TW201029412A

TW201029412A - Network attack detection systems and methods, and computer program products thereof

Info

Publication number: TW201029412A
Application number: TW98101761A
Authority: TW
Inventors: Shi-Jinn Horng; Wen-Yang Luo
Original assignee: Univ Nat Taiwan Science Tech
Priority date: 2009-01-17
Filing date: 2009-01-17
Publication date: 2010-08-01

Description

201029412 六、發明說明：【發明所屬之技術領域】本發明係有關於一種網路攻擊偵測系統及方法，且特別有關於一種可以依據封包中的標頭資訊來進行網路攻擊之偵測的系統及方法。【先前技術】阻斷服務(Denial of Service，DoS)攻擊為現今網路環境中重大的網路安全威脅。DoS攻擊係攻擊者試圖阻止: 法使用者存取網路上某項服務所發動的攻擊，例如發動洪水般的流量來癱瘓網路交通；阻斷兩台主機之間的連接; 造成某特定網路服務無法供人存取等。根據CSI/FBI電腦犯罪與安全調查顯示，仍有25%的受訪者在2006年中曾遭受DoS攻擊，另在赛門鐵克的網際網路安全威脅報告指出，2006上半年每天平均有6，11〇次D〇s攻擊發生。 DoS攻擊的模式可以大致分為三種： 1>消耗不足的資源：消耗有限的或無法再生的資源。 ❹當達到該資源使用的瓶頸，即可能發生阻斷服務的狀態，甚至造成系統當機或毁損。一旦攻擊停止後，不足的資源可能立即被釋出，繼續提供正常的服務。此為D〇s攻擊最常見的方式，如產生大量的網路、流量靈塞網路頻小的區段，造成正常的使用者無法透過網路存取該服務。例如對系統提出大量的服務需求，造成系統的中央處理哭無法負荷或記憶體空間不足，而無法及時提供服務。例: 針對該系統的漏洞進行特定攻擊，造成系統痛疾或當機，而必須重新啟動系統方可繼續提供服務。

0912-A51375TW/0970084TW 201029412

2>破壞或更改系統或網路的設定：利用系統的弱點或系統的侵入，進而竄改其設定資訊，造成正常的使用者無法存取服務。例如變更網路的路由表或是網域名稱轉換網路位址的對映資訊V 3>實體的破壞或變更網路元件：對於提供服務之主機、網路設備、機房的線路、空調威電力系統進行破壞，造成服務中斷。

DoS攻擊的手法從早期偽造攻擊來源位址，到現在攻擊者利用傀儡主機同時發動分散式阻斷服務(Distributed ί Denial of Service，DDoS)攻擊，增加了追蹤攻擊來源的困難度。DDoS攻擊的特性在於可輕易地發動大規模攻擊，而且又難於防禦。不論是否使用偽造網路位址的封包，被攻擊者都無法簡單地辨別正常或攻擊的流量。接下來介紹典型的DoS攻擊。Apache2攻擊是針對 Apache網頁伺服器傳送一個含有許多HTTP標頭的網頁要求。一旦伺服器收到很多如此的網頁要求，將會減慢系統的效能，甚至於當機。Back攻擊亦是針對Apache網頁 ❹伺服器，但在傳送的網頁要求中，網址包含了很多斜線(/) 的字元’造成伺服器效能減低。Land攻擊是向受害者傳送一個旗標為SYN的封包，並偽造其來源端位址為受害者本身。即來源端與目的端的位址相同，另外來源端通訊埠與目的端通訊槔亦是相同。因此，可能造成受害者無法處理而當機。Mailbomb攻擊是在短時間内大量地寄信到受害郵件伺服器上的某一特定信箱，造成伺服器的郵件緩衝區被塞滿而不能繼續提供服務。SYN Flood攻擊 (Neptune攻擊）是利用TCP三方交握（Three-way

0912-A51375TW/0970084TW 4 201029412

Handshake)的缺陷’在攻擊者送出旗標為SYN的封包要求建立連線後，即使收到受害者的回應，也不會送出旗標為ACK的封包（通常是使用偽造來源位址的攻擊封包，故不會收到受害者的回應），造成三方交握並未完成。然而文害者卻一直在等待攻擊者的回應，直到等待逾時後方釋放該連線給其他人使用。因此，攻擊者對受害者大量地發送建立連線的要求而超過連線數上限，造成受害者無法再接受其他使用者的要求，亦即達成D〇s的目的。ping 〇f

Death(P0D)攻擊係利用IP封包大小不得超過65,535位元 ® 組的限制’因此攻擊者傳送資料量大於65,5〇7 bytes(65535-20-8=65507)的ICMP回應封包，造成受害者進行封包重組時發生異常，而導致系統當機。process Table攻擊讓受害者產生超過上限數的程序（pr〇cess)，導致系統暫時無法再產生新的程序，例如持續地開啟受害者的Finger服務。Smurf攻擊是對受害者的網路廣播位址傳送一 ICMP請求封包，並偽造來源端位址為受害者，造成受害者短時間内接收到區域網路内所有主機的ICMP回應 ❹ 封包。因此’上述的攻擊手法放大了攻擊流量，造成網路頻寬大量地被消耗。Syslogd攻擊允許攻擊者從遠端停止 Solaris伺服器的Syslogd服務。當Solaris主機的Syslogd 服務接收到一個外部訊息時，將會進行來源端的位址網域名稱解析’若該位址沒有一個有效的網域名稱解析記錄，即會造成Syslogd當機^ Teardrop攻擊是對受害者傳送封包分割位移地址重疊的UDP封包，造成受害者在重組封包時發生異常而當機。Udpstorm攻擊是利用UDP協定的 Chargen或Echo服務，接收到此服務訊息者將回應給傳 0912-A51375TW/0970084TW 5 201029412 送者。因此，當攻擊者偽造來源端位址為受害者曱的UDP Chargen或Echo的^包給受害者乙，當受害者乙收到該封包後’以為是受害者曱要求回應，故回應給受害者甲。然而受害者甲收到受害者乙的封包後，也以為是受害者乙要求回應，則繼續傳給受害者乙。如此循環下去則會造成這兩個受害者永無止盡地消耗彼此的資源。另一方面’攻擊者在執行入侵或攻擊活動之前，通常會進行網路勘查工作，如腳印抬取（F〇otprinting)、掃描

(Scanning)、列舉（Enumel*ation)等，而後二者任務大多屬

於網路探測（Probe)攻擊。網路探測主要的目的可以獲取主機基本的網路資訊，如網路位址、網域名稱等、獲取主機基本的系統資訊，如硬體平台、作業系統及其版本等、及獲取主機的應用程式資訊，如開啟的通訊埠、系統是否存在漏洞等。網路探測活動對於網路運作或系統安全，並不會產生太大的影響，但利用其所獲得的資訊一旦掌握在有心人士手上，將有可能帶來嚴重的傷害。然而，全面防堵網路探測活動，可能會帶來些許_與錢，原因在於網路探測亦是網路管理上經常運用的手段。另外，攻擊者可使用-些隱藏的方法，增加網路探測隨機性的掃描或拉長掃描的間隔時間。的難X 接下來介紹典型的網路探測攻擊。Ipsweep通常是, p Ping的封包發送至某子網路，可能是循序或隨 ^選並特其回應讀取目標網路主機存活的工呈，去map是一種普遍的網路掃工具支k TCP SYN掃插、Tcp ACK掃描、Tcp刚

0912^A51375TW/0970084TW 6 201029412 描、UDP 掃描和 ICMP echo 掃描技術。SAINT(Security Administrator’s Integmed Netw〇rk 丁〇〇1)可對遠端主機執行系見服務的弱點掃描，對於攻擊者來說是個很好的攻擊工具。雖然對於D〇S/DD〇S攻擊的研究已有相當長的歷史，但至今仍沒有積極且全面的防禦機制。特別是針對DM 只能先採取消極的逃避策略，依舊會造成服務中斷。從偵測與防禦攻擊的位置來看，愈接近受宝者端愈容易偵測出DDqS攻擊，但防禦的效率卻不理想。；反之愈接近攻擊來源端愈能完全防堵加。§

必須把所有網路上的封包納入偵測範圍，從而嚴重影塑J 門、首入α红杳# 務應商（ISP)或網際網路入口、、丄常使用入侵摘測防絮系統侦測異量’但該系統因需要執行深層檢測而’傳輸机路來說n J 常警示。對於内部網路采說亦而要一偵測系統來防禦網路攻擊。【發明内容】發明提供網路攻擊偵剛系統及方法。析:元。封包收集單元於-網路中4; ==曰封包收集單元進行輕接，用以分析ί :‘頭依據每-封包之標頭判定是否發生'網本發明實施例之一種網路攻擊偵測方法。首先，於一網路中收集複數封包。之後，分析每—封包之標頭，且據每一封包之標頭判定是否發生一網路攻擊。、

0912-A51375TW/0970084TW 201029412 本發明貫施例之一種網路攻擊收集單元與—分析單元·= 貞統’包括-封包路攻擊。其中，分析 1:二 ==發生-網之複數來源端位址的數目是否大;之:等碩:一所二： ❿ 值’且判斷封包中具有相同尺寸之 ’已數目^大於或等於—第三門襤值 ===於第，值’特定目的端位= 值二具有相同尺寸之封包數擊。分析單元係判斷封;μ;析c發生網路攻現次數是否大於或等封二:-:=== : 屬於一網路連線封包的數目是否 ^於或等於一第五門播值。當特定來源端位址的出現次數 ❹ 等於第四門檀值，且包含狀來源端位址之每一封二屬於:路連線封包的數目大於或等於 ::Γί::值傳送封包與接收封包的=

St::，判斷封包中相應特定位址所接收之封包的數目疋否小於一第七門檻值。當於或等於第六門檻值，且相應特定:址所接小於第七門檻值時’分析單元判定發生網首先’於一本發明實施例之一種網路攻擊偵測方法

0912-Α51375TW/0970084TW 201029412 集複數封包。接著，分析每-封包之標頭。之後， e it之標碩中所記錄不同之複數來源端位址的數目 Γ的端於—第—門捏值、判斷封包之標頭中一特定出現次數是否大於或等於-第二嶋、且第:γΠ有相同尺寸之封包數目是否大於或等於-Η把祐田不同之來源端位址的數目大於或等於第一值1且^目的端他的出現次數大於或等於第二門檻時，判定發生網路攻擊。之後，判斷封包之標來源端位址的出現次數是否大於、來源端位址之每-封包中屬於= 封匕的數目疋否大於或等於一第五Η檀值。當特定來源端或等於第四門檀值’且包含特定來源於第五大於或等 g-特定位址之傳送封包與接收封包且判斷封包中相應特定位址所接收之封包的數目是否小於一第七門插值。當 = 或等於第六門檻值’且相應特定位:所接收之封包的數目小於筮被& 士 I伐本發明上述方法可以透4式碼;網:二擊。域本，上述目的二; 下文特舉貫把例，並配合所附圖示，詳細說明如下。【實施方式】第1圖顯线據本糾㈣例之㈣攻擊_系統。

0912-A51375TW/0970084TW 9 201029412 依據本發明實施例之網路攻擊偵測系統10包括一封包收集單元12與一分析單元14。網路攻擊偵測系統10 可以透過一網路20與一網路交換器30進行耦接。封包收集單元.12可以在網路交換器30上所傳送的複數候選封包中以一特定頻率取樣一既定數目，如1 〇〇個封包，且將收集到此既定數目之封包進行儲存。分析單元丨4可以對於每一收集得到的封包分析其標頭部份，且判斷是否發生網路攻擊。在一些實施例中’網路交換器3〇可以係具有切換埠分析器（Switched Port Analyzer，SPAN)功能的網路交換益。封包收集單元12可以透過一網路線連接至網路交換器30的一切換埠分析器埠來複製與接收所有在網路交換器30傳輸的網路封包。另外，在一些實施例中，分析單元14可以另外透過一網路專線來連接至網路交換器 30，做為與網路父換器30溝通的專線，以避免因攻擊流量過大而阻塞訊息傳遞。當判定發生網路攻擊時，分析單元14可利用此專線設定網路交換器3〇的存取控制清單 φ (Access Co咖i List，ACL) ’以阻擒惡意來源位址的網路封包。第2圖顯不依據本發明實施例之網路攻擊偵測方法。如步驟S202,由網路中之網路交換器收集且取樣數目之封包。如步驟S2G4，分析每—收㈣頭，且如㈣·，依據分析每—收集到之 = 判斷是否發生網路攻擊。當判定並未發生網 7 = S208的是），如步驟_，傳送包括至步驟取控制清單至網路交換器’使得網路交換器可:依

0912-Α51375TW/0970084TW 201029412 爷制清單阻擋由此惡意位址所發送之封包。第3圖顯示依據本發明實施例之網路攻擊偵測方法。在此實施例中，針對封包標頭中的至少一攔位可以計算相應的熵（Entropy)值，且依據熵值可以判定是否發生網路攻. 擊。如步驟S302，對於所有收集到的封包。計算相應封包標頭中至少一攔位之熵值。依據熵的理論：有一離散隨機變數 X={X1，X2,…，Xn}，其熵值為 ® H{X) = E(I (X)) = ρ(χ,) l〇g2 p{xi) /=1 其中，I(X)為X的資訊量；p(xi)=pr(X=xi)為x的機率質量函數；H(X)皆大於等於零。當pi=p2=". = pn時， H(X)有最大值為l〇g2(n)。例如，在1〇〇個IP封包中，其協定攔位值出現為6(TCP協定）的機率為0.5、出現為 17(UDP協定）的機率為〇.25、出現為1(ICMP協定）的機率為0.25 ’則協定欄位在此次取樣的燜值為 [〇.5*l〇g2(0.5)+0.25*l〇g2(0.25)+0.25*l〇g2(0.25)]=l.5。如步驟S304,判斷這些封包之標頭中相應來源端位址欄位之熵值是否大於或等於一第一門檻熵值，如5 ,且相應目的端位址搁位之熵值是否小於或等於一第二門檻熵值，如2。當相應來源端位址攔位之熵值並未大於或等於第一門檻熵值或相應目的端位址攔位之熵值並未小於或等於第二門檻熵值時（步驟S3〇4的否），流程結束（無網路攻擊發生）。當相應來源端位址攔位之熵值大於或等於第一門檻熵值且相應目的端位址攔位之熵值小於或等於第二門檻烟值時（步驟S304的是），如步驟S306，判斷收集

0912-A51375TW/0970084TW 201029412 · ^的封包中具有相同尺寸之封包第三門檻值，如30。若收隼 =否大於或f於一封包數目並未大於或等於第具有相同尺寸之流程結束（無網路攻擊發生當門收===的否），尺寸之封包數目大於或的封包中具有相同是），如步驟S规，判定發生驟S鳩的更可以判斷發生的網路攻擊伟一、施例中，得注意的是，第-門錢攻擊。值可以依據不同需求與應用進行設定門：熵:與:，門檻值 :3。6的判斷係用以加強網路攻擊_的、準二=:驟在一些實施例中，步驟S3〇6亦可以省略。然而，4顯示依據本發明另一實施例之法。在此貫施例中，依據封包標頭 ^擎偵测方況可以判定是否發生網路攻擊。、…'之位址的分散情如步驟S402’判斷收集到封包來源端位址的數目是否大於或等於;1錄^ = 到封包之一λ* r, 〕權值’且收集 •或等於一第'門；僧疋：的端位址的出現次數是否大於 A寻》第—Η檻值。值得注意的是 ===需求與應用進行設定。在:些實I: ▲值第一門檻值都可以設為3〇。举源端位址的數目並未大於或等 =β 端:址的出現次數並未大於或等第於第=或值特時定二位址2:數否d流二(Γ路攻擊發生)。當不同來源端

步驟剛，判斷收集到的封包中具有相同尺寸之疋封)包數〇912-Α51375TW/0970084TW 12 201029412 目是否大於或等於第三門檻值。若收集到的封包中具有相 0· 同尺寸之封包數目並未大於或等於第三門檻值（步驟S404 的否），流程結束（無網路攻擊發生）。當收集到的封包中具有相同尺寸之封包數目大於或等於第三門檻值時（步驟 S404的是），如步驟S406，判定發生網路攻擊。在一些實施例中，更可以判斷在特定目的端位址發生一分散式阻斷服務攻擊。類似地，步驟S404的判斷係用以加強網路攻擊偵測的準確性。然而，在一些實施例中，步驟S404亦可以省略。 • 第5顯示依據本發明另一實施例之網路攻擊偵測方法。在此實施例中，依據封包是否為連線封包可以判定是否發生網路攻擊。如步驟S502,判斷收集到封包之標頭中一特定來源端位址的出現次數是否大於或等於一第四門檻值，且包含此特定來源端位址之封包中屬於網路連線封包的數目是否大於或等於一第五門檻值。其中，判斷每一封包是否屬於網路連線封包可以係判斷每一封包之標頭中的TCP(傳輸 φ 控制協定）旗標是否記錄為SYN(同步）。值得注意的是，第四門檻值與第五門檻值可以依據不同需求與應用進行設定。在一些實施例中，第四門檻值與第五門檻值都可以設為20。當特定來源端位址的出現次數並未大於或等於第四門檻值或包含此特定來源端位址之封包中屬於網路連線封包的數目並未大於或等於第五門檻值時（步驟S502 的否），流程結束（無網路攻擊發生）。當特定來源端位址的出現次數大於或等於第四門檻值或包含此特定來源端位址之封包中屬於網路連線封包的數目大於或等於第五門 0912-A51375T W/0970084TW 13 201029412 檻值時（步驟S502的是），如步驟S504，判定發生網路攻擊。在一些實施例中，更可以判斷此特定來源端位址發生一網路探測攻擊。第6顯示依據本發明另一實施例之網路攻擊偵測方法。在此實施例中，依據封包的傳接比值可以判定是否發生網路攻擊。如步驟S602,判斷收集到之封包中相應一特定位址之傳送封包與接收封包的傳接比值是否大於或等於一第六門檻值，如5。其中，判定每一封包是否係此特定位址所 ❿ 傳送之封包可以透過判斷特定位址是否位於每一封包之標頭中之來源位址欄位，以進行判定。另外，判定每一封包是否係此特定位址所接收之封包可以透過判斷此特定位址是否位於每一封包之標頭中之目的位址欄位，以進行判定。傳接比值的計算公式為：傳接比值=(傳送封包數+ 1)/(接收封包數+ 1)。其中，因為接收封包數有可能為零，故將分子與分母先加一後再相除。 φ 當傳送封包與接收封包的傳接比值並未大於或等於第六門檻值時（步驟S602的否），流程結束（無網路攻擊發生）。當傳送封包與接收封包的傳接比值大於或等於第六門檻值時（步驟S602的是），如步驟S604，判斷收集到之封包中相應此特定位址所接收之封包的數目是否小於一第七門檻值，如10。當相應此特定位址所接收之封包的數目並未小於第七門檻值時（步驟S604的否），流程結束 (無網路攻擊發生）。當相應此特定位址所接收之封包的數目小於第七門檻值時（步驟S604的是），如步驟S606，判 0912-A51375TW/0970084TW 14 201029412 定發生網路攻擊。在一些實施例中址發生-_服務攻‘。類㈣可以判斷此特定位以加強網路攻擊偵測的準確性。秋=驟S604的判斷係用步驟S604亦可以省略。 …、吨，在—些實施例中，必須說明的是，第3圖至第6 攻擊之實施例。然而，在一些杳扩^为別介紹偵測網路之實施例可以任意進行結合與;^ = 2 3圖至第6囷擊偵測效果。乂達更全面的網路攻丨痛來分析網二網::二偵測系統及方法可以運用痛值變化率/内容來偵測D〇s攻位的每次取樣擊層出不窮的今日，各·網路探測。在網路攻道入口經常使用A ^ # I’ 務供應商或網際網路閘該系統因需要執行深層檢測而降低網路流量，但理者也因此得處理其產生的異常邀效能，網路管 =禦，是普通公司行號可以Γ買採購第二套系統以上。實 7貝的，甚至還需 ❹ 路，特別是網路緣蟲常先藉由掃据夕尋m是=内部網透過本案所提出之網路攻擊目払。因此，一般主機上，扮演内部網路的守J護糸者统及方法可以建置於本發明之方法，或特定型態或其部份，可的型態存在。程式碼可以包含於實體媒體，如軟碟= 片、硬碟、或是任何其他機料讀取(如電腦可讀=存媒體，亦或不限於外在形式之電腦程式產品，其中，杂二式碼被機器，如電腦载入且執行時，此機器變成用以= 本發明之裝置。程式碼也可以透過一些傳送媒體，如電線

0912-A51375TW/0970084TW 15 201029412 或電纜、光纖、或是任何傳輸型態進行傳送，其中，當程式碼被機器，如電腦接收、載入且執行時，此機器變成用以參與本發明之裝置。當在一般用途處理單元實作時，程式碼結合處理單元提供一操作類似於.應用特定邏輯電路之獨特裝置。雖然本發明已以較佳實施例揭露如上，然其並非用以限定本發明，任何熟悉此項技藝者，在不脫離本發明之精神和範圍内，當可做些許更動與潤飾，因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。

0912-A51375TW/0970084TW 16 201029412 【圖式簡單說明】第1圖為一示意圖係顯示k據本發明實施例之網路攻擊偵測系統。 .. 第2圖為一流程圖係顯示依據本發明實施例之網路攻擊偵測方法。第3圖為一流程圖係顯示依據本發明實施例之網路攻擊偵測方法。第4圖為一流程圖係顯示依據本發明另一實施例之網路攻擊偵測方法。參第5圖為一流程圖係顯示依據本發明另一實施例之網路攻擊偵測方法。第6圖為一流程圖係顯示依據本發明另一實施例之網路攻擊偵測方法。【主要元件符號說明】 10〜網路攻擊偵測系統； 12〜封包收集單元；

14〜分析單元； 20〜網路； 30〜網路交換器； S202、S204、...、S210〜步驟； S302、S304、...、S308〜步驟； S402、S404、S406〜步驟； S502、S504〜步驟； S602、S604、S606〜步驟。 0912-A51375TW/0970084TW 17

Claims

201029412 七、申請專利範圍： L—種網路攻擊偵測系統，一封包收集單元，用以# . 及用从於-網路中收集複數封包，、 —分析單元，與該封 ·. f-該等封包之標頭，且依:㈡分析疋否發生一網路攻擊。 °等#已之該標碩到定 2.如申請專利範圍第μ 其中=請Λ=二所路攻擊_統’ 包中取樣一既定數目，以得到“。中之複數候選封其中之網路攻擊_系統，值，且判斷該等封包之=等於一第-門檀現次數是否大於或等於一下、特疋目的端位址的出端位址的數目大於當不同之該等來源位ΐ的出現次數大端判定發生該網路攻擊。、〜刀析早元其中^述之網路攻擊_系統，阻斷服務攻擊。特疋目的端㈣發生—分散式其中路攻擊_統，數目是否大於或等於第該等^有相同尺寸之封包、第一門檻值，當不同之該等來源端 0912-A513 75TW/0970084TW 201029412 位址的數目大於或望认斗从的出現次數大於或特定目的端位址封包數目大於或等於一;且具有相同尺寸之生該縟路攻擊。心二門檻糾，該分析單元到定發阻斷服務攻；.該特定目的端位址發生-分散式其中統， :、端位址的出現次數是否二:頭中-特= =該特定來源端位址之每一該等封第包= 連線封包的數目是否大於十楚认雄喝，，祠路來源端位址的出現-欠數大^莖一第，門播值’當該特定端:二== ί該二=或等於該第五η&值時’該分析單元判定發 1中9^^1專利範8項所述之網路攻侧測系統’ :二析，判斷每一該等封包是否屬於該網路連線 (二二二！：一該等封包之該標頭中-傳輸控制協定 ulp)旗私疋否記錄為同步（SYN)。 10. 如申請專利範圍f 8項所述之網路攻擊偵測 Ϊ測攻+/。分鮮以狀該蚊総齡㈣P網路 "、4 1 / t珂巴甲孑目應一特定位得送封包與接收封包的比值是否大於或等於一第六 11. 如申請專利範圍第〗項所述之網路攻擊偵測系統’其中該分析單元係判斷該等封包中相應一特定位址之門檻 I封包斑旌拖私办从A /古i T ,、，，、〇9] 2-A513 75TW/0970084TW 19 201029412 &值眸專送封包與接收封包的該比值大於戋等於，楚統，其中該分述之網路攻擊偵測系是否係該特定位址傳以判定每一該等封包於每-該等封包之該二且判斷該特定位址是否位 -該否係該;定位址攔位，· 統，其中路攻擊偵測系 =::::=是否小二== 特定位址:==Γ該第六門插值，且該相應該析單元匈定=::=目小於該第如申請專利範圍第統’其中該分析單元係判斷該特項定測系中之一來源位址攔:位址傳送之封包，且_該特:位=;位一該等之該標頭中之—目的位址欄位，以判定每 ^專封包疋否係該特定位址接收之封包。統，二範圍/2項所述之網路攻⑽ 括至少Γ發生該網路攻擊時，更傳送包該網路;控制清單至該網路交換器，且發送之存取控制清單阻擋由該惡意位址所如申明專利範圍第15項所述之網路攻擊價測系 0912"Α51375tW/〇97〇〇84TW 20 201029412 # 統，其中該分析單元與該網路交換器間具有一 =單元係透過該專線傳送該存取控制清單至該“路= ^如申請專•利範圍帛丨項所述之網路攻擊 ί糰位中該分析單元料算每—料封包之·頭中至^ -攔位之—__py)值，且依據每— 中該欄位之該嫡值判定是否發生該網路攻擊。匕之該“ 如申請專利範圍第17項所述之網路攻擊熇:Λ該等封包之該等標頭中相應-來源端位址攔;Ϊ ，之該熵值大於或等於一第一門檻熵值， = 日守該刀析早兀判定發生該網路攻擊。统，r中如ϋ利^圍第18項所述之網路攻擊偵測系更封包中具有相同尺寸之封包數目疋否大於或等於一篦二打 4® ^ φ ^ .年、第—門檻值，當該等封包之該等祐頭中相應一來源端位址攔位之該 :=，該等標頭中相應一目的端位_= J 二門播熵值，且具有相同尺寸之封包數S 攻[、門播值時’該分析單元判定發生該網路 ^一種網路攻擊偵測方法，包括下列步驟：於一網路中收集複數封包；分析，一該等封包之標頭；以及擊依據每-該等封包之該標頭判定是否發生一網路攻 21.如申請專利範圍第2Q項所述之網路攻擊積測方 0912-A51375TW/0970084TW 21 201029412 路中之-網路交換器所收集。法，更包括於該網路交# =項所述之網路攻擊偵測方定數目，簡到封包中取樣-既法，-擊偵測方包之該標頭判定是;該等封判斷該等封包之該粋=攻擊包括下列步驟：端位址的數目是否A =_中所δ己錄不同之複數來源現:該等標頭中-特定目的端位址的出現1疋否大於或等於一第二門播值；以及址的出門位址的數目大於或等於該第-二門植值時，判定發生ζ位網址路的攻出擊現次數大於或等於該第法項所狀網路攻擊请測方攻擊。k補疋目的職址發生-分散式阻斷服務 ❹ 包之奸腳w 4 標頭，且依據每—該等封否發生該網路攻擊更包括下列步驟：戋等於一；一2中具有相同尺寸之封包數目是否大於次寻於第二門襤值；以及門^4不二=等來源端位址的數目大於或等於該第一 f=，Z:目的端位址的出現次數大於或等於該第二 ^1.，、有相同尺寸之封包數目大於或等於該第二門檻值時，判定發生該網路攻擊。 ^弟一門 0912-A51375TW/0970084TW 22 201029412 26. 如申請專利範圍第25項所述之網路攻擊偵測方法，更包括判定該特定目的端位址發生一分散式阻斷服務攻擊。 27. 如申請專利範圍第20項所述之網路攻擊偵測方法，其中分析每一該等封包之該標頭，且依據每一該等封包之該標頭判定是否發生該網路攻擊包括下列步驟：判斷該等封包之該等標頭中一特定來源端位址的出現次數是否大於或等於一第四門檻值；判斷包含該特定來源端位址之每一該等封包中屬於 ❿ 一網路連線封包的數目是否大於或等於一第五門檻值：以及當該特定來源端位址的出現次數大於或等於該第四門檻值，且包含該特定來源端位址之每一該等封包中屬於該網路連線封包的數目大於或等於該第五門檻值時，判定發生該網路攻擊。 28. 如申請專利範圍第27項所述之網路攻擊偵測方法，其中判斷每一該等封包是否屬於該網路連線封包係判 φ 斷每一該等封包之該標頭中一傳輸控制協定（TCP)旗標是否記錄為同步（SYN)。 29. 如申請專利範圍第27項所述之網路攻擊偵測方法，更包括判定該特定來源端位址發生一網路探測攻擊。 30. 如申請專利範圍第20項所述之網路攻擊偵測方法，其中分析每一該等封包之該標頭，且依據每一該等封包之該標頭判定是否發生該網路攻擊包括下列步驟：判斷該等封包中相應一特定位址之傳送封包與接收封包的比值是否大於或等於一第六門檻值；以及 0912-A51375TW/0970084TW 23 201029412 PM撩二彳t送封包與接·收封包的該比值大於或等於节笛丄門模值時，判定發生該網路攻擊。 W於該第六法，圍第30項所述之網路攻擊偵測方係透過判之封包 =收之封包係透過判斷:特二== 專封包之該標頭中之一目的位址搁位。母該 =·如申請專利範圍第3G項所述 r其中分析每-該等封包之該標頭，且依據當傳送封包與接收封包的 == 相應該特定位址所接收之封包=:= 第七門播值時，判定發生該網路攻擊。於該鲁 33.如申請專利範圍第3〇項 =其中判斷每一該等封包是位 I:接判斷每一該等封包是否係該特定等封包之該標頭中之一目的位址搁位。母該 34.如申請專利範圍第法，更包括下列步驟：項所述之網路攻擊伯測方之當判定發生該網路攻擊時，傳送包括至少一存取控制清單至該網路交換器；以& — 0912-Α51375TW/0970084TW 24 201029412 址所器依據該存取控制清單阻擋由該惡意位法，範㈣34項所述之網路攻擊價測方線進^傳送單係透過與該網路交換器間之一專 ❹ 法，i6·中H專利範圍第20項所述之網路攻擊制方勺夕二1刀析每一該等封包之該標頭，且依據每一該等封頭：定是否發生該網路攻擊包括下列步驟V (Entropy)^; ^封包之该標項中至少一攔位之-熵是否發生:網包之該標頭中該襴位之該熵值判定法’===項頭:r網路攻_方 =目的端位二r值值時，判定發生該網路攻擊。等於第一門檻熵法，3=二='圍第37項所述之網路攻細方或4斷具::同尺寸之封包數…大於該熵;大3=3標:::應-來源端位址欄位之有相同尺寸之封二門植烟值，且具發生該網路攻擊。飞寺於該第三門檻值時，判定 0912-A51375TW/0970084TW 25 201029412 39. —種網路攻擊偵測系統，包括：及封包收集早凡’用以於一網路中收集複數封包；以每-該S'!:禪:該單元進行輕接’用以分析是否發生-網路2依據母一該等封包之該標頭莉定 ❿ 錄不等，之料铜中所記門檻值’判斷該等封包之該等第― 二當來源次數大於或等於該第二;; 值時，該分析單元判定發生:二=或是否大於哎中一特定來源端位址的出現次數位址之勺：，值，且判斷包含該特定來源端大於或蓉於一V封^中屬於一網路連線封包的數目是否數大於或箄門檀值’當該特定來源端位址的出現次四門襤值，且包含該特定來源端位址之該第五Η舞:主屬於該網路連線封包的數目大於或等於 "日’，該分析單元判定發生該網路攻擊，且該二等:大包中相應-特定位址之傳送封包兮望大於或等於一第六門檻值，且判斷應該特定位址所接收之封包的數目是否小 ; 檻值’當傳送封包與接收封包的該比值大於或 0912-A51375TW/0970084TW 26 201029412 第:、p%值’且該相應該特定位址所接收之封包的擊。於該第七門檻值時，該分析單元判定發生該網路攻 4〇·—種網路攻擊偵測方法，包括下列步驟··. 於一網路中收集複數封包； ^析每一該等封包之標頭； ❿ 等封包之該等標頭中所記錄不同之複數來源包之該等押否大於或等於—第一門檻值、判斷該等封或等二第$二二料目_^^^數是否大於封包數目是;=等：判斷第該等封包中具有相同尺寸之者/八於或荨於一第三門檻值；門^不等來源端位址的數目大於或等於該第一址的出現次數大於或等於該第二檀值時，_發^包數目大於或等於該第三門現-欠包之該等標頭中—特定來源端位址的出來源端L止之每父::第二播值，且判斷包含該特定目是:大於或等於㈣連線封包的數門播現絲切或等於該第四該網路連線封包的址之每-該等封包中屬於發生該網路攻擊；切或纽該第五門檻值時，判定封包二包中相應該特定位址所接收之封包的;目 0912-A513 75TW/0970Q84TW 27 201029412 七門檻值；以及門^傳日\封包與接收封包的該比值大“或等於該第- 第七門檻值時，判定發生該網路攻擊之封匕的數目小於該 41.種電腦程式產品，用以被一機n載n 路攻擊谓測方法，該電腦程式產品包機載入且執仃一網二：-程式碼，用以於一網路中收集複數封包； -第以分析每一該等封包之標頭；以及是否發生擊用以依據每-該等封包之該標頭判定 42·種電腦程式產品，用以被一機器裁人日刼/ 路攻㈣測方法，該電腦程式產品包载入且執行一網二碼’用以於—網路中收集複數封包；二分析每—該等封包之標頭;以及第一釭式碼，用以判斷該錄不同之複數來源端位址的數目是否切記 ❹ 門檻值、觸該等封包之該等標頭中定5㈤第-出現次數是否大於或等於、疋目的端位址的中具有相同尺寸之封包數目第曰·；，值、且判斷該等封包值；心數目疋否大於或等於-第三門檻一第四程式碼，用以當不同之大於或等於該第一門檻值，該特定=源端位址的數目大於或等於該第二門襤值，且且有相同=址的出現次數定來源端位址的出現:d封包之該等標:中-特 ' a等於一第四門檻 0912-A51375TW/0970084TW 28 201029412 ' -:網路 =二來源端位址之每-該等封包中屬於一$封包的數目是否大於或等於—第五門檻值；大於㈣Ιΐΐί喝’用以當該特定來源端位址的出現次數 =第：門楹值，且包含該特定來源端位址之每·. 第in护:+屬於該網路連線封包的數目大於或等於該第間檀值時，判定發生該網路攻擊；之二式碼’用以判斷該等封包中相應一特定位址挺禮迗、、已，、接收封包的比值是否大於或等於一第六門判斷該等封包中相應該特定位址所接收之封包的數目：否小於一第七門檻值；以及士於八程式瑪’用以當傳送封包與接收封包的該比值；^於該第六門檻值，且該相應該特定位址所接收之封0的數目小於該第七門檻值時，判定發生該網路攻擊。

0912-A51375TW/0970084TW 29