[go: up one dir, main page]

TWI812491B - 資安威脅偵測及預警系統與方法 - Google Patents

資安威脅偵測及預警系統與方法 Download PDF

Info

Publication number
TWI812491B
TWI812491B TW111136620A TW111136620A TWI812491B TW I812491 B TWI812491 B TW I812491B TW 111136620 A TW111136620 A TW 111136620A TW 111136620 A TW111136620 A TW 111136620A TW I812491 B TWI812491 B TW I812491B
Authority
TW
Taiwan
Prior art keywords
information
abnormal
network element
threat
event
Prior art date
Application number
TW111136620A
Other languages
English (en)
Other versions
TW202414257A (zh
Inventor
陳致愷
廖柏宇
Original Assignee
財團法人資訊工業策進會
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人資訊工業策進會 filed Critical 財團法人資訊工業策進會
Priority to TW111136620A priority Critical patent/TWI812491B/zh
Priority to CN202211251865.6A priority patent/CN117834163A/zh
Priority to US17/979,429 priority patent/US20240106844A1/en
Application granted granted Critical
Publication of TWI812491B publication Critical patent/TWI812491B/zh
Publication of TW202414257A publication Critical patent/TW202414257A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Algebra (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)
  • Emergency Alarm Devices (AREA)

Abstract

一種資安威脅偵測及預警系統與方法,該方法係先根據運作資訊判斷網元是否發生異常變化,若有異常網元則先根據其運作資訊通過利用該資安事件推理模型進行推理以產生預測資安警告,並同時進行資安事件的蒐集與比對,以及進一步的自應變測試及反應結果資訊的比對,最終產生威脅事件決策結果;該預測資安警告提供潛在網路攻擊事件的早期警告,威脅事件決策結果則提供一穩健的網路攻擊事件的判斷結果,從而解決現有資安威脅偵測技術判斷時間過長,以及容易誤判或漏判的問題。

Description

資安威脅偵測及預警系統與方法
一種威脅偵測及預警系統與方法,尤指一種資安(資訊安全)威脅偵測預警系統與方法。
第5代(5 thGeneration,5G)行動通訊網路系統採用開放式架構特性,意即任何網元只要符合5G標準以及介面規範即可進行組網,與其他網元進行通訊並使用該網路系統中的功能。其中,網路管理者藉由專網管理系統做為5G系統的控制中心的樞鈕,得知全網路系統中各網元及其連接介面之各種效能資訊或異常訊息。該等效能資訊或異常訊息屬於各網元根據實時狀態產生的原始紀錄資訊,當網元數量龐大且網路系統複雜,效能的改變或異常訊息的產生經常不一定起因於資安威脅如駭客攻擊、非法網路機器人等,亦有可能起因於特殊使用情形,例如大型活動導致人潮聚集網路流量大幅增加、演唱會門票開賣導致短時間大量連線等。如何從其中進行分析、偵測甚至預先判斷資安威脅事件的發生,是網路管理的一大課題。
習知對於5G網路系統核心網元之威脅檢測策略一般採用鏡像全流量分析,即採集5G網路系統中的全部網路流量資訊,保存於資料庫中並建立索引,同時結合大數據分析、機器學習、深度學習進行回溯分析及實時分析,判斷資安威脅事件的發生。然而全流量分析因協議多樣、高併發連結、參數結構複雜等特性,造成分析數據量龐大,容易形成誤判或漏判,難以即時判斷出資安威脅事件的發生,過晚察覺而無法阻止威脅等問題。綜上所述,現有的網路資安威脅事件檢測技術勢必須進一步改進。
有鑑於現有的網路系統資安威脅偵測技術有分析數據量龐大,難以迅速偵測可能的資安威脅,本發明提供一種資安威脅偵測及預警系統,包含有複數網元、複數網元連接介面及一網路系統,實施於一營運維護與管理層,該資安威脅偵測及預警系統包含一儲存器與一處理器。
該儲存器用以儲存每一網元的一運作資訊以及一測試紀錄,以及一資安事件推理模型。該處理器與該儲存器電性連接,用以執行以下步驟:根據每一網元對應的該運作資訊判斷各該網元的其中之一是否發生一異常變化;當各該網元的其中之一發生該異常變化,產生一異常變化警示,且判斷發生異常變化的該網元為一異常網元;根據該異常變化警示及該異常網元對應的運作資訊利用該資安事件推理模型進行推理以產生一威脅事件預測機率值,當該威脅事件預測機率值大於一預測閥值,產生一預測資安警告;根據該異常網元蒐集一資安事件資訊,並比對該資安事件資訊及該異常網元的運作資訊,產生一威脅風險量值;以及當該威脅風險量值大於一威脅閥值,控制該異常網元進行一自應變測試以產生一反應結果資訊,將該反應結果資訊與該測試紀錄進行比對而產生一威脅事件決策結果。
此外,本發明還提供一種資安威脅偵測及預警方法,實施於一網路系統的營運維護與管理層,由一處理器執行,包含以下步驟:自一儲存器中讀取複數網元中的每一網元的一運作資訊以及一測試紀錄;根據每一網元對應的該運作資訊判斷各該網元的其中之一是否發生一異常變化;當各該網元的其中之一發生該異常變化,產生一異常變化警示,且判斷發生異常變化的該網元為一異常網元;根據該異常變化警示及該異常網元對應的該運作資訊利用一資安事件推理模型進行推理以產生一威脅事件預測機率值;當該威脅事件預測機率值大於一預測閥值,產生一預測資安警告;根據該異常網元蒐集一資安事件資訊,並比對該資安事件資訊及該異常網元的運作資訊,產生一威脅風險量值;以及當該威脅風險量值大於一威脅閥值,控制該異常網元進行一自應變測試以產生一反應結果資訊,將該反應結果資訊與該測試記錄進行比對而產生一威脅事件決策結果。
本發明的資安威脅偵測及預警方法由資安威脅偵測及預警系統執行。首先根據各該網元的運作資訊初步判斷任一網元的運作是否發生異常變化,若有,則針對該異常網元進行進一步的資安事件蒐集及判斷。資安事件的判斷主要分為較快速的預測及較準確的決策兩個部分,其一係利用一事先建立的資安事件推理模型,根據該異常網元的運作資訊進行推理,產生威脅事件預測機率值,並根據該威脅事件預測機率值判斷產生預測資安警告。其二係針對該異常網元蒐集該網元的資安事件資訊,通過比對資安事件資訊及運作資訊產生一威脅風險量值,若威脅風險量值大,進一步控制該異常網元進行自應變測試,以根據自應變測試的反應結果資訊產生該威脅事件決策結果。
本發明的資安威脅偵測及預警系統與方法利用資安事件推理模型在網元發生異常變化時提供一快速的預警機制,以供網路管理者預先對該異常網元產生警覺,增加防護事件準備時間;而該威脅事件決策結果經過資安事件資訊的比對,以及自應變測試對該威脅風險的進一步核實,提供一精準的事件決策結果,減少誤判機會。
綜上所述,本發明同時提供即時的預警機制及精準的事件決策結果,改進了現有資安事件偵測技術通過全流量分析進行大量數據分析容易誤判、漏判且過晚察覺的問題。
請參閱圖1及圖2所示,本發明的資安(資訊安全)威脅偵測及預警系統20包含有複數網元11、連接於該些網元11之間的複數網元連接介面12及一網路系統10,實施於網路系統10中的一營運維護與管理 (Operations, Administration, and Maintenance, OAM)層。舉例而言,該網路系統10可為一第五代(5 thGeneration,5G)行動通訊網路系統,其包含複數網元11,該複數網元11例如包含AMF (Access And Mobility Management Function)、SMF (Session Management Function)、UE (User Equipment)、NG-RAN (New Generation Radio Access Network)、UPF (User Plane Function)、DN (Data Network)…等,該些網元連接介面12則包含例如連接UE及NG-RAN的Uu介面、連接UE及AMF的N1介面、連接NG-RAN與AMF的N2介面、連接NG-RAN及UPF的N3介面、連接UPF及SMF的N4介面、連接UPF及DN的N6介面…等,詳如圖1之記載,在此容不全部列出。
請一併參閱圖2及圖3所示,該資安威脅偵測及預警系統20包含一儲存器21一處理器22,該儲存器21用以儲存該些網元11的運作資訊、一測試紀錄、以及一資安事件推理模型。其中,該些運作資訊代表該網路系統10中各網元11的效能資訊,例如該些網元11的記憶體容量、處理速度或運轉效能、故障資訊、以及該些網元連接介面12的資訊流量、連線數量或註冊數量中的至少一種或其組合。該處理器22電性連接該儲存器21以存取其中儲存的資訊,並根據該等運作資訊的變化執行本發明的資安威脅偵測及預警方法,該資安威脅偵測及預警方法包含步驟S101~S106。
在步驟S101中,該處理器22首先從該儲存器21中讀取該些網元11中的每一網元11的一運作資訊以及一測試紀錄。
在步驟S102中,該處理器22根據該些網元11的運作資訊,判斷該些網元11的其中之一是否有發生異常變化。更詳細的說,在一實施例中,該處理器22係先根據一預設週期計算該運作資訊的區間成長率,並且進一步判斷該區間成長率是否符合一異常閥值條件,若符合,則判斷該網元11發生異常變化。該異常閥值條件可以設定為至少一區間成長率大於相對應的該異常閥值,或者多個區間成長率大於相對應的異常閥值,才符合該異常閥值條件,詳述如下。
請參閱圖4所示,該網元連接介面12以該N1介面的註冊數量/介面流量相對時間的變化曲線S1為例,在一實施例中,該處理器22例如是利用一流量分析軟體進行流量分析,預設週期係每隔10秒(s)或每隔30s計算註冊數量/介面流量的成長率,並根據不同預設週期的時間長度制訂相對應的一異常閥值。例如當預設週期的時間長度為10s,該異常閥值制訂為35%,或針對預設週期的時間長度為30s,該異常閥值制訂為33%,當任一區間成長率大於其對應的異常閥值,或者兩者以上大於其對應的異常閥值,則判斷符合該異常閥值條件。以圖4為例,註冊數量/介面流量變化曲線S1至少有3個預設週期為10s的成長率分別是37.6%、42.8%、42.5%均超過所制訂的異常閥值35%,且一個預設週期為30s的區間成長率為37.6%亦超過異常閥值33%,故判斷符合該異常閥值條件。
再請參閱圖3所示,在步驟S102中,當判斷其中一網元11符合該異常閥值條件時,該處理器22則在步驟S103中產生一異常變化警示,並且判斷該發生異常變化的網元11是一異常網元。該異常變化警示用以觸發後續的第一階段的預測資安警告(步驟S104)及第二階段的威脅事件決策結果的判斷流程(步驟S105~S106)。
在步驟S104中,當處理器22判斷有一異常網元,該處理器22根據該異常變化警示及該異常網元對應的運作資訊,利用該資安事件推理模型進行推理以產生一威脅事件預測機率值。當該資安事件推理模型產生的威脅事件預測機率值大於一預測閥值,則產生一預測資安警告。在本實施例中,該資安事件推理模型例如可為卷積神經網路模型(CNN),係根據各該網元11的運作資訊、曾經發生的異常情形、相對應的資安事件,以及造成該異常情形的威脅事件進行監督式學習之訓練而成。當該資安事件推理模型根據該異常網元的運作模型進行推理,該些運作資訊的變化情形愈趨符合特定趨勢變化,產生的威脅事件預測機率值愈高。
再請參閱圖2所示,較佳的,該資安威脅偵測及預警系統20還可包含一輸出裝置23,例如是一顯示螢幕或一音訊播放裝置。當產生該預測資安警告,該處理器22據以控制該輸出裝置23輸出一第一階段的預測資安警告訊息,其可為警告畫面或警告聲音,以通知網路管理員進行初步檢視或處理。
再請參閱圖3所示,在步驟S105中,當該處理器22產生該異常變化警示以及該異常網元的判斷,還進一步根據該異常網元蒐集資安事件資訊。該資安事件資訊代表該網路系統10中各網元11的錯誤資訊,例如包含網元11的安全審計與日誌紀錄、異常通訊封包資訊,及網元11之間的異常控制信令(signaling)資訊等。接著,該處理器22比對該異常網元的資安事件資訊及運作資訊,以判斷兩者之間是否存在一相應的變化趨勢,從而產生一初步的威脅風險量值。更詳細的說,對該異常網元的資安事件資訊及運作資訊的相互比對,是將該資安事件資訊及該運作資訊以時間區間對齊後再進行比對。
當一網路攻擊者進行真正的攻擊前,通常會對各網元11提供的API接口進行試探性調用,再根據產生的結果進一步攻擊。此類試探性調用與網元11服務正常工作時所使用的請求方式和URL是不同的,故會使得該異常網元的運作資訊及對應的資安事件資訊產生與正常工作不同的變化情形。進一步而言,無論是試探性調用或真正攻擊行動,運作資訊的變化與資安事件資訊的變化之間會有一時間差。
請參閱圖5所示,以下將舉例說明考量上述二情形應如何進行異常網元的資安事件資訊及運作資訊的比對。延續圖4之舉例,圖5同時呈現註冊數量/介面流量曲線S1以及網元響應速度曲線S2。當因為網路攻擊者進行試探性調用,在時間區間T1中,根據S1可見該異常網元的介面流量/註冊數量大幅上升,但根據S2可見該網元11的響應速度在時間區間T2中才相應下降,進一步而言,當網路攻擊者開始進行真正攻擊,在時間區間T3中,該異常網元的介面流量/註冊數量再次大幅上升,但該網元11的響應速度在時間區間T4中才再次相應下降。由圖5中可見時間區間T2相較時間區間T1之間有一延後的時間差Δt1,而時間區間T4相較時間區間T3之間有一延後的時間差Δt2。時間區間T1是根據註冊數量/介面流量的曲線S1變化斜率開始大於一第一閥值的時間點為起點,而該時間區間T2則是根據網元響應速度曲線S2變化斜率大於一第二閥值的時間點為起點產生的。時間區間T1及T2的時間差Δt1則是該二起點的差值。時間差Δt2的計算方式與時間差Δt1相似,故不在此贅述。該處理器22先將該等運作資訊與該等資安事件資訊以時間區間進行資訊對齊,才比對運作資訊與資安事件資訊。例如是將時間區間T1中的註冊數量/介面流量資料平移Δt1,才將註冊數量/介面流量與時間區間T2中網元響應速度之資料進行比對以判斷是否有相符的變化趨勢。當以時間區間進行對齊並比對運作資訊與資安事件資訊,兩者的異常變化趨勢越符合,則威脅風險量值越高。
再請參閱圖3所示,在步驟S106中,當該威脅風險量值大於一威脅閥值,該處理器22進一步控制該異常網元進行一自應變測試以產生一反應結果資訊,並將該反應結果資訊與該儲存器21中儲存的測試紀錄進行比對,以產生一威脅事件決策結果。在一些實施例中,該自應變測試例如是阻斷該異常網元對應的至少一網元連接介面12、限制該異常網元對應的至少一網元連接介面12的流量、提高該異常網元的響應延遲、或重新啟動該異常網元等之中的至少一種測試手段,或組合二種以上的測試手段,並記錄該異常網元進行該自應變測試後所產生的反應結果資訊。
請參閱圖6所示,更詳細的說,步驟S106包含以下子步驟: 在步驟S1061中,當該處理器22將該反應結果資訊與該測試記錄進行比對,係先產生一異常機率值,並判斷該異常機率值是否大於一異常機率閥值; 在步驟S1062中,當異常機率值大於該異常機率閥值,該威脅事件決策結果包含該威脅確認資訊; 在步驟S1063中,當異常機率值小於該異常機率閥值,該威脅事件決策結果包含一威脅誤判資訊。
該儲存器21中儲存的測試紀錄包含在不同網元11發生異常情形時,針對各該網元11所進行的歷史自應變測試、相對應的歷史反應結果資訊,以及相對應的歷史威脅事件機率值。當一自應變測試的反應結果與該測試紀錄中的一歷史反應結果資訊相符,且該歷史反應結果資訊是對應一較高的歷史威脅事件機率值,即代表發生資安威脅事件的機率較高,該處理器22根據符合程度產生較高的異常機率值;相對的,自應變測試的反應結果與該測試紀錄中的另一歷史反應結果資訊相符,且該另一歷史反應結果資訊是對應一較低的歷史威脅事件機率值,即代表發生資安威脅事件的機率較低,該處理器22根據符合程度產生較低的異常機率值。
舉例而言,對圖1的NG-RAN之網元11而言,當來自UE的連線數大量增加(異常變化),表示可能發生分散式阻斷服務(distributed denial-of-service,DDoS)攻擊,但亦可能為單純搶票事件的大眾正常使用導致合理的連線數增加。在一種自應變測試中,係阻斷該NG-RAN之網元11與請求大量連線數的UE之間的Uu介面,記錄該NG-RAN之網元11的連線數的變化以作為反應結果資訊。
在第一種情形中,當阻斷Uu介面後,反應結果資訊顯示減少的連線數目相對較少(例如僅為個位數),表示該NG-RAN的異常變化並非因為受到攻擊,應屬於正常使用。當第一種情形的反應結果資訊與儲存器21中的測試紀錄相互比對後,該處理器22根據比對結果產生的異常機率值會低於該預設的異常機率閥值,故威脅事件決策結果包含威脅誤判資訊。
在第二種情形中,當阻斷Uu介面後,反應結果資訊的紀錄中減少的連線數目相對較多(例如高達數千甚至數萬),則表示連線數大量增加應是攻擊者使用跳板機器一次性發動大量連線進行DDoS攻擊。當第二種情形中的反應結果資訊與儲存器21中的測試紀錄相互比對後,該處理器22根據比對結果產生的異常機率值便會大於該異常機率閥值,故威脅事件決策結果包含威脅確認資訊。如此一來,通過該自應變測試判斷該異常網元的反應結果是否屬於一般的特殊使用情形如人潮聚集、搶票事件,或者確實為網路攻擊、非法使用等。
較佳的,該處理器22根據該威脅事件決策結果控制該輸出裝置23輸出第二階段的威脅事件決策結果訊息,通知網路管理員檢視該威脅事件決策結果並進行進階處置。
請一併參閱圖7所示,在另一實施例中,當該處理器22產生該威脅事件決策結果後,還進一步執行以下步驟。
在步驟S107中,該處理器22蒐集與該異常網元相關聯的複數關聯運作資訊,並判斷該些關聯運作資訊是否符合各自對應的一關鍵異常條件。該等關聯運作資訊包含與該異常網元連接的網元連接介面12、通過網元連接介面12通訊連接的相連網元11的運作資訊等。
在步驟S108中,當該些關聯運作資訊中至少二者以上符合各自對應的關鍵異常條件,則根據符合關鍵異常條件的該至少二關聯運作資訊產生一威脅事件覆核分數,以及對應的威脅事件覆核結果。
如圖8所示,舉例而言,該網路系統10中與一異常網元11a(ng-ran)相連的一相連網元11B(DN)的其中一項關聯運作資訊為其伺服器負載,其關鍵異常條件為上限值a%。當該相連網元11B的伺服器接收到大量HTTP get請求,導致該相連網元11B的伺服器負載高於a%,即表示該相連網元11B正遭受會話層洪水攻擊(session flood attack)。另一方面而言,與該異常網元11A相連的另一相連網元11C(DN)的其中一項關聯運作資訊為伺服器處理效能,其關鍵異常條件為下限值b%,當該相連網元11C接收到大量http post請求,導致須處理大量的資料而使伺服器處理效能低於B%時,表示該相連網元11C可能正遭受POST洪水攻擊 (post flood attack)。進一步而言,當與該異常網元11A相關的二個連網元11B、11C的關聯運作資訊都符合其關鍵異常條件,表示該異常網元11A受到攻擊的可能性極高,故根據該至少二關聯運作資訊產生對應的威脅事件覆核分數。當符合關鍵異常條件的關聯運作資訊越多,例如異常網元的越多相連網元的關聯運作資訊符合至少一關鍵異常條件,則給出一越高的威脅事件覆核分數。當該威脅事件覆核分數大於一預設分數門檻,則產生一確認威脅確認資訊的威脅事件覆核結果。
請繼續參閱圖8所示,在另一較佳實施例中,當該處理器22產生威脅事件覆核分數時,係預先根據該些關聯運作資訊相對該異常網元的數據流關聯度,賦與各該關聯運作資訊一異常關聯權重,以計算該威脅事件覆核分數。
更詳細的說,當資安事件發生時,除了面對該資安事件的主要異常網元11A外,在該資安事件的數據路徑上的其他網元11也會受到連帶影響,故對整個網路系統10而言為一連鎖反應。舉例而言,當一資安事件係由一使用者裝置ue通過該異常網元11A(ng-ran)發起的洪水攻擊實事件,其數據流必然會通過的主路徑為異常網元11A以及網元11D(UPF)。故異常網元11A、網元11D以及其中間的網元連接介面12如Uu及N3介面分別賦予最高的異常關聯權重①;此外,為使用該網路系統10的其他附帶功能,數據流亦有較高可能會通過之網元連接介面12如N1、N2、N4、N6介面,故賦予該些網元連接介面12異常關聯權重②;由異常關聯權重排序為②的網元連接介面12所連接到的較次要之網元11如AMF、SMF、網元11B、11C,則賦予其異常關聯權重③,以此類推。符號①、②、③代表由高至低的權重排序。須注意的是,此一舉例係以ng-ran之異常網元11A為中心及其對應的數據流路徑為根據制定賦與之權重排序。當異常網元位於網路系統10中的不同位置時,例如是AMF之網元11時,則應設定不同的權重排序;或者根據該網路系統10之不同應用場合,亦可針對不同網元11制定不同的權重排序。如此一來,當處理器22計算該威脅事件覆核分數時,該處理器22係將關聯運作資訊被賦與的異常關聯權重納入威脅事件覆核分數的計算中,以獲得精準的威脅事件覆核分數。
最後,在步驟109中,當該處理器22產生的威脅事件決策結果是一威脅確認資訊,或者在包含步驟S107~S108的實施例中,產生的威脅事件覆核結果核實了該威脅確認資訊,該處理器22進一步根據該威脅確認資訊、該自應變測試、該反應結果資訊、該異常網元的資安事件資訊及該運作資訊對該資安事件推理模型進行一模型再訓練。
如步驟S104所述,該資安事件推理模型用以根據異常網元的運作資訊進行推理以事先產生威脅事件預測機率值。每當該處理器22根據資安事件資訊與運作資訊的比對、自應變測試及其反應結果資訊等一連資安事件的判斷產生該威脅確認資訊,或者進一步根據威脅事件覆核分數核實了該威脅確認資訊後,該處理器22會不斷根據前述該些資訊對該資安事件推理模型進行模型再訓練,從而不斷強化該資安事件推理模型,並提高該資安事件推模型對下一次異常網元的運作資訊進行推理時的精準度。
綜上所述,本發明的資安威脅偵測及預警系統與方法結合資安威脅事件的偵測以及預警。在第一階段,利用根資安事件推理模型快速產生預測資安警告,提供網路管理者在攻擊事件發生前或初始階段一即時的預警資訊;在第二階段,則通過一連串包含異常網元的資安事件資訊與運作資訊比對、自應變測試與反應結果資訊與測試紀錄的比對、多重關鍵異常閥值及威脅事件覆核結果等手段對該威脅事件進行完整的偵測及結果覆核,從而提供網路管理者一可靠的威脅事件決策結果。最後,該威脅事件決策結果還反饋給該資安事件推理模型以進行再訓練,使得該資安事件推理模型在系統運行中被強化,提供愈趨強健精準的預測資安警告。
以上所述僅是本發明的實施例而已,並非對本發明做任何形式上的限制,雖然本發明已以實施例揭露如上,然而並非用以限定本發明,任何熟悉本專業的技術人員,在不脫離本發明技術方案的範圍內,當可利用上述揭示的技術內容做出些許更動或修飾為等同變化的等效實施例,但凡是未脫離本發明技術方案的內容,依據本發明的技術實質對以上實施例所作的任何簡單修改、等同變化與修飾,均仍屬於本發明技術方案的範圍內。
10:網路系統 11:網元 12:網元連接介面 S1:註冊數量/介面流量曲線 S2:網元響應速度曲線 T1~T4:時間區間 Δt1,Δt2:時間差 20:資安威脅偵測及預警系統 21:儲存器 22:處理器 23:輸出裝置 S101~S109:步驟 S1061~S1063:步驟
圖1係一5G網路系統的系統方塊示意圖。 圖2係本發明資安威脅偵測及預警系統的一系統方塊示意圖。 圖3係本發明資安威脅偵測及預警方法的一方法流程示意圖。 圖4係本發明資安威脅偵測及預警方法中運作資訊變化曲線示意圖。 圖5係本發明資安威脅偵測及預警方法中運作資訊及資安事件資訊變化曲線示意圖。 圖6係本發明資安威脅偵測及預警方法一較佳實施例的方法流程示意圖。 圖7係本發明資安威脅偵測及預警方法再一較佳實施例的方法流程示意圖。 圖8係本發明資安威脅偵測及預警方法中包含關聯運作資訊的異常關聯權重的網路系統方塊示意圖。
S101~S106:步驟

Claims (20)

  1. 一種資安威脅偵測及預警系統,包含有複數網元、複數網元連接介面及一網路系統,實施於一營運維護與管理層,該資安威脅偵測及預警系統包含: 一儲存器,用以儲存每一網元的一運作資訊以及一測試紀錄,以及一資安事件推理模型; 一處理器,與該儲存器電性連接,用以執行以下步驟: 根據每一網元對應的該運作資訊判斷各該網元的其中之一是否發生一異常變化; 當各該網元的其中之一發生該異常變化,產生一異常變化警示,且判斷發生異常變化的該網元為一異常網元; 根據該異常變化警示及該異常網元對應的運作資訊利用該資安事件推理模型進行推理以產生一威脅事件預測機率值,當該威脅事件預測機率值大於一預測閥值,產生一預測資安警告; 根據該異常網元蒐集一資安事件資訊,並比對該資安事件資訊及該異常網元的運作資訊,產生一威脅風險量值;以及 當該威脅風險量值大於一威脅閥值,控制該異常網元進行一自應變測試以產生一反應結果資訊,將該反應結果資訊與該測試紀錄進行比對而產生一威脅事件決策結果。
  2. 如請求項1所述的資安威脅偵測及預警系統,其中,該處理器更用以執行以下步驟: 根據一預設週期計算該運作資訊的一區間成長率; 判斷該區間成長率是否符合一異常閥值條件,若是,判斷該網元發生該異常變化。
  3. 如請求項1所述的資安威脅偵測及預警系統,其中,該處理器更用以執行以下步驟: 當該威脅事件決策結果是一威脅確認資訊,根據該威脅確認資訊、該自應變測試、該反應結果資訊、該異常網元的資安事件資訊及該運作資訊對該資安事件推理模型進行一模型再訓練。
  4. 如請求項3所述的資安威脅偵測及預警系統,其中,該處理器更用以執行以下步驟: 將該反應結果資訊與該測試記錄進行比對而產生一異常機率值; 當該異常機率值大於一異常機率閥值,該威脅事件決策結果包含該威脅確認資訊;以及 當該異常機率值小於該異常機率閥值,該威脅事件決策結果包含一威脅誤判資訊。
  5. 如請求項1所述的資安威脅偵測及預警系統,其中,該自應變測試包含: 阻斷該異常網元對應的至少一網元連接介面、限制該異常網元對應的至少一網元連接介面的流量、提高該異常網元的響應延遲、或重新啟動該異常網元中的至少一種或其組合;以及 記錄該異常網元的該反應結果資訊。
  6. 如請求項4所述的資安威脅偵測及預警系統,其中,該處理器更用以執行以下步驟: 蒐集該異常網元的複數關聯運作資訊,並判斷該些關聯運作資訊分別是否符合各自對應的一關鍵異常條件;以及 當至少二關聯運作資訊符合該些關鍵異常條件,根據符合關鍵異常條件的該至少二關聯運作資訊產生一威脅事件覆核分數及對應的威脅事件覆核結果。
  7. 如請求項6所述的資安威脅偵測及預警系統,其中,該處理器在產生該威脅事件覆核分數時,該處理器係根據該些關聯運作資訊相對該異常網元的一數據流關聯度,賦予各該關聯運作資訊一異常關聯權重以計算該威脅事件覆核分數。
  8. 如請求項1所述的資安威脅偵測及預警系統,其中,該運作資訊包含:該些網元的記憶體容量、處理速度或運轉效能、該些網元連接介面的資訊流量、連線數量或註冊數量中的至少一種或其組合。
  9. 如請求項1所述的資安威脅偵測及預警系統,其中,該資安事件資訊包含:該些網元的安全審計與日誌紀錄、該些網元連接介面的異常通訊封包資訊,或該些網元之間的異常控制信令資訊中的至少一種或其組合。
  10. 如請求項1所述的資安威脅偵測及預警系統,其中,該威脅風險量值係根據該資安事件資訊及該異常網元的運作資訊以時間區間對齊後比對而產生。
  11. 一種資安威脅偵測及預警方法,實施於一網路系統的營運維護與管理層,由一處理器執行,包含以下步驟: 由一儲存器中讀取複數網元中的每一網元的一運作資訊以及一測試紀錄; 根據每一網元對應的該運作資訊判斷各該網元的其中之一是否發生一異常變化; 當各該網元的其中之一發生該異常變化,產生一異常變化警示,且判斷發生異常變化的該網元為一異常網元; 根據該異常變化警示及該異常網元對應的該運作資訊利用一資安事件推理模型進行推理以產生一威脅事件預測機率值; 當該威脅事件預測機率值大於一預測閥值,產生一預測資安警告; 根據該異常網元蒐集一資安事件資訊,並比對該資安事件資訊及該異常網元的運作資訊,產生一威脅風險量值;以及 當該威脅風險量值大於一威脅閥值,控制該異常網元進行一自應變測試以產生一反應結果資訊,將該反應結果資訊與該測試記錄進行比對而產生一威脅事件決策結果。
  12. 如請求項11所述的資安威脅偵測及預警方法,其中,在根據各該網元的運作資訊判斷是否發生一異常變化情形的步驟中,進一步包含以下子步驟: 根據一預設週期計算運作資訊的一區間成長率; 判斷該區間成長率是否符合一異常閥值條件,若是,判斷發生該異常變化。
  13. 如請求項11所述的資安威脅偵測及預警方法,其中, 當該威脅事件決策結果是一威脅確認資訊,根據該威脅確認資訊、該自應變測試、該反應結果資訊、該異常網元的資安事件資訊及運作資訊對該資安事件推理模型進行一模型再訓練。
  14. 如請求項11所述的資安威脅偵測及預警方法,進一步包含以下步驟: 將該反應結果資訊與該測試記錄進行比對而產生一異常機率值; 當該異常機率值大於一異常機率閥值,該威脅事件決策結果包含一威脅確認資訊;以及 當該異常機率值小於該異常機率閥值,該威脅事件決策結果包含一威脅誤判資訊。
  15. 如請求項11所述的資安威脅偵測及預警方法,其中,該自應變測試包含: 阻斷該異常網元對應的至少一網元連接介面、限制該異常網元對應的至少一網元連接介面的流量、提高該異常網元的響應延遲、重新啟動該異常網元中的至少一種或其組合;以及 記錄該異常網元的該反應結果資訊。
  16. 如請求項11所述的資安威脅偵測及預警方法,進一步包含以下步驟: 蒐集該異常網元的複數關聯運作資訊,並判斷該些關聯運作資訊分別是否符合各自對應的一關鍵異常條件;以及 當至少二關聯運作資訊符合該些關鍵異常條件,根據符合關鍵異常條件的該至少二關聯運作資訊產生一威脅事件覆核分數及對應的一威脅事件覆核結果。
  17. 如請求項16所述的資安威脅偵測及預警方法,其中,當產生該威脅事件覆核分數時,係根據該些關聯運作資訊相對該異常網元的一數據流關聯度,賦予各該關聯運作資訊一異常關聯權重以計算該威脅事件覆核分數。
  18. 如請求項11所述的資安威脅偵測及預警方法,其中,該運作資訊包含:該些網元的記憶體容量、處理速度或運轉效能;該些網元連接介面的資訊流量、連線數量或註冊數量中的至少一種或其組合。
  19. 如請求項11所述的資安威脅偵測及預警方法,其中,該資安事件資訊包含:該些網元的安全審計與日誌紀錄、該些網元連接介面的異常通訊封包資訊,或該些網元之間的異常控制信令資訊中的至少一種或其組合。
  20. 如請求項11所述的資安威脅偵測及預警方法,其中,該威脅風險量值係根據該資安事件資訊及該異常網元的運作資訊以時間區間對齊後比對而產生。
TW111136620A 2022-09-27 2022-09-27 資安威脅偵測及預警系統與方法 TWI812491B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW111136620A TWI812491B (zh) 2022-09-27 2022-09-27 資安威脅偵測及預警系統與方法
CN202211251865.6A CN117834163A (zh) 2022-09-27 2022-10-13 资安威胁检测及预警系统与方法
US17/979,429 US20240106844A1 (en) 2022-09-27 2022-11-02 System and method for cybersecurity threat detection and early warning

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW111136620A TWI812491B (zh) 2022-09-27 2022-09-27 資安威脅偵測及預警系統與方法

Publications (2)

Publication Number Publication Date
TWI812491B true TWI812491B (zh) 2023-08-11
TW202414257A TW202414257A (zh) 2024-04-01

Family

ID=88586025

Family Applications (1)

Application Number Title Priority Date Filing Date
TW111136620A TWI812491B (zh) 2022-09-27 2022-09-27 資安威脅偵測及預警系統與方法

Country Status (3)

Country Link
US (1) US20240106844A1 (zh)
CN (1) CN117834163A (zh)
TW (1) TWI812491B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI881516B (zh) * 2023-10-31 2025-04-21 國立陽明交通大學 管理5g開放架構基礎建設之資安系統

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116760636A (zh) * 2023-08-16 2023-09-15 国网江苏省电力有限公司信息通信分公司 一种未知威胁的主动防御系统和方法
CN118611900B (zh) * 2024-04-25 2025-07-11 南京证券股份有限公司 一种基于人工智能的网络数据安全管理监测系统及方法
CN118631565B (zh) * 2024-07-01 2025-01-24 北京天空卫士网络安全技术有限公司 一种网络安全状态评估系统及方法
CN120825343B (zh) * 2025-09-16 2025-11-14 连云港诚壹信息科技有限公司 一种基于明文数据的网络通信安全防护方法及系统
CN120956540A (zh) * 2025-10-17 2025-11-14 国网福建省电力有限公司电力科学研究院 一种用于风电系统的风险识别方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120192249A1 (en) * 2009-01-28 2012-07-26 Raleigh Gregory G Verifiable service policy implementation for intermediate networking devices
US20140280846A1 (en) * 2013-03-14 2014-09-18 Douglas Gourlay System and method for abstracting network policy from physical interfaces and creating portable network policy
TW202019133A (zh) * 2018-11-12 2020-05-16 中華電信股份有限公司 軟體定義驅動的ict服務端對端協作系統
CN114465739A (zh) * 2020-10-21 2022-05-10 中兴通讯股份有限公司 异常识别方法和系统、存储介质及电子装置
CN114697066A (zh) * 2020-12-30 2022-07-01 网神信息技术(北京)股份有限公司 网络威胁检测方法和装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI674778B (zh) * 2018-11-01 2019-10-11 財團法人資訊工業策進會 車輛資訊安全監控裝置
EP3874390A4 (en) * 2018-11-02 2022-07-06 Arizona Board of Regents on behalf of the University of Arizona RUNTIME ADAPTIVE RISK ASSESSMENT AND AUTOMATED MITIGATION

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120192249A1 (en) * 2009-01-28 2012-07-26 Raleigh Gregory G Verifiable service policy implementation for intermediate networking devices
US20150201333A1 (en) * 2009-01-28 2015-07-16 Headwater Partners I Llc Mobile Device With Device Agents to Detect a Disallowed Access to a Requested Mobile Data Service and Guide A Multi-Carrier Selection and Activation Sequence
US20140280846A1 (en) * 2013-03-14 2014-09-18 Douglas Gourlay System and method for abstracting network policy from physical interfaces and creating portable network policy
TW202019133A (zh) * 2018-11-12 2020-05-16 中華電信股份有限公司 軟體定義驅動的ict服務端對端協作系統
CN114465739A (zh) * 2020-10-21 2022-05-10 中兴通讯股份有限公司 异常识别方法和系统、存储介质及电子装置
CN114697066A (zh) * 2020-12-30 2022-07-01 网神信息技术(北京)股份有限公司 网络威胁检测方法和装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI881516B (zh) * 2023-10-31 2025-04-21 國立陽明交通大學 管理5g開放架構基礎建設之資安系統

Also Published As

Publication number Publication date
CN117834163A (zh) 2024-04-05
US20240106844A1 (en) 2024-03-28
TW202414257A (zh) 2024-04-01

Similar Documents

Publication Publication Date Title
TWI812491B (zh) 資安威脅偵測及預警系統與方法
CN119071049B (zh) 一种基于物联网服务器安全访问监控方法
CN103581186B (zh) 一种网络安全态势感知方法及系统
CN101803337B (zh) 入侵检测方法和系统
CN118200190B (zh) 基于人工智能的网络性能监控与维护方法、系统及介质
TW200522627A (en) Methodology of predicting distributed denial of service based on gray theory
CN119030795A (zh) 一种基于大数据的服务器安全风险评估系统及方法
CN120508428A (zh) 一种数据中心智能运维与故障预测系统及方法
CN114338372A (zh) 网络信息安全监控方法及系统
CN118611966A (zh) 一种基于网络异常流量的网络安全监测方法及系统
CN118690402A (zh) 一种基于人工智能的安全运算方法、系统及存储介质
CN102111302A (zh) 一种蠕虫检测方法
CN118316715B (zh) 一种企业网络安全风险评估方法及系统
Kumar et al. Statistical based intrusion detection framework using six sigma technique
CN119922018A (zh) 一种物联网设备的网络安全智能监测方法及相关装置
CN108809955A (zh) 一种基于隐马尔可夫模型的电力用户行为深度分析方法
CN119835059A (zh) 一种基于大数据的电厂网络安全量化分析处理方法及系统
CN118802328A (zh) 一种基于机器学习的网络安全威胁分析方法
Zhu et al. CPU and network traffic anomaly detection method for cloud data center
CN120567708B (zh) 一种基于人工智能的业务告警方法及系统
CN120321049B (zh) 服务器入侵检测方法、装置、介质和设备
Kapourniotis et al. Scam and fraud detection in VoIP Networks: Analysis and countermeasures using user profiling
CN118363816A (zh) 一种应用程序告警分析系统
CN118890139A (zh) 基于区块链的安全访问系统
CN120812087A (zh) 一种基于人工智能的物业数据处理方法及系统