CN101155082A - 可检测出异常网络封包的方法 - Google Patents
可检测出异常网络封包的方法 Download PDFInfo
- Publication number
- CN101155082A CN101155082A CNA2006101418867A CN200610141886A CN101155082A CN 101155082 A CN101155082 A CN 101155082A CN A2006101418867 A CNA2006101418867 A CN A2006101418867A CN 200610141886 A CN200610141886 A CN 200610141886A CN 101155082 A CN101155082 A CN 101155082A
- Authority
- CN
- China
- Prior art keywords
- network
- packet
- port number
- source
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000002159 abnormal effect Effects 0.000 claims abstract description 42
- 241000700605 Viruses Species 0.000 description 7
- 230000002155 anti-virotic effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 241000282414 Homo sapiens Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 229940079593 drug Drugs 0.000 description 1
- 239000003814 drug Substances 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种可检测出异常网络封包的方法,应用在一网络上的封包分配单元,封包分配单元可对一外部网络上的多个网络装置分别进行多个网络封包的交换工作,同时封包分配单元分别记录至少两个时段内特定的输出网络封包的目的位置、目的端口号码及网络封包的一输出时间,封包分配单元同时比对不同时段内的网络封包是否具有相同输出时间、相同目的位置及相同目的端口号码的数据,若有,则封包分配单元发出一警告报告。
Description
技术领域
本发明涉及网络安全技术,特别涉及一种可检测出异常网络封包的方法。
背景技术
一个电子产业蓬勃发展的信息时代正与我们的生活逐渐融合,各种网络技术所衍生的电子产品着实为人类的科技发展带来了莫大的突破性,随着当今网络产品的不断研发与精进,相关网络安全的话题及考虑便显得更加的重要,尤其是当今网际网络及各大企业及组织的服务器入口往往受到黑客(Hacker)释放病毒(Virus)、网络蠕虫(Worm)或间谍软件(Spyware如:特洛伊病毒Troy)欲窃取内部信息或加以破坏的行为屡见不穷,使得各大防毒软件企业于网络安全市场上的竞争也越来越激烈。
目前各大防毒软件企业针对一般黑客所发出的间谍软件(Spyware),都有推出对应间谍软件的病毒码的检测软件,这些检测软件可将已发现的间谍软件予以检测并对使用者发出警告,并予以解除,通常所述间谍软件于服务器内开始发作,经网管人员通报至各大防毒软件企业后,依此种间谍软件的病毒码再对症下药而完成的检测软件,然而,面对新一代完全新品种的间谍软件,必须要等到防毒软件企业找到所述间谍软件的相关信息再写成病毒码时,数据已被窃取一段很长的时间,所造成的伤害往往无法弥补,因此,未来各大企业及组织的服务器面对新一代的间谍软件只能消极的等待植入的间谍软件发作,且被网管人员发现后,才能对所述间谍软件采取对应手段,对企业造成相当大的不便及困扰,因此,如何设计出一种可检测出异常网络封包的方法,实乃目前刻不容缓而亟待解决的一重要课题。
发明内容
因此,本发明的主要目的在于提供一种可检测出异常网络封包的方法,应用可对外部网络的多个网络装置分别进行多个网络封包的交换工作的一封包分配单元,该封包分配单元分别至少记录多个时段内特定输出网络封包的一目的位置、目的端口号码及输出时间,再找出相同输出时间且被重复输出至相同目的位置及目的端口号码的网络装置的所述多个网络封包,则所述封包分配单元即发出一警告报告。
一种可检测出异常网络封包的方法,应用在网络上的一封包分配单元,该封包分配单元可与一外部网络上的多个网络装置交换多个网络封包,所述多个网络封包内包含一目的位置、一目的端口号码、一来源位置及一来源端口号码;所述方法包含下列步骤:
分别记录至少两个时段内特定的输出网络封包的所述目的位置、目的端口号码及一输出时间;
比对不同时段内是否具有相同输出时间、相同目的位置及相同目的端口号码的数据;及
若是,则所述封包分配单元即发出一警告报告。
其中每一时段内的所述多个特定的输出网络封包的所述目的位置、目的端口号码及输出时间,记录至一输出封包数据模块内。
还包含下列步骤:
定义具有相同的目的位置、目的端口号码及输出时间的所述多个特定的网络封包为异常网络封包;
将所述多个异常网络封包记录至一异常警示模块内;
使所述异常警示模块表示一画面并显示至一显示器上。
其中,
所述不同时段的数据以取交集的方式进行比对。
对比方法包括:该封包分配单元还包括有一过滤表,该过滤表内的数据用以供所述封包分配单元判断不需记录的正常网络封包的依据,所述特定的输出网络封包,不符合所述过滤表的数据;或是,所述输出网络封包包含一网络封包序号(TCP Sequence Number),所述特定的输出网络封包,为任何第一个具有相同所述网络封包序号的输出网络封包。
还有对所述至少两个时段的所述多个特定的输出网络封包,还记录所述来源位置及来源端口号码,本方法更进一步包含下列步骤:
将所述多个异常网络封包的来源位置、来源端口号码记录至所述异常警示模块内;
依据所述异常警示模块内所述来源位置及来源端口号码,找出发出所述网络封包的一应用程序;及
将所述应用程序的一存在位置输入至所述异常警示模块中。
综上所述,本发明开发设计出一种可检测出异常网络封包的方法,通过提早防堵所述多种间谍软件的动作,预防所带来的伤害。并且,本发明的可检测出异常网络封包的方法,还具有主动检测、缩短发现问题的时间、方法方便灵活等优点。
附图说明
图1为本发明的方块示意图;
图2为本发明输出封包数据模块的示意图;
图3为本发明封包分配单元比对输出网络封包的流程图;
图4为本发明封包分配单元利用暂存表比对输出网络封包的流程图;
图5为本发明封包分配单元比对输出网络封包序号的流程图;
图6为本发明过滤表的示意图;
图7为本发明封包分配单元过滤表比对输出网络封包的流程图;
图8为本发明异常警示模块的示意图。
主要组件符号说明:
1 封包分配单元
10 存储器
11 驱动模块
12 输出封包数据模块
121 序号字段
122、132、152 来源位置字段
123、133、153 来源端口号码字段
124、134、154 目的位置字段
125、135、155 目的端口号码字段
126、136 输出时间字段
13 异常警示模块
137 应用程序字段
14 暂存表
15 过滤表
30 显示器
40 输入接口
200 外部网络
300 网络装置
具体实施方式
以下结合附图对本发明进行详细说明。
图1所示,应用在网络上的一封包分配单元1,封包分配单元1(如服务器,server或网络卡,Network Card)可接受多个网络封包,并使其与一外部网络200(如:网际网络)上的多个网络装置300(如:服务器,server)分别进行交换工作,同时封包分配单元1在分配此多个网络封包至这些网络装置300时,分别逐一对各网络封包进行解封装(Decapsulation)以取得这些网络封包内的一前置数据(Header)的一序号(TCP Sequence Number),一来源位置(Source IP Address)、一来源端口号码(Source Port Number)、一目的位置(Destination IP Address)及一目的端口号码(Destination PortNumber),并且分别记录至少两个时段内特定的输出网络封包的目的位置、目的端口号码及网络封包的一输出时间(Post Time),封包分配单元1同时比对不同时段内的网络封包是否具有相同输出时间、相同目的位置及相同目的端口号码的数据,若有,则封包分配单元1发出一警告报告,以警告异常网络封包的发生。
本发明的一较佳实施例中,请参见图1、2所示,封包分配单元1包括有一驱动模块11,驱动模块11可为一驱动程序(Driver),设于封包分配单元1内,且封包分配单元1于内或外接设有一存储器10,存储器10内可设有一输出封包数据模块12及一异常警示模块13,输出封包数据模块12用以记录所输出的网络封包的数据,例如一序号(TCP Sequence Number)字段121、一来源位置(Source IP)字段122、一来源端口号码(Source Port Number)字段123、一目的位置(Destination IP)字段124、一目的端口号码(Destination Port Number)字段125及一输出时间(Post Time)字段126。
请参见图3所示,封包分配单元1于所述多个时段内进行以下步骤:
(201)在第一时段内,若发生输出网络封包的事件,则封包分配单元1将这些特定的输出网络封包的序号、来源位置、来源端口号码、目的位置、目的端口号码及输出时间记录至输出封包数据模块12内;
(202)在第二时段内,若发生输出网络封包的事件,则封包分配单元1将这些特定的输出网络封包的序号、来源位置、来源端口号码、目的位置、目的端口号码及输出时间至所述输出封包数据模块12内;
(203)以布尔逻辑(Boolean Logic)的模式中的交集(AND)的方式比对第一时段与第二时段内输出的网络封包的目的位置、目的端口号码及输出时间,判断这些网络封包是否具有相同的目的位置、目的端口号码及输出时间,若是,则进行步骤(204),否则,结束本流程。
(204)将具有相同目的位置、目的端口号码及输出时间的各网络封包定义为一异常网络封包并记录至一异常警示模块13内;
(205)使异常警示模块13表示一画面并显示至一显示器30上。
由于输出的网络封包因巧合或种种原因,于两时段内于相同时间输出网络封包至相同的网络装置300时常发生,为避免巧合,或提高准确性,因此,本发明的方法可以对三个时段或更多时段内所记录的输出网络封包的数据来进行比对,其比对方法是将不同时段所记录的数据取交集来比对。
本方法的另一实施方式,是比对三个时段所记录的输出网络封包数据,请参见图4所示,封包分配单元1进行以下步骤:
(301)将第一时段内与第二时段内输出网络封包的封包的序号、来源位置、来源端口号码、目的位置、目的端口号码及输出时间等记录进行比对,并将交集后的结果(包含此多个网络封包的目的位置、目的端口号码及输出时间)记录至存储器10内的一暂存表14内;
(302)在第三时段内,若发生输出网络封包的事件,则封包分配单元1将输出网络封包的目的位置、目的端口号码及输出时间至输出封包数据模块12内;
(303)将暂存表14的数据与第三时段所记录所述多个网络封包的目的位置、目的端口号码及输出时间进行比对,判断是否有相同目的位置、目的端口号码及输出时间的网络封包,若是,则进行步骤(304),否则,结束本流程。
(304)将具有相同目的位置、目的端口号码及输出时间的网络封包定义为异常网络封包并记录至异常警示模块13内;
(305)使异常警示模块表示一画面并显示至显示器30上。
请参见图1所示,由于欲传送至各网络装置300的单一数据会切割成多数个的网络封包,且单一数据所切割成的网络封包均具有相同的序号(TCPSequence Number),若为找出异常程序所发出的异常数据,而将所有具有相同序号的所述多个网络封包予以记录于输出封包数据模块12内,将造成所述封包分配单元1大量的资源浪费,为不需将所有属于相同前置数据的所述多个网络封包均记录于输出封包数据模块12,以防止浪费大量资源用以记录相同序号的重复,所述封包分配单元1依据各所述网络封包的序号是否一致,来判断是否为同一数据的封包,上述特定的输出网络封包,可被定义为任何第一个具有相同网络封包序号的输出网络封包。请参见图5所示,因此当所述封包分配单元1于各时段内记录所述多个网络封包的目的位置、目的端口号码及输出时间前,所述封包分配单元1依以下步骤进行处理:
(401)读取对外输出网络封包的前置数据内的序号;
(402)读取对外输出另一网络封包的前置数据内的序号;
(403)判断所述多个网络封包的序号是否相同,若是,则进行步骤(404),否则,进行步骤(405);
(404)不记录所述网络封包的目的位置、目的端口号码及输出时间至输出封包数据模块12内。
(405)记录所述网络封包的目的位置、目的端口号码及输出时间至输出封包数据模块12内。
上述的实施例中,请参见图1、6所示,为加速所述封包分配单元1本身记录各所述网络封包数据的效率,所述存储器10内还包括有一过滤表15,该过滤表15内的数据用以供所述封包分配单元1判断(如:来源处位置或目地处位置)不需记录的正常网络封包的依据,所述的特定的输出网络封包,可被定义为任何不符合所述过滤表15内所记录的数据,过滤表15包括一来源位置(Source IP)字段152、一来源端口号码(Source Port Number)字段153、一目的位置(Destination IP)字段154及一目的端口号码(Destination PortNumber)字段155,过滤表15也可于显示器30提供一输入接口40,以供使用者随时更改正常传输动作的网络封包的数据,如此,请参见图7所示,当所述封包分配单元1对外输出一网络封包,依以下步骤进行处理:
(601)取得网络封包的来源位置、来源端口号码、目的位置及目的端口号码;
(602)判断欲输出网络封包的目的位置及目的端口号码是否与过滤表15内的数据相符,若是,则进行步骤(603),否则,进行步骤(604);
(603)不使网络封包的目的位置及目的端口号码记录至输出封包数据模块12内。
(604)使网络封包的数据记录至输出封包数据模块12内。
请参见图1、8所示,异常警示模块13可为存储器10内的一异常警示表,包括一来源位置字段132、一来源端口号码字段133、一目的位置字段134、一目的端口号码字段135、一输出时间字段136及一应用程序(Program)字段137,当封包分配单元1将各所述异常网络封包的目的位置、目的端口号码及输出时间记录至异常警示模块13时,对至少两个时段的这些特定的输出网络封包,还记录来源位置及来源端口号码,而封包分配单元1依据异常警示模块13内来源位置字段132及来源端口号码字段133的目的位置及目的端口号码,找出发出网络封包的一应用程序,将应用程序的一存在位置(File Path)输入至异常警示模块的应用程序字段137中。
以上具体实施方式仅用于说明本发明,而非用于限定本发明。
Claims (8)
1.一种可检测出异常网络封包的方法,其特征在于,应用在网络上的一封包分配单元,该封包分配单元可与一外部网络上的多个网络装置交换多个网络封包,所述多个网络封包内包含一目的位置、一目的端口号码、一来源位置及一来源端口号码;所述方法包含下列步骤:
分别记录至少两个时段内特定的输出网络封包的所述目的位置、目的端口号码及一输出时间;
比对不同时段内是否具有相同输出时间、相同目的位置及相同目的端口号码的数据;及
若是,则所述封包分配单元即发出一警告报告。
2.根据权利要求1所述方法,其特征在于,其中每一时段内的所述多个特定的输出网络封包的所述目的位置、目的端口号码及所述输出时间,纪录至一输出封包数据模块内。
3.根据权利要求2所述方法,其特征在于,进一步包含下列步骤:
定义具有相同的目的位置、目的端口号码及输出时间的所述多个特定的网络封包为异常网络封包;
将所述多个异常网络封包记录至一异常警示模块内;及
使所述异常警示模块表示一画面并显示至一显示器上。
4.根据权利要求2所述方法,其特征在于,其中所述不同时段的数据以取交集的方式进行比对。
5.根据权利要求4所述方法,其特征在于,其中所述封包分配单元还包括有一过滤表,该过滤表内的数据用以提供所述封包分配单元判断不需记录的正常网络封包的依据,所述特定的输出网络封包,不符合所述过滤表的数据。
6.根据权利要求4所述方法,其特征在于,其中所述输出网络封包包含一网络封包序号,所述特定的输出网络封包,为任何第一个具有相同所述网络封包序号的输出网络封包。
7.根据权利要求5所述方法,其特征在于,其中对所述至少两个时段的所述多个特定的输出网络封包,还记录所述来源位置及来源端口号码,本方法更进一步包含下列步骤:
将所述多个异常网络封包的来源位置、来源端口号码记录至所述异常警示模块内;
依据所述异常警示模块内所述来源位置及来源端口号码,找出发出所述网络封包的一应用程序;及
将该应用程序的一存在位置输入至所述异常警示模块中。
8.根据权利要求6所述方法,其特征在于,其中对所述至少两个时段的所述多个特定的输出网络封包,还记录所述来源位置及来源端口号码,本方法更进一步包含下列步骤:
将所述多个异常网络封包的来源位置、来源端口号码记录至所述异常警示模块内;
依据所述异常警示模块内所述来源位置及来源端口号码,找出发出所述网络封包的一应用程序;及
将该应用程序的一存在位置输入至所述异常警示模块中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006101418867A CN101155082A (zh) | 2006-09-30 | 2006-09-30 | 可检测出异常网络封包的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006101418867A CN101155082A (zh) | 2006-09-30 | 2006-09-30 | 可检测出异常网络封包的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101155082A true CN101155082A (zh) | 2008-04-02 |
Family
ID=39256534
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006101418867A Pending CN101155082A (zh) | 2006-09-30 | 2006-09-30 | 可检测出异常网络封包的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101155082A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101989979A (zh) * | 2009-07-30 | 2011-03-23 | 雷凌科技股份有限公司 | 封包辨识的方法与装置 |
| CN113489773A (zh) * | 2021-06-30 | 2021-10-08 | 未鲲(上海)科技服务有限公司 | 数据接入方法、装置、设备及介质 |
-
2006
- 2006-09-30 CN CNA2006101418867A patent/CN101155082A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101989979A (zh) * | 2009-07-30 | 2011-03-23 | 雷凌科技股份有限公司 | 封包辨识的方法与装置 |
| CN113489773A (zh) * | 2021-06-30 | 2021-10-08 | 未鲲(上海)科技服务有限公司 | 数据接入方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11089045B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US10609079B2 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
| US10594714B2 (en) | User and entity behavioral analysis using an advanced cyber decision platform | |
| US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US7551073B2 (en) | Method, system and program product for alerting an information technology support organization of a security event | |
| CN105409164B (zh) | 通过使用硬件资源来检测网络业务中的矛盾的根套件检测 | |
| US7260844B1 (en) | Threat detection in a network security system | |
| JP4327698B2 (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
| US20170093902A1 (en) | Detection of security incidents with low confidence security events | |
| US20160164916A1 (en) | Automated responses to security threats | |
| EP1628222A2 (en) | Software operation monitoring apparatus and software operation monitoring method | |
| US20100169973A1 (en) | System and Method For Detecting Unknown Malicious Code By Analyzing Kernel Based System Actions | |
| US20210281609A1 (en) | Rating organization cybersecurity using probe-based network reconnaissance techniques | |
| US20080137542A1 (en) | Method for detecting abnormal network packets | |
| WO2019144548A1 (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| JP2019028891A (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| CN112769775A (zh) | 一种威胁情报关联分析方法、系统、设备及计算机介质 | |
| JP4242852B2 (ja) | ログ集計支援装置、ログ集計支援システム、ログ集計支援プログラム、およびログ集計支援方法 | |
| CN101155082A (zh) | 可检测出异常网络封包的方法 | |
| EP1378813A2 (en) | Security policy enforcement systems | |
| WO2022097432A1 (ja) | サイバー攻撃シナリオ生成方法、および装置 | |
| EP3679506A2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
| WO2021144978A1 (ja) | 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム | |
| KR20190020523A (ko) | 로그 분석을 이용한 공격 탐지 장치 및 방법 | |
| US12034757B2 (en) | Analysis system, method, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |