CN117834163A - 资安威胁检测及预警系统与方法 - Google Patents
资安威胁检测及预警系统与方法 Download PDFInfo
- Publication number
- CN117834163A CN117834163A CN202211251865.6A CN202211251865A CN117834163A CN 117834163 A CN117834163 A CN 117834163A CN 202211251865 A CN202211251865 A CN 202211251865A CN 117834163 A CN117834163 A CN 117834163A
- Authority
- CN
- China
- Prior art keywords
- information
- abnormal
- network element
- threat
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 45
- 238000000034 method Methods 0.000 title claims abstract description 28
- 230000002159 abnormal effect Effects 0.000 claims abstract description 185
- 238000012360 testing method Methods 0.000 claims abstract description 45
- 230000008859 change Effects 0.000 claims description 46
- 230000004044 response Effects 0.000 claims description 32
- 238000012552 review Methods 0.000 claims description 18
- 238000012790 confirmation Methods 0.000 claims description 14
- 238000007726 management method Methods 0.000 claims description 8
- 238000012423 maintenance Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 6
- 230000000903 blocking effect Effects 0.000 claims description 5
- 230000011664 signaling Effects 0.000 claims description 4
- 238000012550 audit Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 claims description 3
- 230000005856 abnormality Effects 0.000 claims 4
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 3
- 238000005206 flow analysis Methods 0.000 description 3
- 238000013527 convolutional neural network Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000036626 alertness Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001595 flow curve Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000004454 trace mineral analysis Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Algebra (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Environmental & Geological Engineering (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
- Emergency Alarm Devices (AREA)
Abstract
本发明公开了一种资安威胁检测及预警系统与方法,该方法是先根据运作信息判断网元是否发生异常变化,若有异常网元则先根据其运作信息通过利用该资安事件推理模型进行推理以产生预测资安警告,并同时进行资安事件的搜集与比对,以及进一步的自应变测试及反应结果信息的比对,最终产生威胁事件决策结果;该预测资安警告提供潜在网络攻击事件的早期警告,威胁事件决策结果则提供一稳健的网络攻击事件的判断结果,从而解决现有资安威胁检测技术判断时间过长,以及容易误判或漏判的问题。
Description
技术领域
一种威胁检测及预警系统与方法,尤指一种资安(信息安全)威胁检测预警系统与方法。
背景技术
第5代(5th Generation,5G)行动通信网络系统采用开放式架构特性,意即任何网元只要符合5G标准以及接口规范即可进行组网,与其他网元进行通信并使用该网络系统中的功能。其中,网络管理者借由专网管理系统做为5G系统的控制中心的枢纽,得知全网络系统中各网元及其连接接口的各种效能信息或异常信息。该等效能信息或异常信息属于各网元根据实时状态产生的原始记录信息,当网元数量庞大且网络系统复杂,效能的改变或异常信息的产生经常不一定起因于资安威胁如骇客攻击、非法网络机器人等,亦有可能起因于特殊使用情形,例如大型活动导致人潮聚集网络流量大幅增加、演唱会门票开卖导致短时间大量连线等。如何从其中进行分析、检测甚至预先判断资安威胁事件的发生,是网络管理的一大课题。
目前对于5G网络系统核心网元的威胁检测策略一般采用镜像全流量分析,即采集5G网络系统中的全部网络流量信息,保存于资料库中并建立索引,同时结合大数据分析、机器学习、深度学习进行回溯分析及实时分析,判断资安威胁事件的发生。然而全流量分析因协议多样、高并发连结、参数结构复杂等特性,造成分析数据量庞大,容易形成误判或漏判,难以即时判断出资安威胁事件的发生,过晚察觉而无法阻止威胁等问题。综上所述,现有的网络资安威胁事件检测技术势必须进一步改进。
发明内容
有鉴于现有的网络系统资安威胁检测技术有分析数据量庞大,难以迅速检测可能的资安威胁,本发明提供一种资安威胁检测及预警系统,包含有多个网元、多个网元连接接口及一网络系统,实施于一营运维护与管理层层,该资安威胁检测及预警系统包含一储存器与一处理器。
该储存器用以储存每一网元的一运作信息以及一测试记录,以及一资安事件推理模型。该处理器与该储存器电连接,用以执行以下步骤:根据每一网元对应的该运作信息判断各该网元的其中之一是否发生一异常变化;当各该网元的其中之一发生该异常变化,产生一异常变化警示,且判断发生异常变化的该网元为一异常网元;根据该异常变化警示及该异常网元对应的运作信息利用该资安事件推理模型进行推理以产生一威胁事件预测几率值,当该威胁事件预测几率值大于一预测阀值,产生一预测资安警告;根据该异常网元搜集一资安事件信息,并比对该资安事件信息及该异常网元的运作信息,产生一威胁风险量值;以及当该威胁风险量值大于一威胁阀值,控制该异常网元进行一自应变测试以产生一反应结果信息,将该反应结果信息与该测试记录进行比对而产生一威胁事件决策结果。
此外,本发明还提供一种资安威胁检测及预警方法,实施于一网络系统的营运维护与管理层层,由一处理器执行,包含以下步骤:自一储存器中读取多个网元中的每一网元的一运作信息以及一测试记录;根据每一网元对应的该运作信息判断各该网元的其中之一是否发生一异常变化;当各该网元的其中之一发生该异常变化,产生一异常变化警示,且判断发生异常变化的该网元为一异常网元;根据该异常变化警示及该异常网元对应的该运作信息利用一资安事件推理模型进行推理以产生一威胁事件预测几率值;当该威胁事件预测几率值大于一预测阀值,产生一预测资安警告;根据该异常网元搜集一资安事件信息,并比对该资安事件信息及该异常网元的运作信息,产生一威胁风险量值;以及当该威胁风险量值大于一威胁阀值,控制该异常网元进行一自应变测试以产生一反应结果信息,将该反应结果信息与该测试记录进行比对而产生一威胁事件决策结果。
本发明的资安威胁检测及预警方法由资安威胁检测及预警系统执行。首先根据各该网元的运作信息初步判断任一网元的运作是否发生异常变化,若有,则针对该异常网元进行进一步的资安事件搜集及判断。资安事件的判断主要分为较快速的预测及较准确的决策两个部分,其一是利用一事先建立的资安事件推理模型,根据该异常网元的运作信息进行推理,产生威胁事件预测几率值,并根据该威胁事件预测几率值判断产生预测资安警告。其二是针对该异常网元搜集该网元的资安事件信息,通过比对资安事件信息及运作信息产生一威胁风险量值,若威胁风险量值大,进一步控制该异常网元进行自应变测试,以根据自应变测试的反应结果信息产生该威胁事件决策结果。
本发明的资安威胁检测及预警系统与方法利用资安事件推理模型在网元发生异常变化时提供一快速的预警机制,以供网络管理者预先对该异常网元产生警觉,增加防护事件准备时间;而该威胁事件决策结果经过资安事件信息的比对,以及自应变测试对该威胁风险的进一步核实,提供一精准的事件决策结果,减少误判机会。
综上所述,本发明同时提供即时的预警机制及精准的事件决策结果,改进了现有资安事件检测技术通过全流量分析进行大量数据分析容易误判、漏判且过晚察觉的问题。
附图说明
图1是一5G网络系统的系统方块示意图。
图2是本发明资安威胁检测及预警系统的一系统方块示意图。
图3是本发明资安威胁检测及预警方法的一方法流程示意图。
图4是本发明资安威胁检测及预警方法中运作信息变化曲线示意图。
图5是本发明资安威胁检测及预警方法中运作信息及资安事件信息变化曲线示意图。
图6是本发明资安威胁检测及预警方法一较佳实施例的方法流程示意图。
图7是本发明资安威胁检测及预警方法再一较佳实施例的方法流程示意图。
图8是本发明资安威胁检测及预警方法中包含关联运作信息的异常关联权重的网络系统方块示意图。
具体实施方式
请参阅图1及图2所示,本发明的资安(信息安全)威胁检测及预警系统20包含有多个网元11、连接于该些网元11之间的多个网元连接接口12及一网络系统10,实施于网络系统10中的一营运维护与管理层(Operations,Administration,and Maintenance,OAM)层。举例而言,该网络系统10可为一第五代(5th Generation, 5G)行动通信网络系统,其包含多个网元11,该多个网元11例如包含AMF(Access And Mobility Management Function)、SMF(Session Management Function)、UE(User Equipment)、NG-RAN(New GenerationRadio Access Network)、UPF(User Plane Function)、DN(Data Network)…等,该些网元连接接口12则包含例如连接UE 及NG-RAN的Uu接口、连接UE及AMF的N1接口、连接NG-RAN与AMF的N2 接口、连接NG-RAN及UPF的N3接口、连接UPF及SMF的N4接口、连接UPF 及DN的N6接口等,详如图1的记载,在此容不全部列出。
请一并参阅图2及图3所示,该资安威胁检测及预警系统20包含一储存器21 一处理器22,该储存器21用以储存该些网元11的运作信息、一测试记录、以及一资安事件推理模型。其中,该些运作信息代表该网络系统10中各网元11的效能信息,例如该些网元11的存储器容量、处理速度或运转效能、故障信息、以及该些网元连接接口12的信息流量、连线数量或注册数量中的至少一种或其组合。该处理器22 电连接该储存器21以存取其中储存的信息,并根据该等运作信息的变化执行本发明的资安威胁检测及预警方法,该资安威胁检测及预警方法包含步骤S101~S106。
在步骤S101中,该处理器22首先从该储存器21中读取该些网元11中的每一网元11的一运作信息以及一测试记录。
在步骤S102中,该处理器22根据该些网元11的运作信息,判断该些网元11 的其中之一是否有发生异常变化。更详细的说,在一实施例中,该处理器22是先根据一预设周期计算该运作信息的区间成长率,并且进一步判断该区间成长率是否符合一异常阀值条件,若符合,则判断该网元11发生异常变化。该异常阀值条件可以设定为至少一区间成长率大于相对应的该异常阀值,或者多个区间成长率大于相对应的异常阀值,才符合该异常阀值条件,详述如下。
请参阅图4所示,该网元连接接口12以该N1接口的注册数量/接口流量相对时间的变化曲线S1为例,在一实施例中,该处理器22例如是利用一流量分析软体进行流量分析,预设周期是每隔10秒(s)或每隔30s计算注册数量/接口流量的成长率,并根据不同预设周期的时间长度制订相对应的一异常阀值。例如当预设周期的时间长度为10s,该异常阀值制订为35%,或针对预设周期的时间长度为30s,该异常阀值制订为33%,当任一区间成长率大于其对应的异常阀值,或者两者以上大于其对应的异常阀值,则判断符合该异常阀值条件。以图4为例,注册数量/接口流量变化曲线 S1至少有3个预设周期为10s的成长率分别是37.6%、42.8%、42.5%均超过所制订的异常阀值35%,且一个预设周期为30s的区间成长率为37.6%亦超过异常阀值33%,故判断符合该异常阀值条件。
再请参阅图3所示,在步骤S102中,当判断其中一网元11符合该异常阀值条件时,该处理器22则在步骤S103中产生一异常变化警示,并且判断该发生异常变化的网元11是一异常网元。该异常变化警示用以触发后续的第一阶段的预测资安警告(步骤S104)及第二阶段的威胁事件决策结果的判断流程(步骤S105~S106)。
在步骤S104中,当处理器22判断有一异常网元,该处理器22根据该异常变化警示及该异常网元对应的运作信息,利用该资安事件推理模型进行推理以产生一威胁事件预测几率值。当该资安事件推理模型产生的威胁事件预测几率值大于一预测阀值,则产生一预测资安警告。在本实施例中,该资安事件推理模型例如可为卷积神经网络模型(CNN),是根据各该网元11的运作信息、曾经发生的异常情形、相对应的资安事件,以及造成该异常情形的威胁事件进行监督式学习的训练而成。当该资安事件推理模型根据该异常网元的运作模型进行推理,该些运作信息的变化情形愈趋符合特定趋势变化,产生的威胁事件预测几率值愈高。
再请参阅图2所示,较佳的,该资安威胁检测及预警系统20还可包含一输出装置23,例如是一显示荧幕或一音讯播放装置。当产生该预测资安警告,该处理器22 据以控制该输出装置23输出一第一阶段的预测资安警告信息,其可为警告画面或警告声音,以通知网络管理员进行初步检视或处理。
再请参阅图3所示,在步骤S105中,当该处理器22产生该异常变化警示以及该异常网元的判断,还进一步根据该异常网元搜集资安事件信息。该资安事件信息代表该网络系统10中各网元11的错误信息,例如包含网元11的安全审计与日志记录、异常通信封包信息,及网元11之间的异常控制信令(signaling)信息等。接着,该处理器22比对该异常网元的资安事件信息及运作信息,以判断两者之间是否存在一相应的变化趋势,从而产生一初步的威胁风险量值。更详细的说,对该异常网元的资安事件信息及运作信息的相互比对,是将该资安事件信息及该运作信息以时间区间对齐后再进行比对。
当一网络攻击者进行真正的攻击前,通常会对各网元11提供的API接口进行试探性调用,再根据产生的结果进一步攻击。此类试探性调用与网元11服务正常工作时所使用的请求方式和URL是不同的,故会使得该异常网元的运作信息及对应的资安事件信息产生与正常工作不同的变化情形。进一步而言,无论是试探性调用或真正攻击行动,运作信息的变化与资安事件信息的变化之间会有一时间差。
请参阅图5所示,以下将举例说明考量上述二情形应如何进行异常网元的资安事件信息及运作信息的比对。延续图4的举例,图5同时呈现注册数量/接口流量曲线 S1以及网元响应速度曲线S2。当因为网络攻击者进行试探性调用,在时间区间T1 中,根据S1可见该异常网元的接口流量/注册数量大幅上升,但根据S2可见该网元 11的响应速度在时间区间T2中才相应下降,进一步而言,当网络攻击者开始进行真正攻击,在时间区间T3中,该异常网元的接口流量/注册数量再次大幅上升,但该网元11的响应速度在时间区间T4中才再次相应下降。由图5中可见时间区间T2相较时间区间T1之间有一延后的时间差Δt1,而时间区间T4相较时间区间T3之间有一延后的时间差Δt2。时间区间T1是根据注册数量/接口流量的曲线S1变化斜率开始大于一第一阀值的时间点为起点,而该时间区间T2则是根据网元响应速度曲线S2 变化斜率大于一第二阀值的时间点为起点产生的。时间区间T1及T2的时间差Δt1 则是该二起点的差值。时间差Δt2的计算方式与时间差Δt1相似,故不在此赘述。该处理器22先将该等运作信息与该等资安事件信息以时间区间进行信息对齐,才比对运作信息与资安事件信息。例如是将时间区间T1中的注册数量/接口流量资料平移Δ t1,才将注册数量/接口流量与时间区间T2中网元响应速度的资料进行比对以判断是否有相符的变化趋势。当以时间区间进行对齐并比对运作信息与资安事件信息,两者的异常变化趋势越符合,则威胁风险量值越高。
再请参阅图3所示,在步骤S106中,当该威胁风险量值大于一威胁阀值,该处理器22进一步控制该异常网元进行一自应变测试以产生一反应结果信息,并将该反应结果信息与该储存器21中储存的测试记录进行比对,以产生一威胁事件决策结果。在一些实施例中,该自应变测试例如是阻断该异常网元对应的至少一网元连接接口 12、限制该异常网元对应的至少一网元连接接口12的流量、提高该异常网元的响应延迟、或重新启动该异常网元等之中的至少一种测试手段,或组合二种以上的测试手段,并记录该异常网元进行该自应变测试后所产生的反应结果信息。
请参阅图6所示,更详细的说,步骤S106包含以下子步骤:
在步骤S1061中,当该处理器22将该反应结果信息与该测试记录进行比对,是先产生一异常几率值,并判断该异常几率值是否大于一异常几率阀值;
在步骤S1062中,当异常几率值大于该异常几率阀值,该威胁事件决策结果包含该威胁确认信息;
在步骤S1063中,当异常几率值小于该异常几率阀值,该威胁事件决策结果包含一威胁误判信息。
该储存器21中储存的测试记录包含在不同网元11发生异常情形时,针对各该网元11所进行的历史自应变测试、相对应的历史反应结果信息,以及相对应的历史威胁事件几率值。当一自应变测试的反应结果与该测试记录中的一历史反应结果信息相符,且该历史反应结果信息是对应一较高的历史威胁事件几率值,即代表发生资安威胁事件的几率较高,该处理器22根据符合程度产生较高的异常几率值;相对的,自应变测试的反应结果与该测试记录中的另一历史反应结果信息相符,且该另一历史反应结果信息是对应一较低的历史威胁事件几率值,即代表发生资安威胁事件的几率较低,该处理器22根据符合程度产生较低的异常几率值。
举例而言,对图1的NG-RAN的网元11而言,当来自UE的连线数大量增加(异常变化),表示可能发生分散式阻断服务(distributed denial-of-service,DDoS)攻击,但亦可能为单纯抢票事件的大众正常使用导致合理的连线数增加。在一种自应变测试中,是阻断该NG-RAN的网元11与请求大量连线数的UE之间的Uu接口,记录该 NG-RAN的网元11的连线数的变化以作为反应结果信息。
在第一种情形中,当阻断Uu接口后,反应结果信息显示减少的连线数目相对较少(例如仅为个位数),表示该NG-RAN的异常变化并非因为受到攻击,应属于正常使用。当第一种情形的反应结果信息与储存器21中的测试记录相互比对后,该处理器22根据比对结果产生的异常几率值会低于该预设的异常几率阀值,故威胁事件决策结果包含威胁误判信息。
在第二种情形中,当阻断Uu接口后,反应结果信息的记录中减少的连线数目相对较多(例如高达数千甚至数万),则表示连线数大量增加应是攻击者使用跳板机器一次性发动大量连线进行DDoS攻击。当第二种情形中的反应结果信息与储存器21 中的测试记录相互比对后,该处理器22根据比对结果产生的异常几率值便会大于该异常几率阀值,故威胁事件决策结果包含威胁确认信息。如此一来,通过该自应变测试判断该异常网元的反应结果是否属于一般的特殊使用情形如人潮聚集、抢票事件,或者确实为网络攻击、非法使用等。
较佳的,该处理器22根据该威胁事件决策结果控制该输出装置23输出第二阶段的威胁事件决策结果信息,通知网络管理员检视该威胁事件决策结果并进行进阶处置。
请一并参阅图7所示,在另一实施例中,当该处理器22产生该威胁事件决策结果后,还进一步执行以下步骤。
在步骤S107中,该处理器22搜集与该异常网元相关联的多个关联运作信息,并判断该些关联运作信息是否符合各自对应的一关键异常条件。该等关联运作信息包含与该异常网元连接的网元连接接口12、通过网元连接接口12通信连接的相连网元11 的运作信息等。
在步骤S108中,当该些关联运作信息中至少二者以上符合各自对应的关键异常条件,则根据符合关键异常条件的该至少二关联运作信息产生一威胁事件复核分数,以及对应的威胁事件复核结果。
如图8所示,举例而言,该网络系统10中与一异常网元11A(NG-RAN)相连的一相连网元11B(DN)的其中一项关联运作信息为其服务器负载,其关键异常条件为上限值A%。当该相连网元11B的服务器接收到大量HTTP GET请求,导致该相连网元11B的服务器负载高于A%,即表示该相连网元11B正遭受会话层洪水攻击(session flood attack)。另一方面而言,与该异常网元11A相连的另一相连网元 11C(DN)的其中一项关联运作信息为服务器处理效能,其关键异常条件为下限值 B%,当该相连网元11C接收到大量HTTP POST请求,导致须处理大量的资料而使服务器处理效能低于B%时,表示该相连网元11C可能正遭受POST洪水攻击(post flood attack)。进一步而言,当与该异常网元11A相关的二个连网元11B、11C的关联运作信息都符合其关键异常条件,表示该异常网元11A受到攻击的可能性极高,故根据该至少二关联运作信息产生对应的威胁事件复核分数。当符合关键异常条件的关联运作信息越多,例如异常网元的越多相连网元的关联运作信息符合至少一关键异常条件,则给出一越高的威胁事件复核分数。当该威胁事件复核分数大于一预设分数门槛,则产生一确认威胁确认信息的威胁事件复核结果。
请继续参阅图8所示,在另一较佳实施例中,当该处理器22产生威胁事件复核分数时,是预先根据该些关联运作信息相对该异常网元的数据流关联度,赋与各该关联运作信息一异常关联权重,以计算该威胁事件复核分数。
更详细的说,当资安事件发生时,除了面对该资安事件的主要异常网元11A外,在该资安事件的数据路径上的其他网元11也会受到连带影响,故对整个网络系统10 而言为一连锁反应。举例而言,当一资安事件是由一使用者装置UE通过该异常网元 11A(NG-RAN)发起的洪水攻击实事件,其数据流必然会通过的主路径为异常网元 11A以及网元11D(UPF)。故异常网元11A、网元11D以及其中间的网元连接接口 12如Uu及N3接口分别赋予最高的异常关联权重①;此外,为使用该网络系统10 的其他附带功能,数据流亦有较高可能会通过的网元连接接口12如N1、N2、N4、 N6接口,故赋予该些网元连接接口12异常关联权重②;由异常关联权重排序为②的网元连接接口12所连接到的较次要的网元11如AMF、SMF、网元11B、11C,则赋予其异常关联权重③,以此类推。符号①、②、③代表由高至低的权重排序。须注意的是,此一举例是以NG-RAN的异常网元11A为中心及其对应的数据流路径为根据制定赋与的权重排序。当异常网元位于网络系统10中的不同位置时,例如是AMF 的网元11时,则应设定不同的权重排序;或者根据该网络系统10的不同应用场合,亦可针对不同网元11制定不同的权重排序。如此一来,当处理器22计算该威胁事件复核分数时,该处理器22是将关联运作信息被赋与的异常关联权重纳入威胁事件复核分数的计算中,以获得精准的威胁事件复核分数。
最后,在步骤109中,当该处理器22产生的威胁事件决策结果是一威胁确认信息,或者在包含步骤S107~S108的实施例中,产生的威胁事件复核结果核实了该威胁确认信息,该处理器22进一步根据该威胁确认信息、该自应变测试、该反应结果信息、该异常网元的资安事件信息及该运作信息对该资安事件推理模型进行一模型再训练。
如步骤S104所述,该资安事件推理模型用以根据异常网元的运作信息进行推理以事先产生威胁事件预测几率值。每当该处理器22根据资安事件信息与运作信息的比对、自应变测试及其反应结果信息等一连资安事件的判断产生该威胁确认信息,或者进一步根据威胁事件复核分数核实了该威胁确认信息后,该处理器22会不断根据前述该些信息对该资安事件推理模型进行模型再训练,从而不断强化该资安事件推理模型,并提高该资安事件推模型对下一次异常网元的运作信息进行推理时的精准度。
综上所述,本发明的资安威胁检测及预警系统与方法结合资安威胁事件的检测以及预警。在第一阶段,利用根资安事件推理模型快速产生预测资安警告,提供网络管理者在攻击事件发生前或初始阶段一即时的预警信息;在第二阶段,则通过一连串包含异常网元的资安事件信息与运作信息比对、自应变测试与反应结果信息与测试记录的比对、多重关键异常阀值及威胁事件复核结果等手段对该威胁事件进行完整的检测及结果复核,从而提供网络管理者一可靠的威胁事件决策结果。最后,该威胁事件决策结果还反馈给该资安事件推理模型以进行再训练,使得该资安事件推理模型在系统运行中被强化,提供趋强健精准的预测资安警告。
以上所述仅是本发明的实施例而已,并非对本发明做任何形式上的限制,虽然本发明已以实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案的范围内,当可利用上述揭示的技术内容做出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (20)
1.一种资安威胁检测及预警系统,其特征在于,包含有多个网元、多个网元连接接口及一网络系统,实施于一营运维护与管理层,该资安威胁检测及预警系统包含:
一储存器,用以储存每一网元的一运作信息以及一测试记录,以及一资安事件推理模型;
一处理器,与该储存器电连接,用以执行以下步骤:
根据每一网元对应的该运作信息判断各该网元的其中之一是否发生一异常变化;
当各该网元的其中之一发生该异常变化,产生一异常变化警示,且判断发生异常变化的该网元为一异常网元;
根据该异常变化警示及该异常网元对应的运作信息利用该资安事件推理模型进行推理以产生一威胁事件预测几率值,当该威胁事件预测几率值大于一预测阀值,产生一预测资安警告;
根据该异常网元搜集一资安事件信息,并比对该资安事件信息及该异常网元的运作信息,产生一威胁风险量值;以及
当该威胁风险量值大于一威胁阀值,控制该异常网元进行一自应变测试以产生一反应结果信息,将该反应结果信息与该测试记录进行比对而产生一威胁事件决策结果。
2.如权利要求1所述的资安威胁检测及预警系统,其特征在于,该处理器更用以执行以下步骤:
根据一预设周期计算该运作信息的一区间成长率;
判断该区间成长率是否符合一异常阀值条件,若是,判断该网元发生该异常变化。
3.如权利要求1所述的资安威胁检测及预警系统,其特征在于,该处理器更用以执行以下步骤:
当该威胁事件决策结果是一威胁确认信息,根据该威胁确认信息、该自应变测试、该反应结果信息、该异常网元的资安事件信息及该运作信息对该资安事件推理模型进行一模型再训练。
4.如权利要求3所述的资安威胁检测及预警系统,其特征在于,该处理器更用以执行以下步骤:
将该反应结果信息与该测试记录进行比对而产生一异常几率值;
当该异常几率值大于一异常几率阀值,该威胁事件决策结果包含该威胁确认信息;以及
当该异常几率值小于该异常几率阀值,该威胁事件决策结果包含一威胁误判信息。
5.如权利要求1所述的资安威胁检测及预警系统,其特征在于,该自应变测试包含:
阻断该异常网元对应的至少一网元连接接口、限制该异常网元对应的至少一网元连接接口的流量、提高该异常网元的响应延迟、或重新启动该异常网元中的至少一种或其组合;以及
记录该异常网元的该反应结果信息。
6.如权利要求4所述的资安威胁检测及预警系统,其特征在于,该处理器更用以执行以下步骤:
搜集该异常网元的多个关联运作信息,并判断该关联运作信息分别是否符合各自对应的一关键异常条件;以及
当至少二关联运作信息符合该关键异常条件,根据符合关键异常条件的该至少二关联运作信息产生一威胁事件复核分数及对应的威胁事件复核结果。
7.如权利要求6所述的资安威胁检测及预警系统,其特征在于,该处理器在产生该威胁事件复核分数时,该处理器是根据该关联运作信息相对该异常网元的一数据流关联度,赋予各该关联运作信息一异常关联权重以计算该威胁事件复核分数。
8.如权利要求1所述的资安威胁检测及预警系统,其特征在于,该运作信息包含:该网元的存储器容量、处理速度或运转效能、该网元连接接口的信息流量、连线数量或注册数量中的至少一种或其组合。
9.如权利要求1所述的资安威胁检测及预警系统,其特征在于,该资安事件信息包含:该网元的安全审计与日志记录、该网元连接接口的异常通信封包信息,或该网元之间的异常控制信令信息中的至少一种或其组合。
10.如权利要求1所述的资安威胁检测及预警系统,其特征在于,该威胁风险量值是根据该资安事件信息及该异常网元的运作信息以时间区间对齐后比对而产生。
11.一种资安威胁检测及预警方法,其特征在于,实施于一网络系统的营运维护与管理层层,由一处理器执行,包含以下步骤:
由一储存器中读取多个网元中的每一网元的一运作信息以及一测试记录;
根据每一网元对应的该运作信息判断各该网元的其中之一是否发生一异常变化;
当各该网元的其中之一发生该异常变化,产生一异常变化警示,且判断发生异常变化的该网元为一异常网元;
根据该异常变化警示及该异常网元对应的该运作信息利用一资安事件推理模型进行推理以产生一威胁事件预测几率值;
当该威胁事件预测几率值大于一预测阀值,产生一预测资安警告;
根据该异常网元搜集一资安事件信息,并比对该资安事件信息及该异常网元的运作信息,产生一威胁风险量值;以及
当该威胁风险量值大于一威胁阀值,控制该异常网元进行一自应变测试以产生一反应结果信息,将该反应结果信息与该测试记录进行比对而产生一威胁事件决策结果。
12.如权利要求11所述的资安威胁检测及预警方法,其特征在于,在根据各该网元的运作信息判断是否发生一异常变化情形的步骤中,进一步包含以下子步骤:
根据一预设周期计算运作信息的一区间成长率;
判断该区间成长率是否符合一异常阀值条件,若是,判断发生该异常变化。
13.如权利要求11所述的资安威胁检测及预警方法,其特征在于,
当该威胁事件决策结果是一威胁确认信息,根据该威胁确认信息、该自应变测试、该反应结果信息、该异常网元的资安事件信息及运作信息对该资安事件推理模型进行一模型再训练。
14.如权利要求11所述的资安威胁检测及预警方法,其特征在于,进一步包含以下步骤:
将该反应结果信息与该测试记录进行比对而产生一异常几率值;
当该异常几率值大于一异常几率阀值,该威胁事件决策结果包含一威胁确认信息;以及
当该异常几率值小于该异常几率阀值,该威胁事件决策结果包含一威胁误判信息。
15.如权利要求11所述的资安威胁检测及预警方法,其特征在于,该自应变测试包含:
阻断该异常网元对应的至少一网元连接接口、限制该异常网元对应的至少一网元连接接口的流量、提高该异常网元的响应延迟、重新启动该异常网元中的至少一种或其组合;以及
记录该异常网元的该反应结果信息。
16.如权利要求11所述的资安威胁检测及预警方法,其特征在于,进一步包含以下步骤:
搜集该异常网元的多个关联运作信息,并判断该关联运作信息分别是否符合各自对应的一关键异常条件;以及
当至少二关联运作信息符合该关键异常条件,根据符合关键异常条件的该至少二关联运作信息产生一威胁事件复核分数及对应的一威胁事件复核结果。
17.如权利要求16所述的资安威胁检测及预警方法,其特征在于,当产生该威胁事件复核分数时,是根据该关联运作信息相对该异常网元的一数据流关联度,赋予各该关联运作信息一异常关联权重以计算该威胁事件复核分数。
18.如权利要求11所述的资安威胁检测及预警方法,其特征在于,该运作信息包含:该网元的存储器容量、处理速度或运转效能;该网元连接接口的信息流量、连线数量或注册数量中的至少一种或其组合。
19.如权利要求11所述的资安威胁检测及预警方法,其特征在于,该资安事件信息包含:该网元的安全审计与日志记录、该网元连接接口的异常通信封包信息,或该网元之间的异常控制信令信息中的至少一种或其组合。
20.如权利要求11所述的资安威胁检测及预警方法,其特征在于,该威胁风险量值是根据该资安事件信息及该异常网元的运作信息以时间区间对齐后比对而产生。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW111136620A TWI812491B (zh) | 2022-09-27 | 2022-09-27 | 資安威脅偵測及預警系統與方法 |
| TW111136620 | 2022-09-27 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117834163A true CN117834163A (zh) | 2024-04-05 |
Family
ID=88586025
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211251865.6A Pending CN117834163A (zh) | 2022-09-27 | 2022-10-13 | 资安威胁检测及预警系统与方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20240106844A1 (zh) |
| CN (1) | CN117834163A (zh) |
| TW (1) | TWI812491B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116760636A (zh) * | 2023-08-16 | 2023-09-15 | 国网江苏省电力有限公司信息通信分公司 | 一种未知威胁的主动防御系统和方法 |
| TWI881516B (zh) * | 2023-10-31 | 2025-04-21 | 國立陽明交通大學 | 管理5g開放架構基礎建設之資安系統 |
| CN118611900B (zh) * | 2024-04-25 | 2025-07-11 | 南京证券股份有限公司 | 一种基于人工智能的网络数据安全管理监测系统及方法 |
| CN118631565B (zh) * | 2024-07-01 | 2025-01-24 | 北京天空卫士网络安全技术有限公司 | 一种网络安全状态评估系统及方法 |
| CN120825343B (zh) * | 2025-09-16 | 2025-11-14 | 连云港诚壹信息科技有限公司 | 一种基于明文数据的网络通信安全防护方法及系统 |
| CN120956540A (zh) * | 2025-10-17 | 2025-11-14 | 国网福建省电力有限公司电力科学研究院 | 一种用于风电系统的风险识别方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8023425B2 (en) * | 2009-01-28 | 2011-09-20 | Headwater Partners I | Verifiable service billing for intermediate networking devices |
| US20140280846A1 (en) * | 2013-03-14 | 2014-09-18 | Douglas Gourlay | System and method for abstracting network policy from physical interfaces and creating portable network policy |
| TWI674778B (zh) * | 2018-11-01 | 2019-10-11 | 財團法人資訊工業策進會 | 車輛資訊安全監控裝置 |
| WO2020093020A1 (en) * | 2018-11-02 | 2020-05-07 | Arizona Board Of Regents On Behalf Of The University Of Arizona | Runtime adaptive risk assessment and automated mitigation |
| TWI751387B (zh) * | 2018-11-12 | 2022-01-01 | 中華電信股份有限公司 | 軟體定義驅動的ict服務端對端協作系統 |
| CN114465739B (zh) * | 2020-10-21 | 2025-02-14 | 中兴通讯股份有限公司 | 异常识别方法和系统、存储介质及电子装置 |
| CN114697066A (zh) * | 2020-12-30 | 2022-07-01 | 网神信息技术(北京)股份有限公司 | 网络威胁检测方法和装置 |
-
2022
- 2022-09-27 TW TW111136620A patent/TWI812491B/zh active
- 2022-10-13 CN CN202211251865.6A patent/CN117834163A/zh active Pending
- 2022-11-02 US US17/979,429 patent/US20240106844A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| TWI812491B (zh) | 2023-08-11 |
| TW202414257A (zh) | 2024-04-01 |
| US20240106844A1 (en) | 2024-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN117834163A (zh) | 资安威胁检测及预警系统与方法 | |
| CN101803337B (zh) | 入侵检测方法和系统 | |
| US9836600B2 (en) | Method and apparatus for detecting a multi-stage event | |
| US8863293B2 (en) | Predicting attacks based on probabilistic game-theory | |
| CN118101250A (zh) | 一种网络安全检测方法及系统 | |
| CN106209856B (zh) | 基于可信计算的大数据安全态势地图生成方法 | |
| CN112153047B (zh) | 一种基于区块链的网络安全运维及防御方法及系统 | |
| CN119071049A (zh) | 一种基于物联网服务器安全访问监控方法 | |
| CN119966659A (zh) | 一种多层次动态网络攻击检测与响应方法 | |
| CN119210908A (zh) | 一种企业网络安全自检方法和系统 | |
| KR102307837B1 (ko) | 다세대 홈 네트워크 데이터의 중앙 집중형 수집 및 저장 방법 및 시스템 | |
| CN118316715B (zh) | 一种企业网络安全风险评估方法及系统 | |
| CN119922018A (zh) | 一种物联网设备的网络安全智能监测方法及相关装置 | |
| CN117609990B (zh) | 一种基于场景关联分析引擎的自适应安全防护方法及装置 | |
| Kumar et al. | Statistical based intrusion detection framework using six sigma technique | |
| CN119676129A (zh) | 基于攻击者模型的模糊测试方法、系统及终端设备 | |
| CN119106410A (zh) | 一种计算机软件的访问身份核验方法 | |
| Cheng et al. | MFTE: Multifactor and fuzzy trust evaluation for federated learning in mobile edge computing | |
| Kapourniotis et al. | Scam and fraud detection in VoIP Networks: Analysis and countermeasures using user profiling | |
| TWI869013B (zh) | 訊息防詐之系統及其方法 | |
| CN119966836B (zh) | 一种基于动态故障树的网络弹性分析方法及装置 | |
| CN119172178B (zh) | 基于物联网的移动办公设备远程监控管理方法 | |
| CN120017398B (zh) | 一种制水厂网络安全预警方法及系统 | |
| CN120811640A (zh) | 基于动态加密与智能风险评估的网络信息安全软件系统 | |
| CN118363816A (zh) | 一种应用程序告警分析系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |