TW201029412A - Network attack detection systems and methods, and computer program products thereof - Google Patents
Network attack detection systems and methods, and computer program products thereof Download PDFInfo
- Publication number
- TW201029412A TW201029412A TW98101761A TW98101761A TW201029412A TW 201029412 A TW201029412 A TW 201029412A TW 98101761 A TW98101761 A TW 98101761A TW 98101761 A TW98101761 A TW 98101761A TW 201029412 A TW201029412 A TW 201029412A
- Authority
- TW
- Taiwan
- Prior art keywords
- packet
- packets
- network
- address
- attack
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
201029412 六、發明說明: 【發明所屬之技術領域】 本發明係有關於一種網路攻擊偵測系統及方法,且特 別有關於一種可以依據封包中的標頭資訊來進行網路攻 擊之偵測的系統及方法。 【先前技術】 阻斷服務(Denial of Service,DoS)攻擊為現今網路環 境中重大的網路安全威脅。DoS攻擊係攻擊者試圖阻止: 法使用者存取網路上某項服務所發動的攻擊,例如發動洪 水般的流量來癱瘓網路交通;阻斷兩台主機之間的連接; 造成某特定網路服務無法供人存取等。根據CSI/FBI電腦 犯罪與安全調查顯示,仍有25%的受訪者在2006年中曾 遭受DoS攻擊,另在赛門鐵克的網際網路安全威脅報告 指出,2006上半年每天平均有6,11〇次D〇s攻擊發生。 DoS攻擊的模式可以大致分為三種: 1>消耗不足的資源:消耗有限的或無法再生的資源。 ❹當達到該資源使用的瓶頸,即可能發生阻斷服務的狀態, 甚至造成系統當機或毁損。一旦攻擊停止後,不足的資源 可能立即被釋出,繼續提供正常的服務。此為D〇s攻擊 最常見的方式,如產生大量的網路、流量靈塞網路頻 小的區段,造成正常的使用者無法透過網路存取該服務。 例如對系統提出大量的服務需求,造成系統的中央處理哭 無法負荷或記憶體空間不足,而無法及時提供服務。例: 針對該系統的漏洞進行特定攻擊,造成系統痛疾或當機, 而必須重新啟動系統方可繼續提供服務。
0912-A51375TW/0970084TW 201029412
2>破壞或更改系統或網路的設定:利用系統的弱點或 系統的侵入,進而竄改其設定資訊,造成正常的使用者無 法存取服務。例如變更網路的路由表或是網域名稱轉換網 路位址的對映資訊V 3>實體的破壞或變更網路元件:對於提供服務之主 機、網路設備、機房的線路、空調威電力系統進行破壞, 造成服務中斷。
DoS攻擊的手法從早期偽造攻擊來源位址,到現在攻 擊者利用傀儡主機同時發動分散式阻斷服務(Distributed ί Denial of Service,DDoS)攻擊,增加了追蹤攻擊來源的困 難度。DDoS攻擊的特性在於可輕易地發動大規模攻擊, 而且又難於防禦。不論是否使用偽造網路位址的封包,被 攻擊者都無法簡單地辨別正常或攻擊的流量。 接下來介紹典型的DoS攻擊。Apache2攻擊是針對 Apache網頁伺服器傳送一個含有許多HTTP標頭的網頁 要求。一旦伺服器收到很多如此的網頁要求,將會減慢系 統的效能,甚至於當機。Back攻擊亦是針對Apache網頁 ❹伺服器,但在傳送的網頁要求中,網址包含了很多斜線(/) 的字元’造成伺服器效能減低。Land攻擊是向受害者傳 送一個旗標為SYN的封包,並偽造其來源端位址為受害 者本身。即來源端與目的端的位址相同,另外來源端通訊 埠與目的端通訊槔亦是相同。因此,可能造成受害者無法 處理而當機。Mailbomb攻擊是在短時間内大量地寄信到 受害郵件伺服器上的某一特定信箱,造成伺服器的郵件緩 衝區被塞滿而不能繼續提供服務。SYN Flood攻擊 (Neptune攻擊)是利用TCP三方交握(Three-way
0912-A51375TW/0970084TW 4 201029412
Handshake)的缺陷’在攻擊者送出旗標為SYN的封包要 求建立連線後,即使收到受害者的回應,也不會送出旗標 為ACK的封包(通常是使用偽造來源位址的攻擊封包,故 不會收到受害者的回應),造成三方交握並未完成。然而 文害者卻一直在等待攻擊者的回應,直到等待逾時後方釋 放該連線給其他人使用。因此,攻擊者對受害者大量地發 送建立連線的要求而超過連線數上限,造成受害者無法再 接受其他使用者的要求,亦即達成D〇s的目的。ping 〇f
Death(P0D)攻擊係利用IP封包大小不得超過65,535位元 ® 組的限制’因此攻擊者傳送資料量大於65,5〇7 bytes(65535-20-8=65507)的ICMP回應封包,造成受害者 進行封包重組時發生異常,而導致系統當機。process Table攻擊讓受害者產生超過上限數的程序(pr〇cess),導 致系統暫時無法再產生新的程序,例如持續地開啟受害者 的Finger服務。Smurf攻擊是對受害者的網路廣播位址傳 送一 ICMP請求封包,並偽造來源端位址為受害者,造成 受害者短時間内接收到區域網路内所有主機的ICMP回應 ❹ 封包。因此’上述的攻擊手法放大了攻擊流量,造成網路 頻寬大量地被消耗。Syslogd攻擊允許攻擊者從遠端停止 Solaris伺服器的Syslogd服務。當Solaris主機的Syslogd 服務接收到一個外部訊息時,將會進行來源端的位址網域 名稱解析’若該位址沒有一個有效的網域名稱解析記錄, 即會造成Syslogd當機^ Teardrop攻擊是對受害者傳送封 包分割位移地址重疊的UDP封包,造成受害者在重組封 包時發生異常而當機。Udpstorm攻擊是利用UDP協定的 Chargen或Echo服務,接收到此服務訊息者將回應給傳 0912-A51375TW/0970084TW 5 201029412 送者。因此,當攻擊者偽造來源端位址為受害者曱的UDP Chargen或Echo的^包給受害者乙,當受害者乙收到該 封包後’以為是受害者曱要求回應,故回應給受害者甲。 然而受害者甲收到受害者乙的封包後,也以為是受害者乙 要求回應,則繼續傳給受害者乙。如此循環下去則會造成 這兩個受害者永無止盡地消耗彼此的資源。 另一方面’攻擊者在執行入侵或攻擊活動之前,通常 會進行網路勘查工作,如腳印抬取(F〇otprinting)、掃描
(Scanning)、列舉(Enumel*ation)等,而後二者任務大多屬
於網路探測(Probe)攻擊。網路探測主要的目的可以獲取主 機基本的網路資訊,如網路位址、網域名稱等、獲取主機 基本的系統資訊,如硬體平台、作業系統及其版本等、及 獲取主機的應用程式資訊,如開啟的通訊埠、系統是否存 在漏洞等。網路探測活動對於網路運作或系統安全,並不 會產生太大的影響,但利用其所獲得的資訊一旦掌握在有 心人士手上,將有可能帶來嚴重的傷害。然而,全面防堵 網路探測活動,可能會帶來些許_與錢,原因在於網 路探測亦是網路管理上經常運用的手段。另外,攻擊者可 使用-些隱藏的方法,增加網路探測 隨機性的掃描或拉長掃描的間隔時間。的難X 接下來介紹典型的網路探測攻擊。Ipsweep通常是, p Ping的封包發送至某子網路,可能是循序或隨 ^選並特其回應讀取目標網路主機存活的 工呈,去map是一種普遍的網路掃 工具支k TCP SYN掃插、Tcp ACK掃描、Tcp刚
0912^A51375TW/0970084TW 6 201029412 描、UDP 掃描和 ICMP echo 掃描技術。SAINT(Security Administrator’s Integmed Netw〇rk 丁〇〇1)可對遠端主機執 行系見服務的弱點掃描,對於攻擊者來說是個很好的攻擊 工具。 雖然對於D〇S/DD〇S攻擊的研究已有相當長的歷史, 但至今仍沒有積極且全面的防禦機制。特別是針對DM 只能先採取消極的逃避策略,依舊會造成服務 中斷。從偵測與防禦攻擊的位置來看,愈接近受宝 者端愈容易偵測出DDqS攻擊,但防禦的效率卻不理想。; 反之愈接近攻擊來源端愈能完全防堵加。§
必須把所有網路上的封包納入偵測範圍,從而嚴重影塑J 門、首入α红杳# 務應商(ISP)或網際網路 入口、、丄常使用入侵摘測防絮系統侦測異 量’但該系統因需要執行深層檢測而’傳輸机 路來說n J 常警示。對於内部網 路采說亦而要一偵測系統來防禦網路攻擊。 【發明内容】 發明提供網路攻擊偵剛系統及方法。 析:元。封包收集單元於-網路中4; ==曰封包收集單元進行輕接,用以分析ί :‘頭依據每-封包之標頭判定是否發生'網 本發明實施例之一種網路攻擊偵測方法。首先,於一 網路中收集複數封包。之後,分析每—封包之標頭,且 據每一封包之標頭判定是否發生一網路攻擊。、
0912-A51375TW/0970084TW 201029412 本發明貫施例之一種網路攻擊 收集單元與—分析單元·= 貞統’包括-封包 路攻擊。其中,分析 1:二 ==發生-網 之複數來源端位址的數目是否大;之:等碩:一所二: ❿ 值’且判斷封包中具有相同尺寸之 ’已數目^大於或等於—第三門襤值 ===於第,值’特定目的端位= 值二具有相同尺寸之封包數 擊。分析單元係判斷封;μ;析c發生網路攻 現次數是否大於或等封二:-:=== : 屬於一網路連線封包的數目是否 ^於或等於一第五門播值。當特定來源端位址的出現次數 ❹ 等於第四門檀值,且包含狀來源端位址之每一封 二屬於:路連線封包的數目大於或等於 ::Γί::值傳送封包與接收封包的=
St::, 判斷封包中相應特定位址所接收 之封包的數目疋否小於一第七門檻值。當 於或等於第六門檻值,且相應特定:址所接 小於第七門檻值時’分析單元判定發生網 首先’於一 本發明實施例之一種網路攻擊偵測方法
0912-Α51375TW/0970084TW 201029412 集複數封包。接著,分析每-封包之標頭。之後, e it之標碩中所記錄不同之複數來源端位址的數目 Γ的端於—第—門捏值、判斷封包之標頭中一特定 出現次數是否大於或等於-第二嶋、且 第:γΠ有相同尺寸之封包數目是否大於或等於-Η把祐田不同之來源端位址的數目大於或等於第一 值1且^目的端他的出現次數大於或等於第二門檻 時,判定發生網路攻擊。之後,判斷封包之標 來源端位址的出現次數是否大於、 來源端位址之每-封包中屬於= 封匕的數目疋否大於或等於一第五Η檀值。當特定來源端 或等於第四門檀值’且包含特定來源 於第五大於或等 g-特定位址之傳送封包與接收封包 且判斷封包中相應特定位址所接收 之封包的數目是否小於一第七門插值。當 = 或等於第六門檻值’且相應特定位:所接 收之封包的數目小於筮被& 士 I伐 本發明上述方法可以透4式碼;網:二擊。 域本,上述目的二; 下文特舉貫把例,並配合所附圖示,詳細說明如下。 【實施方式】 第1圖顯线據本糾㈣例之㈣攻擊_系統。
0912-A51375TW/0970084TW 9 201029412 依據本發明實施例之網路攻擊偵測系統10包括一封 包收集單元12與一分析單元14。網路攻擊偵測系統10 可以透過一網路20與一網路交換器30進行耦接。封包收 集單元.12可以在網路交換器30上所傳送的複數候選封包 中以一特定頻率取樣一既定數目,如1 〇〇個封包,且將收 集到此既定數目之封包進行儲存。分析單元丨4可以對於 每一收集得到的封包分析其標頭部份,且判斷是否發生網 路攻擊。在一些實施例中’網路交換器3〇可以係具有切 換埠分析器(Switched Port Analyzer,SPAN)功能的網路交 換益。封包收集單元12可以透過一網路線連接至網路交 換器30的一切換埠分析器埠來複製與接收所有在網路交 換器30傳輸的網路封包。另外,在一些實施例中,分析 單元14可以另外透過一網路專線來連接至網路交換器 30,做為與網路父換器30溝通的專線,以避免因攻擊流 量過大而阻塞訊息傳遞。當判定發生網路攻擊時,分析單 元14可利用此專線設定網路交換器3〇的存取控制清單 φ (Access Co咖i List,ACL) ’以阻擒惡意來源位址的網路 封包。 第2圖顯不依據本發明實施例之網路攻擊偵測方法。 如步驟S202,由網路中之網路交換器收集且取樣 數目之封包。如步驟S2G4,分析每—收㈣ 頭,且如㈣·,依據分析每—收集到之 = 判斷是否發生網路攻擊。當判定並未發生網 7 = S208的是),如步驟_,傳送包括至步驟 取控制清單至網路交換器’使得網路交換器可:依
0912-Α51375TW/0970084TW 201029412 爷制清單阻擋由此惡意位址所發送之封包。 第3圖顯示依據本發明實施例之網路攻擊偵測方法。 在此實施例中,針對封包標頭中的至少一攔位可以計算相 應的熵(Entropy)值,且依據熵值可以判定是否發生網路攻. 擊。 如步驟S302,對於所有收集到的封包。計算相應封包 標頭中至少一攔位之熵值。 依據熵的理論:有一離散隨機變數 X={X1,X2,…,Xn},其熵值為 ® H{X) = E(I (X)) = ρ(χ,) l〇g2 p{xi) /=1 其中,I(X)為X的資訊量;p(xi)=pr(X=xi)為x的機 率質量函數;H(X)皆大於等於零。當pi=p2=". = pn時, H(X)有最大值為l〇g2(n)。例如,在1〇〇個IP封包中,其 協定攔位值出現為6(TCP協定)的機率為0.5、出現為 17(UDP協定)的機率為〇.25、出現為1(ICMP協定)的機率 為0.25 ’則協定欄位在此次取樣的燜值為 [〇.5*l〇g2(0.5)+0.25*l〇g2(0.25)+0.25*l〇g2(0.25)]=l.5。 如步驟S304,判斷這些封包之標頭中相應來源端位址 欄位之熵值是否大於或等於一第一門檻熵值,如5 ,且相 應目的端位址搁位之熵值是否小於或等於一第二門檻熵 值,如2。當相應來源端位址攔位之熵值並未大於或等於 第一門檻熵值或相應目的端位址攔位之熵值並未小於或 等於第二門檻熵值時(步驟S3〇4的否),流程結束(無網路 攻擊發生)。當相應來源端位址攔位之熵值大於或等於第 一門檻熵值且相應目的端位址攔位之熵值小於或等於第 二門檻烟值時(步驟S304的是),如步驟S306,判斷收集
0912-A51375TW/0970084TW 201029412 · ^的封包中具有相同尺寸之封包 第三門檻值,如30。若收隼 =否大於或f於一 封包數目並未大於或等於第具有相同尺寸之 流程結束(無網路攻擊發生當門收===的否), 尺寸之封包數目大於或的封包中具有相同 是),如步驟S规,判定發生驟S鳩的 更可以判斷發生的網路攻擊伟 一、施例中, 得注意的是,第-門錢攻擊。值 可以依據不同需求與應用進行設定門:熵:與:,門檻值 :3。6的判斷係用以加強網路攻擊_的、準二=:驟 在一些實施例中,步驟S3〇6亦可以省略。 然而 ,4顯示依據本發明另一實施例之 法。在此貫施例中,依據封包標頭 ^擎偵测方 況可以判定是否發生網路攻擊。、…'之位址的分散情 如步驟S402’判斷收集到封包 來源端位址的數目是否大於或等於;1錄^ = 到封包之一λ* r, 〕權值’且收集 •或等於一第'門;僧疋:的端位址的出現次數是否大於 A寻》第—Η檻值。值得注意的是 ===需求與應用進行設定。在:些實I: ▲值第一門檻值都可以設為3〇。举 源端位址的數目並未大於或等 =β 端:址的出現次數並未大於或等第於第=或值特時定二 位址2:數否d流二(Γ路攻擊發生)。當不同來源端
步驟剛,判斷收集到的封包中具有相同尺寸之疋封)包數 〇912-Α51375TW/0970084TW 12 201029412 目是否大於或等於第三門檻值。若收集到的封包中具有相 0· 同尺寸之封包數目並未大於或等於第三門檻值(步驟S404 的否),流程結束(無網路攻擊發生)。當收集到的封包中具 有相同尺寸之封包數目大於或等於第三門檻值時(步驟 S404的是),如步驟S406,判定發生網路攻擊。在一些實 施例中,更可以判斷在特定目的端位址發生一分散式阻斷 服務攻擊。類似地,步驟S404的判斷係用以加強網路攻 擊偵測的準確性。然而,在一些實施例中,步驟S404亦 可以省略。 • 第5顯示依據本發明另一實施例之網路攻擊偵測方 法。在此實施例中,依據封包是否為連線封包可以判定是 否發生網路攻擊。 如步驟S502,判斷收集到封包之標頭中一特定來源端 位址的出現次數是否大於或等於一第四門檻值,且包含此 特定來源端位址之封包中屬於網路連線封包的數目是否 大於或等於一第五門檻值。其中,判斷每一封包是否屬於 網路連線封包可以係判斷每一封包之標頭中的TCP(傳輸 φ 控制協定)旗標是否記錄為SYN(同步)。值得注意的是, 第四門檻值與第五門檻值可以依據不同需求與應用進行 設定。在一些實施例中,第四門檻值與第五門檻值都可以 設為20。當特定來源端位址的出現次數並未大於或等於 第四門檻值或包含此特定來源端位址之封包中屬於網路 連線封包的數目並未大於或等於第五門檻值時(步驟S502 的否),流程結束(無網路攻擊發生)。當特定來源端位址的 出現次數大於或等於第四門檻值或包含此特定來源端位 址之封包中屬於網路連線封包的數目大於或等於第五門 0912-A51375T W/0970084TW 13 201029412 檻值時(步驟S502的是),如步驟S504,判定發生網路攻 擊。在一些實施例中,更可以判斷此特定來源端位址發生 一網路探測攻擊。 第6顯示依據本發明另一實施例之網路攻擊偵測方 法。在此實施例中,依據封包的傳接比值可以判定是否發 生網路攻擊。 如步驟S602,判斷收集到之封包中相應一特定位址之 傳送封包與接收封包的傳接比值是否大於或等於一第六 門檻值,如5。其中,判定每一封包是否係此特定位址所 ❿ 傳送之封包可以透過判斷特定位址是否位於每一封包之 標頭中之來源位址欄位,以進行判定。另外,判定每一封 包是否係此特定位址所接收之封包可以透過判斷此特定 位址是否位於每一封包之標頭中之目的位址欄位,以進行 判定。傳接比值的計算公式為: 傳接比值=(傳送封包數+ 1)/(接收封包數+ 1)。 其中,因為接收封包數有可能為零,故將分子與分母 先加一後再相除。 φ 當傳送封包與接收封包的傳接比值並未大於或等於 第六門檻值時(步驟S602的否),流程結束(無網路攻擊發 生)。當傳送封包與接收封包的傳接比值大於或等於第六 門檻值時(步驟S602的是),如步驟S604,判斷收集到之 封包中相應此特定位址所接收之封包的數目是否小於一 第七門檻值,如10。當相應此特定位址所接收之封包的 數目並未小於第七門檻值時(步驟S604的否),流程結束 (無網路攻擊發生)。當相應此特定位址所接收之封包的數 目小於第七門檻值時(步驟S604的是),如步驟S606,判 0912-A51375TW/0970084TW 14 201029412 定發生網路攻擊。在一些實施例中 址發生-_服務攻‘。類㈣ 可以判斷此特定位 以加強網路攻擊偵測的準確性。秋=驟S604的判斷係用 步驟S604亦可以省略。 …、吨,在—些實施例中, 必須說明的是,第3圖至第6 攻擊之實施例。然而,在一些杳扩^为別介紹偵測網路 之實施例可以任意進行結合與;^ = 2 3圖至第6囷 擊偵測效果。 乂達更全面的網路攻 丨痛來分析網二網::二偵測系統及方法可以運用 痛值變化率/内容來偵測D〇s攻位的每次取樣 擊層出不窮的今日,各·網路探測。在網路攻 道入口經常使用A ^ # I’ 務供應商或網際網路閘 該系統因需要執行深層檢測而降低網路流量,但 理者也因此得處理其產生的異常邀效能,網路管 =禦,是普通公司行號可以Γ買 採購第二套系統以上。實 7貝的,甚至還需 ❹ 路,特別是網路緣蟲常先藉由掃据夕尋m是=内部網 透過本案所提出之網路 攻擊目払。因此, 一般主機上,扮演内部網路的守J護糸者统及方法可以建置於 本發明之方法,或特定型態或其部份,可 的型態存在。程式碼可以包含於實體媒體,如軟碟= 片、硬碟、或是任何其他機料讀取(如電腦可讀=存 媒體,亦或不限於外在形式之電腦程式產品,其中,杂二 式碼被機器,如電腦载入且執行時,此機器變成用以= 本發明之裝置。程式碼也可以透過一些傳送媒體,如電線
0912-A51375TW/0970084TW 15 201029412 或電纜、光纖、或是任何傳輸型態進行傳送,其中,當程 式碼被機器,如電腦接收、載入且執行時,此機器變成用 以參與本發明之裝置。當在一般用途處理單元實作時,程 式碼結合處理單元提供一操作類似於.應用特定邏輯電路 之獨特裝置。 雖然本發明已以較佳實施例揭露如上,然其並非用以 限定本發明,任何熟悉此項技藝者,在不脫離本發明之精 神和範圍内,當可做些許更動與潤飾,因此本發明之保護 範圍當視後附之申請專利範圍所界定者為準。
0912-A51375TW/0970084TW 16 201029412 【圖式簡單說明】 第1圖為一示意圖係顯示k據本發明實施例之網路攻 擊偵測系統。 .. 第2圖為一流程圖係顯示依據本發明實施例之網路攻 擊偵測方法。 第3圖為一流程圖係顯示依據本發明實施例之網路攻 擊偵測方法。 第4圖為一流程圖係顯示依據本發明另一實施例之網 路攻擊偵測方法。 參 第5圖為一流程圖係顯示依據本發明另一實施例之網 路攻擊偵測方法。 第6圖為一流程圖係顯示依據本發明另一實施例之網 路攻擊偵測方法。 【主要元件符號說明】 10〜網路攻擊偵測系統; 12〜封包收集單元;
14〜分析單元; 20〜網路; 30〜網路交換器; S202、S204、...、S210〜步驟; S302、S304、...、S308〜步驟; S402、S404、S406〜步驟; S502、S504〜步驟; S602、S604、S606〜步驟。 0912-A51375TW/0970084TW 17
Claims (1)
- 201029412 七、申請專利範圍: L—種網路攻擊偵測系統, 一封包收集單元,用以# . 及 用从於-網路中收集複數封包,、 —分析單元,與該封 ·. f-該等封包之標頭,且依:㈡分析 疋否發生一網路攻擊。 °等#已之該標碩到定 2.如申請專利範圍第μ 其中=請Λ=二所路攻擊_統’ 包中取樣一既定數目,以得到“。中之複數候選封 其中之網路攻擊_系統, 值,且判斷該等封包之=等於一第-門檀 現次數是否大於或等於一下、特疋目的端位址的出 端位址的數目大於當不同之該等來源 位ΐ的出現次數大端 判定發生該網路攻擊。 、〜刀析早元 其中^述之網路攻擊_系統, 阻斷服務攻擊。 特疋目的端㈣發生—分散式 其中路攻擊_統, 數目是否大於或等於第該等^有相同尺寸之封包 、第一門檻值,當不同之該等來源端 0912-A513 75TW/0970084TW 201029412 位址的數目大於或望认斗从 的出現次數大於或特定目的端位址 封包數目大於或等於一;且具有相同尺寸之 生該縟路攻擊。心二門檻糾,該分析單元到定發 阻斷服務攻;.該特定目的端位址發生-分散式 其中統, :、端位址的出現次數是否 二:頭中-特= =該特定來源端位址之每一該等封第包= 連線封包的數目是否大於十楚认雄 喝,,祠路 來源端位址的出現-欠數大^莖一第,門播值’當該特定 端:二== ί該二=或等於該第五η&值時’該分析單元判定發 1中9^^1專利範8項所述之網路攻侧測系統’ :二析,判斷每一該等封包是否屬於該網路連線 (二二二!:一該等封包之該標頭中-傳輸控制協定 ulp)旗私疋否記錄為同步(SYN)。 10. 如申請專利範圍f 8項所述之網路攻擊偵測 Ϊ測攻+/。分鮮以狀該蚊総齡㈣P網路 "、4 1 / t珂巴甲孑目應一特定位 得送封包與接收封包的比值是否大於或等於一第六 11. 如申請專利範圍第〗項所述之網路攻擊偵測系 統’其中該分析單元係判斷該等封包中相應一特定位址之 門檻 I封包斑旌拖私办从A /古i T ,、,,、 〇9] 2-A513 75TW/0970084TW 19 201029412 &值眸專送封包與接收封包的該比值大於戋等於,楚 統,其中該分述之網路攻擊偵測系 是否係該特定位址傳以判定每一該等封包 於每-該等封包之該二且判斷該特定位址是否位 -該否係該;定位址攔位,· 統,其中路攻擊偵測系 =::::=是否小二== 特定位址:==Γ該第六門插值,且該相應該 析單元匈定=::=目小於該第 如申請專利範圍第 統’其中該分析單元係判斷該特項定測系 中之一來源位址攔:位 址傳送之封包,且_該特:位=;位 一該等之該標頭中之—目的位址欄位,以判定每 ^專封包疋否係該特定位址接收之封包。 統,二範圍/2項所述之網路攻⑽ 括至少Γ發生該網路攻擊時,更傳送包 該網路;控制清單至該網路交換器,且 發送之存取控制清單阻擋由該惡意位址所 如申明專利範圍第15項所述之網路攻擊價測系 0912"Α51375tW/〇97〇〇84TW 20 201029412 # 統,其中該分析單元與該網路交換器間具有一 =單元係透過該專線傳送該存取控制清單至該“路= ^如申請專•利範圍帛丨項所述之網路攻擊 ί糰位中該分析單元料算每—料封包之·頭中至^ -攔位之—__py)值,且依據每— 中該欄位之該嫡值判定是否發生該網路攻擊。匕之該“ 如申請專利範圍第17項所述之網路攻擊 熇:Λ該等封包之該等標頭中相應-來源端位址攔;Ϊ ,之該熵值大於或等於一第一門檻熵值, = 日守該刀析早兀判定發生該網路攻擊。 统,r中如ϋ利^圍第18項所述之網路攻擊偵測系 更封包中具有相同尺寸之封 包數目疋否大於或等於一篦二 打 4® ^ φ ^ .年、第—門檻值,當該等封包之該等 祐頭中相應一來源端位址攔位之該 :=,該等標頭中相應一目的端位_= J 二門播熵值,且具有相同尺寸之封包數S 攻[、門播值時’該分析單元判定發生該網路 ^一種網路攻擊偵測方法,包括下列步驟: 於一網路中收集複數封包; 分析,一該等封包之標頭;以及 擊 依據每-該等封包之該標頭判定是否發生一網路攻 21.如申請專利範圍第2Q項所述之網路攻擊積測方 0912-A51375TW/0970084TW 21 201029412 路中之-網路交換器所收集。 法,更包括於該網路交# =項所述之網路攻擊偵測方 定數目,簡到封包中取樣-既 法,-擊偵測方 包之該標頭判定是;該等封 判斷該等封包之該粋=攻擊包括下列步驟: 端位址的數目是否A =_中所δ己錄不同之複數來源 現:該等標頭中-特定目的端位址的出 現1疋否大於或等於一第二門播值;以及址的出 門位址的數目大於或等於該第-二門植值時,判定發生ζ位網址路的攻出擊現次數大於或等於該第 法項所狀網路攻擊请測方 攻擊。k補疋目的職址發生-分散式阻斷服務 ❹ 包之奸腳w 4 標頭,且依據每—該等封 否發生該網路攻擊更包括下列步驟: 戋等於一;一2中具有相同尺寸之封包數目是否大於 次寻於第二門襤值;以及 門^4不二=等來源端位址的數目大於或等於該第一 f=,Z:目的端位址的出現次數大於或等於該第二 ^1.,、有相同尺寸之封包數目大於或等於該第二門 檻值時,判定發生該網路攻擊。 ^弟一門 0912-A51375TW/0970084TW 22 201029412 26. 如申請專利範圍第25項所述之網路攻擊偵測方 法,更包括判定該特定目的端位址發生一分散式阻斷服務 攻擊。 27. 如申請專利範圍第20項所述之網路攻擊偵測方 法,其中分析每一該等封包之該標頭,且依據每一該等封 包之該標頭判定是否發生該網路攻擊包括下列步驟: 判斷該等封包之該等標頭中一特定來源端位址的出 現次數是否大於或等於一第四門檻值; 判斷包含該特定來源端位址之每一該等封包中屬於 ❿ 一網路連線封包的數目是否大於或等於一第五門檻值:以 及 當該特定來源端位址的出現次數大於或等於該第四 門檻值,且包含該特定來源端位址之每一該等封包中屬於 該網路連線封包的數目大於或等於該第五門檻值時,判定 發生該網路攻擊。 28. 如申請專利範圍第27項所述之網路攻擊偵測方 法,其中判斷每一該等封包是否屬於該網路連線封包係判 φ 斷每一該等封包之該標頭中一傳輸控制協定(TCP)旗標是 否記錄為同步(SYN)。 29. 如申請專利範圍第27項所述之網路攻擊偵測方 法,更包括判定該特定來源端位址發生一網路探測攻擊。 30. 如申請專利範圍第20項所述之網路攻擊偵測方 法,其中分析每一該等封包之該標頭,且依據每一該等封 包之該標頭判定是否發生該網路攻擊包括下列步驟: 判斷該等封包中相應一特定位址之傳送封包與接收 封包的比值是否大於或等於一第六門檻值;以及 0912-A51375TW/0970084TW 23 201029412 PM撩二彳t送封包與接·收封包的該比值大於或等於节笛丄 門模值時,判定發生該網路攻擊。 W於該第六 法,圍第30項所述之網路攻擊偵測方 係透過判之封包 =收之封包係透過判斷:特二== 專封包之該標頭中之一目的位址搁位。母該 =·如申請專利範圍第3G項所述 r其中分析每-該等封包之該標頭,且依據 當傳送封包與接收封包的 == 相應該特定位址所接收之封包=:= 第七門播值時,判定發生該網路攻擊。 於該 鲁 33.如申請專利範圍第3〇項 =其中判斷每一該等封包是位 I:接判斷每一該等封包是否係該特定 等封包之該標頭中之一目的位址搁位。 母該 34.如申請專利範圍第 法,更包括下列步驟:項所述之網路攻擊伯測方 之 當判定發生該網路攻擊時,傳送包括至少一 存取控制清單至該網路交換器;以& — 0912-Α51375TW/0970084TW 24 201029412 址所器依據該存取控制清單阻擋由該惡意位 法,範㈣34項所述之網路攻擊價測方 線進^傳送 單係透過與該網路交換器間之一專 ❹ 法,i6·中H專利範圍第20項所述之網路攻擊制方 勺夕二1刀析每一該等封包之該標頭,且依據每一該等封 頭:定是否發生該網路攻擊包括下列步驟V (Entropy)^; ^封包之该標項中至少一攔位之-熵 是否發生:網包之該標頭中該襴位之該熵值判定 法’===項頭:r網路攻_方 =目的端位二r值 值時,判定發生該網路攻擊。 等於第一門檻熵 法,3=二='圍第37項所述之網路攻細方 或4斷具::同尺寸之封包數…大於 該熵;大3=3標:::應-來源端位址欄位之 有相同尺寸之封二門植烟值,且具 發生該網路攻擊。 飞寺於該第三門檻值時,判定 0912-A51375TW/0970084TW 25 201029412 39. —種網路攻擊偵測系統,包括: 及封包收集早凡’用以於一網路中收集複數封包;以 每-該S'!:禪:該單元進行輕接’用以分析 是否發生-網路2依據母一該等封包之該標頭莉定 ❿ 錄不等,之料铜中所記 門檻值’判斷該等封包之該等第― 二當來源 次數大於或等於該第二;; 值時,該分析單元判定發生:二=或 是否大於哎中一特定來源端位址的出現次數 位址之勺:,值,且判斷包含該特定來源端 大於或蓉於一V封^中屬於一網路連線封包的數目是否 數大於或箄門檀值’當該特定來源端位址的出現次 四門襤值,且包含該特定來源端位址之 該第五Η舞:主屬於該網路連線封包的數目大於或等於 "日’,該分析單元判定發生該網路攻擊,且該 二等:大包中相應-特定位址之傳送封包 兮望大於或等於一第六門檻值,且判斷 應該特定位址所接收之封包的數目是否小 ; 檻值’當傳送封包與接收封包的該比值大於或 0912-A51375TW/0970084TW 26 201029412 第:、p%值’且該相應該特定位址所接收之封包的 擊。於該第七門檻值時,該分析單元判定發生該網路攻 4〇·—種網路攻擊偵測方法,包括下列步驟··. 於一網路中收集複數封包; ^析每一該等封包之標頭; ❿ 等封包之該等標頭中所記錄不同之複數來源 包之該等押否大於或等於—第一門檻值、判斷該等封 或等二第$二二料目_^^^數是否大於 封包數目是;=等:判斷第該等封包中具有相同尺寸之 者/八於或荨於一第三門檻值; 門^不等來源端位址的數目大於或等於該第一 址的出現次數大於或等於該第二 檀值時,_發^包數目大於或等於該第三門 現-欠包之該等標頭中—特定來源端位址的出 來源端L止之每父::第二播值,且判斷包含該特定 目是:大於或等於㈣連線封包的數 門播現絲切或等於該第四 該網路連線封包的址之每-該等封包中屬於 發生該網路攻擊;切或纽該第五門檻值時,判定 封包二 包中相應該特定位址所接收之封包的;目 0912-A513 75TW/0970Q84TW 27 201029412 七門檻值;以及 門^傳日\封包與接收封包的該比值大“或等於該第- 第七門檻值時,判定發生該網路攻擊之封匕的數目小於該 41.種電腦程式產品,用以被一機n載n 路攻擊谓測方法,該電腦程式產品包機載入且執仃一網 二:-程式碼,用以於一網路中收集複數封包; -第以分析每一該等封包之標頭;以及 是否發生擊用以依據每-該等封包之該標頭判定 42·種電腦程式產品,用以被一機器裁人日刼/ 路攻㈣測方法,該電腦程式產品包载入且執行一網 二碼’用以於—網路中收集複數封包; 二分析每—該等封包之標頭;以及 第一釭式碼,用以判斷該 錄不同之複數來源端位址的數目是否 切記 ❹ 門檻值、觸該等封包之該等標頭中定5㈤第-出現次數是否大於或等於 、疋目的端位址的 中具有相同尺寸之封包數目第曰·;,值、且判斷該等封包 值; 心數目疋否大於或等於-第三門檻 一第四程式碼,用以當不同之 大於或等於該第一門檻值,該特定=源端位址的數目 大於或等於該第二門襤值,且且有相同=址的出現次數 定來源端位址的出現:d封包之該等標:中-特 ' a等於一第四門檻 0912-A51375TW/0970084TW 28 201029412 ' -:網路 =二來源端位址之每-該等封包中屬於 一$封包的數目是否大於或等於—第五門檻值; 大於㈣Ιΐΐί喝’用以當該特定來源端位址的出現次數 =第:門楹值,且包含該特定來源端位址之每·. 第in护:+屬於該網路連線封包的數目大於或等於該 第間檀值時,判定發生該網路攻擊; 之二式碼’用以判斷該等封包中相應一特定位址 挺禮迗、、已,、接收封包的比值是否大於或等於一第六門 判斷該等封包中相應該特定位址所接收之封包的 數目:否小於一第七門檻值;以及 士於八程式瑪’用以當傳送封包與接收封包的該比值 ;^於該第六門檻值,且該相應該特定位址所接收之 封0的數目小於該第七門檻值時,判定發生該網路攻擊。0912-A51375TW/0970084TW 29
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW98101761A TW201029412A (en) | 2009-01-17 | 2009-01-17 | Network attack detection systems and methods, and computer program products thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW98101761A TW201029412A (en) | 2009-01-17 | 2009-01-17 | Network attack detection systems and methods, and computer program products thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
TW201029412A true TW201029412A (en) | 2010-08-01 |
Family
ID=44854018
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW98101761A TW201029412A (en) | 2009-01-17 | 2009-01-17 | Network attack detection systems and methods, and computer program products thereof |
Country Status (1)
Country | Link |
---|---|
TW (1) | TW201029412A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI419531B (zh) * | 2010-10-20 | 2013-12-11 | Chunghwa Telecom Co Ltd | Web site attack detection system and method |
TWI489309B (zh) * | 2013-01-10 | 2015-06-21 | Nat Taiwan University Of Sience And Technology | 跨網站攻擊防禦系統及方法 |
TWI552077B (zh) * | 2015-02-12 | 2016-10-01 | 國立中央大學 | 虛擬機器即時轉移方法 |
TWI784938B (zh) * | 2017-01-24 | 2022-12-01 | 香港商阿里巴巴集團服務有限公司 | 電文清理方法及裝置 |
-
2009
- 2009-01-17 TW TW98101761A patent/TW201029412A/zh unknown
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI419531B (zh) * | 2010-10-20 | 2013-12-11 | Chunghwa Telecom Co Ltd | Web site attack detection system and method |
TWI489309B (zh) * | 2013-01-10 | 2015-06-21 | Nat Taiwan University Of Sience And Technology | 跨網站攻擊防禦系統及方法 |
TWI552077B (zh) * | 2015-02-12 | 2016-10-01 | 國立中央大學 | 虛擬機器即時轉移方法 |
US9898319B2 (en) | 2015-02-12 | 2018-02-20 | National Central University | Method for live migrating virtual machine |
TWI784938B (zh) * | 2017-01-24 | 2022-12-01 | 香港商阿里巴巴集團服務有限公司 | 電文清理方法及裝置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Berk et al. | Designing a framework for active worm detection on global networks | |
Binkley et al. | An algorithm for anomaly-based botnet detection. | |
Shin et al. | Conficker and beyond: a large-scale empirical study | |
Sieklik et al. | Evaluation of TFTP DDoS amplification attack | |
KR20130014226A (ko) | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 | |
Kshirsagar et al. | CPU load analysis & minimization for TCP SYN flood detection | |
Gao et al. | A machine learning based approach for detecting DRDoS attacks and its performance evaluation | |
Tritilanunt et al. | Entropy-based input-output traffic mode detection scheme for dos/ddos attacks | |
Xing et al. | Research on the defense against ARP spoofing attacks based on Winpcap | |
Bakos et al. | Early detection of internet worm activity by metering icmp destination unreachable messages | |
Gupta et al. | Detecting attacks in high-speed networks: Issues and solutions | |
Aqil et al. | Detection of stealthy TCP-based DoS attacks | |
Gupta et al. | Mitigation of dos and port scan attacks using snort | |
TW201029412A (en) | Network attack detection systems and methods, and computer program products thereof | |
Malliga et al. | A proposal for new marking scheme with its performance evaluation for IP traceback | |
WO2013189723A1 (en) | Method and system for malware detection and mitigation | |
Maheshwari et al. | Mitigation of ddos attacks using probability based distributed hop count filtering and round trip time | |
Sun et al. | SACK2: effective SYN flood detection against skillful spoofs | |
Wong et al. | An efficient distributed algorithm to identify and traceback ddos traffic | |
Li et al. | P4-NSAF: defending IPv6 networks against ICMPv6 DoS and DDoS attacks with P4 | |
Springall et al. | Per connection server-side identification of connections via Tor | |
Mopari et al. | Detection of DDoS attack and defense against IP spoofing | |
Mabsali et al. | Effectiveness of Wireshark Tool for Detecting Attacks and Vulnerabilities in Network Traffic | |
Iheagwara et al. | A comparative experimental evaluation study of intrusion detection system performance in a gigabit environment | |
Ragupathy et al. | Detecting Denial of Service Attacks by Analysing Network Traffic in Wireless Networks |