TWI729320B - 可疑封包偵測裝置及其可疑封包偵測方法 - Google Patents

可疑封包偵測裝置及其可疑封包偵測方法 Download PDF

Info

Publication number
TWI729320B
TWI729320B TW107138823A TW107138823A TWI729320B TW I729320 B TWI729320 B TW I729320B TW 107138823 A TW107138823 A TW 107138823A TW 107138823 A TW107138823 A TW 107138823A TW I729320 B TWI729320 B TW I729320B
Authority
TW
Taiwan
Prior art keywords
packet
http
information
suspicious
user agent
Prior art date
Application number
TW107138823A
Other languages
English (en)
Other versions
TW202019140A (zh
Inventor
邱繼寬
張孝賢
魏得恩
Original Assignee
財團法人資訊工業策進會
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人資訊工業策進會 filed Critical 財團法人資訊工業策進會
Priority to TW107138823A priority Critical patent/TWI729320B/zh
Priority to CN201811346304.8A priority patent/CN111131137B/zh
Priority to US16/202,084 priority patent/US11057403B2/en
Publication of TW202019140A publication Critical patent/TW202019140A/zh
Application granted granted Critical
Publication of TWI729320B publication Critical patent/TWI729320B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/906Clustering; Classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/764Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/82Arrangements for image or video recognition or understanding using pattern recognition or machine learning using neural networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Abstract

一種可疑封包偵測裝置及其可疑封包偵測方法。可疑封包偵測裝置擷取自內部網路傳送至外部網路之超文本傳輸協定(HTTP)封包,以及基於HTTP封包之HTTP標頭,判斷HTTP封包屬於一瀏覽器類別及一應用程式類別其中之一,並辨別HTTP封包為一正常封包及一可疑封包其中之一。當HTTP封包被辨別為正常封包時,可疑封包偵測裝置更將HTTP標頭與關聯資訊比對或使用一網址分類模型,以進一步地確認HTTP封包是否為可疑封包。

Description

可疑封包偵測裝置及其可疑封包偵測方法
本發明係關於一種可疑封包偵測裝置及其可疑封包偵測方法。具體而言,可疑封包偵測裝置可基於HTTP封包之HTTP標頭,辨別HTTP封包為一正常封包及一可疑封包其中之一,並當HTTP封包被辨別為正常封包時,進一步地確認HTTP封包是否為可疑封包。
隨著科技的發展,網路通訊的各種應用已充斥於人們的生活中,且人們對於網路通訊的需求亦日益增加。然而,網路通訊的安全性也隨之日益重要。
目前關於網路安全的多個研究議題其中之一在於,駭客會透過命令與控制伺服器(command-and-control server;C2 server)向被殭屍病毒感染的電腦下達指令並加以控制,以攻擊特定受害者電腦(例如:企業的伺服器),例如:寄送垃圾信件、竊取個資或發起阻斷服務攻擊等。近年來的殭屍病毒攻擊案例中,C2伺服器除了使用網際網路中繼聊天(Internet Relay Chat;IRC)協定及對等(Point-to-Point)協定向被殭屍病毒感染的電腦下達指令外,更逐漸地開始使用超文本傳輸協定(HyperText Transfer Protocol;HTTP)。相較於IRC協定及P2P協定,由於基於HTTP傳輸之封包 (後稱HTTP封包)的流量大且難以有效地偵測,故一般的防禦偵測系統不會去阻擋或偵測可疑的HTTP封包,進而使得駭客有機可乘以將指令藏到HTTP封包內。
有鑑於此,如何提供一種HTTP封包偵測機制,其能有效地偵測出可疑的HTTP封包,係為業界及學術界亟需解決的一技術問題。
本發明之目的在於提供一種HTTP封包偵測機制,其能有效地偵測出可疑的HTTP封包。具體而言,本發明之HTTP封包偵測機制可透過擷取HTTP封包之特徵來分析及比對,以辨別可疑封包,並進一步地透過深度學習演算法加以確認,以增強辨別可疑封包的能力。
為達上述目的,本發明揭露一種可疑封包偵測裝置,其包含一儲存器、一網路介面以及一處理器。該儲存器用以儲存一參考檔案以及一偽造特徵檔案。該參考檔案記錄一超文本傳輸協定(HTTP)參考標頭。該偽造特徵檔案記錄一關聯資訊。處理器,電性連接該儲存器及該網路介面,且用以執行以下操作:透過該網路介面,擷取自一內部網路傳送至一外部網路之一HTTP封包;以及將該HTTP封包之一HTTP標頭與該HTTP參考標頭比對,以判斷該HTTP封包屬於一瀏覽器類別及一應用程式類別其中之一,並辨別該HTTP封包為一正常封包及一可疑封包其中之一。當該HTTP封包被辨別為該正常封包且屬於該瀏覽器類別時,該處理器更執行以下操作:判斷該HTTP標頭之一目標域名資訊及一參照位置資訊是否存在於該關聯資訊中;以及當該目標域名資訊及該參照位置資訊不存在於該關聯資訊中時,判斷該HTTP封包是否使得一時間視窗內與該目標域名資訊相關聯之一計 數值超過一第一門檻值,以及若該計數值超過該第一門檻值,則重新辨別該HTTP封包為該可疑封包。該計數值係為該時間視窗內之複數已接收HTTP封包之一封包總數,且各該已接收HTTP封包之另一HTTP標頭之另一目標域名資訊及另一參照位置資訊不存在於該關聯資訊中。
此外,本發明更揭露一種用於一可疑封包偵測裝置之可疑封包偵測方法。該可疑封包偵測裝置包含一儲存器、一網路介面以及一處理器。該儲存器儲存一參考檔案以及一偽造特徵檔案。該參考檔案記錄一超文本傳輸協定(HTTP)參考標頭。該偽造特徵檔案記錄一關聯資訊。該可疑封包偵測方法由該處理器所執行且包含下列步驟:透過該網路介面,擷取自一內部網路傳送至一外部網路之一HTTP封包;以及將該HTTP封包之一HTTP標頭與該HTTP參考標頭比對,以判斷該HTTP封包屬於一瀏覽器類別及一應用程式類別其中之一,並辨別該HTTP封包為一正常封包及一可疑封包其中之一。當該HTTP封包被辨別為該正常封包且屬於該瀏覽器類別時,該可疑封包偵測方法更該包含下列步驟:判斷該HTTP標頭之一目標域名資訊及一參照位置資訊是否存在於該關聯資訊中;當該目標域名資訊及該參照位置資訊不存在於該關聯資訊中時,判斷該HTTP封包是否使得一時間視窗內與該目標域名資訊相關聯之一計數值超過一第一門檻值,其中該計數值係為該時間視窗內之複數已接收HTTP封包之一封包總數,且各該已接收HTTP封包之另一HTTP標頭之另一目標域名資訊及另一參照位置資訊不存在於該關聯資訊中;以及若該計數值超過該第一門檻值,則重新辨別該HTTP封包為該可疑封包。
此外,本發明更揭露一種可疑封包偵測裝置,其包含:一儲 存器、一網路介面以及一處理器。該儲存器用以儲存一參考檔案以及一偽造特徵檔案。該參考檔案記錄一超文本傳輸協定(HTTP)參考標頭。該偽造特徵檔案記錄一網址分類模型。該處理器電性連接該儲存器及該網路介面,且用以執行以下操作:透過該網路介面,擷取自一內部網路傳送至一外部網路之一HTTP封包;以及將該HTTP封包之一HTTP標頭與該HTTP參考標頭比對,以判斷該HTTP封包屬於一瀏覽器類別及一應用程式類別其中之一,並辨別該HTTP封包為一正常封包及一可疑封包其中之一。當該HTTP封包被辨別為該正常封包且屬於該應用程式類別時,該處理器更執行以下操作:將該HTTP封包之一網址資訊輸入至該網址分類模型,以產生一推論用戶代理資訊;以及判斷該HTTP封包之一用戶代理資訊是否與該推論用戶代理資訊相同,若不相同,則重新辨別該HTTP封包為該可疑封包。
在參閱圖式及隨後描述之實施方式後,此技術領域具有通常知識者便可瞭解本發明之其他目的,以及本發明之技術手段及實施態樣。
HD‧‧‧駭客裝置
CCS‧‧‧C2伺服器
EN‧‧‧外部網路
IN‧‧‧內部網路
GD‧‧‧閘道器裝置
IND1、IND2、IND3‧‧‧內部裝置
1‧‧‧可疑封包偵測裝置
11‧‧‧儲存器
13‧‧‧處理器
15‧‧‧網路介面
102‧‧‧參考檔案
104‧‧‧偽造特徵檔案
RI1‧‧‧HTTP封包HP1的相關資訊
RI2‧‧‧HTTP封包HP2的相關資訊
D1‧‧‧域名
R1、R2、R3、R4、R5‧‧‧參照位置
IUAI‧‧‧推論用戶代理資訊
UCM‧‧‧網址分類模型
F1‧‧‧域名特徵
F2‧‧‧路徑特徵
F3‧‧‧參數索引鍵特徵
S701~S715‧‧‧步驟
第1圖描繪本發明之一實施情境之示意圖;第2圖為本發明之可疑封包偵測裝置1之示意圖;第3圖描繪屬於瀏覽器類別之一HTTP封包的相關資訊;第4圖描繪一域名D1及其相關聯之參照位置R1、R2、R3、R4、R5之一關聯圖;第5圖描繪屬於應用程式類別之一HTTP封包的相關資訊;第6圖係本發明之網址分類模型UCM之示意圖;以及 第7A-7C圖係本發明之可疑封包偵測方法之流程圖。
以下將透過實施例來解釋本發明內容,本發明的實施例並非用以限制本發明須在如實施例所述之任何特定的環境、應用或特殊方式方能實施。因此,關於實施例之說明僅為闡釋本發明之目的,而非用以限制本發明。需說明者,以下實施例及圖式中,與本發明非直接相關之元件已省略而未繪示,且圖式中各元件間之尺寸關係僅為求容易瞭解,並非用以限制實際比例。
本發明第一實施例如第1-2圖所示。第1圖描繪本發明之一實施情境,以及第2圖為本發明之可疑封包偵測裝置1之示意圖。可疑封包偵測裝置1包含一儲存器11、一處理器13以及一網路介面15。儲存器11與網路介面15電性連接至處理器13。
本發明之可疑封包偵測裝置1可實作成一閘道器裝置GD,其用以連接於一內部網路IN及一外部網路EN。內部網路IN連接至多個內部裝置(例如:內部裝置IND1、IND2、IND3)。內部網路IN可為一企業內部網路、一學校內部網路或任何團體的內部網路。內部網路IN通常包含多個路由器(例如:有線路由器、無線路由器或其組合),因此各內部裝置IND1、IND2、IND3可能是經由一個或多個路由器或直接藉由網路線或無線通訊方式直接連接至閘道器裝置GD。各內部裝置IND1、IND2、IND3可為一個人電腦、一伺服器、一筆記型電腦、一平板電腦或任一可被殭屍病毒感染的裝置。為簡化說明,於第1圖中僅繪示內部裝置IND1、IND2、IND3;然而,可理解 的是,內部裝置的數量並非用以限制本發明。
此外,駭客裝置HD可藉由操控一命令與控制伺服器(後稱,C2伺服器)CCS,經由外部網路EN及閘道器裝置GD而向內部裝置IND1、IND2、IND3散布殭屍病毒。外部網路EN可包含一網際網路、一電信網路及任何有線、無線通訊網路。為偵測是否有駭客透過C2伺服器CCS以HTTP協定向被殭屍病毒感染的內部裝置IND1、IND2、IND3下達指令,閘道器裝置GD可藉由擷取自內部網路IN傳送至外部網路EN的HTTP封包並加以分析,以篩選出可疑封包。
另一方面,本發明之可疑封包偵測裝置1亦可實作成一內部裝置(例如:內部裝置IND1),其連接至內部網路IN,並透過閘道器裝置GD連線至外部網路EN。內部裝置IND1可透過閘道器裝置GD擷取自內部網路IN傳送至外部網路EN的HTTP封包並加以分析,以篩選出可疑封包。由於所屬技術領域中具有通常知識者基於前述說明,應可輕易瞭解本發明之可疑封包偵測裝置1如何實作成閘道器裝置GD及內部裝置IND1,故後續說明僅針對可疑封包偵測裝置1如何分析HTTP封包並篩選出可疑封包加以描述。
請繼續參考第2圖。可疑封包偵測裝置1之儲存器11儲存一參考檔案102以及一偽造特徵(fingerprint)檢測檔案104。參考檔案102記錄一超文本傳輸協定(HTTP)參考標頭。偽造特徵檔案104記錄一關聯資訊。
處理器13透過網路介面15擷取自內部網路IN傳送至外部網路EN之一HTTP封包HP1。舉例而言,處理器13可透過一封包擷取工具(例如:TCP Dump)來達到獲取封包的目的,並獲得HTTP封包HP1的相關資訊RI1,如第3圖所示,其為一網頁瀏覽器程式所產生之封包的相關資訊。據此, 處理器13可獲得HTTP封包的相關資訊,例如:傳輸控制協定(Transmission Control Protocol;TCP)資訊及超文本傳輸協定(Hypertext Transfer Protocol;HTTP)資訊。
基於第3圖之TCP資訊及HTTP資訊,處理器13可進一步解析HTTP封包HP1,以獲得HTTP標頭(例如:目標域名資訊、用戶代理資訊、語言資訊、參照位置資訊)及封包尺寸資訊如下表一所示。
Figure 107138823-A0101-12-0007-1
隨後,處理器13將HTTP封包HP1之HTTP標頭與HTTP參考標頭比對,以判斷HTTP封包HP1屬於一瀏覽器類別及一應用程式類別其中之一,並辨別HTTP封包HP1為一正常封包及一可疑封包其中之一。
舉例而言,HTTP參考標頭可包含一用戶代理參考資訊、一語言參考資訊、一域名參考資訊及一欄位參考資訊。這些參考資訊可事先藉由於一段時間區間內(例如:數天、一週、一個月)收集未被殭屍病毒感染之所有內部裝置所傳送至外部網路EN的封包來建立,且這些參考資訊於後續檢測HTTP封包時係作為特徵,以辨別HTTP封包為正常封包,或者為可疑封包。
用戶代理參考資訊可包含一瀏覽器資訊及一應用程式資訊。瀏覽器資訊記錄多個網頁瀏覽器程式之名稱,例如:「Mozilla」、「Firefox」、「Chrome」、「Safari」、「OPR」、「Opera」、「MSIC」、「Gecko」、「Trident」、「AppleWebKit」,但不限於此。應用程式資訊記錄多個應用程式之名稱,例如:「Facebook」、「LINE」、「Avast」、「Microsoft-Delivery-Optimization」、「NET Framework」、「iTunes」、「Spotify」、「Microsoft Office」、「Java Update」、「WeChat」、「Windows-Update-Agent」、「iosapp.camera」,但不限於此據此。因此,處理器13可將HTTP封包HP1之用戶代理資訊(即,Mozilla)與瀏覽器資訊比對,以判斷用戶代理資訊存在於瀏覽器資訊中,進而判斷HTTP封包HP1屬於瀏覽器類別。
同時,處理器13可判斷HTTP封包HP1之用戶代理資訊是否存在於用戶代理參考資訊中,以辨別HTTP封包HP1為一正常封包及一可疑封包其中之一。因此,當用戶代理資訊不存在於用戶代理參考資訊時,處理器13辨別HTTP封包HP1為可疑封包,並可將HTTP封包HP1記錄至一可疑封包歷史檔案中以供內部網路IN的管理者或相關人員查閱,或者進一步地產生一檢測結果報告,並傳送給內部網路IN的管理者或相關人員。
此外,當HTTP封包HP1屬於瀏覽器類別且經由上述檢測機制被辨別為正常封包時,本發明將進一步確認HTTP封包是否仍有可能為可疑封包,以避免HTTP標頭是殭屍病毒所偽造。首先,處理器13判斷HTTP標頭之一目標域名資訊及一參照位置資訊是否存在於偽造特徵檔案104所記錄之關聯資訊中。
舉例而言,關聯資訊可記載各域名及其相關聯之參照位置。 第4圖係描繪一域名D1及其相關聯之參照位置R1、R2、R3、R4、R5之一關聯圖。可想像地是,其他域名及其相關聯之參照位置皆可具有類似於第4圖所繪示之關聯圖,因此為了簡化說明,其他域名及其相關聯之參照位置係不另以圖式說明。類似地,各域名及其相關聯之參照位置可事先藉由於一段時間區間內(例如:數天、一週、一個月)收集未被殭屍病毒感染之所有內部裝置所傳送至外部網路EN的封包來建立。
因此,處理器13根據目標域名資訊(即,www.railway.gov.tw)自關聯資訊中搜尋與目標域名資訊相同之域名(例如:域名D1)。接著,處理器13將參照位置資訊(即,http://railway.hinet.net/Foreign/tw/index.html)與域名D1相關聯之參照位置R1、R2、R3、R4、R5相比對,以確認是否參照位置資訊與參照位置R1、R2、R3、R4、R5任一者相同。倘若目標域名資訊及參照位置資訊不存在於關聯資訊中,則處理器13判斷HTTP封包HP1是否使得一時間視窗內與目標域名資訊相關聯之一計數值超過一第一門檻值,以及若計數值超過第一門檻值,則重新辨別HTTP封包HP1為可疑封包。在此,計數值係為時間視窗內之複數已接收HTTP封包之一封包總數,且各已接收HTTP封包之另一HTTP標頭之另一目標域名資訊及另一參照位置資訊不存在於關聯資訊中。
舉例而言,時間視窗可選擇為3分鐘、5分鐘或者6分鐘,而第一門檻值可選擇100或120。所屬領域中具有通常知識者可瞭解若時間視窗選擇越短、第一門檻值選擇越大,則代表判斷為可疑封包的條件越寬鬆(即,越不容易被重新辨別為可疑封包);反之,若時間視窗選擇越長、第一門檻值選擇越小,則代表判斷為可疑封包的條件越嚴苛(即,越容易被重 新辨別為可疑封包)。
因此,若假設時間視窗選擇為5分鐘以及第一門檻值選擇為100,則當目標域名資訊不存在於關聯資訊中時,處理器13判斷HTTP封包HP1之傳送時間點的過去5分鐘是否已經存在100筆已接收HTTP封包具有相同的目標域名資訊(即,已接收HTTP封包之封包總數為100),而HTTP封包HP1使得5分鐘內與此目標域名資訊相關聯之計數值(即,100+1=101)超過第一門檻值(即,100)。同樣地,若假設時間視窗選擇為5分鐘以及第一門檻值選擇為100,則當目標域名資訊存在於關聯資訊中,但參照位置資訊不存在於關聯資訊時,處理器13判斷HTTP封包HP1之傳送時間點的過去5分鐘是否已經存在100筆已接收HTTP封包具有相同的目標域名資訊且其參照位置資訊亦不存在於關聯資訊中,而HTTP封包HP1使得5分鐘內與此目標域名資訊相關聯之計數值(即,100+1=101)超過第一門檻值(即,100)。
類似地,當HTTP封包HP1使得時間視窗內與此目標域名資訊相關聯之計數值超過第一門檻值時,處理器13重新辨別HTTP封包HP1為可疑封包,並可將HTTP封包HP1記錄至可疑封包歷史檔案中以供內部網路IN的管理者或相關人員查閱,或者進一步地產生一檢測結果報告,並傳送給內部網路IN的管理者或相關人員。
本發明第二實施例請繼續參考第1-2圖。如同前述,處理器13可透過封包擷取工具來達到獲取封包的目的,並獲得HTTP封包HP2的相關資訊RI2,如第5圖所示。不同於第一實施例,於本實施例中,HTTP封包HP2為一其他應用程式所產生之封包。同樣地,基於第5圖之TCP資訊及HTTP資訊,處理器13可進一步解析HTTP封包HP2,以獲得HTTP標頭(例 如:目標域名資訊、用戶代理資訊、欄位資訊、網址資訊)及封包尺寸資訊如下表二所示。
Figure 107138823-A0101-12-0011-2
隨後,處理器13將HTTP封包HP2之HTTP標頭與HTTP參考標頭比對,以判斷HTTP封包HP2屬於瀏覽器類別及應用程式類別其中之一,並辨別HTTP封包HP2為正常封包及可疑封包其中之一。類似於第一實施例所述之範例,處理器13可將HTTP封包HP2之用戶代理資訊(即,Microsoft Delivery Optimization)與瀏覽器資訊比對,以判斷用戶代理資訊不存在於瀏覽器資訊中,進而判斷HTTP封包HP1屬於應用程式類別。同時,處理器13可判斷HTTP封包HP1之用戶代理資訊是否存在於用戶代理參考資訊中,以 辨別HTTP封包HP1為正常封包或可疑封包。
此外,當HTTP封包HP2屬於應用程式類別且經由上述檢測機制被辨別為正常封包時,本發明將進一步確認HTTP封包是否仍有可能為可疑封包,以避免HTTP標頭是殭屍病毒所偽造。首先,於本實施例中,偽造特徵檔案104更記錄一網址分類模型。處理器13將HTTP封包HP1之網址資訊輸入至網址分類模型,以產生一推論用戶代理資訊。接著,處理器13判斷HTTP封包之用戶代理資訊是否與推論用戶代理資訊相同。倘若不相同,則處理器13重新辨別HTTP封包HP2為可疑封包,並可將HTTP封包HP2記錄至可疑封包歷史檔案中以供內部網路IN的管理者或相關人員查閱,或者進一步地產生一檢測結果報告,並傳送給內部網路IN的管理者或相關人員。
舉例而言,網址分類模型UCM可基於一序列分析演算法及一多對一(many-to-one)規則,以一監督式學習訓練所建立,如第6圖所示。於訓練過程中,處理器13藉由於一段時間區間內(例如:數天、一週、一個月)收集未被殭屍病毒感染之所有內部裝置所傳送至外部網路EN的封包。處理器13將這些封包作為訓練資料,並自各封包的網址資訊擷取出三個特徵,即域名特徵F1、路徑特徵F2、參數索引鍵(parameter keys)特徵F3。以HTTP封包HP2的網址資訊作為說明,域名特徵F1為「7.tlu.dl.delivery.mp.microsoft.com」,路徑特徵F2為「filestreamingservice/files/fd16269d-13de-4d6f-a167-aca78db10e9f」,以及參數索引鍵特徵F3為參數:「P1,P2,P3」。接著,處理器13將各網址資訊之域名特徵F1、路徑特徵F2、參數索引鍵特徵F3輸入至網址分類模型UCM。針對各個封包之域名特徵F1、路徑特徵F2、參數索引鍵特徵F3,網址分類模 型UCM首先將域名特徵F1、路徑特徵F2、參數索引鍵特徵F3序列化,例如將「7.tlu.dl.delivery.mp.microsoft.com」序列化為「7」、「tlu」、「dl」、「delivery」、「mp」、「microsoft」、「com」。接著,處理器13使用序列化算法(例如:迴圈神經網路(Recurrent Neural Networks;RNN)、長短期記憶(Long Short-Term Memory;LSTM)網路、門閘遞迴單元(Gated Recurrent Unit;GRU)網路),並以多對一規則進行監督式學習訓練。針對各個封包之域名特徵F1、路徑特徵F2、參數索引鍵特徵F3所對應之網址分類模型UCM的輸出係被標籤為一用戶代理資訊(即,推論用戶代理資訊IUAI)。由於所屬技術領域中具有通常知識者基於前述說明應已可瞭解本發明如何透過監督式學習的訓練方式,透過封包中的已知用戶代理資訊,來建立網址分類模型UCM,故針對其細節內容在此不加以贅述。
因此,倘若將HTTP封包HP2的網址資訊輸入至網址分類模型UCM後所產生之推論用戶代理資訊IUAI不等於HTTP封包HP2的用戶代理資訊(即,Microsoft Delivery Optimization),則處理器13重新辨別HTTP封包HP2為可疑封包。如此一來,本發明之HTTP封包偵測機制可有效地檢測出HTTP標頭是殭屍病毒所偽造的封包。
本發明第三實施例請繼續參考如第1-3、5圖。本實施例係為第一實施例及第二實施例之延伸。前述實施例之範例中描述,處理器13可基於HTTP封包HP1、HP2之用戶代理資訊是否存在於用戶代理參考資訊中來辨別HTTP封包HP1、HP2為正常封包或可疑封包,而本實施例可更基於以下操作來進一步地檢測HTTP封包HP1、HP2是否為可疑封包。
詳言之,參考檔案102更記錄一容許範圍,而如同前述說明, HTTP參考標頭可包含用戶代理參考資訊、語言參考資訊、域名參考資訊及欄位參考資訊。於判斷HTTP封包HP1屬於該瀏覽器類別且其用戶代理資訊存在於用戶代理參考資訊中後,處理器13判斷是否HTTP標頭之一語言資訊存在於語言參考資訊中。若是,處理器13則辨別HTTP封包HP1為正常封包。若否,處理器13則辨別該HTTP封包HP1為可疑封包。
此外,於判斷HTTP封包HP2屬於應用程式類別且其用戶代理資訊存在於用戶代理參考資訊中時,處理器13根據HTTP標頭之目標域名資訊及一欄位資訊是否分別存在於域名參考資訊及欄位參考資訊中且HTTP封包HP2之一封包尺寸是否落入容許範圍內計算一評估值。若評估值大於等於一第二門檻值,則處理器13辨別HTTP封包HP2為正常封包。若評估值小於該第二門檻值,則處理器13辨別HTTP封包HP2為可疑封包。
舉例而言,評估值可由三個分數值V1、V2、V3加總而得。當HTTP標頭之目標域名資訊存在於域名參考資訊中時,分數值V1=1;反之,分數值V1=0。當HTTP標頭之欄位資訊存在於欄位參考資訊中時,分數值V2=1;反之,分數值V2=0。當HTTP封包HP2之封包尺寸落入容許範圍內時,分數值V3=1;反之,分數值V3=0。第二門檻值可設為1、2、3。第二門檻值設為1即表示前述三個條件只要滿足一個條件,處理器13即辨別HTTP封包HP2為正常封包。類似地,第二門檻值設為2即表示前述三個條件只要滿足二個條件,處理器13即辨別HTTP封包HP2為正常封包。第二門檻值設為3則為最嚴苛的狀況,即表示前述三個條件皆須滿足,處理器13才會辨別HTTP封包HP2為正常封包。
當HTTP封包HP1經前述操作被辨別正常封包後,處理器13 將如第一實施例所述,進一步判斷HTTP標頭之目標域名資訊及參照位置資訊是否存在於偽造特徵檔案104所記錄之關聯資訊中,以確認HTTP封包是否仍有可能為可疑封包,以避免HTTP標頭是殭屍病毒所偽造。同樣地,當HTTP封包HP2經前述操作被辨別正常封包後,處理器13將如第二實施例所述,進一步將HTTP封包HP1之網址資訊輸入至網址分類模型,以判斷HTTP封包之用戶代理資訊是否與推論用戶代理資訊相同,以確認HTTP封包是否仍有可能為可疑封包,以避免HTTP標頭是殭屍病毒所偽造。
本發明第四實施例係描述一可疑封包偵測方法,其流程圖如第7A-7C圖所示。可疑封包偵測方法用於一可疑封包偵測裝置,例如:前述實施例之可疑封包偵測裝置1。可疑封包偵測裝置包含一儲存器、一網路介面以及一處理器。處理器電性連接至網路介面及儲存器。儲存器儲存一參考檔案以及一偽造特徵檔案。參考檔案記錄一超文本傳輸協定(HTTP)參考標頭。偽造特徵檔案記錄一關聯資訊。可疑封包偵測方法由處理器所執行,其包含步驟說明如下。
首先,於步驟S701中,透過網路介面,擷取自一內部網路傳送至一外部網路之一HTTP封包。於步驟S703中,將HTTP封包之一HTTP標頭與HTTP參考標頭比對,以判斷HTTP封包屬於一瀏覽器類別及一應用程式類別其中之一,並辨別該HTTP封包為一正常封包及一可疑封包其中之一。
接著,當HTTP封包被辨別為正常封包且屬於瀏覽器類別時,執行步驟S705,以判斷HTTP標頭之一目標域名資訊及一參照位置資訊是否存在於關聯資訊中。當目標域名資訊及參照位置資訊不存在於關聯資訊中 時,執行步驟S707,以判斷HTTP封包是否使得一時間視窗內與目標域名資訊相關聯之一計數值超過一第一門檻值。計數值係為時間視窗內之複數已接收HTTP封包之一封包總數,且各已接收HTTP封包之另一HTTP標頭之另一目標域名資訊及另一參照位置資訊不存在於關聯資訊中。若計數值超過第一門檻值,則執行步驟S709,以重新辨別HTTP封包為可疑封包。接著,於步驟S711中,將HTTP封包記錄至一可疑封包歷史檔案中。此外,步驟S703若辨別HTTP封包為可疑封包時,則亦執行步驟S711,以將HTTP封包記錄至可疑封包歷史檔案中。
另一方面,偽造特徵檔案更記錄一網址分類模型。步驟S703若辨別HTTP封包為正常封包且屬於應用程式類別,則執行步驟S713,將HTTP封包之一網址資訊輸入至網址分類模型,以產生一推論用戶代理資訊。接著,於步驟S715中,判斷HTTP封包之用戶代理資訊是否與推論用戶代理資訊相同。若不相同,則執行步驟S709,重新辨別HTTP封包為可疑封包。
於一實施例中,HTTP參考標頭包含一用戶代理參考資訊、一語言參考資訊、一域名參考資訊及一欄位參考資訊。在此情況下,步驟S703更包含以下步驟:判斷用戶代理資訊是否存在於用戶代理參考資訊中,若不存在,則辨別HTTP封包為可疑封包;當用戶代理資訊存在於用戶代理參考資訊中且HTTP封包屬於瀏覽器類別時,判斷HTTP標頭之一語言資訊是否存在於語言參考資訊中,若是,則辨別HTTP封包為一正常封包,若否,則辨別HTTP封包為可疑封包;以及當用戶代理資訊存在於用戶代理參考資訊中且HTTP封包屬於應用程式類別時,根據HTTP標頭之一目標域名資訊 及一欄位資訊是否分別存在於域名參考資訊及欄位參考資訊中且HTTP封包之一封包尺寸是否落入一容許範圍內計算一評估值。若評估值大於等於一第二門檻值,則辨別HTTP封包為正常封包。反之,若評估值小於第二門檻值,則辨別HTTP封包為可疑封包。
於一實施例中,步驟S703更包含以下步驟:將HTTP標頭之用戶代理資訊與用戶代理參考資訊比對,判斷HTTP封包屬於瀏覽器類別及應用程式類別其中之一。於一實施例中,用戶代理參考資訊包含一瀏覽器資訊及一應用程式資訊。在此情況下,步驟S703更包含以下步驟:判斷HTTP標頭之用戶代理資訊是否存在於瀏覽器資訊;若存在,則判斷HTTP封包屬於瀏覽器類別;以及若不存在,則判斷該HTTP封包屬於應用程式類別。
於一實施例中,網址分類模型係基於一序列分析演算法及一多對一(many-to-one)規則,以一監督式學習訓練所建立。於一實施例中,可疑封包偵測方法更包含步驟:自網址資訊擷取一域名特徵、一路徑特徵及一參數索引鍵特徵,以將域名特徵、路徑特徵及參數索引鍵特徵輸入至網址分類模型,來產生推論用戶代理資訊。於一實施例中,可疑封包偵測方法更包含步驟:解析HTTP封包,以取得HTTP標頭。
除了上述步驟,本發明之可疑封包偵測方法亦能執行在所有前述實施例中所闡述之所有操作並具有所有對應之功能,所屬技術領域具有通常知識者可直接瞭解此實施例如何基於所有前述實施例執行此等操作及具有該等功能,故不贅述。
綜上所述,本發明之HTTP封包偵測機制可透過擷取HTTP封包之特徵來分析及比對,以辨別可疑封包,並進一步地透過深度學習演算法 加以確認,以增強辨別可疑封包的能力。據此,本發明之HTTP封包偵測機制能有效地偵測出可疑的HTTP封包。
上述之實施例僅用來例舉本發明之實施態樣,以及闡釋本發明之技術特徵,並非用來限制本發明之保護範疇。任何熟悉此技術者可輕易完成之改變或均等性之安排均屬於本發明所主張之範圍,本發明之權利保護範圍應以申請專利範圍為準。
1‧‧‧可疑封包偵測裝置
11‧‧‧儲存器
13‧‧‧處理器
15‧‧‧網路介面
102‧‧‧參考檔案
104‧‧‧偽造特徵檔案

Claims (17)

  1. 一種可疑封包偵測裝置,包含:一儲存器,用以儲存一參考檔案以及一偽造特徵檔案,該參考檔案記錄一超文本傳輸協定(HTTP)參考標頭,該偽造特徵檔案記錄一關聯資訊;一網路介面;以及一處理器,電性連接該儲存器及該網路介面,用以執行以下操作:透過該網路介面,擷取自一內部網路傳送至一外部網路之一HTTP封包;以及將該HTTP封包之一HTTP標頭與該HTTP參考標頭比對,以判斷該HTTP封包屬於一瀏覽器類別及一應用程式類別其中之一,並辨別該HTTP封包為一正常封包及一可疑封包其中之一;其中,當該HTTP封包被辨別為該正常封包且屬於該瀏覽器類別時,該處理器更執行以下操作:判斷該HTTP標頭之一目標域名資訊及一參照位置資訊是否存在於該關聯資訊中;以及當該目標域名資訊及該參照位置資訊不存在於該關聯資訊時,判斷該HTTP封包是否使得一時間視窗內與該目標域名資訊相關聯之一計數值超過一第一門檻值,以及若該計數值超過該第一門檻值,則重新辨別該HTTP封包為該可疑封包,其中該計數值係為該時間視窗內之複數已接收HTTP封包之一封包總數,且各該已接收HTTP封包之另一HTTP標頭之另一目標域名資訊及另一參照位置資訊不存在於該關聯資 訊中。
  2. 如請求項1所述之可疑封包偵測裝置,其中該偽造特徵檔案更記錄一網址分類模型,以及當該HTTP封包被辨別為該正常封包且屬於該應用程式類別時,該處理器更用以執行以下操作:自該HTTP封包之一網址資訊擷取一域名特徵、一路徑特徵及一參數索引鍵特徵;將該域名特徵、該路徑特徵及該參數索引鍵特徵輸入至該網址分類模型,以產生一推論用戶代理資訊;以及判斷該HTTP封包之一用戶代理資訊是否與該推論用戶代理資訊相同,若不相同,則重新辨別該HTTP封包為該可疑封包。
  3. 如請求項2所述之可疑封包偵測裝置,其中該HTTP參考標頭包含一用戶代理參考資訊、一語言參考資訊、一域名參考資訊及一欄位參考資訊,以及該處理器更用以執行以下操作:判斷該用戶代理資訊是否存在於該用戶代理參考資訊中,若不存在,則辨別該HTTP封包為該可疑封包;當該用戶代理資訊存在於該用戶代理參考資訊中且該HTTP封包屬於該瀏覽器類別時,判斷該HTTP標頭之一語言資訊是否存在於該語言參考資訊中,若是,則辨別該HTTP封包為該正常封包,若否,則辨別該HTTP封包為該可疑封包;以及當該用戶代理資訊存在於該用戶代理參考資訊中且該HTTP封包屬於該應用程式類別時,根據該HTTP標頭之該目標域名資訊是否存在於該域名參考資訊中、該HTTP標頭之一欄位資訊是否存在於該欄位參考 資訊中且該HTTP封包之一封包尺寸是否落入一容許範圍內計算一評估值,並判斷該評估值是否大於等於一第二門檻值,若該評估值大於等於一第二門檻值,則辨別該HTTP封包為該正常封包,若該評估值小於該第二門檻值,則辨別該HTTP封包為該可疑封包。
  4. 如請求項3所述之可疑封包偵測裝置,其中該處理器更將該HTTP標頭之該用戶代理資訊與該用戶代理參考資訊比對,以判斷該HTTP封包屬於該瀏覽器類別及該應用程式類別其中之一。
  5. 如請求項4所述之可疑封包偵測裝置,其中該用戶代理參考資訊包含一瀏覽器資訊及一應用程式資訊,該處理器更判斷該HTTP標頭之該用戶代理資訊是否存在於該瀏覽器資訊中,若存在,則判斷該HTTP封包屬於該瀏覽器類別,以及若不存在,則判斷該HTTP封包屬於該應用程式類別。
  6. 如請求項2所述之可疑封包偵測裝置,其中該網址分類模型係基於一序列分析演算法及一多對一(many-to-one)規則,以一監督式學習訓練所建立。
  7. 如請求項1所述之可疑封包偵測裝置,其中該處理器更解析該HTTP封包,以取得該HTTP標頭。
  8. 一種用於一可疑封包偵測裝置之可疑封包偵測方法,該可疑封包偵測裝置包含一儲存器、一網路介面以及一處理器,該儲存器儲存一參考檔案以及一偽造特徵檔案,該參考檔案記錄一超文本傳輸協定(HTTP)參考標頭,該偽造特徵檔案記錄一關聯資訊,該可疑封包偵測方法由該處理器所執行且包含下列步驟:透過該網路介面,擷取自一內部網路傳送至一外部網路之一HTTP 封包;以及將該HTTP封包之一HTTP標頭與該HTTP參考標頭比對,以判斷該HTTP封包屬於一瀏覽器類別及一應用程式類別其中之一,並辨別該HTTP封包為一正常封包及一可疑封包其中之一;其中,當該HTTP封包被辨別為該正常封包且屬於該瀏覽器類別時,該可疑封包偵測方法更該包含下列步驟:判斷該HTTP標頭之一目標域名資訊及一參照位置資訊是否存在於該關聯資訊中;當該目標域名資訊及該參照位置資訊不存在於該關聯資訊中時,判斷該HTTP封包是否使得一時間視窗內與該目標域名資訊相關聯之一計數值超過一第一門檻值,其中該計數值係為該時間視窗內之複數已接收HTTP封包之一封包總數,且各該已接收HTTP封包之另一HTTP標頭之另一目標域名資訊及另一參照位置資訊不存在於該關聯資訊中;以及若該計數值超過該第一門檻值,則重新辨別該HTTP封包為該可疑封包。
  9. 如請求項8所述之可疑封包偵測方法,其中該偽造特徵檔案更記錄一網址分類模型,以及當該HTTP封包被辨別為該正常封包且屬於該應用程式類別時,該可疑封包偵測方法更包含以下步驟:自該HTTP封包之一網址資訊擷取一域名特徵、一路徑特徵及一參數索引鍵特徵;將該域名特徵、該路徑特徵及該參數索引鍵特徵輸入至該網址分類 模型,以產生一推論用戶代理資訊;以及判斷該HTTP封包之一用戶代理資訊是否與該推論用戶代理資訊相同,若不相同,則重新辨別該HTTP封包為該可疑封包。
  10. 如請求項9所述之可疑封包偵測方法,其中該HTTP參考標頭包含一用戶代理參考資訊、一語言參考資訊、一域名參考資訊及一欄位參考資訊,以及該可疑封包偵測方法更包含以下步驟:判斷該用戶代理資訊是否存在於該用戶代理參考資訊中,若不存在,則辨別該HTTP封包為一可疑封包;當該用戶代理資訊存在於該用戶代理參考資訊中且該HTTP封包屬於該瀏覽器類別時,判斷該HTTP標頭之一語言資訊是否存在於該語言參考資訊中,若是,則辨別該HTTP封包為一正常封包,若否,則辨別該HTTP封包為該可疑封包;以及當該用戶代理資訊存在於該用戶代理參考資訊中且該HTTP封包屬於該應用程式類別時,根據該HTTP標頭之該目標域名資訊及一欄位資訊是否分別存在於該域名參考資訊及該欄位參考資訊中且該HTTP封包之一封包尺寸是否落入該容許範圍內計算產生一評估值,若該評估值大於等於一第二門檻值,則辨別該HTTP封包為該正常封包,若該評估值小於該第二門檻值,則辨別該HTTP封包為該可疑封包。
  11. 如請求項10所述之可疑封包偵測方法,更包含以下步驟:將該HTTP標頭之該用戶代理資訊與該用戶代理參考資訊比對,判斷該HTTP封包屬於該瀏覽器類別及該應用程式類別其中之一。
  12. 如請求項11所述之可疑封包偵測方法,其中該用戶代理參考資訊包含一 瀏覽器資訊及一應用程式資訊,以及該可疑封包偵測方法更包含以下步驟:判斷該HTTP標頭之該用戶代理資訊是否存在於該瀏覽器資訊;若存在,則判斷該HTTP封包屬於該瀏覽器類別;以及若不存在,則判斷該HTTP封包屬於該應用程式類別。
  13. 如請求項9所述之可疑封包偵測方法,其中該網址分類模型係基於一序列分析演算法及一多對一(many-to-one)規則,以一監督式學習訓練所建立。
  14. 如請求項8所述之可疑封包偵測方法,更包含以下步驟:解析該HTTP封包,以取得該HTTP標頭。
  15. 一種可疑封包偵測裝置,包含:一儲存器,用以儲存一參考檔案以及一偽造特徵檔案,該參考檔案記錄一超文本傳輸協定(HTTP)參考標頭,該偽造特徵檔案記錄一網址分類模型;一網路介面;以及一處理器,電性連接該儲存器及該網路介面,用以執行以下操作:透過該網路介面,擷取自一內部網路傳送至一外部網路之一HTTP封包;以及將該HTTP封包之一HTTP標頭與該HTTP參考標頭比對,以判斷該HTTP封包屬於一瀏覽器類別及一應用程式類別其中之一,並辨別該HTTP封包為一正常封包及一可疑封包其中之一;其中,當該HTTP封包被辨別為該正常封包且屬於該應用程式類別 時,該處理器更執行以下操作:自該HTTP封包之一網址資訊擷取一域名特徵、一路徑特徵及一參數索引鍵特徵;將該域名特徵、該路徑特徵及該參數索引鍵特徵輸入至該網址分類模型,以產生一推論用戶代理資訊;以及判斷該HTTP封包之一用戶代理資訊是否與該推論用戶代理資訊相同,若不相同,則重新辨別該HTTP封包為該可疑封包。
  16. 如請求項15所述之可疑封包偵測裝置,其中該網址分類模型係基於一序列分析演算法及一多對一(many-to-one)規則,以一監督式學習訓練所建立。
  17. 如請求項15所述之可疑封包偵測裝置,其中該處理器更解析該HTTP封包,以取得該HTTP標頭。
TW107138823A 2018-11-01 2018-11-01 可疑封包偵測裝置及其可疑封包偵測方法 TWI729320B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW107138823A TWI729320B (zh) 2018-11-01 2018-11-01 可疑封包偵測裝置及其可疑封包偵測方法
CN201811346304.8A CN111131137B (zh) 2018-11-01 2018-11-13 可疑封包检测装置及其可疑封包检测方法
US16/202,084 US11057403B2 (en) 2018-11-01 2018-11-27 Suspicious packet detection device and suspicious packet detection method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW107138823A TWI729320B (zh) 2018-11-01 2018-11-01 可疑封包偵測裝置及其可疑封包偵測方法

Publications (2)

Publication Number Publication Date
TW202019140A TW202019140A (zh) 2020-05-16
TWI729320B true TWI729320B (zh) 2021-06-01

Family

ID=70458753

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107138823A TWI729320B (zh) 2018-11-01 2018-11-01 可疑封包偵測裝置及其可疑封包偵測方法

Country Status (3)

Country Link
US (1) US11057403B2 (zh)
CN (1) CN111131137B (zh)
TW (1) TWI729320B (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10999304B2 (en) 2018-04-11 2021-05-04 Palo Alto Networks (Israel Analytics) Ltd. Bind shell attack detection
RU2701040C1 (ru) * 2018-12-28 2019-09-24 Общество с ограниченной ответственностью "Траст" Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах
US11316872B2 (en) 2019-01-30 2022-04-26 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using port profiles
US11070569B2 (en) 2019-01-30 2021-07-20 Palo Alto Networks (Israel Analytics) Ltd. Detecting outlier pairs of scanned ports
US11184377B2 (en) * 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using source profiles
US11184378B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Scanner probe detection
US11184376B2 (en) * 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Port scan detection using destination profiles
US20220078208A1 (en) * 2019-07-16 2022-03-10 Cisco Technology, Inc. Multi-protocol / multi-session process identification
US11509680B2 (en) 2020-09-30 2022-11-22 Palo Alto Networks (Israel Analytics) Ltd. Classification of cyber-alerts into security incidents
CN114465769B (zh) * 2021-12-28 2024-03-15 尚承科技股份有限公司 学习网络行为特征的网络设备、处理系统与方法
US11799880B2 (en) 2022-01-10 2023-10-24 Palo Alto Networks (Israel Analytics) Ltd. Network adaptive alert prioritization system
CN116244612B (zh) * 2023-05-12 2023-08-29 国网江苏省电力有限公司信息通信分公司 一种基于自学习参数度量的http流量聚类方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140101764A1 (en) * 2012-10-05 2014-04-10 Rodrigo Ribeiro Montoro Methods and apparatus to detect risks using application layer protocol headers
CN103916288A (zh) * 2013-12-27 2014-07-09 哈尔滨安天科技股份有限公司 一种基于网关与本地的Botnet检测方法及系统
US8879388B2 (en) * 2006-05-30 2014-11-04 Broadcom Corporation Method and system for intrusion detection and prevention based on packet type recognition in a network

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7877806B2 (en) * 2006-07-28 2011-01-25 Symantec Corporation Real time malicious software detection
CN101523379A (zh) * 2006-08-18 2009-09-02 阿卡麦科技公司 分布式网络中的数据收集方法
US7917957B2 (en) * 2007-05-29 2011-03-29 Alcatel Lucent Method and system for counting new destination addresses
US20110041182A1 (en) * 2008-04-29 2011-02-17 John Stenfelt intrusion detection and notification
KR101585700B1 (ko) * 2010-12-14 2016-01-14 한국전자통신연구원 서비스 거부 공격 차단 방법
US8762298B1 (en) 2011-01-05 2014-06-24 Narus, Inc. Machine learning based botnet detection using real-time connectivity graph based traffic features
US9038172B2 (en) * 2011-05-06 2015-05-19 The Penn State Research Foundation Robust anomaly detection and regularized domain adaptation of classifiers with application to internet packet-flows
US8676729B1 (en) * 2011-06-14 2014-03-18 Narus, Inc. Network traffic classification using subspace clustering techniques
CN103096321B (zh) * 2011-11-02 2015-11-25 西门子公司 一种用于检测恶意服务器的方法和装置
KR102017810B1 (ko) * 2012-04-18 2019-10-21 짐페리엄 리미티드 모바일 기기용 침입방지장치 및 방법
KR101391781B1 (ko) * 2012-08-07 2014-05-07 한국전자통신연구원 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
US9461967B2 (en) * 2013-07-18 2016-10-04 Palo Alto Networks, Inc. Packet classification for network routing
US9247075B2 (en) * 2013-08-27 2016-01-26 International Business Machines Corporation Data sharing with mobile devices
US20150222526A1 (en) * 2014-02-05 2015-08-06 Calix, Inc. Network and service layers for next generation access networks
US9888033B1 (en) * 2014-06-19 2018-02-06 Sonus Networks, Inc. Methods and apparatus for detecting and/or dealing with denial of service attacks
JP5947838B2 (ja) * 2014-07-04 2016-07-06 エヌ・ティ・ティ・コミュニケーションズ株式会社 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム
US10135633B2 (en) * 2015-04-21 2018-11-20 Cujo LLC Network security analysis for smart appliances
GB201603118D0 (en) * 2016-02-23 2016-04-06 Eitc Holdings Ltd Reactive and pre-emptive security system based on choice theory
TWI634769B (zh) * 2016-09-20 2018-09-01 中華電信股份有限公司 Method for detecting domain name transformation botnet through proxy server log
CN108418777A (zh) * 2017-02-09 2018-08-17 中国移动通信有限公司研究院 一种钓鱼邮件检测方法、装置及系统
US10778699B1 (en) * 2017-04-17 2020-09-15 Verizon Digital Media Services Inc. Network attack mitigation based on distributed packet analysis
CN107231364B (zh) * 2017-06-13 2020-06-09 深信服科技股份有限公司 一种网站漏洞检测方法及装置、计算机装置及存储介质
US10038715B1 (en) * 2017-08-01 2018-07-31 Cloudflare, Inc. Identifying and mitigating denial of service (DoS) attacks
CN107483488B (zh) * 2017-09-18 2021-04-30 济南互信软件有限公司 一种恶意Http检测方法及系统
US10498658B2 (en) * 2017-10-23 2019-12-03 Citrix Systems, Inc. Systems and methods for first packet application classification
CN107733921A (zh) * 2017-11-14 2018-02-23 深圳中兴网信科技有限公司 网络流量异常检测方法、装置、计算机设备和存储介质
US10805320B1 (en) * 2018-06-15 2020-10-13 Trend Micro Incorporated Methods and systems for inspecting encrypted network traffic

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8879388B2 (en) * 2006-05-30 2014-11-04 Broadcom Corporation Method and system for intrusion detection and prevention based on packet type recognition in a network
US20140101764A1 (en) * 2012-10-05 2014-04-10 Rodrigo Ribeiro Montoro Methods and apparatus to detect risks using application layer protocol headers
CN103916288A (zh) * 2013-12-27 2014-07-09 哈尔滨安天科技股份有限公司 一种基于网关与本地的Botnet检测方法及系统

Also Published As

Publication number Publication date
CN111131137A (zh) 2020-05-08
US11057403B2 (en) 2021-07-06
TW202019140A (zh) 2020-05-16
CN111131137B (zh) 2022-05-24
US20200145435A1 (en) 2020-05-07

Similar Documents

Publication Publication Date Title
TWI729320B (zh) 可疑封包偵測裝置及其可疑封包偵測方法
Wang et al. An entropy-based distributed DDoS detection mechanism in software-defined networking
TWI648650B (zh) 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體
TWI674777B (zh) 異常流量偵測裝置及其異常流量偵測方法
US10135844B2 (en) Method, apparatus, and device for detecting e-mail attack
EP2863611B1 (en) Device for detecting cyber attack based on event analysis and method thereof
US20190034631A1 (en) System and method for malware detection
WO2021139643A1 (zh) 加密攻击网络流量检测方法,其装置及电子设备
US7140041B2 (en) Detecting dissemination of malicious programs
EP2725512A1 (en) System and method for malware detection using multi-dimensional feature clustering
JP6701390B2 (ja) ネットワーク攻撃防御システムおよび方法
CN110166480B (zh) 一种数据包的分析方法及装置
KR20130017089A (ko) 애플리케이션 프로토콜 식별 방법 및 장치
Alotibi et al. User profiling from network traffic via novel application-level interactions
Shahrestani et al. Architecture for applying data mining and visualization on network flow for botnet traffic detection
EP4033717A1 (en) Distinguishing network connection requests
Mimura et al. Leaving all proxy server logs to paragraph vector
TW202008749A (zh) 網名過濾方法
Catak Two-layer malicious network flow detection system with sparse linear model based feature selection
CN109257384B (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
Mahardhika et al. An implementation of Botnet dataset to predict accuracy based on network flow model
Lu et al. Network security situation awareness based on network simulation
TW201947442A (zh) 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體
Rostami et al. Botnet evolution: Network traffic indicators
Hsiao et al. Detecting stepping‐stone intrusion using association rule mining