並且所述出現總數係所述白名單總數加上所述黑名單總數。
  6. 如申請專利範圍第1項所述的偵測方法,其中所述連線因子關聯於下列中的其中之一:蹤跡、用戶代理、時間戳、連線方法及連線請求。
  7. 一種閘道裝置,分別連線至內部網路及外部網路,所述閘道裝置包括:通訊單元,收發資料;儲存單元,儲存多個模組;處理單元,耦接所述通訊單元及所述儲存單元,且存取並執行所述儲存單元所儲存的所述多個模組,所述多個模組包括:流量側錄模組,透過所述通訊單元接收所述內部網路及所述外部網路之間的多個網路流量;模型學習模組,自所述多個網路流量中解析出多個通道及多個連線因子,建立所述多個通道與所述多個連線因子的 連接關係,包括:將所述多個連線因子中的每一者作為連線因子節點,並將所述多個通道中的每一者作為通道節點;並且基於所述連接關係及威脅情資建構出網路互動行為鏈結模型,包括:基於所述威脅情資標記所述連線因子節點;基於所標記的連線因子節點產生對應所述通道節點中的每一者的特徵值,其中所述特徵值包括下列的至少其中之一:第一特徵值f1,其中f1=|T|,T係所有連線因子節點的集合;第二特徵值f2,其中f2=|B|/|T|,B係標記為良性的連線因子節點的集合;第三特徵值f3,其中f3=|V|/|T|,V係標記為惡意的連線因子節點的集合;第四特徵值f4,其中f4=|U|/|T|,U係標記為未知的連線因子節點的集合;第五特徵值f5,其中f5=|M|/|T|,M係標記為混合的連線因子節點的集合;以及第六特徵值f6,其中f6=|L|/|T|,L係標記為離群的連線因子節點的集合,以及依據所述特徵值訓練所述網路互動行為鏈結模型,其中所述多個通道中的每一者關聯於網域與網際網路協定位址的連結;以及受害判定模組,透過所述網路互動行為鏈結模型偵測未知通道的受害情形。
  8. 如申請專利範圍第7項所述的閘道裝置,其中所述連接關係為互動分析二分圖,而建立所述多個通道與所述多個連線因子的連接關係的步驟包括:依據所述多個網路流量的每一者將對應的連線因子節點及對 應的通道節點連線,以形成所述互動分析二分圖。
  9. 如申請專利範圍第8項所述的閘道裝置,其中基於所述連接關係及威脅情資建構出網路互動行為鏈結模型的步驟包括:基於所述威脅情資標記所述通道節點;以及基於所標記的通道節點訓練所述網路互動行為鏈結模型。
  10. 如申請專利範圍第9項所述的閘道裝置,其中基於所標記的通道節點訓練所述網路互動行為鏈結模型的步驟包括:依據所標記的通道節點而透過機器學習演算法訓練所述網路互動行為鏈結模型。
  11. 如申請專利範圍第10項所述的閘道裝置,其中基於所述威脅情資標記所述連線因子節點的步驟包括:依據所述連線因子節點的白名單總數大於門檻值且黑名單總數等於零而將所述連線因子節點標記為良性;依據所述黑名單總數大於所述門檻值且所述黑名單總數大於所述白名單總數而將所述連線因子節點標記為惡意;依據所述黑名單總數大於所述門檻值且所述白名單總數大於所述黑名單總數而將所述連線因子節點標記為混合;依據所述白名單總數等於零且所述黑名單總數等於零而將所述連線因子節點標記為未知;以及依據所述連線因子節點的出現總數等於一而將所述連線因子節點標記為離群,其中所述白名單總數係所述連線因子在所述威脅情資的良性名單 中出現的次數、所述黑名單總數係所述連線因子在惡意程式的網路流量中出現的次數並且所述出現總數係所述白名單總數加上所述黑名單總數。
  12. 如申請專利範圍第7項所述的閘道裝置,其中所述連線因子關聯於下列中的其中之一:蹤跡、用戶代理、時間戳、連線方法及連線請求。
  13. 一種非暫態電腦可讀取媒體,記錄程式,並經由閘道裝置載入所述程式以執行以下步驟:接收多個網路流量;自所述多個網路流量中解析出多個通道及多個連線因子,其中所述多個通道中的每一者關聯於網域與網際網路協定位址的連結;建立所述多個通道與所述多個連線因子的連接關係,包括:將所述多個連線因子中的每一者作為連線因子節點,並將所述多個通道中的每一者作為通道節點;基於所述連接關係及威脅情資建構出網路互動行為鏈結模型,包括:基於所述威脅情資標記所述連線因子節點;基於所標記的連線因子節點產生對應所述通道節點中的每一者的特徵值,其中所述特徵值包括下列的至少其中之一:第一特徵值f1,其中f1=|T|,T係所有連線因子節點的集合;第二特徵值f2,其中f2=|B|/|T|,B係標記為良性的連線因子節點的集合; 第三特徵值f3,其中f3=|V|/|T|,V係標記為惡意的連線因子節點的集合;第四特徵值f4,其中f4=|U|/|T|,U係標記為未知的連線因子節點的集合;第五特徵值f5,其中f5=|M|/|T|,M係標記為混合的連線因子節點的集合;以及第六特徵值f6,其中f6=|L|/|T|,L係標記為離群的連線因子節點的集合;以及依據所述特徵值訓練所述網路互動行為鏈結模型;以及透過所述網路互動行為鏈結模型偵測未知通道的受害情形。
TW107130038A 2018-08-28 2018-08-28 閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體 TWI684113B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW107130038A TWI684113B (zh) 2018-08-28 2018-08-28 閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW107130038A TWI684113B (zh) 2018-08-28 2018-08-28 閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體

Publications (2)

Publication Number Publication Date
TWI684113B true TWI684113B (zh) 2020-02-01
TW202009767A TW202009767A (zh) 2020-03-01

Family

ID=70413427

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107130038A TWI684113B (zh) 2018-08-28 2018-08-28 閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體

Country Status (1)

Country Link
TW (1) TWI684113B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI777766B (zh) * 2021-09-10 2022-09-11 中華電信股份有限公司 偵測惡意網域查詢行為的系統及方法
US11997116B2 (en) 2021-10-13 2024-05-28 Industrial Technology Research Institute Detection device and detection method for malicious HTTP request

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11558352B2 (en) 2020-10-19 2023-01-17 Cycraft Singapore Pte. Ltd. Cyber security protection system and related proactive suspicious domain alert system
TWI764618B (zh) * 2020-10-19 2022-05-11 新加坡商賽博創新新加坡股份有限公司 網路資安威脅防護系統及相關的前攝性可疑網域示警系統

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102821002A (zh) * 2011-06-09 2012-12-12 ***通信集团河南有限公司信阳分公司 网络流量异常检测方法和***
CN103685230A (zh) * 2013-11-01 2014-03-26 上海交通大学 僵尸网络恶意域名的分布式协同检测***和方法
US20180198811A1 (en) * 2017-01-11 2018-07-12 Cisco Technology, Inc. Identifying malicious network traffic based on collaborative sampling
TW201830929A (zh) * 2017-01-11 2018-08-16 美商高通公司 在網路流量型樣中以上下文為基礎之異常行為之偵測

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102821002A (zh) * 2011-06-09 2012-12-12 ***通信集团河南有限公司信阳分公司 网络流量异常检测方法和***
CN103685230A (zh) * 2013-11-01 2014-03-26 上海交通大学 僵尸网络恶意域名的分布式协同检测***和方法
US20180198811A1 (en) * 2017-01-11 2018-07-12 Cisco Technology, Inc. Identifying malicious network traffic based on collaborative sampling
TW201830929A (zh) * 2017-01-11 2018-08-16 美商高通公司 在網路流量型樣中以上下文為基礎之異常行為之偵測

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI777766B (zh) * 2021-09-10 2022-09-11 中華電信股份有限公司 偵測惡意網域查詢行為的系統及方法
US11997116B2 (en) 2021-10-13 2024-05-28 Industrial Technology Research Institute Detection device and detection method for malicious HTTP request

Also Published As

Publication number Publication date
TW202009767A (zh) 2020-03-01

Similar Documents

Publication Publication Date Title
TWI648650B (zh) 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體
Koroniotis et al. Forensics and deep learning mechanisms for botnets in internet of things: A survey of challenges and solutions
US11785037B2 (en) Cybersecurity risk assessment on an industry basis
US20200204574A1 (en) Data Surveillance for Privileged Assets based on Threat Streams
TWI684113B (zh) 閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體
Ring et al. Detection of slow port scans in flow-based network traffic
TWI625641B (zh) 二階段過濾的電腦攻擊阻擋方法以及使用該方法的裝置
Li et al. Demographic information inference through meta-data analysis of Wi-Fi traffic
CN110362992B (zh) 在基于云端环境中阻挡或侦测计算机攻击的方法和设备
Alani Big data in cybersecurity: a survey of applications and future trends
Paulauskas et al. Local outlier factor use for the network flow anomaly detection
Besel et al. Full cycle analysis of a large-scale botnet attack on Twitter
Lamprakis et al. Unsupervised detection of APT C&C channels using web request graphs
Fallah et al. Android malware detection using network traffic based on sequential deep learning models
Gupta et al. Prevention of cross-site scripting vulnerabilities using dynamic hash generation technique on the server side
TWI656778B (zh) Malicious domain detection method combining network information and network traffic
Yoshihama et al. Web-Based Data Leakage Prevention.
Bhattacharya et al. A comprehensive survey on online social networks security and privacy issues: Threats, machine learning‐based solutions, and open challenges
Leita et al. HARMUR: Storing and analyzing historic data on malicious domains
Zhang et al. Hunting for invisibility: Characterizing and detecting malicious web infrastructures through server visibility analysis
Fernandez et al. Early detection of spam domains with passive DNS and SPF
TWI677803B (zh) 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體
Zhang et al. Error-sensor: mining information from HTTP error traffic for malware intelligence
Meng et al. Towards effective and robust list-based packet filter for signature-based network intrusion detection: an engineering approach
Namasivayam Categorization of Phishing Detection Features and Using the Feature Vectors to Classify Phishing Websites