TWI711937B - 網路防護系統和網路防護方法 - Google Patents
網路防護系統和網路防護方法 Download PDFInfo
- Publication number
- TWI711937B TWI711937B TW108143528A TW108143528A TWI711937B TW I711937 B TWI711937 B TW I711937B TW 108143528 A TW108143528 A TW 108143528A TW 108143528 A TW108143528 A TW 108143528A TW I711937 B TWI711937 B TW I711937B
- Authority
- TW
- Taiwan
- Prior art keywords
- authentication
- network
- network protection
- terminal device
- protection system
- Prior art date
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供一種網路防護系統和網路防護方法。網路防護方法包含:監聽網路層;自終端裝置接收認證封包;響應於在網路層接收到認證封包而存取認證封包中的認證資訊;根據認證資訊在網路層進行認證程序;以及響應於認證程序成功而建立終端裝置與伺服器之間的網路連線。
Description
本發明是有關於一種系統和方法,且特別是有關於一種網路防護系統和網路防護方法。
隨著資訊科技的發展,通過網路提供給企業各種類型之資訊系統以服務企業是非常普及的作法。然而,具有連網功能的資訊系統將非常容易受到來自外部的攻擊。以往為了防止惡意程式攻擊資訊系統,會依靠防火牆系統進行防範,但防火牆系統僅能進行網路連線管理,而無法有效地禁止惡意的連線行為。因此,一旦遭遇到諸如分散式阻絕服務(distributed denial of service,DDoS)等類型的攻擊,或資訊系統出現零時差漏洞(zero day)等重大的瑕疵,則有可能讓駭客滲透進資訊系統與其主機,或可能阻斷由資訊系統提供給企業的服務。
本發明提供一種網路防護系統和網路防護方法,可使所防護的伺服器匿蹤,以防止惡意的連線行為。
本發明的一種網路防護系統,適用於終端裝置和伺服器。網路防護系統包括:處理器、儲存媒體以及收發器。收發器通訊連接至終端裝置和伺服器。儲存媒體儲存多個模組。處理器耦接儲存媒體和收發器,並且存取和執行多個模組,其中多個模組包括認證模組以及網路防護模組。認證模組通過收發器自終端裝置接收認證封包。網路防護模組監聽網路層,響應於收發器在網路層接收到認證封包而存取認證封包中的認證資訊,根據認證資訊在網路層進行認證程序,以及響應於認證程序成功而建立終端裝置與伺服器之間的網路連線。
在本發明的一實施例中,上述的多個模組更包括資料庫。資料庫儲存使用者資訊,其中網路防護模組基於認證資訊和使用者資訊相匹配而判斷認證程序成功。
在本發明的一實施例中,上述的網路防護模組通過收發器傳送認證資訊至多個外部運算裝置,藉以通過多個外部外部運算裝置進行認證程序。
在本發明的一實施例中,上述的多個模組更包括異常行為監控模組。異常行為監控模組在網路連線建立後,監聽網路連線以判斷網路連線是否發生異常或攻擊行為。
在本發明的一實施例中,上述的網路防護模組響應於網路連線發生異常或攻擊行為而禁用網路連線。
在本發明的一實施例中,上述的網路防護模組在認證程序成功之前禁止收發器傳送資料給終端裝置。
在本發明的一實施例中,上述的認證模組通過收發器傳送推播訊息至終端裝置以從終端裝置接收對應於推播訊息的認證封包。
在本發明的一實施例中,上述的認證資訊包括使用者金鑰及生物特徵的至少其中之一。
本發明的一種網路防護方法,適用於終端裝置和伺服器,包括:監聽網路層;自終端裝置接收認證封包;響應於在網路層接收到認證封包而存取認證封包中的認證資訊;根據認證資訊在網路層進行認證程序;以及響應於認證程序成功而建立終端裝置與伺服器之間的網路連線。
基於上述,本發明可在網路層(network layer)執行認證封包傳輸以及認證程序。相較於以應用層(application layer)進行認證程序,本發明可在尚未完成認證程序前禁止伺服器與任何外部設備進行連線,進而避免伺服器遭受到如DDoS等基於惡意連線的攻擊行為。
圖1根據本發明的實施例繪示一種網路防護系統100的示意圖,其中網路防護系統100用於防護伺服器免於受到外部的惡意攻擊行為。網路防護系統100可包括處理器110、儲存媒體120以及收發器130。
處理器110例如是中央處理單元(central processing unit,CPU),或是其他可程式化之一般用途或特殊用途的微控制單元(micro control unit,MCU)、微處理器(microprocessor)、數位信號處理器(digital signal processor,DSP)、可程式化控制器、特殊應用積體電路(application specific integrated circuit,ASIC)、圖形處理器(graphics processing unit,GPU)、算數邏輯單元(arithmetic logic unit,ALU)、複雜可程式邏輯裝置(complex programmable logic device,CPLD)、現場可程式化邏輯閘陣列(field programmable gate array,FPGA)或其他類似元件或上述元件的組合。處理器110可耦接至儲存媒體120以及收發器130,並且存取和執行儲存於儲存媒體120中的多個模組和各種應用程式。
儲存媒體120例如是任何型態的固定式或可移動式的隨機存取記憶體(random access memory,RAM)、唯讀記憶體(read-only memory,ROM)、快閃記憶體(flash memory)、硬碟(hard disk drive,HDD)、固態硬碟(solid state drive,SSD)或類似元件或上述元件的組合,而用於儲存可由處理器110執行的多個模組或各種應用程式。在本實施例中,儲存媒體120可儲存包括認證模組121、網路防護模組122、異常行為監控模組123以及資料庫124等多個模組,其功能將於後續說明。
收發器130以無線或有線的方式傳送及接收訊號。收發器130還可以執行例如低噪聲放大、阻抗匹配、混頻、向上或向下頻率轉換、濾波、放大以及類似的操作。
圖2根據本發明的實施例繪示利用網路防護系統100對伺服器300進行防護的示意圖。網路防護系統100可通過收發器130通訊連接至終端裝置200和伺服器300。在一實施例中,網路防護系統100還可通過收發器130通訊連接至多個外部運算裝置400。值得注意的是,在本實施例中的終端裝置200和伺服器300的數量各為一個,但本發明不限於此。舉例來說,終端裝置200或伺服器300的數量可例如是任意的正整數。
網路防護系統100可對終端裝置200進行認證,並建立通過認證的終端裝置200與伺服器300之間的網路連線。具體來說,網路防護系統100的認證模組121可通過收發器130接收來自終端裝置200的認證封包。認證封包包括提供給網路防護系統100以進行對終端裝置200的認證程序的認證資訊。此外,認證封包可包括對應於伺服器300的存取請求。認證模組121可根據認證封包判斷終端裝置200所要存取的伺服器(即:伺服器300)。
在一實施例中,認證封包的發送可由網路防護系統100所觸發。舉例來說,認證模組121可通過收發器130傳送推播訊息至終端裝置200以指示終端裝置200發送認證封包。接著,認證模組121可通過收發器130自終端裝置200接收認證封包。
網路防護模組122可對網路層進行監聽。若認證模組121通過收發器130在網路層接收到來自終端裝置200的認證封包,則網路防護模組122可存取認證封包中的認證資訊,並且根據認證資訊在網路層進行認證程序。
在完成終端裝置200的認證程序之前,終端裝置200與伺服器300之間並不存在任何的網路連線,亦即,網路防護系統100可避免伺服器300被任何未通過認證的外部裝置存取,從而使伺服器300達到匿蹤的效果。此外,在完成終端裝置200的認證程序之前,終端裝置200與網路防護系統100之間的資料傳輸是單性的(由終端裝置200傳送至網路防護系統100)。網路防護系統100可禁止收發器130傳任何的資料給終端裝置200,直到完成終端裝置200的認證程序為止。
認證資訊可包括使用者金鑰及/或生物特徵等資訊。生物特徵例如為指紋、聲紋、面容或虹膜等,本發明不限於此。資料庫124可儲存對應於終端裝置200的使用者資訊。當要進行終端裝置200的認證程序時,網路防護模組122可比對來自終端裝置200的認證資訊以及儲存於資料庫124中的使用者資訊。若認證資訊與使用者資訊相匹配,則網路防護模組122可判斷終端裝置200的認證程序成功。
在一實施例中,處理器110可在網路防護系統100發生異常時將資料庫124中的使用者資訊刪除,以保護使用者的資訊。
在一實施例中,使用者資訊可儲存於多個外部運算裝置400之中,並且網路防護模組122可將終端裝置200的認證程序移交給多個外部運算裝置400執行。具體來說,網路防護模組122可通過收發器130將認證資訊轉發給多個外部運算裝置400,藉以通過多個外部運算裝置400進行終端裝置200的認證程序。據此,網路防護系統100的運算力負載可被分散到多個外部運算裝置400,並可加速認證程序之執行。
在終端裝置200的認證程序成功之後,網路防護模組122可建立終端裝置200與伺服器300之間的網路連線。具體來說,在初始時,伺服器300對外的所有權限通道都是關閉的以防止遭到探測掃描或試誤攻擊。在終端裝置200的認證程序成功之後,網路防護模組122可根據接收自終端裝置200的認證封包中的存取請求命令伺服器300開啟特定的權限通道,並且基於該特定權限通道建立終端裝置200與伺服器300之間的網路連線。
在終端裝置200與伺服器300之間的網路連線成功建立之後,網路防護系統100可持續地監控該網路連線的安全性。具體來說,異常行為監控模組123可在網路連線建立後監聽該網路連線,藉以判斷該網路連線是否發生異常或攻擊行為。若該網路連線發生了異常或攻擊行為,則網路防護模組122可禁用該網路連線。
圖3根據本發明的實施例繪示一種網路防護方法的流程圖,其中該網路防護方法可由如圖1所示的網路防護系統100實施。在步驟S301中,監聽網路層。在步驟S302中,自終端裝置接收認證封包。在步驟S303中,響應於在網路層接收到認證封包而存取認證封包中的認證資訊。在步驟S304中,根據認證資訊在網路層進行認證程序。在步驟S305中,響應於認證程序成功而建立終端裝置與伺服器之間的網路連線。
綜上所述,本發明具有以下之特點及功效:本發明之終端裝置在未經認證成功前,網路防護模組會完全阻斷伺服器與終端裝置之間的連線行為,達到匿蹤防護企業的伺服器之效果,使惡意攻擊者無法找到目標進行攻擊;本發明之網路防護系統於網路層過濾特定網路封包以進行認證,可避免為了開通用於進行認證的連線而將伺服器曝露於外;本發明之網路防護系統使用使用者金鑰做為使用者的身份識別,並可額外加上生物資訊識別的認證機制;本發明之網路防護系統在使用者完成認證流程後,會控制伺服器開啟可透過特定權限存取的通道,以執行終端裝置的連線請求;本發明之網路防護系統可控管及分析使用者的連線行為,以偵測異常連線或惡意的攻擊行為;以及本發明之網路防護系統集中控管終端裝置以及伺服器,並可藉由分散式的認證機制以減輕網路防護系統的運算負擔。
100:網路防護系統
110:處理器
120:儲存媒體
121:認證模組
122:網路防護模組
123:異常行為監控模組
124:資料庫
130:收發器
200:終端裝置
300:伺服器
400:多個外部運算裝置
S301、S302、S303、S304、S305:步驟
圖1根據本發明的實施例繪示一種網路防護系統的示意圖。
圖2根據本發明的實施例繪示利用網路防護系統對伺服器進行防護的示意圖。
圖3根據本發明的實施例繪示一種網路防護方法的流程圖。
S301、S302、S303、S304、S305:步驟
Claims (9)
- 一種網路防護系統,適用於終端裝置和伺服器,包括: 收發器,通訊連接至所述終端裝置和所述伺服器; 儲存媒體,儲存多個模組;以及 處理器,耦接所述儲存媒體和收發器,並且存取和執行所述多個模組,其中所述多個模組包括: 認證模組,通過所述收發器自所述終端裝置接收認證封包;以及 網路防護模組,監聽網路層,響應於所述收發器在所述網路層接收到所述認證封包而存取所述認證封包中的認證資訊,根據所述認證資訊在所述網路層進行認證程序,以及響應於所述認證程序成功而建立所述終端裝置與所述伺服器之間的網路連線。
- 如申請專利範圍第1項所述的網路防護系統,其中所述多個模組更包括: 資料庫,儲存使用者資訊,其中所述網路防護模組基於所述認證資訊和所述使用者資訊相匹配而判斷所述認證程序成功。
- 如申請專利範圍第1項所述的網路防護系統,其中所述網路防護模組通過所述收發器傳送所述認證資訊至多個外部運算裝置,藉以通過所述多個外部運算裝置進行所述認證程序。
- 如申請專利範圍第1項所述的網路防護系統,其中所述多個模組更包括: 異常行為監控模組,在所述網路連線建立後,監聽所述網路連線以判斷所述網路連線是否發生異常或攻擊行為。
- 如申請專利範圍第4項所述的網路防護系統,其中所述網路防護模組響應於所述網路連線發生所述異常或所述攻擊行為而禁用所述網路連線。
- 如申請專利範圍第1項所述的網路防護系統,其中所述網路防護模組在所述認證程序成功之前禁止所述收發器傳送資料給所述終端裝置。
- 如申請專利範圍第1項所述的網路防護系統,其中所述認證模組通過所述收發器傳送推播訊息至所述終端裝置以從所述終端裝置接收對應於所述推播訊息的所述認證封包。
- 如申請專利範圍第1項所述的網路防護系統,其中所述認證資訊包括使用者金鑰及生物特徵的至少其中之一。
- 一種網路防護方法,適用於終端裝置和伺服器,包括: 監聽網路層; 自所述終端裝置接收認證封包; 響應於在所述網路層接收到所述認證封包而存取所述認證封包中的認證資訊; 根據所述認證資訊在所述網路層進行認證程序;以及 響應於所述認證程序成功而建立所述終端裝置與所述伺服器之間的網路連線。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108143528A TWI711937B (zh) | 2019-11-29 | 2019-11-29 | 網路防護系統和網路防護方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108143528A TWI711937B (zh) | 2019-11-29 | 2019-11-29 | 網路防護系統和網路防護方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI711937B true TWI711937B (zh) | 2020-12-01 |
| TW202121213A TW202121213A (zh) | 2021-06-01 |
Family
ID=74669835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW108143528A TWI711937B (zh) | 2019-11-29 | 2019-11-29 | 網路防護系統和網路防護方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI711937B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWM461117U (zh) * | 2013-01-21 | 2013-09-01 | Far Eastone Telecomm Co Ltd | 物聯物服務雲端系統 |
| CN103813312A (zh) * | 2014-03-06 | 2014-05-21 | 北京交通大学 | 一种传感器网络中提高通信安全的方法 |
| TW201811087A (zh) * | 2016-06-14 | 2018-03-16 | 阿里巴巴集團服務有限公司 | 連接建立方法、裝置和設備 |
-
2019
- 2019-11-29 TW TW108143528A patent/TWI711937B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWM461117U (zh) * | 2013-01-21 | 2013-09-01 | Far Eastone Telecomm Co Ltd | 物聯物服務雲端系統 |
| CN103813312A (zh) * | 2014-03-06 | 2014-05-21 | 北京交通大学 | 一种传感器网络中提高通信安全的方法 |
| TW201811087A (zh) * | 2016-06-14 | 2018-03-16 | 阿里巴巴集團服務有限公司 | 連接建立方法、裝置和設備 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202121213A (zh) | 2021-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10110585B2 (en) | Multi-party authentication in a zero-trust distributed system | |
| US20140033310A1 (en) | System and Method of Active Remediation and Passive Protection Against Cyber Attacks | |
| US20220210173A1 (en) | Contextual zero trust network access (ztna) based on dynamic security posture insights | |
| US9680849B2 (en) | Rootkit detection by using hardware resources to detect inconsistencies in network traffic | |
| JP6432210B2 (ja) | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム | |
| CN107547494B (zh) | 用于安全在线认证的系统和方法 | |
| CN108809970B (zh) | 一种智能家居安全网关的安全防护方法 | |
| US10867048B2 (en) | Dynamic security module server device and method of operating same | |
| US20070294759A1 (en) | Wireless network control and protection system | |
| WO2023159994A1 (zh) | 一种运维处理方法和终端设备 | |
| Kumar et al. | DDOS prevention in IoT | |
| WO2017053582A1 (en) | Secure communication between a virtual smartcard enclave and a trusted i/o enclave | |
| WO2009140889A1 (zh) | 一种数据传输控制方法以及数据传输控制装置 | |
| WO2022088633A1 (zh) | 横向渗透防护方法、装置、设备及存储介质 | |
| CN115883170A (zh) | 网络流量数据监测分析方法、装置及电子设备及存储介质 | |
| US12120149B2 (en) | Lateral movement facilitation of malicious attacks using honeypots | |
| CN116418538A (zh) | 单包授权的状态检测方法、终端设备及存储介质 | |
| US7594268B1 (en) | Preventing network discovery of a system services configuration | |
| US8763121B2 (en) | Mitigating multiple advanced evasion technique attacks | |
| Thomas | Introductory chapter: Computer security threats | |
| CN116015977B (zh) | 一种用于物联网设备的网络访问控制方法及系统 | |
| TWI711937B (zh) | 網路防護系統和網路防護方法 | |
| KR100737518B1 (ko) | 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법 | |
| US20160149933A1 (en) | Collaborative network security | |
| CN116545659A (zh) | 一种单包授权认证方法、装置、服务端和存储介质 |