TWI610196B - 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品 - Google Patents

網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品 Download PDF

Info

Publication number
TWI610196B
TWI610196B TW105140086A TW105140086A TWI610196B TW I610196 B TWI610196 B TW I610196B TW 105140086 A TW105140086 A TW 105140086A TW 105140086 A TW105140086 A TW 105140086A TW I610196 B TWI610196 B TW I610196B
Authority
TW
Taiwan
Prior art keywords
attack
access
group
records
association
Prior art date
Application number
TW105140086A
Other languages
English (en)
Other versions
TW201822054A (zh
Inventor
賴家民
毛敬豪
謝志宏
魏得恩
賴季苹
Original Assignee
財團法人資訊工業策進會
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人資訊工業策進會 filed Critical 財團法人資訊工業策進會
Priority to TW105140086A priority Critical patent/TWI610196B/zh
Priority to CN201611114396.8A priority patent/CN108156127B/zh
Priority to EP16202618.1A priority patent/EP3331210B1/en
Priority to US15/372,294 priority patent/US10742668B2/en
Application granted granted Critical
Publication of TWI610196B publication Critical patent/TWI610196B/zh
Publication of TW201822054A publication Critical patent/TW201822054A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一種網路攻擊模式之判斷裝置、方法及其電腦程式產品。該判斷裝置儲存多個攻擊模式及多筆存取記錄。各存取記錄具有網路位址、時間戳記及存取內容。各攻擊模式對應至少一攻擊存取關聯,且各攻擊存取關聯由一網路位址及一存取內容界定。該判斷裝置根據至少一攻擊位址擷取多筆攻擊記錄,而各攻擊記錄所具有之網路位址為攻擊位址之一。該判斷裝置根據該等時間戳記將該等攻擊記錄區分為多群組,且對各群組執行:(a)為該群組所具有之各攻擊位址建立至少一存取關聯,及(b)根據該群組所具有之該至少一存取關聯,判斷該群組對應至該等攻擊模式之一。

Description

網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品
本發明係關於一種網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品。更具體而言,本發明係關於一種利用存取記錄以判斷及預測網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品。
隨著科技的快速發展,政府與企業的運作以及使用者的日常生活皆已脫離不了電腦及網路。基於各式各樣的目的,駭客會攻擊網路上的伺服器/電腦。一般而言,駭客所採取的攻擊可區分為破壞型攻擊及入侵型攻擊二類。破壞型攻擊之目的在於破壞攻擊的目標,使目標癱瘓而無法正常運作。入侵型攻擊則是會取得攻擊的目標的某些權限,進而控制被入侵的目標以執行特定運作。入侵型攻擊通常是在伺服器、應用軟體或網路通訊協議中的漏洞中執行。
為避免網路上的電腦受到駭客的攻擊,某些習知技術採用專家規則式過濾機制。具體而言,管理者利用一預先決定的過濾名單,並根據過濾名單過濾來訪的其他裝置,藉此達到資安維護的目的。過濾名單可包含欲過濾的網際網路位址,或是惡意軟體的程式碼中的特徵值。然而,過濾名單並無法即時被更新,故仍存在資安防護的空窗期。另外,某些習知技術則 是採取動態即時掃描(例如:掃描網頁內容)。雖然此種作法能減少資安維護的空窗期,卻會大量地消耗運算資源。不論是何種習知技術,皆無法將攻擊模式提供予使用者參考,亦無法預測未來可能發生的攻擊模式以讓使用者事先預防。基於前述說明,本領域仍亟需一種能有效地得知及預測攻擊模式之技術。
本發明之一目的在於提供一種網路攻擊模式(Attack Pattern)之判斷裝置。該判斷裝置包含一儲存單元及一處理單元,且該儲存單元及該處理單元彼此電性連接。該儲存單元儲存複數個攻擊模式以及一網路節點之複數筆存取記錄。各該存取記錄包含一主機之一網路位址及該主機存取該網路節點之一時間戳記(Time Stamp)與一存取內容。各該攻擊模式對應到至少一攻擊存取關聯,其中各該至少一攻擊存取關聯由該等網路位址其中之一及該等存取內容其中之一界定。該處理單元根據至少一攻擊位址擷取該等存取記錄之一子集作為複數筆攻擊記錄,其中各該攻擊記錄所包含之該網路位址為該至少一攻擊位址其中之一。該處理單元更根據該等攻擊記錄之該等時間戳記將該等攻擊記錄區分為複數個群組。該處理單元更針對各該群組執行以下運作:(a)根據該群組所包含之該等攻擊記錄,為該群組所包含之各該至少一攻擊位址建立至少一存取關聯,各該至少一存取關聯由該群組所包含之該至少一攻擊位址其中之一及該群組所包含之該等攻擊記錄之該等存取內容其中之一界定,以及(b)根據該群組所包含之該至少一存取關聯,判斷該群組對應至該等攻擊模式中之一特定攻擊模式。
本發明之另一目的在於提供一種網路攻擊模式之判斷方法, 其係適用於一電子計算裝置。該電子計算裝置儲存複數個攻擊模式及一網路節點之複數筆存取記錄。各該存取記錄包含一主機之一網路位址及該主機存取該網路節點之一時間戳記與一存取內容。各該攻擊模式對應到至少一攻擊存取關聯,其中各該至少一攻擊存取關聯由該等網路位址其中之一及該等存取內容其中之一界定。該判斷方法包含下列步驟:(a)根據至少一攻擊位址擷取該等存取記錄之一子集作為複數筆攻擊記錄,其中各該攻擊記錄所包含之該網路位址為該至少一攻擊位址其中之一,(b)根據該等攻擊記錄之該等時間戳記將該等攻擊記錄區分為複數個群組,以及(c)對各該群組執行以下步驟:(c1)根據該群組所包含之該等攻擊記錄,為該群組所包含之各該至少一攻擊位址建立至少一存取關聯,各該至少一存取關聯由該群組所包含之該至少一攻擊位址其中之一及該群組所包含之該等攻擊記錄之該等存取內容其中之一界定,以及(c2)根據該群組所包含之該至少一存取關聯,判斷該群組對應至該等攻擊模式中之一特定攻擊模式。
本發明之又一目的在於提供一種電腦程式產品。一電子計算裝置儲存複數個攻擊模式及一網路節點之複數筆存取記錄。各該存取記錄包含一主機之一網路位址及該主機存取該網路節點之一時間戳記與一存取內容。各該攻擊模式對應到至少一攻擊存取關聯,其中各該至少一攻擊存取關聯由該等網路位址其中之一及該等存取內容其中之一界定。該電子計算裝置載入該電腦程式產品後,該電子計算裝置執行該電腦程式產品所包含之複數個程式指令,以執行前段所述之網路攻擊模式之判斷方法。
本發明所提供之網路攻擊模式判斷技術(包含裝置、方法及其電腦程式產品)在獲知至少一攻擊位址之情況下,會擷取與該至少一攻擊 位址相關之複數筆攻擊記錄,將該等攻擊記錄區分為複數個群組,再將各群組所對應之存取關聯與攻擊模式之攻擊存取關聯比對。透過前述運作,本發明可判斷出各群組所對應之攻擊模式,甚至能進一步地預測出未來可能發生的攻擊模式。
以下結合圖式闡述本發明之詳細技術及實施方式,俾使本發明所屬技術領域中具有通常知識者能理解所請求保護之發明之技術特徵。
1‧‧‧判斷裝置
11‧‧‧儲存單元
13‧‧‧處理單元
10a、10b‧‧‧存取記錄
12a、12b、12c‧‧‧攻擊模式
14a、14b、14c、14d、14e、14f‧‧‧攻擊記錄
16a、16b、16c‧‧‧第一群組
T1、T2‧‧‧時間間隔
S201~S217‧‧‧步驟
S221~S225‧‧‧步驟
第1A圖係描繪第一實施方式之網路攻擊模式之判斷裝置之架構示意圖;第1B圖係描繪存取記錄10a、……、10b之一具體範例;第1C圖係描繪第一群組16a、16b、16c之一具體範例;第2A圖係描繪第二實施方式之網路攻擊模式之判斷方法之流程圖;以及第2B圖係描繪本發明之網路攻擊模式之判斷方法之某些實施方式所執行之流程圖。
以下將透過實施方式來解釋本發明所提供之網路攻擊模式(Attack Pattern)之判斷裝置、判斷方法及其電腦程式產品。然而,該等實施方式並非用以限制本發明需在如該等實施方式所述之任何環境、應用或方式方能實施。因此,關於實施方式之說明僅為闡釋本發明之目的,而非用以限制本發明之範圍。應理解,在以下實施方式及圖式中,與本發明非直接相關之元件已省略而未繪示,且各元件之尺寸以及元件間之尺寸比例僅為 例示而已,而非用以限制本發明之範圍。
本發明之第一實施方式為一網路攻擊模式之判斷裝置1,其架構示意圖係描繪於第1A圖。判斷裝置1包含一儲存單元11及一處理單元13,且二者彼此電性連接。儲存單元11可為一記憶體、一通用串列匯流排(Universal Serial Bus;USB)碟、一硬碟、一光碟(Compact Disk;CD)、一隨身碟、一磁帶、一資料庫或本發明所屬技術領域中具有通常知識者所知且具有相同功能之任何其他儲存媒體或電路。處理單元13可為各種處理器、中央處理單元(Central Processing Unit;CPU)、微處理器或本發明所屬技術領域中具有通常知識者所知之其他計算裝置中之任一者。
儲存單元11儲存一網路節點之複數筆存取記錄10a、……、10b(亦即,其他主機存取該網路節點之存取記錄)。該網路節點可為判斷裝置1,亦可為一網路系統中之其他網路節點。舉例而言,該網路節點可為一伺服器(例如:一網站伺服器)。存取記錄10a、……、10b之每一筆包含一主機之一網路位址及該主機存取該網路節點之一時間戳記(Time Stamp)與一存取內容。於某些實施方式中,前述各存取內容可為一超文件傳輸協定(HyperText Transfer Protocol;HTTP)請求、一存取狀態碼(Status Code)或/及一資料存取量。需說明者,本發明所屬技術領域中具有通常知識者應知悉一個超文件傳輸協定請求可包含哪些內容,故不贅言。另外,一存取記錄中之一存取狀態碼代表該次存取之結果(例如:存取成功、存取失敗、網頁不存在)。再者,一存取記錄中之一資料存取量則代表該主機於該次存取過程所下載之資料量。
為便於理解,請參第1B圖,其係描繪存取記錄10a、……、 10b之一具體範例。於此具體範例中,存取記錄10a包含一網路位址(亦即,fcrawler.looksmart.com)、一時間戳記(亦即,26/Apr/2000:00:00:12)、一超文件傳輸協定請求(亦即,GET/contacts.html)、一存取狀態碼(亦即,200,代表請求成功)以及一資料存取量(亦即,4,595位元組)。存取記錄10b包含一網路位址(亦即,123.123.123.123)、一時間戳記(亦即,26/Apr/2000:00:23:51)、一超文件傳輸協定請求(亦即,GET/pics/a2hlogo.jpg)、一存取狀態碼(亦即,200,代表請求成功)以及一資料存取量(亦即,4,282位元組)。需說明者,第1B圖所繪示之存取記錄10a、……、10b僅作為例示之用,並非用以限制本發明之範圍。
另外,於本實施方式中,儲存單元11儲存複數個攻擊模式12a、……、12b、12c。攻擊模式12a、……、12b、12c中之每一筆對應到至少一攻擊存取關聯,而各該至少一攻擊存取關聯由存取記錄10a、……、10b所包含之該等網路位址其中之一及存取記錄10a、……、10b所包含之該等存取內容其中之一界定。更具體而言,各該至少一攻擊存取關聯由存取記錄10a、……、10b其中之一之網路位址及存取內容界定。舉例而言,若一網路資訊安全專家判斷存取記錄10a與攻擊模式12a相關(例如:網路資訊安全專家判斷在某一時間區間內有一網路攻擊事件且判斷存取記錄10a涉及該網路攻擊事件,而該網路攻擊事件被命名為攻擊模式12a),則攻擊模式12a將可對應至由存取記錄10a之網路位址及超文件傳輸協定請求中之檔案(亦即,a2hlogo.jpg)所界定之一第一攻擊存取關聯、由存取記錄10a之網路位址及存取狀態碼所界定之一第二攻擊存取關聯或/及由存取記錄10a之網路位址及資料存取量所界定之一第三攻擊存取關聯。由前述說明可知,一個攻 擊模式所對應到的攻擊存取關聯能反映出該攻擊模式可能牽涉之存取型態。需說明者,於其他實施方式中,儲存單元11一開始可能並未儲存任何攻擊模式。
於本實施方式中,判斷裝置1已知至少一攻擊位址(亦即,已知悉各該至少一攻擊位址為曾經攻擊一網路節點之網路位址或為可能攻擊一網路節點之網路位址)。需說明者,本發明之重點在於如何根據至少一攻擊位址判斷及預測網路攻擊模式。至於如何取得至少一攻擊位址,則非本發明之重點,故不贅述細節。
接著,判斷裝置1會判斷該至少一攻擊位址涉及哪一(或那些)攻擊模式。具體而言,處理單元13根據至少一攻擊位址自儲存單元11擷取存取記錄10a、……、10b之一子集作為複數筆攻擊記錄,其中各該攻擊記錄所包含之該網路位址為該至少一攻擊位址其中之一。換言之,處理單元13從存取記錄10a、……、10b中挑出網路位址與該至少一攻擊位址相符者,且以挑出之結果作為該等攻擊記錄。
處理單元13再根據該等攻擊記錄之該等時間戳記將該等攻擊記錄區分為複數個第一群組。於某些實施方式中,處理單元13根據該等攻擊記錄之該等時間戳記計算該等攻擊記錄所涵蓋之一總時間長度,將該總時間長度區分為複數個時間區間,且該等時間區間之時間長度相同。於該等實施方式中,每一時間區間所對應之攻擊記錄即形成前述第一群組其中之一。另外,於某些實施方式中,處理單元13則是根據該等攻擊記錄之該等時間戳記之群聚特性將該等攻擊記錄區分為複數個第一群組。於該等實施方式中,該等第一群組具有一順序,各該第一群組對應至一時間區間,且相鄰 之二個第一群組之一時間間隔大於一門檻值。為便於理解,請參第1C圖所繪示之具體範例,其水平軸係代表時間。攻擊記錄14a、……、14b屬於第一群組16a、攻擊記錄14c、……、14d屬於第一群組16b,且攻擊記錄14e、……、14f屬於第一群組16c。第一群組16a及第一群組16b相鄰,且二者間之時間間隔T1大於門檻值。此外,第一群組16b及第一群組16c相鄰,且二者間之時間間隔T2大於門檻值。
接著,處理單元13判斷各該第一群組屬於哪一攻擊模式。為便於理解,茲以第1C圖為例接續說明。以第一群組16a為例,處理單元13根據第一群組16a所包含之攻擊記錄14a、……、14b,為第一群組16a所包含之各該至少一攻擊位址(亦即,攻擊記錄14a、……、14b中所包含之網路位址中之每一個)建立至少一存取關聯。各該至少一存取關聯由第一群組16a所包含之該至少一攻擊位址其中之一及第一群組16a所包含之攻擊記錄14a、……、14b之該等存取內容其中之一界定。具體而言,各該至少一存取關聯由攻擊記錄14a、……、14b其中之一之網路位址及存取內容界定。
接著,處理單元13根據第一群組16a所對應之該至少一存取關聯,判斷第一群組16a是否對應至攻擊模式12a、……、12b、12c中之某一特定攻擊模式。舉例而言,處理單元13可計算第一群組16a所對應之存取關聯與攻擊模式12a、……、12b、12c中每一筆所對應之攻擊存取關聯之一相似度,且將該等相似度個別地與一門檻值比。若有哪一(或哪些)相似度大於該門檻值,則處理單元13選取相似度大於該門檻值中之最大者所對應之攻擊模式作為第一群組16a所對應之攻擊模式。再舉例而言,處理單元可利用圖(Graph)來呈現第一群組16a所對應之該至少一存取關聯,利用其他圖 來呈現攻擊模式12a、……、12b、12c中每一筆所對應之攻擊存取關聯,再個別地計算第一群組之圖與其他圖之間之一圖編輯距離(Graph Edit Distance)。若有哪一(或哪些)圖編輯距離小於一門檻值,則處理單元13選取圖編輯距離小於門檻值中之最小者所對應之攻擊模式作為第一群組16a所對應之攻擊模式。若處理單元13判斷第一群組16a未對應至攻擊模式12a、……、12b、12c中之任一模式,則可提供(例如:透過一收發介面傳送、顯示於一顯示裝置)第一群組16a所對應之該至少一存取關聯給一網路資訊安全專家判斷,再於儲存單元11記錄網路資訊安全專家所判斷出之攻擊模式對應於第一群組16a所對應之該至少一存取關聯。依據前述說明,本發明所屬技術領域中具有通常知識者應可理解處理單元13如何對第一群組16b、16c進行雷同之運作,茲不贅言。
於某些實施方式中,處理單元13可進一步地將該等第一群組所對應之該等特定攻擊模式之一順序儲存於儲存單元11。為便於理解,茲以第1C圖為例接續說明。茲假設第一群組16a對應至攻擊模式12b,第一群組16b對應至攻擊模式12c,且第一群組16c對應至攻擊模式12a。由於第一群組16a、16b、16c具有一順序,因此處理單元13於儲存單元11記錄攻擊模式12b、12c、12a亦具有一順序(亦即,攻擊模式12c出現於攻擊模式12b之後,且攻擊模式12a出現於攻擊模式12c之後)。
於某些實施方式中,處理單元11會再處理一第二群組(未繪示)所包含之複數筆待測存取記錄(未繪示),其中各該待測存取記錄包含一網路位址、一時間戳記及一存取內容。於某些實施方式中,前述各存取內容可為一超文件傳輸協定請求、一存取狀態碼或/及一資料存取量。具體而 言,處理單元11根據該等待測存取記錄,建立第二群組所包含之各該至少一網路位址之至少一待測存取關聯。各該至少一待測存取關聯由該第二群組所包含之該至少一網路位址其中之一及該第二群組所包含之該等待測存取記錄之該等存取內容其中之一界定。更具體而言,各該至少一待測存取關聯由該等待測存取記錄其中之一之網路位址及存取內容界定。
接著,處理單元13根據該等待測存取關聯,判斷該第二群組對應是否對應至攻擊模式12a、……、12b、12c中之某一特定攻擊模式。本發明所屬技術領域中具有通常知識者基於先前與第一群組相關之描述,應可瞭解處理單元13如何根據該等待測存取關聯,判斷該第二群組對應是否對應至攻擊模式12a、……、12b、12c中之某一特定攻擊模式,茲不贅言。茲假設處理單元13判斷第二群組對應至攻擊模式12b。處理單元13進一步地判斷儲存單元11已記錄攻擊模式12b、12c、12a具有一順序,因此處理單元13更根據攻擊模式12b、12c、12a之該順序,預測第二群組所對應之時間區間後之另一時間區間會對應至攻擊模式12c。
由前述說明可知,當判斷裝置1獲知至少一攻擊位址,判斷裝置1會擷取與該至少一攻擊位址相關之複數筆攻擊記錄,將該等攻擊記錄區分為複數個群組,再將各群組所對應之存取關聯與攻擊模式之攻擊存取關聯比對。透過前述運作,判斷裝置1可判斷出各群組所對應之攻擊模式,甚至能進一步地預測出未來可能發生的攻擊模式。
本發明之第二實施方式為一網路攻擊模式之判斷方法,其流程圖係描繪於第2A圖。該網路攻擊模式之判斷方法適用於一電子計算裝置(例如:第一實施方式中之判斷裝置1)。該電子計算裝置儲存一網路節點之 複數筆存取記錄,其中各該存取記錄包含一主機之一網路位址及該主機存取該網路節點之一時間戳記與一存取內容。於某些實施方式中,各該存取內容為一超文件傳輸協定請求、一存取狀態碼及一資料存取量其中之一或其組合。該電子計算裝置亦儲存複數個攻擊模式,其中,各該攻擊模式對應到至少一攻擊存取關聯,且各該至少一攻擊存取關聯由該等網路位址其中之一及該等存取內容其中之一界定。
於本實施方式中,電子計算裝置已知至少一攻擊位址(亦即,已知悉各該至少一攻擊位址為曾經攻擊一網路節點之網路位址或為可能攻擊一網路節點之網路位址)。於步驟S201,由該電子計算裝置根據該至少一攻擊位址擷取該等存取記錄之一子集作為複數筆攻擊記錄,其中各該攻擊記錄所包含之該網路位址為該至少一攻擊位址其中之一。
於步驟S203,由該電子計算裝置根據該等攻擊記錄之該等時間戳記將該等攻擊記錄區分為複數個第一群組。於某些實施方式中,步驟S203係根據該等攻擊記錄之該等時間戳記計算該等攻擊記錄所涵蓋之一總時間長度,將該總時間長度區分為複數個時間區間,且該等時間區間之時間長度相同。於該等實施方式中,每一時間區間所對應之攻擊記錄即形成前述第一群組其中之一。於某些實施方式中,步驟S203則是根據該等攻擊記錄之該等時間戳記之群聚特性將該等攻擊記錄區分為複數個第一群組。於該等實施方式中,該等第一群組具有一順序,各該第一群組對應至一時間區間,且相鄰之二個第一群組之一時間間隔大於一門檻值。
接著,針對各該第一群組,由該電子計算裝置執行步驟S205至步驟S215。於步驟S205,由該電子計算裝置選取一個尚未分析過之第一 群組。於步驟S207,由該電子計算裝置根據該第一群組所包含之該等攻擊記錄,為該第一群組所包含之各該至少一攻擊位址建立至少一存取關聯。各該至少一存取關聯由該第一群組所包含之該至少一攻擊位址其中之一及該第一群組所包含之該等攻擊記錄之該等存取內容其中之一界定。於步驟S209,由該電子計算裝置根據該第一群組所包含之該至少一存取關聯,判斷該第一群組是否對應至該電子計算裝置所儲存之該等攻擊模式中之一特定攻擊模式。
若步驟S209之判斷結果為是,則執行步驟S215(容後說明)。若步驟S209之判斷結果為否,則執行步驟S211,由該電子計算裝置提供該第一群組所對應之該至少一存取關聯給一網路資訊安全專家判斷。接著,於步驟S213,由該電子計算裝置記錄該網路資訊安全專家所判斷出之一攻擊模式且記錄該攻擊模式對應於該第一群組所對應之該至少一存取關聯,之後再執行步驟S215。於步驟S215,由該電子計算裝置判斷是否尚有未分析之第一群組。若步驟S215之判斷結果為是,則網路攻擊模式之判斷方法再次地執行步驟S205至步驟S215以分析其他的第一群組。若步驟S215之判斷結果為否(亦即,所有第一群組皆已分析完畢),則可直接結束此網路攻擊模式之判斷方法。然而,某些實施方式則可進一步地執行步驟S217,由該電子計算裝置儲存該等第一群組所對應之該等特定攻擊模式之一順序。
於某些實施方式中,網路攻擊模式之判斷方法可進一步地執行第2B圖所繪示之流程以分析一第二群組所包含之複數筆待測存取記錄。各該待測存取記錄包含一網路位址、一時間戳記及一存取內容。類似的,於某些實施方式中,各該存取內容可為一超文件傳輸協定請求、一存取狀態碼 或/及一資料存取量。
於步驟S221,由該電子計算裝置根據該等待測存取記錄,建立該第二群組所包含之各該至少一網路位址之至少一待測存取關聯。各該至少一待測存取關聯由該第二群組所包含之該至少一網路位址其中之一及該第二群組所包含之該等待測存取記錄之該等存取內容其中之一界定。於步驟S223,由該電子計算裝置根據該等待測存取關聯,判斷該第二群組對應至該等特定攻擊模式中之一第一特定攻擊模式(亦即,於步驟S209所判斷出之該等第一群組所對應之該等特定攻擊模式其中之一)。於步驟S225,由該電子計算裝置根據該等特定攻擊模式之該順序,預測該第二群組所對應之一時間區間後之另一時間區間對應至一第二特定攻擊模式。
除了上述步驟,第二實施方式亦能執行第一實施方式所描述之所有運作及步驟,具有同樣之功能,且達到同樣之技術效果。本發明所屬技術領域中具有通常知識者可直接瞭解第二實施方式如何基於上述第一實施方式以執行此等運作及步驟,具有同樣之功能,並達到同樣之技術效果,故不贅述。
在第二實施方式中所闡述網路攻擊模式之判斷方法可由包含複數個指令之一電腦程式產品實現。該電腦程式產品可為能被於網路上傳輸之檔案,亦可被儲存於一非暫態電腦可讀取儲存媒體中。針對該電腦程式產品,在其所包含之該等指令被載入一電子計算裝置(例如:第一實施方式之攻擊節點偵測裝置1)之後,該電腦程式執行如在第二實施方式中所述之網路攻擊模式之判斷方法。該非暫態電腦可讀取儲存媒體可為一電子產品,例如:一唯讀記憶體(read only memory;ROM)、一快閃記憶體、一軟 碟、一硬碟、一光碟(compact disk;CD)、一隨身碟、一磁帶、一可由網路存取之資料庫或本發明所屬技術領域中具有通常知識者所知且具有相同功能之任何其他儲存媒體。
需說明者,於本發明專利說明書中,第一群組及第二群組中之「第一」及「第二」僅用來表示該等群組為不同階段所決定之群組。第一攻擊存取關聯、第二攻擊存取關聯及第三攻擊存取關聯中之「第一」、「第二」及「第三」僅用來表示該等攻擊存取關聯為不同的攻擊存取關聯。
綜上所述,本發明所提供之網路攻擊模式判斷技術(包含裝置、方法及其電腦程式產品)在獲知至少一攻擊位址之情況下,會擷取與該至少一攻擊位址相關之複數筆攻擊記錄,將該等攻擊記錄區分為複數個群組,再將各群組所對應之存取關聯與攻擊模式之攻擊存取關聯比對。透過前述運作,本發明可判斷出各群組所對應之攻擊模式,甚至能進一步地預測出未來可能發生的攻擊模式。
上述實施方式僅用來例舉本發明之部分實施態樣,以及闡釋本發明之技術特徵,而非用來限制本發明之保護範疇及範圍。任何本發明所屬技術領域中具有通常知識者可輕易完成之改變或均等性之安排均屬於本發明所主張之範圍,而本發明之權利保護範圍以申請專利範圍為準。
S201~S217‧‧‧步驟

Claims (20)

  1. 一種網路攻擊模式(Attack Pattern)之判斷裝置,包含:一儲存單元,儲存複數個攻擊模式以及一網路節點之複數筆存取記錄,各該存取記錄包含一主機之一網路位址及該主機存取該網路節點之一時間戳記(Time Stamp)與一存取內容,各該攻擊模式對應到至少一攻擊存取關聯,各該至少一攻擊存取關聯由該等網路位址其中之一及該等存取內容其中之一界定;以及一處理單元,電性連接至該儲存單元,根據至少一攻擊位址擷取該等存取記錄之一子集作為複數筆攻擊記錄,各該攻擊記錄所包含之該網路位址為該至少一攻擊位址其中之一,其中,該處理單元更根據該等攻擊記錄之該等時間戳記將該等攻擊記錄區分為複數個第一群組,且針對各該第一群組執行以下運作:根據該第一群組所包含之該等攻擊記錄,為該第一群組所包含之各該至少一攻擊位址建立至少一存取關聯,各該至少一存取關聯由該第一群組所包含之該至少一攻擊位址其中之一及該第一群組所包含之該等攻擊記錄之該等存取內容其中之一界定,以及根據該第一群組所對應之該至少一存取關聯,判斷該第一群組對應至該等攻擊模式中之一特定攻擊模式。
  2. 如請求項1所述之判斷裝置,其中該處理單元更將該等特定攻擊模式之一順序儲存於該儲存單元。
  3. 如請求項2所述之判斷裝置,其中一第二群組包含複數筆待測存取記錄,各該待測存取記錄包含一網路位址、一時間戳記及一存取內容,該處理單元更根據該等待測存取記錄,建立該第二群組所包含之各該至少一網路位址之至少一待測存取關聯,各該至少一待測存取關聯由該第二 群組所包含之該至少一網路位址其中之一及該第二群組所包含之該等待測存取記錄之該等存取內容其中之一界定,以及根據該等待測存取關聯,判斷該第二群組對應至該等特定攻擊模式中之一第一特定攻擊模式。
  4. 如請求項3所述之判斷裝置,其中該第二群組對應至一時間區間,該處理單元更根據該等特定攻擊模式之該順序,預測該時間區間後之另一時間區間對應至一第二特定攻擊模式。
  5. 如請求項1所述之判斷裝置,其中各該第一群組對應至一時間區間,各該時間區間具有一時間長度,且該等時間長度相同。
  6. 如請求項1所述之判斷裝置,其中該等第一群組具有一順序,各該第一群組對應至一時間區間,且相鄰之二個第一群組之一時間間隔大於一門檻值。
  7. 如請求項1所述之判斷裝置,其中各該存取內容為一超文件傳輸協定(HyperText Transfer Protocol;HTTP)請求、一存取狀態碼(Status Code)及一資料存取量其中之一或其組合。
  8. 一種網路攻擊模式之判斷方法,適用於一電子計算裝置,該電子計算裝置儲存複數個攻擊模式及一網路節點之複數筆存取記錄,各該存取記錄包含一主機之一網路位址及該主機存取該網路節點之一時間戳記與一存取內容,各該攻擊模式對應到至少一攻擊存取關聯,各該至少一攻擊存取關聯由該等網路位址其中之一及該等存取內容其中之一界定,該判斷方法包含下列步驟:根據至少一攻擊位址擷取該等存取記錄之一子集作為複數筆攻擊記錄,其中各該攻擊記錄所包含之該網路位址為該至少一攻擊位址其中之一; 根據該等攻擊記錄之該等時間戳記將該等攻擊記錄區分為複數個第一群組;以及對各該第一群組執行以下步驟:根據該第一群組所包含之該等攻擊記錄,為該第一群組所包含之各該至少一攻擊位址建立至少一存取關聯,各該至少一存取關聯由該第一群組所包含之該至少一攻擊位址其中之一及該第一群組所包含之該等攻擊記錄之該等存取內容其中之一界定;以及根據該第一群組所對應之該至少一存取關聯,判斷該第一群組對應至該等攻擊模式中之一特定攻擊模式。
  9. 如請求項8所述之判斷方法,更包含下列步驟:儲存該等特定攻擊模式之一順序。
  10. 如請求項9所述之判斷方法,其中一第二群組包含複數筆待測存取記錄,各該待測存取記錄包含一網路位址、一時間戳記及一存取內容,該判斷方法更包含下列步驟:根據該等待測存取記錄,建立該第二群組所包含之各該至少一網路位址之至少一待測存取關聯,其中各該至少一待測存取關聯由該第二群組所包含之該至少一網路位址其中之一及該第二群組所包含之該等待測存取記錄之該等存取內容其中之一界定;以及根據該等待測存取關聯,判斷該第二群組對應至該等特定攻擊模式中之一第一特定攻擊模式。
  11. 如請求項10所述之判斷方法,其中該第二群組對應至一時間區間,該判斷方法更包含下列步驟:根據該等特定攻擊模式之該順序,預測該時間區間後之另一時間區間對應至一第二特定攻擊模式。
  12. 如請求項8所述之判斷方法,其中各該第一群組對應至一時間區間,各該時間區間具有一時間長度,且該等時間長度相同。
  13. 如請求項8所述之判斷方法,其中該等第一群組具有一順序,各該第一群組對應至一時間區間,且相鄰之二個第一群組之一時間間隔大於一門檻值。
  14. 如請求項8所述之判斷方法,其中各該存取內容為一超文件傳輸協定請求、一存取狀態碼及一資料存取量其中之一或其組合。
  15. 一種電腦程式產品,經由一電子計算裝置載入該電腦程式產品後,該電子計算裝置執行該電腦程式產品所包含之複數個程式指令,以執行一種網路攻擊模式之判斷方法,該電子計算裝置儲存複數個攻擊模式及一網路節點之複數筆存取記錄,各該存取記錄包含一主機之一網路位址及該主機存取該網路節點之一時間戳記與一存取內容,各該攻擊模式對應到至少一攻擊存取關聯,各該至少一攻擊存取關聯由該等網路位址其中之一及該等存取內容其中之一界定,該判斷方法包含下列步驟:根據至少一攻擊位址擷取該等存取記錄之一子集作為複數筆攻擊記錄,其中各該攻擊記錄所包含之該網路位址為該至少一攻擊位址其中之一;根據該等攻擊記錄之該等時間戳記將該等攻擊記錄區分為複數個第一群組;以及對各該第一群組執行以下步驟:根據該第一群組所包含之該等攻擊記錄,為該第一群組所包含之各該至少一攻擊位址建立至少一存取關聯,各該至少一存取關聯由該第一群組所包含之該至少一攻擊位址其中之一及該第一群組所包含之該等攻擊記錄之該等存取內容其中之一界定;以及 根據該第一群組所對應之該至少一存取關聯,判斷該第一群組對應至該等攻擊模式中之一特定攻擊模式。
  16. 如請求項15所述之電腦程式產品,其中該判斷方法更包含下列步驟:儲存該等特定攻擊模式之一順序。
  17. 如請求項16所述之電腦程式產品,其中一第二群組包含複數筆待測存取記錄,各該待測存取記錄包含一網路位址、一時間戳記及一存取內容,該判斷方法更包含下列步驟:根據該等待測存取記錄,建立該第二群組所包含之各該至少一網路位址之至少一待測存取關聯,其中各該至少一待測存取關聯由該第二群組所包含之該至少一網路位址其中之一及該第二群組所包含之該等待測存取記錄之該等存取內容其中之一界定;以及根據該等待測存取關聯,判斷該第二群組對應至該等特定攻擊模式中之一第一特定攻擊模式。
  18. 如請求項17所述之電腦程式產品,其中該第二群組對應至一時間區間,該判斷方法更包含下列步驟:根據該等特定攻擊模式之該順序,預測該時間區間後之另一時間區間對應至一第二特定攻擊模式。
  19. 如請求項15所述之電腦程式產品,其中各該第一群組對應至一時間區間,各該時間區間具有一時間長度,且該等時間長度相同。
  20. 如請求項15所述之電腦程式產品,其中該等第一群組具有一順序,各該第一群組對應至一時間區間,且相鄰之二個第一群組之一時間間隔大於一門檻值。
TW105140086A 2016-12-05 2016-12-05 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品 TWI610196B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
TW105140086A TWI610196B (zh) 2016-12-05 2016-12-05 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品
CN201611114396.8A CN108156127B (zh) 2016-12-05 2016-12-07 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体
EP16202618.1A EP3331210B1 (en) 2016-12-05 2016-12-07 Apparatus, method, and non-transitory computer-readable storage medium for network attack pattern determination
US15/372,294 US10742668B2 (en) 2016-12-05 2016-12-07 Network attack pattern determination apparatus, determination method, and non-transitory computer readable storage medium thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW105140086A TWI610196B (zh) 2016-12-05 2016-12-05 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品

Publications (2)

Publication Number Publication Date
TWI610196B true TWI610196B (zh) 2018-01-01
TW201822054A TW201822054A (zh) 2018-06-16

Family

ID=57708298

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105140086A TWI610196B (zh) 2016-12-05 2016-12-05 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品

Country Status (4)

Country Link
US (1) US10742668B2 (zh)
EP (1) EP3331210B1 (zh)
CN (1) CN108156127B (zh)
TW (1) TWI610196B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6928265B2 (ja) * 2018-04-04 2021-09-01 日本電信電話株式会社 情報処理装置及び情報処理方法
TWI726455B (zh) * 2019-10-23 2021-05-01 臺灣銀行股份有限公司 滲透測試個案建議方法及系統
CN112839010B (zh) * 2019-11-22 2023-08-04 北京数安鑫云信息技术有限公司 标记样本的方法、系统、设备及介质
CN114640504B (zh) * 2022-02-24 2024-02-06 京东科技信息技术有限公司 Cc攻击防护方法、装置、设备和存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050144468A1 (en) * 2003-01-13 2005-06-30 Northcutt J. D. Method and apparatus for content protection in a personal digital network environment
US7392399B2 (en) * 2003-05-05 2008-06-24 Sun Microsystems, Inc. Methods and systems for efficiently integrating a cryptographic co-processor
TWI469655B (zh) * 2012-02-14 2015-01-11 蘋果公司 電子存取用戶端之大規模散佈之方法及裝置
TW201543846A (zh) * 2013-12-30 2015-11-16 Cavium Inc 用於產生查找和進行判定的引擎、方法和軟體定義網路
TWI556106B (zh) * 2011-06-29 2016-11-01 英特爾公司 具完整性檢查和防護重播攻擊之用於記憶體加密的方法及設備

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6405318B1 (en) * 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system
FR2798490B1 (fr) * 1999-09-13 2001-10-26 Inst Nat Rech Inf Automat Procede et dispositif de resolution de modeles et utilisation pour la detection des attaques contre les systemes informatiques
WO2002071227A1 (en) 2001-03-01 2002-09-12 Cyber Operations, Llc System and method for anti-network terrorism
TWI348290B (en) 2003-06-18 2011-09-01 Symantec Corp System and method for filtering spam messages utilizing url filtering module
US8145710B2 (en) 2003-06-18 2012-03-27 Symantec Corporation System and method for filtering spam messages utilizing URL filtering module
CN100370757C (zh) 2004-07-09 2008-02-20 国际商业机器公司 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统
US7516114B2 (en) * 2004-10-22 2009-04-07 International Business Machines Corporation Visual structuring of multivariable data
TW200833015A (en) 2007-01-26 2008-08-01 Genie Networks Ltd Method and system for detecting network anomaly events
EP2009864A1 (en) * 2007-06-28 2008-12-31 Nibelung Security Systems GmbH Method and apparatus for attack prevention
CN101242278A (zh) 2008-02-18 2008-08-13 华中科技大学 网络多步攻击意图在线识别方法
US8972329B2 (en) 2008-05-02 2015-03-03 The Board Of Trustees Of The Leland Stanford Junior University Systems and methods for ranking nodes of a graph using random parameters
US9246768B2 (en) * 2008-06-18 2016-01-26 Camber Corporation Systems and methods for a simulated network attack generator
CN101741633B (zh) 2008-11-06 2011-12-28 北京启明星辰信息技术股份有限公司 一种海量日志关联分析方法及系统
US8607351B1 (en) * 2010-11-02 2013-12-10 The Boeing Company Modeling cyberspace attacks
US8935383B2 (en) * 2010-12-31 2015-01-13 Verisign, Inc. Systems, apparatus, and methods for network data analysis
KR101414959B1 (ko) * 2012-02-29 2014-07-09 주식회사 팬택 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법
CN102611713B (zh) 2012-04-10 2015-03-25 西南交通大学 基于熵运算的网络入侵检测方法和装置
AU2014244137B2 (en) 2013-03-14 2018-12-06 Threater, Inc. Internet protocol threat prevention
US10038703B2 (en) * 2014-07-18 2018-07-31 The Regents Of The University Of Michigan Rating network security posture and comparing network maliciousness
US11122058B2 (en) * 2014-07-23 2021-09-14 Seclytics, Inc. System and method for the automated detection and prediction of online threats
US9900344B2 (en) * 2014-09-12 2018-02-20 Level 3 Communications, Llc Identifying a potential DDOS attack using statistical analysis
CA2966605A1 (en) * 2014-11-03 2016-05-12 Level 3 Communications, Llc Identifying a potential ddos attack using statistical analysis
CN104601591B (zh) 2015-02-02 2017-08-15 中国人民解放军国防科学技术大学 网络攻击源组织检测方法
US9742788B2 (en) * 2015-04-09 2017-08-22 Accenture Global Services Limited Event correlation across heterogeneous operations
US9699205B2 (en) 2015-08-31 2017-07-04 Splunk Inc. Network security system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050144468A1 (en) * 2003-01-13 2005-06-30 Northcutt J. D. Method and apparatus for content protection in a personal digital network environment
US7392399B2 (en) * 2003-05-05 2008-06-24 Sun Microsystems, Inc. Methods and systems for efficiently integrating a cryptographic co-processor
TWI556106B (zh) * 2011-06-29 2016-11-01 英特爾公司 具完整性檢查和防護重播攻擊之用於記憶體加密的方法及設備
TWI469655B (zh) * 2012-02-14 2015-01-11 蘋果公司 電子存取用戶端之大規模散佈之方法及裝置
TW201543846A (zh) * 2013-12-30 2015-11-16 Cavium Inc 用於產生查找和進行判定的引擎、方法和軟體定義網路

Also Published As

Publication number Publication date
TW201822054A (zh) 2018-06-16
CN108156127A (zh) 2018-06-12
EP3331210B1 (en) 2019-07-17
US10742668B2 (en) 2020-08-11
EP3331210A1 (en) 2018-06-06
CN108156127B (zh) 2019-12-20
US20180159868A1 (en) 2018-06-07

Similar Documents

Publication Publication Date Title
US9571509B1 (en) Systems and methods for identifying variants of samples based on similarity analysis
CN111382430B (zh) 用于对计算机系统的对象进行分类的系统和方法
CN111382434B (zh) 用于检测恶意文件的系统和方法
JP6789308B2 (ja) トリップワイヤファイルを生成するためのシステム及び方法
TWI610196B (zh) 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品
JP2019516160A (ja) セキュリティ脅威を検出するためのシステム及び方法
CN107992738B (zh) 一种账号登录异常检测方法、装置及电子设备
JP7264631B2 (ja) コンピュータシステムにおける不正行為を検出するためのシステム及び方法
CN109948335B (zh) 用于检测计算机系统中的恶意活动的系统和方法
JP7531816B2 (ja) イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム
JP6823201B2 (ja) 分類装置、分類方法、および、分類プログラム
US8126988B2 (en) Public status determination and security configuration of a browser
TWI617939B (zh) 攻擊節點偵測裝置、方法及其電腦程式產品
US9122869B1 (en) Systems and methods for detecting client types
US9519780B1 (en) Systems and methods for identifying malware
CN111382435B (zh) 检测计算机系统中的恶意活动的来源的系统和方法
US10339308B1 (en) Systems and methods for remediating computer reliability issues
US11330010B2 (en) Detecting malicious web pages by analyzing elements of hypertext markup language (HTML) files
WO2023151238A1 (zh) 一种勒索病毒检测方法及相关系统
CN115051867B (zh) 一种非法外联行为的检测方法、装置、电子设备及介质
KR101988747B1 (ko) 하이브리드 분석을 통한 머신러닝 기반의 랜섬웨어 탐지 방법 및 장치
US10972477B1 (en) Systems and methods for performing micro-segmenting
WO2024171423A1 (ja) 情報処理装置、情報処理方法、及び情報処理プログラム
JP7152657B2 (ja) 監視装置、監視方法及び監視プログラム
EP3674943A1 (en) System and method of detecting a source of malicious activity in a computer system