TWI625641B - 二階段過濾的電腦攻擊阻擋方法以及使用該方法的裝置 - Google Patents

二階段過濾的電腦攻擊阻擋方法以及使用該方法的裝置 Download PDF

Info

Publication number
TWI625641B
TWI625641B TW105126716A TW105126716A TWI625641B TW I625641 B TWI625641 B TW I625641B TW 105126716 A TW105126716 A TW 105126716A TW 105126716 A TW105126716 A TW 105126716A TW I625641 B TWI625641 B TW I625641B
Authority
TW
Taiwan
Prior art keywords
service request
computer
stage filtering
attack blocking
attack
Prior art date
Application number
TW105126716A
Other languages
English (en)
Other versions
TW201715424A (zh
Inventor
江格
Original Assignee
江格
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 江格 filed Critical 江格
Publication of TW201715424A publication Critical patent/TW201715424A/zh
Application granted granted Critical
Publication of TWI625641B publication Critical patent/TWI625641B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本發明的實施例提出一種二階段過濾的電腦攻擊阻擋方法,由處理單元執行,包含以下步驟。從客戶端系統接收一服務請求,用以向受防護電腦資產請求服務。執行第一階段過濾,用以當從服務請求中發現白名單模板時,將服務請求轉送至受防護電腦資產。於第一階段過濾結束後,執行第二階段過濾。

Description

二階段過濾的電腦攻擊阻擋方法以及使用該方法的 裝置
本發明關連於一種電腦安全技術,特別是一種二階段過濾的電腦攻擊阻擋方法以及使用該方法的裝置。
於電腦安全情境,駭客尋找並攻擊電腦系統或電腦網路中的弱點。企業通常會因為這些攻擊而遭受傷害,例如危害電腦服務、客戶私人資料遭竊、降低利潤或聲譽等。為防止電腦系統或電腦網路遭受攻擊,傳統上會建立大量防堵規則並耗費大量時間來分析攻擊行為。因此,需要一種二階段過濾的電腦攻擊阻擋方法以及使用該方法的裝置,用以有效率地阻擋這些攻擊。
本發明的實施例提出一種二階段過濾的電腦攻擊阻擋方法,由處理單元執行,包含以下步驟。從客戶端系統接收一服務請求,用以向受防護電腦資產請求服務。執行第一階段過濾,用以當從服務請求中發現白名單模板時,將服務請求轉送至受防護電腦資產。於第一階段過濾結束後,執行第二階段過濾。
本發明的實施例提出一種二階段過濾的電腦攻擊阻擋裝置,包含儲存裝置及處理單元。儲存裝置儲存多個白名單模 板。處理單元組態來從客戶端系統接收服務請求;執行第一階段過濾,用以當從服務請求中發現白名單模板時,將服務請求轉送至受防護電腦資產;以及於第一階段過濾結束後,執行第二階段過濾。
110‧‧‧閘道器
120a、120b‧‧‧路由器
130a~130d‧‧‧集線器
140a~140c‧‧‧伺服器
150a‧‧‧監控主機
150b、150c‧‧‧監控攝相頭
160a‧‧‧照明控制系統
160b‧‧‧智慧電視
160c‧‧‧門禁控制系統
170a‧‧‧筆記型電腦
170b‧‧‧個人電腦
170c‧‧‧平板電腦
190‧‧‧客戶端電腦
210‧‧‧處理單元
220‧‧‧顯示裝置
230‧‧‧輸入裝置
240‧‧‧儲存單元
250‧‧‧記憶體
260‧‧‧網路介面卡
261‧‧‧輸出入埠
263_1、...、263_n‧‧‧傳送/接收佇列
S310~S370‧‧‧方法步驟
410‧‧‧實體層模組
420‧‧‧資料連結層模組
430‧‧‧網路層模組
440‧‧‧傳輸層模組
450‧‧‧工作階段層模組
460‧‧‧表現層模組
470‧‧‧應用層模組
480‧‧‧攻擊阻擋模組
510‧‧‧處理單元
520‧‧‧顯示單元
530‧‧‧輸入裝置
540‧‧‧儲存單元
550‧‧‧記憶體
560‧‧‧通訊介面
610‧‧‧實體層模組
620‧‧‧資料連結層模組
630‧‧‧網路層模組
640‧‧‧傳輸層模組
650‧‧‧工作階段層模組
660‧‧‧表現層模組
670‧‧‧應用層模組
680‧‧‧攻擊阻擋模組
690‧‧‧伺服器
第1圖係依據本發明實施例的網路架構示意圖。
第2圖係依據本發明實施例的網路裝置的系統架構圖。
第3圖係依據本發明實施例的二階段過濾的電腦攻擊阻擋方法。
第4圖係依據本發明實施例的軟體示意圖,被處理單元載入及執行,用以處理流經閘道器或路由器中的網路介面卡的網路封包。
第5圖係依據本發明實施例的電腦裝置的系統架構圖。
第6圖係依據本發明實施例的軟體示意圖,被處理單元載入及執行,用以處理從客戶端電腦傳來的服務請求。
以下說明係為完成發明的較佳實現方式,其目的在於描述本發明的基本精神,但並不用以限定本發明。實際的發明內容必須參考之後的權利要求範圍。
必須了解的是,使用於本說明書中的”包含”、”包括”等詞,係用以表示存在特定的技術特徵、數值、方法步驟、作業處理、元件以及/或組件,但並不排除可加上更多的技術特徵、數值、方法步驟、作業處理、元件、組件,或以上的任意組合。
於權利要求中使用如”第一”、"第二"、"第三"等詞係用來修飾權利要求中的元件,並非用來表示之間具有優先權順序,先行關係,或者是一個元件先於另一個元件,或者是執行方法步驟時的時間先後順序,僅用來區別具有相同名字的元件。
本發明實施例提出一種網路架構,用以連接多種受防護電腦資產,例如電腦、電腦伺服器、監控系統、物聯網(IoT,Internet of Things)設備等。第1圖係依據本發明實施例的網路架構示意圖。受防護電腦資產包含伺服器140a至140c、監控系統中的監控主機150a及監控攝相頭150b及150c、物聯網設備及客戶端電腦等。物聯網設備包括如照明控制系統160a、智慧電視160b、門禁控制系統160c等,客戶端電腦包括如筆記型電腦170a、個人電腦170b、平板電腦170c等。伺服器140a、140b或140c可為網站伺服器、網路儲存伺服器或其他類型的伺服器。網站伺服器可儲存、產生及傳送網頁給客戶端。客戶端及網站伺服器間的通訊可使用超文件傳輸通訊協定(HTTP,Hypertext Transfer Protocol)或其他通訊協定。網頁通常為超文件標示語言(HTML,Hyper-text Markup Language)文件,其中包含文字、相片、樣式表(style sheet)及腳本指令(scripts)等。應用伺服器可為一種軟體框架(software framework),用以提供建立網頁應用程式的工具,以及執行網頁應用程式的伺服器環境。應用伺服器可包含龐雜的服務層模型(service layer model)。應用伺服器可執行一組元件(components),用以讓軟體開發者透過框架本身制定的應用程式介面(API,Application Programming Interface)進行存取。網頁應用程式可實施如叢集(clustering)、故障轉移(fail-over)及負載平衡 (load-balancing)等服務,使得軟體開發者可專注於撰寫企業邏輯。電子郵件伺服器可以中繼方式使用簡易郵件轉遞通訊協定(SMTP,Simple Mail Transfer Protocol)從客戶端接收郵件,以及使用第三代郵局通訊協定(POP3,Post Office Protocol version 3)或網際網路訊息存取通訊協定(IMAP,Internet Message Access Protocol)傳送郵件給客戶端。即時訊息(IM,Instant Messaging)伺服器可協助一或多個參與者間的溝通,達到立即的訊息接收、讀取回條及回覆。網路附加儲存(NAS,Network Attached Storage)伺服器可讓不同種類客戶端進行資料存取,包含一或多部以邏輯、冗餘設置的儲存裝置,或安排為獨立硬碟冗餘陣列(RAID,Redundant Array of Independent Disks)。監控攝相頭150b及150c可為視訊攝像頭,用以監視特定區域,以及監控主機150a可包含紀錄裝置,用以紀錄及壓縮從監控攝相頭150b及150c取得的影像,以及儲存壓縮視訊至可供搜尋的資料庫。物聯網設備160a至160c可為實體裝置,嵌入電子電路、軟體、感測器及連接器,使得此裝置可與其他連接裝置交換資料。物聯網設備允許裝置進行感測,以及跨網路基礎建設進行控制。客戶系統190連接上網際網路,可傳送請求至受防護電腦資產140a至170c中之任一者提供服務。本發明並非只包含以上所列的設備,以及熟習此技藝人士可防護其他種類的伺服器、物聯網設備或電腦系統。
受防護電腦資產140a至170c中之每一者連接至集線器(hubs)130a至130d中之一者。每一集線器將多部乙太網路設備連接再一起,使得這些設備運作起來如單一網路區段(network segment)。集線器具有多個輸入/輸出埠,任何一個埠的輸入訊號 會輸出到除了本身以外的每一個其他埠。集線器130a至130d之任一者可替換為無線接取點(AP,Access Point)。無線接取點可使用Wi-Fi或其他標準,讓受防護電腦資產140a至170c連接至有線網路。路由器120a至120b中之每一者於電腦網路間轉遞網路封包。網路封包通常從一個路由器通過互聯網路轉遞至另一個,直到到達目的節點。路由器透過二或多個資料線連接至不同網路。當網路封包從資料線中之一者進入,路由器讀取封包中之位址資訊來決定最終目的地。接著,路由器使用其中的路由表(routing table)或路由政策(routing policy),將網路封包轉遞至下一個網路。路由器120a至120b可為家庭或小型辦公路由器,於受防護電腦資產140a至170c及網際網路之間單純傳遞資料,例如網頁、電子郵件、即時訊息、音訊串流、視訊串流等。家庭或小型辦公路由器可為電纜或數位用戶線路(DSL,Data Subscriber Line)路由器,透過網際網路服務供應商(ISP,Internet Service Provider)連接至網際網路。路由器120a至120b中之任一者可替換為企業路由器,用以連接大型企業或ISP網路,甚至是強大的主幹路由器(core router),於網際網路主幹上以光纖線路高速轉遞資料。閘道器(gateway)110可運行為代理伺服器(proxy server)及防火牆伺服器(firewall server)。閘道器110可整合路由器及交換器的功能,路由器知道將到達閘道器110的網路封包導向何處,而交換器用以為特定封包決定輸入及輸出閘道器110的實際路徑。
第2圖係依據本發明實施例的網路裝置的系統架構圖。此系統架構可實施於閘道器110及路由器120a及120b中之任一者。閘道器110、路由器120a或120b組態來接收網路封包,以及決 定最終的輸出節點,用以將網路封包傳出閘道器110、路由器120a或120b。處理單元210可使用多種方式實施,例如以專用硬體電路或通用硬體(例如,單一處理器、具平行處理能力的多處理器、圖形處理器或其他具運算能力的處理器),並且在執行程式碼或軟體時,提供之後所描述的功能。系統架構另包含記憶體250用以儲存執行過程中需要的資料,例如,變數、資料表(data tables)、資料結構等,以及儲存單元240,用以儲存白名單(white list)以及各種過濾規則,例如,客製規則(custom rules)、基礎規則(base rules)等。系統架構可更包含一或多個輸入裝置230,用以接收使用者輸入訊號,例如,按鈕、鍵盤、滑鼠、觸控面板等。使用者可按壓鍵盤上的硬鍵來輸入字元,藉由操作滑鼠來控制顯示器上的鼠標,或者是在觸控面板製造手勢來控制執行中的應用程式。手勢可包含單擊、雙擊、單指拖曳、多指拖曳等,但不限定於此。顯示單元220可包含顯示面板(例如,薄膜液晶顯示面板、有機發光二極體面板或其他具顯示能力的面板),用以顯示輸入的字元、數字、符號、拖曳鼠標的移動軌跡、繪製的圖案或應用程式所提供的畫面,提供給使用者觀看。網路介面卡(network adapter)260可組態來使用乙太網路(Ethernet)通訊,具有使用傳輸控制協議/網際網路協議(TCP/IP,Transmission Control Protocol/Internet Protocol)、用戶包協議(UDP,User Datagram Protocol),以及/或其他協議的能力。網路介面卡260包含多個埠(ports)261,每一個埠組態為對內埠(internal port)或對外埠(external port)。網路介面卡260可包含多個傳送/接收(Tx/Rx,transmit and/or receive)佇列263_1至263_n,用以暫存即將傳送以及/或已接收的網路資料。
為避免電腦攻擊造成受防護電腦資產140a至170c遭受損害,實施例提出一種二階段過濾的電腦攻擊阻擋方法,以具效率的方式檢查流經閘道器110或路由器120a或120b及包含各式各樣服務請求(service requests)的網路封包,以及,一旦發現任何網路封包中包含攻擊模板(attack pattern),執行攻擊防護作業(attack prevention operation)。當閘道器110或路由器120a或120b中的處理單元210載入並執行相關軟體碼或指令,輔以事先定義的模板,執行此方法。第3圖係依據本發明實施例的二階段過濾的電腦攻擊阻擋方法。此方法檢查流經之網路封包中的第七層(layer 7,也稱應用層)訊息,用以偵測攻擊模板。每一服務請求可包含目的地位址、埠號、請求訊息、可執行的腳本指令(executable scripts)、表單物件(form objects)、後行動(post actions)、可執行的上載程式(executable program-uploads)或其他任意組合。第4圖係依據本發明實施例的軟體示意圖,被處理單元210載入及執行,用以處理流經閘道器110或路由器120a或120b中的網路介面卡260的網路封包。軟體模組410至470可依循開放系統互聯模板(OSI,Open Systems Interconnection model)的規範,用以一層一層地解析資料或訊息。OSI模板將電信通訊或電腦系統的通訊分層歸類並標準化,使得每一層可不管下層的內部構造及技術。網路介面卡260可實施實體層模組(physical-layer module)410、資料連結層模組(data-link-layer module)420、網路層模組(network-layer module)430、傳輸層模組(transport-layer module)440。實體層模組410可建立及中止經由通訊媒介直接連線的二個節點間的連線。資料連線的電性及實體規範可包含腳位佈局、電壓、接線阻 抗、電纜規範、訊號時序等。資料連結層模組420可提供節點對節點的資料傳輸,並且藉由偵測可能發生在實體層中的錯誤並嘗試修正錯誤,用以提供二個連線節點間的可靠連線。資料連結層可分成二個子層:媒體存取控制層(MAC,Media Access Control Layer),負責控制網路中的裝置如何取得資料的存取權;邏輯連結控制層(LLC,Logical Link Control Layer),用以控制錯誤檢查及封包間的同步。網路層模組430可提供功能性及程序性手段,從一個節點傳遞可變長度資料序列(又稱為資料塊,datagrams)至另一者。網路層模組430可轉譯邏輯網路位址成為實體機器位址。每個節點具有位址,藉由提供訊息內容及目的地節點的位址,允許連接在網路上的一個節點傳遞訊息至連接在網路上的其他節點,使得閘道器110、路由器120a或120b可找到繞送(route)訊息的路徑至目的地節點。除了訊息的繞送外,網路層模組430可將訊息分割成數塊,以不同路徑發送每一塊以及組合這些塊,紀錄發送的錯誤等,用以實現訊息遞送。傳輸層模組440可通過流量控制、分割/重組及錯誤控制來提供特定連線的可靠性。傳輸層模組440可持續追蹤所有塊的傳送,並且在失敗時重傳。傳輸層模組440也可提供成功傳輸資料的認可訊息,並於無任何錯誤發生時傳送其餘的資料。傳輸層模組440可從應用層模組(application-layer module)470接收訊息並產生封包。傳輸層模組440使用的傳輸層通訊協定可為傳輸控制通訊協定(TCP,Transmission Control Protocol),其通常建立於網際網路通訊協定(IP,Internet Protocol)之上。工作階段層模組(session-layer module)450、表現層模組(presentation-layer module)460及應用層模組(application-layer module)470可於處理單元210載入及執行軟體碼或指令時實施。工作階段層模組450可建立、管理及中止本地及遠端應用程式間的連線。表現層模組460可建立應用層實體間的上下文(context),其中當表現服務提供應用層實體間的對應關係時,應用層實體可使用不同的語法及語意。如果一個對應關係存在,可將表現服務資料單元(presentation service data units)封裝成工作階段協議資料單元(session protocol data units),並且傳送至協議棧(protocol stack)的下層。應用層模組470可藉由應用程式及網路格式間的轉譯提供獨立於資料表現層的功能(例如,加密)。應用層模組470可將資料轉變為應用程式可接受的格式。例如,應用層模組470可從網際網路封包摘取請求訊息(又稱為第七層訊息),諸如超文件傳遞通訊協定(HTTP,HyperText Transfer Protocol)、加密超文件傳遞通訊協定(HTTPS,Secure HyperText Transfer Protocol)、無線應用訊協定(WAP,Wireless Application Protocol)、輕量目錄存取通訊協定(LDAP,Lightweitht Directory Access Protocol)、域名系統(DNS,Domain Name System)、安全殼協議(SSH,Secure Shell)等請求,或者轉譯請求訊息為網際網路封包。此方法透過網路介面卡260不斷接收從客戶端系統190傳送來的請求,用以向受防護電腦資產請求服務,例如,受防護電腦資產140a至170c中之任一者(步驟S310)。如第3圖所示的二階段過濾的電腦攻擊阻擋方法可實施於攻擊阻擋模組480之中。於步驟S310,攻擊阻擋模組480可從應用層模組470接收服務請求。
於接收服務請求之後(步驟S310),進行二階段過濾。於第一階段,包含三種判斷中之至少一者。第一判斷決定每個服 務請求中是否包含任何白名單模板(white-list pattern)(步驟S320)。使用者新增或更新的白名單模板可為通用表示式(regular expressions)或其他表示式語言。白名單模板讀取自儲存裝置240並提供來加速決策的速度並且避免誤報(false positives)。也就是說,處理單元210快速通過具有白名單模板的服務請求,而不另做更多偵測。第二判斷決定每個服務請求中是否包含任何黑名單模板(black-list pattern)(步驟S325)。使用者新增或更新的黑名單模板可包含特定來源IP位址、統一資源識別項(URI,Universal Resource Identifier)等。黑名單模板讀取自儲存裝置240並提供來加速決策的速度。也就是說,處理單元210直接執行攻擊阻擋作業(attack prevention operation)。第三判斷決定每個服務請求中是否包含任何客製規則模板(custom-rule pattern)(步驟S330)。儲存裝置240儲存客製規則模板,並隨著特定類型的受防護電腦資產進行新增、修改或加強(reinforce),例如網站伺服器、應用伺服器、即時訊息伺服器、網路附加儲存伺服器、電子郵件伺服器、監控系統、物聯網設備、客戶端電腦等。客製規則模板可視為特定類別的受防護電腦資產的增強模板(enhanced patterns)。例如,如果企業主要防止網站伺服器不受傷害,關連於網站伺服器的客製規則模板被提供來過濾對網站伺服器的可能攻擊。一旦發現白名單模板(步驟S320中的”是”路徑),處理單元210運行的攻擊阻擋模組480直接轉送服務請求至受防護電腦資產(步驟S350)。詳細來說,傳輸層模組440可緩存(cache)相應於每一個服務請求的網路封包於記憶體250中,例如TCP/IP封包及目的地IP位址(步驟S310),以及,發現白名單模板後(步驟S320中的”是”路徑),攻擊阻擋模組 480驅動傳輸層模組440直接傳送緩存的網路封包至協議棧的下層,使得網路封包中的服務請求可轉送至受防護電腦資產,而不需要由表現層模組460及工作階段層模組450重新產生網路封包(步驟S350)。替代性地,攻擊阻擋模組480可直接下傳服務請求至表現層模組460,使得網路封包中的服務請求可轉送至受防護電腦資產(步驟S350)。一旦未發現白名單模板(步驟S320中”否”的路徑)但卻發現黑名單模板(步驟S325中”是”的路徑),處理單元210運行的攻擊阻擋模組480執行攻擊阻擋作業(步驟S360)。一旦未發現白名單模板及黑名單模板(步驟S320中”否”的路徑接著步驟S325中”否”的路徑)但卻發現客製規則模板(步驟S330中”是”的路徑),處理單元210運行的攻擊阻擋模組480執行攻擊阻擋作業(步驟S360)。客製規則模板為受防護系統或現存弱點做特別設計。於一例中,客製規則模板包含字串”a=2147483647”,可觸發特定應用錯誤,而處理單元210於偵測到服務請求中的請求訊息”HTTP-GET:http://www.example.com/index.php?a=2147483647”包含此字串後,執行攻擊阻擋作業。於另一例中,客製規則模板包含於預先決定的時間區間嘗試登入的允許次數,而處理單元210於偵測到客戶端系統190於預先決定的時間區間嘗試的登入次數超過了允許次數後,執行攻擊阻擋作業。於更另一例中,客製規則模板包含解碼及檢查以base64編碼的訊息,而處理單元210於偵測到解碼之服務請求包含惡意內容(malicious content)後,執行攻擊阻擋作業。於更另一例中,客製規則模板包含防護特定物聯網裝置所辨認出的弱點模板。雖然以上三種判斷以特定順序執行,熟習此技藝人士可依據設計的需要更改順序,本發明並不以此為限。
一旦發現沒有白名單模板(步驟S320中”否”的路徑)、沒有黑名單模板(步驟S325中”否”的路徑)以及沒有客製規則模板(步驟S330中”否”的路徑)後,執行第二階段過濾。於第二階段中,處理單元210決定每個服務請求中是否包含任何基礎規則模板(base-rule pattern)(步驟S340)。儲存裝置240儲存基礎規則模板,並提供來防止一般性重大攻擊,而不會讓受防護電腦資產遭受損害。基礎規則模板並非專為個別系統或弱點設計。基礎規則模板用以防止一般性攻擊。基礎規則模板可週期性更新,例如每日、每周一次,用以應付最新發現的攻擊行為。當未發現服務請求中包含基礎規則模板時(步驟S340中”否”的路徑),處理單元210運行的攻擊阻擋模組480轉送服務請求至受防護電腦資產(步驟S350)。於步驟S350,如先前所討論的,攻擊阻擋模組480可驅動傳輸層模組440直接傳送緩存的網路封包至協議棧的下層,或者直接下傳服務請求至表現層模組460。當發現服務請求中包含基礎規則模板時(步驟S340中”是”的路徑),處理單元210運行的攻擊阻擋模組480執行攻擊阻擋作業(步驟S360)。於一例中,基礎規則模板包含字串”’or 1=1--”,而處理單元210於偵測到服務請求中的可執行腳本指令包含此字串後,執行攻擊阻擋作業。於另一例中,基礎規則模板包含字串”><script>alert(‘0’);</script>”,而處理單元210於偵測到服務請求中的可執行腳本指令包含此字串後,執行攻擊阻擋作業。於更另一例中,基礎規則模板包含服務請求中的請求訊息的字元的允許數目,而處理單元210於偵測到請求訊息的長度超過了允許數目後,其中可能包含緩衝區溢位(buffer-overflow)攻擊,執行攻擊阻擋作業。於攻擊阻擋作業的實施例中,服務請 求的請求訊息中所擁有含括可能觸發執行惡意攻擊的腳本指令的特殊字元,可替換成等同的字串,例如,特殊字元”<”及”>”可分別替換為字串”&lt”及”&gt”,接著,轉送修改後的請求訊息給受防護電腦資產。熟習此技藝人士理解,當觸發執行的腳本指令被含括在字串”&lt”及”&gt”,並不會觸發惡意攻擊的腳本指令的執行。也就是說,藉由以上特殊字元的替換,而替換後字串中的腳本指令不能轉入執行上下文。於另一實施例,丟棄包含偵測到之客製規則模板或基礎規則模板的服務請求,而不轉送請求訊息給受防護電腦資產。於更另一實施例,阻擋包含偵測到之客製規則模板或基礎規則模板的服務請求,而不轉送請求訊息給受防護電腦資產,並且回覆訊息給客戶端系統190。訊息可為”HTTP 500-內部伺服器錯誤”、”HTTP 403-禁止”、”HTTP 200-OK”,或其他訊息。於更另一實施例,轉送包含偵測到之客製規則模板或基礎規則模板的服務請求給受防護電腦資產,並且記錄偵測到之客製規則模板或基礎規則模板的時間,或其他相關資訊到日誌中。於更另一實施例,將連結到警示網頁的單一資源定址(url,uniform resource locator)回覆給客戶端系統190,從而使得使用者瀏覽此警示網頁。警示網頁可顯示非法或不安全存取的警告訊息。於更另一實施例,轉送包含偵測到之客製規則模板或基礎規則模板的服務請求給沙箱中的目的地裝置,可將傷害控制在有限範圍。可理解的是,於步驟S320、S330或S340中,攻擊阻擋模組480可檢查服務請求中的請求訊息、可執行的腳本指令、表單物件、後行動、可執行的上載程式等,用以決定服務請求中是否包含任何的白名單模板、黑名單模板、客製規則模板或基礎規則模板。儲存 裝置240中的白名單模板、黑名單模板、客製規則模板或基礎規則模板可載入至記憶體250。
以上所述的方法可應用來降低因SQL隱碼攻擊(SQL injection attacks)、跨站腳本指令攻擊(XSS,cross-site scripting attacks)、造訪路徑攻擊(path traversal attacks)、命令隱碼攻擊(command injection attacks)、緩衝區溢位攻擊(buffer-overflow attacks)、跨站假要求攻擊(CSRF,cross-site request forgery attacks),或其他類型的攻擊所造成的損害。SQL隱碼攻擊用以插入惡意腳本指令至SQL指令(query)。一個成功的SQL隱碼攻擊可從資料庫讀取隱私資料,以如Insert、Update或Delete的指令修改資料庫資料,執行資料庫的管理者作業,例如關閉資料庫管理系統(DBMS,Database Management System),回復DBMS檔案系統的特定檔案內容,或發送命令給作業系統。跨站腳本指令攻擊可插入惡意腳本指令至信任的網站伺服器,又稱為持續式跨站腳本指令攻擊。跨站腳本指令攻擊可發生於當攻擊者使用網站應用程式傳送惡意碼(通常以瀏覽器側腳本指令的形式)給另外的使用者,又稱為反射式跨站腳本指令攻擊。造訪路徑攻擊嘗試存取網站根資料夾(web root folder)外的檔案及路徑。藉由訪問目錄的方式,攻擊者找尋儲存於網站伺服器、應用伺服器、電子郵件伺服器、即時訊息伺服器、網路附加儲存伺服器,或其他類型伺服器中檔案的絕對路徑。藉由將變數改變為”../”序列,可存取檔案系統中任意的檔案及目錄,包含受到作業系統存取控制限制住的應用程式原始碼、組態資料、重要系統檔案。攻擊者可使用”../”序列移動到根目錄,用以瀏覽檔案系統。訪問目錄的序列可承載於系統 請求,例如,http://www.test.com/.././../。命令隱碼攻擊透過有弱點的應用程式來執行主機作業系統上的任意命令。當應用系統傳遞使用者提供的不安全資料(例如表單、Cookies、HTTP標頭等)給系統核心,命令隱碼攻擊就可能出現。緩衝區溢位攻擊用以癱瘓網站伺服器或應用伺服器的執行堆疊。攻擊者可透過輸入精心設計的指令至網站應用程式,使得網站應用程式執行這些指令時造成緩衝區溢位。跨站假要求攻擊強迫使用者於網站應用程式上執行不想要但已授權出去的操作。藉社交應用程式的協助(例如,透過電子郵件或即時通訊軟體發送連結),攻擊者可假裝網站應用程式的真實使用者,執行攻擊者選擇的操作。如果受害者是一般使用者,成功的跨站假要求攻擊可強迫使用者執行狀態轉換請求,像轉帳、電子郵件位址或密碼變更等。如果受害者是管理者帳號,跨站假要求攻擊可能危害整個網站應用程式。
如上述第二階段過濾中,基礎規則模板(basic-rule patterns)盡可能涵蓋所有種類的攻擊行為。換句話說,基礎規則模板較客製規則模板涵蓋更多種類的受防護電腦資產。更甚者,基礎規則模板可防護一些在企業網路中不存在的弱點。這些規則並不是特別為單一系統設計。例如,公司網路沒有互聯網裝置,而基礎規則模板可提供互聯網裝置的一般性攻擊防護。值得注意的是,公司網路未來可能配備互聯網裝置,而必須具有基礎規則模板,用以避免互聯網裝置遭受電腦攻擊。然而,全面檢查服務請求的內容,用以決定是否通過基礎規則模板的檢驗,需花費大量的時間。包含白名單模板及客製規則模板的第一階段過濾,執行在第二階段過濾之前。客製規則模板用來防護位於閘道器110 或路由器120a或120b之後的有限受防護電腦資產。客製規則為特定電腦資產或軟體弱點進行詳細設計。依據受防護系統的不同,可有不同的客製規則模板。於一方面,每當發現任何的白名單模板,馬上轉送服務請求至目的地裝置,而不再進行任何的檢查。第一階段過濾也可包含黑名單模板,早期阻擋攻擊者,例如,特定IP位址。於其他方面,一旦發現任何客製規則模板,馬上執行攻擊防護作業。
雖然實施例在第一階段過濾中使用客製規則模板而第二階段過濾中使用基礎規則模板,然而,熟習此技藝人士可交換這二者。換句話說,可根據不同需要交換步驟S330及S340。例如,當企業網路面對較特定防護電腦資產、系統或弱點更多的一般性攻擊時,在第一階段過濾中使用基礎規則模板而第二階段過濾中使用客製規則模板。
第5圖係依據本發明實施例的電腦裝置的系統架構圖。此系統架構10可實施於如伺服器140a至140c、監控主機150a、物聯網設備160a至160c、客戶端電腦170a至170c中之任一者,或其他具運算能力的裝置,至少包含處理單元510。處理單元510可使用多種方式實施,例如以專用硬體電路或通用硬體(例如,單一處理器、具平行處理能力的多處理器、圖形處理器或其他具運算能力的處理器),並且在執行程式碼或軟體時,提供之後所描述的功能。系統架構另包含記憶體550用以儲存執行過程中需要的資料,例如,變數、資料表(data tables)、資料結構等,以及儲存單元540,用以儲存各式各樣的電子檔案,例如,白名單、黑名單、各式各樣過濾規則及電子檔案,過濾規則包含基礎規則模板、客 製規則模板等,電子檔案包含網頁、文件、視訊檔案、音訊檔案等。系統架構10另包含通訊介面560,讓處理單元510可藉以跟其他電子裝置進行溝通。通訊介面560可以是區域網路(local area network,LAN)通訊模組、無線區域網路通訊模組(WLAN)或其他通訊模組,用以跟路由器120a及120b通訊。輸入裝置530可包含鍵盤、滑鼠、觸控面板等。使用者可按壓鍵盤上的硬鍵來輸入字元,藉由操作滑鼠來控制鼠標,或者是在觸控面板製造手勢來控制執行中的應用程式。手勢可包含單擊、雙擊、單指拖曳、多指拖曳等,但不限定於此。顯示單元520可包含顯示面板(例如,薄膜液晶顯示面板、有機發光二極體面板或其他具顯示能力的面板),用以顯示輸入的字元、數字、符號、拖曳鼠標的移動軌跡、繪製的圖案或應用程式所提供的畫面,提供給使用者觀看。
為避免電腦攻擊造成受防護電腦資產140a至170c遭受損害,上述實施例之二階段過濾的電腦攻擊阻擋方法可實現於伺服器140a至140c、監控主機150a、物聯網設備160a至160c、客戶端電腦170a至170c中之任一者,或其他具運算能力的裝置,在傳送服務請求給伺服器前,以具效率的方式檢查服務請求,伺服器可為網站伺服器、應用伺服器、即時訊息伺服器、網路附加儲存伺服器、電子郵件伺服器等。以及,一旦發現任何服務請求中包含攻擊模板,執行攻擊防護作業。此方法可依據第3圖的流程圖進行修改。當伺服器140a至140c、監控主機150a、物聯網設備160a至160c、客戶端電腦170a至170c中之任一者的處理單元210載入並執行相關軟體碼或指令,輔以事先定義的模板,實現此方法。第6圖係依據本發明實施例的軟體示意圖,被處理單元510載入及執 行,用以處理從客戶端電腦傳來的服務請求。軟體模組610至670的技術細節可參考模組410至470的說明。伺服器690可實施網站伺服器、應用伺服器、即時訊息伺服器、網路附加儲存伺服器、電子郵件伺服器、監控系統、互聯網裝置等的功能。攻擊阻擋模組680可置於應用層模組670及伺服器690之間。修改後的方法可檢查第七層(又稱為應用層)訊息,用以偵測攻擊模板,諸如,服務請求中的請求訊息、可執行的腳本指令、表單物件、後行動、可執行的上載程式等。攻擊阻擋模組680可修改第3圖的步驟S350,當服務請求中發現任何的白名單模板時(步驟S320中”是”的路徑),或者當沒有發現任何的黑名單模板、客製規則模板以及基礎規則模板時(經過步驟S320、S325、S330及S340中一系列”否”的路徑),用以上傳服務請求至伺服器690。
雖然第2及5圖中包含了以上描述的元件,但不排除在不違反發明的精神下,使用更多其他的附加元件,已達成更佳的技術效果。此外,雖然第3圖的方法流程圖採用特定的順序來執行,但是在不違法發明精神的情況下,熟習此技藝人士可以在達到相同效果的前提下,修改這些步驟間的順序,所以,本發明並不侷限於僅使用如上所述的順序。
雖然本發明使用以上實施例進行說明,但需要注意的是,這些描述並非用以限縮本發明。相反地,此發明涵蓋了熟習此技藝人士顯而易見的修改與相似設置。所以,申請權利要求範圍須以最寬廣的方式解釋來包含所有顯而易見的修改與相似設置。

Claims (36)

  1. 一種二階段過濾的電腦攻擊阻擋方法,由一或多處理單元執行,包含:從一客戶端系統接收一服務請求,其中上述服務請求向一受防護電腦資產請求一服務;執行一第一階段過濾,用以當從上述服務請求中發現一白名單模板時,將上述服務請求轉送至上述受防護電腦資產;以及於上述第一階段過濾結束後,執行一第二階段過濾。
  2. 如申請專利範圍第1項所述的二階段過濾的電腦攻擊阻擋方法,於執行一第一階段過濾的步驟中更包含:提供多個黑名單模板;以及當發現上述服務請求沒有包含白名單模板但包含上述黑名單模板中之至少一者時,執行一攻擊阻擋作業。
  3. 如申請專利範圍第1項所述的二階段過濾的電腦攻擊阻擋方法,於執行一第一階段過濾的步驟中更包含:提供多個客製規則模板;以及當發現上述服務請求沒有包含白名單模板但包含上述客製規則模板中之至少一者時,執行一攻擊阻擋作業。
  4. 如申請專利範圍第3項所述的二階段過濾的電腦攻擊阻擋方法,其中上述客製規則模板係提供給一種類型或一種類型以上的上述受防護電腦資產。
  5. 如申請專利範圍第3項所述的二階段過濾的電腦攻擊阻擋方法,於執行一第二階段過濾的步驟中更包含:提供多個基礎規則模板;以及當發現上述服務請求包含上述基礎規則模板中之至少一者時,執行上述攻擊阻擋作業。
  6. 如申請專利範圍第5項所述的二階段過濾的電腦攻擊阻擋方法,其中,上述基礎規則模板較上述客製規則模板涵蓋更多種類的上述受防護電腦資產。
  7. 如申請專利範圍第5項所述的二階段過濾的電腦攻擊阻擋方法,其中,上述客製規則模板為一個別系統或弱點做特別設計,以及上述基礎規則模板設計來阻止一般攻擊。
  8. 如申請專利範圍第1項所述的二階段過濾的電腦攻擊阻擋方法,其中,上述服務請求為一第七層訊息。
  9. 如申請專利範圍第1項所述的二階段過濾的電腦攻擊阻擋方法,其中,上述傳輸控制協議/網際網路協議(TCP/IP,Transmission Control Protocol/Internet Protocol)封包承載上述服務請求,上述方法更包含:緩存上述傳輸控制協議/網際網路協議封包;以及當發現上述服務請求包含白名單模板時,轉送上述緩存的傳輸控制協議/網際網路協議封包至上述受防護電腦資產。
  10. 如申請專利範圍第5項所述的二階段過濾的電腦攻擊阻 擋方法,其中,上述攻擊阻擋作業替換特殊字元為等同字串,用以避免將上述等同字串中的腳本指令轉入執行上下文,以及轉送上述修改後服務請求給上述受防護電腦資產。
  11. 如申請專利範圍第5項所述的二階段過濾的電腦攻擊阻擋方法,其中,上述攻擊阻擋作業丟棄上述服務請求,而不轉送上述服務請求給上述受防護電腦資產。
  12. 如申請專利範圍第5項所述的二階段過濾的電腦攻擊阻擋方法,其中,上述攻擊阻擋作業阻擋上述服務請求,而不轉送上述請求訊息給上述受防護電腦資產,並且回覆一訊息給上述客戶端系統。
  13. 如申請專利範圍第5項所述的二階段過濾的電腦攻擊阻擋方法,其中,上述攻擊阻擋作業轉送上述服務請求給上述受防護電腦資產,並且記錄上述客製規則模板或基礎規則模板的一偵測時間到日誌中。
  14. 如申請專利範圍第5項所述的二階段過濾的電腦攻擊阻擋方法,其中,上述攻擊阻擋作業回覆一單一資源定址(url,uniform resource locator)給上述客戶端系統,用以連結到一警示網頁。
  15. 如申請專利範圍第5項所述的二階段過濾的電腦攻擊阻擋方法,其中,上述攻擊阻擋作業轉送上述服務請求至一沙箱中的一目的地裝置。
  16. 如申請專利範圍第1項所述的二階段過濾的電腦攻擊阻 擋方法,於執行一第一階段過濾的步驟中更包含:提供多個基礎規則模板;以及當發現上述服務請求沒有包含白名單模板但包含上述基礎規則模板中之至少一者時,執行一攻擊阻擋作業。
  17. 如申請專利範圍第16項所述的二階段過濾的電腦攻擊阻擋方法,於執行一第二階段過濾的步驟中更包含:提供多個客製規則模板;以及當發現上述服務請求包含上述客製規則模板中之至少一者時,執行上述攻擊阻擋作業。
  18. 如申請專利範圍第17項所述的二階段過濾的電腦攻擊阻擋方法,其中,上述客製規則模板為一個別系統或弱點做特別設計,以及上述基礎規則模板設計來阻止一般攻擊。
  19. 一種二階段過濾的電腦攻擊阻擋裝置,包含:一儲存裝置,儲存多個白名單模板;以及一處理單元,組態來從一客戶端系統接收一服務請求,其中上述服務請求向一受防護電腦資產請求一服務;執行一第一階段過濾,用以當從上述服務請求中發現一白名單模板時,將上述服務請求轉送至上述受防護電腦資產;以及於上述第一階段過濾結束後,執行一第二階段過濾。
  20. 如申請專利範圍第19項所述的二階段過濾的電腦攻擊阻擋裝置,其中,上述儲存單元儲存多個黑名單模板,以及,於上述第一階段過濾中,當上述處理單元發現上述服務請 求沒有包含白名單模板但包含上述黑名單模板中之至少一者時,執行一攻擊阻擋作業。
  21. 如申請專利範圍第19項所述的二階段過濾的電腦攻擊阻擋裝置,其中,上述儲存單元儲存多個客製規則模板,以及,於上述第一階段過濾中,當上述處理單元發現上述服務請求沒有包含白名單模板但包含上述客製規則模板中之至少一者時,執行一攻擊阻擋作業。
  22. 如申請專利範圍第21項所述的二階段過濾的電腦攻擊阻擋裝置,其中上述客製規則模板係提供給一種類型或一種類型以上的上述受防護電腦資產。
  23. 如申請專利範圍第21項所述的二階段過濾的電腦攻擊阻擋裝置,其中,上述儲存單元儲存多個基礎規則模板,以及,於上述第二階段過濾中,當上述處理單元發現上述服務請求包含上述基礎規則模板中之至少一者時,執行上述攻擊阻擋作業。
  24. 如申請專利範圍第23項所述的二階段過濾的電腦攻擊阻擋裝置,其中,上述基礎規則模板較上述客製規則模板涵蓋更多種類的上述受防護電腦資產。
  25. 如申請專利範圍第24項所述的二階段過濾的電腦攻擊阻擋裝置,其中,上述客製規則模板為一個別系統或弱點做特別設計,以及上述基礎規則模板設計來阻止一般攻擊。
  26. 如申請專利範圍第19項所述的二階段過濾的電腦攻擊阻 擋裝置,其中,上述服務請求為一第七層訊息。
  27. 如申請專利範圍第19項所述的二階段過濾的電腦攻擊阻擋裝置,更包含:一記憶體,緩存多個傳輸控制協議/網際網路協議(TCP/IP,Transmission Control Protocol/Internet Protocol)封包,其中,上述傳輸控制協議/網際網路協議(TCP/IP,Transmission Control Protocol/Internet Protocol)封包承載上述服務請求,以及當上述處理單元發現上述服務請求包含白名單模板時,轉送上述緩存的傳輸控制協議/網際網路協議封包至上述受防護電腦資產。
  28. 如申請專利範圍第23項所述的二階段過濾的電腦攻擊阻擋裝置,其中,上述攻擊阻擋作業替換特殊字元為等同字串,用以避免將上述等同字串中的腳本指令轉入執行上下文,以及轉送上述修改後服務請求給上述受防護電腦資產。
  29. 如申請專利範圍第23項所述的二階段過濾的電腦攻擊阻擋裝置,其中,上述攻擊阻擋作業丟棄上述服務請求,而不轉送上述服務請求給上述受防護電腦資產。
  30. 如申請專利範圍第23項所述的二階段過濾的電腦攻擊阻擋裝置,其中,上述攻擊阻擋作業阻擋上述服務請求,而不轉送上述請求訊息給上述受防護電腦資產,並且回覆一訊息給上述客戶端系統。
  31. 如申請專利範圍第23項所述的二階段過濾的電腦攻擊阻 擋裝置,其中,上述攻擊阻擋作業轉送上述服務請求給上述受防護電腦資產,並且記錄上述客製規則模板或基礎規則模板的一偵測時間到日誌中。
  32. 如申請專利範圍第23項所述的二階段過濾的電腦攻擊阻擋裝置,其中,上述攻擊阻擋作業回覆一單一資源定址(url,uniform resource locator)給上述客戶端系統,用以連結到一警示網頁。
  33. 如申請專利範圍第23項所述的二階段過濾的電腦攻擊阻擋裝置,其中,上述攻擊阻擋作業轉送上述服務請求至一沙箱中的一目的地裝置。
  34. 如申請專利範圍第19項所述的二階段過濾的電腦攻擊阻擋裝置,其中,上述儲存單元儲存多個基礎規則模板,以及,於上述第一階段過濾中,當上述處理單元發現上述服務請求沒有包含白名單模板但包含上述基礎規則模板中之至少一者時,執行一攻擊阻擋作業。
  35. 如申請專利範圍第34項所述的二階段過濾的電腦攻擊阻擋裝置,其中,上述儲存單元儲存多個客製規則模板,以及,於上述第二階段過濾中,當上述處理單元發現上述服務請求包含上述客製規則模板中之至少一者時,執行一攻擊阻擋作業。
  36. 如申請專利範圍第35項所述的二階段過濾的電腦攻擊阻擋裝置,其中,上述客製規則模板為一個別系統或弱點做 特別設計,以及上述基礎規則模板設計來阻止一般攻擊。
TW105126716A 2015-10-29 2016-08-22 二階段過濾的電腦攻擊阻擋方法以及使用該方法的裝置 TWI625641B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
PCT/US2015/058158 WO2017074402A1 (en) 2015-10-29 2015-10-29 Methods for preventing computer attacks in two-phase filtering and apparatuses using the same
??PCT/US15/58158 2015-10-29

Publications (2)

Publication Number Publication Date
TW201715424A TW201715424A (zh) 2017-05-01
TWI625641B true TWI625641B (zh) 2018-06-01

Family

ID=58630822

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105126716A TWI625641B (zh) 2015-10-29 2016-08-22 二階段過濾的電腦攻擊阻擋方法以及使用該方法的裝置

Country Status (4)

Country Link
US (2) US20180322284A1 (zh)
CN (1) CN109074456A (zh)
TW (1) TWI625641B (zh)
WO (1) WO2017074402A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI712912B (zh) * 2019-09-27 2020-12-11 財團法人資訊工業策進會 入侵偵測裝置以及入侵偵測方法

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10116519B2 (en) * 2015-03-27 2018-10-30 Yodiwo Ab Programmable distributed management system of interconnected things and applications
US10601942B2 (en) * 2018-04-12 2020-03-24 Pearson Management Services Limited Systems and methods for automated module-based content provisioning
JP7060800B2 (ja) * 2018-06-04 2022-04-27 日本電信電話株式会社 感染拡大攻撃検知システム及び方法、並びに、プログラム
TWI665578B (zh) * 2018-11-27 2019-07-11 廣達電腦股份有限公司 軟體連線之管理系統及方法
GB201820853D0 (en) * 2018-12-20 2019-02-06 Palantir Technologies Inc Detection of vulnerabilities in a computer network
CN110012000B (zh) * 2019-03-29 2021-07-06 深圳市腾讯计算机系统有限公司 命令检测方法、装置、计算机设备以及存储介质
CN111614629B (zh) * 2020-04-29 2022-04-22 浙江德迅网络安全技术有限公司 一种cc攻击的动态防御系统及其方法
CN113328984B (zh) * 2020-08-08 2022-08-23 北京圆心科技集团股份有限公司 基于大数据和物联网通信的数据处理方法及数据处理系统
US11765188B2 (en) * 2020-12-28 2023-09-19 Mellanox Technologies, Ltd. Real-time detection of network attacks
CN113190836A (zh) * 2021-03-29 2021-07-30 贵州电网有限责任公司 一种基于本地命令执行的web攻击行为检测方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
CN100533334C (zh) * 2004-06-29 2009-08-26 英特尔公司 通过沙箱技术改进计算机安全性的方法
US8214895B2 (en) * 2007-09-26 2012-07-03 Microsoft Corporation Whitelist and blacklist identification data
US8578487B2 (en) * 2010-11-04 2013-11-05 Cylance Inc. System and method for internet security
WO2015101774A1 (en) * 2013-12-31 2015-07-09 British Telecommunications Public Limited Company Processing service requests for digital content
US9117075B1 (en) * 2010-11-22 2015-08-25 Trend Micro Inc. Early malware detection by cross-referencing host data

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020176378A1 (en) * 2001-05-22 2002-11-28 Hamilton Thomas E. Platform and method for providing wireless data services
EP1315065B1 (en) * 2001-11-23 2007-10-10 Protegrity Research &amp; Development Method for intrusion detection in a database system
US20080276311A1 (en) * 2007-05-04 2008-11-06 Stefan Kassovic Method, Apparatus, and software for a multi-phase packet filter for internet access
KR20090044202A (ko) * 2007-10-31 2009-05-07 주식회사 이븐스타 웹페이지의 우회침입 탐지 및 매개변수 변조 침입 탐지를이용한 웹 보안 서비스 방법 및 그 시스템
US20110219446A1 (en) * 2010-03-05 2011-09-08 Jeffrey Ichnowski Input parameter filtering for web application security
US9838392B2 (en) * 2011-02-28 2017-12-05 Nokia Technologies Oy Method and apparatus for providing proxy-based access controls
US9135439B2 (en) * 2012-10-05 2015-09-15 Trustwave Holdings, Inc. Methods and apparatus to detect risks using application layer protocol headers
US10742601B2 (en) * 2013-03-14 2020-08-11 Fortinet, Inc. Notifying users within a protected network regarding events and information
US8918838B1 (en) * 2013-07-23 2014-12-23 Oasis Technology, Inc. Anti-cyber hacking defense system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100533334C (zh) * 2004-06-29 2009-08-26 英特尔公司 通过沙箱技术改进计算机安全性的方法
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US8214895B2 (en) * 2007-09-26 2012-07-03 Microsoft Corporation Whitelist and blacklist identification data
US8578487B2 (en) * 2010-11-04 2013-11-05 Cylance Inc. System and method for internet security
US9117075B1 (en) * 2010-11-22 2015-08-25 Trend Micro Inc. Early malware detection by cross-referencing host data
WO2015101774A1 (en) * 2013-12-31 2015-07-09 British Telecommunications Public Limited Company Processing service requests for digital content

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI712912B (zh) * 2019-09-27 2020-12-11 財團法人資訊工業策進會 入侵偵測裝置以及入侵偵測方法

Also Published As

Publication number Publication date
CN109074456A (zh) 2018-12-21
US20210286876A1 (en) 2021-09-16
US20180322284A1 (en) 2018-11-08
WO2017074402A1 (en) 2017-05-04
TW201715424A (zh) 2017-05-01

Similar Documents

Publication Publication Date Title
TWI625641B (zh) 二階段過濾的電腦攻擊阻擋方法以及使用該方法的裝置
CN110362992B (zh) 在基于云端环境中阻挡或侦测计算机攻击的方法和设备
KR102298268B1 (ko) 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템
US9860265B2 (en) System and method for identifying exploitable weak points in a network
US11831420B2 (en) Network application firewall
Dreger et al. Dynamic application-layer protocol analysis for network intrusion detection
US20090265777A1 (en) Collaborative and proactive defense of networks and information systems
Noonan et al. Firewall fundamentals
JP2022554101A (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
TWI684113B (zh) 閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體
Trost Practical intrusion analysis: prevention and detection for the twenty-first century
US20060107055A1 (en) Method and system to detect a data pattern of a packet in a communications network
CN117397223A (zh) 物联网设备应用工作负荷捕捉
Yang et al. Identify encrypted packets to detect stepping-stone intrusion
Sørensen et al. Automatic profile-based firewall for iot devices
KR20090081619A (ko) 파일 전송 보안 방법 및 장치
Moraes Cisco Firewalls: Concepts, Design and Deployment for Cisco Stateful Firewall Solutions
Bugeja et al. On the analysis of semantic denial-of-service attacks affecting smart living devices
Khondoker et al. Addressing industry 4.0 security by software-defined networking
Schmitt A Framework for Cyber Vulnerability Assessments of InfiniBand Networks
Heikura Analyzing Offensive and Defensive Networking Tools in a Laboratory Environme
Frank Securing Smart Homes with OpenFlow: Feasibility, Implementation, and Performance
Johnson et al. Applying Lessons from Cyber Attacks on Ukrainian Infrastructures to Secure Gateways onto the Industrial Internet of Things
JP2024038784A (ja) 情報処理システム、サーバ装置、サーバ装置の制御方法、クライアント端末装置、クライアント端末装置の制御方法およびプログラム
CN116260600A (zh) 网络地址识别方法、装置及系统