TWI707565B - 網路攻擊者辨識方法及網路系統 - Google Patents
網路攻擊者辨識方法及網路系統 Download PDFInfo
- Publication number
- TWI707565B TWI707565B TW108113877A TW108113877A TWI707565B TW I707565 B TWI707565 B TW I707565B TW 108113877 A TW108113877 A TW 108113877A TW 108113877 A TW108113877 A TW 108113877A TW I707565 B TWI707565 B TW I707565B
- Authority
- TW
- Taiwan
- Prior art keywords
- internet protocol
- source
- network
- protocol addresses
- protocol address
- Prior art date
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本揭示提供一種網路攻擊者辨識方法,包含以下步驟。將連線至網路系統之客戶端分成數群;當偵測到其中一群之資料流量異常時,標記該群客戶端;將客戶端重新分成另外數群;當偵測到其中一群之資料流量異常時,標記該群客戶端;將被標記最多次之客戶端辨識為攻擊者。另外,一種網路系統亦被揭示。
Description
本揭示內容係關於一種資訊系統之安全保障方法及資訊系統,特別是關於一種網路攻擊者辨識方法及網路系統。
在資訊時代,人們透過網路所提供的服務獲得各種便利,網路在人類生活中扮演的角色甚為重要。然而現今的網路系統卻面臨著遭受諸如分散式阻斷服務攻擊(DDoS)等網路攻擊之的風險。
為應對分散式阻斷服務攻擊,一些習知技術提供移動目標防禦(moving target defense,MTD)之方案,其技術為透過不斷改變網路系統之攻擊層面(諸如用戶輸入欄位、協定、介面和服務等)而將攻擊者可攻擊的目標移動以閃避攻擊。
然而,改變網路系統之攻擊層面僅能阻止分散式阻斷服務攻擊利用殭屍電腦對網路系統傳輸異常資料流量。本身並不傳輸異常資料流量的內賊(insider)仍可在重新蒐集攻擊層面之資訊後,再次控制殭屍電腦發動分散式阻
斷服務攻擊。
在軟體定義網路(SDN)的架構下,透過網路控制器對網路交換器下達轉送規則而能夠不更動硬體配置即重新進行網路的建置(諸如網路拓樸、資源分派等)。
然而,由於缺乏統一的用於網路交換器之通訊協定,各網路交換器可能因製造商或製造年份等因素之不同而各自使用不同格式之封包,導致網路交換器在繞送封包時必需先將封包轉送至網路控制器,再由網路控制器轉送至封包之目的網路交換器。
P4(Programming Protocol-Independent Packet Processors)語言使網路控制器得以定義可用於其所連結之P4網路交換器之統一的封包格式,進而使網路交換器不再需要經過網路控制器轉送每一個封包。此特性亦給移動目標防禦帶來新的探索空間。
為解決上述習知技術尚待克服之問題,本揭示文件提出一種網路攻擊者辨識方法,應用於一網路系統,此網路攻擊者辨識方法包含下列步驟。將複數個先用虛擬網際網路協定位址指定予複數個來源網際網路協定位址;當偵測到該些先用虛擬網際網路協定位址中的至少一者之資料流量大於一閥值時,將該些來源網際網路協定位址中對應該些先用虛擬網際網路協定位址中資料流量大於該閥值者之複數個第一大流量來源網際網路協定位址標記為一先標記
群;將複數個後用虛擬網際網路協定位址指定予該些來源網際網路協定位址;當偵測到該些後用虛擬網際網路協定位址中的至少一者之資料流量大於該閥值時,將該些來源網際網路協定位址中對應該些後用虛擬網際網路協定位址中資料流量大於該閥值者之複數個第二大流量來源網際網路協定位址標記為一後標記群;以及將該些來源網際網路協定位址中同時屬於該先標記群及該後標記群之至少一個大流量來源網際網路協定位址標記為至少一個目標來源網際網路協定位址。
本揭示文件另提出一種網路系統,包含下列裝置。至少一網頁伺服器;一網域名稱伺服器,用以對應該至少一個網頁伺服器之每一者設定複數個虛擬網際網路協定位址並將該些虛擬網際網路位址中之複數個先用虛擬網際網路協定位址指定予複數個來源網際網路協定位址,該網域名稱伺服器還用以將該些虛擬網際網路位址中之複數個後用虛擬網際網路協定位址指定予複數個來源網際網路協定位址;至少一個網路交換器,用以偵測該些先用虛擬網際網路協定位址之資料流量及該些後用虛擬網際網路協定位址之資料流量是否大於一閥值;以及一網路控制器,用以於該至少一個網路交換器偵測到該些先用虛擬網際網路協定位址中的至少一者之資料流量大於一閥值時,將該些來源網際網路協定位址中對應該些先用虛擬網際網路協定位址中資料流量大於該閥值者之複數個第一大流量來源網際網路協定位址標記為一先標記群,該網路控制器還用以於該至少一
個網路交換器偵測到該些後用虛擬網際網路協定位址中的至少一者之資料流量大於該閥值時,將該些來源網際網路協定位址中對應該些後用虛擬網際網路協定位址中資料流量大於該閥值者之複數個第二大流量來源網際網路協定位址標記為一後標記群,該網路控制器還用以將該些來源網際網路協定位址中同時屬於該先標記群及該後標記群之至少一個大流量來源網際網路協定位址標記為至少一個目標來源網際網路協定位址。
100:網路系統
110:網域名稱伺服器
1210~1240:網路交換器
130:網路控制器
141、142:網頁伺服器
151~156:使用者裝置
111:虛擬網際網路協定位址指定模組
1211:流量偵測模組
130:網路控制器
131:虛擬網際網路協定位址記錄模組
132:通知模組
133:來源網際網路協定位址記錄模組
134:標記模組
135:反應模組
210:第一虛擬網際網路協定位址池
220:第二虛擬網際網路協定位址池
211~213:虛擬網際網路協定位址
300:封包格式
310:乙太網路欄位
320:MTD表頭
330:網際網路協定位址欄位
340:負載欄位
321:標記欄位
322:信用欄位
323:協定號碼欄位
400:移動目標防禦方法
S401~S402:步驟
500:網路攻擊者辨識方法
S501~S504、S511~S514:步驟
為讓本揭示內容之上述和其他目的、特徵、優點與實施例能更明顯易懂,所附圖式之說明如下:第1A圖為根據本揭示內容之一些實施例所繪示的網路系統示意圖;第1B圖為根據本揭示內容之一些實施例所繪示的如第1A圖所示之網路系統中的網域名稱伺服器、網路交換器以及網路控制器之方塊示意圖;第2圖為根據本揭示內容之一些實施例所繪示的虛擬網際網路協定位址池的示意圖;第3A圖為根據本揭示內容之一些實施例所繪示的封包格式之示意圖;第3B圖為根據本揭示內容之一些實施例所繪示的如第3A圖所示的封包格式中的本揭示內容之封包表頭之示意圖;第4圖為根據本揭示內容之一些實施例所繪示的移動目標
防禦方法之流程圖;以及第5圖為根據本揭示內容之一些實施例所繪示的網路攻擊者辨識方法之流程圖。
第1A圖繪示本揭示內容一實施例之網路系統及使用此網路系統之使用者裝置。參閱第1A圖,網域名稱伺服器110連結至網路系統100之其中一個網路交換器,在本實施例中,網域名稱伺服器110連結至網路交換器1210。在本實施例中,網路交換器1210、網路交換器1220、網路交換器1230以及網路交換器1240皆連結至網路控制器130。在本實施例中,使用者裝置151、使用者裝置152、使用者裝置153、使用者裝置154、使用者裝置155以及使用者裝置156連結至網路交換器1210,進而透過網路交換器1210、網路交換器1220、網路交換器1230以及網路交換器1240存取網頁伺服器141以及網頁伺服器142。以上說明僅為例示,並非意在限制各裝置之數目、使用者裝置與網路交換器之連結關係、網路交換器與網頁伺服器之連結關係、網域名稱伺服器與各網路交換器之間的連結關係以及各網路交換器間之連結關係。在其他實施例中,上述數目以及各連結關係亦可視情況做任意適當之改變。
需說明的是,第1B圖之相關實施例將於後文說明,請先行參閱第2圖,第2圖繪示本揭示內容之一實施例之第一虛擬網際網路協定位址池210及第二虛擬網際網路
協定位址池220。在本實施例中,第一虛擬網際網路協定位址池210及第二虛擬網際網路協定位址池220係儲存於網域名稱伺服器110中。第一虛擬網際網路協定位址池210及第二虛擬網際網路協定位址池220皆包含複數個虛擬網際網路協定位址,在本實施例中,第一虛擬網際網路協定位址池210包含虛擬網際網路協定位址211、虛擬網際網路協定位址212及虛擬網際網路協定位址213。以上說明僅為例示,並非意在限制儲存於網域名稱伺服器中之虛擬網際網路協定位址池之數目及虛擬網際網路協定位址池所包含的虛擬網際網路協定位址之數目。
參閱第1A圖及第2圖,在本揭示內容之一實施例中,當一使用者裝置連結至網路系統100以存取網路系統100中之一網頁伺服器(如網頁伺服器141、142)時,網域名稱伺服器110便會指定其所儲存之一個對應該網頁伺服器之虛擬網際網路協定位址給該使用者。舉例來說,當使用者裝置151、使用者裝置152、使用者裝置153、使用者裝置154、使用者裝置155以及使用者裝置156先後連結至網路系統100以存取網頁伺服器141時,網域名稱伺服器110可先後指定虛擬網際網路協定位址211給使用者裝置151、指定虛擬網際網路協定位址212給使用者裝置152、指定虛擬網際網路協定位址213給使者裝置153、指定虛擬網際網路協定位址211給使用者裝置154、指定虛擬網際網路協定位址212給使用者裝置155,以及指定虛擬網際網路協定位址213給使者裝置156,此時,使用者裝置151與使用者裝置
154皆使用虛擬網際網路協定位址211以透過網路系統100存取網頁伺服器141,使用者裝置152與使用者裝置155皆使用虛擬網際網路協定位址212以透過網路系統100存取網頁伺服器141,使用者裝置153與使用者裝置156皆使用虛擬網際網路協定位址213以透過網路系統100存取網頁伺服器141,且虛擬網際網路協定位址211、虛擬網際網路協定位址212及虛擬網際網路協定位址213皆對應網頁伺服器141。
在本實施例中,當網域名稱伺服器110指定其所儲存之一個對應一網頁伺服器之虛擬網際網路協定位址給一使用者時,網域名稱伺服器110同時會將該使用者、該網頁伺服器以及該虛擬網際網路協定位址之對應關係回應給網路控制器130。
參閱第3A圖,第3A圖繪示本揭示內容之一些實施例之封包格式300。如第3A圖所示,封包格式300包含乙太網路欄位310、MTD表頭320、網際網路協定位址欄位330及負載欄位340。在不同實施例中,封包格式300之各欄位的欄位長度可視情況而為任意適當之位元數。
參閱第3B圖,第3B圖繪示本揭示內容的一些實施例中MTD表頭320之詳細格式,如第3B圖所示,MTD表頭320包含標記欄位321、信用欄位322及協定號碼欄位323。在不同實施例中,MTD表頭320之各欄位的欄位長度可視情況而為任意適當之位元數。
參閱第1A圖、第3A圖及第3B圖。在本揭示內
容之一實施例中,當使用者連結至網路系統100並傳送封包至網路交換器時,網路交換器便會先將使用者所傳送封包之格式轉換成網路控制器130使用P4語言所定義之封包格式300以進行繞送。以上說明僅為例示,並非意在限制封包格式300係以何種程式語言定義,舉例來說,亦可使用任何具有通訊協定獨立性(protocol independence)之程式語言定義封包格式300。
如前所述,在一些實施例中,當網域名稱伺服器110指定其所儲存之一個對應一網頁伺服器之虛擬網際網路協定位址給一使用者時,網域名稱伺服器110同時會將該使用者、該網頁伺服器以及該虛擬網際網路協定位址之對應關係回應給網路控制器130,此時,網路控制器130便接著將該使用者所傳送之封包之MTD表頭320中之標記欄位321之值設定為0,並根據該對應關係及該使用者所傳送之封包的標記欄位321之值將對應之轉送規則寫入網路交換器1210、網路交換器1220、網路交換器1230以及網路交換器1240。經過轉送規則的寫入後,網路交換器1210、網路交換器1220、網路交換器1230以及網路交換器1240便能依據該對應關係繞送該使用者所傳送之封包,並儲存該使用者之標記欄位321之值的記錄。在本實施例中,網路交換器1210、網路交換器1220、網路交換器1230以及網路交換器1240皆使用網路控制器130以P4語言所定義之封包格式300,故在繞送的過程中不需再將封包轉送至網路控制器130。
下面參閱第1A圖、第1B圖、第2圖、第3A圖、第3B圖以及第4圖說明本揭示內容之一些實施例之移動目標防禦方法。第4圖所繪示之移動目標防禦方法400可由諸如第1A圖所繪示之網路系統100執行。
在本實施例中,在步驟S401中,當複數個使用者裝置連結至網路系統100時,網路系統100開始執行移動目標防禦方法400。舉例來說,當使用者裝置151、使者裝置152透過網路交換器1210向網域名稱伺服器110發出查詢(query)以獲取網頁伺服器141之網際網路協定位址時,網路系統100開始執行移動目標防禦方法400。
在步驟402中,網域名稱伺服器110透過網路交換器1210接收到使者裝置151及使用者裝置152之查詢後,網域名稱伺服器110辨識使用者裝置151及使用者裝置152所傳送之封包之來源網際網路協定位址,並透過虛擬網際網路協定位址指定模組111將虛擬網際網路協定位址211指定給使用者裝置151之來源網際網路協定位址,以及將虛擬網際網路協定位址212指定給使用者裝置152之來源網際網路協定位址。
如前所述,當網域名稱伺服器110將虛擬網際網路協定位址211指定給一使用者時,網域名稱伺服器110同時會將該使用者裝置、該網頁伺服器以及該虛擬網際網路協定位址之對應關係回應給網路控制器130。在本實施例中,網域名稱伺服器110透過虛擬網際網路協定位址指定模組111將使用者裝置151之來源網際網路協定位址以及虛擬
網際網路協定位址211之對應關係以及使用者裝置152之來源網際網路協定位址以及虛擬網際網路協定位址212之對應關係回應給網路控制器130之虛擬網際網路協定位址記錄模組133,並將虛擬網際網路協定位址211以及網頁伺服器141之對應關係以及虛擬網際網路協定位址212以及網頁伺服器141之對應關係回應給網路控制器130之虛擬網際網路協定位址記錄模組131。
如前所述,此時,網路控制器130便接著將該使用者所傳送之封包之MTD表頭320中之標記欄位321之值設定為0,並根據該對應關係及該使用者所傳送之封包的標記欄位321之值將對應之轉送規則寫入網路交換器1210、網路交換器1220、網路交換器1230以及網路交換器1240。在本實施例中,網路控制器130透過反應模組135將轉送規則寫入網路交換器1210、網路交換器1220、網路交換器1230以及網路交換器1240。
如前所述,經過轉送規則的寫入後,網路交換器1210、網路交換器1220、網路交換器1230以及網路交換器1240便能依據該對應關係繞送該使用者所傳送之封包。
接著,在步驟S403中,當網路交換器1210在繞送使用者裝置151及使用者裝置152所傳送之封包的過程中,透過流量偵測模組1211偵測到送往虛擬網際網路協定位址211及虛擬網際網路協定位址212中的至少一者,舉例來說,虛擬網際網路協定位址211之資料流量大於閥值時,即表示虛擬網際網路協定位址211遭受分散式阻斷服務攻
擊,於此同時,網路交換器1210透過流量偵測模組1211通知通知模組132,當通知模組132接收到流量偵測模組1211之通知時,便通知標記模組134。標記模組134將使用者裝置151所對應之標記欄位321之值設定為1,接著通知反應模組135將網路交換器1210、網路交換器1220、網路交換器1230以及網路交換器1240中對應使用者裝置151所傳送之封包之來源網際網路協定位址的轉送規則移除。透過以上操作,傳送異常資料流量之使用者裝置151便不能再對網頁伺服器141傳送封包。
在一些實施例中,流量偵測模組1211可透過網路系統100之熵值設定閥值。舉例來說,將網路來源位置、網路目的位置、網路來源埠號、網路目的埠號以及網路協定等五個參數透過Shannon熵值公式計算網路系統100之熵值。
下面參閱第1A圖、第1B圖、第2圖、第3A圖、第3B圖以及第5圖說明本揭示內容之一些實施例之網路攻擊者辨識方法。第5圖所繪示之網路攻擊者辨識方法500可由諸如第1A圖所繪示之網路系統100執行。
在本實施例中,在步驟S501中,當複數個使用者裝置連結至網路系統100時,網路系統100開始執行網路攻擊者辨識方法500。舉例來說,當使用者裝置151、使者裝置152、使用者裝置153、使者裝置154、使用者裝置155及使者裝置156透過網路交換器1210向網域名稱伺服器110發出查詢以獲取網頁伺服器141之網際網路協定位址
時,網路系統100開始執行網路攻擊者辨識方法500。
在步驟S502中,網域名稱伺服器110透過網路交換器1210接收到使用者裝置151、使者裝置152、使用者裝置153、使者裝置154、使用者裝置155及使者裝置156之查詢後,網域名稱伺服器110辨識使用者裝置151、使者裝置152、使用者裝置153、使者裝置154、使用者裝置155及使者裝置156所傳送之封包之來源網際網路協定位址,並透過虛擬網際網路協定位址指定模組111指定虛擬網際網路協定位址211給使用者裝置151之來源網際網路協定位址、指定虛擬網際網路協定位址212給使用者裝置152之來源網際網路協定位址、指定虛擬網際網路協定位址213給使者裝置153之來源網際網路協定位址、指定虛擬網際網路協定位址211給使用者裝置154之來源網際網路協定位址、指定虛擬網際網路協定位址212給使用者裝置155之來源網際網路協定位址,以及指定虛擬網際網路協定位址213給使者裝置156之來源網際網路協定位址。
接著,在步驟S503中,網路交換器1210在繞送使用者裝置151、使者裝置152、使用者裝置153、使者裝置154、使用者裝置155及使者裝置156所傳送之封包的過程中,透過流量偵測模組1211偵測到送往虛擬網際網路協定位址211、虛擬網際網路協定位址212及虛擬網際網路協定位址213之資料流量有無大於閥值。
若虛擬網際網路協定位址211、虛擬網際網路協定位址212及虛擬網際網路協定位址213的其中一者,舉
例來說,虛擬網際網路協定位址211之資料流量大於閥值時,即表示虛擬網際網路協定位址211遭受分散式阻斷服務攻擊,於此同時,網路系統100接著執行步驟S511。在步驟S511中,網路交換器1210透過流量偵測模組1211通知通知模組132,當通知模組132接收到流量偵測模組1211之通知時,便通知標記模組134。標記模組134將使用者裝置151及使用者裝置154所對應之標記欄位321之值設定為1,接著通知反應模組135將使用者裝置151及使用者裝置154所對應之標記欄位321之值為1的規則寫入網路交換器1210、網路交換器1220、網路交換器1230以及網路交換器1240中,此時使用者裝置151及使用者裝置154所傳送之封包之來源網際網路協定位址形成一先標記群。
除了使用者裝置151及使用者裝置154所對應之標記欄位321之值為1的規則外,反應模組135亦會將網路交換器1210、網路交換器1220、網路交換器1230以及網路交換器1240中對應虛擬網際網路協定位址211的轉送規則移除。
接著,網路系統100執行步驟S512。在步驟S512中,虛擬網際網路協定位址211已被移除,網域名稱伺服器110透過虛擬網際網路協定位址指定模組111指定虛擬網際網路協定位址212給使用者裝置151、指定虛擬網際網路協定位址213給使用者裝置152、指定虛擬網際網路協定位址212給使者裝置153、指定虛擬網際網路協定位址213給使用者裝置154、指定虛擬網際網路協定位址212給使用
者裝置155,以及指定虛擬網際網路協定位址213給使者裝置156。
接著,網路系統100執行步驟S513。在步驟S513中,當網路交換器1210在繞送使用者裝置151、使者裝置152、使用者裝置153、使者裝置154、使用者裝置155及使者裝置156所傳送之封包的過程中,透過流量偵測模組1211偵測到送往虛擬網際網路協定位址212及虛擬網際網路協定位址213的其中一者,舉例來說,虛擬網際網路協定位址212之資料流量大於閥值時,即表示虛擬網際網路協定位址211遭受分散式阻斷服務攻擊,於此同時,網路系統100接著執行步驟S511。
在步驟S511中,網路交換器1210透過流量偵測模組1211通知通知模組132,當通知模組132接收到流量偵測模組1211之通知時,便通知標記模組134。標記模組134將使用者裝置151之標記欄位321之值設定為2、將使用者裝置153所對應之標記欄位321之值設定為1,以及將使用者裝置155所對應之標記欄位321之值設定為1,接著通知反應模組135將使用者裝置151之標記欄位321之值為2、使用者裝置153所對應之標記欄位321之值為1以及使用者裝置155所對應之標記欄位321之值為1的規則寫入網路交換器1210、網路交換器1220、網路交換器1230以及網路交換器1240中,此時使用者裝置151、使用者裝置153以及使用者裝置155所傳送之封包之來源網際網路協定位址形成一後標記群。
除了將用者裝置151之標記欄位321之值為2、使用者裝置153所對應之標記欄位321之值為1以及使用者裝置155所對應之標記欄位321之值為1的規則外,反應模組135亦會將網路交換器1210、網路交換器1220、網路交換器1230以及網路交換器1240中對應虛擬網際網路協定位址212的轉送規則移除。
接著,網路系統100執行步驟S514。在步驟S514中,標記模組134將標記欄位321之值最高的來源網際網路協定位址,亦即同時屬於先標記群及後標記群之來源網際網路協定位址(在本實施例中為使用者裝置151之來源網際網路協定位址)之信用欄位322之設定為1,由於前後遭到分散式阻斷服務攻擊之虛擬網際網路協定位址皆為使用者裝置151之來源網際網路協定位址所獲得,可知使用者裝置151即為內賊,接著,標記模組134通知反應模組135將使用者裝置151所對應之信用欄位322之值為1的規則以及對信用欄位322為1之來源網際網路協定位址進行監控之規則寫入網路交換器1210、網路交換器1220、網路交換器1230以及網路交換器1240中。
由上述本案實施方式可知,應用本案具有下列優點。本案實施例藉由提供一種能夠辨識分散式阻斷服務攻擊之網路攻擊者辨識方法,藉以改善習知之網路防禦方法無法有效辨識分散式阻斷服務攻擊之內賊的問題。
S501、S502、S503、S504、S511、S512、S513、S514‧‧‧網路攻擊者辨識方法之步驟
Claims (10)
- 一種網路攻擊者辨識方法,應用於一網路系統,其中,該網路攻擊者辨識方法包含:將複數個先用虛擬網際網路協定位址指定予複數個來源網際網路協定位址;當偵測到該些先用虛擬網際網路協定位址中的至少一者之資料流量大於一閥值時,將該些來源網際網路協定位址中對應該些先用虛擬網際網路協定位址中資料流量大於該閥值者之複數個第一大流量來源網際網路協定位址標記為一先標記群;將複數個後用虛擬網際網路協定位址指定予該些來源網際網路協定位址;當偵測到該些後用虛擬網際網路協定位址中的至少一者之資料流量大於該閥值時,將該些來源網際網路協定位址中對應該些後用虛擬網際網路協定位址中資料流量大於該閥值者之複數個第二大流量來源網際網路協定位址標記為一後標記群;以及將該些來源網際網路協定位址中同時屬於該先標記群及該後標記群之至少一個大流量來源網際網路協定位址標記為至少一個目標來源網際網路協定位址。
- 如請求項1所述之網路攻擊者辨識方法,其中,將該複數個先用虛擬網際網路協定位址指定予該複數個來源網際網路協定位址之步驟包含: 使用P4(Programming Protocol-Independent Packet Processors)語言定義一封包表頭,並將該封包表頭置於傳送自該些來源網際網路協定位址之封包之表頭中,其中,該封包表頭包含一標記欄位及一信用欄位,其中,該標記欄位之欄位長度為至少二位元,其中,該信用欄位之欄位長度為至少一位元。
- 如請求項2所述之網路攻擊者辨識方法,其中:將該些來源網際網路協定位址中對應該些先用虛擬網際網路協定位址中資料流量大於該閥值者之該些第一大流量來源網際網路協定位址標記為該先標記群之步驟包含將傳送自該些第一大流量來源網際網路協定位址之封包之該標記欄位之數值加一;以及將該些來源網際網路協定位址中對應該些後用虛擬網際網路協定位址中資料流量大於該閥值者之該些第二大流量來源網際網路協定位址標記為該後標記群之步驟包含將傳送自該些第二大流量來源網際網路協定位址之封包之該標記欄位之數值加一。
- 如請求項2所述之網路攻擊者辨識方法,其中,將該些來源網際網路協定位址中同時屬於該先標記群及該後標記群之至少一個大流量來源網際網路協定位址標記為該至少一個目標來源網際網路協定位址之步驟包含:將傳送自該些來源網際網路協定位址中同時屬於該先 標記群及該後標記群之至少一個大流量來源網際網路協定位址之封包之該信用欄位之數值加一。
- 如請求項1所述之網路攻擊者辨識方法,更包含:依據該網路系統之一熵值而設定該閥值。
- 一種網路系統,包含:至少一個網頁伺服器;一網域名稱伺服器,用以對應該至少一個網頁伺服器之每一者設定複數個虛擬網際網路協定位址並將該些虛擬網際網路位址中之複數個先用虛擬網際網路協定位址指定予複數個來源網際網路協定位址,該網域名稱伺服器還用以將該些虛擬網際網路位址中之複數個後用虛擬網際網路協定位址指定予複數個來源網際網路協定位址;至少一個網路交換器,用以偵測該些先用虛擬網際網路協定位址之資料流量及該些後用虛擬網際網路協定位址之資料流量是否大於一閥值;以及一網路控制器,用以於該至少一個網路交換器偵測到該些先用虛擬網際網路協定位址中的至少一者之資料流量大於一閥值時,將該些來源網際網路協定位址中對應該些先用虛擬網際網路協定位址中資料流量大於該閥值者之複數個第一大流量來源網際網路協定位址標記為一先標記群,該網路控制器還用以於該至少一個網路交換器偵測到該些後用虛擬網際網路協定位址中的至少一者之資料流量 大於該閥值時,將該些來源網際網路協定位址中對應該些後用虛擬網際網路協定位址中資料流量大於該閥值者之複數個第二大流量來源網際網路協定位址標記為一後標記群,該網路控制器還用以將該些來源網際網路協定位址中同時屬於該先標記群及該後標記群之至少一個大流量來源網際網路協定位址標記為至少一個目標來源網際網路協定位址。
- 如請求項6所述之網路系統,其中,該網路控制器還用以使用P4(Programming Protocol-Independent Packet Processors)語言定義一封包表頭,並將該封包表頭置於傳送自該些來源網際網路協定位址之封包之表頭中,其中,該封包表頭包含一標記欄位及一信用欄位,其中,該標記欄位之欄位長度為至少二位元,其中,該信用欄位之欄位長度為至少一位元。
- 如請求項7所述之網路系統,其中,該網路控制器還用以將該複數個第一大流量來源網際網路協定位址所傳送之封包之該標記欄位之數值加一以將該複數個第一大流量來源網際網路協定位址標記為一先標記群,以及將該複數個第二大流量來源網際網路協定位址所傳送之封包之該標記欄位之數值加一以將該複數個第二大流量來源網際網路協定位址標記為一後標記群。
- 如請求項7所述之網路系統,其中,該網 路控制器還用以將該傳送自該些來源網際網路協定位址中同時屬於該先標記群及該後標記群之至少一個大流量來源網際網路協定位址之封包之該信用欄位之數值加一,以將該些來源網際網路協定位址中同時屬於該先標記群及該後標記群之至少一個大流量來源網際網路協定位址標記為至少一個目標來源網際網路協定位址。
- 如請求項6所述之網路系統,其中,該網路交換器還用以依據該網路系統之一熵值而設定該閥值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108113877A TWI707565B (zh) | 2019-04-19 | 2019-04-19 | 網路攻擊者辨識方法及網路系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108113877A TWI707565B (zh) | 2019-04-19 | 2019-04-19 | 網路攻擊者辨識方法及網路系統 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI707565B true TWI707565B (zh) | 2020-10-11 |
| TW202040976A TW202040976A (zh) | 2020-11-01 |
Family
ID=74091795
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW108113877A TWI707565B (zh) | 2019-04-19 | 2019-04-19 | 網路攻擊者辨識方法及網路系統 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI707565B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369897A (zh) * | 2008-07-31 | 2009-02-18 | 成都市华为赛门铁克科技有限公司 | 一种检测网络攻击的方法和设备 |
| CN1771709B (zh) * | 2003-05-30 | 2010-04-07 | 国际商业机器公司 | 用于产生网络攻击特征标记的方法和装置 |
| US20150235152A1 (en) * | 2014-02-18 | 2015-08-20 | Palo Alto Research Center Incorporated | System and method for modeling behavior change and consistency to detect malicious insiders |
| WO2016188294A1 (zh) * | 2015-05-28 | 2016-12-01 | 阿里巴巴集团控股有限公司 | 一种网络攻击处理方法和装置 |
| TWI596498B (zh) * | 2016-11-02 | 2017-08-21 | FedMR-based botnet reconnaissance method | |
| CN109150920A (zh) * | 2018-11-05 | 2019-01-04 | 南京邮电大学 | 一种基于软件定义网络的攻击检测溯源方法 |
-
2019
- 2019-04-19 TW TW108113877A patent/TWI707565B/zh active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1771709B (zh) * | 2003-05-30 | 2010-04-07 | 国际商业机器公司 | 用于产生网络攻击特征标记的方法和装置 |
| CN101369897A (zh) * | 2008-07-31 | 2009-02-18 | 成都市华为赛门铁克科技有限公司 | 一种检测网络攻击的方法和设备 |
| US20150235152A1 (en) * | 2014-02-18 | 2015-08-20 | Palo Alto Research Center Incorporated | System and method for modeling behavior change and consistency to detect malicious insiders |
| WO2016188294A1 (zh) * | 2015-05-28 | 2016-12-01 | 阿里巴巴集团控股有限公司 | 一种网络攻击处理方法和装置 |
| TWI596498B (zh) * | 2016-11-02 | 2017-08-21 | FedMR-based botnet reconnaissance method | |
| CN109150920A (zh) * | 2018-11-05 | 2019-01-04 | 南京邮电大学 | 一种基于软件定义网络的攻击检测溯源方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202040976A (zh) | 2020-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ali et al. | Detecting ddos attack on sdn due to vulnerabilities in openflow | |
| US8661544B2 (en) | Detecting botnets | |
| US10129270B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| US9288162B2 (en) | Adaptive infrastructure for distributed virtual switch | |
| JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
| US20120210416A1 (en) | Load balancing in a network with session information | |
| US20140233565A1 (en) | Systems and methods for path maximum transmission unit discovery | |
| EP3544237B1 (en) | Sdn-based remote stream mirroring control method, implementation method, and related device | |
| CN106027527B (zh) | 一种基于sdn环境的匿名通信方法 | |
| US20170237769A1 (en) | Packet transfer method and packet transfer apparatus | |
| US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
| CN112055956A (zh) | 网络安全性 | |
| US20220174072A1 (en) | Data Processing Method and Device | |
| US7362764B2 (en) | Method and apparatus for verifying service level in a communications network | |
| Ramprasath et al. | Mitigation of malicious flooding in software defined networks using dynamic access control list | |
| Khalid et al. | Efficient mechanism for securing software defined network against ARP spoofing attack | |
| US9929880B2 (en) | System and method for managing VLAN associations with network ports | |
| TWI707565B (zh) | 網路攻擊者辨識方法及網路系統 | |
| KR102683438B1 (ko) | 종단 간 통신에 보안을 제공하기 위한 장치 및 방법 | |
| US7769007B2 (en) | Method of providing multicast services in virtual private LAN | |
| Amin et al. | Edge-computing with graph computation: A novel mechanism to handle network intrusion and address spoofing in SDN | |
| US10491423B2 (en) | VLAN tag communication method by using a remote network element port and apparatus | |
| KR20170109949A (ko) | 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 | |
| US11184325B2 (en) | Application-centric enforcement for multi-tenant workloads with multi site data center fabrics | |
| JP6441721B2 (ja) | 制御装置、制御方法及びプログラム |