TWI674777B - 異常流量偵測裝置及其異常流量偵測方法 - Google Patents

異常流量偵測裝置及其異常流量偵測方法 Download PDF

Info

Publication number
TWI674777B
TWI674777B TW107139868A TW107139868A TWI674777B TW I674777 B TWI674777 B TW I674777B TW 107139868 A TW107139868 A TW 107139868A TW 107139868 A TW107139868 A TW 107139868A TW I674777 B TWI674777 B TW I674777B
Authority
TW
Taiwan
Prior art keywords
input
output
abnormal
data
packets
Prior art date
Application number
TW107139868A
Other languages
English (en)
Other versions
TW202019127A (zh
Inventor
李坤瑋
Kun Wei Lee
陳勁維
Chin Wei Chen
魏得恩
Te En Wei
張孝賢
Hsiao Hsien Chang
Original Assignee
財團法人資訊工業策進會
Institute For Information Industry
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人資訊工業策進會, Institute For Information Industry filed Critical 財團法人資訊工業策進會
Priority to TW107139868A priority Critical patent/TWI674777B/zh
Priority to CN201811387921.2A priority patent/CN111181901B/zh
Priority to US16/211,227 priority patent/US10841228B2/en
Application granted granted Critical
Publication of TWI674777B publication Critical patent/TWI674777B/zh
Publication of TW202019127A publication Critical patent/TW202019127A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/41Flow control; Congestion control by acting on aggregated flows or links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一種異常流量偵測裝置及其異常流量偵測方法。異常流量偵測裝置解析一時間區間所擷取之複數封包,以獲得各封包之複數流量特徵,並基於降維演算法,自該等流量特徵中選取出至少一關鍵流量特徵。異常流量偵測裝置將各封包之至少一關鍵流量特徵作為一雙向生成式對抗網路之輸入,以訓練雙向生成式對抗網路,而生成用於偵測異常流量之一流量辨識模型。

Description

異常流量偵測裝置及其異常流量偵測方法
本發明係關於一種異常流量偵測裝置及其異常流量偵測方法。具體而言,異常流量偵測裝置基於降維演算法獲得封包的至少一關鍵流量特徵,並訓練雙向生成式對抗網路,以生成用於偵測異常流量之一流量辨識模型。
隨著科技的發展,網路通訊的各種應用已充斥於人們的生活中,且人們對於網路通訊的需求亦日益增加。因此,網路通訊的安全性也隨之日益重要。目前關於網路安全的多個研究議題其中之一在於,駭客會透過命令與控制伺服器(command-and-control server;C2 server)向被殭屍病毒感染的電腦下達指令並加以控制,以攻擊特定受害者電腦(例如:企業的伺服器),其攻擊方式例如:垃圾信件(SPAM)攻擊、點擊詐欺(Click Fraud;CF)攻擊、埠掃描(Port Scan;PS)攻擊、分散式阻斷服務(Distributed Denial-of-Service;DDoS)攻擊及快速變動(Fast Flux;FF)攻擊等。
此外,C2伺服器通常會採用網際網路中繼聊天(Internet Relay Chat;IRC)協定、超文本傳輸協定(HyperText Transfer Protocol;HTTP)或點對點(Point-to-Point;P2P)網路架構,向被殭屍病毒感染的電腦下達 指令。目前的防禦偵測系統大多採用專家規則或機器學習的方式來偵測異常流量。然而,由於異常流量的樣本於現實中不易取得,而存在樣本數不足且多樣性不足的問題,故目前的防禦偵測系統仍無法有效地偵測出異常流量。
有鑑於此,如何提供一種異常流量偵測機制,其能有效地偵測出異常流量,係為業界及學術界亟需解決的一技術問題。
本發明之目的在於提供一種異常流量偵測機制,其能有效地偵測出異常流量。具體而言,本發明之異常流量偵測機制可透過解析封包以獲得多個特徵,並藉由降維演算法,分析該等特徵以選出關鍵的特徵,進而透過深度學習演算法增加樣本的多樣性,以強化偵測異常流量的能力。因此,本發明之異常流量偵測機制可解決因為異常流量的樣本數不足且多樣性不足的問題,故能有效地偵測出異常流量。
為達上述目的,本發明揭露一種異常流量偵測裝置,其包含一儲存器、一網路介面及一處理器。該處理器電性連接該儲存器及該網路介面,且用以執行以下操作:透過該網路介面,擷取一第一時間區間自一內部網路傳送至一外部網路之複數第一輸出封包(outgoing packet);解析該等第一輸出封包,以產生複數輸出流量資料,其中各該輸出流量資料具有複數輸出特徵;基於一降維演算法,計算該等輸出流量資料,以自該等輸出特徵中選取出至少一關鍵輸出特徵,並產生對應至該等輸出流量資料之複數輸出訓練資料;將該等輸出訓練資料作為一雙向生成式對抗網路之複數第一輸入樣本,並根據該等第一輸入樣本訓練該雙向生成式對抗網路,以生成一輸 出流量辨識模型;透過該網路介面,擷取一第二時間區間自該內部網路傳送至該外部網路之複數第二輸出封包;解析該等第二輸出封包,以產生複數待辨識輸出流量資料,其中各該待辨識輸出流量資料具有該至少一關鍵輸出特徵;以及將各該待辨識輸出流量資料輸入至該輸出流量辨識模型,以判斷該等第二輸出封包是否產生一異常輸出流量。
此外,本發明更揭露一種用於一異常流量偵測裝置之異常流量偵測方法。該異常流量偵測裝置包含一儲存器、一網路介面及一處理器。該處理器電性連接該儲存器及該網路介面。該異常流量偵測方法由該處理器執行且包含下列步驟:透過該網路介面,擷取一第一時間區間自一內部網路傳送至一外部網路之複數第一輸出封包;解析該等第一輸出封包,以產生複數輸出流量資料,其中各該輸出流量資料具有複數輸出特徵;基於一降維演算法,計算該等輸出流量資料,以自該等輸出特徵中選取出至少一關鍵輸出特徵,並產生對應至該等輸出流量資料之複數輸出訓練資料;將該等輸出訓練資料作為一雙向生成式對抗網路之複數第一輸入樣本,並根據該等第一輸入樣本訓練該雙向生成式對抗網路,以生成一輸出流量辨識模型;透過該網路介面,擷取一第二時間區間自該內部網路傳送至該外部網路之複數第二輸出封包;解析該等第二輸出封包,以產生複數待辨識輸出流量資料,其中各該待辨識輸出流量資料具有該至少一關鍵輸出特徵;以及將各該待辨識輸出流量資料輸入至該輸出流量辨識模型,以判斷該等第二輸出封包是否產生一異常輸出流量。
在參閱圖式及隨後描述之實施方式後,此技術領域具有通常知識者便可瞭解本發明之其他目的,以及本發明之技術手段及實施態樣。
HD‧‧‧駭客裝置
CCS‧‧‧C2伺服器
EN‧‧‧外部網路
IN‧‧‧內部網路
GD‧‧‧閘道器裝置
IND1、IND2、IND3‧‧‧內部裝置
FIP_1-FIP_i‧‧‧第一輸入封包
SIP_1-SIP_j‧‧‧第二輸入封包
FOP_1-FOP_n‧‧‧第一輸出封包
SOP_1-SOP_m‧‧‧第二輸出封包
1‧‧‧異常流量偵測裝置
11‧‧‧儲存器
13‧‧‧處理器
15‧‧‧網路介面
PI‧‧‧相關資訊
E‧‧‧編碼器
G‧‧‧生成器
D‧‧‧判別器
x‧‧‧輸入樣本
z‧‧‧仿特徵
G(z)‧‧‧生成器之輸出
E(x)‧‧‧編碼器之輸出
P(y)‧‧‧異常機率
UD‧‧‧輸入資料
UOD_1-UOD_p‧‧‧輸出流量資料
UID_1-UID_q‧‧‧輸入流量資料
OFM‧‧‧輸出流量辨識模型
IFM‧‧‧輸入流量辨識模型
FD‧‧‧仿資料
SG‧‧‧計算單元
DR1‧‧‧判別值
DR2‧‧‧判別值
S1‧‧‧第一差異值
S2‧‧‧第二差異值
w1‧‧‧第一權重值
w2‧‧‧第二權重值
SV‧‧‧總和值
S1102-S1114、S1202-S1214‧‧‧步驟
第1圖描繪本發明之一實施情境之示意圖;第2圖係本發明之異常流量偵測裝置1之示意圖;第3圖係本發明相關資訊PI之一實施情境;第4圖係本發明輸出流量資料之一矩陣示意圖;第5圖係描繪處理器13基於LDA演算法計算輸出流量資料所產生對應至各輸出特徵之權重值;第6圖係本發明雙向生成式對抗網路之示意圖;第7圖係本發明輸出流量辨識模型OFM之示意圖;第8圖係本發明輸入流量資料之一矩陣示意圖;第9圖係描繪處理器13基於LDA演算法計算輸入流量資料所產生對應至各輸入特徵之權重值;第10圖係本發明輸入流量辨識模型IFM之示意圖;第11圖係本發明之異常流量偵測方法之流程圖;以及第12圖係本發明之異常流量偵測方法之流程圖。
以下將透過實施例來解釋本發明內容,本發明的實施例並非用以限制本發明須在如實施例所述之任何特定的環境、應用或特殊方式方能實施。因此,關於實施例之說明僅為闡釋本發明之目的,而非用以限制本發明。需說明者,以下實施例及圖式中,與本發明非直接相關之元件已省略 而未繪示,且圖式中各元件間之尺寸關係僅為求容易瞭解,並非用以限制實際比例。
本發明第一實施例如第1-2圖所示。第1圖描繪本發明之一實施情境,以及第2圖為本發明之異常流量偵測裝置1之示意圖。異常流量偵測裝置1包含一儲存器11、一處理器13以及一網路介面15。儲存器11與網路介面15電性連接至處理器13。
本發明之異常流量偵測裝置1可實作成一閘道器裝置GD,其用以連接於一內部網路IN及一外部網路EN。內部網路IN連接至多個內部裝置(例如:內部裝置IND1、IND2、IND3)。內部網路IN可為一企業內部網路、一學校內部網路或任何團體的內部網路。內部網路IN通常包含多個路由器(例如:有線路由器、無線路由器或其組合),因此各內部裝置IND1、IND2、IND3可能是經由一個或多個路由器或直接藉由網路線或無線通訊方式直接連接至閘道器裝置GD。各內部裝置IND1、IND2、IND3可為一個人電腦、一伺服器、一筆記型電腦、一平板電腦或任一可被殭屍病毒感染的裝置。為簡化說明,於第1圖中僅繪示內部裝置IND1、IND2、IND3;然而,可理解的是,內部裝置的數量並非用以限制本發明。
此外,駭客裝置HD可藉由操控一命令與控制伺服器(後稱,C2伺服器)CCS,經由外部網路EN及閘道器裝置GD而向內部裝置IND1、IND2、IND3散布殭屍病毒。外部網路EN可包含一網際網路、一電信網路及任何有線、無線通訊網路。為偵測內部裝置IND1、IND2、IND3是否被殭屍病毒感染,閘道器裝置GD可藉由擷取自內部網路IN傳送至外部網路EN的輸出封包,以及自外部網路EN傳送至內部網路IN的輸出封包並加以分析,以 偵測是否存在異常流量。
另一方面,本發明之異常流量偵測裝置1亦可實作成一內部裝置(例如:內部裝置IND1),其連接至內部網路IN,並透過閘道器裝置GD連線至外部網路EN。內部裝置IND1可透過閘道器裝置GD擷取自內部網路IN傳送至外部網路EN的封包,以及自外部網路EN傳送至內部網路IN的封包後加以分析,以篩選出可疑封包。換言之,閘道器裝置GD可將所由經由閘道器裝置GD之封包轉傳至內部裝置IND1。由於所屬技術領域中具有通常知識者基於前述說明,應可輕易瞭解本發明之異常流量偵測裝置1如何實作成閘道器裝置GD及內部裝置IND1,故後續說明僅針對異常流量偵測裝置1如何分析封包,建立偵測異常流量的模型並透過模型偵測出可疑流量,加以描述。
請繼續參考第2圖。首先,為建立偵測異常流量的模型,本發明係使多個內部裝置於一第一時間區間內(例如:24小時內)分別執行至少一種殭屍病毒。各內部裝置可為異常流量偵測裝置1所創建的虛擬裝置(例如:虛擬主機、虛擬電腦),或者為實體裝置(例如:內部裝置IND1、IND2、IND3)。殭屍病毒可包含進行SPAM攻擊、CF攻擊、PS攻擊、DDoS攻擊或FF攻擊的殭屍病毒,以及使用IRC協定、HTTP或P2P網路架構進行通訊的殭屍病毒。各內部裝置所執行之殭屍病毒數量及種類可藉由隨機的方式決定,或基於各種不同實施情境所決定。
同時,處理器13透過網路介面15,擷取第一時間區間內自內部網路IN傳送至外部網路EN之複數第一輸出封包(outgoing packet)FOP_1-FOP_n,其中n為一正整數。第一輸出封包FOP_1-FOP_n包含由前述執行至 少一種殭屍病毒的各內部裝置所產生之封包。隨後,處理器13解析各第一輸出封包FOP_1-FOP_n,並獲得各第一輸出封包FOP_1-FOP_n的相關資訊PI。
舉例而言,相關資訊PI可如第3圖所示,其包含網際協定(Internet Protocol;IP)層資訊(例如:來源IP位址、目標IP位址)及HTTP層資訊(例如:參照位址、使用者代理、網域)。隨後,處理器13基於第一輸出封包FOP_1-FOP_n之相關資訊,產生複數輸出流量資料。各輸出流量資料具有複數輸出特徵。該等輸出特徵可包含一IP特徵、一HTTP特徵及一流量比例特徵。
IP特徵可更包含如下表一所列之特徵至少其中之一。
HTTP特徵可更包含如下表二所列之特徵至少其中之一。
表二
流量比例特徵可更包含如下表三所列之特徵至少其中之一。
針對24小時內(即,第一時間區間內)所收集到的第一輸出封包FOP_1-FOP_n,處理器13可依據各第一輸出封包FOP_1-FOP_n之來源端資訊(例如:IP位址或媒體存取控制(MAC)位址),將第一輸出封包FOP_1-FOP_n劃分成複數內部群組,即將不同內部裝置所產生的封包區分出來。隨後,處理器13進一步地將各內部裝置所生之封包依不同時間區間(例如:每小時)劃分成不同集合。換言之,針對各內部裝置於24小時內所產生之封包,處理器13會依據每個小時區間,將其分成多個集合,故各內部裝置於24小時內所產生之封包將被分成24個集合。
針對每個集合中的封包,處理器13更針對不同異常情境(例如:SPAM攻擊、CF攻擊、PS攻擊、DDoS攻擊、FF攻擊、IRC協定、HTTP、P2P網路架構)的封包加以分析,以產生該等輸出流量資料。處理器13解析一內部裝置於一小時內產生之封包後所產生之8筆輸出流量資料可以一矩陣形式表示如第4圖所示,其中矩陣中每一列的值組成一筆輸出流量資料且該等輸出流量資料分別與上述該等異常情境其中之一相關聯(即與該等殭屍病毒其中之一相關聯),以及矩陣中每一行記載前述該等輸出特徵的特徵 值。
經由上述方式產生對應至各內部裝置的該等輸出流量資料後,處理器13基於一降維演算法,計算該等輸出流量資料,以自該等輸出特徵中選取出至少一關鍵輸出特徵。降維演算法可為一線性區別分析(Linear Discriminant Analysis;LDA)演算法、一主成分分析(Principal components analysis;PCA)演算法及一奇異值分解(Singular value decomposition;SVD)演算法其中之一,但不限於此。
第5圖係描繪處理器13基於LDA演算法計算該等輸出流量資料所產生對應至各輸出特徵之權重值。須說明者,第5圖中各輸出流量資料之權重值已進行正規化,使得其權重值介於-1至1之間。正規化可由下列公式完成: 其中,w為原權重值,min w為該等權重值中的最小權重值,max w為該等權重值中的最大權重值,以及w'為正規化後之權重值。
於正規化權重值後,處理器13將正規化後之權重值皆取絕對值,並分別將該等異常情境之各輸出特徵之該等權重值加總。隨後,將各輸出特徵之權重值總和與一關鍵閾值(例如:4)比對,而選出權重值總和大於關鍵閾值的輸出特徵為關鍵輸出特徵。於本範例中,輸出特徵NewDest及輸出特徵UnpopularIP係為關鍵特徵
於決定關鍵輸出特徵後,處理器13自該等輸出流量資料擷取出至少一關鍵輸出特徵,以產生複數輸出訓練資料。詳言之,該等輸出訓練資料係一對一對應至該等輸出流量資料,輸出訓練資料相較於輸出流量資 料僅包含關鍵輸出特徵而已。隨後,處理器13將該等輸出訓練資料作為一雙向生成式對抗網路(Bidirectional generative adversarial network;BiGAN)之複數第一輸入樣本,並根據該等第一輸入樣本訓練雙向生成式對抗網路,以生成一輸出流量辨識模型。
第6圖係雙向生成式對抗網路之示意圖,其中x代表輸入樣本,E代表編碼器(Encoder),E(x)代表編碼器之輸出且為輸入樣本的特徵,z代表仿特徵,G代表生成器,G(z)代表生成器之輸出且為仿資料,D代表判別器。y代表判別器判斷異常與否之標籤,當y=1時表示判別器判斷異常,而當y=0時則表示判別器判斷非異常,P(y)代表異常機率,因此,P(y=1)表示判別器預測屬於異常的機率為多少。於雙向生成式對抗網路的訓練過程中,仿特徵z會越來越與編碼器之輸出E(x)相似,而判別器D會越來越難以分辨出輸入樣本x與生成器之輸出G(z)之真偽。最後,處理器13基於訓練完成之雙向生成式對抗網路之編碼器E、生成器G及判別器D,生成輸出流量辨識模型,並將其儲存於儲存器11。
輸出流量辨識模型係用以辨識非第一時間區間內的封包,即輸出流量辨識模型係用以偵測實際情況的流量,其不同於第一時間區間內的流量。由前述說明可知,第一時間區間內的流量只是為了產生殭屍網路的輸出流量樣本,以供異常流量偵測裝置1提取輸出流量樣本的重要特徵,以訓練雙向生成式對抗網路,來解決樣本數不足且多樣性不足的問題。
詳言之,於生成輸出流量辨識模型後,處理器13透過網路介面11,擷取一第二時間區間(例如:1小時)自內部網路IN傳送至外部網路EN之複數第二輸出封包SOP_1-SOP_m,其中m為一正整數。第二輸出封包 SOP_1-SOP_m包含一個或多個內部裝置(例如:內部裝置IND1、IND2、IND3)正常運作時所產生的封包(即,非特意執行殭屍病毒)。隨後,處理器13解析第二輸出封包SOP_1-SOP_m,以產生複數待辨識輸出流量資料UOD_1-UOD_p,其中p為正整數且與內部裝置的數量相關。假設第二輸出封包SOP_1-SOP_m的來源端資訊有三種,則代表這一小時的封包是由三個內部裝置所產生,則待辨識輸出流量資料即為3筆。各待辨識輸出流量資料UOD1_UODp具有至少一關鍵輸出特徵(例如:前述之輸出特徵NewDest及輸出特徵UnpopularIP)。隨後,處理器13將各待辨識輸出流量資料UOD_1-UOD_p輸入至輸出流量辨識模型,以判斷第二輸出封包SOP_1-SOP_m是否產生一異常輸出流量。
舉例而言,輸出流量辨識模型OFM可如第7圖所示。異常輸出流量偵測模型包含編碼器E、生成器G及判別器D。針對各待辨識輸出流量資料UOD_1-UOD_p,處理器13將其作為輸出流量辨識模型OFM的輸入資料UID。處理器13計算生成器G所產生之仿資料FD與輸入資料UID(即,待辨識輸出流量資料)間之第一差異值S1。此外,處理器13更計算判別器針對輸入資料UID(即,待辨識輸出流量資料)與仿資料FD所產生之二判別值DR1、DR2間之第二差異值S2。須注意者,在此判別器D之判別值DR1、DR2係指雙向生成式對抗網路的倒數第二層的運算結果。由於所屬技術領域中具有通常知識者係熟悉類神經網路的架構且可理解雙向生成式對抗網路的倒數第二層的運算結果,故在此不加以贅述。
第一差異值S1及第二差異值S2的計算單元SG,可藉由損失函數達成,例如:交叉熵(Cross Entropy)函數或特徵比對損失(feature matching loss)函數。於獲得第一差異值S1及第二差異值S2後,處理器13計算第一差異值S1乘上第一權重值w1與第二差異值S2乘上第二權重值w2之總和值SV。須說明者,第一權重值w1與第二權重值w2可根據實際運作情況調整,依據使用者評估生成器G及判別器D的重要性而調整,且第一權重值w1與第二權重值w2總合為1(例如:w1=0.7,2=0.3)。接著,處理器13判斷總和值SV是否大於一總和門檻值。當總和值SV大於總和門檻值時,判斷對應至輸入資料UID(即,待辨識輸出流量資料)之該等第二輸出封包(即,第二輸出封包SOP_1-SOP_m中的部分封包),產生異常輸出流量。如此一來,異常流量偵測裝置1根據待辨識輸出流量資料UOD_1-UOD_p輸入至輸出流量辨識模型OFM後所產生之總和值SV,可得知異常流量的來源是哪個內部裝置。
須說明者,前述之總和門檻值係依據所採用之損失函數所決定,所屬領域中具有通常知識者可知,本發明所訓練之雙向生成式對抗網路的生成器G係用以產生類似殭屍病毒所造成的流量特徵。因此,第一差異值S1與第二差異值S2越大代表仿資料FD與輸入資料UID差異性大,故輸入資料UID應為正常流量所產生的;反之,第一差異值S1與第二差異值S2越小代表仿資料FD與輸入資料UID差異性小,故輸入資料UID應為異常流量所產生的。
本發明第二實施例亦請繼續參考第1-2圖,其為第一實施例之延伸。於本實施例中,異常流量偵測裝置1更生成輸入流量辨識模型,以偵測異常輸入流量。於本實施例中,本發明係使多個內部裝置於一第三時間區間內(例如:7天內)分別執行至少一種殭屍病毒。各內部裝置可為異常 流量偵測裝置1所創建的虛擬裝置(例如:虛擬主機、虛擬電腦),或者為實體裝置(例如:內部裝置IND1、IND2、IND3)。同樣地,殭屍病毒可包含進行SPAM攻擊、CF攻擊、PS攻擊、DDoS攻擊或FF攻擊的殭屍病毒,以及使者使用IRC協定、HTTP或P2P網路架構進行通訊的殭屍病毒。各內部裝置所執行之殭屍病毒數量及種類可藉由隨機的方式決定,或基於各種不同實施情境所決定。
同樣地,處理器13透過網路介面15,擷取第三時間區間(例如,前述之7天內),自外部網路EN傳送至內部網路IN之複數第一輸入封包FIP_1-FIP_i,其中i為一正整數。第一輸入封包FIP_1-FIP_i包含傳送至前述執行至少一種殭屍病毒的各內部裝置之封包。隨後,處理器13解析各第一輸入封包FIP_1-FIP_i,並獲得各第一輸入封包FIP_1-FIP_i的相關資訊PI。類似地,相關資訊PI可如第3圖所示,其包含網際協定(Internet Protocol;IP)層資訊(例如:來源IP位址、目標IP位址)及HTTP層資訊(例如:參照位址、使用者代理、網域)。
隨後,處理器13基於第一輸入封包FIP_1-FIP_i之相關資訊,產生複數輸入流量資料。各輸入流量資料具有複數輸入特徵。該等輸入特徵可包含一網域連線特徵、一網頁連線特徵及一網域註冊資訊特徵。
網域連線特徵可更包含如下表四所列之特徵至少其中之一。
網頁連線特徵可更包含如下表四所列之特徵至少其中之一。
網域註冊資訊特徵可更包含如下表六所列之特徵至少其中之一。
針對7天內(即,第三時間區間內)所收集到的第一輸入封包FIP_1-FIP_i,處理器13可依據各第一輸入封包FIP_1-FIP_n之來源端資訊(例如:網域),將第一輸入封包FIP_1-FIP_n劃分成複數外部群組,即將具有不同網域的封包區分出來。此外,於本實施例中,由於不同內部裝置執行同一殭屍病毒所接收到的封包會有相同的網域,故該等網域亦分別對應至 不同異常情境(例如:SPAM攻擊、CF攻擊、PS攻擊、DDoS攻擊、FF攻擊、IRC協定、HTTP、P2P網路架構)。換言之,外部群組的數量係與異常情境種類的數量一樣。
隨後,處理器13進一步地將對應至各網域的封包依不同時間區間(例如:每天)劃分成不同集合。換言之,針對各網域於7天內的封包,處理器13會依據每天的區間,將其分成多個集合,故各網域裝置於7天內所產生之封包將被分成7個集合。接著,處理器13分析各集合中的封包,以產生該等輸出流量資料。處理器13解析各網域於1天內產生之封包後所產生之8筆輸出流量資料可以一矩陣形式表示如第8圖所示,其中矩陣中每一列的值組成一筆輸入流量資料且該等輸入流量資料分別與上述該等異常情境其中之一相關聯(即與該等殭屍病毒其中之一相關聯),以及矩陣中每一行記載前述該等輸入特徵的特徵值。
類似地,經由上述方式產生對應至各網域的該等輸入流量資料後,處理器13基於降維演算法,計算該等輸入流量資料,以自該等輸入特徵中選取出至少一關鍵輸入特徵。同樣地,降維演算法可為LDA演算法、PCA演算法及SVD演算法其中之一,但不限於此。
第9圖係描繪處理器13基於LDA演算法計算該等輸入流量資料所產生對應至各輸入特徵之權重值。須說明者,第9圖中各輸出流量資料之權重值已進行正規化,使得其權重值介於-1至1之間。正規化方式可由第一實施例所述之公式完成,在此不再加以贅述。
於正規化權重值後,處理器13將正規化後之權重值皆取絕對值,並將分別將該等異常情境之各輸入特徵之該等權重值加總。隨後,將各 輸入特徵之權重值總和與一關鍵閾值(例如:6)比對,而選出權重值總和大於關鍵閾值的輸出特徵為關鍵輸入特徵。於本範例中,輸入特徵AutoHost、輸入特徵NoRef、輸入特徵RareUA及輸入特徵DomAge係為關鍵特徵。
於決定關鍵輸入特徵後,處理器13自該等輸入流量資料擷取出至少一關鍵輸入特徵,以產生複數輸入訓練資料。詳言之,該等輸入訓練資料係一對一對應至該等輸入流量資料,輸入訓練資料相較於輸入流量資料只是僅包含關鍵輸入特徵而已。隨後,處理器13將該等輸入訓練資料作為雙向生成式對抗網路(BiGAN)之複數第二輸入樣本,並根據該等第二輸入樣本訓練雙向生成式對抗網路,以生成一輸入流量辨識模型。由於所屬技術領域中具有通常知識者可基於第一實施例之敘述瞭解,本實施例如何該等輸入訓練資料訓練雙向生成式對抗網路,以生成輸入流量辨識模型,故在此不再加以贅述。
於生成輸入流量辨識模型後,處理器13透過網路介面11,擷取一第四時間區間(例如:1天)自外部網路EN傳送至內部網路IN之複數第二輸入封包SIP_1-SIP_j,其中j為一正整數。同樣地,第二輸入封包SIP_1-SIP_j包含一個或多個內部裝置(例如:內部裝置IND1、IND2、IND3)正常運作時所接收到的封包(即,非特意執行殭屍病毒)。
隨後,處理器13解析第二輸入封包SIP_1-SIP_j,以產生複數待辨識輸入流量資料UID_1-UID_q,其中q為正整數且與網域的數量相關。假設第二輸入封包SIP_1-SIP_m的來源端資訊有5種網域,則代表這一天的封包是來自5個網域,則待辨識輸入流量資料即為5筆。各待辨識輸入流量資料UID_1-UID_q具有至少一關鍵輸出特徵(例如:前述之輸入特徵AutoHost、 輸入特徵NoRef、輸入特徵RareUA及輸入特徵DomAge)。隨後,處理器13將各待辨識輸入流量資料UID_1-UID_q輸入至輸入流量辨識模型,以判斷第二輸入封包SIP_1-SIP_m是否產生一異常輸入流量。
舉例而言,輸入流量辨識模型IFM可如第10圖所示。異常輸入流量偵測模型包含編碼器E、生成器G及判別器D。針對各待辨識輸入流量資料UID_1-UID_q,處理器13將其作為輸入流量辨識模型IFM的輸入資料UID。處理器13計算生成器G所產生之仿資料FD與輸入資料UID(即,待辨識輸入流量資料)間之第一差異值S1。此外,處理器13更計算判別器針對輸入資料UID(即,待辨識輸入流量資料)與仿資料FD所產生之二判別值DR1、DR2間之第二差異值S2。須注意者,在此判別器D之判別值DR1、DR2係指雙向生成式對抗網路的倒數第二層的運算結果。由於所屬技術領域中具有通常知識者係熟悉類神經網路的架構且可理解雙向生成式對抗網路的倒數第二層的運算結果,故在此不加以贅述。
第一差異值S1及第二差異值S2的計算單元SG,可藉由損失函數達成,例如:交叉熵(Cross Entropy)函數或特徵比對損失(feature matching loss)函數。於獲得第一差異值S1及第二差異值S2後,處理器13計算第一差異值S1乘上第一權重值w1與第二差異值S2乘上第二權重值w2之總和值SV。同樣地,第一權重值w1與第二權重值w2可根據實際運作情況調整,依據使用者評估生成器G及判別器D的重要性而調整,且第一權重值w1與第二權重值w2總合為1(例如:w1=0.7,2=0.3)。須說明者,輸入流量辨識模型IFM中所使用的第一權重值w1與第二權重值w2可與輸出流量辨識模型OFM中所使用的第一權重值w1與第二權重值w2不同。
接著,處理器13判斷總和值SV是否大於一總和門檻值。當總和值SV大於總和門檻值時,判斷對應至輸入資料UD(即,待辨識輸入流量資料)之該等第二輸出封包(即,第二輸入封包SIP_1-SIP_i中的部分封包),產生異常輸入流量。如此一來,異常流量偵測裝置1根據待辨識輸入流量資料UID_1-UID_q輸入至輸出流量辨識模型IFM後所產生之總和值SV,可得知異常流量的封包是傳送給哪個內部裝置。
同樣地,前述之總和門檻值係依據所採用之損失函數所決定,所屬領域中具有通常知識者可知,本發明所訓練之雙向生成式對抗網路的生成器G係用以產生類似殭屍病毒所造成的流量特徵。因此,第一差異值S1與第二差異值S2越大代表仿資料FD與輸入資料UID差異性大,故輸入資料UID應為正常流量所產生的;反之,第一差異值S1與第二差異值S2越小代表仿資料FD與輸入資料UID差異性小,故輸入資料UID應為異常流量所產生的。
本發明第三實施例係描述一異常流量偵測方法,其流程圖如第11圖所示。異常流量偵測方法適用於一異常流量偵測裝置(例如:前述實施例之異常流量偵測裝置1)。異常流量偵測裝置包含一儲存器、一網路介面及一處理器。處理器電性連接儲存器及網路介面。異常流量偵測方法由處理器執行且包含下列步驟。
首先,於步驟S1102中,透過網路介面,擷取第一時間區間自內部網路傳送至外部網路之複數第一輸出封包。於步驟S1104中,解析該等第一輸出封包,以產生複數輸出流量資料。各輸出流量資料具有複數輸出特徵。於步驟S1106中,基於降維演算法,計算該等輸出流量資料,以自該 等輸出特徵中選取出至少一關鍵輸出特徵,並產生對應至該等輸出流量資料之複數輸出訓練資料。於步驟S1108中,將該等輸出訓練資料作為一雙向生成式對抗網路之複數第一輸入樣本,並根據該等第一輸入樣本訓練雙向生成式對抗網路,以生成一輸出流量辨識模型。
接著,於步驟S1110中,透過網路介面,擷取第二時間區間自內部網路傳送至外部網路之複數第二輸出封包。於步驟S1112中,解析該等第二輸出封包,以產生複數待辨識輸出流量資料。各待辨識輸出流量資料具有至少一關鍵輸出特徵。於步驟S1114中,將各待辨識輸出流量資料輸入至輸出流量辨識模型,以判斷該等第二輸出封包是否產生一異常輸出流量。
於其他實施例中,輸出流量辨識模型包含一生成器(例如:第7圖中之生成器G)及一判別器(例如:第7圖中之判別器D)。異常流量偵測方法更包含步驟:計算生成器所產生之一仿資料與待辨識輸出流量資料間之一第一差異值;計算判別器針對待辨識輸出流量資料與仿資料所產生之二判別值間之一第二差異值;計算第一差異值乘上一第一權重值與第二差異值乘上一第二權重值之一總和值;判斷總和值是否大於一總和門檻值;以及當總和值大於總和門檻值時,判斷對應至待辨識輸出流量資料之該等第二輸出封包產生異常輸出流量。
於其他實施例中,異常流量偵測方法更包含步驟:依據各第一輸出封包之一來源端資訊,將該等第一輸出封包該等劃分成複數內部群組;以及解析各內部群組中之該等第一輸出封包,以產生該等輸出流量資料。
於其他實施例中,該等輸出特徵包含一網際協定(Internet Protocol;IP)特徵、一超文本傳輸協定(HyperText Transfer Protocol;HTTP)特徵及一流量比例特徵。
除了上述步驟,本發明之可疑封包偵測方法亦能執行在所有前述實施例中所闡述之所有操作並具有所有對應之功能,所屬技術領域具有通常知識者可直接瞭解此實施例如何基於所有前述實施例執行此等操作及具有該等功能,故不贅述。
本發明第四實施例係描述一異常流量偵測方法,其流程圖如第11-12圖所示。本實施例係為第三實施例之延伸。於本實施例中,異常流量偵測方法更訓練輸入流量辨識模型,並偵測輸入流量是否異常。
詳言之,請參考第12圖,於步驟S1202中,透過網路介面,擷取第三時間區間自外部網路傳送至內部網路之複數第一輸入封包。於步驟S1204中,解析該等第一輸入封包,以產生複數輸入流量資料。各輸入流量資料具有複數輸入特徵。於步驟S1206中,基於降維演算法,計算該等輸入流量資料,以自該等輸入特徵中選取出至少一關鍵輸入特徵,並產生對應至該等輸入流量資料之複數輸入訓練資料。於步驟S1208中,將該等輸入訓練資料作為雙向生成式對抗網路之複數第二輸入樣本,並根據該等第二輸入樣本訓練雙向生成式對抗網路,以生成一輸入流量辨識模型。
隨後,於步驟S1210中,透過網路介面,擷取一第四時間區間自外部網路傳送至內部網路之複數第二輸入封包。於步驟S1212中,解析該等第二輸入封包,以產生複數待辨識輸入流量資料,各待辨識輸入流量資料具有至少一關鍵輸入特徵。於步驟S1214中,將各待辨識輸入流量資料輸入至輸入流量辨識模型,以判斷該等第二輸入封包是否產生一異常輸入流 量。
於其他實施例中,輸入流量辨識模型包含一生成器(例如:第10圖中之生成器G)及一判別器(例如:第10圖中之判別器D)。異常流量偵測方法更包含步驟:計算生成器所產生之一仿資料與待辨識輸入流量資料間之一第一差異值;計算判別器針對待辨識輸入流量資料與仿資料所產生之二判別值間之一第二差異值;計算第一差異值乘上一第一權重值與第二差異值乘上一第二權重值之一總和值;判斷總和值是否大於一總和門檻值;以及當總和值大於總和門檻值時,判斷對應至待辨識輸入流量資料之該等第二輸入封包產生異常輸入流量。
於其他實施例中,異常流量偵測方法更包含步驟:依據各第一輸入封包之一來源端資訊,將該等第一輸入封包該等劃分成複數外部群組,並解析各外部群組中之該等第一輸入封包,以產生該等輸入流量資料。
於其他實施例中,該等輸入流量特徵包含一網域連線特徵、一網頁連線特徵及一網域註冊資訊特徵。
於其他實施例中,各輸出流量資料及各輸入流量資料係與複數殭屍病毒其中之一相關聯。
於其他實施例中,降維演算法係一線性區別分析(Linear Discriminant Analysis;LDA)演算法、一主成分分析(Principal components analysis;PCA)演算法及一奇異值分解(Singular value decomposition;SVD)演算法其中之一。
除了上述步驟,本發明之可疑封包偵測方法亦能執行在所有前述實施例中所闡述之所有操作並具有所有對應之功能,所屬技術領域具 有通常知識者可直接瞭解此實施例如何基於所有前述實施例執行此等操作及具有該等功能,故不贅述。
綜上所述,本發明之異常流量偵測機制可透過解析封包以獲得多個特徵,並藉由降維演算法,分析該等特徵以選出關鍵的特徵,進而透過深度學習演算法增加樣本的多樣性,以強化偵測異常流量的能力。因此,本發明之異常流量偵測機制可解決因為異常流量的樣本數不足且多樣性不足的問題,故能有效地偵測出異常流量。
上述之實施例僅用來例舉本發明之實施態樣,以及闡釋本發明之技術特徵,並非用來限制本發明之保護範疇。任何熟悉此技術者可輕易完成之改變或均等性之安排均屬於本發明所主張之範圍,本發明之權利保護範圍應以申請專利範圍為準。

Claims (20)

  1. 一種異常流量偵測裝置,包含:一儲存器;一網路介面;以及一處理器,電性連接該儲存器及該網路介面,用以執行以下操作:透過該網路介面,擷取一第一時間區間自一內部網路傳送至一外部網路之複數第一輸出封包(outgoing packet);解析該等第一輸出封包,以產生複數輸出流量資料,其中各該輸出流量資料具有複數輸出特徵;基於一降維演算法,計算該等輸出流量資料,以自該等輸出特徵中選取出至少一關鍵輸出特徵,並產生對應至該等輸出流量資料之複數輸出訓練資料;將該等輸出訓練資料作為一雙向生成式對抗網路之複數第一輸入樣本,並根據該等第一輸入樣本訓練該雙向生成式對抗網路,以生成一輸出流量辨識模型;透過該網路介面,擷取一第二時間區間自該內部網路傳送至該外部網路之複數第二輸出封包;解析該等第二輸出封包,以產生複數待辨識輸出流量資料,其中各該待辨識輸出流量資料具有該至少一關鍵輸出特徵;以及將各該待辨識輸出流量資料輸入至該輸出流量辨識模型,以判斷該等第二輸出封包是否產生一異常輸出流量。
  2. 如請求項1所述之異常流量偵測裝置,其中該輸出流量辨識模型包含一生成器及一判別器,以及該處理器針對各該待辨識輸出流量資料,更執行以下操作:計算該生成器所產生之一仿資料與該待辨識輸出流量資料間之一第一差異值;計算該判別器針對該待辨識輸出流量資料與該仿資料所產生之二判別值間之一第二差異值;計算該第一差異值乘上一第一權重值與該第二差異值乘上一第二權重值之一總和值;判斷該總和值是否大於一總和門檻值;以及當該總和值大於該總和門檻值時,判斷對應至該待辨識輸出流量資料之該等第二輸出封包產生該異常輸出流量。
  3. 如請求項2所述之異常流量偵測裝置,其中該處理器更依據各該第一輸出封包之一來源端資訊,將該等第一輸出封包該等劃分成複數內部群組,並解析各該內部群組中之該等第一輸出封包,以產生該等輸出流量資料。
  4. 如請求項1所述之異常流量偵測裝置,其中該等輸出特徵包含一網際協定(Internet Protocol;IP)特徵、一超文本傳輸協定(HyperText Transfer Protocol;HTTP)特徵及一流量比例特徵。
  5. 如請求項1所述之異常流量偵測裝置,其中該處理器更執行以下操作:透過該網路介面,擷取該第三時間區間自該外部網路傳送至該內部網路之複數第一輸入封包(incoming packet);解析該等第一輸入封包,以產生複數輸入流量資料,其中各該輸入流量資料具有複數輸入特徵;基於該降維演算法,計算該等輸入流量資料,以自該等輸入特徵中選取出至少一關鍵輸入特徵,並產生對應至該等輸入流量資料之複數輸入訓練資料;將該等輸入訓練資料作為該雙向生成式對抗網路之複數第二輸入樣本,並根據該第二輸入樣本訓練該雙向生成式對抗網路,以生成一輸入流量辨識模型;透過該網路介面,擷取一第四時間區間自該外部網路傳送至該內部網路之複數第二輸入封包;解析該等第二輸入封包,以產生複數待辨識輸入流量資料,其中各該待辨識輸入流量資料具有該至少一關鍵輸入特徵;以及將各該待辨識輸入流量資料輸入至該輸入流量辨識模型,以判斷該等第二輸入封包是否產生一異常輸入流量。
  6. 如請求項5所述之異常流量偵測裝置,其中該輸入流量辨識模型包含一生成器及一判別器,以及該處理器針對各該待辨識輸入流量資料,更執行以下操作:計算該生成器所產生之一仿資料與該待辨識輸入流量資料間之一第一差異值;計算該判別器針對該待辨識輸入流量資料與該仿資料所產生之二判別值間之一第二差異值;計算該第一差異值乘上一第一權重值與該第二差異值乘上一第二權重值之一總和值;判斷該總和值是否大於一總和門檻值;以及當該總和值大於該總和門檻值時,判斷對應至該待辨識輸入流量資料之該等第二輸入封包產生該異常輸入流量。
  7. 如請求項6所述之異常流量偵測裝置,其中該處理器更依據各該第一輸入封包之一來源端資訊,將該等第一輸入封包該等劃分成複數外部群組,並解析各該外部群組中之該等第一輸入封包,以產生該等輸入流量資料。
  8. 如請求項5所述之異常流量偵測裝置,其中該等輸入流量特徵包含一網域連線特徵、一網頁連線特徵及一網域註冊資訊特徵。
  9. 如請求項5所述之異常流量偵測裝置,其中各該輸出流量資料及各該輸入流量資料係與複數殭屍病毒其中之一相關聯。
  10. 如請求項1所述之異常流量偵測裝置,其中該降維演算法係一線性區別分析(Linear Discriminant Analysis;LDA)演算法、一主成分分析(Principal components analysis;PCA)演算法及一奇異值分解(Singular value decomposition;SVD)演算法其中之一。
  11. 一種用於一異常流量偵測裝置之異常流量偵測方法,該異常流量偵測裝置包含一儲存器、一網路介面及一處理器,該處理器電性連接該儲存器及該網路介面,該異常流量偵測方法由該處理器執行且包含下列步驟:透過該網路介面,擷取一第一時間區間自一內部網路傳送至一外部網路之複數第一輸出封包(outgoing packet);解析該等第一輸出封包,以產生複數輸出流量資料,其中各該輸出流量資料具有複數輸出特徵;基於一降維演算法,計算該等輸出流量資料,以自該等輸出特徵中選取出至少一關鍵輸出特徵,並產生對應至該等輸出流量資料之複數輸出訓練資料;將該等輸出訓練資料作為一雙向生成式對抗網路之複數第一輸入樣本,並根據該第一輸入樣本訓練該雙向生成式對抗網路,以生成一輸出流量辨識模型;透過該網路介面,擷取一第二時間區間自該內部網路傳送至該外部網路之複數第二輸出封包;解析該等第二輸出封包,以產生複數待辨識輸出流量資料,其中各該待辨識輸出流量資料具有該至少一關鍵輸出特徵;以及將各該待辨識輸出流量資料輸入至該輸出流量辨識模型,以判斷該等第二輸出封包是否產生一異常輸出流量。
  12. 如請求項11所述之異常流量偵測方法,其中該輸出流量辨識模型包含一生成器及一判別器,該異常流量偵測方法更包含下列步驟:計算該生成器所產生之一仿資料與該待辨識輸出流量資料間之一第一差異值;計算該判別器針對該待辨識輸出流量資料與該仿資料所產生之二判別值間之一第二差異值;計算該第一差異值乘上一第一權重值與該第二差異值乘上一第二權重值之一總和值;判斷該總和值是否大於一總和門檻值;以及當該總和值大於該總和門檻值時,判斷對應至該待辨識輸出流量資料之該等第二輸出封包產生該異常輸出流量。
  13. 如請求項12所述之異常流量偵測方法,其中該異常流量偵測方法更包含下列步驟:依據各該第一輸出封包之一來源端資訊,將該等第一輸出封包該等劃分成複數內部群組;以及解析各該內部群組中之該等第一輸出封包,以產生該等輸出流量資料。
  14. 如請求項11所述之異常流量偵測方法,其中該等輸出特徵包含一網際協定(IP)特徵、一超文本傳輸協定(HTTP)特徵及一流量比例特徵。
  15. 如請求項11所述之異常流量偵測方法,更包含下列步驟:透過該網路介面,擷取該第三時間區間自該外部網路傳送至該內部網路之複數第一輸入封包(incoming packet);解析該等第一輸入封包,以產生複數輸入流量資料,其中各該輸入流量資料具有複數輸入特徵;基於該降維演算法,計算該等輸入流量資料,以自該等輸入特徵中選取出至少一關鍵輸入特徵,並產生對應至該等輸入流量資料之複數輸入訓練資料;將該等輸入訓練資料作為該雙向生成式對抗網路之複數第二輸入樣本,並根據該等第二輸入樣本訓練該雙向生成式對抗網路,以生成一輸入流量辨識模型;透過該網路介面,擷取一第四時間區間自該外部網路傳送至該內部網路之複數第二輸入封包;解析該等第二輸入封包,以產生複數待辨識輸入流量資料,其中各該待辨識輸入流量資料具有該至少一關鍵輸入特徵;以及將各該待辨識輸入流量資料輸入至該輸入流量辨識模型,以判斷該等第二輸入封包是否產生一異常輸入流量。
  16. 如請求項15所述之異常流量偵測方法,其中該輸入流量辨識模型包含一生成器及一判別器,該異常流量偵測方法更包含下列步驟;計算該生成器所產生之一仿資料與該待辨識輸入流量資料間之一第一差異值;計算該判別器針對該待辨識輸入流量資料與該仿資料所產生之二判別值間之一第二差異值;計算該第一差異值乘上一第一權重值與該第二差異值乘上一第二權重值之一總和值;判斷該總和值是否大於一總和門檻值;以及當該總和值大於該總和門檻值時,判斷對應至該待辨識輸入流量資料之該等第二輸入封包產生該異常輸入流量。
  17. 如請求項16所述之異常流量偵測方法,更包含下列步驟:依據各該第一輸入封包之一來源端資訊,將該等第一輸入封包該等劃分成複數外部群組,並解析各該外部群組中之該等第一輸入封包,以產生該等輸入流量資料。
  18. 如請求項15所述之異常流量偵測方法,其中該等輸入流量特徵包含一網域連線特徵、一網頁連線特徵及一網域註冊資訊特徵。
  19. 如請求項15所述之異常流量偵測方法,其中各該輸出流量資料及各該輸入流量資料係與複數殭屍病毒其中之一相關聯。
  20. 如請求項11所述之異常流量偵測方法,其中該降維演算法係一線性區別分析(LDA)演算法、一主成分分析(PCA)演算法及一奇異值分解(SVD)演算法其中之一。
TW107139868A 2018-11-09 2018-11-09 異常流量偵測裝置及其異常流量偵測方法 TWI674777B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW107139868A TWI674777B (zh) 2018-11-09 2018-11-09 異常流量偵測裝置及其異常流量偵測方法
CN201811387921.2A CN111181901B (zh) 2018-11-09 2018-11-21 异常流量检测装置及其异常流量检测方法
US16/211,227 US10841228B2 (en) 2018-11-09 2018-12-05 Abnormal flow detection device and abnormal flow detection method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW107139868A TWI674777B (zh) 2018-11-09 2018-11-09 異常流量偵測裝置及其異常流量偵測方法

Publications (2)

Publication Number Publication Date
TWI674777B true TWI674777B (zh) 2019-10-11
TW202019127A TW202019127A (zh) 2020-05-16

Family

ID=69023848

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107139868A TWI674777B (zh) 2018-11-09 2018-11-09 異常流量偵測裝置及其異常流量偵測方法

Country Status (3)

Country Link
US (1) US10841228B2 (zh)
CN (1) CN111181901B (zh)
TW (1) TWI674777B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11539620B2 (en) 2020-05-22 2022-12-27 National Taiwan University Anomaly flow detection device and anomaly flow detection method

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11138327B2 (en) * 2018-12-27 2021-10-05 Industrial Technology Research Institute Privacy data integration method and server
US20210295379A1 (en) * 2020-03-17 2021-09-23 Com Olho It Private Limited System and method for detecting fraudulent advertisement traffic
CN113746686A (zh) * 2020-05-27 2021-12-03 阿里巴巴集团控股有限公司 一种网络流量的状态确定方法、计算设备及存储介质
CN112073381B (zh) * 2020-08-13 2021-12-17 中国电子科技集团公司第三十研究所 一种连接互联网设备接入内网检测方法
CN113221144B (zh) * 2021-05-19 2024-05-03 国网辽宁省电力有限公司电力科学研究院 一种隐私保护机器学习的虚拟化终端异常检测方法及***
US20220400070A1 (en) * 2021-06-15 2022-12-15 Vmware, Inc. Smart sampling and reporting of stateful flow attributes using port mask based scanner
CN114301637B (zh) * 2021-12-11 2022-09-02 河南大学 一种用于医疗物联网的入侵检测方法和***
CN114465769B (zh) * 2021-12-28 2024-03-15 尚承科技股份有限公司 学习网络行为特征的网络设备、处理***与方法
TWI805156B (zh) * 2021-12-28 2023-06-11 尚承科技股份有限公司 學習網路行為特徵的網路設備、處理系統與方法
CN114745157B (zh) * 2022-03-15 2024-02-13 尚蝉(浙江)科技有限公司 一种基于生成对抗网络的抵御网络流量侦察方法、***、终端和存储介质
CN114745161B (zh) * 2022-03-23 2023-08-22 烽台科技(北京)有限公司 一种异常流量的检测方法、装置、终端设备和存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW458308U (en) * 2000-02-09 2001-10-01 Acer Inc Carrying apparatus
WO2008023570A1 (fr) * 2006-08-22 2008-02-28 Nec Corporation Procédé d'estimation d'une partie à qualité dégradée sur un réseau dans un système de réseau de communication
US8291106B2 (en) * 1999-06-02 2012-10-16 Hitachi, Ltd. Bandwidth monitoring method and its device
US20140059216A1 (en) * 2012-08-27 2014-02-27 Damballa, Inc. Methods and systems for network flow analysis
CN106059854A (zh) * 2016-05-30 2016-10-26 南京优速网络科技有限公司 异网流量穿透检测方法及***
CN106453392A (zh) * 2016-11-14 2017-02-22 中国人民解放军防空兵学院 基于流量特征分布的全网络异常流识别方法

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9838265B2 (en) * 2013-12-19 2017-12-05 Amdocs Software Systems Limited System, method, and computer program for inter-module communication in a network based on network function virtualization (NFV)
CN106998317B (zh) * 2016-01-22 2019-08-20 高德信息技术有限公司 异常访问请求识别方法及装置
CN105915555B (zh) * 2016-06-29 2020-02-18 北京奇虎科技有限公司 网络异常行为的检测方法及***
US11205103B2 (en) * 2016-12-09 2021-12-21 The Research Foundation for the State University Semisupervised autoencoder for sentiment analysis
CN106612289A (zh) * 2017-01-18 2017-05-03 中山大学 一种基于sdn的网络协同异常检测方法
CA3000166A1 (en) * 2017-04-03 2018-10-03 Royal Bank Of Canada Systems and methods for cyberbot network detection
CN107563283B (zh) * 2017-07-26 2023-01-06 百度在线网络技术(北京)有限公司 生成攻击样本的方法、装置、设备及存储介质
CN107808098B (zh) * 2017-09-07 2020-08-21 阿里巴巴集团控股有限公司 一种模型安全检测方法、装置以及电子设备
CN107733921A (zh) * 2017-11-14 2018-02-23 深圳中兴网信科技有限公司 网络流量异常检测方法、装置、计算机设备和存储介质
US10841333B2 (en) * 2018-01-08 2020-11-17 Sophos Limited Malware detection using machine learning
US20190228110A1 (en) * 2018-01-19 2019-07-25 General Electric Company System and method for abstracting characteristics of cyber-physical systems
CN108512827B (zh) * 2018-02-09 2021-09-21 世纪龙信息网络有限责任公司 异常登录的识别和监督学习模型的建立方法、装置,设备和存储介质
CN108322349B (zh) * 2018-02-11 2021-04-06 浙江工业大学 基于对抗式生成网络的深度学习对抗性攻击防御方法
US10733292B2 (en) * 2018-07-10 2020-08-04 International Business Machines Corporation Defending against model inversion attacks on neural networks
US11363031B2 (en) * 2018-08-27 2022-06-14 Ciena Corporation Network architecture providing device identification and redirection using whitelisting traffic classification
US11699080B2 (en) * 2018-09-14 2023-07-11 Cisco Technology, Inc. Communication efficient machine learning of data across multiple sites

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8291106B2 (en) * 1999-06-02 2012-10-16 Hitachi, Ltd. Bandwidth monitoring method and its device
TW458308U (en) * 2000-02-09 2001-10-01 Acer Inc Carrying apparatus
WO2008023570A1 (fr) * 2006-08-22 2008-02-28 Nec Corporation Procédé d'estimation d'une partie à qualité dégradée sur un réseau dans un système de réseau de communication
US20140059216A1 (en) * 2012-08-27 2014-02-27 Damballa, Inc. Methods and systems for network flow analysis
CN106059854A (zh) * 2016-05-30 2016-10-26 南京优速网络科技有限公司 异网流量穿透检测方法及***
CN106453392A (zh) * 2016-11-14 2017-02-22 中国人民解放军防空兵学院 基于流量特征分布的全网络异常流识别方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11539620B2 (en) 2020-05-22 2022-12-27 National Taiwan University Anomaly flow detection device and anomaly flow detection method

Also Published As

Publication number Publication date
US10841228B2 (en) 2020-11-17
TW202019127A (zh) 2020-05-16
US20200153742A1 (en) 2020-05-14
CN111181901A (zh) 2020-05-19
CN111181901B (zh) 2022-05-10

Similar Documents

Publication Publication Date Title
TWI674777B (zh) 異常流量偵測裝置及其異常流量偵測方法
Kirubavathi et al. Botnet detection via mining of traffic flow characteristics
CN111131137B (zh) 可疑封包检测装置及其可疑封包检测方法
Karan et al. Detection of DDoS attacks in software defined networks
Muhammad et al. Robust early stage botnet detection using machine learning
Krishnan et al. MUD-based behavioral profiling security framework for software-defined IoT networks
Udhayan et al. Statistical segregation method to minimize the false detections during ddos attacks.
KR100684602B1 (ko) 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법
Buragohain et al. Anomaly based DDoS attack detection
Thakur et al. Detection and prevention of botnets and malware in an enterprise network
CN104009986A (zh) 一种基于主机的网络攻击跳板检测方法及装置
Shahrestani et al. Architecture for applying data mining and visualization on network flow for botnet traffic detection
AlMomin et al. Detection of distributed denial of service attacks through a combination of machine learning algorithms over software defined network environment
Catak Two-layer malicious network flow detection system with sparse linear model based feature selection
Raheja et al. Rule‐Based Approach for Botnet Behavior Analysis
Nie et al. M2VT-IDS: A multi-task multi-view learning architecture for designing IoT intrusion detection system
Choi et al. A lightweight detection using bloom filter against flooding DDOS attack
Ichino et al. Evaluating header information features for malware infection detection
Bhale et al. An adaptive and lightweight solution to detect mixed rate ip spoofed ddos attack in iot ecosystem
Mantoo et al. A machine learning model for detection of man in the middle attack over unsecured devices
EP3484122A1 (en) Malicious relay and jump-system detection using behavioral indicators of actors
Rai et al. Packet-based Anomaly Detection using n-gram Approach
Dalvi et al. DDoS Attack Detection using Artificial Neural Network
Ding et al. Machine learning for cybersecurity: Network-based botnet detection using time-limited flows
Al-Hammadi et al. Performance evaluation of DCA and SRC on a single bot detection