CN108156127B - 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体 - Google Patents

网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体 Download PDF

Info

Publication number
CN108156127B
CN108156127B CN201611114396.8A CN201611114396A CN108156127B CN 108156127 B CN108156127 B CN 108156127B CN 201611114396 A CN201611114396 A CN 201611114396A CN 108156127 B CN108156127 B CN 108156127B
Authority
CN
China
Prior art keywords
attack
access
group
records
association
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611114396.8A
Other languages
English (en)
Other versions
CN108156127A (zh
Inventor
赖家民
毛敬豪
谢志宏
魏得恩
赖季苹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute for Information Industry
Original Assignee
Institute for Information Industry
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute for Information Industry filed Critical Institute for Information Industry
Publication of CN108156127A publication Critical patent/CN108156127A/zh
Application granted granted Critical
Publication of CN108156127B publication Critical patent/CN108156127B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种网络攻击模式的判断装置、方法及其计算机可读取储存媒体。该判断装置储存多个攻击模式及多笔存取记录。各存取记录具有网络地址、时间戳及存取内容。各攻击模式对应至少一攻击存取关联,且各攻击存取关联由一网络地址及一存取内容界定。该判断装置根据至少一攻击地址撷取多笔攻击记录,而各攻击记录所具有的网络地址为攻击地址之一。该判断装置根据该些时间戳将该些攻击记录区分为多群组,且对各群组执行:(a)为该群组所具有的各攻击地址建立至少一存取关联,及(b)根据该群组所具有的该至少一存取关联,判断该群组对应至该些攻击模式之一。

Description

网络攻击模式的判断装置、判断方法及其计算机可读取储存 媒体
技术领域
本发明系关于一种网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体。更具体而言,本发明系关于一种利用存取记录以判断及预测网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体。
背景技术
随着科技的快速发展,政府与企业的运作以及使用者的日常生活皆已脱离不了计算机及网络。基于各式各样的目的,黑客会攻击网络上的服务器/计算机。一般而言,黑客所采取的攻击可区分为破坏型攻击及入侵型攻击二类。破坏型攻击的目的在于破坏攻击的目标,使目标瘫痪而无法正常运作。入侵型攻击则是会取得攻击的目标的某些权限,进而控制被入侵的目标以执行特定运作。入侵型攻击通常是在服务器、应用软件或网络通信协议中的漏洞中执行。
为避免网络上的计算机受到黑客的攻击,某些习知技术采用专家规则式过滤机制。具体而言,管理者利用一预先决定的过滤名单,并根据过滤名单过滤来访的其他装置,藉此达到资安维护的目的。过滤名单可包含欲过滤的因特网地址,或是恶意软件的程序代码中的特征值。然而,黑名单并无法实时被更新,故仍存在资安防护的空窗期。另外,某些习知技术则是采取动态实时扫描(例如:扫描网页内容)。虽然此种作法能减少资安维护的空窗期,却会大量地消耗运算资源。不论是何种习知技术,皆无法将攻击模式提供予用户参考,亦无法预测未来可能发生的攻击模式以让用户事先预防。基于前述说明,本领域仍亟需一种能有效地得知及预测攻击模式的技术。
发明内容
本发明的一目的在于提供一种网络攻击模式(Attack Pattern)的判断装置。该判断装置包含一储存单元及一处理单元,且该储存单元及该处理单元彼此电性连接。该储存单元储存多个攻击模式以及一网络节点的多笔存取记录。各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳(Time Stamp)与一存取内容。各该攻击模式对应到至少一攻击存取关联,其中各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定。该处理单元根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录,其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一。该处理单元更根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组。该处理单元更针对各该第一群组执行以下运作:(a)根据该第一群组所包含的该些攻击记录,为该第一群组所包含的各该至少一攻击地址建立至少一存取关联,各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定,以及(b)根据该第一群组所包含的该至少一存取关联,判断该第一群组对应至该些攻击模式中的一特定攻击模式。
本发明的另一目的在于提供一种网络攻击模式的判断方法,其系适用于一电子计算装置。该电子计算装置储存多个攻击模式及一网络节点的多笔存取记录。各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容。各该攻击模式对应到至少一攻击存取关联,其中各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定。该判断方法包含下列步骤:(a)根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录,其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一,(b)根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组,以及(c)对各该第一群组执行以下步骤:(c1)根据该第一群组所包含的该些攻击记录,为该第一群组所包含的各该至少一攻击地址建立至少一存取关联,各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定,以及(c2)根据该第一群组所包含的该至少一存取关联,判断该第一群组对应至该些攻击模式中的一特定攻击模式。
本发明的又一目的在于提供一种计算机可读取储存媒体,该计算机可读取储存媒体储存有计算机程序产品。一电子计算装置储存多个攻击模式及一网络节点的多笔存取记录。各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容。各该攻击模式对应到至少一攻击存取关联,其中各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定。该电子计算装置加载该计算机程序产品后,该电子计算装置执行该计算机程序产品所包含的多个程序指令,以执行前段所述的网络攻击模式的判断方法。
本发明所提供的网络攻击模式判断技术(包含装置、方法及其计算机可读取储存媒体)在获知至少一攻击地址的情况下,会撷取与该至少一攻击地址相关的多笔攻击记录,将该些攻击记录区分为多个群组,再将各群组所对应的存取关联与攻击模式的攻击存取关联比对。透过前述运作,本发明可判断出各群组所对应的攻击模式,甚至能进一步地预测出未来可能发生的攻击模式。
以下结合图式阐述本发明的详细技术及实施方式,使本领域普通技术人员能理解所请求保护的发明的技术特征。
附图说明
图1A系描绘第一实施方式的网络攻击模式的判断装置的架构示意图;
图1B系描绘存取记录10a、……、10b的一具体范例;
图1C系描绘第一群组16a、16b、16c的一具体范例;
图2A系描绘第二实施方式的网络攻击模式的判断方法的流程图;以及
图2B系描绘本发明的网络攻击模式的判断方法的某些实施方式所执行的流程图。
符号说明
1:判断装置
11:储存单元
13:处理单元
10a、10b:存取记录
12a、12b、12c:攻击模式
14a、14b、14c、14d、14e、14f:攻击记录
16a、16b、16c:第一群组
T1、T2:时间间隔
S201~S217:步骤
S221~S225:步骤
具体实施方式
以下将透过实施方式来解释本发明所提供的网络攻击模式(Attack Pattern)的判断装置、判断方法及其计算机可读取储存媒体。然而,该些实施方式并非用以限制本发明需在如该些实施方式所述的任何环境、应用或方式方能实施。因此,关于实施方式的说明仅为阐释本发明的目的,而非用以限制本发明的范围。应理解,在以下实施方式及附图中,与本发明非直接相关的元件已省略而未绘示,且各元件的尺寸以及元件间的尺寸比例仅为例示而已,而非用以限制本发明的范围。
本发明的第一实施方式为一网络攻击模式的判断装置1,其架构示意图系描绘于图1A。判断装置1包含一储存单元11及一处理单元13,且二者彼此电性连接。储存单元11可为一存储器、一通用串行总线(Universal Serial Bus;USB)碟、一硬盘、一光盘(CompactDisk;CD)、一随身碟、一磁带、一数据库或本发明所属技术领域中具有通常知识者所知且具有相同功能的任何其他储存媒体或电路。处理单元13可为各种处理器、中央处理单元(Central Processing Unit;CPU)、微处理器或本发明所属技术领域中具有通常知识者所知的其他计算装置中的任一者。
储存单元11储存一网络节点的多笔存取记录10a、……、10b(亦即,其他主机存取该网络节点的存取记录)。该网络节点可为判断装置1,亦可为一网络***中的其他网络节点。举例而言,该网络节点可为一服务器(例如:一网站服务器)。存取记录10a、……、10b的每一笔包含一主机的一网络地址及该主机存取该网络节点的一时间戳(Time Stamp)与一存取内容。于某些实施方式中,前述各存取内容可为一超文件传输协议(HyperTextTransfer Protocol;HTTP)请求、一存取状态代码(Status Code)或/及一数据存取量。需说明者,本发明所属技术领域中具有通常知识者应知悉一个超文件传输协议请求可包含哪些内容,故不赘言。另外,一存取记录中的一存取状态代码代表该次存取的结果(例如:存取成功、存取失败、网页不存在)。再者,一存取记录中的一数据存取量则代表该主机于该次存取过程所下载的数据量。
为便于理解,请参图1B,其系描绘存取记录10a、……、10b的一具体范例。于此具体范例中,存取记录10a包含一网络地址(亦即,fcrawler.looksmart.com)、一时间戳(亦即,26/Apr/2000:00:00:12)、一超文件传输协议请求(亦即,GET/contacts.html)、一存取状态代码(亦即,200,代表请求成功)以及一数据存取量(亦即,4,595字节)。存取记录10b包含一网络地址(亦即,123.123.123.123)、一时间戳(亦即,26/Apr/2000:00:23:51)、一超文件传输协议请求(亦即,GET/pics/a2hlogo.jpg)、一存取状态代码(亦即,200,代表请求成功)以及一数据存取量(亦即,4,282字节)。需说明者,图1B所绘示的存取记录10a、……、10b仅作为例示之用,并非用以限制本发明的范围。
另外,于本实施方式中,储存单元11储存多个攻击模式12a、……、12b、12c。攻击模式12a、……、12b、12c中的每一笔对应到至少一攻击存取关联,而各该至少一攻击存取关联由存取记录10a、……、10b所包含的该些网络地址其中之一及存取记录10a、……、10b所包含的该些存取内容其中之一界定。更具体而言,各该至少一攻击存取关联由存取记录10a、……、10b其中之一的网络地址及存取内容界定。举例而言,若一网络信息安全专家判断存取记录10a与攻击模式12a相关(例如:网络信息安全专家判断在某一时间区间内有一网络攻击事件且判断存取记录10a涉及该网络攻击事件,而该网络攻击事件被命名为攻击模式12a),则攻击模式12a将可对应至由存取记录10a的网络地址及超文件传输协议请求中的档案(亦即,a2hlogo.jpg)所界定的一第一攻击存取关联、由存取记录10a的网络地址及存取状态代码所界定的一第二攻击存取关联或/及由存取记录10a的网络地址及数据存取量所界定的一第三攻击存取关联。由前述说明可知,一个攻击模式所对应到的攻击存取关联能反映出该攻击模式可能牵涉的存取型态。需说明者,于其他实施方式中,储存单元11一开始可能并未储存任何攻击模式。
于本实施方式中,判断装置1已知至少一攻击地址(亦即,已知悉各该至少一攻击地址为曾经攻击一网络节点的网络地址或为可能攻击一网络节点的网络地址)。需说明者,本发明的重点在于如何根据至少一攻击地址判断及预测网络攻击模式。至于如何取得至少一攻击地址,则非本发明的重点,故不赘述细节。
接着,判断装置1会判断该至少一攻击地址涉及哪一(或那些)攻击模式。具体而言,处理单元13根据至少一攻击地址自储存单元11撷取存取记录10a、……、10b的一子集作为多笔攻击记录,其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一。换言之,处理单元13从存取记录10a、……、10b中挑出网络地址与该至少一攻击地址相符者,且以挑出的结果作为该些攻击记录。
处理单元13再根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组。于某些实施方式中,处理单元13根据该些攻击记录的该些时间戳计算该些攻击记录所涵盖的一总时间长度,将该总时间长度区分为多个时间区间,且该些时间区间的时间长度相同。于该些实施方式中,每一时间区间所对应的攻击记录即形成前述第一群组其中之一。另外,于某些实施方式中,处理单元13则是根据该些攻击记录的该些时间戳的群聚特性将该些攻击记录区分为多个第一群组。于该些实施方式中,该些第一群组具有一顺序,各该第一群组对应至一时间区间,且相邻的两个第一群组的一时间间隔大于一门槛值。为便于理解,请参图1C所绘示的具体范例,其水平轴系代表时间。攻击记录14a、……、14b属于第一群组16a、攻击记录14c、……、14d属于第一群组16b,且攻击记录14e、……、14f属于第一群组16c。第一群组16a及第一群组16b相邻,且二者间的时间间隔T1大于门槛值。此外,第一群组16b及第一群组16c相邻,且二者间的时间间隔T2大于门槛值。
接着,处理单元13判断各该第一群组属于哪一攻击模式。为便于理解,兹以图1C为例接续说明。以第一群组16a为例,处理单元13根据第一群组16a所包含的攻击记录14a、……、14b,为第一群组16a所包含的各该至少一攻击地址(亦即,攻击记录14a、……、14b中所包含的网络地址中的每一个)建立至少一存取关联。各该至少一存取关联由第一群组16a所包含的该至少一攻击地址其中之一及第一群组16a所包含的攻击记录14a、……、14b的该些存取内容其中之一界定。具体而言,各该至少一存取关联由攻击记录14a、……、14b其中之一的网络地址及存取内容界定。
接着,处理单元13根据第一群组16a所对应的该至少一存取关联,判断第一群组16a是否对应至攻击模式12a、……、12b、12c中的某一特定攻击模式。举例而言,处理单元13可计算第一群组16a所对应的存取关联与攻击模式12a、……、12b、12c中每一笔所对应的攻击存取关联的一相似度,且将该些相似度个别地与一门槛值比。若有哪一(或哪些)相似度大于该门槛值,则处理单元13选取相似度大于该门槛值中的最大者所对应的攻击模式作为第一群组16a所对应的攻击模式。再举例而言,处理单元可利用图(Graph)来呈现第一群组16a所对应的该至少一存取关联,利用其他图来呈现攻击模式12a、……、12b、12c中每一笔所对应的攻击存取关联,再个别地计算第一群组的图与其他图之间的一图编辑距离(GraphEdit Distance)。若有哪一(或哪些)图编辑距离小于一门槛值,则处理单元13选取图编辑距离小于门槛值中的最小者所对应的攻击模式作为第一群组16a所对应的攻击模式。若处理单元13判断第一群组16a未对应至攻击模式12a、……、12b、12c中的任一模式,则可提供(例如:透过一收发接口传送、显示于一显示装置)第一群组16a所对应的该至少一存取关联给一网络信息安全专家判断,再于储存单元11记录网络信息安全专家所判断出的攻击模式对应于第一群组16a所对应的该至少一存取关联。依据前述说明,本发明所属技术领域中具有通常知识者应可理解处理单元13如何对第一群组16b、16c进行雷同的运作,兹不赘言。
于某些实施方式中,处理单元13可进一步地将该些第一群组所对应的该些特定攻击模式的一顺序储存于储存单元11。为便于理解,兹以图1C为例接续说明。兹假设第一群组16a对应至攻击模式12b,第一群组16b对应至攻击模式12c,且第一群组16c对应至攻击模式12a。由于第一群组16a、16b、16具有一顺序,因此处理单元13于储存单元11记录攻击模式12b、12c、12a亦具有一顺序(亦即,攻击模式12c出现于攻击模式12b之后,且攻击模式12a出现于攻击模式12c之后)。
于某些实施方式中,处理单元11会再处理一第二群组(未绘示)所包含的多笔待测存取记录(未绘示),其中各该待测存取记录包含一网络地址、一时间戳及一存取内容。于某些实施方式中,前述各存取内容可为一超文件传输协议请求、一存取状态代码或/及一数据存取量。具体而言,处理单元11根据该些待测存取记录,建立第二群组所包含的各该至少一网络地址的至少一待测存取关联。各该至少一待测存取关联由该第二群组所包含的该至少一网络地址其中之一及该第二群组所包含的该些待测存取记录的该些存取内容其中之一界定。更具体而言,各该至少一待测存取关联由该些待测存取记录其中之一的网络地址及存取内容界定。
接着,处理单元13根据该些待测存取关联,判断该第二群组对应是否对应至攻击模式12a、……、12b、12c中的某一特定攻击模式。本发明所属技术领域中具有通常知识者基于先前与第一群组相关的描述,应可了解处理单元13如何根据该些待测存取关联,判断该第二群组对应是否对应至攻击模式12a、……、12b、12c中的某一特定攻击模式,兹不赘言。兹假设处理单元13判断第二群组对应至攻击模式12b。处理单元13进一步地判断储存单元11已记录攻击模式12b、12c、12a具有一顺序,因此处理单元13更根据攻击模式12b、12c、12a的该顺序,预测第二群组所对应的时间区间后的另一时间区间会对应至攻击模式12c。
由前述说明可知,当判断装置1获知至少一攻击地址,判断装置1会撷取与该至少一攻击地址相关的多笔攻击记录,将该些攻击记录区分为多个群组,再将各群组所对应的存取关联与攻击模式的攻击存取关联比对。透过前述运作,判断装置1可判断出各群组所对应的攻击模式,甚至能进一步地预测出未来可能发生的攻击模式。
本发明的第二实施方式为一网络攻击模式的判断方法,其流程图系描绘于图2A。该网络攻击模式的判断方法适用于一电子计算装置(例如:第一实施方式中的判断装置1)。该电子计算装置储存一网络节点的多笔存取记录,其中各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容。于某些实施方式中,各该存取内容为一超文件传输协议请求、一存取状态代码及一数据存取量其中之一或其组合。该电子计算装置亦储存多个攻击模式,其中,各该攻击模式对应到至少一攻击存取关联,且各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定。
于本实施方式中,电子计算装置已知至少一攻击地址(亦即,已知悉各该至少一攻击地址为曾经攻击一网络节点的网络地址或为可能攻击一网络节点的网络地址)。于步骤S201,由该电子计算装置根据该至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录,其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一。
于步骤S203,由该电子计算装置根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组。于某些实施方式中,步骤S203系根据该些攻击记录的该些时间戳计算该些攻击记录所涵盖的一总时间长度,将该总时间长度区分为多个时间区间,且该些时间区间的时间长度相同。于该些实施方式中,每一时间区间所对应的攻击记录即形成前述第一群组其中之一。于某些实施方式中,步骤S203则是根据该些攻击记录的该些时间戳的群聚特性将该些攻击记录区分为多个第一群组。于该些实施方式中,该些第一群组具有一顺序,各该第一群组对应至一时间区间,且相邻的两个第一群组的一时间间隔大于一门槛值。
接着,针对各该第一群组,由该电子计算装置执行步骤S205至步骤S215。于步骤S205,由该电子计算装置选取一个尚未分析过的第一群组。于步骤S207,由该电子计算装置根据该第一群组所包含的该些攻击记录,为该第一群组所包含的各该至少一攻击地址建立至少一存取关联。各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定。于步骤S209,由该电子计算装置根据该第一群组所包含的该至少一存取关联,判断该第一群组是否对应至该电子计算装置所储存的该些攻击模式中的一特定攻击模式。
若步骤S209的判断结果为是,则执行步骤S215(容后说明)。若步骤S209的判断结果为否,则执行步骤S211,由该电子计算装置提供该第一群组所对应的该至少一存取关联给一网络信息安全专家判断。接着,于步骤S213,由该电子计算装置记录该网络信息安全专家所判断出的一攻击模式且记录该攻击模式对应于该第一群组所对应的该至少一存取关联,之后再执行步骤S215。于步骤S215,由该电子计算装置判断是否尚有未分析的第一群组。若步骤S215的判断结果为是,则网络攻击模式的判断方法再次地执行步骤S205至步骤S215以分析其他的第一群组。若步骤S215的判断结果为否(亦即,所有第一群组皆已分析完毕),则可直接结束此网络攻击模式的判断方法。然而,某些实施方式则可进一步地执行步骤S217,由该电子计算装置储存该些第一群组所对应的该些特定攻击模式的一顺序。
于某些实施方式中,网络攻击模式的判断方法可进一步地执行图2B所绘示的流程以分析一第二群组所包含的多笔待测存取记录。各该待测存取记录包含一网络地址、一时间戳及一存取内容。类似的,于某些实施方式中,各该存取内容可为一超文件传输协议请求、一存取状态代码或/及一数据存取量。
于步骤S221,由该电子计算装置根据该些待测存取记录,建立该第二群组所包含的各该至少一网络地址的至少一待测存取关联。各该至少一待测存取关联由该第二群组所包含的该至少一网络地址其中之一及该第二群组所包含的该些待测存取记录的该些存取内容其中之一界定。于步骤S223,由该电子计算装置根据该些待测存取关联,判断该第二群组对应至该些特定攻击模式中的一第一特定攻击模式(亦即,于步骤S209所判断出的该些第一群组所对应的该些特定攻击模式其中之一)。于步骤S225,由该电子计算装置根据该些特定攻击模式的该顺序,预测该第二群组所对应的一时间区间后的另一时间区间对应至一第二特定攻击模式。
除了上述步骤,第二实施方式亦能执行第一实施方式所描述的所有运作及步骤,具有同样的功能,且达到同样的技术效果。本发明所属技术领域中具有通常知识者可直接了解第二实施方式如何基于上述第一实施方式以执行此等运作及步骤,具有同样的功能,并达到同样的技术效果,故不赘述。
在第二实施方式中所阐述网络攻击模式的判断方法可由包含多个程序指令的计算机程序产品实现。该计算机程序产品可被储存于一非瞬时的计算机可读取储存媒体中。针对该计算机程序产品,在其所包含的该些程序指令被加载一电子计算装置(例如:第一实施方式的攻击节点侦测装置1)之后,该计算机程序产品执行如在第二实施方式中所述的网络攻击模式的判断方法。该非瞬时计算机可读取储存媒体可为一电子产品,例如:一只读存储器(read only memory;ROM)、一闪存、一软盘、一硬盘、一光盘(compact disk;CD)、一随身碟、一磁带、一可由网络存取的数据库或本发明所属技术领域中具有通常知识者所知且具有相同功能的任何其他储存媒体。
需说明者,于本发明专利说明书中,第一群组及第二群组中的「第一」及「第二」仅用来表示该些群组为不同阶段所决定的群组。第一攻击存取关联、第二攻击存取关联及第三攻击存取关联中的「第一」、「第二」及「第三」仅用来表示该些攻击存取关联为不同的攻击存取关联。
综上所述,本发明所提供的网络攻击模式判断技术(包含装置、方法及其计算机可读取储存媒体)在获知至少一攻击地址的情况下,会撷取与该至少一攻击地址相关的多笔攻击记录,将该些攻击记录区分为多个群组,再将各群组所对应的存取关联与攻击模式的攻击存取关联比对。透过前述运作,本发明可判断出各群组所对应的攻击模式,甚至能进一步地预测出未来可能发生的攻击模式。
上述实施方式仅用来例举本发明的部分实施态样,以及阐释本发明的技术特征,而非用来限制本发明的保护范畴及范围。本领域普通技术人员可轻易完成的改变或均等性的安排均属于本发明所主张的范围,而本发明的权利保护范围以权利要求为准。

Claims (20)

1.一种网络攻击模式的判断装置,其特征在于,包含:
一储存单元,储存多个攻击模式以及一网络节点的多笔存取记录,各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容,各该攻击模式对应到至少一攻击存取关联,各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定;以及
一处理单元,电性连接至该储存单元,根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录,各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一,
其中,该处理单元更根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组,且针对各该第一群组执行以下运作:
根据该第一群组所包含的该些攻击记录,为该第一群组所包含的各该至少一攻击地址建立至少一存取关联,各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定,以及
根据该第一群组所对应的该至少一存取关联,判断该第一群组对应至该些攻击模式中的一特定攻击模式。
2.如权利要求1所述的判断装置,其特征在于,该处理单元更将该些特定攻击模式的一顺序储存于该储存单元。
3.如权利要求2所述的判断装置,其特征在于,一第二群组包含多笔待测存取记录,各该待测存取记录包含一网络地址、一时间戳及一存取内容,该处理单元更根据该些待测存取记录,建立该第二群组所包含的各该至少一网络地址的至少一待测存取关联,各该至少一待测存取关联由该第二群组所包含的该至少一网络地址其中之一及该第二群组所包含的该些待测存取记录的该些存取内容其中之一界定,以及
根据该些待测存取关联,判断该第二群组对应至该些特定攻击模式中的一第一特定攻击模式。
4.如权利要求3所述的判断装置,其特征在于,该第二群组对应至一时间区间,该处理单元更根据该些特定攻击模式的该顺序,预测该时间区间后的另一时间区间对应至一第二特定攻击模式。
5.如权利要求1所述的判断装置,其特征在于,各该第一群组对应至一时间区间,各该时间区间具有一时间长度,且该些时间长度相同。
6.如权利要求1所述的判断装置,其特征在于,该些第一群组具有一顺序,各该第一群组对应至一时间区间,且相邻的两个第一群组的一时间间隔大于一门槛值。
7.如权利要求1所述的判断装置,其特征在于,各该存取内容为一超文件传输协议请求、一存取状态代码及一数据存取量其中之一或其组合。
8.一种网络攻击模式的判断方法,适用于一电子计算装置,该电子计算装置储存多个攻击模式及一网络节点的多笔存取记录,各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容,各该攻击模式对应到至少一攻击存取关联,各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定,其特征在于,该判断方法包含下列步骤:
根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录,其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一;
根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组;以及
对各该第一群组执行以下步骤:
根据该第一群组所包含的该些攻击记录,为该第一群组所包含的各该至少一攻击地址建立至少一存取关联,各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定;以及
根据该第一群组所对应的该至少一存取关联,判断该第一群组对应至该些攻击模式中的一特定攻击模式。
9.如权利要求8所述的判断方法,其特征在于,更包含下列步骤:
储存该些特定攻击模式的一顺序。
10.如权利要求9所述的判断方法,其特征在于,一第二群组包含多笔待测存取记录,各该待测存取记录包含一网络地址、一时间戳及一存取内容,该判断方法更包含下列步骤:
根据该些待测存取记录,建立该第二群组所包含的各该至少一网络地址的至少一待测存取关联,其中各该至少一待测存取关联由该第二群组所包含的该至少一网络地址其中之一及该第二群组所包含的该些待测存取记录的该些存取内容其中之一界定;以及
根据该些待测存取关联,判断该第二群组对应至该些特定攻击模式中的一第一特定攻击模式。
11.如权利要求10所述的判断方法,其特征在于,该第二群组对应至一时间区间,该判断方法更包含下列步骤:
根据该些特定攻击模式的该顺序,预测该时间区间后的另一时间区间对应至一第二特定攻击模式。
12.如权利要求8所述的判断方法,其特征在于,各该第一群组对应至一时间区间,各该时间区间具有一时间长度,且该些时间长度相同。
13.如权利要求8所述的判断方法,其特征在于,该些第一群组具有一顺序,各该第一群组对应至一时间区间,且相邻的两个第一群组的一时间间隔大于一门槛值。
14.如权利要求8所述的判断方法,其特征在于,各该存取内容为一超文件传输协议请求、一存取状态代码及一数据存取量其中之一或其组合。
15.一种计算机可读取储存媒体,储存有计算机程序产品,经由一电子计算装置加载该计算机程序产品后,该电子计算装置执行该计算机程序产品所包含的多个程序指令,以执行一种网络攻击模式的判断方法,该电子计算装置储存多个攻击模式及一网络节点的多笔存取记录,各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容,各该攻击模式对应到至少一攻击存取关联,各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定,其特征在于,该判断方法包含下列步骤:
根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录,其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一;
根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组;以及
对各该第一群组执行以下步骤:
根据该第一群组所包含的该些攻击记录,为该第一群组所包含的各该至少一攻击地址建立至少一存取关联,各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定;以及
根据该第一群组所对应的该至少一存取关联,判断该第一群组对应至该些攻击模式中的一特定攻击模式。
16.如权利要求15所述的计算机可读取储存媒体,其特征在于,该判断方法更包含下列步骤:
储存该些特定攻击模式的一顺序。
17.如权利要求16所述的计算机可读取储存媒体,其特征在于,一第二群组包含多笔待测存取记录,各该待测存取记录包含一网络地址、一时间戳及一存取内容,该判断方法更包含下列步骤:
根据该些待测存取记录,建立该第二群组所包含的各该至少一网络地址的至少一待测存取关联,其中各该至少一待测存取关联由该第二群组所包含的该至少一网络地址其中之一及该第二群组所包含的该些待测存取记录的该些存取内容其中之一界定;以及
根据该些待测存取关联,判断该第二群组对应至该些特定攻击模式中的一第一特定攻击模式。
18.如权利要求17所述的计算机可读取储存媒体,其特征在于,该第二群组对应至一时间区间,该判断方法更包含下列步骤:
根据该些特定攻击模式的该顺序,预测该时间区间后的另一时间区间对应至一第二特定攻击模式。
19.如权利要求15所述的计算机可读取储存媒体,其特征在于,各该第一群组对应至一时间区间,各该时间区间具有一时间长度,且该些时间长度相同。
20.如权利要求15所述的计算机可读取储存媒体,其特征在于,该些第一群组具有一顺序,各该第一群组对应至一时间区间,且相邻的两个第一群组的一时间间隔大于一门槛值。
CN201611114396.8A 2016-12-05 2016-12-07 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体 Active CN108156127B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
TW105140086 2016-12-05
TW105140086A TWI610196B (zh) 2016-12-05 2016-12-05 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品

Publications (2)

Publication Number Publication Date
CN108156127A CN108156127A (zh) 2018-06-12
CN108156127B true CN108156127B (zh) 2019-12-20

Family

ID=57708298

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611114396.8A Active CN108156127B (zh) 2016-12-05 2016-12-07 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体

Country Status (4)

Country Link
US (1) US10742668B2 (zh)
EP (1) EP3331210B1 (zh)
CN (1) CN108156127B (zh)
TW (1) TWI610196B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6928265B2 (ja) * 2018-04-04 2021-09-01 日本電信電話株式会社 情報処理装置及び情報処理方法
TWI726455B (zh) * 2019-10-23 2021-05-01 臺灣銀行股份有限公司 滲透測試個案建議方法及系統
CN112839010B (zh) * 2019-11-22 2023-08-04 北京数安鑫云信息技术有限公司 标记样本的方法、***、设备及介质
CN114640504B (zh) * 2022-02-24 2024-02-06 京东科技信息技术有限公司 Cc攻击防护方法、装置、设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242278A (zh) * 2008-02-18 2008-08-13 华中科技大学 网络多步攻击意图在线识别方法
EP2009864A1 (en) * 2007-06-28 2008-12-31 Nibelung Security Systems GmbH Method and apparatus for attack prevention
CN103297972A (zh) * 2012-02-29 2013-09-11 株式会社泛泰 用于检测网络攻击的移动终端及其方法

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6405318B1 (en) * 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system
FR2798490B1 (fr) * 1999-09-13 2001-10-26 Inst Nat Rech Inf Automat Procede et dispositif de resolution de modeles et utilisation pour la detection des attaques contre les systemes informatiques
WO2002071227A1 (en) 2001-03-01 2002-09-12 Cyber Operations, Llc System and method for anti-network terrorism
US20050144468A1 (en) * 2003-01-13 2005-06-30 Northcutt J. D. Method and apparatus for content protection in a personal digital network environment
US7392399B2 (en) * 2003-05-05 2008-06-24 Sun Microsystems, Inc. Methods and systems for efficiently integrating a cryptographic co-processor
TWI348290B (en) 2003-06-18 2011-09-01 Symantec Corp System and method for filtering spam messages utilizing url filtering module
US8145710B2 (en) 2003-06-18 2012-03-27 Symantec Corporation System and method for filtering spam messages utilizing URL filtering module
CN100370757C (zh) 2004-07-09 2008-02-20 国际商业机器公司 识别网络内分布式拒绝服务攻击和防御攻击的方法和***
US7516114B2 (en) * 2004-10-22 2009-04-07 International Business Machines Corporation Visual structuring of multivariable data
TW200833015A (en) 2007-01-26 2008-08-01 Genie Networks Ltd Method and system for detecting network anomaly events
US8972329B2 (en) 2008-05-02 2015-03-03 The Board Of Trustees Of The Leland Stanford Junior University Systems and methods for ranking nodes of a graph using random parameters
US20090319248A1 (en) * 2008-06-18 2009-12-24 Eads Na Defense Security And Systems Systems and methods for a simulated network traffic generator
CN101741633B (zh) 2008-11-06 2011-12-28 北京启明星辰信息技术股份有限公司 一种海量日志关联分析方法及***
US8607351B1 (en) * 2010-11-02 2013-12-10 The Boeing Company Modeling cyberspace attacks
US8935383B2 (en) * 2010-12-31 2015-01-13 Verisign, Inc. Systems, apparatus, and methods for network data analysis
KR101577886B1 (ko) * 2011-06-29 2015-12-15 인텔 코포레이션 무결성 검사 및 리플레이 공격들에 대한 보호를 이용하는 메모리 암호화를 위한 방법 및 장치
EP2815553B1 (en) * 2012-02-14 2019-05-08 Apple Inc. Mobile apparatus supporting a plurality of access control clients, and corresponding methods
CN102611713B (zh) 2012-04-10 2015-03-25 西南交通大学 基于熵运算的网络入侵检测方法和装置
CN105210042B (zh) 2013-03-14 2019-07-12 班杜拉有限责任公司 互联网协议威胁防护
US9379963B2 (en) * 2013-12-30 2016-06-28 Cavium, Inc. Apparatus and method of generating lookups and making decisions for packet modifying and forwarding in a software-defined network engine
US10038703B2 (en) * 2014-07-18 2018-07-31 The Regents Of The University Of Michigan Rating network security posture and comparing network maliciousness
US11122058B2 (en) * 2014-07-23 2021-09-14 Seclytics, Inc. System and method for the automated detection and prediction of online threats
US9900344B2 (en) * 2014-09-12 2018-02-20 Level 3 Communications, Llc Identifying a potential DDOS attack using statistical analysis
WO2016073457A2 (en) 2014-11-03 2016-05-12 Level 3 Communications, Llc Identifying a potential ddos attack using statistical analysis
CN104601591B (zh) 2015-02-02 2017-08-15 中国人民解放军国防科学技术大学 网络攻击源组织检测方法
US9742788B2 (en) * 2015-04-09 2017-08-22 Accenture Global Services Limited Event correlation across heterogeneous operations
US9699205B2 (en) 2015-08-31 2017-07-04 Splunk Inc. Network security system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2009864A1 (en) * 2007-06-28 2008-12-31 Nibelung Security Systems GmbH Method and apparatus for attack prevention
CN101242278A (zh) * 2008-02-18 2008-08-13 华中科技大学 网络多步攻击意图在线识别方法
CN103297972A (zh) * 2012-02-29 2013-09-11 株式会社泛泰 用于检测网络攻击的移动终端及其方法

Also Published As

Publication number Publication date
US20180159868A1 (en) 2018-06-07
TW201822054A (zh) 2018-06-16
EP3331210B1 (en) 2019-07-17
EP3331210A1 (en) 2018-06-06
TWI610196B (zh) 2018-01-01
CN108156127A (zh) 2018-06-12
US10742668B2 (en) 2020-08-11

Similar Documents

Publication Publication Date Title
US8806644B1 (en) Using expectation measures to identify relevant application analysis results
US9838405B1 (en) Systems and methods for determining types of malware infections on computing devices
CN109586282B (zh) 一种电网未知威胁检测***及方法
US8850517B2 (en) Runtime risk detection based on user, application, and system action sequence correlation
US10282546B1 (en) Systems and methods for detecting malware based on event dependencies
TW201931187A (zh) 統一資源定位符(url)攻擊檢測方法、裝置及電子設備
JP6726706B2 (ja) コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法
CN108156127B (zh) 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
WO2018236772A1 (en) SYSTEMS AND METHODS FOR LABELING REPORTS GENERATED AUTOMATICALLY
US10242201B1 (en) Systems and methods for predicting security incidents triggered by security software
US10785243B1 (en) Identifying evidence of attacks by analyzing log text
CN112769775B (zh) 一种威胁情报关联分析方法、***、设备及计算机介质
CN109948335B (zh) 用于检测计算机***中的恶意活动的***和方法
US9122869B1 (en) Systems and methods for detecting client types
CN110955890B (zh) 恶意批量访问行为的检测方法、装置和计算机存储介质
US11095666B1 (en) Systems and methods for detecting covert channels structured in internet protocol transactions
CN108133136B (zh) 攻击节点侦测装置、方法及其计算机可读取储存媒体
CN115051867B (zh) 一种非法外联行为的检测方法、装置、电子设备及介质
US10339308B1 (en) Systems and methods for remediating computer reliability issues
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN110659478A (zh) 在隔离的环境中检测阻止分析的恶意文件的方法
US10530809B1 (en) Systems and methods for remediating computer stability issues
EP3819799A1 (en) Method of threat detection
CN113765924A (zh) 基于用户跨服务器访问的安全监测方法、终端及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant