TWI797546B - 資訊安全裝置以及其方法 - Google Patents

資訊安全裝置以及其方法 Download PDF

Info

Publication number
TWI797546B
TWI797546B TW110103549A TW110103549A TWI797546B TW I797546 B TWI797546 B TW I797546B TW 110103549 A TW110103549 A TW 110103549A TW 110103549 A TW110103549 A TW 110103549A TW I797546 B TWI797546 B TW I797546B
Authority
TW
Taiwan
Prior art keywords
information
vulnerability
processor
knowledge
graphs
Prior art date
Application number
TW110103549A
Other languages
English (en)
Other versions
TW202223705A (zh
Inventor
魏得恩
黃馨瑩
張孝賢
吳建興
Original Assignee
財團法人資訊工業策進會
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人資訊工業策進會 filed Critical 財團法人資訊工業策進會
Publication of TW202223705A publication Critical patent/TW202223705A/zh
Application granted granted Critical
Publication of TWI797546B publication Critical patent/TWI797546B/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/90335Query processing
    • G06F16/90344Query processing by using string matching techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/9035Filtering based on additional data, e.g. user or group profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computational Linguistics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Telephonic Communication Services (AREA)
  • Alarm Systems (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

本發明提供一種資訊安全裝置,其包括收發器、記憶體以及處理器。收發器用以接收公司的情境資訊。記憶體用以儲存多個指令以及多個資料庫。處理器連接收發器以及記憶體,並用以執行多個指令以:從多個資料庫讀取第一漏洞相關資訊以及第一事件資訊;依據第一漏洞相關資訊以及第一事件資訊產生至少一第一知識圖譜,並依據情境資訊產生第二知識圖譜;以及比較至少一第一知識圖譜以及第二知識圖譜,以辨識至少一第一知識圖譜以及第二知識圖譜之間的相似度,進而判斷公司是否存在資訊安全威脅。此外,一種資訊安全方法亦在此提出。

Description

資訊安全裝置以及其方法
本發明是有關於一種資訊安全技術,特別是有關於一種資訊安全裝置以及其方法。
一般而言,資訊安全威脅的多樣性以及變化性很高,且過濾以及消化這些威脅資訊的相當耗費人力,故有必要藉助技術的幫助來過濾掉不相關的資訊。此外,儘管線上社群媒體是資安威脅資訊的豐富來源,然而,新聞媒體、資訊安全公司、政府組織、資訊安全社群以及網路上傳播的資訊經常與其他資訊混合在一起,需要耗費額外的資源加以處理。
因此,如何獲得資安威脅資訊以及如何過濾與消化這些資訊是本領域技術人員極待解決的問題。
本發明實施例提供一種資訊安全裝置,其包括收發器、記憶體以及處理器。收發器用以接收公司的情境資訊;記憶體用以儲存多個指令以及多個資料庫;以及處理器連接收發器以及記憶體,並用以執行多個指令以:從多個資料庫讀取第一漏洞相關資訊以及第一事件資訊;依據第一漏洞相關資訊以及第一事件資訊產生至少一第一知識圖譜,並依據情境資訊產生第二知識圖譜;以及比較至少一第一知識圖譜以及第二知識圖譜,以辨識至少一第一知識圖譜以及第二知識圖譜之間的相似度,進而判斷公司是否存在資訊安全威脅。
本發明實施例提供一種資訊安全方法,包括:從多個資料庫中讀取第一漏洞相關資訊以及第一事件資訊;依據第一漏洞相關資訊以及第一事件資訊產生至少一第一知識圖譜,並依據情境資訊產生第二知識圖譜;以及計算至少一第一知識圖譜以及第二知識圖譜之間的相似度,進而判斷公司是否存在資訊安全威脅。
基於上述,本發明的實施例可以將情境的知識圖譜與資訊安全事件的知識圖譜進行比較,以快速過濾情境的資訊安全事件。此外,本發明實施例還使用與情境對應的智能圖以及與資訊安全事件對應的智能圖進行相似分析,以辨識潛在會被攻擊的情境的漏洞。
現在將詳細參考本發明的當前實施例,其示例在附圖中示出。在附圖和說明書中,盡可能使用相同的附圖標記代指相同或相似的部件。
第1圖是依據本發明實施例的資訊安全裝置的方塊圖。參照第1圖,資訊安全裝置100可包括收發器110、記憶體120以及處理器130。收發器110可用以接收公司的情境資訊。詳細而言,收發器110可接收與公司相關的許多類型的資訊作為情境資訊。在一些實施例中,情境資訊可包括與公司的裝置以及資訊相關的裝置型號(device model)、資料流(data flow)、主機日誌(host logs)以及文件日誌(file logs)等。在一些實施例中,上述公司可以是企業單位、組織單位、機構單位或政府單位等。
此外,記憶體120用以儲存多個指令以及多個資料庫120(1)~120(N),其中N可以是任何正整數,但不限於此。處理器130可連接收發器110以及記憶體120,並用以執行上述多個指令。
在一些實施例中,收發器110可以無線或有線方式接收公司的情境資訊,並可執行諸如低噪聲放大、阻抗匹配、混合、上下變頻、濾波、放大等操作,以便從網路200獲得情境資訊。
在一些實施例中,收發器110例如是傳送器電路、類比-數位(analog-to-digital,A/D)轉換器、數位-類比(digital-to-analog,D/A)轉換器、低噪音放大器、混頻器、濾波器、阻抗匹配器、傳輸線、功率放大器、一個或多個天線電路及本地儲存媒體元件的其中之一或其組合。
在一些實施例中,記憶體120可例如是任何型態的固定式或可移動式的隨機存取記憶體(random access memory,RAM)、唯讀記憶體(read-only memory,ROM)、快閃記憶體(flash memory)、硬碟(hard disk drive,HDD)、固態硬碟(solid state drive,SSD)或類似元件或上述元件的組合。
在一些實施例中,處理器130例如是中央處理單元(central processing unit,CPU),或是其他可程式化之一般用途或特殊用途的微控制單元(micro control unit,MCU)、微處理器(microprocessor)、數位信號處理器(digital signal processor,DSP)、可程式化控制器、特殊應用積體電路(application specific integrated circuit,ASIC)、圖形處理器(graphics processing unit,GPU)、算數邏輯單元(arithmetic logic unit,ALU)、複雜可程式邏輯裝置(complex programmable logic device,CPLD)、現場可程式化邏輯閘陣列(field programmable gate array,FPGA)或其他類似元件或上述元件的組合。
在一些實施例中,處理器130可以有線或無線的方式連接收發器110以及記憶體120。
對於有線方式而言,上述連接的方式可以是透過通用序列匯流排(universal serial bus,USB)、RS232、通用非同步接收器/傳送器(universal asynchronous receiver/transmitter,UART)、內部整合電路(I2C)、序列周邊介面(serial peripheral interface,SPI)、顯示埠(display port)、雷電埠(thunderbolt)或區域網路(local area network,LAN)介面連接的方式。
而對於無線方式而言,上述連接的方式可以是透過無線保真(wireless fidelity,Wi-Fi)模組、無線射頻識別(radio frequency identification,RFID)模組、藍芽模組、紅外線模組、近場通訊(near-field communication,NFC)模組或裝置對裝置(device-to-device,D2D)模組連接的方式。
在一些實施例中,處理器130可藉由收發器110從各種社群媒體網站(例如:Twitter或Facebook)、各種新聞網站(例如:CERT-EU)、各種論壇網站(例如:0day.today)或其他類似的網站或資料庫搜尋並接收樣本社群媒體資料。
在一些實施例中,處理器130可藉由收發器110從各種開源軟體漏洞(vulnerability)資訊資料庫(例如:國家漏洞資料庫(National Vulnerability Database,NVD)、常見漏洞與暴露資料庫(Common Vulnerabilities and Exposures database,CVE)、開源漏洞資料庫(Open Source Vulnerability Database,OSVDB)、漏洞攻擊資料庫(Exploit Database,Exploit-DB)或漏洞資料庫(Vulnerability Database,VulDB)或各種社群媒體網站搜尋並接收第一漏洞相關資訊以及第一事件(event)資訊。處理器130更可以藉由收發器110接收第一漏洞相關資訊,且第一漏洞相關資訊是過去發生的並且由使用者輸入的軟體漏洞的資訊。
在一些實施例中,處理器130可藉由收發器110從各種開源或商業威脅情資資料庫搜尋並接收威脅指標(Indicator of Compromise,IOC)資料。
在進一步的實施例中,處理器130可將樣本社群媒體資料、第一漏洞相關資訊、第一事件資訊以及IOC資料儲存至資料庫120(1)~120(N)。
在進一步的實施例中,樣本社群媒體資料可包括關於社群媒體的文本(例如:此文本包括帳號、推文(tweets)、標籤(tags)、標題、作者、內容以及時間等)。
在進一步的實施例中,第一漏洞相關資訊可包括與攻擊方法(attack methods)、作業系統(operating systems)、威脅類型(threat types)以及威脅等級(threat levels)等相關的各種漏洞以及資訊,其中這些攻擊方法、作業系統、威脅類型以及威脅等級等對應於各種漏洞。
在進一步的實施例中,第一事件資訊可包括與過去發生的事件對應的各種資訊安全日誌(information security logs),其中資訊安全日誌中可包括攻擊方法(例如:DarkHotel APT)、攻擊方法的基礎架構(infrastructures)、與攻擊方法對應的漏洞(例如:CVE-2019-1367)以及各種漏洞的漏洞攻擊(exploitations)(例如:荒野漏洞攻擊中的CVE-2019-1367(CVE-2019-1367 in the wild exploitation))。
在進一步的實施例中,IOC資料可包括IOC的各種原始資料。
第2圖是依據本發明實施例的資訊安全方法的示意圖。第3圖是依據本發明實施例的資訊安全方法的流程圖。第3圖所示的實施例的方法可應用於第1圖中的資訊安全裝置100,但不限於此。為了方便和清楚地描述,以下可以同時參考第1圖、第2圖以及第3圖來描述第3圖所示的資訊安全方法的詳細步驟。
在步驟S301中,處理器130可從資料庫120(1)~120(N)讀取第一漏洞相關資訊以及第一事件資訊。
換言之,處理器130可在資料庫120(1)~120(N)中搜尋第一漏洞相關資訊以及第一事件資訊。
在一些實施例中,在處理器130從資料庫120(1)~120(N)讀取第一漏洞相關資訊以及第一事件資訊之前,處理器130可藉由收發器110接收社群媒體資料,並依據資料庫120(1)~120(N)的樣本社群媒體資料計算社群媒體資料的多個相關分數(relevancy scores),其中這些相關分數指示社群媒體資料與資訊安全之間的相關性。藉此,處理器130可依據多個相關分數從社群媒體資料中辨識文本資料(text data)。
在進一步的實施例中,樣本社群媒體資料可包括關於社群媒體的文本(例如:此文本可包括帳號、推文、標籤、標題、作者、內容以及時間等)。此外,處理器130可藉由收發器110從上述各種社群媒體資料庫接收社群媒體資料。
在進一步的實施例中,在步驟S201中,處理器130可從社群媒體資料庫120(1)的社群媒體資料中識別文本資料。
詳細而言,在步驟S2011中,處理器130可對社群媒體資料以及样本社群媒體資料執行斷句(sentence segmentation)、斷詞(word hyphenation)、超連結(hyperlinks)移除以及標點符號移除以執行自然語言處理(natural language processing,NLP),並利用經過NLP處理的處理後的樣本社群媒體資料作為訓練資料,其中處理後的樣本社群媒體資料可包括多個樣本單詞以及多個樣本句子。
在步驟S2013中,處理器130可在與處理後的樣本社群媒體資料對應的樣本單詞以及樣本句子上標記標籤(labels),其中各標籤指示各樣本單詞或各樣本句子是否與資訊安全相關。
在步驟S2015中,處理器130可利用標記後的樣本單詞以及標記後的樣本句子來訓練相關辨識模型(correlation identification model)。例如,處理器130可對標記後的樣本單詞以及標記後的樣本句子執行與長短期記憶(long short-term memory,LSTM)演算法有關的操作。值得注意的是,上述相關辨識模型的產生方法可以是任意的分類演算法(classification algorithm),在此對相關辨識模型的產生方法沒有特別的限制。
在步驟S2017中,處理器130可利用相關辨識模型以計算社群媒體資料的多個相關分數。藉此,處理器130可依據這些相關性分數從社群媒體資料中辨識文本資料。詳細而言,處理器130可在社群媒體資料中辨識文本資料,其中文本資料的相關分數大於分數閾值。
在進一步的實施例中,處理器130可依據樣本社群媒體資料辨識文本資料的多個事件主題(event subjects),其中多個事件主題指示與文本資料的多個主題相關的多個關鍵字(keywords)。如此一來,處理器130可利用多個事件主題標記文本資料,並依據標記後的文本資料以及事件資訊產生第二事件資訊,以將第二事件資訊儲存至資料庫120(1)~120(N)中。
在進一步的實施例中,在步驟S203中,處理器130可辨識文本資料的多個事件主題,並利用多個事件主題標記文本資料,進而依據標記後的文本資料以及第一事件資訊產生第二事件資訊,以將第二事件資訊儲存至事件資料庫120(3)中。
詳細而言,在步驟S2031中,處理器130可對社群媒體資料以及樣本社群媒體資料執行斷句、斷詞、超連結移除以及標點符號移除以執行NLP處理,並利用經過NLP處理的處理後的樣本社群媒體資料作為訓練資料,其中處理後的樣本社群媒體資料可包括多個樣本單詞以及多個樣本句子。
藉此,處理器130可在與處理後的樣本社群媒體資料對應的樣本單詞以及樣本句子上標記標籤,其中各標籤指示與各樣本單詞或各樣本句子對應的樣本事件主題。
在步驟S2033中,處理器130可利用標記後的樣本單詞以及標記後的樣本句子訓練主題辨識模型(subject identification model)。例如,處理器130可對標後記的樣本單詞以及標記後的樣本句子執行與隱含狄利克雷分布(latent Dirichlet allocation,LDA)演算法相關的操作。值得注意的是,上述的主題辨識模型的產生方法可以是任意的分類演算法,在此對於主題辨識模型的產生方法沒有特別的限制。
在步驟S2035中,處理器130可利用主題辨識模型以辨識文本資料的多個事件主題。如此一來,處理器130可以利用多個事件主題標記文本資料,並依據標記後的文本資料以及第一事件資訊產生第二事件資訊,以將第二事件資訊儲存至事件資料庫120(3)中。
詳細而言,處理器130可依據第一事件資訊辨識多個攻擊方法、多個攻擊方法的攻擊步驟以及多個與攻擊方法對應的漏洞,其中這些攻擊方法、攻擊步驟以及漏洞對應於標記後的文本資料的多個事件主題。如此一來,處理器130可依據這些攻擊方法、攻擊步驟以及漏洞產生第二事件資訊。因此,處理器130可將第二事件資訊儲存至事件資料庫120(3)中。
在一些實施例中,在處理器130從資料庫120(1)~120(N)讀取第一漏洞相關資訊以及第一事件資訊前,處理器130可藉由收發器110接收漏洞資料,並依據第一漏洞相關資訊計算漏洞資料的威脅程度。因此,處理器130可依據威脅程度以及漏洞資料產生第二漏洞相關資訊,並將第二漏洞相關資訊儲存至資料庫120(1)~120(N)中。
在進一步的實施例中,漏洞資料可包括與攻擊方法、作業系統以及威脅類型等相關的多個類型的多個漏洞以及資訊,其中攻擊方法、作業系統以及威脅類型等對應於多個類型的多個漏洞。此外,處理器130可藉由收發器110從上述各種外部開源軟體漏洞資訊資料庫或上述各種外部社群媒體資料庫接收關於漏洞的資料。
在進一步的實施例中,處理器130可依據資料庫120(1)~120(N)的樣本社群媒體資料計算與第一漏洞相關資訊相關的多個社群熱門度,其中這些社群熱門度指示第一漏洞相關資訊出現在樣本社群媒體資料中的頻率。藉此,處理器130可依據第一漏洞相關資訊以及多個社群熱門度產生多個漏洞特徵,並依據多個漏洞特徵計算漏洞資料的威脅程度。
在進一步的實施例中,在步驟S205中,處理器130可依據漏洞資料庫120(2)的第一漏洞相關資訊計算接收到的漏洞資料的威脅程度,並依據威脅程度以及漏洞資料產生第二漏洞相關資訊,藉以將第二漏洞相關資訊儲存至漏洞資料庫120(2)中。
詳細而言,在步驟S2051中,處理器130可從第一漏洞相關資訊產生多個第一漏洞特徵(例如:漏洞描述、漏洞評分系統(common vulnerability scoring system,CVSS)分數、CVE細節(CVE details)以及零日與今日價格(zero-day and today price)等),並從樣本社群媒體資料中計算第一漏洞相關資訊的各種漏洞的多個社群熱門度,進而以這些社群熱門度作為多個第二漏洞特徵,其中這些社群熱門度指示第一漏洞相關資訊在樣本社群媒體資料中出現的頻率。
在步驟S2053中,處理器130可利用多個第一漏洞特徵、多個第二漏洞特徵以及與第一漏洞相關資訊訓練漏洞攻擊預測模型。舉例而言,處理器130可對多個第一漏洞特徵、多個第二漏洞特徵以及與第一漏洞相關資訊執行與隨機森林演算法相關的操作。值得注意的是,上述產生漏洞攻擊預測模型的方法可以是任何分類演算法,在此對產生漏洞攻擊預測模型的方法沒有特別的限制。
在步驟S2055中,處理器130可利用漏洞攻擊預測模型計算漏洞資料的威脅程度,並依據威脅程度以及漏洞資料產生第二漏洞相關資訊,進而將第二漏洞相關資訊儲存至漏洞資料庫120(2),其中威脅程度指示漏洞資料中的一個漏洞未來將被利用並攻擊的機率。
詳細而言,處理器130可依據多個機率閾值辨識漏洞資料的多個威脅等級。基於此,處理器130可依據多個威脅等級以及漏洞資料產生第二漏洞相關資訊。因此,處理器130可將第二漏洞相關資訊儲存至漏洞資料庫120(2)中。
在步驟S303中,處理器130可依據第一漏洞相關資訊以及第一事件資訊產生至少一第一知識圖譜(intelligent graph),並依據情境資訊產生第二知識圖譜。
換言之,處理器130可基於第一漏洞相關資訊產生與第一漏洞相關資訊對應的至少一第一知識圖譜,並基於情境資訊產生與情境資訊對應的第二知識圖譜。
在一些實施例中,處理器130可分別從事件資料庫120(3)以及威脅指標資料庫120(5)讀取情境資訊以及IOC資料,並基於情境資訊以及IOC資料產生與情境資訊對應的第二知識圖譜。
在一些實施例中,處理器130可依據第一漏洞相關資訊產生多個第一知識子圖譜(intelligent subgraphs),並依據第一事件資訊產生多個第二知識子圖譜。如此一來,處理器130可連接(link)多個第一知識子圖譜的至少一者以及多個第二知識子圖譜的至少一者,以產生至少一第一知識圖譜,其中多個第一知識子圖譜的至少一者與多個第二知識子圖譜中的至少一者相關。
在進一步的實施例中,處理器130可將多個第一知識子圖譜的至少一者的至少一第一節點連接至多個第二知識子圖譜的至少一者的至少一第二節點,其中此至少一第一節點與此至少一第二節點相同。
在一些實施例中,在步驟S207中的步驟S2071中,處理器130可產生與漏洞資料庫120(2)的第一漏洞相關資訊對應的多個第一知識子圖譜,並產生與事件資料庫120(3)的第一事件資訊對應的多個第二知識子圖譜,藉以連接多個第一知識子圖譜的至少一者以及與多個第二知識子圖譜的至少一者相關的多個第二知識子圖譜的至少一者,以產生至少一第一知識圖譜。
詳細而言,處理器130可搜尋至少一第一節點,其中此至少一第一節點在多個第一知識子圖譜的至少一者中,並與多個第二知識子圖譜的至少一者中的至少一第二節點相同。藉此,處理器130可連接所有第一節點以及所有第二節點以產生至少一第一知識圖譜。
舉例而言,當處理器130已從十個第二知識子圖譜中搜尋到十個第二節點,且這十個第二節點分別與十個第一知識子圖譜中的十個第一節點相同時,處理器130可分別連接十個第一節點以及十個第二節點,以產生十個第一知識圖譜。
在另一個例子中,第4圖是依據本發明實施例的第一知識子圖譜的示意圖。參照第4圖,第一知識子圖譜與第一漏洞相關資訊中的一個漏洞相關。進一步而言,第一知識子圖譜指示有關一個漏洞的所有相關資訊。
在另一個例子中,第5圖是依據本發明實施例的第二知識子圖譜的示意圖。參照第5圖,第二知識子圖譜與第一事件資訊中的一個資訊安全事件相關。進一步而言,第二知識子圖譜包括攻擊方式(即,DarkHotel APT)、攻擊方法的基礎架構(infrastructure)(由四個元素(即,兩個“網域”元素和兩個“IP”元素)組成)、與攻擊方法對應的漏洞(即,CVE-2019-1367)以及漏洞的漏洞攻擊(即,荒野漏洞攻擊中的CVE 2019-1367(CVE-2019-1367 in the wild exploitation)遞送CVE 2019-1367掛載的惡意軟體(CVE-2019-1367 dropped malware)以及CVE 2019-1367漏洞攻擊(CVE-2019-1367 exploit),且CVE-2019-1367掛載的惡意軟體以及CVE-2019-1367漏洞攻擊分別為CVE 2019-1367掛載的惡意軟體的檔案雜湊(File hash for CVE-2019-1367 dropped malware)以及CVE 2019-1367漏洞攻擊負載的檔案雜湊(File hash for CVE-2019-1367 exploit payload))。
最後,同時參照第1圖、第2圖以及第3圖,在步驟S305中,處理器130可比較至少一第一知識圖譜以及第二知識圖譜,以辨識至少一第一知識圖譜以及第二知識圖譜之間的相似度,進而判斷公司是否存在資訊安全威脅。
換言之,處理器130可藉由將至少一第一知識圖譜以及第二知識圖譜進行比較以辨識至少一第一知識圖譜以及第二知識圖譜之間的相似度。藉此,處理器130可基於相似度判斷公司是否具有資訊安全威脅。
在一些實施例中,處理器130可以從至少一個第一知識圖譜的多個節點中辨識多個第一參考節點。因此,處理器130可以判斷在第二知識圖譜中是否存在與多個第一參考節點的至少一者匹配的至少一第二參考節點。
在進一步的實施例中,當第二知識圖譜中存在與多個第一參考節點對應的至少一第二參考節點時,處理器130可從第二知識圖譜中截取與至少一第一參考節點對應的至少一知識子圖譜。藉此,處理器130可計算至少一知識子圖譜以及至少一第一知識圖譜之間的相似度,並判斷相似度是否大於閾值。
在一些實施例中,在步驟S207中的步驟S2073中,處理器130可基於事件資料庫120(3)之中的情境資訊以及IOC資料庫120(5)之中的IOC資料產生第二知識圖譜,並判斷第二知識圖譜中是否存在與多個第一參考節點的至少一者匹配的至少一第二參考節點。值得注意的是,第二知識圖譜具有與上述第二知識子圖譜相似的結構。
詳細而言,處理器130可依據情境資訊以及IOC資料之間的關係連接與情境資訊對應的多個節點以及與IOC資料對應的多個節點(例如,當IOC資料中的IOC以及情境資訊中的OS版本有關時,處理器130可將與IOC對應的節點連接至與OS版本對應的節點),以產生第二知識圖譜。
再者,處理器130可計算至少一第一知識圖譜的所有節點的重要值(importance values),並搜尋重要值大於重要閾值的多個第一參考節點。此外,處理器130也可以在至少一第一知識圖譜上執行與圖路徑查找(graph path finding)演算法相關的操作,以辨識多個第一參考節點。另外,處理器130也可辨識與多個漏洞對應的至少一第一知識圖譜中的多個第一參考節點。因此,對於辨識至少一第一知識圖譜中的多個第一參考節點的方法沒有特別的限制。
基於上述,當處理器130已判斷第二知識圖譜中不存在與多個第一參考節點的至少一者匹配的第二參考節點時,處理器130可判斷公司不具有資訊安全威脅。相反地,當處理器130已判斷在第二知識圖譜中存在與多個第一參考節點的至少一者匹配的至少一第二參考節點時,處理器130可從第二知識圖譜中截取與至少一第二參考節點對應的至少一知識子圖譜。
例如,處理器130可在至少一第二參考節點上執行信任等級(trust rank)演算法、隨機漫步(random walk)演算法或頁面等級(page rank)演算法,以從第二知識圖譜截取至少一知識子圖譜。因此,對於從第二知識圖譜截取至少一知識子圖譜的方法沒有特別限制。
進一步而言,在步驟S2075中,處理器130可計算至少一知識子圖譜以及至少一第一知識圖譜之間的相似度。詳細而言,處理器130可在至少一知識子圖譜以及至少一第一知識圖譜之間執行圖匹配(graph matching)演算法,以計算相似度。
在一些實施例中,當至少一相似度的至少一者大於閾值時,處理器130可辨識與至少一相似度的至少一者對應的至少一潛在漏洞,以判斷公司是否存在資訊安全威脅。
在一些實施例中,在步驟S2077中,當相似度大於閾值時,處理器130可辨識對應的潛在漏洞,以判斷公司是否存在資訊安全威脅。詳細而言,當相似度大於閾值時,處理器130可辨識與大於閾值的相似度對應的知識子圖譜,並將與知識子圖譜的節點對應的漏洞辨識為潛在漏洞。
在一些實施例中,處理器130可將至少一潛在漏洞的資料傳送至外部警報裝置,且外部警報裝置可依據至少一潛在漏洞的資料產生警報消息。如此一來,藉由外部警報裝置,使用者可依據警報消息知道公司中的哪個漏洞將被攻擊,並可依據警告消息知道公司存在資訊安全威脅。
在一些實施例中,資訊安全裝置100更包括顯示器(未示出)。處理器130可依據至少一潛在漏洞的資料產生警報消息,以藉由顯示器顯示警報消息。如此一來,藉由顯示器,使用者可依據警報消息知道公司中的哪個漏洞將被攻擊,並可依據警告消息知道公司存在資訊安全威脅。
綜上所述,本發明的資訊安全裝置及其方法使用與公司情境對應的知識圖譜以及與資料庫資訊安全事件對應的知識圖譜進行圖匹配分析,藉以辨識將受到攻擊的情境的漏洞。此外,可以從線上社群媒體以及與漏洞相關的資料庫中進一步搜尋有關資訊安全的有用資訊。藉此,本發明的資訊安全裝置及其方法可以解決如何獲取資安威脅資訊以及如何過濾和威脅資訊消化的問題。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
100:資訊安全裝置 110:收發器 120:記憶體 130:處理器 120(1)~120(N):資料庫 200:網路 120(1):社群媒體資料庫 120(2):漏洞資料庫 120(3):事件資料庫 120(4):情境資料庫 120(5):威脅指標資料庫 S301~S305:資訊安全方法的步驟
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。 第1圖是依據本發明實施例的資訊安全裝置的方塊圖。 第2圖是依據本發明實施例的資訊安全方法的示意圖。 第3圖是依據本發明實施例的資訊安全方法的流程圖。 第4圖是依據本發明實施例的第一知識子圖譜的示意圖。 第5圖是依據本發明實施例的第二知識子圖譜的示意圖。
S301~S305:資訊安全方法的步驟

Claims (16)

  1. 一種資訊安全裝置,包括:一收發器,用以接收一公司的一情境資訊,其中該情境資訊包括與該公司的一公司裝置以及一公司資訊相關的裝置型號、資料流、主機日誌以及文件日誌;一記憶體,用以儲存多個指令以及多個資料庫;以及一處理器,連接該收發器以及該記憶體,並用以執行多個指令以:從該些資料庫讀取一第一漏洞相關資訊以及一第一事件資訊;依據該第一漏洞相關資訊以及該第一事件資訊產生至少一第一知識圖譜,並依據該情境資訊產生一第二知識圖譜;以及比較該至少一第一知識圖譜以及該第二知識圖譜,以辨識該至少一第一知識圖譜以及該第二知識圖譜之間的相似度,進而判斷該公司是否存在資訊安全威脅,其中依據該第一漏洞相關資訊以及該第一事件資訊產生該至少一第一知識圖譜的步驟包括:依據該第一漏洞相關資訊產生多個第一知識子圖譜,並依據該第一事件資訊產生多個第二知識子圖譜;以及連接該些第一知識子圖譜的至少一者以及該些第二知識子圖譜的至少一者,以產生該至少一第一知識圖譜,其中該些第一知識子圖譜的該至少一者與該些第二知識子圖譜的該至少一者相關,其中連接該些第一知識子 圖譜的該至少一者以及該些第二知識子圖譜的該至少一者的步驟包括:將該些第一知識子圖譜的該至少一者中的至少一第一節點連接到該些第二知識子圖譜的該至少一者中的至少一第二節點,其中該至少一第一節點與該至少一個第二節點相同。
  2. 如請求項1所述之資訊安全裝置,其中該處理器更用以:藉由該收發器接收一社群媒體資料,並依據該些資料庫的一樣本社群媒體資料計算該社群媒體資料的多個相關分數,其中該些相關分數指示該社群媒體資料以及資訊安全之間的相關性;以及依據該些相關分數從該社群媒體資料中辨識文本資料。
  3. 如請求項2所述之資訊安全裝置,其中該處理器更用以:依據該樣本社群媒體資料辨識該文本資料的多個事件主題,其中該些事件主題指示與該文本資料的多個主題相關的多個關鍵詞;以及利用該些事件主題標記該文本資料,並依據所標記的文本資料以及該第一事件資訊產生一第二事件資訊,以及將該第二事件資訊儲存至該些資料庫中。
  4. 如請求項1所述之資訊安全裝置,其中該處理器更用以:藉由該收發器接收一漏洞資料,並依據該第一漏洞相關資訊計算該漏洞資料的威脅程度;以及依據該威脅程度以及該漏洞資料產生一第二漏洞相關資訊,並將該第二漏洞相關資訊儲存至該些資料庫中。
  5. 如請求項4所述之資訊安全裝置,其中該處理器更用以:依據該些資料庫的樣本社群媒體資料計算與該第一漏洞相關資訊相關的多個社群熱門度,其中該些社群熱門度指示該第一漏洞相關資訊在該樣本社群媒體資料中出現的頻率;依據該第一漏洞相關資訊以及該些社群熱門度產生多個漏洞特徵;以及依據該些漏洞特徵計算該漏洞資料的威脅程度。
  6. 如請求項1所述之資訊安全裝置,其中該處理器更用以:從該至少一第一知識圖譜的多個第一節點中識別多個第一參考節點;以及判斷在該第二知識圖譜中是否存在與該些第一參考節點的至少一者匹配的至少一第二參考節點。
  7. 如請求項6所述之資訊安全裝置,其中該處理器更用以:當該第二知識圖譜中存在與該些第一參考節點對應的該至少一第二參考節點時,從該第二知識圖譜中截取與該至少一第一參考節點對應的至少一知識子圖譜;以及計算該至少一知識子圖譜以及該至少一第一知識圖譜之間的該相似度,並判斷是否大於閾值。
  8. 如請求項7所述之資訊安全裝置,其中該處理器更用以:辨識與該相似度對應的至少一潛在漏洞,進而在該相似度大於該閾值時判斷該公司是否存在該資訊安全威脅。
  9. 一種資訊安全方法,包括:藉由一處理器從多個資料庫中讀取一第一漏洞相關資訊以及一第一事件資訊;藉由該處理器依據該第一漏洞相關資訊以及該第一事件資訊產生至少一第一知識圖譜,並依據情境資訊產生一第二知識圖譜,其中該情境資訊包括與一公司的一公司裝置以及一公司資訊相關的裝置型號、資料流、主機日誌以及文件日誌;以及藉由該處理器計算該至少一第一知識圖譜以及該第二知識圖譜之間的相似度,進而判斷一公司是否存在資訊安全威脅,其中藉由該處理器依據該第一漏洞相關資訊以及該 第一事件資訊產生該至少一第一知識圖譜的步驟包括:藉由該處理器依據該第一漏洞相關資訊產生多個第一知識子圖譜,並依據該第一事件資訊產生多個第二知識子圖譜;以及藉由該處理器連接該些第一知識子圖譜的至少一者以及該些第二知識子圖譜的至少一者,以產生該至少一第一知識圖譜,其中該些第一知識子圖譜的該至少一者與該些第二知識子圖譜的該至少一者相關,其中藉由該處理器連接該些第一知識子圖譜的該至少一者以及該些第二知識子圖譜的該至少一者的步驟包括:藉由該處理器將該些第一知識子圖譜的該至少一者中的至少一第一節點連接到該些第二知識子圖譜的該至少一者中的至少一第二節點,其中該至少一第一節點與該至少一個第二節點相同。
  10. 如請求項9所述之資訊安全方法,更包括:藉由一收發器接收一社群媒體資料,並藉由該處理器依據該些資料庫的樣本社群媒體資料計算該社群媒體資料的多個相關分數,其中該些相關分數指示該社群媒體資料以及資訊安全之間的相關性;以及藉由該處理器依據該些相關分數從該社群媒體資料中辨識文本資料。
  11. 如請求項10所述之資訊安全方法,更包括: 藉由該處理器依據該樣本社群媒體資料辨識該文本資料的多個事件主題,其中該些事件主題指示與該文本資料的多個主題相關的多個關鍵詞;以及藉由該處理器利用該些事件主題標記該文本資料,並依據所標記的文本資料以及該第一事件資訊產生一第二事件資訊,以及將該第二事件資訊儲存至該些資料庫中。
  12. 如請求項9所述之資訊安全方法,更包括:藉由該收發器接收一漏洞資料,並藉由該處理器依據該第一漏洞相關資訊計算該漏洞資料的威脅程度;以及藉由該處理器依據該威脅程度以及該漏洞資料產生一第二漏洞相關資訊,並將該第二漏洞相關資訊儲存至該些資料庫中。
  13. 如請求項12所述之資訊安全方法,其中藉由該處理器依據該第一漏洞相關資訊計算該漏洞資料的該威脅程度的步驟包括:藉由該處理器依據該些資料庫的樣本社群媒體資料計算與該第一漏洞相關資訊相關的多個社群熱門度,其中該些社群該些熱門度指示該第一漏洞相關資訊在該樣本社群媒體資料中出現的頻率;藉由該處理器依據該第一漏洞相關資訊以及社群熱門度產生多個漏洞特徵;以及依據該些漏洞特徵計算該漏洞資料的該威脅程度。
  14. 如請求項9所述之資訊安全方法,其中藉由該處理器計算該至少一第一知識圖譜以及該第二知識圖譜之間的該相似度的步驟包括:藉由該處理器從該至少一第一知識圖譜的多個第一節點中識別多個第一參考節點;以及藉由該處理器判斷在該第二知識圖譜中是否存在與該些第一參考節點的至少一者匹配的至少一第二參考節點。
  15. 如請求項14所述之資訊安全方法,包括:當該第二知識圖譜中存在與該些第一參考節點對應的該至少一第二參考節點時,藉由該處理器從該第二知識圖譜中截取與該至少一第一參考節點對應的至少一知識子圖譜,以及藉由該處理器計算該至少一知識子圖譜以及該至少一第一知識圖譜之間的該相似度,並判斷該相似度是否大於一閾值。
  16. 如請求項15所述之資訊安全方法,包括:藉由該處理器辨識與該相似度對應的至少一潛在漏洞,進而在該相似度大於該閾值時判斷該公司是否存在該資訊安全威脅。
TW110103549A 2020-12-03 2021-01-29 資訊安全裝置以及其方法 TWI797546B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/110,329 2020-12-03
US17/110,329 US20220179908A1 (en) 2020-12-03 2020-12-03 Information security device and method thereof

Publications (2)

Publication Number Publication Date
TW202223705A TW202223705A (zh) 2022-06-16
TWI797546B true TWI797546B (zh) 2023-04-01

Family

ID=81848138

Family Applications (1)

Application Number Title Priority Date Filing Date
TW110103549A TWI797546B (zh) 2020-12-03 2021-01-29 資訊安全裝置以及其方法

Country Status (3)

Country Link
US (1) US20220179908A1 (zh)
JP (1) JP7160988B2 (zh)
TW (1) TWI797546B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230038196A1 (en) * 2021-08-04 2023-02-09 Secureworks Corp. Systems and methods of attack type and likelihood prediction
US12015623B2 (en) 2022-06-24 2024-06-18 Secureworks Corp. Systems and methods for consensus driven threat intelligence

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109347798A (zh) * 2018-09-12 2019-02-15 东软集团股份有限公司 网络安全知识图谱的生成方法、装置、设备及存储介质
CN109948911A (zh) * 2019-02-27 2019-06-28 北京邮电大学 一种计算网络产品信息安全风险的评估方法
TW201941094A (zh) * 2018-03-20 2019-10-16 日商日本電氣股份有限公司 漏洞調查系統、傳輸伺服器、漏洞調查方法及程式
CN111431939A (zh) * 2020-04-24 2020-07-17 郑州大学体育学院 基于cti的sdn恶意流量防御方法及***
CN111698207A (zh) * 2020-05-07 2020-09-22 北京华云安信息技术有限公司 网络信息安全的知识图谱的生成方法、设备和存储介质
TW202038119A (zh) * 2019-04-01 2020-10-16 中華電信股份有限公司 與外部裝置分享威脅情資的方法及其電子裝置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8516594B2 (en) * 2009-04-24 2013-08-20 Jeff Bennett Enterprise information security management software for prediction modeling with interactive graphs
US9886581B2 (en) * 2014-02-25 2018-02-06 Accenture Global Solutions Limited Automated intelligence graph construction and countermeasure deployment
JP6623128B2 (ja) 2016-08-01 2019-12-18 株式会社日立製作所 ログ分析システム、ログ分析方法及びログ分析装置
US11303659B2 (en) * 2018-12-26 2022-04-12 International Business Machines Corporation Detecting inappropriate activity in the presence of unauthenticated API requests using artificial intelligence
CN109902297B (zh) 2019-02-13 2021-04-02 北京航空航天大学 一种威胁情报生成方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201941094A (zh) * 2018-03-20 2019-10-16 日商日本電氣股份有限公司 漏洞調查系統、傳輸伺服器、漏洞調查方法及程式
CN109347798A (zh) * 2018-09-12 2019-02-15 东软集团股份有限公司 网络安全知识图谱的生成方法、装置、设备及存储介质
CN109948911A (zh) * 2019-02-27 2019-06-28 北京邮电大学 一种计算网络产品信息安全风险的评估方法
TW202038119A (zh) * 2019-04-01 2020-10-16 中華電信股份有限公司 與外部裝置分享威脅情資的方法及其電子裝置
CN111431939A (zh) * 2020-04-24 2020-07-17 郑州大学体育学院 基于cti的sdn恶意流量防御方法及***
CN111698207A (zh) * 2020-05-07 2020-09-22 北京华云安信息技术有限公司 网络信息安全的知识图谱的生成方法、设备和存储介质

Also Published As

Publication number Publication date
US20220179908A1 (en) 2022-06-09
JP7160988B2 (ja) 2022-10-25
TW202223705A (zh) 2022-06-16
JP2022089132A (ja) 2022-06-15

Similar Documents

Publication Publication Date Title
Piplai et al. Creating cybersecurity knowledge graphs from malware after action reports
Zhang et al. Enhancing state-of-the-art classifiers with api semantics to detect evolved android malware
US9852208B2 (en) Discovering communities and expertise of users using semantic analysis of resource access logs
TWI797546B (zh) 資訊安全裝置以及其方法
EP3921750B1 (en) Dynamic cybersecurity peer identification using groups
US20210224534A1 (en) Binary linear classification
Navarro et al. Leveraging ontologies and machine-learning techniques for malware analysis into android permissions ecosystems
Canfora et al. Metamorphic malware detection using code metrics
US9571518B2 (en) Identifying malicious web infrastructures
US10540490B2 (en) Deep learning for targeted password generation with cognitive user information understanding
US20170116330A1 (en) Generating Important Values from a Variety of Server Log Files
Jin et al. DarkBERT: A language model for the dark side of the Internet
Shin et al. Cybersecurity event detection with new and re-emerging words
Mumtaz et al. Learning word representation for the cyber security vulnerability domain
Irshad et al. Cyber threat attribution using unstructured reports in cyber threat intelligence
Thakur et al. An intelligent algorithmically generated domain detection system
Alam et al. Looking beyond IoCs: Automatically extracting attack patterns from external CTI
US11005869B2 (en) Method for analyzing cyber threat intelligence data and apparatus thereof
Yang et al. RecMaL: Rectify the malware family label via hybrid analysis
Du et al. ExpSeeker: Extract public exploit code information from social media
Jiang et al. A positional keyword-based approach to inferring fine-grained message formats
Mohasseb et al. Cyber security incidents analysis and classification in a case study of Korean enterprises
US8935154B1 (en) Systems and methods for determining authorship of an unclassified notification message
Sen et al. Android security using nlp techniques: a review
Alneyadi et al. A semantics-aware classification approach for data leakage prevention