TWI364190B

TWI364190B - Method, system and program for automatically detecting distributed port scans in computer networks

Info

Publication number: TWI364190B
Application number: TW94124490A
Authority: TW
Inventors: Alan David Boulanger; Robert William Danford; Kevin David Himberger; Clark Debs Jeffries
Original assignee: Ibm
Priority date: 2004-07-22
Filing date: 2005-07-20
Publication date: 2012-05-11
Also published as: JP2008507222A; JP4743901B2; WO2006008307A1; TW200625871A

Description

九、發明說明：【相關申諳案】本發明關係2003年7月29日申請的，其讓渡給本案的受讓人’編號10/629,175申請案，該案以完整的内容在此附上。本發明關係讓渡給本案的受讓人，且同時申請的編號 10/896680(RPS920030013US1)之申請案。【發明所屬之技術領域】本發明係關係一般或特殊電腦網路，可彳貞測和管理上述電腦網路上之惡意電腦流量，且保護上述網路免於惡意電腦流量的攻擊。【先前技術】全球資訊網(WWW)或一般稱之為網際網路已很快成為私人和公眾通信的主要電腦網路。此網路是一個開放網路’供任何透過主要是TCP/IP(Transmission Control Protocol/lntemetProtocol)或其他通訊協定的人使用。因為匕的開玫性使電腦容易遭受骇客惡意攻擊。電腦儼然已疋公司行號和政府機關通信上的主要工具。例如，很多公司行號和政府機關使用電腦和電腦網路連結遠處^辦二室，供辦公室或校園裡的員工分享資料和其他資源、或透過電子郵件聯繫客戶、透過電子郵件爭取新客戶、透過網站提供資訊。 °、· 因為公司行號、政府機關和個體戶非常依賴電腦，路上的惡意攻擊便可造成重大的經濟損失或困擾。因此對 4IBM05070TW.doc =公司行號、政府機關和個體戶中的人’電腦防護變成很重要的事。電月旬备成通信工具駭各選擇用來惡意攻擊電腦有好未經授權便控制電腦作業系統的程式法來;:J藉的使用。另一個是找到電腦中關於六次中斷屯腦網路中的子網路刪除資料、更資斗七1、貝訊或利用這些=會影響家庭、公 2:通訊埠掃描(p〇rt Scanning)是其中之—骇客 t來收鮮—或多個主機資料之技術。當多個主機^ ΐίίί擊稱為分散式通訊埠掃描。藉著通訊埠掃描，ί 合法的TCP/IP封包格式要求收⑽料。在此二客送出-個SYN封包假裝成—個要求開始連線的主機^ 或是，骇客送出一個RST封包。此兩技術的任何之一，骇客是希望-台沒有察覺異樣的域能細應送出關於此主機的資訊可供收集起來。還有很多應用組合可被用來通訊埠掃描。這些組合包含SYN/ACK，FIN，Null Christmas tree packets等。事實上，任何需要回應的通訊協定可被用來通訊埠掃描。此先前技術已被認定其重要性且已有提供入侵偵測系統丨DS (Intrusion Detection System)可保護電腦。先前技術之偵測系統的例子例如美國專利編號6,405,318; 6,363,489; 6,477,651; 6,279,113; 6,282,546; 5,991,881; 6,338,141; 5,414,833 和 5,983,348。即使每個專利描述之入侵偵測系統適用於它原本的目的，但並不適用在债測掃描行為上。先前技術之入侵偵測系統無法偵測網路掃描，是因為 4IBM05070TW.doc 7 Γ364190

這些糸統使用一個儲存已知標頭值或承载長度(pay|〇acJ) 位元組的已知態樣的資料庫。接收到之封包裡的標頭或承载長度與已知的態樣比較，這些態樣都是一般表示或固定值的態、樣。缺點是這些資料庫不能完全包含沒看過的入侵或掃描態樣。因此一些先前技術之入侵偵測系統不能保護電腦免於新的入侵封包。

叫從八饺偵测糸統队《虛偵測掃描能力，這只表示它可，覺如果很多封包(某個臨界值)被送到同一個目的位址。它不能將使用少、量封包(小於這個臨界值)的掃描關聯，且當多個目的位址和格式被使用時，使用上也會有所阻礙。，有鑒於此，先前技術和裝置不能提供網路管理者足夠，禦網路人侵或掃描封包的能力。因此需要—個系統或方法可提供額外的保護。開放的公眾網路之使用如網際網路，使駭 ϋ散播有害的螺蟲、病毒碼等。因為大多數的私人網^ ^到網際網路，從公共網路發動的病毒不只影響連接在 A八網路上的裝置，且影響連接在私人

的便繼，大筆金額之商業交易= 廣為人知。因此一個想造成金融混亂的不良伤子可攸公共網點發動一個病毒以中斷這些交易。回應需求且提供使用在此電腦網路上的工毒。大部分的時候，這些工具適用於它是說’這些工具適用於侧那些原本就 π紅:a、二病毋。一旦病毒的特性改變，這些工具變 ί曰^的二=且i法侧新病毒/大家都知道骇客們是很性。、，為了防止被侧財可能纽變病毒的特 4IBM05070TW.doc 8 ⑧ 有鑒於此，比較資料庫裡態樣的先前技術，不能給網路管理去的病毋為基礎 _網路防衛惡意的病5:制力保護料娜如此一 1雖或統計資此惡意的封包仍可被偵測出、疋° t以交病毒’但【發明内容】兩個段:„ 侵)，且·===的掃描(也稱為入

ί統包含—個可程式化的—般處理糾PowerPC ，特殊處理器如P(〕we「NP，伴隨—個查表和紀錄架構债，到大流f的SYN或RST之Tcp/丨p封包，這些封包來 ^同-個來源位址、將送到一個或只有幾個目的位址及少 ^(小於4)或多數(大於4)的目的埠。TCP/IP封包如有上、’〔特徵’將被標記且報告給管理方，讀得騎—步的處理0 查表和紀錄帛構的—個具體實施例包含一個直接表 ^•(Direct Table)和其相關的 Patrida 樹。Fu丨丨 Match(FM) -表法有兩個階層。第-p⑽使用來源位址和目的位址的雜凑(hash)，接收到之封包的這個部分可稱為鍵值(key) 或標頭(header) ’當成-段指標到第一直接表格空間(first D丨「ect Table _的紂。從目的位址和來源位址挑選出來的位元用來循著與第一直接表格空間相關的樹往下 4IBM05070TW.doc 1364190 走直到走到-個葉節點(leaf)。儲存在葉節點中的來源位址和目的位址，將與鍵值_的來源位址和目的位址作比較’且如果符合，鍵值中的目的崞將與一個建立在同一個來源位址和目的位址之目的埠的連結列表作比較。如果這，目，璋是新的(也就是沒有符合〉，它將被新增至列表 =。列表中儲存的目的埠數目大於n時，來源位址的雜 ^建立弟ϋ之第二直接表格(sec_ 涵句和

Patricia樹查表機制。第二直接表格類似第一直。如果來源紐與第二直接表格已有對應，則檢查儲存在葉節點之多個目的位址和多個目的璋，一旦目 =立址，目大於等於η且目的埠數目大於等於n，會；出二二ίΓΐ這個來源位址和目的位址的封包是沒有經過杈權的知描或入侵封包。為了回應這個鑿報，管理者以 ^限制由這個來源位址傳送出來封包。具體實施例上發明把η設成4。在另-個具體實施例上，可使用目的位址和目的 S為，、思的流1。實際上’這個比例是用- ίΪΐ二的位址的封包數乘同-個目的埠的 '匕數侍到的值保證大於1〇(或其他決定的數字以發現更小規模的掃描。但即使把臨界值設得更小，了嘴是因為攻擊者常常使用慢慢地送 g 技巧躲避偵測。丨又对匕的由之前所述，在另一個具體實施例上，—個子(如4)不被使用，卻是將乘數與靜態的數 ^相較。輸進_的只由來源位址構成。在每個彿3 ，與此來源位址相關的目的位址列表。列表中的每的位址又會有-個與之相關的目的埠列表。這個較大的^節 4IBM05070TW.doc ⑧ 點可摘_由-個或數個來^^址對好個目的位很多個目㈣的組合所進行的慢速掃播。除了比較靜，(如4)之外，在侧這些掃描上是很相似的，在同;^ 來源位址的情況下，計算每個目的位址下的目的埠數目秋後跟其他目驗址減。對-個蚊的來齡址，這些著多個目的位址與多個目的埠之掃描的對應 & 下繼續敘述。牡从本發明的偵測系統包含一台電腦如網路處理哭 (，w〇「kProcesso「)，此電腦在記憶體中提供一個構成。: -具一直接表格和Patricia樹。也提供演算法監控選擇的網路流量，以維持此構成並將從選擇的網路流量中鍵值盘構成作關聯，如此’有一個來源位址、一個目的璋和报多' 個目的位址的TCP之SYN封包可以被發現，且視為惡音的封包。 μ 在一個具體實施例中，本發明一開始先把剛收到封包之目的埠(W、位元)與一小段由管理者確認常用的目的埠數值作比权。這一小段列表可包含例如通訊埠8〇、超文件傳輸協定之通訊琿，因為這由同一個來源位址到很多個目的位址且，是使用通訊埠8〇的情形在網路瀏覽時很常見。因此符合此列表中所列舉通訊埠之封包者，在本發明中〒被視為有潛在危險的封包。在具體實關上更可以用路住軟體(datapath software)來檢查這些可容許的目的埠數值。也就是，一個小小的查表機制可能包含在程式中，把封包給一個可程式化的處理器處理，如網路處理器。此小小的查表機制在一小段可容許的目的埠列表(如列出個可容許的目的埠)巾’非常適合絲檢查封包的目的埠。其他可容許的目的埠的例子，其數值為25，這是簡單信件 4IBM05070TW.doc 1364190 傳輸協定(SMTP)使用的目的埠β 在另一個具體實施例十，本發明可自動丟數設定不正顧封包，或雖設狂確但不正 f TCP封包令同時SYN和FIN位元為1，或丁CP ^ SYN和ACK位元與已紀錄的SYN壯不能對應。^ 佳的具體貫施例上，當一個FIN或FIN/ACK封 ^ 階段(session)上被看到時，本發明更可以刪除對靡一=來源位址和一個或多個目的位址之查表項目。 ^ 木從更-般的觀點，本發明可發現何貞階段偽裝成TCP封包之惡意的封包。—個不良 = 有很多方法可選擇去中斷電腦網路流量。一份子在TCP對話階段中把螺蟲或以= 散播。可發現有漏洞的主機馬上或過一段時來對話階段’從一個Si位址产Hi個目的位址(可能是隨機的、串列的或疋-糸顺攻擊者認為容易攻擊成功的位址)， = 目封些可能危害電腦流量的對應方I。 ’本&明包含對於彳貞測結果之乡個可能的少+ίϊί，本發明包含—個有效的搜尋策略和演算法，

路流量裡可_到有著—個來源位址、一個目的埠和夕個目的位_ SYN 測。慢速散播速率是本發明所描述的些應用程ί的===== 含有病毒或_，可以侵人或沒有授權下^控制;腦i 4IBM05070TW.doc ⑧ 12 1364190

2案。任何如此的SYN ζ定土的有= 位元。加上其他標頭擴張到大約192、個間。每個空間儲存術“到：各有空檢最多，—個符ί^Ϊ 3節『的鍵值態樣;比較[〇:;::整目或同(h丨gh)和低(|0W)範圍項目]，而且不 )頁 :摘也會記錄在葉節點中)就是未命中(造已知用了新方法。目標不是使用說，沒右殊的封包’然後採取行動。更進—步之不明標頭^十0^數在^出一套迄今封包中 ΙΐΓεί^Ι'^Γ"' 0 ^ 或不只-個目的埠’可達-個小限制如2或10 = 4IBM05070TW.doc ⑧ 13 1364190 辨識和報告出來。 TCP為為辨識問題’本發明的輸人鍵值對每個、0又義成來源位址和目的埠的串值 (concatenation)。在另-個具體實施财，本發明可允許無目的璋數值的憬況。

H解決行為__’本發_輸人鍵值絲成TCP

Ιϋί和目的埠的串值。這個串值被當成與Pat「icia樹合作的搜尋引擎鍵值。 J ^果封包錢有上述之可允許的目料數值，則本發 =來源健、目的埠的纽(48位元)雜㈣方便直接表 =用的大小(如16位元）。來源位址、目的埠位元必須放，树裡的，讀查分支中，直酬達-健節點，這個葉最多-個之前看過的來源位址和目的埠。每個葉節點定義成-個麵位址和目的埠的組合。每個葉節點也容納最少一個或可能多個目的位址。可發^兩種碰撞(不同標頭封包在直接表格中有相同的雜凑)。第-’散播的惡意流量之封包有相同的來源位址和目的埠，但好幾個不同的目的位址。因為只有來源位址和目的埠被輸入，如此會造成串值的雜湊碰撞。第二，兩個不同來源位i止、目的埠的雜;奏可能會一樣。在第二個情形中，來源位址、目的埠位元必須進一步放進樹裡的位元 =查分支中檢查，直到到達一個葉節點，這個葉節點對應最多一個之前看過的來源位址和目的埠組合。如此一來，每個葉節點定義僅一個來源位址和目的崞之組合。每個葉節點也容納最少一個或可能多個目的位址。'口八 4IBM05070TW.doc U φ 1364190 【實施方式】亞立電^路管理者包含_網路資產免於網心、思入杈。在某些情況，此入侵的網爪里的封，:個對應到攻擊者的來源位^個= :二些或很多個對應到攻擊 ^ ’當如此-串封包通過—交換二由、守衛功_，或其他建:i;:二能之機器的時候，能偵測到這些封包^類、，、。果上有防瘦功铜J1/1示一個可用至体發明的極簡略網路。網f ，.祠路或其他網路102連結到邊]，、罔際 1〇4。每個邊際裝置可或可不網路可藉由一橋接裝置彳川連結。兩個子。包含本發明元件的偵測配件112。前拮撕中作杳目„ 口芍政丨不裝置和橋接裝置在先二中很，見’所以只有那些解的部分’才會在此被討論到。㈣合或而要了元件際裝置或橋接裝置之偵測配件棚令的 __2Θ可館存更^發，中的隨機存取記憶體發明之演ϊΓί在配置的唯讀記憶體(Ro_6 _的本表月之料法，攸而更新RAM。一匯流排(Bus輝提供 4IBM05070TW.doc ，⑧ 15 理將傳送：;接器(l/0 adapter)210 處部裝置可包置而來的訊號，此外顯示），給一個人: $之般用途的電腦（圖上沒有在另-彻目1員^理者可週期性地監看網路狀況。 1叫司發::，網路處理器(netpr〇)，如 =網路内路由封包所需的二’= :號二^路圖處且18 —&，其中敘述此網路處理器說^容易L此附上。因為此附上的網路處理器之詳細本發明使:到二:以ϊί那些舆網路處理器直接相關及 =':c =數=指出來並討論。内建式的處的，偵同這裡敎述 =性j ，其;;示在附 ^5ΐϊΓίίίΪ PatFiCia ^ ° 在本發种被用來當成查表和追縱機制。㈣=圖示包含在本發明中之制演算法的流勺i、f 接t演算法之開始偵㈣302之後的是，下個封 ^ " 。封包被檢查是否為TCP封包306。檢杳查封包標頭的位元來進行。如果不是TCP封包了回到304，等待下個封包。如果是TCP封^，檢二Γι是否ί SYN封包㈣。檢1是以檢查封包標頭中的控制位兀來進行。如果不是SYN封包，演算法回到3〇4。

16 1 旧 M05070TW.doc 1364190 如果疋SYN封包’則來源位址和目的位址的串值灌入312 雜凑函式。雜凑值變成314進入直接表格的索引。檢查，表格空間316 ’看是否已經有—指標，指到—個葉節了或到一棵至少有兩個葉節點之樹。如果沒有指標，演瞀 ΐ分318插人直接表格演算法(® 4A)。如果有-指廣异法檢查32〇是否指標到單一個葉節點。如果指標才曰到至少有兩個葉節點之樹，則來源位址和目的位址的串，樹演算法來檢查324。然後縣的位址以Patricia樹演算法來檢查33〇，看是否符人— ^的葉節點標籤。如果來源位址、目的位址不符: f异法分支到334插人更大的樹演算法(圖6A)。如果來源 til的”ΐ的葉節點符合，則鍵值中的目的埠 ?丨‘個或更多葉節點中的目的埠作比較332。再次回广果指標到單—個葉節點，則演算法把鍵值中的，源位址、目的位址跟此葉節點的標鐵作比較322。如二不符合326，演算法分支雜入新樹肩开法328(圖5Α)。如果來源位址、目的位址則演算法分支到鍵值中的目的埠數值跟一個或^ Ϊ2 2 Ϊ數值作比較332。如果鍵值中的目的埠符: 包。如果鍵值中的目的埠跟任何葉節點中的目二則此新的目的埠數值將存人338葉節點中二法走到340之臨界值演算法(圖7Α)。 “、'灸〇、开除了流程圖之外，偵測演算法也可以敘述如下. 此16位元(大約)的來源位址、成進入直接表格的料。直接表格空間是標當空間’且可指標到無葉節點、單一個葉節點或一棵具 4IBM05070TW.doc 1364190 支及兩個或更多葉節點之樹。每個帛節點把封包完整的來源位址、目的位址跟一來源位址、目的位址之位元態樣作 ^較。再一次’ 一葉節點把來源位址、目的位址當成其標籤，且儲存最少一個、可能好幾個之目的埠。 /、下若一來源位址和一目的位址之雜湊值的計算後，發生了索引到的錢表格空間是空的(沒有指制東西），則直接表格空間修正，使指標指到一個新葉節點，其中以來源位址、目的位址當成標籤且儲存目的埠。反之，如果在直 • 接表格中的來源位址、目的位址之表格空間有個指標，則，著它走到一個葉節點或一棵樹。如果表格空間指到一棵樹，則檢查在來源位址、目的位址中特定的位元，直到最多一個之前看過的葉節點可能符合此來源位址、目的位址。不管在哪個情況，鍵值中完整的來源位址、目的位址將與葉節財完整的來驗址、目的位址作啸。如果沒有符合，樹必須重建以檢查來源位址、目的位址位元，= $個新鍵值與之前看過的鍵值區分開。如果符合，表示葉即點巧此鍵值絲實一致，且此鍵值中的目的埠數值將與儲存在葉節點中的一個或幾個目的埠數值作比較。如果/此鍵眷 _目的埠和之前儲存的目的埠數值有重複，則不作任何處理反之，增加此鍵值的目的埠數值到已儲存一個或個目的埠數值的葉節點中。葉節點中之新目的埠總數目與一個臨界值作比較。偵測次异法的另一個表示法如表一所示。步驟〇到+ 驟16非常淺顯紐。因此不需要多作敘述。 y 表一偵測 4IBM05070TW.doc 18 1364190 〇·下個封包抵達。 1.如果不是TCP封包，則到〇。 2.如果不是SYN封包，則到偵測步驟i(表喻独合(鍵值)輪 4·雜凑值當成進入直接表格的索引。财錢標（目前並財此來驗址、目的、、雜制此表格帥），酬插人直接表格步驟〇(表

6.如果此直接表格空間指標到一節點），則到12。棵樹(具有兩個或更多葉 7目格指翻(單卜轉節點，此來源位址、目的位址與茱郎點之源位址、目的位址作比較。 n此鍵值的來源位址、目的位址與葉節財合，到插入新樹步驟〇。于節點中之—個或多個目 9_反之’把封包的目的埠數值盥葦的槔數值作比較。

10_如果纣包裡的目值有重複，則到0。的埠數值與葉節點中某個目的埠數 11.反之，儲存此新的目的埠數值到葉節點中。到臨界值 (表五)。 00 ’ 12. 的來源位址、目的位址在樹中執行餘檢查分支，直到到達一個葉節點。一 13. 如果鍵值中的來源位址、目的位址和葉節點，到插入更大的樹步驟〇(表四）的埠數值與葉節點中的一個或多個 14.反之，把封包的目目的埠數值作比較。 4IBM05070TW.doc

19 1364190 m果封包裡的目的埠數值與葉節點中某個目的埠數值有重複，則到〇 ^ 16·反之，儲存此新的目的埠數值到葉節點中。到臨界值 ^、參考圖4A，顯示包含在本發明_之插入直接表格演弃法的流程圖400。接在演算法開始402之後的是，建立 =一個由直接表格(DT)空間指到一新葉節點的指標。此 ^點以來源位址、目的位址的串值當成標籤4G6。此葉是用來儲存408封包丨P標頭中之目的埠數值。然後演算法分支到410，之前敘述過的偵測。表二是個非常淺顯易懂的插入直接表格技術之另一個表示法。表二插入直接表格 0.5；立一個由直接表格空間指到一新的葉節點的指標，且此葉節點以來源位址、目的位址當成標籤，且儲存目的埠數值。 1_到偵測步驟0。參考圖5A，顯示包含在本發明中之插入新樹渖管的流程圖。這演算法涵蓋以下情形：當—原始的葉=已經屬於某個直接表格空間，增加第二個葉節點，其具有同的來源位址、目的位址卻有相同雜湊值。接在法始502之後的是’建立跟直接表格空間有相同根^ =的j 棵新樹504。一個分支將附加在506根節點上。兩個來源 4lBM05070TW.doc 20 1364190 位址、目的位址之雜凑值指_—個直接表格空間的Patricia樹演算法之方法令，尋找5〇8帛一個別兩個來源位址、目的位址標籤不同之位元。在分】檢查位元的-個值指到原始的葉節點5Q8。同 ^ ^ ，-個可能的值指到新增的葉節點51Q。新增的 = =原位址、目的位址當成標籤，且儲存中目後演算法分支512到之前敘述過表一疋個“淺顯易懂的插人新樹技術之另-個表示法。

表^ 插入新樹 0.建立一棵根節點等於直接表格空間的分支。棵新樹和一個位元。找到這兩他來源位址、目的位址串值中第—個不相同的 2.

用^^ό在低檢纽支巾分搞__…個是 =的’另—個是增加的，其使用源位址、目的位址當成才不籤，且儲存新鍵值中的目的埠數值。田 3·到偵測步驟〇。笞法包含在本發明中之插入更大的樹演 ίίί_始6Q2之後的是，著名的㈣响二新分支和一新葉節點。此新葉節點的標籤此新葉節財。然後演算分二表四是個非常淺顯碰的插人更大的樹演算法之另一個 4 旧 M05070TW.doc 21 1364190 表示法。录四插入更大的樹 H料鮮法’峡立—购的位元檢值目址、目的位址當成·節點的標藏，

3.到偵測步驟〇。參考圖7Α，顯示包含在本發曰月中之臨界值淹圖7QQ。接在開始7〇2之後的是，儲存在葉節=中的目的埠數目跟設定在配置中的臨界值作比較7〇4，臨是巧。如果(區別的)目的埠數目小於或等於此臨界f，决算法分支708到债測。如果數目大於臨界值，一通報將送到f理員或管理系統。然後演算法分支708到债測0

表五是個非常淺顯易懂的臨界值演算法之另一個表示法。表五 ’ 臨界值〇丄如果葉節點中新的目的埠數目高於臨界值T，則通報從這個來源位址發出的封包可能是惡意的網路流量。 1·到偵測步驟0。參考圖8，顯示包含在本發明中之刪除演算法的流程圖800。此演算法把直接表格/Patricia樹資料結構中，舊的項目刪除。接在開始802之後的是，次數計^ 8〇4增二 4IBM05070TW.doc ⑧ 22 1364190 1。此次數計數與一次數臨界值，如1024，作比較8〇6。如果此次數計數小於臨界值，演算法分支812到偵測。如果，次數種大於或等於臨界值，此演算㈣除_ ，，節點、樹(分支)及直接表格的指標(方塊8〇8)。再來，演算法重設81Ό讀計數為〇。錢演算法分支812 測。表六是個非常淺顯易懂的刪除演算法之另一個示 «λ pi 表六刪除

次數計數增加1 2.次數计數與一個臨界值作比較。 4.如果次數計數小於或等於臨界值，職測步驟〇。料數舰料值，職全部财祕對應的葉 6. 重設次數計數為〇。 7. 到偵測步驟〇。

以^ ^具2施例，計數的方式不是以次數累計而是寸0 y、D。无、習此技術人士可以了解到，這另— 實，刪除演算法上只是個簡單的變形二: h員易k ’建立在時間計數上的刪除演算法之表示法。吊表七刪除 1. 時間計數增加1。 2. 時間計數與—個臨界值作比較。 4·如果時間計數小於或等於臨界值，到偵測步驟〇 4lBM05070TW.doc 23 1364190 5. 如果時間計數超過臨界值，刪除全部從直接表格對廡之葉節點和樹。 °〜 6. 重設時間計數為〇。 7·到偵測步驟0。如同在此敘述的内容’一旦入侵封包在網故上被偵測出來，通報給管理者或其他處理功能，等待進一步的行動。本發明包含好幾個選擇，供產生一反應給通報機制。一具體實施例中，本發明包含警告一個正在監測網路流量的管理者’使他可察覺到：具有以下來源位址、目的位址、目的埠的這些封包，可能是有惡意意圖的網路流量，造成分支達到需要通報的狀態。在第二個具體實施例中，本發明包含丟掉那些偵測到與異常的來源位址、目的位址、目的埠相同的接續封包串。在第三個具體實施例中，本發明包含丢掉來自這個異常來源位址的接續封包串，或限制其傳輸$率。在第四個具體實施例中，本發明包含以上所i 最初二個可能反應的—些組合。反應的組合可隨時間調整。參考圖10,顯示IP標頭格式的圖形表示。由於丨P標 =格式在先前技術中报常見，只有與本發明相關之標頭部分才會被指出來並討論。相關的部分是丨P來源位址和丨p 目的位址。此來源位址指出封包的源頭，然而此目的位址指出此封包將被傳送到的地點（目的地）。參考圖11 ’顯示TCP標頭格式的圖形表示，它被包 (nested)在丨P之承載長度裡。丁cp標頭格式在先前技術中也报常見’所以只有與本發明相關的部分和位元才會被指出來並討論。相關的部分包含來源埠(sp)和目的埠(Dp)。 4IBM05070TW.doc ⑧ 24 1364190 如熟習此技藝人士熟知的，來源埠指出封包源頭之通訊埠’然而目的位址指出這個封包將被傳送到的地點之通訊埠。相關的位元包含RST和SYN位元。這些位元當設定 (set)的時候為驅動狀態(actjve)，且當重設(reset)的時候為不驅動狀態(inactive)。封包特性由設定這兩個位元所決定。這些位元的使用與功能在先前技術中都有完整的文件. 說明。因此不需多作討論。參考圖12A，顯示本發明内容之搜尋技能或搜尋查表架構的圖形表示。其他樹的架構可被熟習此技藝人士用來設計在本發明中，是被認知的。所以這個圖形表示只是個範例，並不限制本發明之專利申請範圍。資料結構1200包含取出由來源位址與目的位址串值構成之鍵值1202，有64個位元。進一步包含執行雜湊函式1204 ’以產生一個較短的索引，如16或32位元。此索引被用來與直接表格1208產生相關，以指出一項目，其為一棵Patricia樹1210之根節點。此Patrjcia樹具有一個或更多葉節點，如1212、1214、1216。每個葉/節點包含完整的來源位i止、目的位址，其雜湊後進入直接表才夂項目，也包含一個或更多已被觀察到之目的埠數值。運作：在運作階段’-裝載本發明之裝置上收拿來作如下的檢查：假設查表機制為-棵搜尋樹的邏輯體實施例中’樹的第-個分支同時檢查很多個位元在連結到很气個傳統的樹，-個分支可稱為直接表格。第-查表機制(第-P皆層)把—個Tcp之SYN或 4IBM05070TW.doc ⑧ 25 1364190 封包的來源位址和目的位址，雜凑到一個直接表格。直接表格的㈣可是-個適當的大小(如彳6位元)。完整的鍵值是來源位址、目的位址和目的埠。葉節點符合封包之來源位址和目的位址，則把在這個來源位址、目的位址的條件值’與一個目的埠的連結列表作比較。如果此、目的，新的，則增加至列表中。週期性地(如每秒一次），此查表的一部份(如1/16)會整個刪除。如果在一葉節點中，觀察到的目的 -個臨，(例如4)，則此葉節點之來源位址、 ^ ΐΪίί ’雜凑對應到第二查表機制(第二階層）。 t Π 以很少(如8)。如果一來源位址有3 组合’則此目的位址和目的埠的組如果在此葉節點中的這些目的位址的封包有可能正在進行分散式掃描。S =、)層的整個表格每隔—段適當的時間將清除-次建議的清除週期取決於推論和直實的網狄、、ά曰^ 路攻擊d除，是可以調整的。如果她見在網二it可把期提昇至某個界限。如果通報= ^降低至某個界限。-個指數加權函表示期。此函式敘述如下。使_,2... 月的第〇,1,2··.項，所以P_序列第i項的值。 4IBM05070TW.d〇( 26 1364190 7(0)為最小界限(minimum limit)。週期調整形式如下· 如果報告攻擊較少， · ，P(i+1)=(1_K)*P(i)+K*最大界限 2二反之p(卜1)=(1-K)*P(i)+K*最小界限這裡的最小界限<最大界限，且κ為某個〇<<各^的值。士 θ再來，以下顯示的是關於保護電腦網路免於惡音奴篁攻擊之具體實施例。％、舳亞土電腦網路管理者包含防護網路資產免於網路流量二:入如。散播惡意網路流量在某些情況下，是送出— ^，這些封包有-個對應到攻擊者的來源位址、一個 ^遇為錢洞與應用程式對應的目的埠和很多個與可 3 =標主機對應的目的位址。在其他情況下，可牵^到一t來源位址和-些目轉，但仍是更多個目的位址。朗trJ圖^ 示根據本發日肋容之侧演算法的流 ΪΓΛγμ 之開始侧302之後的是，下個封二ϊ ΐ檢查是否為TCP封包306。檢查 =檢查ip封包標頭中之㈣位元來進行。如果不是Tcp ，包，演算法回到304 ’等待下個封包。如果是TCp封

^檢ί 其衫為SYN封包。檢查是以檢查TCP -° SYN 5 ^ 凉异，回到严。如果是SYN封包，則在Tcp標頭中的目的埠將檢查31Q其是否為可允許的目的埠列表中的一員。如果是，則演算法回到304。如果目的埠不在列表中，來源位址和目的埠的串值灌入312 —雜凑函式。此雜凑值 4IBM05070TW.doc ⑧ 27 1364190 看是否已經3;4到檢格二間316 ’ 到插入直接表格有則=支⑽ ^⑽是否指到單—u點=有法 =個，點之樹，則此來祕址和目的

Pat_樹演算法來檢查324 γ之串值以

咖3樹演算法來檢查330，ί看是否㈡如果來源位址、目二 ^支334到插入更大的樹演算法。如斑二個節點符合’則鍵值中的目的位址 in 固葉』中的目的位址作比較332。再次回到鍵值中°的來單—個葉節點，則演算法把 W 5 ΐΐΐΐ、目的淳不符合，演算法分支到‘ 新树328。如果來源位址、目的土阜符合326，渾算法立址跟一個或更多葉節點中的目的位址

目的位址336，則演算法酬3〇4，等待下= 鍵值中的目的位址跟任何葉節財的目的位址都織演算法走〃參考圖4B，顯示包含在本發明中之插入直接表格淹算法的流程圖400。接在演算法開始4〇2之後的是，建^ 40^-個由直接表格(DT)空間指到一新葉節點的指標。此葉節點以來源位址、目的埠的串值當成標籤4〇6。此葉節 4IBM05070TW.doc 28 1364190 點是用來齡408封包丨P標頭中之目的位址。曾法分支到410之前敘述過的偵測，參考圖3B。參考圖5Β，顯示包含在本發明中之插入新樹渾 5〇〇的流程圖。這演算法涵蓋以下情形：當―原始的^ =已經屬於某個直接表格空間，增加第二個葉節點的2 不同的來源位址、目料卻有相雌湊值。接在渾^ 源位址、目的埠之雜湊值指到同一個直接表格 = 的PatriCia樹演算法之方法中，尋找508第-個可用^ 別兩個來驗址、目的埠標籤不同之位元。在分^ ^ 查位兀的-個值指到原始的葉節點5〇8。。同一個位 = -個可能的值指到此新增的葉節點51G增 = 來源位址、目的蜂當成標籤，且儲存此新鍵值中址⑽。然後演算法分支到之前敘述過的_=目的位瞀’顯示包含在本發明中之插入更大的樹演开法600的&程圖。接在演算法開始6〇2之後的樹之插入604 一新分支和一新葉節點。此新葉即”』的私戴设定成鍵值中來源位址、目的埠的串值6〇6了位址存在簡此新葉節點中。然後演算分支到 _^，員不包含在本發明中之臨界值演算法700 = 表圖。接在演算法開始7〇2之後的是，儲存在葉節點中的目的位址數目跟奴在配置中的臨界值作比較704， 4IBM05070TW.doc 29 1364190 臨界值標準是設成8。如果(不同的）目的位址數目小於或等於此臨界值，則演算法分支708到偵測。如果目的位址數目大於此臨界值，則通報將被送到管理員或管理系統。然後演算法分支708到偵測。參考圖12B，顯示本發明決定一個丁cp/丨psYN封包之來源位址和目的位址是否為惡意的封包之資料結構的圖形表示。、資料結構11〇〇包含取出由來源位址與目的埠串值構 ^之鍵值1102 ’有48個位元。進一步包含執行一雜凑函式1104 ’以產生一個較短的索引，如16位元。這個被用來與直接表格1108產生相關，以指出一項目，直一棵Pa_樹1110之根節點。此p_。且。 =點’如川2、川4、⑽。每個二^ =來ff止、目的琿’其雜湊後進人直接表格項目，也包各一個或更多已被觀察到之目的位址。表示===程圖的方式敘述+個可此16位元(大約)之來源位址直接表格的索引。直接表格空間===入址把封包完整的來源位人桊即點把來源位址、目的埠杏纽炉筮平乂冉最少一個、可能好幾個之目的位址。田成i鐵’且儲存 4IBM05070TW.doc 30 1364190 了索的計算後，發生位址、目的埠當成標籤且儲存目的位f。反之弋3 J ，表格中的來源位址、目的埠表格空财個指標， Ξίί 一個葉節點或—棵樹。如果表格空間指；棵:者之前看過的葉節點可能符合此來源位址、目的

來源位址、目的蟬將與葉節= 凡整的來源位址、目的埠作比較。如果沒人 ζ ，以檢查來源位址、目的埠位元，把這個新^值與之; 看過的鍵值區分開。如果符合，表示葉節點和此鍵值確 =致’且此鍵值中的目的位址將與儲存在葉節點中的—個錢個目的埠數位址作比較。如果此鍵值的目的位址和之前儲存的目的位址有重複，則不作任何處理。反之’增加此鍵值的目的位址到已儲存一個或多個目的位址之^節點中。葉節點中之新目的位址總數目也與一個臨界值;I乍比

車父。如果此總數目大於此臨界值，確認其含有病毒。。本發明提供的優勢之一是，此偵測是即時的且是動態操作的。結果，在網路裝置造成傷害之前，未經授權的g 入就可被偵測出來且採取對應行動。即使本發明是以關係TCP/IP通訊協定而敘述，這並不能解釋成限制發明的範圍。本發明可廣泛應用於很多不同的通訊協定上。在其他通訊協定的使用上，熟習此項技藝人士還是可運用本發明的技術來偵測入侵。任何這樣的 4 旧 M05070TW.doc ⑧ 31 1364190 使用及/或應肢包含在本發锻出的申請範圍内。上述只是為本發明舉例，且不能解釋成一個限制。雖 :、、、'已敘述過很多本發明之具體實施例，熟習此項技藝之人士很容易察知，很乡沒有麟本發_容這些具體倾财且進-步在本發0种使用。@此%斤^ 这些變形也將被包在本發明的發明範圍裡，也定義申請範圍裡。一隨後是本發明偵測演算法之搜尋動作，包含接下來表示成虛擬碼(pseudocode)形式之副程式(subpr〇gram)、偵測〇.下個封包抵達。 1_如果不是TCP封包，則到偵測。 2.如果不是SYN封包，則到刪除。 3·如果封包中的目的埠在可允許目的埠列表中，則到偵測0 、 4_從封包標頭中得來的來源位址、目的埠組合(鍵值)榦一雜湊函式。則浥 5_雜凑值當成進入直接表格的索引。 6.如果表格空間丨又有指標（目如並沒有此來源位址、目的埠’其雜凑到此表格空間）’則到插入直接表格步驟〇。 7·如.果直接表格空間指到一棵樹（有兩個或更多葉雀々點），則到13。 ’、即 8.如果直接表格指到(單)一個葉節點，此來源位址、目埠與葉節點之源位址、目的埠作比較。 ' 4IBM05070TW.doc 32 1364190 9_如果鍵值的來源位址、目的埠與此葉節點不符合，到插入新樹步驟0。 10. 反之，把封包裡的目的位址與葉節點中的一個或目的位址作比較。 11. 如果封包裡的目的位址與某個葉節點中的目的位址重複，則到0。 12. 反之，儲存此新目的位址到葉節點中。到臨界值。 13. ，值中的來源位址、目的埠在樹中進行位元檢查分

支，直到到達一個葉節點。一源位址、目鱗與葉節點不符合，到 1目5的二S1包裡的目的位址與葉節點中的，匕ΐ果ίίΐ?的目的位址與某個葉節點中的目的位址百莖複’則到0。 17.反之，儲存此新目的位址到葉節點中。到臨界值。插入直接表格

== 二標，且 1_到偵測。田攻铩戴，且儲存目的位址。插入新樹 iff—棵根節點等於餘表格㈣的—_樹和-個目的蜂串值中個不相同的位 1 ·找到這兩個來源位址元0 4IBM05070TW.doc ⑧ 33 1364190 ^的這個元檢查分支中分成制_點。一個是 ^始的’另一個疋增加的，其使用源位址纖，且儲存新鍵值巾的目的位址。鱗田成標 3·到偵測。插入更大的樹 ^「心樹絲法粒—個新的位元檢查刀支，增加一個葉節點。

來驗址、目料#賴葉_標籤且儲 3·到偵測。界值〇·如果葉節點中新的目的位址數目高於臨界值丁從這個來·膽㈣封包可能是惡意_ 、。i 1·到偵測。

刪除 1.次數計數增加1。 2.次數計數與一個臨界值比較。 4·如果次數計數小於或等於一臨界值，則到偵測。對應 5. *如果次數計數超於此臨界值，删除全部從直接表才欠的葉節點和樹。 ° 6. 重設次數計數為〇。 7. 到偵測。在另一個具體實施例中，計數的方式不是以次數累， 4IBM05070TW.doc 34 而是以時間累計。也就是：蛳除 1·時間計數增加1。 2.時間計數與一個臨界值比較。 5 間叶數小於或等於一臨界值，則到偵測。的葉數超過碰界值，職全部從絲表格對應 6_重設時間計數為〇。 7·到侦測。報告演算法 . 之—田由·{貞顺制接到—通報時，本發明可縣以下反應 h警告一個正在監測網路流量的管理者，使他 3： ° 相同的全物t的封。似細11、目的位址、目的埠 4串或是’_來自這健常來·址的全部接續的封包 5. 一個可隨時間調整之反應w的組合反應。【圖式簡單說明】路;=位i特別是-些本發明以 4IBM05070TW.doc

35 4 顯示硬體的高階元件，件之，其可能被放置的位置。 ,:顯林發明關於伽'i部分的流程圖。分的流程根據本發明另一個具體實施例，關於_部 = ==:彻觀糊和新葉節點紅顯*根據本發明另一個具體實施例之-部份，Μ 新葉節點在直接表格中的流程圖樹到直接圖酬於插人，的Pa_ 接;;部份，插個具!實施例之一部份，到直接表格中=圖支’以械更大的卩一葉節點中之目的雜目 = 根據本發明另—個具體實施例之一部份，關 j即點t之目的位址數目與臨界值作比較的流程圖。 ^ 8;顯示本發明的-部份關於週期性刪除全部葉節點、樹和指標，以重新設定偵測裝置的流程圖。方塊圖，其中可用於本發明中。圖11 ;表示TCP標頭格式。 4IBM05070TW.doc ⑧ 36 1364190 圖12A ;表示根據本發_容之絲搜尋架構。 ΐΠΐ顯示根據本發明另一個具體實施例的内容，查表舅料結構的圖形表示。【主要元件符號說明】 104 106 108 110 112 202 204 206 208 210 212 300 302 304 306 308 310 312 314 316 102網際網路或電腦網路邊緣裝置子網路 ^(貞測橋接裝置偵測隨機存取記憶體中央處理器唯讀記憶體匯流排週邊轉接器裝置&網路處理器 4貞測開始偵測下個封包抵達是否為TCP封包？是否為SYN封包？目的埠是否為可允許的目的琿？ ϊίίίΓ址，目的位址）雜凑(來源位址，目_ 雜凑(來源位址，目的位址)=直接表袼索早) 雜凑(來源位址，目的埠)=直接表格索弓丨直接表格空間沒有指標？ h 4 旧 M05070TW.doc 37 1364190 318 到插入直接表格 320 直接表格空間是否指到單一個葉節點？ 322與葉節點比較來源位址、目的位址與葉節點比較來源位址、目的埠 324 Patricia樹檢查來源位址、目的位址位元 Patricia樹檢查來源位址、目的埠位元 326 來源位址、目的位址是否符合？來源位址、目的埠是否符合？

328到插入新樹 330來源位址、目的位址是否符合葉節點之來源位址、目的位址？來源錄、目嫩彻位址、目比較在葉節點中之目的埠比較在葉節點中之目的位址到插入更大的樹目的埠是否符合某個葉節點之目的埠？

332 334 336 338 340 400 402 404 406 408 目的位址是否符合某個葉節點之目的位址？儲存新目的埠到葉節點中儲存新目的位址在葉節點中到臨界值插入直接表格開始插入直接表格開始 j直接德指聰的葉節點的指標 =點標籤為來源位址、目的位址葉即點標籤為來源位址、目的埠儲存鍵值中的目的埠在葉節點中 4IBM05070TW.doc 38 410 500 502 504 506 儲存鍵值中之目的位址在葉節點中到偵測插入新樹開始插入新樹開始建立根節點=直接表格空間，一個分支目的位址個刀支檢查―個位70，其指向正確的來源位址、目的埠個刀支檢查一個位凡’其指向正確的來源位址、 508 了個原始的葉節點 =已來細止、目的位址，璋，伴新的來源位址、新的目地 512到偵測 600 602 604 606 608 610 700 702 704 插入更大的樹開始插入更大的樹開始 =樹插入新分支，新葉節點點的標籤為來源位址、目的位址新葉郎點標籤為來源位址、目 =鍵值中之目_在葉節點中 2鍵值中之目的位址在葉節點中到偵測 ^界值開始臨界值，節點中的目的埠數目〉配置臨值？葉節點中的目的付t μ η · J曰的位址數目 > 配置的臨界值？ 4IBM05070TW.doc

39 706 706 708 802 804 806 808 810 812 通報有目的埠過量的情形給管理系統 it目的位址過量的情形給管理系統開始具體化刪除次數計數增加1 次數計數 > 配菫的臨界值？樹和直接表格中的指標到偵測 1102鍵值=(來源位址，目的埠） 1104雜湊(來源位址，目的埠） 1106 1108直接表格 3 1110 Patricia 樹 1112有來源位址、目的埠的葉節點；目的位址列李 1114有來源位址、目的埠的葉節點；目的位址列^ 1116有來源位址、目的埠的葉節點；目的位址列^ 1202鍵值=(來源位址，目的位址）又 1204雜湊(來源位址，目的位址） 1206 1208直接表格 1210 Patricia 樹 1212有來源位址、目的位址的葉節點；目的埠列表 1214有來源位址、目的位址的葉節點；目的琿列^ 1216有來源位址、目的位址的葉節點；目的埠列^ 4 旧 M05070TW.doc

Claims

年月日修正替換頁、申請專利範圍： inn 4 1 案號：94124490 1⑻年7月5日修正__替換頁 1. ^麵路上以侧未授權埠掃描之方法，包含：皿控一網路裝置上所收到的網且具有一查詢結構在邏輯上相當於—搜I樹， -部分分割成多個表格空間叫具=一炫;7 操作上m合-樹狀結構; 祕空間在在_路流量裡谓測事先定義的封包子集合； ♦重ίϊΐ事先定義的封包子集合，以_出°具有某種程 =特性的可疑封包，其情述分析步驟包I 克計特性的一或多個傳輸控制協定/網路協定(Tcp上包和使用者資料電報協定(UDP)封包；十或多訊指出偵_具有該事先定義統計特性的一回應偵測該可疑封包：識別具有轉先定義統計特性的該可疑封一來源位址(SA)和一目的位址(DA); 對各個_ _具有辭先絲崎特性的事先包’以所述程式化CPU產生源自該被價測封包的來源位址(SA)和目的位址_的一雜凑s value); 使用被產生以偵測指標的該雜湊值，索多個表格空_-表格帥，用以存取該樹狀結構= 一茱節點(leaf^，其中該葉節點對應於該指標；將該葉節點内部所偵測到的目的埠(D 值與一臨界值比較； I36419U 年月日修正替換頁案號：94124490 年7月5曰修正_替換頁诗总等於或大於該臨界值的該位址數值，*網路的;^ f ί理單位自動地對於與該可疑封包的=來^^= 相同的所有後續封包限址(SA) 的一最大製/接收率。，、料致朗路抑低可能性 2.

檢查用於一指標的該表格空間；中』有指標被發s ’插人—難節點於該樹狀結構的-位址(SA)和該目的位址(DA)作為該新葉節點谈Jf包含於所述各個被制的該事先定義封包中的目的阜（）的一位址儲存於該新葉節點令；以及於該表格空間中創造一指標，指向該新葉節點。

3t »如請求項1所述之方法’其中所述使用被產生以偵測一指標的該雜湊值索引進入該多個表格空間的一表格空間步驟，更包含：回應偵測到在該表格空間中具有一指標，利用該指標存取該葉節點； Μ 檢查S亥葉郎點的内容，以傾測記錄於其内部的目的埠 (DP)的位址；以及如果在該葉節點中位址的數值小於該臨界值，將該DA 增加至該葉節點；以及如果該DP並不存在於該葉節點中，將該〇ρ增加至該葉節點。 42 〇5 - " 1 崎一_ ι· mm 案號：94124490 100年7月5曰修正一替換頁年月曰修正f換頁 4.如請求項3所述之方法，更包含：施-==的數值等於或大於該臨界值，利用該弘實土奢f該第二層查詢所發現〇八的數值和DP的數值斑-事第二事先建構的臨界值她較;、以及建構等於該第二事先如。月求項1所述之方法，其中所述 fcp：t;r〇P^ 所述^法’財所述封帥預合包含從 (SYN、RS&T 封包中至少兩個3位元的TCP標頭 7勺勺f述之方法，其中該被侧_事先定義封包包含TCP/IP聖誕樹，，（Christmas tree)封包。 ^ 求項1 ^法巾所财'卜警訊的步驟更可疑封包報導至—中央行政管理單位，且所述方的ίϋΪίί管料位將具有與該等可疑封包相同特性 43 1364190 m 7. 0 5 年月日修正替換頁案號：94丨2449〇伏只I 100年7月5曰修正-替換頁 (DP)，其中m為大於或等於，並且η為大於或等於5。 10_如請求項1所述之方法，其中所述事先定義統計特性包含一個來源位址(SA)，m個目的位址(DA)和η個目的埠 (DP)，其中m為大於或等於1並且门為大於或等於5或者 η為小於4二者擇其一。

11.如請求項彳所述之方法，其中所述事先定義統計特性包含一個來源位址(SA)，具有m大於】的m個目的位址(DA) 和具有π大於1的η個目的棒pp)。 12·如請求項1所述之方法，其中所述分析、產生、索引及比較的-或多個步驟係藉由—組演算法之一或多個演算法 =’ f包含$少一種偵測演算法、插入直接表格_演 ^法算法、插人更大的樹演算法、臨界值 (threshold)演昇法、及刪除演算法。

13. -種在網路上以偵測掃描之系統，包含：一記憶體； :查？料結構在操作上配置於該記憶體内查询-貝料結構包含邏輯上相當八表r-具有至=格= 14. 一種電腦程式製品，包含： 44 1364190

伽年7月sH:9; 一非暫存式電腦謂取 -網蝴，當由 ”2之任一項所述4法處理贿執行時，實施如請求項 15.:TTJ_路上未授權_之方法，包含. \該查表機重的表格空間’且至少有二個: 接收裝置上的網路流量；分析網路流量，藉著一個可程式化處事先定義統計特性之丁CP/IP封包； ° 、’、’】出具有對每個TCP/IP封包之偵測，運用該可程式生來源位址和目的位址的雜凑值；產使用雜凑值當成進入一個表格空間的索引；檢查表格空間中的一指標；、’ 如果沒有找到這樣的指標’插入一個新葉節點，並來源位址和目的位址當成該葉節點的識別；斤儲存該每個TCP/IP封包都擁有之目的埠位址在該葉郎點中；且 ’、產生一個指標使該表格空間指向到該葉節點。 16.如請求項15所述之方法，進一步包含：點如果表格空間裡有一個指標，使用該指標存取一葉節才双查3亥葉卽點的内谷’以j貞測紀錄在其中之目的緣仇 45 1364190 年月日修正替換頁案號：94124490 100年7月5曰修正一替換頁址比較目的璋位址數目與—臨界值執行第二階層查表，如果該數目大於等於臨界值。 17·如請求項16所述之方法，造一加目的位址’如果储存在該葉節點中。增 18. —種在電腦網路上偵測有提供至少-種演算法，法’包含：目的定由含=位址-個其中來源位址(SA)、目的辑γ门々儲存在Patricia樹排列的一個華()=很夕個目的位址(DA) 排列包含-直接表格；葉即财，及其中Pa齡樹直接的雜湊值索引進入該中；如果該表格空間沒有東西，插入一指標到該表格空間如果該表格空間包含指向單—獅點的資訊：咖、目㈣與事先定義封址與= 目貞剛_之目的位的位二f表〜有符合’增加這個目的位址到葉節點的目向-個中央管理單位報告發現該封包，所述中央管理早位採取果斷的行動’以限制該封包的有害影響，其中果 46 年月曰修正替換頁 lf1n . n tit ： 94124490 M年7月5日修正_替換頁辦的行動包含：中·增加該封包之目的埠數值到可允許的目的埠列表丢掉與被識別封包有相同央.择目的琿之全部後續的封包有串相^/位址、目的位址和的逮^制全部與被識別封包有相同來源位較;目可允許目的埠列表比 ^ 二’、目的埠列表符合之被識別封包。如請求項18所述之方法，其中N大於8且Μ等於卜方法，其中在該電腦網路中至少執 Ϊ統：^ f腦網路巾制包含有害程式碼封包的系統，該二，路處理器，包含記憶體和最少-個處理元件； -伽:結構，包含至少—棵P_a樹排列以儲存至少體中·《㈣包載有有害財碼之位元祕賴在該記憶行後=電腦程式，裝載在該至少―個處理元件，且當執该處理元件由事先定義封包之事先定義欄位產生址之封包串 19. 值；鍵關聯· ;該鍵值與該規則去辨識具有一個來源位址、—個目的蟑和彳艮多個目的位址之封包； 47 1364190 100. ?. 0 5 年月日修正替換頁案號：94124490 100年7月5日修正—替換頁其中來源位址(SA)、目的埠(DP)和报多個目的位址(da) 儲存在Patricia樹排列的一個葉節點中，及其令pafr丨如樹排列包含一直接表格； ^ 利用一事先定義封包的SA和DP的雜凑值索引進入該直接表格的一表格空間； ' ” ^ 如果该表格空間沒有東西’插入—指標到該表格空間中；如果該表格空間包含指向單一葉節點的資訊： φ 比較葉節點中的來源位址、目的埠與事先定義封包之來源位址、目的埠； " 如果SA和DA符合，則比較葉節點中之目的位址與封包之目的位址；且如果沒有符合，將所述封包的目的位址增加至所述葉節點内的目的位址。 48