CN102136956A - 检测网络通讯行为的监测方法及其系统 - Google Patents
检测网络通讯行为的监测方法及其系统 Download PDFInfo
- Publication number
- CN102136956A CN102136956A CN2010100028668A CN201010002866A CN102136956A CN 102136956 A CN102136956 A CN 102136956A CN 2010100028668 A CN2010100028668 A CN 2010100028668A CN 201010002866 A CN201010002866 A CN 201010002866A CN 102136956 A CN102136956 A CN 102136956A
- Authority
- CN
- China
- Prior art keywords
- program
- grouping information
- information
- network communication
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
一种检测网络通讯行为的监测方法及其系统。该检测网络通讯行为的监测方法,藉由分析无法识别应用层通讯协议的分组信息,以判别产生前述分组信息的终端设备是否发生异常网络通讯行为。该方法包括下列步骤:撷取由终端设备所发出的多个分组信息,其中分组信息包括所采用的应用层通讯协议;检查分组信息所采用的应用层通讯协议是否能被识别;若分组信息所采用的应用层通讯协议无法被识别时,撷取此分组信息作为判别终端设备是否发生异常网络通讯行为的依据。
Description
技术领域
本发明涉及一种网络监控技术,特别是涉及一种检测异常网络通讯行为的网络监控技术。
背景技术
因特网已成为社会上另外一种信息传播与交流的媒介工具。由于因特网具有实时性、便利性、普及性等等,愈来愈多人的生活形态从现实社会中逐渐融入虚拟世界,诸多网络应用如网络购物、部落格、搜寻引擎等逐渐为社会大众所接受,甚至赖以维生。
就现今的因特网架构而言,使用最广泛的网络通讯协议为传输控制协议和因特网协议(Transmission Control Protocol and Internet Protocol,TCP/IP)。此协议的通讯协议结构依照开放系统连结模式(Open SystemsInterconnection,OSI)的七层链接架构将TCP/IP的通讯结构划分为以下五层:物理层、链接层、因特网层、传输层、应用层。其中,应用层负责提供各种服务给应用程序(Application Processes),使其能够利用应用层所提供的功能来达到和因特网交换信息的目的。举例而言,与应用层相对应的协议有:HTTP(Hyper Text Transfer Protocol,超文件传输协议)、FTP(File TransferProtocol,文件传输协议)、SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)以及许多其它协议。上述常用的通讯协议通常具有固定的通讯连接端口(Port),以作为终端设备中客户端与服务器端联系与传输信息的依据。但由于应用程序愈来愈多,所使用的通讯协议多数为程序自定的通讯协议,因此许多通讯协议并无固定的通讯连接端口。
由于因特网的蓬勃发展,除了促进全球的信息交流外,亦加速计算机病毒与恶意软件的流窜与传染。计算机病毒是指破坏计算机功能或者毁坏数据,进而影响计算机使用,并能自我复制的计算机应用程序。恶意软件则是指未经使用者许可的情况下,在使用者计算机或其它终端机上执行以侵犯使用者合法权益为目的的软件。
上述两种恶意程序有部分以偷窃使用者在计算机中的个人信息(如:使用者账号密码、通讯簿、侧录键盘信息等)为目的,或者藉由远程监控使用者的计算机以作为网络跳板等恶意用途时,必须与网络上的其它计算机或终端机联络以传输信息。由于计算机病毒与恶意软件的程序文件通常较小而难以察觉,因此难以使用复杂的通讯协议作为信息传输的途径,如MSN(Microsoft Network,微软公司网络协议)、SSL(Secure Socket Layer,安全保密协议)等通讯协议。
此外,这些恶意程序经常使用自行设计的通讯协议作为数据传输的方式,这些通讯协议不符合因特网共通的技术规格(如RFC)或现有的常用的应用层通讯协议(如Skype、Foxy、Bittorrent、eMule),其主因是防毒软件或防火墙对于未知的通讯协议与联机仅能将其全部阻挡或者全部开放两种选择。而许多通讯协议的客户端程序常常使用非固定式通讯连接端口作为通讯依据,导致防毒软件或防火墙若将未知的通讯协议与联机全部阻挡,会连带地阻挡住许多善意的应用程序。据此,使用者通常会把防毒软件或防火墙设定为「将未知的通讯协议与联机全部开放」的模式,导致恶意程序便可藉由上述漏洞而将重要的公司或私人信息传输至因特网上,防毒软件与防火墙于此时毫无效用可言。
此外,现有的主机型监控软件大部分针对操作系统内的系统日志(Log)作监控,当系统日志中出现异常时,主机型监控软件会依据情况将异常的恶意软件作防护或者删除该程序的动作,以维护系统安全。但操作系统的系统日志所记录的事项并不全面,仅针对大部分修改主机重要设定时才会记录,而例如文件的存取记录、文件权限的修改等更改不会出现在系统日志上。
而且许多恶意程序会将系统日志的记录功能关闭,使得主机型监控软件变成毫无意义。目前仅有少数软件能够全面地监控终端设备上所有的变更,但也仅能记录其变更以便于用在日后追查使用,而无法有效地将监控记录作为立即确认恶意程序活动的依据。
发明内容
本发明提供一种检测网络通讯行为的监测方法,藉由分析无法识别应用层通讯协议的分组信息,以判别产生前述分组信息的终端设备是否发生异常网络通讯行为,藉此排除恶意程序的侵扰。本发明实施例所称的无法识别,是指:「通讯协议不符合因特网共通的技术规格(如RFC)或已知常用的应用层通讯协议(如Skype、Foxy、Bittorrent、eMule)。」
本发明提供另一种检测网络通讯行为的监测方法,藉由分析无法识别应用层通讯协议的分组信息以及在终端设备中无法识别的程序信息并作交叉比对,来判别前述程序是否为发生异常网络通讯行为的来源。
从另一观点而言,本发明提供一种检测网络通讯行为的监测系统,利用未知应用层通讯协议的分组信息来判别是否发生异常网络通讯行为。
再从另一观点而言,本发明提供另一种检测网络通讯行为的监测系统,利用无法识别应用层通讯协议的分组信息以及在终端设备中无法识别的程序信息坐标作交叉比对,以判别前述程序是否为发生异常网络通讯行为的来源。
本发明提出一种检测网络通讯行为的监测方法,其包括撷取由终端设备所发出的分组信息,其中各分组信息包括所采用的应用层通讯协议。此外,检查各分组信息所采用的应用层通讯协议是否能被识别。据此,若上述分组信息中的第一分组信息所采用的应用层通讯协议无法被识别时,撷取此第一分组信息作为判别终端设备是否发生异常网络通讯行为的依据。
在本发明的一实施例中,上述的监测方法还包括监控该终端设备所执行的多个程序。此外,检查各该程序是否能被识别。并且,若前述程序中的第一程序无法被识别时,撷取此第一程序的信息。藉此,交叉比对第一程序的信息与第一分组信息以判别第一程序是否为一恶意程序。
在本发明的一实施例中,交叉比对第一程序的信息与第一分组信息,以判别第一分组信息是否由第一程序所发出的步骤当中,包括比对第一程序的执行时间与终端设备发出前述分组信息的时间是否相同。
在本发明的一实施例中,交叉比对第一程序的信息与第一分组信息,以判别第一分组信息是否由第一程序所发出的步骤当中,包括比对第一程序内的通讯连接端口与第一分组信息的来源/目的地连接端口是否相同。
在本发明的一实施例中,检查各程序是否能被识别的步骤当中,包括检查程序的散列(hash)值是否位于数据库内。藉此,若程序的散列值并未在数据库内,或数据库识别出程序属于恶意程序时,将前述程序视为无法识别。
在本发明的一实施例中,检查各程序是否能被识别的步骤当中,包括检查程序的文件名称是否位于数据库内。藉此,若程序的文件名称并未在数据库内,或数据库识别出程序的文件名称属于恶意程序时,将前述程序视为无法识别。
在本发明的一实施例中,检查各程序是否能被识别的步骤当中,包括检查程序的机器码(Machine code)是否位于数据库内。藉此,若程序的机器码并未在数据库内,或数据库识别出程序的机器码属于恶意程序时,将前述程序视为无法识别。
本发明提出另一种检测网络通讯行为的监测方法,其包括撷取由终端设备所发出的多个分组信息,其中各分组信息包括所采用的应用层通讯协议。此外,检查各分组信息所采用的应用层通讯协议是否能被识别。并且,若上述分组信息的第一分组信息所采用的应用层通讯协议无法被识别时,撷取第一分组信息,此处所撷取的第一分组信息例如:来源网络地址/通讯连接端口(Source IP/Port)、目的地网络地址/通讯连接端口(DestinationIP/Port)、时间标记(Timestamps)等。另外,根据第一分组的信息,交叉比对监控终端设备所执行的多个程序。接着,检查各程序是否能被识别。若前述程序中的第一程序无法被识别时,撷取第一程序的信息。藉此,交叉比对第一程序的信息与第一分组信息以判别第一分组信息是否由第一程序所发出。
从另一角度来看,本发明提出一种检测网络通讯行为的监测系统,其包括网络监控模块与信息比对模块。网络监控模块用以撷取由终端设备所发出的多个分组信息,其中各分组信息包括所采用的应用层通讯协议,并且检查各分组信息所采用的应用层通讯协议是否能被识别,若前述分组信息的第一分组信息所采用的应用层通讯协议无法被网络监控模块识别时,撷取第一分组信息。信息比对模块用以依第一分组信息来判别终端设备是否发生异常网络通讯行为。
在本发明的一实施例中,上述的监测系统还包括一终端监控模块,用以监控终端设备所执行的多个程序,并检查各该程序是否能被识别。若前述程序中的第一程序无法被终端监控模块所识别时,则撷取第一程序的信息。信息比对模块交叉比对第一程序的信息与第一分组信息以判别第一程序是否为一恶意程序。
在本发明的一实施例中,上述监测系统还包括一防火墙模块,用以停止第一程序的网络联机。
再从另一观点而言,本发明提出另一种检测网络通讯行为的监测系统,其包括网络监控模块、终端监控模块与信息比对模块。网络监控模块用以撷取由终端设备所发出的多个分组信息,其中各个分组信息包括所采用的应用层通讯协议,并且检查各个分组信息所采用的应用层通讯协议是否能被网络监控模块识别。若上述分组信息的第一分组信息所采用的应用层通讯协议无法被网络监控模块识别时,则撷取第一分组信息。终端监控模块用以监控终端设备所执行的多个程序,并检查各程序是否能被终端监控模块识别。若前述程序中的第一程序无法被终端监控模块识别时,则撷取第一程序的信息。信息比对模块藉由交叉比对第一程序的信息与第一分组信息来判别第一分组信息是否由第一程序所发出。
基于上述,本发明的实施例利用无法识别应用层通讯协议的分组信息以及在终端设备中无法识别的程序信息作交叉比对,来判别前述程序是否为发生异常网络通讯行为的来源。因此,可藉此判断来针对终端设备以及前述程序作相对应的后续动作,以避免恶意程序对本身或其它终端设备造成更加严重的伤害,并藉此排除恶意程序的侵扰。举例而言,后续动作可为利用防火墙模块将前述程序的网络联机关闭,或者停止终端设备内正在执行的前述程序。
为使本发明的上述特征和优点能更明显易懂,下文特举实施例,并结合附图详细说明如下。
附图说明
图1是依照本发明一实施例说明检测网络通讯行为的监测系统示意图。
图2是依照本发明一实施例说明检测网络通讯行为的监测方法的流程图。
附图符号说明
100:检测网络通讯行为的监测系统
110_1~110_N:终端设备
120:网络监控模块
130:终端监控模块
140:信息比对模块
150:因特网
160:防火墙模块
S210、S220、S230、S240、S250、S260、S270、S280:步骤
具体实施方式
请参照图1,图1是依照本发明一实施例说明检测网络通讯行为的监测系统示意图。检测网络通讯行为的监测系统100包括网络监控模块120、终端监控模块130与信息比对模块140。于本实施例中,检测网络通讯行为的监测系统100可同时监测多台终端设备110_1~110_N,在此以终端设备110_N所发出的分组信息以及终端设备110_N内执行的程序作为范例以清楚说明本实施例的作动方式。其中,终端设备110_1~110_N可为个人计算机、智能型手机及服务器等可供连接至因特网150的电子装置。
网络监控模块120可撷取由终端设备110_1~110_N所发出的多个分组信息,每个分组信息内各自包括所采用的应用层通讯协议,N为整数且N≥1。其中,网络监控模块120检查各个分组信息所采用的应用层通讯协议是否能被识别。本发明实施例所称的无法被识别,是指:「通讯协议不符合因特网共通的技术规格(如RFC)或已知常用的应用层通讯协议(如Skype、Foxy、Bittorrent、eMule等)」。若由终端设备110_N发出的多个分组信息内包括一第一分组信息,而此第一分组信息所采用的应用层通讯协议无法被网络监控模块120所识别时,撷取此第一分组信息作为判别该终端设备是否发生异常网络通讯行为的依据。举例而言,可撷取第一分组信息内的来源网络地址/通讯连接端口(Source IP/Port)、目的地网络地址/通讯连接端口(Destination IP/Port)、时间标记(Timestamps)等作为判别依据。
此处的网络监控模块120于本实施例中位于具有终端设备110_1~110_N的局域网络的网络集线器(Hub)中以拦截分组信息,并且判断所拦截的分组信息所采用的应用层通讯协议是否能被识别。网络监控模块120亦可位于终端设备110_1~110_N至因特网150中任何一段网络线路上以藉此拦截并且识别前述的分组信息,应用本实施例者可依其设计需求而作相对应的变更。
其中,本实施例于识别分组信息中应用层通讯协议的方式主要利用分组信息内的通讯连接端口与网络监控模块120内的通讯协议数据库作比对。若无法藉由通讯连接端口取得所拦截的分组信息的通讯协议,可利用分组信息的标头(Header)格式作为判断依据,若上述两种方式均无法判断分组信息的通讯协议,则将此分组信息视为无法识别。在此请注意,本发明可以应用任何可能的方法,来识别分组信息的通讯协议,不应仅以前述方式为限。
终端监控模块130于本实施例中可监控终端设备110_1~110_N所执行的多个程序,并检查各个程序是否能被终端监控模块130识别。若在终端设备110_N所执行的多个程序中的第一程序无法被终端监控模块130识别时,撷取此第一程序的信息。
于本实施例中,终端监控模块130包括一个应用程序数据库,其内拥有众多已知的应用程序信息,用以判断前述多个程序是否为无法识别的程序。当前述第一程序的信息与应用程序数据库作比对后被判断为无法识别时,表示此第一程序不是已知的应用程序,可藉此判断此第一程序有很高的机率为恶意程序。
而于其它实施例中,应用程序数据库中亦可包括一恶意程序数据库,其将已知的恶意程序信息整理成为数据库型态,终端监控模块130可藉此恶意程序数据库来识别前述第一程序是否为恶意程序。当识别出此第一程序为恶意程序时,终端监控模块130可将此第一程序视为无法识别,以进行本实施例的其它步骤。此外,终端监控模块130于另一实施例中亦可记录终端设备110_1~110_N中的诸多异常行为作为识别的依据,如:系统的记录日志被关闭、创建使用者账号、文件存取记录、具有众多异常网络联机等。此外,若前述第一程序虽可用程序数据库所识别,但第一程序执行的动作超出前述程序的应用范围,亦可将其视为无法识别。
其中,应用程序数据库可藉由程序的文件名称、散列(hush)值或者机器码(Machine code)来识别此程序。终端监控模块130检查程序的文件名称、散列值或者机器码是否位于此应用程序数据库内。若程序的文件名称并未存在于数据库内,或应用程序数据库识别出程序的文件名称、散列值或者机器码属于恶意程序时,将此程序视为无法识别。
此处所述的散列值是由散列算法(Hash Function)计算而得,此散列算法将程序数据打乱混合,以建立一个独特的散列值,此散列值仅与单一程序信息相对应。也就是说,每一个程序的散列值均不相同,因此可藉散列值来识别此程序与应用程序数据库中的已知程序是否相同。
信息比对模块140接收从终端设备110_N所发出的第一分组信息以及在终端设备110_N中执行的第一程序的信息,并依据第一分组信息以及第一程序的信息作交叉比对,以判别第一分组信息是否由此第一程序所发出,并作为判断是否发生异常网络通讯行为的依据。此外,防火墙模块160可在信息比对模块140已判断第一程序是发生异常网络行为的来源后,停止第一程序与因特网150的联机。
在此详细说明符合本发明的实施例的监测系统及其实施方法,请同时参照图1与图2。图2是依照本发明一实施例说明检测网络通讯行为的监测方法的流程图。于步骤S210中,网络监控模块120撷取由终端设备110_1~110_N所发出的多个分组信息,其中分组信息包括所采用的应用层通讯协议。
接着,进入步骤S220,检查前述分组信息所采用的应用层通讯协议是否能被网络监控模块120识别。若终端设备110_N发出的第一分组信息所采用的应用层通讯协议无法被网络监控模块120识别时,进入步骤S230以撷取第一分组信息,作为判别终端设备110_N是否发生异常网络通讯行为的依据。
此外,于步骤S240时,终端监控模块130监控终端设备110_1~110_N所执行的多个程序。接着,于步骤S250中检查前述各个程序是否能被终端监控模块130识别。若终端设备110_N的第一程序无法被监控模块130识别时,进入步骤S260以撷取第一程序的信息。最后,于步骤S270时,交叉比对终端设备110_N中执行的第一程序的信息与终端设备110_N发出的第一分组信息以判别第一分组信息是否由第一程序所发出。
其中,步骤S270内交叉比对第一程序的信息与第一分组信息的方式是藉由常见的恶意程序行为模式以作为交叉比对的依据。举例而言,若于执行中的第一程序为常见的恶意程序时,其通常会开启一个至多个终端设备110_N的网络联机,以接收或传输由因特网150传送的恶意指令。与此同时,恶意程序亦会将收集到的信息(例如使用者的账号密码、键盘侧录信息等)传输至因特网150上。因此,于本实施例中藉由比对第一程序发出分组的执行时间与终端设备110_N发出第一分组信息的时间是否相同以判别此第一分组信息是否由第一程序所发出,并藉此判断第一程序是否为恶意程序。
另一种常见的恶意程序行为模式则是第一程序开启终端设备110_N的网络联机后便依据此网络联机的通讯协议发送第一分组信息。此时,第一程序所开启的网络联机中的来源/目的地连接端口信息便会存在于第一分组信息的通讯连接端口内。因此,于其它实施例中亦可藉由比对第一程序的通讯连接端口与终端设备110_N发出第一分组信息的来源/目的地连接端口是否相同,以判别此第一分组信息是否由第一程序所发出,并藉此判断第一程序是否为恶意程序。
若经由交叉比对后发现第一分组信息确实是由第一程序所发出,便可藉此认定此第一程序为恶意程序的机率相当高。接着进入步骤S280,防火墙模块160藉此而中断第一程序与因特网150的联机。于本实施例中,当已经确认此第一程序具有相当高的机率为恶意程序时,除了可以藉由防火墙模块160来中断联机外,于其它实施例中亦可通知网管人员将终端设备110_N中正在执行或曾经执行的第一程序作相对应的处理,如删除此第一程序、修复终端设备110_N受到恶意程序感染的数据,或者其它动作以消除恶意程序所造成的威胁,应用本实施例者可依其设计需求而作相对应的变动。
为更详细说明本实施例的实施精神,在此再举另一实施例以详细描述交叉比对分组信息以及程序信息的作动方式。本实施例未说明的操作方式与原理已于前述实施例所提及,其中相同的内容不再赘述。请同时参照图1、表(一)与表(二),在此假设网络监控模块120中拦截到部分的分组信息,以及藉由通讯协议数据库来识别分组信息的结果于表(一)中所示。
表(一)
| 标号 | 来源网络地址 | 应用层通讯协议 | 来源通讯连接端口 | 目的通讯连接端口 | 撷取时间 |
| 1 | IP_1 | MSN | sa | da | AM10:05 |
| 2 | IP_2 | FTP | sb | db | AM10:07 |
| 3 | IP_2 | Telnet | sc | dc | AM10:20 |
| 4 | IP_N | HTTP | sd | dd | AM10:32 |
| 5 | IP_N | UnKnown | se | de | AM10:45 |
其中,终端设备110_1所发出的分组信息当中具有来源网络地址IP_1,而终端设备110_2所发出的分组信息当中则具有来源网络地址IP_2,依此类推,终端设备110_N所发出的分组信息当中便具有来源网络地址IP_N。字段「应用层通讯协议」的内容便是依据通讯协议数据库所判别每个分组信息的应用层通讯协议,而「UnKnown」则表示无法识别出此分组信息的网络协议。
此外,终端监控模块130在终端设备110_N内所监控到的程序信息,以及藉由应用程序数据库来识别前述程序信息得出的结果如表(二)所述。
表(二)
| 标号 | 来源地址 | 目的地址 | 来源连接端口 | 目的连接端口 | 程序名称 | 识别结果 | 执行时间 |
| 1 | IP_N | IP_X | A | B | Skype.exe | Y | AM10:15 |
| 2 | IP_N | IP_Y | se | de | ScRipt.exe | N | AM10:45 |
| 3 | IP_N | N/A | N/A | N/A | HashDump.exe | N | AM10:25 |
其中,字段「识别结果」是依据应用程序数据库来判别在终端设备110_N内所监控的程序信息。「Y」表示应用程序数据库可识别此程序为常用程序或者并非恶意程序,而「N」则表示应用程序数据库无法识别此程序,或者此程序属于恶意程序。「N/A」则表示该字段并无填入信息。此外,目的地址「IP_X」与目的地址「IP_Y」所属的终端设备位于网络网络150处,并不位于终端设备110_1~110_N当中。
由表(一)可知,无法识别应用层通讯协议的分组信息是具有来源网络地址IP_N并且标号″5″的终端设备110_N。因此,信息比对模块140便将此标号″5″的分组信息与终端监控模块130所监控的终端设备110_N的程序信息及其识别结果(例如表(二))作交叉比对。于本实施例中,首先比较程序中的执行时间与收到分组信息的时间做比较,由于网络监控模块撷取到此分组信息的时间为上午(AM)10:45,而表(二)中标号″2″的程序执行时间亦为AM10:45,并且其程序无法被终端监控模块130作识别,因此由前述可知此标号″2″所监控的程序「ScRipt.exe」为恶意程序的机率相当高。
除了比较执行时间与撷取分组信息的时间外,亦可利用通讯连接端口与来源/目的地连接端口做为比较是否为恶意程序的依据。由表(一)中标号″5″的分组信息中可知其来源通讯连接端口为「se」,目的通讯连接端口为「de」,而表(二)中标号″2″的监控程序信息的来源通讯端口亦为「se」,而其目的通讯端口亦为「de」。因此程序「ScRipt.exe」便可认定其为发送表(一)中标号″5″的程序,此程序「ScRipt.exe」为恶意程序的机率便相当高。而表(二)中标号″3″的程序「HashDump.exe」由于无法被终端监控模块130所识别,因此也被视为疑似恶意程序。应用本实施例者可依据上述的识别结果将疑似的恶意程序作相对应的动作,如:中断联机、停止并移除此程序、通知网管人员处理等。
综上所述,本发明的实施例利用无法识别应用层通讯协议的分组信息以及在终端设备中无法识别的程序信息作交叉比对,来判别前述程序是否为发生异常网络通讯行为的来源。因此,可藉此判断来针对终端设备以及前述程序作相对应的后续动作,以避免恶意程序对本身或其它终端设备造成更加严重的伤害,并藉此排除恶意程序的侵扰。
虽然本发明已以实施例揭示如上,然其并非用以限定本发明,本领域的技术人员在不脱离本发明的精神和范围的前提下可作若干的更动与润饰,故本发明的保护范围以本发明的权利要求为准。
Claims (12)
1.一种检测网络通讯行为的监测方法,包括:
撷取由一终端设备所发出的多个分组信息,其中各该分组信息包括所采用的一应用层通讯协议;
检查各该分组信息所采用的该应用层通讯协议是否能被识别;以及
若上述分组信息的一第一分组信息所采用的该应用层通讯协议无法被识别时,撷取该第一分组信息作为判别该终端设备是否发生异常网络通讯行为的依据。
2.如权利要求1所述的检测网络通讯行为的监测方法,撷取该第一分组信息以作为判别该终端设备是否发生异常网络通讯行为依据的步骤包括:
监控该终端设备所执行的多个程序;
检查各该程序是否能被识别;
若该程序中的一第一程序无法被识别时,撷取该第一程序的信息;以及
交叉比对该第一程序的信息与该第一分组信息以判别该第一程序是否为一恶意程序。
3.如权利要求2所述的检测网络通讯行为的监测方法,其中交叉比对该第一程序的信息与该第一分组信息以判别该第一分组信息是否由该第一程序所发出的步骤包括:比对该第一程序的执行时间与该终端设备发出该分组信息的时间是否相同。
4.如权利要求2所述的检测网络通讯行为的监测方法,其中交叉比对该第一程序的信息与该第一分组信息以判别该第一分组信息是否由该第一程序所发出的步骤包括:比对该第一程序内的一通讯连接端口与该第一分组信息的一来源/目的地连接端口是否相同。
5.如权利要求2所述的检测网络通讯行为的监测方法,其中检查各该程序是否能被识别的步骤包括:
检查该程序的散列值是否存在于一数据库内;以及
若该程序的散列值并未在该数据库内,或该数据库识别出该程序属于一恶意程序时,将该程序视为无法识别。
6.如权利要求2所述的检测网络通讯行为的监测方法,其中检查各该程序是否能被识别的步骤包括:
检查该程序的文件名称是否位于一数据库内;以及
若该程序的文件名称并未在该数据库内,或该数据库识别出该程序的文件名称属于一恶意程序时,将该程序视为无法识别。
7.如权利要求2所述的检测网络通讯行为的监测方法,其中检查各该程序是否能被识别的步骤包括:
检查该程序的机器码是否位于一数据库内;以及
若该程序的机器码并未在该数据库内,或该数据库识别出该程序的机器码属于一恶意程序时,将该程序视为无法识别。
8.如权利要求2所述的检测网络通讯行为的监测方法,还包括藉由一防火墙模块停止该第一程序的网络联机。
9.如权利要求2所述的检测网络通讯行为的监测方法,还包括停止正在执行的该第一程序。
10.一种检测网络通讯行为的监测系统,包括:
一网络监控模块,用以撷取由一终端设备所发出的多个分组信息,其中各该分组信息包括所采用的一应用层通讯协议,该网络监控模块检查各该分组信息所采用的该应用层通讯协议是否能被识别,若上述分组信息的一第一分组信息所采用的该应用层通讯协议无法被识别时,撷取该第一分组信息;以及
一信息比对模块,用以依据该第一分组信息来判别该终端设备是否发生异常网络通讯行为。
11.如权利要求10所述的检测网络通讯行为的监测系统,还包括一终端监控模块,用以监控该终端设备所执行的多个程序,并检查各该程序是否能被识别,若该程序中的一第一程序无法被该终端监控模块所识别时,撷取该第一程序的信息,其中,该信息比对模块交叉比对该第一程序的信息与该第一分组信息以判别该第一程序是否为一恶意程序。
12.如权利要求10所述的检测网络通讯行为的监测系统,还包括一防火墙模块,用以停止该第一程序的网络联机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010100028668A CN102136956A (zh) | 2010-01-21 | 2010-01-21 | 检测网络通讯行为的监测方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010100028668A CN102136956A (zh) | 2010-01-21 | 2010-01-21 | 检测网络通讯行为的监测方法及其系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102136956A true CN102136956A (zh) | 2011-07-27 |
Family
ID=44296617
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010100028668A Pending CN102136956A (zh) | 2010-01-21 | 2010-01-21 | 检测网络通讯行为的监测方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102136956A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102509054A (zh) * | 2011-09-30 | 2012-06-20 | 宇龙计算机通信科技(深圳)有限公司 | 移动终端和用于移动终端的应用程序控制方法 |
| CN103051617A (zh) * | 2012-12-18 | 2013-04-17 | 北京奇虎科技有限公司 | 识别程序的网络行为的方法、装置及系统 |
| CN103067360B (zh) * | 2012-12-18 | 2016-12-28 | 北京奇虎科技有限公司 | 程序网络行为识别方法及系统 |
| CN112787875A (zh) * | 2019-11-06 | 2021-05-11 | 杭州海康威视数字技术股份有限公司 | 设备识别方法、装置及设备、存储介质 |
-
2010
- 2010-01-21 CN CN2010100028668A patent/CN102136956A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102509054A (zh) * | 2011-09-30 | 2012-06-20 | 宇龙计算机通信科技(深圳)有限公司 | 移动终端和用于移动终端的应用程序控制方法 |
| CN103051617A (zh) * | 2012-12-18 | 2013-04-17 | 北京奇虎科技有限公司 | 识别程序的网络行为的方法、装置及系统 |
| CN103051617B (zh) * | 2012-12-18 | 2015-09-02 | 北京奇虎科技有限公司 | 识别程序的网络行为的方法、装置及系统 |
| CN103067360B (zh) * | 2012-12-18 | 2016-12-28 | 北京奇虎科技有限公司 | 程序网络行为识别方法及系统 |
| CN112787875A (zh) * | 2019-11-06 | 2021-05-11 | 杭州海康威视数字技术股份有限公司 | 设备识别方法、装置及设备、存储介质 |
| CN112787875B (zh) * | 2019-11-06 | 2022-03-01 | 杭州海康威视数字技术股份有限公司 | 设备识别方法、装置及设备、存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Mohapatra et al. | Handling of man-in-the-middle attack in wsn through intrusion detection system | |
| Al-Duwairi et al. | SIEM-based detection and mitigation of IoT-botnet DDoS attacks | |
| KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
| US20030084321A1 (en) | Node and mobile device for a mobile telecommunications network providing intrusion detection | |
| CN101771702B (zh) | 点对点网络中防御分布式拒绝服务攻击的方法及系统 | |
| KR20110070189A (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
| Santos et al. | A flow-based intrusion detection framework for internet of things networks | |
| CN106878339A (zh) | 一种基于物联网终端设备的漏洞扫描系统及方法 | |
| Huang et al. | An authentication scheme to defend against UDP DrDoS attacks in 5G networks | |
| US20230403296A1 (en) | Analyses and aggregation of domain behavior for email threat detection by a cyber security system | |
| CN102136956A (zh) | 检测网络通讯行为的监测方法及其系统 | |
| Lovinger et al. | Detection of wireless fake access points | |
| JP2003283571A (ja) | サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム | |
| BR102020003105A2 (pt) | Método para detecção de servidores dns falsificados usando técnicas de aprendizado de máquina | |
| Seo et al. | Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling | |
| CN116668078A (zh) | 一种互联网入侵安全防御系统 | |
| Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
| KR100977827B1 (ko) | 악성 웹 서버 시스템의 접속탐지 장치 및 방법 | |
| Shan-Shan et al. | The APT detection method based on attack tree for SDN | |
| Xue et al. | Research of worm intrusion detection algorithm based on statistical classification technology | |
| Sivabalan et al. | Detecting IoT zombie attacks on web servers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110727 |