TWI732169B - 驗證威脅情資有效性的方法及驗證系統 - Google Patents
驗證威脅情資有效性的方法及驗證系統 Download PDFInfo
- Publication number
- TWI732169B TWI732169B TW108101498A TW108101498A TWI732169B TW I732169 B TWI732169 B TW I732169B TW 108101498 A TW108101498 A TW 108101498A TW 108101498 A TW108101498 A TW 108101498A TW I732169 B TWI732169 B TW I732169B
- Authority
- TW
- Taiwan
- Prior art keywords
- node
- verified
- nodes
- malicious
- score
- Prior art date
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本發明提供一種驗證威脅情資有效性的方法及驗證系統。所述方法包括:取得待驗證節點的網路拓樸,其中網路拓樸包括待驗證節點及多個節點,前述節點包括多個終端節點;從各終端節點進行惡意信念傳播至待驗證節點,以計算各終端節點的區域惡意傳播分數;從前述節點中找出多個安全節點,並從各安全節點進行良性信念傳播至待驗證節點,以計算各安全節點的區域良性傳播分數;基於各終端節點的區域惡意傳播分數及各安全節點的區域良性傳播分數計算待驗證節點的信譽分數;反應於信譽分數低於分數門檻值,判定待驗證節點為惡意節點。
Description
本發明是有關於一種網域驗證方法及系統,且特別是有關於一種驗證威脅情資有效性的方法及驗證系統。
惡意網域的數量正在逐年增加,對於企業而言每天都有無數的外部連線,攻擊者總是使用複雜的方法將惡意軟體傳播到企業之中,如進階持續性滲透攻擊(Advanced Persistent Threat; APT)與傀儡殭屍網路(Botnet)。然而,企業可能訂閱多個威脅情資以增加其情資知識庫,用以防堵企業面臨的惡意網域之威脅潛在風險,雖然企業透過訂閱的方式增加了威脅情資的數量將有助於做出更明智的決策,但企業也必須付出相當大的努力來識別與分析大量訂閱的威脅情資。由於現有威脅情資來源存在著大量的誤報,分析每一個誤報告警通常既不實際也不符合成本效益。因此如何幫助企業評估其威脅情資已成為一件極重要的企業資安問題。
有鑑於此,本發明提供一種驗證威脅情資有效性的方法及驗證系統,其可用於解決上述技術問題。
本發明提供一種驗證威脅情資有效性的方法,包括:蒐集關聯於一待驗證節點的網路威脅情資,並據以取得關聯於待驗證節點的一網路拓樸,其中網路拓樸包括待驗證節點及多個節點,前述節點包括多個終端節點,各節點具有一節點屬性,節點屬性包括安全或未知;從各終端節點進行一惡意信念傳播至待驗證節點,以計算各終端節點的一區域惡意傳播分數;從前述節點中找出被歸類為安全的多個安全節點,並從各安全節點進行一良性信念傳播至待驗證節點,以計算各安全節點的一區域良性傳播分數;基於各終端節點的區域惡意傳播分數及各安全節點的區域良性傳播分數計算待驗證節點的一信譽分數;反應於信譽分數低於一分數門檻值,判定待驗證節點為一惡意節點。
本發明提供一種驗證系統,包括情資收集模組、信念傳播模組及信譽分數計算模組。情資收集模組蒐集關聯於一待驗證節點的網路威脅情資,並據以取得關聯於待驗證節點的一網路拓樸,其中網路拓樸包括待驗證節點及多個節點,前述節點包括多個終端節點,各節點具有一節點屬性,節點屬性包括安全或未知。信念傳播模組經配置以:從各終端節點進行一惡意信念傳播至待驗證節點,以計算各終端節點的一區域惡意傳播分數;以及從前述節點中找出被歸類為安全的多個安全節點,並從各安全節點進行一良性信念傳播至待驗證節點,以計算各安全節點的一區域良性傳播分數。信譽分數計算模組經配置以:基於各終端節點的區域惡意傳播分數及各安全節點的區域良性傳播分數計算待驗證節點的一信譽分數;以及反應於信譽分數低於一分數門檻值,判定待驗證節點為一惡意節點。
基於上述,本發明可有效的針對待驗證的威脅情資透過情資關聯的方式找出待驗證威脅情資的網路拓樸,並基於拓樸節點間的關聯關係進行信念傳播,最終給予待驗證威脅情資一個信譽分數以表示對應之惡意程度。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
概略而言,本發明的方法可用於評估企業經由網路訂閱、交換或透過任何技術所自行產生的網域或IP情資是否為潛在的惡意網域或IP,以幫助企業資安鑑識人員驗證網路威脅情資之判斷依據,並降低防禦系統誤判之風險。
請參照圖1,其是依據本發明之一實施例繪示的驗證系統示意圖。在圖1中,驗證系統100可包括待驗證節點資料庫10、情資收集模組11、信念傳播模組12及信譽分數計算模組13。
在一實施例中,待驗證節點資料庫10將儲存來自網路訂閱、交換或自行產生之威脅情資,並記錄有待驗證節點(其例如是潛在惡意網域或IP)。情資收集模組11可從待驗證節點資料庫10取得待驗證威脅情資清單並透過收集器收集各種不同來源的網路威脅情資。在不同的實施例中,情資收集模組11可從例如VirusTotal、PassiveTotal、CIRCL、ThreatMiner或ThreatExpert等來源收集網路威脅情資資訊,藉以蒐集待驗證節點之關聯資訊。在一實施例中,上述關聯資訊可代表待驗證節點的網路拓樸,且可被儲存至情資收集模組11內的圖形資料庫中以便管理,但本發明可不限於此。
信念傳播模組12可以威脅情資清單中的待驗證節點為主至情資收集模組11中的圖形資料庫提取待驗證節點的網路拓樸,並基於節點之間的關連關係將給予不同傳播因子。之後,信念傳播模組12可以網路拓樸中的各終端節點為起始點,經由最短路徑的方法把傳播因子傳播至入度(in-degree)的鄰居節點,而每個鄰居節點也向自身的入度鄰居節點傳播自身的傳播因子,並經由一連串的信念傳播直到最終的入度鄰居節點為待驗證節點為止,並計算區域信念分數。
信譽分數計算模組13可基於信念傳播模組12所計算出的區域信念分數以待驗證節點為出發點向外關連的出度(out-degree)加總後的結果將成為待驗證節點的信譽分數,而信譽分數可為正或負值。在一實施例中,當信譽分數為正值時,可表示待驗證節點的潛在惡意風險越小。相反地,若信譽分數為負值則可表示待驗證節點存在潛在惡意風險,且負值越大代表潛在惡意風險越高。
在一實施例中,信譽分數計算模組13可計算威脅情資清單中的每個待驗證節點的信譽分數且進行排序,並設立一分數門檻值(Threshold)。達到一定分數門檻值之待驗證節點將成為已確認之威脅情資,以提供至威脅情資資料庫與情資分享模組14。
威脅情資資料庫與情資分享模組14可儲存已確認之網路威脅情資與分享該威脅情資給第三方聯防系統或設備,以達到情資共享,區域聯防之概念。
為使本發明之精神更為清楚,以下另輔以流程圖及具體實施例作進一步說明。
請參照圖2及圖3,其中圖2是依據本發明之一實施例繪示的驗證威脅情資有效性的方法,而圖3是依據本發明之一實施例繪示的網路拓樸圖。在本實施例中,圖2的方法可由圖1的驗證系統100執行,以下即搭配圖1所示的元件及圖3來說明圖2各步驟的細節。
首先,在步驟S210中,情資收集模組11可蒐集關聯於待驗證節點的網路威脅情資,並據以取得關聯於待驗證節點的網路拓樸。以圖3為例,對於所考慮的待驗證節點(例如圖3所示的D1
),情資收集模組11可據以查詢以上提及的各種來源(例如VirusTotal),以取得關聯於D1
的相關資訊。
在不同的實施例中,所取得的待驗證節點的相關資訊例如包括:(1)節點資訊,如網域節點(例如圖3中的D2
)、統一資源***(Uniform Resource Locator,URL)節點(例如圖3中的URL1
、URL2
)、IP節點(例如圖3中的IP1
、IP2
)及惡意檔案(Malicious files hash)節點(例如圖3中的MF1
、MF2
、…MF10
)等;(2)節點屬性,如安全(safe)或未知(unknown);以及(3)節點間的關聯關係,如A、CNAME、resolutions、subdomains、domain_siblings、detected_communicating_samples、detected_referrer_samples與detected_communicating_URL,而節點資訊與節點間的關聯關係可統整為下表1所示態樣。
表1
節點A | 節點B | 關聯關係 |
Domain | Domain | subdomains、domain_siblings、CNAME |
Domain | IP | A、resolutions |
Domain | Malicious file hash | detected_communicating_samples、detected_referrer_samples |
Domain | URL | detected_communicating_URL |
IP | Domain | A、resolutions |
IP | Malicious file hash | detected_communicating_samples、detected_referrer_samples |
IP | URL | detected_communicating_URL |
Malicious file hash | Domain | detected_communicating_samples、detected_referrer_samples |
Malicious file hash | IP | detected_communicating_samples、detected_referrer_samples |
Malicious file hash | URL | detected_communicating_URL |
URL | Domain | detected_communicating_URL |
URL | IP | A、resolutions |
URL | Malicious file hash | detected_communicating_samples、detected_referrer_samples |
在表1中,所示的各種節點間關聯關係詳述如下表2。
表2
關聯關係 | 描述 |
A | 網域被解析出的目前IP |
CNAME | 網域的別名 |
resolutions | 曾經為該網域被解析出的IP |
subdomains | 該網域的子網域 |
domain_siblings | 有共同父網域的網域 |
detected_communicating_samples | 與惡意檔案進行連線或下載 |
detected_referrer_samples | 網域、IP或URL被嵌入於惡意檔案中 |
detected_communicating_URL | 與惡意URL進行連線 |
在一實施例中,所取得的全部節點與關聯資訊可儲存至情資收集模組11內的圖形資料庫中進行管理,並可供信念傳播模組12在需要時提取待驗證節點(例如D1
)的網路拓樸,但本發明可不限於此。此外,在表2所示的各個關聯關係中,關聯度由高而低依序為A、CNAME、detected_communicating_samples、detected_referrer_samples、detected_communicating_URL、subdomains、domain_siblings、resolutions。在一實施例中,表2中的各個關聯度可例示性地表徵為如下表3所示的各個數值,但本發明可不限於此。
表3
關聯關係 | 關聯度 |
A、CNAME | 1.0 |
detected_communicating_samples、detected_referrer_samples、detected_communicating_URL | 0.8 |
subdomains、domain_siblings | 0.7 |
resolutions | 0.3 |
如圖3所示,D1
的網路拓樸中包括URL1
、URL2
、MF1
~MF10
及D2
等終端節點(即位於各路徑末端的節點)。為便於說明,以下將以P1
、P2
、…P13
代稱URL1
、URL2
、MF1
~MF10
及D2
等終端節點。基此,在步驟S220中,信念傳播模組12可從各終端節點進行惡意信念傳播至待驗證節點,以計算各終端節點的區域惡意傳播分數。概略而言,信念傳播模組12可由每個終端節點透過最短路徑的方法與入度的鄰居節點進行一連串傳播因子的傳播,直到到達待驗證節點(即,D1
)為止,並計算各終端節點區域惡意傳播分數。
在一實施例中,對於前述終端節點中的第x個終端節點(即,)而言,對應的區域惡意傳播分數可表徵為:
其中n1為從所述第x個終端節點至待驗證節點的一路徑上的節點數量,w為一轉換函數,為在路徑上的第i個節點,為與為一入度關係的節點。在一實施例中,的值正相關於及之間的關聯度。亦即,及之間的關聯度越高,的值越高,反之亦反。
以URL1
(即,P1
)為例,其與入度鄰居節點(即,IP1
)的傳播因子為w(IP1
,URL1
),而IP1
與入度鄰居節點(即,D1
)的傳播因子為w(D1
,IP1
)。基此,URL1
區域惡意傳播分數可表示為。
再以URL2
(即,P2
)為例,其與入度鄰居節點(即,IP2
)的傳播因子為w(IP2
,URL2
),而IP2
與入度鄰居節點(即,D1
)的傳播因子為w(D1
,IP2
)。基此,URL2
區域惡意傳播分數可表示為。基於以上教示,本領域具通常知識者應可相應推得~的表示方式,於此不另贅述。
在步驟S230中,信念傳播模組12可從各安全節點進行良性信念傳播至待驗證節點。在本實施例中,前述安全節點例如是基於外部情資而被判定節點屬性為安全的節點。在此情況下,信念傳播模組12可以各安全節點為起始點,經由最短路徑的方式傳播自身與入度鄰居節點的傳播因子,並進行一連串的傳播直到最終鄰居節點為待驗證節點(即,D1
)為止。
在一實施例中,對於前述安全節點中的第y個安全節點(以Py
表示)而言,對應的區域良性傳播分數為:
其中n2為從所述第y個安全節點至該待驗證節點的路徑上的節點數量,w為一轉換函數,為在此路徑上的第i個節點,為與為一入度關係的節點。在一實施例中,的值正相關於及之間的關聯度。
之後,在步驟S240中,信譽分數計算模組13可基於各終端節點的區域惡意傳播分數及各安全節點的區域良性傳播分數計算待驗證節點(即,D1
)的信譽分數。
概略而言,對於待驗證威脅情資清單中的第i個待驗證節點而言,對應的信譽分數可表徵為:
其中代表所述第i個待驗證節點,為的網路拓樸中各終端節點的區域惡意傳播分數的總和,為的網路拓樸中各安全節點的區域良性傳播分數的總和,而k為大於1的權重值。
在不同的實施例中,待驗證節點(即,D1
)的信譽分數可為正或負值。當待驗證節點(即,D1
)的信譽分數為正值時,即代表待驗證節點(即,D1
)的潛在惡意風險較小。相反地,當待驗證節點(即,D1
)的信譽分數為負值時,即代表待驗證節點(即,D1
)存在潛在惡意風險,而負值越大代表潛在惡意風險越高。
在一實施例中,驗證系統100可對待驗證威脅情資清單中的各個待驗證節點皆計算對應的信譽分數,並據以產生一待驗證節點信譽分數清單。在一實施例中,前述清單可基於信譽分數將待驗證威脅情資清單中的多個待驗證節點進行排序。此外,信譽分數計算模組13可並經由門檻值的判斷來決定待驗證節點是否為潛在的惡意網域或IP。
在步驟S250中,反應於信譽分數低於分數門檻值,信譽分數計算模組13可判定待驗證節點(即,D1
)為惡意節點。反之,若信譽分數高於上述分數門檻值,則信譽分數計算模組13可判定待驗證節點不為惡意節點。進一步而言,在判定待驗證節點(即,D1
)為惡意節點(例如,惡意網域或IP)之後,並且信譽分數計算模組13可將待驗證節點(即,D1
)提供威脅情資資料庫與情資分享模組14以進行儲存及情資共享。亦即,本發明將可介接情資分享平台,以達到情資共享,區域聯防之概念。
綜上所述,本發明驗證威脅情資有效性的方法及驗證系統可在蒐集待驗證節點的相關資訊(例如節點資訊、節點屬性與節點間的關聯關係)之後,據以繪出待驗證節點的網路拓樸。之後,本發明可再計算此網路拓樸中各終端節點的區域惡意傳播分數,以及各安全節點的區域良性傳播分數,並據以計算待驗證節點的信譽分數。接著,本發明可再基於待驗證節點的信譽分數是否低於分數門檻值來判斷待驗證節點是否為惡意節點。
此外,在判斷待驗證節點為惡意節點之後,本發明可再將待驗證節點提供威脅情資資料庫與情資分享模組以進行儲存及情資共享,從而達到區域聯防之效果。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
100:驗證系統
10:待驗證節點資料庫
11:情資收集模組
12:信念傳播模組
13:信譽分數計算模組
14:威脅情資資料庫與情資分享模組
S210~S250:步驟
URL1、URL2、MF1~MF10、D1、D2:節點
圖1是依據本發明之一實施例繪示的驗證系統示意圖。
圖2是依據本發明之一實施例繪示的驗證威脅情資有效性的方法。
圖3是依據本發明之一實施例繪示的網路拓樸圖。
S210~S250:步驟
Claims (6)
- 一種驗證威脅情資有效性的方法,包括:蒐集關聯於一待驗證節點的網路威脅情資,並據以取得關聯於該待驗證節點的一網路拓樸,其中該網路拓樸包括該待驗證節點及多個節點,該些節點包括多個終端節點,各該節點具有一節點屬性,該節點屬性包括安全或未知;從各該終端節點進行一惡意信念傳播至該待驗證節點,以計算各該終端節點的一區域惡意傳播分數,包括:對於該些終端節點中的第x個終端節點而言,對應的該區域惡意傳播分數為:
- 如申請專利範圍第1項所述的方法,其中蒐集關聯於該待驗證節點的網路威脅情資的步驟包括:從一外部網站查詢關聯於該待驗證節點的該些節點以及該些節點兩兩之間的關聯度。
- 如申請專利範圍第1項所述的方法,其中該些節點包括網域節點、統一資源***(Uniform Resource Locator,URL)節點、IP節點及惡意檔案節點。
- 如申請專利範圍第1項所述的方法,其中w(Node i ,Node in-degree )的值正相關於Node i 及Node in-degree 之間的關聯度。
- 一種驗證系統,包括:一情資收集模組,蒐集關聯於一待驗證節點的網路威脅情資,並據以取得關聯於該待驗證節點的一網路拓樸,其中該網路拓樸包括該待驗證節點及多個節點,該些節點包括多個終端節點,各該節點具有一節點屬性,該節點屬性包括安全或未知;一信念傳播模組,其經配置以:從各該終端節點進行一惡意信念傳播至該待驗證節點,以計算各該終端節點的一區域惡意傳播分數;以及從該些節點中找出被歸類為安全的多個安全節點,並從各該安全節點進行一良性信念傳播至該待驗證節點,以計算各該安全節點的一區域良性傳播分數;一信譽分數計算模組,其經配置以:基於各該終端節點的該區域惡意傳播分數及各該安全節點的該區域良性傳播分數計算該待驗證節點的一信譽分數;以及反應於該信譽分數低於一分數門檻值,判定該待驗證節點為一惡意節點,其中,對於該些終端節點中的第x個終端節點而言,對應的該區域惡意傳播分數為:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW108101498A TWI732169B (zh) | 2019-01-15 | 2019-01-15 | 驗證威脅情資有效性的方法及驗證系統 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW108101498A TWI732169B (zh) | 2019-01-15 | 2019-01-15 | 驗證威脅情資有效性的方法及驗證系統 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW202029698A TW202029698A (zh) | 2020-08-01 |
TWI732169B true TWI732169B (zh) | 2021-07-01 |
Family
ID=73002514
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW108101498A TWI732169B (zh) | 2019-01-15 | 2019-01-15 | 驗證威脅情資有效性的方法及驗證系統 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI732169B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108965247A (zh) * | 2018-06-04 | 2018-12-07 | 上海交通大学 | 一种基于区块链的威胁情报交换共享***和方法 |
TW201902174A (zh) * | 2017-05-22 | 2019-01-01 | 中華電信股份有限公司 | 結合網域情資與網路流量之惡意網域偵測方法 |
CN109155774A (zh) * | 2016-03-30 | 2019-01-04 | 赛门铁克公司 | 用于检测安全威胁的***和方法 |
-
2019
- 2019-01-15 TW TW108101498A patent/TWI732169B/zh active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109155774A (zh) * | 2016-03-30 | 2019-01-04 | 赛门铁克公司 | 用于检测安全威胁的***和方法 |
TW201902174A (zh) * | 2017-05-22 | 2019-01-01 | 中華電信股份有限公司 | 結合網域情資與網路流量之惡意網域偵測方法 |
TWI656778B (zh) * | 2017-05-22 | 2019-04-11 | 中華電信股份有限公司 | Malicious domain detection method combining network information and network traffic |
CN108965247A (zh) * | 2018-06-04 | 2018-12-07 | 上海交通大学 | 一种基于区块链的威胁情报交换共享***和方法 |
Also Published As
Publication number | Publication date |
---|---|
TW202029698A (zh) | 2020-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10574681B2 (en) | Detection of known and unknown malicious domains | |
Yang et al. | A risk management approach to defending against the advanced persistent threat | |
US10574695B2 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
Karasaridis et al. | Wide-Scale Botnet Detection and Characterization. | |
Yu et al. | A feasible IP traceback framework through dynamic deterministic packet marking | |
US20100235915A1 (en) | Using host symptoms, host roles, and/or host reputation for detection of host infection | |
Chen et al. | Detecting botnet by anomalous traffic | |
Patgiri et al. | Preventing ddos using bloom filter: A survey | |
Dell'Amico et al. | Lean on me: Mining internet service dependencies from large-scale dns data | |
CN110650156B (zh) | 网络实体的关系聚类方法、装置及网络事件的识别方法 | |
US11968235B2 (en) | System and method for cybersecurity analysis and protection using distributed systems | |
Hong et al. | Ctracer: uncover C&C in advanced persistent threats based on scalable framework for enterprise log data | |
Kumar et al. | A machine learning based approach to detect malicious fast flux networks | |
Soltanaghaei et al. | Detection of fast-flux botnets through DNS traffic analysis | |
Shen et al. | Enhancing collusion resilience in reputation systems | |
Zhong et al. | DUSTBot: A duplex and stealthy P2P-based botnet in the Bitcoin network | |
TWI732169B (zh) | 驗證威脅情資有效性的方法及驗證系統 | |
Prieto et al. | Botnet detection based on DNS records and active probing | |
TWI677803B (zh) | 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體 | |
TWI634769B (zh) | Method for detecting domain name transformation botnet through proxy server log | |
Chen et al. | Doctrina: annotated bipartite graph mining for malware-control domain detection | |
CN105915513B (zh) | 云***中组合服务的恶意服务提供者的查找方法和装置 | |
Wang et al. | Large-scale evaluation of malicious tor hidden service directory discovery | |
Lalouani et al. | Multi-observable reputation scoring system for flagging suspicious user sessions | |
Mathew et al. | Genetic algorithm based layered detection and defense of HTTP botnet |