CN114513323A - 异常封包侦测装置及方法 - Google Patents
异常封包侦测装置及方法 Download PDFInfo
- Publication number
- CN114513323A CN114513323A CN202011237556.4A CN202011237556A CN114513323A CN 114513323 A CN114513323 A CN 114513323A CN 202011237556 A CN202011237556 A CN 202011237556A CN 114513323 A CN114513323 A CN 114513323A
- Authority
- CN
- China
- Prior art keywords
- packet
- legal
- historical
- history
- packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 103
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 93
- 238000000034 method Methods 0.000 title claims abstract description 39
- 230000008859 change Effects 0.000 claims abstract description 61
- 238000004891 communication Methods 0.000 description 11
- 238000007619 statistical method Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
Abstract
一种异常封包侦测装置及方法。所述异常封包侦测装置储存对应至一协定端口的一白名单,且所述白名单包含至少一合法封包记录。各合法封包记录包含一合法封包长度、一合法来源地址及一合法变动位置集合且对应至一参考封包。所述异常封包侦测装置判断一待分析封包的当前封包长度与当前来源地址分别与所述至少一合法封包记录中的一参考封包记录所包含的合法封包长度与来源地址相同,藉由比对待分析封包与参考封包记录所对应的参考封包以确认待分析封包的当前变动位置,且将当前变动位置与参考封包记录所对应的合法变动位置集合比对以产生一侦测结果。
Description
技术领域
本发明关于一种异常封包侦测装置及方法。具体而言,本发明关于一种能为不同通讯协定个别地建立一白名单并据以进行异常封包侦测的装置及方法。
背景技术
目前已是万物联网的时代,不论是国家的基础设施或是制造业的作业设备皆已连网,且透过工业控制系统进行管理和控制。若工业控制环境(亦即,工业控制系统与其控管的基础设施或/及作业设备所在的网络环境)遭受资安攻击(例如:恶意软件的入侵),将造成难以计数甚至是无法弥补的损失。因此,工业控制环境必须安装入侵检测系统(Intrusion Detection System)以便及时地或/及即时地监测工业控制环境是否正常运行。
工业控制系统所使用的通讯协定(下称「工业控制协定」)必须符合开放式通讯系统互连(Open System Interconnection;OSI)模型。习知的入侵检测系统主要是检测工业控制协定的第2层及第5-7层的封包内容。若有不同的工业控制协定,使用者必须了解这些不同的工业控制协定,再针对不同的工业控制协定分析出对应的协定分析模组使入侵检测系统据以运作。习知的入侵检测系统在遇到未知的工业控制协定时无法逆向处理,导致产生许多的误判。
有鉴于此,本领域仍亟需一种能以非人为的方式分析未知通讯协定(例如:未知的工业控制协定)的特性且能及时地侦测出网络环境中的攻击事件(例如:恶意软件的入侵)的技术。
发明内容
为解决上述的技术问题,本发明提供一种异常封包侦测装置及方法,其能以非人为的方式分析未知通讯协定的特性且能及时地侦测出网络环境中的攻击事件的异常封包侦测装置及方法。
本发明所提供的异常封包侦测装置包含一储存器、一收发接口及一处理器,其中所述处理器电性连接至所述储存器及所述收发接口。所述储存器储存对应至一协定端口的一白名单,且所述白名单包含至少一合法封包记录。各所述至少一合法封包记录包含一合法封包长度、一合法来源地址以及一合法变动位置集合,且各所述至少一合法封包记录对应至一参考封包。所述收发接口接收所述协定端口的一待分析封包。所述处理器判断所述待分析封包的一当前封包长度以及一当前来源地址分别与所述至少一合法封包记录中的一参考封包记录所包含的所述合法封包长度及所述来源地址相同。所述处理器藉由比对所述待分析封包与所述参考封包记录所对应的所述参考封包以确认所述待分析封包的一当前变动位置。所述处理器将所述当前变动位置与所述参考封包记录所包含的所述合法变动位置集合比对以产生一第一侦测结果。
本发明所提供的某些异常封包侦测装置,其白名单所包含的各所述至少一合法封包记录所包含的所述合法变动位置集合包含至少一字节位置。所述第一侦测结果可为所述当前变动位置并非所述参考封包记录所包含的所述合法变动位置集合所包含的所述至少一字节位置其中之一。所述收发接口还传送一示警信号。
本发明所提供的某些异常封包侦测装置,其白名单所包含的各所述至少一合法封包记录所包含的所述合法变动位置集合包含至少一字节位置,且各所述至少一字节位置对应至一合法出现值集合。所述第一侦测结果为所述当前变动位置为所述参考封包记录所包含的所述合法变动位置集合所包含的所述至少一字节位置其中之一。所述处理器还根据所述当前变动位置从所述至少一合法出现值集合找出一参考出现值集合,且所述处理器还将所述待分析封包于所述当前变动位置的一当前出现值与所述参考出现值集合比对以产生一第二侦测结果。
本发明所提供的异常封包侦测方法适用于一电子计算装置。所述电子计算装置储存对应至一协定端口的一白名单,且所述白名单包含至少一合法封包记录。各所述至少一合法封包记录包含一合法封包长度、一合法来源地址以及一合法变动位置集合,且各所述至少一合法封包记录对应至一参考封包。所述异常封包侦测方法包含下列步骤:(a)接收所述协定端口的一待分析封包,(b)判断所述待分析封包的一当前封包长度以及一当前来源地址分别与所述至少一合法封包记录中的一参考封包记录所包含的所述合法封包长度及所述来源地址相同,(c)藉由比对所述待分析封包与所述参考封包记录所对应的所述参考封包以确认所述待分析封包的一当前变动位置,以及(d)将所述当前变动位置与所述参考封包记录所包含的所述合法变动位置集合比对以产生一第一侦测结果。
本发明所提供的某些异常封包侦测方法,其白名单所包含的各所述至少一合法封包记录所包含的所述合法变动位置集合包含至少一字节位置。所述第一侦测结果为所述当前变动位置并非所述参考封包记录所包含的所述合法变动位置集合所包含的所述至少一字节位置其中之一。所述异常封包侦测方法还包含一步骤以传送一示警信号。
本发明所提供的某些异常封包侦测方法,其白名单所包含的各所述至少一合法封包记录所包含的所述合法变动位置集合包含至少一字节位置,且各所述至少一字节位置对应至一合法出现值集合。所述第一侦测结果为所述当前变动位置为所述参考封包记录所包含的所述合法变动位置集合所包含的所述至少一字节位置其中之一。所述异常封包侦测方法还包含一步骤以根据所述当前变动位置从所述至少一合法出现值集合找出一参考出现值集合,且包含另一步骤以将所述第一待分析封包于所述当前变动位置的一当前出现值与所述参考出现值集合比对以产生一第二侦测结果。
本发明所提供的异常封包侦测技术(至少包含装置及方法)可针对不同的协定端口的历史封包进行统计分析以产生不同的协定端口的白名单。具体而言,一协定端口的白名单包含至少一合法封包记录,其中各所述至少一合法封包记录包含一合法封包长度、一合法来源地址以及一合法变动位置集合,且各所述至少一合法封包记录对应至一参考封包。此外,一协定端口的白名单所包含的各所述至少一合法封包记录所包含的所述合法变动位置集合可包含至少一字节位置,且各所述至少一字节位置对应至一合法出现值集合。本发明所提供的异常封包侦测技术在接收到某一协定端口的一待分析封包后,可将所述待分析封包与所述协定端口的所述白名单比对,便能从封包长度、来源地址及变动位置等角度,甚至还能从变动位置的出现值此一角度来判断所述待分析封包是否异常。
本发明所提供的异常封包侦测技术针对不同协定端口的历史封包进行统计分析以产生不同协定端口的白名单。由于不同的通讯协定使用不同的协定端口,因此亦可以理解为本发明所提供的异常封包侦测技术针对不同通讯协定的历史封包进行统计分析以产生不同通讯协定的白名单。因此,采用本发明所提供的异常封包侦测技术,使用者便不需了解不同通讯协定的内容。即使有未知的通讯协定,本发明所提供的异常封包侦测技术仍能产生对应的白名单以及时地或/及即时地侦测出网络环境中的攻击事件。
以下结合附图阐述本发明的详细技术及实施方式,俾使本领域技术人员能理解所请求保护的发明的技术特征。
附图说明
图1A描绘异常封包侦测装置1的架构示意图。
图1B描绘白名单10的一具体范例。
图1C描绘针对不同历史封包长度的历史封包产生统计数据24a、……、24b的一具体范例。
图1D描绘从统计数据中移除某些历史变动位置的一具体范例。
图1E描绘针对一锁定封包长度再次产生统计数据26a、26b的一具体范例。
图2描绘本发明的异常封包侦测方法的主要流程图。
图3描绘本发明的异常封包侦测方法建立白名单的流程图。
附图标记说明
1:异常封包侦测装置
11:储存器
13:收发接口
15:处理器
10:白名单
10a、……、10b:合法封包记录
12、14a、……、14b:待分析封包
20:示警信号
22a、……、22b:历史封包
24a、……、24b:统计数据
24a’、……、24b’:统计数据
26a、26b:统计数据
S201~S215:步骤
S301~S307:步骤
具体实施方式
以下在具体实施方式中详细叙述本发明的详细特征以及优点,其内容足以使任何本领以下将透过实施方式来解释本发明所提供的异常封包侦测装置及方法。然而,这些实施方式并非用以限制本发明需在如这些实施方式所述的任何环境、应用或方式方能实施。因此,关于以下实施方式的说明仅在于阐释本发明的目的,而非用以限制本发明的范围。应理解,在以下实施方式及附图中,与本发明非直接相关的元件已省略而未绘示。此外,附图中各元件的尺寸以及元件间的尺寸比例仅为便于绘示及说明,而非用以限制本发明的范围。
本发明的第一实施方式为一异常封包侦测装置1,其架构示意图描绘于图1A。异常封包侦测装置1包含一储存器11、一收发接口13及一处理器15,且处理器15电性连接至储存器11及收发接口13。储存器11可为一存储器、一通用串行总线(Universal Serial Bus;USB)盘、一随身盘、一光盘(Compact Disk;CD)、一数字多工光盘(Digital VersatileDisc;DVD)、一硬盘(Hard Disk Drive;HDD)或本领域技术人员所知的任何其他具有相同功能的非暂态储存媒体或装置。收发接口13可为本领域技术人员所知的一有线传输接口或一无线传输接口,其用于连接至一网络(例如:一网际网络、一区域网络)且可在所述网络收送信号及数据。处理器15可为各种处理器、中央处理单元(Central Processing Unit;CPU)、微处理器(Microprocessor Unit;MPU)、数字信号处理器(Digital Signal Processor;DSP)或本领域技术人员所知悉的其他计算装置。
异常封包侦测装置1可被设置于一网络环境,且所述网络环境中可包含多个联网设备。举例而言,异常封包侦测装置1可设置于一工业控制环境,且所述工业控制环境中包含多个作业设备,例如:人机接口(Human Machine Interface;HMI)、可程式逻辑控制器(Programmable Logic Controller;PLC)。在所述网络环境中,联网设备之间可使用一或多种通讯协定沟通。
于本实施方式中,储存器11储存一白名单10,且白名单10对应至一协定端口(例如:使用端口号44818的协定端口)。由于不同的通讯协定会使用不同的协定端口,因此亦可理解为白名单10对应至某一通讯协定。需说明者,本发明未限制储存器11所储存的白名单的数目;换言之,储存器11亦可储存多个白名单,且不同的白名单对应至不同的协定端口(亦即,不同的白名单对应至不同的通讯协定)。
请参图1B所示的白名单10的一具体范例。所述具体范例将用于后续的说明,而非用以限制本发明的范围。白名单10包含多笔合法封包记录10a、……、10b。合法封包记录10a、……、10b各自包含一合法封包长度、一合法来源地址、一合法变动位置集合以及至少一合法出现值集合,且合法封包记录10a、……、10b各自对应至一参考封包(未绘示)。由于各所述参考封包所对应的合法封包记录包含一合法封包长度,因此各所述参考封包作为具有相同封包长度的封包的比对基准(容后说明)。需说明者,本发明未限制一白名单所包含的合法封包记录的笔数,亦即可为一笔或多笔。此外,在某些实施方式中,一白名单所包含的各笔合法封包记录可不包含至少一合法出现值集合。
于本实施方式中,合法封包记录10a、……、10b各自所包含的合法来源地址包含一网际网络地址与一媒体存取控制地址。于其他实施方式中,异常封包侦测装置1则可采用其他能辨识出一网络环境中不同联网设备的地址作为一合法来源地址。另外,合法封包记录10a、……、10b各自所包含的合法变动位置集合包含至少一字节位置(亦即,值可变动的字节位置),且各所述至少一字节位置对应至一合法出现值集合(亦即,在某一字节位置被视为合法的值)。举例而言,合法封包记录10a的合法变动位置集合包含二个字节位置(亦即,第49个字节位置与第54个字节位置),代表封包长度为56个字节的封包在所述二个字节位置是可变动的。此外,合法封包记录10a的合法变动位置集合所包含的所述二个字节位置各自对应至一合法出现值集合(亦即,第49个字节位置对应至合法出现值集合{115,139},且第54个字节位置对应至合法出现值集合{9,10,5,8}),代表封包长度为56个字节的封包在第49个字节位置可出现的值为115及139,且在第54个字节位置可出现的值为5、8、9及10。
异常封包侦测装置1可透过所述网络环境中的一交换器或一集线器的镜像端口(Mirror port)监听所述网络环境的所有封包,收发接口13可接收所有监听到的封包。异常封包侦测装置1可利用白名单10来判断监听到的任一封包是否异常。兹假设收发接口13接收到一待分析封包12(亦即,所监听到的封包其中之一)。处理器15藉由读取待分析封包12所包含的端口号(例如:44818)而确认待分析封包12对应至某一协定端口,因而将待分析封包12与所述协定端口所对应的白名单10的内容比对。以下将详述异常封包侦测装置1如何利用白名单10来判断待分析封包12是否异常。
具体而言,待分析封包12具有一封包长度(称之为「当前封包长度」)且记录一来源地址(称之为「当前来源地址」)。处理器15判断待分析封包12的当前封包长度以及当前来源地址是否分别与合法封包记录10a、……、10b中的某一笔所包含的合法封包长度及合法来源地址相同。若处理器15判断白名单10中没有一笔合法封包记录的合法封包长度及合法来源地址分别与待分析封包12的当前封包长度以及当前来源地址相同,则处理器15判断待分析封包12为异常封包,且收发接口13会因应地传送一示警信号20。若处理器15判断待分析封包12的当前封包长度以及当前来源地址分别与合法封包记录10a、……、10b中的某一笔(称之为「参考封包记录」)所包含的合法封包长度及合法来源地址相同,则处理器15会进一步地从待分析封包12的当前变动位置来分析其是否异常。
现说明处理器15如何从待分析封包12的当前变动位置来分析其是否异常。兹假设处理器15从白名单10中找到一参考封包记录(例如:合法封包记录10a)的合法封包长度及合法来源地址分别与待分析封包12的当前封包长度以及当前来源地址相同。处理器15进一步地比对待分析封包12与参考封包记录所对应的参考封包,藉此确认待分析封包12的当前变动位置(未绘示)。具体而言,待分析封包12与参考封包各自包含多个字节位置,处理器15比对待分析封包12与参考封包有哪一或哪些字节位置的值不同,值不同的那一或那些字节位置即为待分析封包12的一或多个当前变动位置。处理器15再将待分析封包12的各当前变动位置与参考封包记录所包含的合法变动位置集合比对以产生一第一侦测结果。
在某些情况下(视待分析封包12的内容而定),所述第一侦测结果为待分析封包12的某一当前变动位置并非参考封包记录所包含的合法变动位置集合所包含的所述至少一字节位置其中之一。举例而言,若参考封包记录为合法封包记录10a且待分析封包12的当前变动位置为第50个字节位置,则此当前变动位置并非参考封包记录所包含的合法变动位置集合所包含的所述多个字节位置其中之一(亦即,非第49个字节位置,且非第54个字节位置)。针对这样的第一侦测结果,处理器15会将待分析封包12视为异常封包,且收发接口13会因应地传送一示警信号20。
在某些情况下(视待分析封包12的内容而定),所述第一侦测结果为待分析封包12的各当前变动位置为参考封包记录所包含的合法变动位置集合所包含的所述至少一字节位置其中之一。举例而言,若参考封包记录为合法封包记录10a且待分析封包12的唯一的当前变动位置为第49个字节位置,则此当前变动位置为参考封包记录所包含的合法变动位置集合所包含的所述多个字节位置其中之一。针对这样的第一侦测结果,处理器15会进一步地从待分析封包12的当前变动位置的当前出现值来分析其是否异常。
现说明处理器15如何从待分析封包12的当前变动位置的当前出现值来分析其是否异常。为便于后续说明,兹假设待分析封包12只有一个当前变动位置。但应理解,若待分析封包12有多个当前变动位置,处理器15会针对待分析封包12的各当前变动位置分别进行判断。具体而言,处理器15根据待分析封包12的当前变动位置从参考封包记录所包含的至少一合法出现值集合找出一参考出现值集合。参考出现值集合包含多个合法出现值。处理器15再将待分析封包12于当前变动位置的当前出现值与所述参考出现值集合比对以产生一第二侦测结果。
在某些情况下(视待分析封包12的内容而定),所述第二侦测结果为待分析封包12于当前变动位置的当前出现值并非所述参考出现值集合所包含的所述多个合法出现值其中之一。举例而言,若参考封包记录为合法封包记录10a、待分析封包12的当前变动位置为第49个字节位置,且当前变动位置的当前出现值为35,则处理器15根据当前变动位置找出参考出现值集合(亦即,{115,139}),且处理器15判断此当前出现值并非参考出现值集合所包含的合法出现值其中之一。针对这样的第二侦测结果,处理器15会将待分析封包12视为异常封包,且收发接口13会因应地传送一示警信号20。
在某些情况下(视待分析封包12的内容而定),所述第二侦测结果为待分析封包12于当前变动位置的当前出现值为所述参考出现值集合所包含的所述多个合法出现值其中之一。举例而言,若参考封包记录为合法封包记录10a、待分析封包12的唯一的当前变动位置为第49个字节位置,且当前变动位置的当前出现值为115,则处理器15根据当前变动位置找出参考出现值集合(亦即,{115,139}),且处理器15判断此当前出现值为参考出现值集合所包含的合法出现值其中之一。针对这样的第二侦测结果,处理器15会将待分析封包12视为正常封包。
如前所述,在某些实施方式中,一白名单所包含的各笔合法封包记录可不包含至少一合法出现值集合。于这些实施方式中,处理器15则不会从待分析封包12的当前变动位置的当前出现值来分析其是否异常。
在某些实施方式中,白名单10中的某一或某些合法封包记录会各自对应至一出现模式(未绘示)。于这些实施方式中,异常封包侦测装置1还可判断多个依序出现的待分析封包(例如:待分析封包14a、……、14b、12)是否符合对应的出现模式,藉此确认是否有异常的封包。
为便于后续说明,兹假设白名单10中的合法封包记录10a对应至一出现模式。具体而言,合法封包记录10a所包含的合法变动位置集合所包含的至少一字节位置其中之一为一特定字节位置(例如:对应的合法出现值集合所包含的合法出现值的数目最多的那一个字节位置),且所述特定字节位置所对应的特定合法出现值集合(为合法封包记录10a所包含的合法出现值集合其中之一)所包含的所述多个合法出现值形成一出现模式。举例而言,合法封包记录10a的特定字节位置为第54个字节位置,且此特定字节位置所对应的特定合法出现值集合所包含的合法出现值会以9、10、5、8的顺序依序出现。储存器11会记录合法封包记录10a于此特定字节位置的出现模式。
兹假设收发接口13依序接收待分析封包14a、……、14b、12。处理器15判断待分析封包14a、……、14b、12各自的当前封包长度以及当前来源地址分别与参考封包记录(例如:合法封包记录10a)的合法封包长度及合法来源地址相同。处理器15会进一步地将待分析封包14a、……、14b、12于所述特定字节位置(例如:第54个字节位置)的多个当前出现值与所述出现模式比对以产生另一侦测结果。若待分析封包14a、……、14b、12于所述特定字节位置的所述多个当前出现值与所述出现模式不一致,则处理器15判断待分析封包14a、……、14b、12中存在异常封包(例如:待分析封包14a、……、14b、12中的最后一个为异常封包),且收发接口13会因应地传送一示警信号20。若待分析封包14a、……、14b、12于所述特定字节位置的所述多个当前出现值与所述出现模式一致,则处理器15判断未有异常状况。
藉由前述运作,异常封包侦测装置1便实现了从封包长度、来源地址、变动位置、变动位置的出现值以及出现模式等角度来判断所述网络环境中的任一封包是否异常。
于本实施方式中,异常封包侦测装置1会先产生白名单10,再利用白名单10进行异常封包的侦测。于其他实施方式中,异常封包侦测装置1则可利用其他装置以相同技术所产生的白名单10。以下将详述异常封包侦测装置1如何产生白名单10。
于本实施方式中,储存器11还储存同一协定端口(例如:使用端口号44818的协定端口)的多个历史封包22a、……、22b。历史封包22a、……、22b各自具有一历史封包长度且各自记录一历史来源地址。处理器15针对不同历史封包长度的所述多个历史封包产生一统计数据,其中各所述统计数据包含对应的所述历史封包长度、所述多个历史来源地址其中一个或多个、与对应的所述历史封包长度相关的一计数、至少一历史变动位置以及各所述至少一历史变动位置的至少一历史出现值。处理器15还根据各所述统计数据产生所述多个合法封包记录其中之一。
为便于理解,请参图1C所示的一具体范例。所述具体范例将用于后续的说明,而非用以限制本发明的范围。于图1C所示的具体范例中,处理器15针对不同历史封包长度的所述多个历史封包产生统计数据24a、……、24b。以统计数据24a为例,其包含对应的历史封包长度(亦即,56)、历史封包长度为56个字节的那些历史封包的历史来源地址、历史封包长度为56个字节的历史封包的一计数(例如:历史封包长度为56个字节的历史封包的个数、历史封包长度为56个字节的历史封包与一参考封包的比较次数)、多个历史变动位置(亦即,历史封包长度为56个字节的那些历史封包有哪些字节位置的值曾发生改变)以及各历史变动位置的至少一历史出现值(亦即,各历史变动位置曾出现过的值)。
在某些实施方式中,处理器15可逐一地分析历史封包22a、……、22b的内容来产生及更新统计数据24a、……、24b。若处理器15所分析的所述历史封包的历史封包长度为第一次出现,则处理器15将所述历史封包设定为所述历史封包长度所对应的参考封包(亦可视为所述历史封包长度所对应的所述笔统计数据所对应的参考封包),并将所述历史封包长度所对应的所述笔统计数据的计数加1。若处理器15所分析的所述历史封包的历史封包长度并非第一次出现,则处理器15将所述历史封包的计数加1,将所述历史封包与对应的参考封包比对以确认是否有哪一或哪些字节位置的值不同,将那一或那些字节位置的值记录所述历史封包长度所对应的所述笔统计数据的历史变动位置(若有),且将那一或那些字节位置的值记录为所述历史封包长度所对应的所述笔统计数据的历史出现值(若有)。
处理器15根据历史封包22a、……、22b所产生的多笔统计数据中可能会有某一或某些统计数据对应至多个历史来源地址(例如:图1C所示的统计数据24a)。在某些实施方式中,为避免有某一或某些统计数据对应至多个历史来源地址,处理器15可改为针对不同历史封包长度及不同历史来源地址所形成的多个组合(例如:历史封包长度56与历史来源地址192.168.10.105_00:1d:09:99:b2:2c为一个组合,而历史封包长度56与历史来源地址192.168.10.120_00:00:bc:3e:eb:e4为另一个组合)个别地产生一统计数据。各所述组合对应至历史封包22a、……、22b的一子集,处理器15所产生的各所述统计数据包含与所述子集所包含的所述多个历史封包相关的所述历史封包长度、所述历史来源地址、一计数、至少一历史变动位置以及各所述至少一历史变动位置的至少一历史出现值。兹不赘言。
在处理器15根据历史封包22a、……、22b产生多笔统计数据(例如:第1C统计数据24a、……、24b)后,处理器15还可判断是否有某一或某些特定字节位置出现于每一笔统计数据各自所对应的历史变动位置中。若判断的结果为是,代表不论封包长度为何,所述(多个)特定字节位置的值都是可变动的,故不需特别关注所述(多个)特定字节位置的值是否变动。因此,若处理器15判断有某一或某些特定字节位置出现于每一笔统计数据各自所对应的历史变动位置中,处理器15还从每一笔统计数据各自所对应的历史变动位置中移除所述(多个)特定字节位置。在图1C所示的具体范例中,第44个字节位置出现在统计数据24a、……、24b各自所对应的历史变动位置中,因此处理器15会从统计数据24a、……、24b各自所对应的历史变动位置中移除第44个字节位置。
于本实施方式中,处理器15还进一步地判断所述多个统计数据中是否有某一特定统计数据所包含的所述至少一历史变动位置中的一特定字节位置的一变动率高于一门槛值。举例而言,变动率可为所述特定统计数据的所述特定字节位置所对应的历史出现值的数目与所述特定统计数据的计数之间的比例。若判断的结果为是,代表对所述特定统计数据所记录的所述历史封包长度而言,所述特定字节位置的值都是可变动的,故不需特别关注所述特定字节位置的值是否变动。因此,若判断的结果为是,处理器15会从所述特定统计数据的所述至少一历史变动位置移除对应的所述特定字节位置。在图1C所示的具体范例中,兹假设统计数据24a的第45个字节位置的历史出现值共有92个,处理器15判断统计数据24a的第45个字节位置的变动率高于一门槛值,因此处理器15会从统计数据24a所对应的历史变动位置中移除第45个字节位置。需说明者,于其他实施方式中,处理器15可省略此处所述的关于一特定字节位置的变动率的判断。
于本实施方式中,处理器15会判断变动率高于所述门槛值的所述特定字节位置所对应的所述多个历史出现值是否呈现递增的形式。若判断的结果为是,处理器15进一步判断所述特定字节位置的下一字节位置是否也属于历史变动位置,且所述下一字节位置所对应的历史出现值是否也呈现递增。若判断的结果为是,处理器15会认定所述下一字节位置与所述特定字节位置应一起观之,所述二个字节位置对应至会变动的数值(例如:时间),因此会从所述特定统计数据的所述至少一历史变动位置移除所述下一字节位置。在图1C所示的具体范例中,处理器15判断第45个字节位置的所述多个历史出现值呈现递增的形式,进而判断第46个字节位置也是统计数据24a的历史变动位置之一,且第46个字节位置所对应的历史出现值也呈现递增。因此,处理器15还会从统计数据24a所对应的历史变动位置中移除第46个字节位置。需说明者,于其他实施方式中,处理器15可省略前述关于一特定字节的下一字节的判断。
为便于理解,请参图1C所示的具体范例。若处理器15针对图1C所示的统计数据24a、……、24b执行上述各种处理,便得到如图1D所示的统计数据24a’、……、24b’。
在本实施方式中,处理器15还可利用统计数据24a、……、24b(或利用统计数据24a’、……、24b’)来找出网络环境中的主装置(Master device)。具体而言,在一网络环境中,主装置的封包长度的种类通常较少,而从装置(Slave device)的封包长度的种类通常较多。因此,处理器15还可从统计数据24a、……、24b(或统计数据24a’、……、24b’)中确认所述多个历史来源地址中是否有某一(或某些)特定来源地址的一封包长度变化小于一门槛值,并确认封包长度变化小于门槛值的那一(或那些)特定来源地址个别地对应至一主装置。稍后将说明找出主装置的用意。需说明者,于某些实施方式中,若处理器15不需辨识出网络环境中的主装置,则不需执行相关运作。
于本实施方式中,在处理器15针对所述多个统计数据的历史变动位置进行分析,且从所述多个统计数据中移除掉不需考虑的历史变动位置后,便可根据这些统计数据产生白名单10中的合法封包记录10a、……、10b。
在某些实施态样中,处理器15可锁定某一、某些或全部的统计数据。若各笔锁定的统计数据都只对应到一个历史来源地址,处理器15再针对各笔锁定的统计数据个别地产生一合法封包记录。具体而言,一笔统计数据的历史封包长度、历史来源地址、历史变动位置及各所述历史变动位置的至少一历史出现值会分别最为一笔合法封包记录中的合法封包长度、合法来源地址、合法变动位置及各所述合法变动位置的至少一合法出现值。
在某些实施态样中,处理器15可根据统计数据24a’、……、24b’的所述多个计数中的最大者从所述多个历史封包长度中确认一锁定封包长度。以图1C及图1D的具体范例而言,处理器15确认的锁定封包长度为56,因对应的计数最大。处理器15再针对所述锁定封包长度及不同历史来源地址所形成的至少一组合个别地产生一第二统计数据。各所述至少一组合对应至所述多个历史封包的一子集,各所述至少一第二统计数据包含所述锁定封包长度、所述多个历史来源地址其中之一、与所述子集所包含的所述多个历史封包相关的一计数、至少一第二历史变动位置以及各所述至少一第二历史变动位置的至少一第二历史出现值。以图1C及图1D的具体范例而言,由于历史封包长度为56个字节的有两个不同历史来源地址,因此处理器15会产生两笔统计数据26a、26b如图1E所示。处理器15再根据统计数据26a、26b产生白名单10中的合法封包记录。举例而言,统计数据26a对应至主装置,处理器15便根据统计数据26a产生白名单10中的一笔合法封包记录。
在本实施方式中,处理器15还可进一步地针对主装置所对应的统计数据进行分析。以统计数据26a为例,处理器15分析历史封包长度为56且历史来源地址为192.168.10.105_00:1d:09:99:b2:2c所对应的历史封包。若这些历史封包在某一特定历史变动位置所出现的历史出现值形成一出现模式,处理器15便会记录此笔统计数据的所述特定历史变动位置对应至所述出现模式。因此,处理器15在根据统计数据26a产生白名单10中的一笔合法封包记录时,所述合法封包记录也会记录着所述出现模式。
由上述说明可知,异常封包侦测装置1可针对不同的协定端口的历史封包进行统计分析以产生不同的协定端口的白名单。一协定端口的白名单包含至少一合法封包记录,且各所述至少一合法封包记录包含一合法封包长度、一合法来源地址、一合法变动位置集合以及至少一合法出现值集合。异常封包侦测装置1在接收到某一协定端口的一待分析封包后,可将所述待分析封包与所述协定端口的所述白名单比对,便能从封包长度、来源地址及变动位置等角度,甚至还能从变动位置的出现值此一角度来判断所述待分析封包是否异常。
异常封包侦测装置1针对不同协定端口的历史封包进行统计分析以产生不同协定端口的白名单。由于不同的通讯协定使用不同的协定端口,因此亦可以理解为异常封包侦测装置1针对不同通讯协定的历史封包进行统计分析以产生不同通讯协定的白名单。即使有未知的通讯协定,使用者不需了解未知通讯协定的内容,便可透过异常封包侦测装置1产生对应的白名单以及时地或/及即时地侦测出网络环境中的攻击事件。
本发明的第二实施方式为一种异常封包侦测方法,其主要流程图描绘于图2。所述异常封包侦测方法适用于一电子计算装置,且所述电子计算装置储存对应至一协定端口的一白名单。所述白名单包含至少一合法封包记录,且各所述至少一合法封包记录包含一合法封包长度、一合法来源地址、一合法变动位置集合以及至少一合法出现值集合。具体而言,在一合法封包记录中,合法变动位置集合包含至少一字节位置,各字节位置对应至一合法出现值集合,且各合法出现值集合包含多个合法出现值。此外,各所述至少一合法封包记录对应至一参考封包。于本实施方式中,异常封包侦测方法包含步骤S201至步骤S215。藉由执行步骤S201至步骤S215,达成从封包长度、来源地址、变动位置以及变动位置的出现值等角度来判断一待分析封包是否异常。
于步骤S201,由所述电子计算装置接收所述协定端口的一待分析封包。接着,所述电子计算装置执行步骤S203,判断所述待分析封包的一当前封包长度以及一当前来源地址是否分别与所述至少一合法封包记录中的一参考封包记录所包含的所述合法封包长度及所述合法来源地址相同。若步骤S203的判断结果为否,则所述电子计算装置执行步骤S215以传送一示警信号。若步骤S203的判断结果为是,则所述电子计算装置执行步骤S205以藉由比对所述待分析封包与所述参考封包记录所对应的所述参考封包以确认所述待分析封包的一当前变动位置。
之后,于步骤S207,所述电子计算装置将所述当前变动位置与所述参考封包记录所包含的所述合法变动位置集合比对以产生一第一侦测结果。具体而言,步骤S207由所述电子计算装置判断所述当前变动位置是否为所述参考封包记录所包含的所述合法变动位置集合所包含的所述至少一字节位置其中之一。若步骤S207的判断结果为否(亦即,所述第一侦测结果为所述当前变动位置并非所述参考封包记录所包含的所述合法变动位置集合所包含的所述至少一字节位置其中之一),则所述电子计算装置执行步骤S215以传送一示警信号。若步骤S207的判断结果为是(亦即,所述第一侦测结果为所述当前变动位置为所述参考封包记录所包含的所述合法变动位置集合所包含的所述至少一字节位置其中之一),则所述电子计算装置接着执行步骤S209。
于步骤S209,所述电子计算装置根据所述当前变动位置从所述至少一合法出现值集合找出一参考出现值集合。接着,于步骤S211,由所述电子计算装置将所述待分析封包于所述当前变动位置的一当前出现值与所述参考出现值集合比对以产生一第二侦测结果。具体而言,步骤S211判断所述当前出现值是否为所述参考出现值集合的所述多个合法出现值其中之一。若步骤S211的判断结果为否(亦即,所述第二侦测结果为所述当前出现值非所述参考出现值集合的所述多个合法出现值其中之一),则所述电子计算装置执行步骤S215以传送一示警信号。若步骤S211的判断结果为是(亦即,所述第二侦测结果为所述当前出现值为所述参考出现值集合的所述多个合法出现值其中之一),则所述电子计算装置执行步骤S213以确认所述待分析封包为一合法封包。
需说明者,在某些实施方式中,若各合法封包记录未包含合法出现值集合,则可省略步骤S209、步骤S211及步骤S213。
在某些实施方式中,异常封包侦测方法还可从多个待分析封包在一特定字节位置的当前出现值是否符合一出现模式来判断封包是否异常。在所述多个实施方式中,白名单中的某一或某些合法封包记录会各自对应至一出现模式。为便于后续说明,兹假设前述的参考封包记录对应至一出现模式。具体而言,所述参考封包记录的所述合法变动位置集合中的一特定字节位置,其所对应的特定出现值集合所包含的多个合法出现值形成一出现模式。
于这些实施方式中,若异常封包侦测方法接收到多个待分析封包,且各所述待分析封包的一当前封包长度以及一当前来源地址皆分别与所述参考封包记录所包含的所述合法封包长度及所述合法来源地址相同,则异常封包侦测方法还可执行一步骤以将所述多个待分析封包于所述特定字节位置的多个当前出现值与所述出现模式比对以产生另一侦测结果。若所述多个待分析封包于所述特定字节位置的所述多个当前出现值符合所述出现模式,则异常封包侦测方法判断未有异常封包。若所述多个待分析封包于所述特定字节位置的所述多个当前出现值不符合所述出现模式,则异常封包侦测方法还可执行一步骤以传送一示警信号。
于某些实施方式中,异常封包侦测方法还可执行如图3所示的流程以建立白名单。于这些实施方式中,所述电子计算装置还储存所述协定端口的多个历史封包,且各所述历史封包具有一历史封包长度且记录一历史来源地址。于这些实施方式中,异常封包侦测方法还包含步骤S301至步骤S307。
于步骤S301,由所述电子计算装置针对不同历史封包长度的所述多个历史封包产生一第一统计数据,其中各所述第一统计数据包含对应的所述历史封包长度、所述多个历史来源地址其中之一、与对应的所述历史封包长度相关的一计数、至少一第一历史变动位置以及各所述至少一第一历史变动位置的至少一第一历史出现值。
在某些实施方式中,步骤S301可改为针对不同历史封包长度及不同历史来源地址所形成的多个组合个别地产生一第一统计数据。如此可确保每一笔第一统计数据只对应到一个历史来源地址。前述的其中各所述组合对应至所述多个历史封包的一子集,各所述第一统计数据包含与所述子集所包含的所述多个历史封包相关的所述历史封包长度、所述历史来源地址、一计数、至少一第一历史变动位置以及各所述至少一第一历史变动位置的至少一第一历史出现值。
于步骤S303,由所述电子计算装置判断一特定字节位置出现于各所述第一统计数据的所述至少一第一历史变动位置,且从各所述第一统计数据的所述至少一第一历史变动位置移除所述特定字节位置。需说明者,所述多个第一统计数据中不存在一特定字节位置出现于各所述第一统计数据的所述至少一第一历史变动位置,则可省略步骤S303。
于步骤S305,由所述电子计算装置判断所述多个第一统计数据中的一特定统计记录所包含的所述至少一第一历史变动位置中的一特定字节位置的一变动率高于一门槛值,且从所述特定统计记录的所述至少一第一历史变动位置移除所述特定字节位置。类似的,若所述多个第一统计数据中不存在一特定字节位置的变动率高于所述门槛值,则可省略步骤S305。
接着,执行步骤S307,由所述电子计算装置根据各所述第一统计数据个别地产生一合法封包记录。
在某些实施方式中,异常封包侦测方法还可从所述多个统计数据中判断出主装置。于这些实施方式中,异常封包侦测方法执行一步骤以从所述多个统计数据中确认所述多个历史来源地址中的一特定来源地址的一封包长度变化小于一门槛值。之后,异常封包侦测方法再执行一步骤确认所述特定来源地址对应至一主装置。
在某些实施方式中,异常封包侦测方法可将步骤S307改为针对一锁定封包长度产生合法封包记录。于这些实施方式中,异常封包侦测方法可执行一步骤以根据所述多个统计数据的所述多个计数中的最大者从所述多个历史封包长度中确认一锁定封包长度。异常封包侦测方法再执行一步骤以针对所述锁定封包长度及不同历史来源地址所形成的至少一组合个别地产生一第二统计数据,其中各所述至少一组合对应至所述多个历史封包的一子集,各所述至少一第二统计数据包含所述锁定封包长度、所述多个历史来源地址其中之一、与所述子集所包含的所述多个历史封包相关的一计数、至少一第二历史变动位置以及各所述至少一第二历史变动位置的至少一第二历史出现值。接着,异常封包侦测方法再执行一步骤以根据所述至少一第二所述统计数据产生所述至少一合法封包记录。
除了上述步骤,第二实施方式还能执行异常封包侦测装置1所能执行的所有运作及步骤,具有同样的功能,且达到同样的技术效果。本领域技术人员可直接了解第二实施方式如何基于上述的异常封包侦测装置1以执行此等运作及步骤,具有同样的功能,并达到同样的技术效果,故不赘述。
需说明者,于本发明专利说明书及权利要求书中,某些用语(包含:待分析封包、侦测结果、统计数据、历史变动位置、历史出现值)前被冠以「第一」或「第二」,这些「第一」及「第二」用来区隔这些用语彼此不同。另需说明者,于本发明专利说明书及权利要求书中,某些用语(包含:封包记录、封包长度、来源地址、变动位置集合、出现值集合、出现值)前被冠以「合法」,其用以表示这些用语所对应的数据记载于白名单中。此外,某些用语(包含:封包记录、封包长度、来源地址、变动位置集合、出现值集合、出现值)前被冠以「历史」,其用以表示这些用语所对应的数据为过去的数据。再者,某些用语(包含:封包长度、来源地址、变动位置、出现值)前被冠以「当前」,其用以表示这些用语所对应的数据与一待分析封包相关。
综上所述,本发明所提供的异常封包侦测技术(至少包含装置及方法)可针对不同的协定端口的历史封包进行统计分析以产生不同的协定端口的白名单。一协定端口的白名单包含至少一合法封包记录,且各所述至少一合法封包记录包含一合法封包长度、一合法来源地址、一合法变动位置集合以及至少一合法出现值集合。本发明所提供的异常封包侦测技术在接收到某一协定端口的一待分析封包后,可将所述待分析封包与所述协定端口的所述白名单比对,便能从封包长度、来源地址及变动位置等角度,甚至还能从变动位置的出现值此一角度来判断所述待分析封包是否异常。
本发明所提供的异常封包侦测技术针对不同协定端口的历史封包进行统计分析以产生不同协定端口的白名单。由于不同的通讯协定使用不同的协定端口,因此亦可以理解为本发明所提供的异常封包侦测技术针对不同通讯协定的历史封包进行统计分析以产生不同通讯协定的白名单。即使有未知的通讯协定,使用者不需了解未知通讯协定的内容,便可透过本发明所提供的异常封包侦测技术产生对应的白名单以及时地或/及即时地侦测出网络环境中的攻击事件。
上述各实施方式用以例示性地说明本发明的部分实施态样,以及阐释本发明的技术特征,而非用来限制本发明的保护范畴及范围。任何本领域技术人员可轻易完成的改变或均等性的安排均属于本发明所主张的范围,本发明的权利保护范围以权利要求书为准。
Claims (22)
1.一种异常封包侦测装置,其特征在于,包含:
一储存器,储存对应至一协定端口的一白名单,其中所述白名单包含至少一合法封包记录,各所述至少一合法封包记录包含一合法封包长度、一合法来源地址以及一合法变动位置集合,且各所述至少一合法封包记录对应至一参考封包;
一收发接口,接收所述协定端口的一第一待分析封包;以及
一处理器,电性连接至所述储存器及所述收发接口,判断所述第一待分析封包的一当前封包长度以及一当前来源地址分别与所述至少一合法封包记录中的一参考封包记录所包含的所述合法封包长度及所述合法来源地址相同,藉由比对所述第一待分析封包与所述参考封包记录所对应的所述参考封包以确认所述第一待分析封包的一当前变动位置,且将所述当前变动位置与所述参考封包记录所包含的所述合法变动位置集合比对以产生一第一侦测结果。
2.如权利要求1所述的异常封包侦测装置,其特征在于,各所述至少一合法封包记录的所述合法变动位置集合包含至少一字节位置,
其中,所述第一侦测结果为所述当前变动位置并非所述参考封包记录所包含的所述合法变动位置集合所包含的所述至少一字节位置其中之一,且所述收发接口还传送一示警信号。
3.如权利要求1所述的异常封包侦测装置,其特征在于,各所述至少一合法封包记录的所述合法变动位置集合包含至少一字节位置,且各所述至少一字节位置对应至一合法出现值集合,
其中,所述第一侦测结果为所述当前变动位置为所述参考封包记录所包含的所述合法变动位置集合所包含的所述至少一字节位置其中之一,所述处理器还根据所述当前变动位置从所述至少一合法出现值集合找出一参考出现值集合,且所述处理器还将所述第一待分析封包于所述当前变动位置的一当前出现值与所述参考出现值集合比对以产生一第二侦测结果。
4.如权利要求3所述的异常封包侦测装置,其特征在于,所述参考出现值集合包含多个合法出现值,所述第二侦测结果为所述当前出现值并非所述等合法出现值其中之一,且所述收发接口还传送一示警信号。
5.如权利要求1所述的异常封包侦测装置,其特征在于,所述参考封包记录的所述合法变动位置集合包含至少一字节位置,各所述至少一字节位置对应至一合法出现值集合,所述至少一字节位置中的一特定字节位置对应至所述至少一合法出现值集合中的一特定出现值集合,且所述特定出现值集合所包含的多个合法出现值形成一出现模式,
其中,所述收发接口还接收多个第二待分析封包,所述处理器还判断各所述第二待分析封包的一当前封包长度以及一当前来源地址分别与所述参考封包记录所包含的所述合法封包长度及所述合法来源地址相同,所述处理器还将所述多个第二待分析封包及所述第一待分析封包于所述特定字节位置的多个当前出现值与所述出现模式比对以产生一第二侦测结果。
6.如权利要求1所述的异常封包侦测装置,其特征在于,所述白名单包含多个合法封包记录,所述储存器还储存所述协定端口的多个历史封包,各所述历史封包具有一历史封包长度且记录一历史来源地址,所述处理器还针对不同历史封包长度的所述多个历史封包产生一统计数据,各所述统计数据包含对应的所述历史封包长度、所述多个历史来源地址其中之一、与对应的所述历史封包长度相关的一计数、至少一历史变动位置以及各所述至少一历史变动位置的至少一历史出现值,且所述处理器还根据各所述统计数据产生所述多个合法封包记录其中之一。
7.如权利要求6所述的异常封包侦测装置,其特征在于,所述处理器判断一特定字节位置出现于各所述统计数据的所述至少一历史变动位置,所述处理器还从各所述统计数据的所述至少一历史变动位置移除所述特定字节位置。
8.如权利要求6所述的异常封包侦测装置,其特征在于,所述处理器还从所述多个统计数据中找出一特定统计数据,所述处理器还判断所述特定统计数据所包含的所述至少一历史变动位置中的一特定字节位置的一变动率高于一门槛值,所述处理器还从所述特定统计数据的所述至少一历史变动位置移除所述特定字节位置。
9.如权利要求6所述的异常封包侦测装置,其特征在于,所述处理器还从所述多个统计数据中确认所述多个历史来源地址中的一特定来源地址的一封包长度变化小于一门槛值,且所述处理器还确认所述特定来源地址对应至一主装置。
10.如权利要求1所述的异常封包侦测装置,其特征在于,所述储存器还储存所述协定端口的多个历史封包,各所述历史封包具有一历史封包长度且记录一历史来源地址,所述处理器还针对不同历史封包长度的所述多个历史封包产生一第一统计数据,各所述第一统计数据包含对应的所述历史封包长度、所述多个历史来源地址的至少其中之一、与对应的所述历史封包长度相关的一计数、至少一第一历史变动位置以及各所述至少一第一历史变动位置的至少一第一历史出现值,
其中,所述处理器还根据所述多个计数中的最大者从所述多个历史封包长度中确认一锁定封包长度,所述处理器还针对所述锁定封包长度及不同历史来源地址所形成的至少一组合个别地产生一第二统计数据,各所述至少一组合对应至所述多个历史封包的一子集,各所述至少一第二统计数据包含所述锁定封包长度、所述多个历史来源地址其中之一、与所述子集所包含的所述多个历史封包相关的一计数、至少一第二历史变动位置以及各所述至少一第二历史变动位置的至少一第二历史出现值,且所述处理器还根据所述至少一第二所述统计数据产生所述至少一合法封包记录。
11.如权利要求1所述的异常封包侦测装置,其特征在于,所述白名单包含多笔合法封包记录,所述储存器还储存所述协定端口的多个历史封包,各所述历史封包具有一历史封包长度且记录一历史来源地址,所述处理器还针对不同历史封包长度及不同历史来源地址所形成的多个组合个别地产生一统计数据,各所述组合对应至所述多个历史封包的一子集,各所述统计数据包含与所述子集所包含的所述多个历史封包相关的所述历史封包长度、所述历史来源地址、一计数、至少一历史变动位置以及各所述至少一历史变动位置的至少一历史出现值,且所述处理器还根据各所述统计数据产生所述多个合法封包记录其中之一。
12.一种异常封包侦测方法,适用于一电子计算装置,其特征在于,所述电子计算装置储存对应至一协定端口的一白名单,所述白名单包含至少一合法封包记录,各所述至少一合法封包记录包含一合法封包长度、一合法来源地址以及一合法变动位置集合,各所述至少一合法封包记录对应至一参考封包,所述异常封包侦测方法包含下列步骤:
接收所述协定端口的一第一待分析封包;
判断所述第一待分析封包的一当前封包长度以及一当前来源地址分别与所述至少一合法封包记录中的一参考封包记录所包含的所述合法封包长度及所述合法来源地址相同;
藉由比对所述第一待分析封包与所述参考封包记录所对应的所述参考封包以确认所述第一待分析封包的一当前变动位置;以及
将所述当前变动位置与所述参考封包记录所包含的所述合法变动位置集合比对以产生一第一侦测结果。
13.如权利要求12所述的异常封包侦测方法,其特征在于,各所述至少一合法封包记录的所述合法变动位置集合包含至少一字节位置,所述第一侦测结果为所述当前变动位置并非所述参考封包记录所包含的所述合法变动位置集合所包含的所述至少一字节位置其中之一,且所述异常封包侦测方法还包含下列步骤:
传送一示警信号。
14.如权利要求12所述的异常封包侦测方法,其特征在于,各所述至少一合法封包记录的所述合法变动位置集合包含至少一字节位置,各所述至少一字节位置对应至一合法出现值集合,所述第一侦测结果为所述当前变动位置为所述参考封包记录所包含的所述合法变动位置集合所包含的所述至少一字节位置其中之一,所述异常封包侦测方法还包含下列步骤:
根据所述当前变动位置从所述至少一合法出现值集合找出一参考出现值集合;以及
将所述第一待分析封包于所述当前变动位置的一当前出现值与所述参考出现值集合比对以产生一第二侦测结果。
15.如权利要求14所述的异常封包侦测方法,其特征在于,所述参考出现值集合包含多个合法出现值,所述第二侦测结果为所述当前出现值并非所述多个合法出现值其中之一,且所述异常封包侦测方法还包含下列步骤:
传送一示警信号。
16.如权利要求12所述的异常封包侦测方法,其特征在于,所述参考封包记录的所述合法变动位置集合包含至少一字节位置,各所述至少一字节位置对应至一合法出现值集合,所述至少一字节位置中的一特定字节位置对应至所述至少一合法出现值集合中的一特定出现值集合,所述特定出现值集合所包含的多个合法出现值形成一出现模式,且所述异常封包侦测方法还包含下列步骤:
接收多个第二待分析封包;
判断各所述第二待分析封包的一当前封包长度以及一当前来源地址分别与所述参考封包记录所包含的所述合法封包长度及所述合法来源地址相同;以及
将所述多个第二待分析封包及所述第一待分析封包于所述特定字节位置的多个当前出现值与所述出现模式比对以产生一第二侦测结果。
17.如权利要求12所述的异常封包侦测方法,其特征在于,所述白名单包含多笔合法封包记录,所述电子计算装置还储存所述协定端口的多个历史封包,各所述历史封包具有一历史封包长度且记录一历史来源地址,且所述异常封包侦测方法还包含下列步骤:
针对不同历史封包长度的所述多个历史封包产生一统计数据,其特征在于,各所述统计数据包含对应的所述历史封包长度、所述多个历史来源地址其中之一、与对应的所述历史封包长度相关的一计数、至少一历史变动位置以及各所述至少一历史变动位置的至少一历史出现值;以及
根据各所述统计数据产生所述多个合法封包记录其中之一。
18.如权利要求17所述的异常封包侦测方法,其特征在于,还包含下列步骤:
判断一特定字节位置出现于各所述统计数据的所述至少一历史变动位置;以及
从各所述统计数据的所述至少一历史变动位置移除所述特定字节位置。
19.如权利要求17所述的异常封包侦测方法,其特征在于,还包含下列步骤:
从所述多个统计数据中找出一特定统计数据;
判断所述特定统计数据所包含的所述至少一历史变动位置中的一特定字节位置的一变动率高于一门槛值;以及
从所述特定统计数据的所述至少一历史变动位置移除所述特定字节位置。
20.如权利要求17所述的异常封包侦测方法,其特征在于,还包还下列步骤:
从所述多个统计数据中确认所述多个历史来源地址中的一特定来源地址的一封包长度变化小于一门槛值;以及
确认所述特定来源地址对应至一主装置。
21.如权利要求12所述的异常封包侦测方法,其特征在于,所述电子计算装置还储存所述协定端口的多个历史封包,各所述历史封包具有一历史封包长度且记录一历史来源地址,且所述异常封包侦测方法还包含下列步骤:
针对不同历史封包长度的所述多个历史封包产生一第一统计数据,其中各所述第一统计数据包含对应的所述历史封包长度、所述多个历史来源地址的至少其中之一、与对应的所述历史封包长度相关的一计数、至少一第一历史变动位置以及各所述至少一第一历史变动位置的至少一第一历史出现值;
根据所述多个计数中的最大者从所述多个历史封包长度中确认一锁定封包长度;
针对所述锁定封包长度及不同历史来源地址所形成的至少一组合个别地产生一第二统计数据,其中各所述至少一组合对应至所述多个历史封包的一子集,各所述至少一第二统计数据包含所述锁定封包长度、所述多个历史来源地址其中之一、与所述子集所包含的所述多个历史封包相关的一计数、至少一第二历史变动位置以及各所述至少一第二历史变动位置的至少一第二历史出现值;以及
根据所述至少一第二所述统计数据产生所述至少一合法封包记录。
22.如权利要求12所述的异常封包侦测方法,其特征在于,所述白名单包含多笔合法封包记录,所述电子计算装置还储存所述协定端口的多个历史封包,各所述历史封包具有一历史封包长度且记录一历史来源地址,且所述异常封包侦测方法还包含下列步骤:
针对不同历史封包长度及不同历史来源地址所形成的多个组合个别地产生一统计数据,其中各所述组合对应至所述多个历史封包的一子集,各所述统计数据包含与所述子集所包含的所述多个历史封包相关的所述历史封包长度、所述历史来源地址、一计数、至少一历史变动位置以及各所述至少一历史变动位置的至少一历史出现值;以及
根据各所述统计数据产生所述多个合法封包记录其中之一。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109137275A TWI736456B (zh) | 2020-10-27 | 2020-10-27 | 異常封包偵測裝置及方法 |
| TW109137275 | 2020-10-27 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114513323A true CN114513323A (zh) | 2022-05-17 |
Family
ID=78283208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011237556.4A Pending CN114513323A (zh) | 2020-10-27 | 2020-11-09 | 异常封包侦测装置及方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11425094B2 (zh) |
| CN (1) | CN114513323A (zh) |
| TW (1) | TWI736456B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247404A (zh) * | 2008-03-24 | 2008-08-20 | 华为技术有限公司 | 一种媒体流检测的方法和装置 |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| US20170163670A1 (en) * | 2014-04-30 | 2017-06-08 | Hewlett Packard Enterprise Development Lp | Packet logging |
| CN106850637A (zh) * | 2017-02-13 | 2017-06-13 | 韩伟杰 | 一种基于流量白名单的异常流量检测方法 |
| TWM596496U (zh) * | 2019-12-20 | 2020-06-01 | 泓格科技股份有限公司 | 具自我學習功能的工業控制網路異常偵測裝置及其系統 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7873833B2 (en) * | 2006-06-29 | 2011-01-18 | Cisco Technology, Inc. | Detection of frequent and dispersed invariants |
| WO2018025258A1 (en) * | 2016-07-31 | 2018-02-08 | Fenror7 Ltd | Method and system for detecting movement of malware and other potential threats |
| CN108737447B (zh) * | 2018-06-22 | 2020-07-17 | 腾讯科技(深圳)有限公司 | 用户数据报协议流量过滤方法、装置、服务器及存储介质 |
-
2020
- 2020-10-27 TW TW109137275A patent/TWI736456B/zh active
- 2020-11-09 CN CN202011237556.4A patent/CN114513323A/zh active Pending
- 2020-11-23 US US17/102,209 patent/US11425094B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247404A (zh) * | 2008-03-24 | 2008-08-20 | 华为技术有限公司 | 一种媒体流检测的方法和装置 |
| US20170163670A1 (en) * | 2014-04-30 | 2017-06-08 | Hewlett Packard Enterprise Development Lp | Packet logging |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| CN106850637A (zh) * | 2017-02-13 | 2017-06-13 | 韩伟杰 | 一种基于流量白名单的异常流量检测方法 |
| TWM596496U (zh) * | 2019-12-20 | 2020-06-01 | 泓格科技股份有限公司 | 具自我學習功能的工業控制網路異常偵測裝置及其系統 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220131833A1 (en) | 2022-04-28 |
| TW202218381A (zh) | 2022-05-01 |
| US11425094B2 (en) | 2022-08-23 |
| TWI736456B (zh) | 2021-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Studnia et al. | A language-based intrusion detection approach for automotive embedded networks | |
| EP3635914B1 (en) | Anomaly detection in computer networks | |
| CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
| US20240073233A1 (en) | System and method for providing security to in-vehicle network | |
| EP2725512B1 (en) | System and method for malware detection using multi-dimensional feature clustering | |
| WO2018224669A1 (en) | Anomaly detection in computer networks | |
| WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
| WO2022088160A1 (zh) | 异常检测方法及装置 | |
| EP3547190B1 (en) | Attack detection device, attack detection method, and attack detection program | |
| US20200183373A1 (en) | Method for detecting anomalies in controller area network of vehicle and apparatus for the same | |
| JPWO2019225257A1 (ja) | 異常検知装置、異常検知方法およびプログラム | |
| KR20180021287A (ko) | 차량 침입 탐지 장치 및 방법 | |
| JP7255710B2 (ja) | 攻撃監視用センター装置、及び攻撃監視用端末装置 | |
| JPWO2019193786A1 (ja) | ログ出力方法、ログ出力装置及びプログラム | |
| CN111556473A (zh) | 一种异常访问行为检测方法及装置 | |
| JP6828632B2 (ja) | 検知装置、検知方法および検知プログラム | |
| US10666671B2 (en) | Data security inspection mechanism for serial networks | |
| US11606366B2 (en) | Using CRC for sender authentication in a serial network | |
| CN114513323A (zh) | 异常封包侦测装置及方法 | |
| CN114785543B (zh) | 一种车内网络跨域通信方法、计算机设备及智能终端 | |
| KR102295348B1 (ko) | 운영 기술 데이터의 보안 위협 분석 및 탐지 방법 | |
| WO2021131824A1 (ja) | 決定方法、決定システム及びプログラム | |
| WO2023233711A1 (ja) | 情報処理方法、異常判定方法、および、情報処理装置 | |
| CN114499949B (zh) | 设备绑定方法、装置、电子设备和计算机可读介质 | |
| CN116880319B (zh) | 工业控制系统中的上位机识别方法、系统、终端及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20220517 |