TW201707417A

TW201707417A - 適用於異質網路架構的異常預測方法及系統

Info

Publication number: TW201707417A
Application number: TW104126592A
Authority: TW
Inventors: 陳純晶; 陳志明
Original assignee: 緯創資通股份有限公司
Priority date: 2015-08-14
Filing date: 2015-08-14
Publication date: 2017-02-16
Also published as: US9813438B2; US20170048263A1; TWI583152B; CN106470206B; CN106470206A

Abstract

一種適用於異質網路架構的異常預測方法及系統。閘道器自電子裝置接收封包，並轉換封包使其符合交換格式。閘道器比對封包與安全政策。在閘道器判定封包無異常之後，傳送封包至控制器。控制器設定封包的優先權，並轉換封包至目的格式，及暫存封包至佇列。依據封包的優先權及目的位址，由控制器轉送封包至目的位址。

Description

適用於異質網路架構的異常預測方法及系統

本發明是有關於一種資料安全機制，且特別是有關於一種適用於異質網路架構的異常預測方法及系統。

網際網路的發展及運用不斷成長，由原本桌上型電腦的時代慢慢轉向為可攜式電腦的時代，到現今熱門的物聯網（ Internetof Things， IoT）時代，隨著科技的演進與創新，能夠連結網路的物品不再限制只有桌上型電腦、筆記型電腦、或智慧手機，而是期待所有的物品皆能連網，以便能隨時控管。基於此議題的發酵，各個領域及企業皆投入相當多的資源研發，也造成各企業採用的規格不一，造成前端及後端系統難以整合。

此外，連網物件不再只有電腦，各式物品連網後所產生的資料數據包含各式各樣的訊息，有一般資訊、垃圾資訊、緊急事件或其他許多有價值的資料。然而，當越來越多的資料或訊息皆需通過網際網路來傳遞，勢必引發網路頻寬及網路安全問題。傳統的網路防火牆只能作到限制開啟通行埠、偵測封包異常情況，並不能作到預測封包異常。

本發明提供一種適用於異質網路架構的異常預測方法及系統，在閘道器中實作一防火牆機制，可立即阻擋來歷不明的封包或惡意封包。

本發明的適用於異質網路架構的異常預測方法，包括：透過閘道器自電子裝置接收封包，並轉換封包使其符合交換格式，其中閘道器具有至少一第一安全政策；透過閘道器比對符合交換格式的封包與第一安全政策，以判斷封包是否異常；在判定封包無異常之後，透過閘道器傳送封包至控制器，而透過控制器基於至少一第二安全政策設定封包的優先權；透過控制器轉換符合交換格式的封包至目的格式，並暫存封包至佇列（queue）；以及依據封包的優先權及目的位址，由控制器轉送封包至目的位址。

在本發明的一實施例中，上述第一安全政策記錄有安全規則以及相對應的處理動作。閘道器在接收第一安全政策之後，轉換第一安全政策為符合閘道器的儲存表的格式，以寫入第一安全政策至儲存表。寫入第一安全政策至儲存表的步驟包括：寫入安全規則至規則欄位；以及寫入處理動作至動作欄位，其中儲存表還包括狀態欄位，狀態欄位記錄閘道器接收到封包的封包計數。

在本發明的一實施例中，上述基於第一安全政策，透過閘道器判斷符合交換格式的封包是否異常的步驟包括：比對所接收的封包與安全規則；以及在判定封包與安全規則相匹配時，透過閘道器獲得相匹配的安全規則所對應的處理動作。

在本發明的一實施例中，在處理動作為啟動（active）動作的情況下，透過閘道器直接傳送封包至控制器。在處理動作為過濾（filter）動作的情況下，透過閘道器調整封包後，傳送封包至控制器。在處理動作為阻隔（block）動作的情況下，透過閘道器阻隔封包，使得閘道器不傳送封包。

在本發明的一實施例中，上述第二安全政策記錄有安全規則以及優先權資訊。透過控制器轉換第二安全政策為符合控制器的儲存表的格式，以寫入第二安全政策至儲存表。寫入第二安全政策至儲存表的步驟包括：寫入安全規則至規則欄位；以及寫入優先權資訊至優先權欄位。

在本發明的一實施例中，上述透過閘道器傳送封包至制器之後，控制器比對所接收的封包與安全規則；以及在判定封包與安全規則相匹配時，基於該優先權資訊來設定該封包的該優先權。

在本發明的一實施例中，上述異常預測方法更包括：透過控制器來產生第一安全政策與第二安全政策，並透過控制器傳送第一安全政策至閘道器。產生第一安全政策與第二安全政策的步驟包括：分析多個封包記錄，以獲得異常群組以及誤用群組；自異常群組獲得正向樣本，並自誤用群組獲得負向樣本；以及基於正向樣本以及負向樣本，建立第一安全政策與第二安全政策。

在本發明的一實施例中，上述封包記錄儲存在訓練資料庫，而正向樣本與負向樣本儲存在模式（pattern）資料庫。

在本發明的一實施例中，上述在透過閘道器傳送封包至控制器的步驟之後，更可透過控制器判斷傳送封包的閘道器是否合法。在判定閘道器合法時，透過控制器轉換符合交換格式的封包至目的格式。在判定閘道器不合法時，不轉送封包至目的位址。

在本發明的一實施例中，依據封包所記錄的優先權及目的位址，由控制器轉送封包至目的位址的步驟包括：由控制器傳送封包至閘道器，再由閘道器傳送封包至目的位址。

在本發明的一實施例中，上述交換格式為多協定標記交換格式（Multi-Protocol Label Switching，MPLS），而轉換封包使其符合交換格式的步驟包括：在封包中插入標記標頭（label header），其中標記標頭包括標記轉換路徑。

本發明的適用於異質網路架構的異常預測系統，包括：閘道器以及異常預測裝置。閘道器具有至少一第一安全政策。控制器包括協定轉換器。閘道器自電子裝置接收封包，並轉換封包使其符合交換格式，並比對符合交換格式的封包與第一安全政策，以判斷封包是否異常，進而在判定封包無異常之後，傳送封包至控制器。控制器在接收到封包之後，基於第二安全政策設定封包的優先權，並轉換符合交換格式的封包至目的格式，以及暫存封包至佇列。並且，依據封包的優先權及目的位址，由控制器轉送封包至目的位址。

基於上述，透過與上述安全政策的比對，可將異常的封包直接丟棄不處理，而將正常的封包放入佇列中，並依照佇列中各封包的優先權而依序將封包傳送至目的位址。即，利用優先權來達成流量的控管。另外，由於閘道器所判定的異常封包並不會儲存至佇列中，因此可加快其他封包的傳送速度，可做到即時分流，達到網路流量負載平衡功能。

為讓本發明的上述特徵和優點能更明顯易懂，下文特舉實施例，並配合所附圖式作詳細說明如下。

圖1 是依照本發明一實施例的適用於異質網路架構的異常預測系統的方塊圖。請參照圖1，異常預測系統100 包括異常預測裝置10 以及閘道器20。閘道器20 的數量可以為一個或多個。異常預測裝置10 可以透過有線或無線的方式耦接至閘道器20。在本實施例中，閘道器20 耦接至一或多台電子裝置30。閘道器20由軟體來實現，而以軟體定義（ software-defined）來實現，進而可安裝在各種平台上，如個人電腦、筆記型電腦、平板電腦、智慧手機、智慧手錶、連網電視、代理伺服器、伺服器等等。

舉例來說，異常預測系統100可應用於基於智慧居家醫療照護環境的物聯網（Internet of Things，IoT）。此時，電子裝置30例如為智慧冷氣、智慧電視、智慧冰箱、智慧衣服、智慧手錶等具有感測元件以及連網功能的電子產品。然，上述僅為其中一種應用，並不以此限縮異常預測系統100的應用範圍。

異常預測裝置10例如為伺服器、個人電腦、筆記型電腦、平板電腦、智慧型手機等具有運算能力的裝置。異常預測裝置10用以依據多個封包記錄來產生安全政策（policy）。而這些封包記錄包括由閘道器20或電子裝置30所回傳的封包記錄，也可以包括由外部的資訊交換平台（未繪示）所提供的封包記錄。在資料交換平台中的封包記錄可以是由廠商或其他使用者分享。

異常預測裝置10包括控制器110、訓練資料庫120、模式（pattern）資料庫130以及傳輸模組140。控制器110例如為中央處理單元（Central Processing Unit，CPU）、可程式化之微處理器（Microprocessor）、嵌入式控制晶片、數位訊號處理器（Digital Signal Processor，DSP）、特殊應用積體電路（Application Specific Integrated Circuits，ASIC）或其他類似裝置。

控制器110還包括了協定轉換器111、裝置管理伺服器112、佇列（queue）113、分類器114、識別器115以及產生器116。本實施例例如是以程式碼來實現異常預測方法。利用程式碼來實現上述協定轉換器111、裝置管理伺服器112、佇列113、分類器114、識別器115以及產生器116的功能。上述協定轉換器111、裝置管理伺服器112、佇列113、分類器114、識別器115以及產生器116是由一或多個程式碼片段所組成，上述程式碼片段在被安裝後，會由控制器110來執行。在其他實施例中，上述協定轉換器111、裝置管理伺服器112、佇列113、分類器114、識別器115以及產生器116亦可以由硬體處理器或者由一個或多個邏輯閘晶片來實現。

訓練資料庫120儲存多個封包記錄。模式資料庫（pattern database）130用以儲存經由訓練（training）所獲得的樣本特徵。詳細地說，透過閘道器20來收集各電子裝置30的封包記錄，並且透過閘道器20將所收集的封包記錄傳送至異常預測系統的訓練資料庫120。並且，由控制器110來對這些封包記錄進行分析、歸類、辨識等，進而建置出模式資料庫130。

具體而言，控制器110透過分類器114、識別器115以及產生器116，基於誤用群組及異常群組來建立安全政策；並且，透過協定轉換器111、裝置管理伺服器112及佇列113來協助轉發封包。

分類器114分析多個封包記錄，以獲得該異常群組以及該誤用群組。例如，分類器114利用最近鄰居（K-Nearest Neighbors，KNN）演算法來執行誤用偵測（misuse detection）及異常偵測（anomaly detection）。藉由誤用偵測來獲得誤用群組及藉由異常偵測來獲得異常群組。並且，將誤用群組及異常群組儲存至模式資料庫130。

識別器115自異常群組獲得正向樣本，並自誤用群組獲得負向樣本。在此，識別器115先將已知為病毒或異常的封包切割為最小單位，例如為標籤（tag）、欄位（column）等單位，並且定義各個標籤（tag）。例如，“標籤1”為時間戳記（timestamp）、“標籤2”為來源位址、“標籤3”為封包尺寸、“標籤4”為協定型態（protocol type）。

誤用偵測是將各種已知的入侵模式或攻擊行為等特徵建成資料庫，以模式配對（Pattern Matching）的方式來分析比對來源資料是否有入侵模式或攻擊行為等模式，若有，則判斷其為入侵。誤用偵測所獲得的是負向樣本。

而異常偵測會先建立使用者的一般設定檔（normal profile），定義正常的標準值，若偵測到某些行為超過標準值，則判定有入侵行為發生。異常偵測所獲得的是正向樣本。即，正向樣本可用以規範網路正常行為，凡不在此正常行為範圍者，都視為異常。特徵樣本亦可規範網路不正常行為，凡不在此特徵行為範圍者，都視為正常。

例如，將符合下述條件的封包設定至異常群組，即，每秒鐘的封包計數（packet count）小於5，封包大小小於100K，埠口80，以及來自相同的網際網路（Internet protocol，IP）位址的目的IP位址。

產生器116基於正向樣本以及負向樣本，建立第一安全政策以及第二安全政策。上述第一安全政策供閘道器20使用，而第二安全政策供控制器110使用。例如，產生器116依據正向樣本的特徵來建立對應的第一安全政策以及第二安全政策，並且依據負向樣本的特徵來建立對應的第一安全政策以及第二安全政策。例如，第一安全政策中規範了如下的條件，即，每秒鐘的封包計數小於10，埠口80，封包大小小於或等於343位元組（bytes），對話計數（session count）大於或等於50，而將不符合上述條件的封包視為是異常封包。

例如，以異常偵測為例，控制器110透過資料分析來設定壅塞門檻值的合理數值範圍。接著，基於壅塞門檻值以及異常群組中累積至目前的封包記錄，來建立第一安全政策以及第二安全政策。誤用偵測亦以此類推。上述安全政策例如為使用權限、使用頻率、資料量、優先權至少其中之一或其組合，然並不以此為限。

之後，控制器110透過傳輸模組140將第一安全政策傳送至閘道器20，藉由將第一安全政策記錄在閘道器20中來實現防火牆的功能。在接收到第一安全政策之後，閘道器20會進一步將第一安全政策轉換為符合其儲存表150的格式，以寫入第一安全政策至儲存表150。

圖2是依照本發明一實施例的閘道器的儲存表的示意圖。第一安全政策記錄有安全規則以及相對應的處理動作。閘道器20在接收到第一安全政策之後，會將第一安全政策轉換為符合其儲存表150的格式，而將安全規則與處理動作寫入至對應的欄位中。

請參照圖2，儲存表150包括三個欄位，即，規則欄位F1、動作欄位F2以及狀態欄位F3。閘道器20在獲得第一安全政策之後，將安全規則寫入至規則欄位F1，並且將處理動作寫入至動作欄位。處理動作例如啟動（active）動作、過濾（filter）動作或阻隔（block）動作。規則欄位F1包括來源/目的欄位F11、標籤（tag）欄位F12以及特徵欄位F13。來源/目的欄位F11記錄IP位址或是媒體存取控制器（medium access controller，MAC）位址。標籤欄位F12記錄執行動作。特徵欄位F13記錄標籤的內容參數。動作欄位F2記錄處理動作。狀態欄位F3記錄封包計數及會話計數。

在本實施例中，當所匹配的安全規則對應的處理動作為過濾動作或阻隔動作時，判定封包為異常。而當所匹配的安全規則對應的處理動作為啟動動作時，判定封包無異常。而在處理動作為啟動動作的情況下，透過閘道器20直接傳送封包至控制器110。在處理動作為過濾動作的情況下，透過閘道器20調整封包後，傳送封包至控制器110。在處理動作為阻隔動作的情況下，透過閘道器20阻隔此封包，使得此封包不會傳送至控制器110。

另外，在其他實施例中，第一安全政策中的安全規則亦可以僅是用來定義所接收的封包是否為合法的安全規則，進而對應的動作欄位則是記錄在判定封包為不合法（異常）的情況下的防止異常動作（過濾動作或阻隔動作）。例如，當封包與安全規則相匹配時，判定無異常，則直接傳送封包至控制器110。當封包未與安全規則相匹配時，判定為異常，進而讀取對應的動作欄位來獲得處理動作。

圖4是依照本發明一實施例的控制器的儲存表的示意圖。第二安全政策記錄有安全規則以及優先權資訊。控制器110轉換第二安全政策為符合控制器110的儲存表410的格式，而將安全規則與優先權資訊寫入至對應的欄位中。

請參照圖4，儲存表410包括兩個欄位，即，規則欄位F5以及優先權欄位F6。規則欄位F5用以記錄安全規則，其與圖2所示的規則欄位F1相同，故，在此不再贅述。優先權欄位F6用以記錄優先權資訊。在閘道器20傳送封包至制器110之後，控制器110比對所接收的封包與安全規則，而在判定封包與安全規則相匹配時，基於優先權資訊來設定封包的優先權。

底下搭配上述異常預測系統100來說明異常預測方法的各步驟。圖3是依照本發明一實施例的適用於異質網路架構的異常預測方法的流程圖。請同時參照圖1及圖3，在步驟S305中，透過閘道器20自電子裝置30接收封包，並轉換此封包使其符合一交換格式。在此，閘道器20為了適應各種封包格式而提供了一種交換格式。上述交換格式例如多協定標記交換（Multi-Protocol Label Switching，MPLS）格式。

MPLS是一種整合了標籤交換架構與網路層的路由機制的技術，其概念是將進入閘道器20的封包配置一個固定長度的標記標頭（label header），之後便能夠根據封包中的標記標頭來執行轉發（forward）動作。一般而言，標記標頭是插入於封包（Packet）的第二層資料鏈結層（data link layer）與第三層網路層（network layer）的標頭之間。而在標記標頭中記錄標記轉換路徑。據此，在後續轉送過程中便是透過標記標頭來決定封包在網路上的傳送路徑，而不會去讀取第三層的標頭。

接著，在步驟S310中，透過閘道器20來比對符合交換格式的封包與第一安全政策。閘道器20比對所接收的封包與儲存表安全規則。在判定封包與安全規則相匹配時，透過閘道器20獲得相匹配的安全規則所對應的處理動作。處理動作例如啟動（active）動作、過濾（filter）動作或阻隔（block）動作。

在處理動作為啟動動作的情況下，透過閘道器20直接傳送封包至控制器110。在處理動作為過濾動作的情況下，透過閘道器20調整封包後，傳送封包至控制器110。在處理動作為阻隔動作的情況下，透過閘道器20阻隔此封包，使得此封包不會傳送至控制器110。另外，在處理動作為阻隔動作的情況下，還可進一步透過閘道器20傳送封包至控制器110或另一個閘道器。

之後，在步驟S315中，在判定封包無異常之後，透過閘道器20傳送封包至控制器110，而透過控制器110基於第二安全政策設定封包的優先權。此時，所傳送的封包為符合交換格式。

當封包進入到閘道器20時，閘道器20會查詢所記載的第一安全政策，以判斷封包是否異常。而不管封包是否異常皆會累計封包計數。據此，可進一步統計在一時間區段內所接收到的封包的數量，而可以此封包計數來進一步更新安全政策。例如，以原本第一安全政策中所設定的壅塞門檻值最大為5次/10秒而言，假設在10秒內自來源位址aa接收到10次的封包，則前5次所接收的封包皆會被執行，而在第6次之後接收到的封包將不會被執行。而在將這次的接收記錄回傳至控制器110後，控制器110會去更新第一、第二安全政策，例如，直接封鎖來源位址aa，拒絕來源位址aa所傳送的封包。然，上述僅為舉例說明，並不以此為限。

在控制器110接收到封包之後，控制器110會基於第二安全政策中的優先權資訊來設定封包的優先權。並且，在接收到封包之後，控制器110還可進一步依據儲存表410來比對所接收的封包與安全規則，而在判定封包與安全規則相匹配時，基於優先權資訊來設定封包的優先權。

例如，優先權資訊包括三個標籤（tag），標籤1為目的位址（IP=10.25.1.1），標籤2為通訊埠（port=25），標籤3為封包尺寸（bytes＜=10M）。當封包符合上述優先權資訊，則表示此一封包具有高優先權。

例如，優先權亦可進一步設定級別，例如，優先權設定為1表示最高優先權，數字越高表示優先權越低。在此，控制器110可透過分析歷史資料而知道位址10.25.1.1及通訊埠25為警報系統，因而其優先權設定為1。

例1，可利用最近鄰居（k-nearest neighbors，KNN）演算法在分群時，標記每一群的優先權。例如，將較大群的優先權設定為3，將較小群的優先權設定為1。

例2，可由使用者自行設定位址10.25.1.1擁有最高優先權1，而恆溫系統、空調系統、監視系統等IP位址為次高優先權2。

例3，可進一步對歷史資料進行分類，如，安全、生活、育樂等類別，再依類別來進行設定優先權的高低。

例4，將感測裝置（溫度感測器、紅外線感測器）等位址的優先權設定為1，一般家電設定為2，行動裝置設定為3。

舉例來說，假設警報系統想透過智慧電視發出警告，告知瓦斯爐溫度過高。由於瓦斯爐的溫度感測器的優先權為1，且警報系統的優先權亦為1，故，瓦斯爐的溫度感測器所發出的封包為最優先傳送。而警報系統（優先權為1）傳送封包給智慧電視（優先權為2），因其來源之優先權為1，故警報系統所傳送的封包仍是最優先傳送。

再舉例來說，假設使用者透過手機打開家中冷氣。在此，假設手機的優先權為3，冷氣的優先權為2。則手機所傳送的封包為次優先傳送。

例5，亦可經由分析來定義一組“來源位址-＞目的位址”。例如，來源位址為溫度感測器，目的位址為冷氣（即，由溫度感測器傳送封包給冷氣），其優先權為2；來源位址為溫度感測器，目的位址為電視（即，溫度感測器傳送封包給電視），其優先權為1。

然，上述僅為舉例說明，並不以此為限。

之後，在步驟S320中，控制器110利用協定轉換器110將符合交換格式的封包轉換為目的格式，並暫存封包至佇列。例如，目的格式為JSON（JavaScript Object Notation）或XML（eXtensible Markup Language）等。例如，依據優先權決定封包在佇列中的順序，即，佇列中的封包是按照優先權來進行排序。

之後，在步驟S325中，依據封包的優先權及目的位址，由控制器110轉送封包至目的位址。此外，亦可由控制器110傳送封包至閘道器20，再由閘道器20傳送封包至目的位址。

另外，在控制器110接收到封包之後，還可進一步透過裝置管理伺服器112來判斷傳送此封包的閘道器20是否合法。例如，裝置管理伺服器112中記錄有其允許的閘道器位址。當裝置管理伺服器112未記載此閘道器20的位址，則無法識別傳送此封包的閘道器20時，因而判定閘道器20為不合法，而忽略或刪除此封包，使得此封包不會被轉送至目的位址。在判定閘道器20合法時，透過協定轉換器110轉換符合交換格式的封包至目的格式。

而控制器110在接收到封包，並將符合交換格式的封包轉換為目的格式之後，可進一步將此封包儲存至訓練資料庫120，以進一步來更新安全政策。

綜上所述，並且，利用控制器從每次所接收的資料（封包）中抽絲剝繭，將每天每秒產生的資料，經過收集、分類、歸納及分析評估，最後將“事後的分析資料”，產出成為“事前的預測資訊”（即，安全政策），並提供給閘道器來執行即時異常判斷，而非傳統系統所作的事後處理。據此，可加快處理判別封包的異常。並且，將正常的封包放入佇列中，並依照其優先權而直接傳送至目的位址，可做到即時分流，達到網路流量負載平衡功能。另外，利用了誤用偵測以及異常偵測兩種偵測法，可即時依雙模型來建立篩選封包的安全政策。由於結合了兩種偵測法來建立安全政策，進而提高了篩選封包的準確率。

在此，當很多封包一起湧入控制器時，傳統方法可能採用先進先出方式來處理封包，然而在流量龐大時，此方式會造成嚴重瓶頸。據此，本實施例提出運用智慧分流方法來避免上述情況的發生。例如，一般在網路上有非常多封包在傳送，當一個未知封包進入時，控制器採用KNN演算法對封包先進行分類，以期增進封包辨認分流速度。當封包特徵偏向“已知群組”，則先採用異常偵測來進行其他特徵的篩選。而當封包特徵偏向“未知群組”，則採用誤用偵測來進行其他特徵的篩選。

而在閘道器收到封包後，此封包即會依照第一安全政策進行比對，並且被判別為異常的封包則不處理。據此，可作到減低流量的作用。另外，在控制器接收到封包後，依據第二安全政策的優先權資訊（例如，封包來源=指定位址）進行比對，若該封包來源符合指定位址，則優先放入佇列中。此種作法改變了原來先進先出的模式，進而可改善流量控管。

也就是說，異常的封包做修改或直接丟棄不作處理，而將正常封包放置佇列中，並可設定優先權順序，直接傳送到目的位址，以加快處理判別封包的異常，進而作到即時分流，達到網路流量負載平衡功能（Inbound/Outbound Load Balance）。

雖然本發明已以實施例揭露如上，然其並非用以限定本發明，任何所屬技術領域中具有通常知識者，在不脫離本發明的精神和範圍內，當可作些許的更動與潤飾，故本發明的保護範圍當視後附的申請專利範圍所界定者為準。

10‧‧‧異常預測裝置
20‧‧‧閘道器
30‧‧‧電子裝置
100‧‧‧異常預測系統
110‧‧‧控制器
111‧‧‧協定轉換器
112‧‧‧裝置管理伺服器
113‧‧‧佇列
114‧‧‧分類器
115‧‧‧識別器
116‧‧‧產生器
120‧‧‧訓練資料庫
130‧‧‧模式資料庫
140‧‧‧傳輸模組
150‧‧‧儲存表
F1、F5‧‧‧規則欄位
F2‧‧‧動作欄位
F3‧‧‧狀態欄位
F6‧‧‧優先權欄位
F11‧‧‧來源/目的欄位
F12‧‧‧標籤欄位
F13‧‧‧特徵欄位
S305~S325‧‧‧適用於異質網路架構的異常預測方法各步驟

圖1 是依照本發明一實施例的適用於異質網路架構的異常預測系統的方塊圖。圖2 是依照本發明一實施例的閘道器的儲存表的示意圖。圖3 是依照本發明一實施例的適用於異質網路架構的異常預測方法的流程圖。圖4 是依照本發明一實施例的控制器的儲存表的示意圖。

S305~S325‧‧‧適用於異質網路架構的異常預測方法各步驟

Claims

一種適用於異質網路架構的異常預測方法，包括：透過一閘道器自一電子裝置接收一封包，並轉換該封包使其符合一交換格式，其中該閘道器具有至少一第一安全政策；透過該閘道器比對符合該交換格式的該封包與該至少一第一安全政策，以判斷該封包是否異常；在判定該封包無異常之後，透過該閘道器傳送該封包至一控制器，透過該控制器基於至少一第二安全政策設定該封包的一優先權；透過該控制器轉換符合該交換格式的該封包至一目的格式，並暫存該封包至一佇列；以及依據該封包的該優先權及一目的位址，由該控制器轉送該封包至該目的位址。
如申請專利範圍第1項所述的適用於異質網路架構的異常預測方法，其中該至少一第一安全政策記錄有一安全規則以及相對應的一處理動作，而該異常預測方法更包括：該閘道器在接收該至少一第一安全政策之後，轉換該至少一第一安全政策為符合該閘道器的一儲存表的格式，以寫入該至少一第一安全政策至該儲存表，其中寫入該至少一第一安全政策至該儲存表的步驟包括：寫入該安全規則至一規則欄位；以及寫入該處理動作至一動作欄位，其中該儲存表還包括一狀態欄位，該狀態欄位記錄該閘道器接收到該封包的封包計數。
如申請專利範圍第1項所述的適用於異質網路架構的異常預測方法，其中該至少一第一安全政策記錄有一安全規則以及相對應的一處理動作，而基於該至少一第一安全政策，透過該閘道器判斷符合該交換格式的該封包是否異常的步驟包括：比對所接收的該封包與該安全規則；以及在判定該封包與該安全規則相匹配時，透過該閘道器獲得相匹配的上述安全規則所對應的上述處理動作。
如申請專利範圍第3項所述的適用於異質網路架構的異常預測方法，其中在該封包與該安全規則相匹配的情況下，透過該閘道器獲得相匹配的上述安全規則所對應的上述處理動作，更包括：在該處理動作為一啟動動作的情況下，透過該閘道器直接傳送該封包至該控制器；在該處理動作為一過濾動作的情況下，透過該閘道器調整該封包後，傳送該封包至該控制器；以及在該處理動作為一阻隔動作的情況下，透過該閘道器阻隔該封包，使得該閘道器不傳送該封包。
如申請專利範圍第1項所述的適用於異質網路架構的異常預測方法，其中該至少一第二安全政策記錄有一安全規則以及一優先權資訊，而該異常預測方法更包括：透過該控制器轉換該至少一第二安全政策為符合該控制器的一儲存表的格式，以寫入該至少一第二安全政策至該儲存表，其中寫入該至少一第二安全政策至該儲存表的步驟包括：寫入該安全規則至一規則欄位；以及寫入該優先權資訊至一優先權欄位。
如申請專利範圍第1項所述的適用於異質網路架構的異常預測方法，其中該至少一第二安全政策記錄有一安全規則以及一優先權資訊，而在透過該閘道器傳送該封包至該控制器之後，更包括：比對所接收的該封包與該安全規則；以及在判定該封包與該安全規則相匹配時，基於該優先權資訊來設定該封包的該優先權。
如申請專利範圍第1項所述的適用於異質網路架構的異常預測方法，更包括：透過該控制器來產生該至少一第一安全政策及該至少一第二安全政策，包括：分析多個封包記錄，以獲得一異常群組以及一誤用群組；自該異常群組獲得一正向樣本，並自該誤用群組獲得一負向樣本；以及基於該正向樣本以及該負向樣本，建立該至少一第一安全政策及該至少一第二安全政策；以及透過該控制器傳送該至少一第一安全政策至該閘道器。
如申請專利範圍第7項所述的適用於異質網路架構的異常預測方法，其中該些封包記錄儲存在一訓練資料庫，而該正向樣本與該負向樣本儲存在一模式資料庫。
如申請專利範圍第1項所述的適用於異質網路架構的異常預測方法，其中在透過該閘道器傳送該封包至該控制器的步驟之後，更包括：透過該控制器判斷傳送該封包的該閘道器是否合法；在判定該閘道器合法時，透過該控制器轉換符合該交換格式的該封包至該目的格式；以及在判定該閘道器不合法時，不傳送該封包至該目的位址。
如申請專利範圍第1項所述的適用於異質網路架構的異常預測方法，其中由該控制器轉送該封包至該目的位址的步驟包括：由該控制器傳送該封包至該閘道器，再由該閘道器傳送該封包至該目的位址。
如申請專利範圍第1項所述的適用於異質網路架構的異常預測方法，其中該交換格式為多協定標記交換格式，而轉換該封包使其符合該交換格式的步驟包括：在該封包中插入一標記標頭，其中該標記標頭包括一標記轉換路徑。
如申請專利範圍第1項所述的適用於異質網路架構的異常預測方法，其中暫存該封包至該佇列的步驟包括：依據該優先權決定該封包在該佇列中的順序。
一種適用於異質網路架構的異常預測系統，包括：一閘道器，具有至少一第一安全政策，其中該閘道器自一電子裝置接收一封包，並轉換該封包使其符合一交換格式，並比對符合該交換格式的該封包與該至少一第一安全政策，以判斷該封包是否異常，進而在判定該封包無異常之後，傳送該封包；以及一控制器，包括：一協定轉換器，在自該閘道器接收到該封包之後，基於至少一第二安全政策設定該封包的一優先權，轉換符合該交換格式的該封包至一目的格式，並暫存該封包至一佇列，並且，依據該封包的該優先權及一目的位址，由該控制器轉送該封包至該目的位址。
如申請專利範圍第13項所述的適用於異質網路架構的異常預測系統，其中該至少一第一安全政策記錄有一安全規則以及相對應的一處理動作，該閘道器在接收該至少一第一安全政策之後，轉換該至少一第一安全政策為符合該閘道器的一儲存表的格式，以寫入該至少一第一安全政策至該儲存表，該儲存表包括：一規則欄位，記錄該安全規則；一動作欄位，記錄該處理動作；以及一狀態欄位，記錄該閘道器接收到該封包的封包計數。
如申請專利範圍第13項所述的適用於異質網路架構的異常預測系統，其中該至少一第一安全政策記錄有一安全規則以及相對應的一處理動作，而該閘道器比對所接收的該封包與該安全規則，並在判定該封包與該安全規則相匹配時，獲得相匹配的上述安全規則所對應的上述處理動作。
如申請專利範圍第15項所述的適用於異質網路架構的異常預測系統，其中在該處理動作為一啟動動作的情況下，該閘道器直接傳送該封包至該控制器；在該處理動作為一過濾動作的情況下，該閘道器調整該封包後，傳送該封包至該控制器；以及在該處理動作為一阻隔動作的情況下，該閘道器阻隔該封包，使得該閘道器不傳送該封包。
如申請專利範圍第13項所述的適用於異質網路架構的異常預測系統，其中該至少一第二安全政策記錄有一安全規則以及一優先權資訊，該控制器轉換該至少一第二安全政策為符合該控制器的一儲存表的格式，以寫入該至少一第二安全政策至該儲存表，該儲存表包括：一規則欄位，記錄該安全規則；一優先權欄位，記錄該優先權資訊。
如申請專利範圍第13項所述的適用於異質網路架構的異常預測系統，其中該至少一第二安全政策記錄有一安全規則以及一優先權資訊，而在透過該閘道器傳送該封包至該控制器之後，該控制器比對所接收的該封包與該安全規則，並在判定該封包與該安全規則相匹配時，基於該優先權資訊來設定該封包的該優先權。
如申請專利範圍第13項所述的適用於異質網路架構的異常預測系統，更包括一異常預測裝置，其中該異常預測裝置包括：一訓練資料庫，儲存多個封包記錄；一模式資料庫，儲存一異常群組以及一誤用群組；該控制器，包括：一分類器，分析多個封包記錄，以獲得該異常群組以及該誤用群組；一識別器，自該異常群組獲得一正向樣本，並自該誤用群組獲得一負向樣本；以及一產生器，基於該正向樣本以及該負向樣本，建立該至少一第一安全政策及該至少一第二安全政策；以及一傳輸模組，傳送該至少一第一安全政策至該閘道器。
如申請專利範圍第13項所述的適用於異質網路架構的異常預測系統，其中該控制器更包括：一裝置管理伺服器，判斷傳送該封包的該閘道器是否合法，在判定該閘道器合法時，透過該協定轉換器轉換符合該交換格式的該封包至該目的格式，並且，在判定該閘道器不合法時，不傳送該封包至該目的位址。
如申請專利範圍第13項所述的適用於異質網路架構的異常預測系統，其中該交換格式為多協定標記交換格式，該控制器在該封包中插入一標記標頭以轉換該封包為符合該交換格式，其中該標記標頭包括一標記轉換路徑。
如申請專利範圍第13項所述的適用於異質網路架構的異常預測系統，其中該控制器傳送該封包至該閘道器，再由該閘道器傳送該封包至該目的位址。
如申請專利範圍第13項所述的適用於異質網路架構的異常預測系統，其中該控制器依據該優先權決定該封包在該佇列中的順序。