TWI503695B - 封包資料提取裝置、封包資料提取裝置之控制方法、控制程式及電腦可讀取之儲存媒體 - Google Patents
封包資料提取裝置、封包資料提取裝置之控制方法、控制程式及電腦可讀取之儲存媒體 Download PDFInfo
- Publication number
- TWI503695B TWI503695B TW101141784A TW101141784A TWI503695B TW I503695 B TWI503695 B TW I503695B TW 101141784 A TW101141784 A TW 101141784A TW 101141784 A TW101141784 A TW 101141784A TW I503695 B TWI503695 B TW I503695B
- Authority
- TW
- Taiwan
- Prior art keywords
- packet
- data
- message
- program
- target
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本發明係關於一種自通訊中封包提取出目標資料之封包資料提取裝置、封包資料提取裝置之控制方法、控制程式及電腦可讀取之儲存媒體。
舉例而言,檔案元資料竄改型隱藏程序(Rootkit)係電腦病毒的一種態樣,中毒後會導致服務停止或資訊外洩,嚴重影響服務品質。檔案元資料竄改型隱藏程序因變更作業系統核心(Operating System Kernel)內之資料,致使一般防毒軟體(Anti-virus Software)極難進行檢測。為了檢測該隱藏程序,較佳係架構出網路系統,並於虛擬機器監控器(Virtual Machine Monitor;VMM)監控通訊之封包。如該例所述,傳統係自通訊中封包提取出資訊。
在此係參照第6圖說明使用封包之一般傳輸接收訊息的概略流程。
如第6圖所示,傳輸訊息時,首先,於傳輸側的應用程式(圖中左側之Application)產生訊息(步驟S51),並於OS(Operating System)(圖中左側之OS)請求傳輸訊息(步驟S52)。接著,OS係將取得之訊息分割成封包並標註標頭(Header)(步驟S53),再輸出至接收側(步驟S54)。
另,接收訊息時,接收側OS(圖中右側之OS)係接收封包(步驟S54)並去除標頭,同時依據標頭產生訊息(步驟S55),再將產生之訊息傳輸至應用程式(圖中右側之Application)(步驟S56)。接著,應用程式係將自OS取得之訊息存放於記憶體中(步驟S57)。
如上所述,訊息傳輸側之OS係於傳輸至NIC(Network Interface Card)時,將訊息轉換成封包。此時,OS係將傳輸處恢復訊息時的必要資訊,如:包含序號(Sequence Number)(依序編號)、埠號(Port Number)(連接識別碼)等標頭標註於封包。另一方面,訊息接收側之OS係參照封包的標頭,並自封包架構出訊息。
接著,參照第7圖及第8圖說明以封包進行傳輸接收之訊息中提取資料之傳統方法。在此,列舉出於VMM(Virtual Machine Monitor)自訊息提取出目標資料之例進行說明。
如第7圖所示,傳輸側OS(圖中左側之OS)係將封包傳輸至VMM提供之虛擬Network Interface Card。即,VMM係取得OS所分割之封包。接著,VMM係將取得之封包傳輸至接收側OS(圖中右側之OS),同時自取得之封包重新架構出訊息,以取得所需資訊之目標資料。
具體而言,如第8圖所示,VMM係確認所取得之封包的標頭資訊(步驟S61),並複製標頭以外資料(有效負載)(步驟S62),之後再傳輸封包(步驟S63)。同時,VMM係自資料複本架構出訊息(步驟S64),再自訊息提取出目標資料(步驟S65)。
如上所述,VMM係產生封包有效負載之複本,並依據封包的標頭資訊加以配置。即,VMM係將分割成封包之訊息重新架構後,提取出目標資
料。
[非專利文獻1]TCP Reassembler for Layer7-aware Network Intrusion Detection/Prevention Systems, Miyuki Hanaoka, Makoto Shimamura, and Kenji Kono, IEICE Trans. on Information and Systems, Vol.E90-D, No.12, pp.2019-2032, Dec. 2007
但透過上述傳統方法,VMM係於封包提取必要資訊時,產生封包有效負載之複本,並依據封包的標頭資訊配置該複本,並於架構訊息後,自該訊息提取所需資訊。即,需要產生有效負載的複本並架構訊息。具體而言,如第7圖所示之例,VMM為了取得目標資料“E”,係於產生依序取得之三封包有效負載的複本後,重新架構訊息。
如此,透過傳統方法,為了產生有效負載的複本係需花費時間處理,同時,OS亦需重新架構訊息,因此產生額外負擔(Overhead)。即,自封包提取必要資訊時,係產生較大額外負擔,對運作中的服務品質影響較大。
有鑑於上述問題點,本發明目的係提供一種可自封包有效率地提取必要資料之封包資料提取裝置、封包資料提取裝置之控制方法、控制程式及電腦可讀取之儲存媒體。
為了解決上述課題,本發明一態樣之封包資料提取裝置,係自通訊中封包提取目標資料,封包資料提取裝置具備:程序名確認元件,係參照存放於暫時儲存通訊中封包之暫時儲存部內之對象封包的有效負載,並確認該對象封包的有效負載所含之訊息程序名;及目標資料取得元件,係依據預先對應該程序名確認元件所確認之程序名之用以表示目標資料存放位置之資料位置資訊,以自該資料位置資訊所特定之目標封包的有效負載中取得目標資料。
另,為了解決上述課題,本發明一態樣之封包資料提取裝置之控制方法,係控制封包資料提取裝置自通訊中封包提取目標資料之方法,其具備:程序名確認步驟,係參照存放於暫時儲存通訊中封包之暫時儲存部內之對象封包的有效負載,並確認該對象封包的有效負載所含之訊息程序名;及目標資料取得步驟,係依據預先對應該程序名確認步驟所確認之程序名之用以表示目標資料存放位置之資料位置資訊,以自該資料位置資訊所特定之目標封包的有效負載中取得目標資料。
因此,透過本發明一態樣之封包資料提取裝置及封包資料提取裝置之控制方法,係不會將通過網路之通訊封包全數轉換成訊息,而會適度取捨挑選轉換之封包,故可有效率地取得檔案元資料。另,因未如傳統一般複製訊息,所以處理速度較快。因此,無造成額外負擔,並抑制對運作中服務產生之額外負擔,以自封包有效率地提取出必要資料。
10‧‧‧封包資料提取裝置
11‧‧‧封包確認部
12‧‧‧程序名確認部
13‧‧‧目標資料取得部
14‧‧‧位置資訊儲存部
14a‧‧‧程序名位置資訊
14b‧‧‧資料位置資訊
20‧‧‧暫存區
100‧‧‧VMM
P‧‧‧對象封包
S11-S15‧‧‧步驟
S51-S57‧‧‧步驟
S61-S65‧‧‧步驟
第1圖係為本發明一實施態樣,其詳細表示封包資料提取裝置的組成之功
能方塊圖。
第2圖係為第1圖所示封包資料提取裝置之動作示意圖。
第3圖係為第1圖所示封包資料提取裝置之處理流程圖。
第4圖係為應用第1圖所示封包資料提取裝置之檔案元資料竄改型隱藏程序檢測系統的概略方塊圖。
第5圖係為第4圖所示檔案元資料竄改型隱藏程序檢測系統中使用之資料位置資訊的一實施例說明圖。
第6圖係為傳統技術中,以封包傳輸接收訊息之概略說明圖。
第7圖係為傳統技術中,自封包傳輸接收之訊息中提取資料之傳統示意圖。
第8圖係為第7圖的傳統處理流程圖。
以下係詳細說明本發明一實施態樣。依據第1圖至第5圖說明本實施態樣之封包資料提取裝置10,其如以下所述。
(1.裝置組成)
參照第1圖說明封包資料提取裝置10之組成。第1圖係詳細表示封包資料提取裝置10組成之功能方塊圖。
封包資料提取裝置10係自存放於暫時儲存通訊中封包之暫存區20(暫時儲存部)內之封包中提取出目標的資料(目標資料)之裝置。本實施態樣中,封包資料提取裝置10一部分係嵌入於VMM100(虛擬機器監控器)。再者,封包資料提取裝置10可作為傳輸封包的應用程式之低位層而設置於封包傳輸側的裝置中,亦可作為接收封包的應用程式之低位層而設置於封包接收側的裝置
中。另,封包資料提取裝置10亦可設置於連結封包傳輸側的裝置與封包接收側的裝置之網際網路上。
本實施態樣列舉出應用於伺服器一用戶端間通訊之例進行說明。第2圖中(第1圖亦同),圖中左側之Application為伺服器,而圖中右側之Application為用戶端。用戶端係輸出請求訊息(Request Message)至伺服器,而伺服器係呼應用戶端輸出之請求訊息,將資料訊息傳輸至用戶端。再者,本實施態樣中,記載用戶端輸出至伺服器之請求訊息係表示為「CtoS訊息」,而分割「CtoS訊息」後之封包則表示為「CtoS封包」。另,呼應請求訊息並自伺服器輸出之資料訊息係表示為「StoC訊息」,而分割「StoC訊息」後之封包則表示為「StoC封包」。
具體而言,如第1圖所示,封包資料提取裝置10具備封包確認部11(封包確認元件)、程序名確認部12(程序名確認元件)、目標資料取得部13(目標資料取得元件)、位置資訊儲存部14。
封包確認部11藉由確認對象封包P的標頭,以確認對象封包P是否為存放訊息前端部之封包。即,封包確認部11係檢測存放訊息前端部之前端封包Ph。尤其封包確認部11係檢測CtoS訊息經分割後之對象封包P(CtoS封包),並確認檢測出之對象封包P的標頭。接著,確認對象封包P是否為存放CtoS訊息前端部之封包。
另,封包確認部11係依據預先對應程序名確認部12所確認之程序名之用以表示目標資料存放位置之資料位置資訊14b(將於後面詳述),以檢測呼應該CtoS訊息之StoC訊息經分割後之對象封包P(StoC封包)。接著,確認檢測出之對象封包P的標頭,藉此檢測資料位置資訊14b所特定之目標封包Pt。
即,封包確認部11係檢測包含目標資料之目標封包Pt。
程序名確認部12係依據用以表示訊息程序名的存放位置之程序名位置資訊14a(將於後面詳述),以參照存放於暫存區20之對象封包P(CtoS封包)的有效負載。接著,確認該對象封包P的有效負載所含之CtoS訊息的程序名。再者,本實施態樣雖使用程序名,但若可辨識訊息的程序,亦可使用各程序的獨特分配之ID號碼等其他資訊。
尤其本實施態樣中,僅於封包確認部11確認對象封包P(CtoS封包)存放有CtoS訊息前端部後,程序名確認部12才會確認該對象封包P(CtoS封包)的有效負載所含之CtoS訊息的程序名。一般而言,CtoS訊息程序名係存在於該CtoS訊息前端部。如此,CtoS訊息係位於該CtoS訊息經分割後之複數CtoS封包中的前端CtoS封包內。因此,為了檢測出CtoS訊息中包含程序名之CtoS封包,係參照CtoS封包的標頭,以判斷是否為包含CtoS訊息前端部之前端封包Ph。如此,參照標頭,若係未包含CtoS訊息前端部之CtoS封包,則可省略後續處理。因此,程序名確認部12僅參照CtoS封包的標頭便可檢測出包含CtoS訊息程序名之CtoS封包,效率係較佳。
目標資料取得部13係於呼應CtoS訊息之StoC訊息經分割後之StoC封包中,依據預先對應程序名確認部12所確認之程序名之用以表示目標資料存放位置之資料位置資訊14b(將於後面詳述),以自該資料位置資訊14b所特定之目標封包Pt的有效負載中取得目標資料。尤其,本實施態樣中,目標資料取得部13係僅取得資料位置資訊14b所指定位置之資料。另,當目標資料取得部13自目標封包Pt的有效負載取得目標資料時,係自有效負載前端開始轉換訊息,而取得目標資料時便停止轉換訊息。
位置資訊儲存部14係預先儲存程序名位置資訊14a與資料位置資訊14b。
程序名位置資訊14a係表示CtoS訊息程序名於該CtoS訊息之存放位置。再者,本實施態樣中,程序名於CtoS訊息之存放位置係因應訊息協定加以決定,而同一協定的程序間係共通。
資料位置資訊14b係程序的程序名與自該程序之StoC訊息所得之資料(目標資料)的資料名及其於該StoC訊息之存放位置相對應之資訊。即,參照資料位置資訊14b可得知對應程序名之目標資料的資料名與該目標資料於StoC訊息之存放位置。
(2.位置資訊)
再依據第2圖所示具體例,說明封包資料提取裝置10中預先儲存於位置資訊儲存部14之二位置資訊(程序名位置資訊14a、資料位置資訊14b)。第2圖係封包資料提取裝置10之動作示意圖。再者,此處訊息協定係NFS(Network File System)協定,並以提取檔案元資料為例進行說明。再者,第2圖係封包資料提取裝置10處理呼應用戶端輸出之CtoS訊息的StoC訊息經分割後之StoC封包的過程。再者,用戶端輸出之CtoS訊息的處理過程於第2圖中係省略,但可藉由第2圖與後述動作說明加以理解。
如上所述,於封包資料提取裝置10,係將程序名位置資訊14a與資料位置資訊14b預先儲存於位置資訊儲存部14。
程序名位置資訊14a係表示程序名的位置資訊(如:「自訊息的前端byte起」)。即,表示訊息的何處位置具備程序名。具體而言,如第2圖所示,可記載為「程序名位置:第80byte處」。
在此,於NFS協定決定包含訊息內程序名之位置。如此,程序名確認部12依據程序名位置資訊14a並參照封包的有效負載,便可提取出程序名。即,無需為了提取出程序名而掃描全部封包。
接著,資料位置資訊14b係程序名與所得資料名及其位置相對應之資訊。即,各程序名係表示可自何處位置提取出何資料。具體而言,於第2圖所示例中,可取得「於GETATTR,Inode係存放於第118byte處,而File Size係存放於第150byte處」等內容資訊。
在此,於NFS協定決定各程序的訊息所含之資料及其位置。即,透過程序,訊息所含之資料及其位置係不相同。在此,目標資料取得部13依據資料位置資訊14b並參照有效負載,便可提取出資料。即,無需為了提取目標資料而自有效負載架構出訊息。
另,封包的標頭係包含封包尺寸與序號。因此,藉由各封包的封包尺寸與序號可得知該封包的有效負載資料係對應分割出封包前之訊息的何部分。藉此,封包確認部11係檢測出包含目標資料之目標封包Pt。
另,若自NFS協定之訊息提取出檔案元資料,係僅將包含檔案元資料之程序登錄於資料位置資訊14b,而不必要之程序的封包係無需進行處理。再者,於NFS協定之22種協定中,包含檔案元資料之協定係有15種,其皆具備可藉由一封包輸出之長度的訊息。即,以該等15種程序為對象時,前端封包Ph係常包含檔案元資料(目標資料)。
(3.動作)
接著,參照第3圖說明封包資料提取裝置10之處理流程。第3圖係封包資料提取裝置10之處理流程圖。
通過VMM100之通訊中封包係依序暫時存放於暫存區20。再者,將存放於暫存區20中且封包資料提取裝置10處理中之封包記載為對象封包P。
封包資料提取裝置10係依序檢測存放於暫存區20之對象封包P,並進行下述處理。
首先,封包確認部11係依序確認存放於暫存區20之對象封包P(CtoS封包)的標頭,藉此檢測出包含CtoS訊息前端部之CtoS訊息的前端封包Ph(步驟S11:前端封包確認步驟)。
接著,程序名確認部12係依據程序名位置資訊14a,自步驟S11所檢測出之CtoS訊息的前端封包Ph之有效負載確認訊息程序名(步驟S12:程序名確認步驟)。
接著,目標資料取得部13係自位置資訊儲存部14取得預先對應步驟S12所確認之程序名之資料位置資訊14b(步驟S13:資料位置資訊取得步驟)。
接著,依據步驟S13所取得之資料位置資訊14b,封包確認部11係檢測出呼應該CtoS訊息之StoC訊息經分割後之StoC封包。接著,封包確認部11係自檢測出之StoC封包中,檢測出包含資料位置資訊14b所特定位置(目標封包Pt的位置)之資料之目標封包Pt(步驟S14:目標封包確認步驟)。
此時,若資料位置資訊14b所示位置係位於StoC訊息之前端封包Ph的有效負載所含之訊息內,則StoC訊息的前端封包Ph係為目標封包Pt。另,如第2圖所示,若資料位置資訊14b所示位置係位於第三StoC封包的有效負載所含之StoC訊息內,則第三StoC封包係為目標封包Pt。此情況下,封包
確認部11係依序確認第二、第三StoC封包的標頭,以檢測出第三StoC封包係為目標封包Pt。
最後,目標資料取得部13係自步驟S14檢測出之目標封包Pt的有效負載取得目標資料(步驟S15:目標資料取得步驟)。
(4.結論)
如以上所述,透過封包資料提取裝置10,係於稱之為虛擬機器監控器之軟體層(Software Layer)的封包層(Packet Level),自網路檔案系統協定(Network File System Protocol)有效率提取出檔案元資料。即,封包資料提取裝置10並非將通過網際網路之通訊封包全數轉換成訊息,而係適度取捨挑選轉換封包,以有效率地取得檔案元資料。具體而言,封包資料提取裝置10並未如傳統一般複製StoC訊息,因此處理較快速。另,因未架構StoC訊息,所以無造成額外負擔,可抑制對運作中服務產生之額外負擔。
再者,本實施態樣係以NFS協定為例進行說明,但並未侷限於此。即,可應用之協定,係如NFS協定可傳輸程序並操作檔案之協定即可。另,亦可預先設定各程序於目標資料訊息之位置。具體例除NFS協定以外,係可列舉出FTP(File Transfer Protocol)協定、HTTP(Hyper Text Transfer Protocol)協定。
(5.應用例)
以下係說明該封包資料提取裝置10的應用例。
(5.1.檢測隱藏程序)
檔案元資料竄改型隱藏程序係電腦病毒的一種態樣,中毒後會導致服務停止或資訊外洩,嚴重影響服務品質。檔案元資料竄改型隱藏程序因變更作業系統核心內之資料,致使一般防毒軟體極難進行檢測。再者,VMWatcher
雖能檢測目前已知檔案元資料竄改型隱藏程序,但對於未知病毒卻無能為力。而Strider Ghostbuster雖可檢測未知檔案元資料竄改型隱藏程序,但對運作中的服務品質有極大影響。
檔案元資料竄改型隱藏程序所造成之服務停止或資料外洩,係對提供服務者產生嚴重影響,因此需監控系統是否受到該病毒感染。接著,為了檢測檔案元資料竄改型隱藏程序,藉由架構網路系統並以虛擬機器監控器監控通訊之封包係極為有效。但亦需盡可能抑制對運作中服務產生之額外負擔。
在此,檔案元資料竄改型隱藏程序之檢測機構中係嵌入有該封包資料提取裝置10,藉此抑制於虛擬機器上運作之應用程式或作業系統所產生之額外負擔,並可監控隱藏程序。
第4圖係應用封包資料提取裝置10之檔案元資料竄改型隱藏程序檢測系統的概略方塊圖。另,第5圖係檔案元資料竄改型隱藏程序檢測系統所使用之資料位置資訊的一實施例說明圖。第5圖係列舉出上述NFS協定之程序中包含檔案元資料之15種程序。
第4圖所示VMM中,為了自封包提取所接收之檔案元資料,而嵌入有封包資料提取裝置10。接著,應用程式係將封包資料提取裝置10自封包提取之檔案元資料與OS所得之檔案元資料兩者內容相比較。接著,該二檔案元資料若不一致,則判斷OS係受到檔案元資料竄改型隱藏程序感染。
再者,具體而言,VM view係取得與檔案系統相關之系統調用(System Call)參數、轉回值(stat()、fstat()、getdent()等)。另一方面,VMM view(封包資料提取裝置10)係自網路檔案系統NFS之訊息取得檔案元資料。接著,比較VM內之view與VMM內之view,若不一致則判斷受到隱藏程序感染。
如此,將封包資料提取裝置10嵌入檔案元資料竄改型隱藏程序檢測機構,藉此抑制於虛擬機器上運作之應用程式或作業系統所產生之額外負擔,並可監控隱藏程序。如此,對防止隱藏程序所產生之服務停止或情報外洩等問題有極大貢獻。
(5.2.檔案存取監控器)
封包資料提取裝置10因於VMM100監控NFS協定,而可不變更OS或應用程式便可取得檔案存取數或檔案存取模式。如此,有助於檔案配置最佳化或冗餘(Redundancy)。具體而言,可將相近時期存取之檔案群配置於同一目錄(Directory)以降低磁碟存取,或存取頻率較高檔案係產生複本以分散負荷等措施。
(5.3.控制檔案存取)
封包資料提取裝置10係可不變更OS或應用程式之設定地控制檔案存取。藉此,可防止檔案遭竄改。即,即便OS遭受病毒攻擊,因未攻擊到VMM,係無法存取設定為禁止存取之檔案。
(6.補充說明)
最後,封包資料提取裝置10的各區塊,尤其係封包確認部11、程序名確認部12及資料取得部13,係可藉由硬體邏輯(hardware logic)加以組成,亦可如下所述使用CPU並藉由軟體加以組成。
後者之情況,封包資料提取裝置10具備:執行各功能的程式命令之CPU(Central Processing Unit);存放該程式之ROM(Read Only Memory);展開該程式之RAM(Random Access Memory);存放該程式及各資料之記憶體等儲存裝置(儲存媒體)等。接著,亦可藉由把可以實現該等功能之軟體一封包資料提
取裝置10的控制程式之程式編碼(執行形式程式、中間碼程式、原始程式)儲存於電腦可讀取之儲存媒體,並供給至封包資料提取裝置10,而該電腦(或CPU、MPU)係讀取且執行儲存於儲存媒體之程式編碼,以達成本發明目的。
舉例而言,該儲存媒體可以使用磁帶或卡帶等磁帶類;FLOPPY(登錄商標)磁碟/硬碟等磁性碟片或包含CD-ROM/MO/MD/DVD/CD-R等光碟之碟片類;IC卡(包含記憶卡)/光學卡等卡片類;或者,遮罩ROM/EPROM/EEPROM(登錄商標)/快閃ROM等半導體記憶體類等。
另,封包資料提取裝置10係可與通訊網路相連接之組成,亦可透過通訊網路提供該程式編碼。該通訊網路並無特別之限制,舉例而言,可使用網際網路、廣域網路(Intranet)、超網路(Extra-net)、LAN、ISDN、VAN、CATV通訊網、假想專用網(Virtual Private Network)、電話電路網、移動體通訊網、衛星通訊網等。另,組成通訊網路之傳輸媒體係無特別之限制,舉例而言,可以利用IEEE1394、USB、電力線通訊、纜線電視電路、電話線、ADSL電路等有線方式;IrDA或如遙控器之類的紅外線、Bluetooth(登錄商標)、802.11無線、HDR、行動電話網、衛星線路、地上波數位網等無線方式。又,本發明亦可採用該程式碼經電子傳送而具體化之混入搬送波的電腦資料訊號的態樣來加以實現。
本發明並無侷限於上述實施態樣,可於請求項所述範圍內做各種變更,而適度組合實施態樣中揭露之技術手段所得之實施態樣亦屬於本發明技術範圍。
如上所述,本發明封包資料提取裝置,係自通訊中封包提取出目標資料,封包資料提取裝置具備:程序名確認元件,係參照存放於暫時儲存
通訊中封包之暫時儲存部內之對象封包的有效負載,並確認該對象封包的有效負載所含之訊息程序名;及目標資料取得元件,係依據預先對應該程序名確認元件所確認之程序名之用以表示目標資料存放位置之資料位置資訊,以自該資料位置資訊所特定之目標封包的有效負載中取得目標資料。
另,本發明封包資料提取裝置之控制方法,係控制封包資料提取裝置自通訊中封包提取出目標資料之方法,其具備:程序名確認步驟,係參照存放於暫時儲存通訊中封包之暫時儲存部內之對象封包的有效負載,並確認該對象封包的有效負載所含之訊息程序名;及目標資料取得步驟,係依據預先對應該程序名確認元件所確認之程序名之用以表示目標資料存放位置之資料位置資訊,以自該資料位置資訊所特定之目標封包的有效負載中取得目標資料。
藉由該組成,以確認對象封包的有效負載所含之訊息程序名,並依據預先對應該程序名確認元件所確認之程序名之用以表示目標資料存放位置之資料位置資訊,自該資料位置資訊所特定之目標封包的有效負載取得目標資料。
因此,藉由參照資料位置資訊得知程序名後,便可特定出存放有目標資料之目標封包,因此可於確認程序名後,再進行目標封包之檢測,及自目標封包的有效負載取得目標資料。
如上所述,並非將通過網路之通訊封包全數轉換成訊息,而係適度取捨挑選轉換之封包,藉此有效率地取得檔案元資料。另,並未如傳統一般複製訊息,所以處理係較快速。因此,無造成額外負擔,並抑制對運作中服務產生之額外負擔,有效率地自封包提取必要之資料。
而且,本發明封包資料提取裝置更具備確認對象封包是否為存
放訊息前端部之封包的封包確認元件,而該程序名確認元件僅於該封包確認元件確認對象封包存放有訊息前端部後,再確認該對象封包的有效負載所含之訊息程序名。
藉由該組成,更可僅於確認對象封包存放有訊息前端部後,再確認該對象封包的有效負載所含之訊息程序名。
一般而言,訊息的程序名因存在於該訊息前端部,係包含於該訊息分割後之複數封包中之前端封包內。在此,為了檢測出訊息中包含程序名之封包,係參照封包的標頭以判斷是否為包含訊息前端部之前端封包。接著,若係未包含訊息前端部之封包則可省略後續處理。藉此,可有效率檢測出包含訊息程序名之封包。
而且,本發明封包資料提取裝置的目標資料取得元件可僅取得該資料位置資訊所指定位置之資料。
藉由該組成,因於資料位置資訊表示目標資料位置,若取得資料位置資訊所指定位置之資料,便可取得目標資料。藉此,僅取得資料位置資訊所指定位置之資料,便可有效率地自封包提取出必要資料。
而且,本發明封包資料提取裝置係設置於VMM。
藉由該組成,透過設置於VMM,而可不變更OS或應用程式地取得檔案元資料且監控協定。因此,可具各種應用方式。
再者,該封包資料提取裝置可透過電腦加以實現,此情況下,使電腦發揮各該元件功能,藉此以電腦實現該封包資料提取裝置之控制程式;及,儲存該等資料之電腦可讀取之儲存媒體,皆列入本發明範疇內。
本發明封包資料提取裝置係盡可能抑制對運作中服務產生之額外負擔,並自封包提取必要資料,因此可應用於檢測檔案元資料竄改型隱藏程序、檔案存取監控器、控制檔案存取等。
10‧‧‧封包資料提取裝置
11‧‧‧封包確認部
12‧‧‧程序名確認部
13‧‧‧目標資料取得部
14‧‧‧位置資訊儲存部
14a‧‧‧程序名位置資訊
14b‧‧‧資料位置資訊
20‧‧‧暫存區
100‧‧‧VMM
P‧‧‧對象封包
Claims (7)
- 一種封包資料提取裝置,係自通訊中封包提取出目標資料,封包資料提取裝置具備:一程序名確認元件,係參照存放於暫時儲存通訊中封包之一暫時儲存部內之一對象封包的有效負載,並確認該對象封包的有效負載所含之訊息程序名;及一目標資料取得元件,係依據預先對應該程序名確認元件所確認之程序名之用以表示目標資料存放位置之一資料位置資訊,以自該資料位置資訊所特定之一目標封包的有效負載中取得目標資料。
- 如申請專利範圍第1項所述之封包資料提取裝置,更具備一封包確認元件,係確認該對象封包是否為存放訊息前端部之封包;而該程序名確認元件僅於該封包確認元件確認該對象封包存放有訊息前端部後,再確認該對象封包的有效負載所含之訊息程序名。
- 如申請專利範圍第1項或第2項所述之封包資料提取裝置,其中該目標資料取得元件僅取得該資料位置資訊所指定位置之資料。
- 如申請專利範圍第1項或第2項所述之封包資料提取裝置,其設置於VMM(Virtual Machine Monitor)。
- 一種封包資料提取裝置之控制方法,係控制封包資料提取裝置自通訊中封包提取出目標資料之方法,其具備:一程序名確認步驟,係參照存放於暫時儲存通訊中封包之一暫時儲存部內之一對象封包的有效負載,並確認該對象封包的有效負載所含之訊息程序名;及 一目標資料取得步驟,係依據預先對應該程序名確認步驟所確認之程序名之用以表示目標資料存放位置之一資料位置資訊,以自該資料位置資訊所特定之一目標封包的有效負載中取得目標資料。
- 一種控制程式,係使電腦發揮申請專利範圍第1項或第2項所述之封包資料提取裝置的各元件之功能。
- 一種電腦可讀取之儲存媒體,係儲存申請專利範圍第6項所述之控制程式。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011250179 | 2011-11-15 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201337627A TW201337627A (zh) | 2013-09-16 |
| TWI503695B true TWI503695B (zh) | 2015-10-11 |
Family
ID=48429511
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW101141784A TWI503695B (zh) | 2011-11-15 | 2012-11-09 | 封包資料提取裝置、封包資料提取裝置之控制方法、控制程式及電腦可讀取之儲存媒體 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9584408B2 (zh) |
| EP (1) | EP2782292B1 (zh) |
| JP (1) | JP5536962B2 (zh) |
| CN (1) | CN103947158B (zh) |
| TW (1) | TWI503695B (zh) |
| WO (1) | WO2013073448A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9559982B2 (en) * | 2014-02-28 | 2017-01-31 | Cavium, Inc. | Packet shaping in a network processor |
| WO2016048382A1 (en) * | 2014-09-26 | 2016-03-31 | Hewlett Packard Enterprise Development Lp | Storage of hypervisor messages in network packets generated by virtual machines |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI225218B (en) * | 2002-08-29 | 2004-12-11 | Faraday Tech Corp | Decoding method for decoding instructions in an executing package |
| US20080189769A1 (en) * | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
| TW200945044A (en) * | 2008-04-21 | 2009-11-01 | Ralink Technology Corp | Network device of processing packets efficiently and method thereof |
| WO2011037148A1 (ja) * | 2009-09-28 | 2011-03-31 | 日本電気株式会社 | コンピュータシステム、及び仮想マシンのマイグレーション方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7643481B2 (en) * | 1999-03-17 | 2010-01-05 | Broadcom Corporation | Network switch having a programmable counter |
| JP3764016B2 (ja) * | 1999-05-10 | 2006-04-05 | 財団法人流通システム開発センタ− | 統合ip転送網 |
| US7539134B1 (en) * | 1999-11-16 | 2009-05-26 | Broadcom Corporation | High speed flow control methodology |
| GB2408368B (en) | 2000-08-18 | 2005-07-06 | Smart Media Ltd | Apparatus, system and method for enhancing data security |
| JP2002189607A (ja) * | 2000-12-22 | 2002-07-05 | Nec Corp | メモリ管理方法及び情報処理装置 |
| US20040153918A1 (en) * | 2002-04-08 | 2004-08-05 | Matsushita Electric Industrial Co., | Tamper-resistant computer program product |
| US20060059196A1 (en) * | 2002-10-03 | 2006-03-16 | In4S Inc. | Bit string check method and device |
| CN100449560C (zh) | 2006-09-26 | 2009-01-07 | 南京擎天科技有限公司 | 一种计算机数据安全防护方法 |
| US8458695B2 (en) * | 2006-10-17 | 2013-06-04 | Manageiq, Inc. | Automatic optimization for virtual systems |
| JP5035006B2 (ja) | 2007-07-25 | 2012-09-26 | 富士通株式会社 | 通信装置の制御方法及び通信装置 |
| CN101803299B (zh) * | 2007-09-20 | 2014-01-29 | 爱立信电话股份有限公司 | 通信网络中的策略路由 |
| US9077734B2 (en) * | 2010-08-02 | 2015-07-07 | Cleversafe, Inc. | Authentication of devices of a dispersed storage network |
-
2012
- 2012-11-08 JP JP2013544236A patent/JP5536962B2/ja not_active Expired - Fee Related
- 2012-11-08 EP EP12850430.5A patent/EP2782292B1/en not_active Not-in-force
- 2012-11-08 CN CN201280055649.2A patent/CN103947158B/zh not_active Expired - Fee Related
- 2012-11-08 WO PCT/JP2012/079000 patent/WO2013073448A1/ja active Application Filing
- 2012-11-08 US US14/358,526 patent/US9584408B2/en active Active
- 2012-11-09 TW TW101141784A patent/TWI503695B/zh not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI225218B (en) * | 2002-08-29 | 2004-12-11 | Faraday Tech Corp | Decoding method for decoding instructions in an executing package |
| US20080189769A1 (en) * | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
| TW200945044A (en) * | 2008-04-21 | 2009-11-01 | Ralink Technology Corp | Network device of processing packets efficiently and method thereof |
| WO2011037148A1 (ja) * | 2009-09-28 | 2011-03-31 | 日本電気株式会社 | コンピュータシステム、及び仮想マシンのマイグレーション方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013073448A1 (ja) | 2013-05-23 |
| JPWO2013073448A1 (ja) | 2015-04-02 |
| US9584408B2 (en) | 2017-02-28 |
| US20140314077A1 (en) | 2014-10-23 |
| EP2782292B1 (en) | 2016-02-10 |
| CN103947158B (zh) | 2017-03-01 |
| TW201337627A (zh) | 2013-09-16 |
| EP2782292A1 (en) | 2014-09-24 |
| CN103947158A (zh) | 2014-07-23 |
| EP2782292A4 (en) | 2015-03-11 |
| JP5536962B2 (ja) | 2014-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3011437B1 (en) | Scanning files for inappropriate content during synchronization | |
| US20200052983A1 (en) | Data leakage protection in cloud applications | |
| RU2617631C2 (ru) | Способ обнаружения работы вредоносной программы, запущенной с клиента, на сервере | |
| US11223639B2 (en) | Endpoint network traffic analysis | |
| US9882924B2 (en) | Systems and methods for malware analysis of network traffic | |
| US9811676B1 (en) | Systems and methods for securely providing information external to documents | |
| US9100426B1 (en) | Systems and methods for warning mobile device users about potentially malicious near field communication tags | |
| US8612594B1 (en) | Systems and methods for preventing data loss from files sent from endpoints | |
| WO2021051563A1 (zh) | 目标数据归档方法、装置、电子设备及计算机非易失性可读存储介质 | |
| US20130232187A1 (en) | Systems and methods for managing data in a networked communication system | |
| WO2013091435A1 (zh) | 文件类型识别方法及文件类型识别装置 | |
| US20140115705A1 (en) | Method for detecting illegal connection and network monitoring apparatus | |
| WO2016202000A1 (zh) | 差分回退升级方法及装置 | |
| US20150019632A1 (en) | Server-based system, method, and computer program product for scanning data on a client using only a subset of the data | |
| TWI503695B (zh) | 封包資料提取裝置、封包資料提取裝置之控制方法、控制程式及電腦可讀取之儲存媒體 | |
| CN112131041A (zh) | 用于管理数据放置的方法、设备和计算机程序产品 | |
| US11397810B2 (en) | Malicious code purification in the body of graphics files | |
| JP2022007690A (ja) | ネットワークサービスシステム、ネットワーク管理方法およびコンピュータプログラム | |
| KR101983997B1 (ko) | 악성코드 검출시스템 및 검출방법 | |
| US10819614B2 (en) | Network monitoring apparatus and network monitoring method | |
| CN108075932B (zh) | 一种数据监控方法和装置 | |
| JP2012150658A (ja) | 情報処理装置、システム、通信監視方法およびプログラム | |
| CN117389769B (zh) | 基于云服务的浏览器端富文本拷贝方法、系统及云平台 | |
| WO2024129083A1 (en) | Security scan with backup | |
| CN117675336A (zh) | 文件扫描方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |