TWI736456B - 異常封包偵測裝置及方法 - Google Patents

異常封包偵測裝置及方法 Download PDF

Info

Publication number
TWI736456B
TWI736456B TW109137275A TW109137275A TWI736456B TW I736456 B TWI736456 B TW I736456B TW 109137275 A TW109137275 A TW 109137275A TW 109137275 A TW109137275 A TW 109137275A TW I736456 B TWI736456 B TW I736456B
Authority
TW
Taiwan
Prior art keywords
packet
historical
legal
statistical data
abnormal
Prior art date
Application number
TW109137275A
Other languages
English (en)
Other versions
TW202218381A (zh
Inventor
鄒育庭
黃鼎傑
林志達
楊明軒
李美玲
永發 馬
毛志方
Original Assignee
財團法人資訊工業策進會
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人資訊工業策進會 filed Critical 財團法人資訊工業策進會
Priority to TW109137275A priority Critical patent/TWI736456B/zh
Priority to CN202011237556.4A priority patent/CN114513323A/zh
Priority to US17/102,209 priority patent/US11425094B2/en
Application granted granted Critical
Publication of TWI736456B publication Critical patent/TWI736456B/zh
Publication of TW202218381A publication Critical patent/TW202218381A/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一種異常封包偵測裝置及方法。該異常封包偵測裝置儲存對應至一協定埠的一白名單,且該白名單包含至少一合法封包記錄。各合法封包記錄包含一合法封包長度、一合法來源位址及一合法變動位置集合且對應至一參考封包。該異常封包偵測裝置判斷一待分析封包的當前封包長度與當前來源位址分別與該至少一合法封包記錄中的一參考封包記錄所包含的合法封包長度與來源位址相同,藉由比對待分析封包與參考封包記錄所對應的參考封包以確認待分析封包的當前變動位置,且將當前變動位置與參考封包記錄所對應的合法變動位置集合比對以產生一偵測結果。

Description

異常封包偵測裝置及方法
本發明係關於一種異常封包偵測裝置及方法。具體而言,本發明係關於一種能為不同通訊協定個別地建立一白名單並據以進行異常封包偵測的裝置及方法。
目前已是萬物聯網的時代,不論是國家的基礎設施或是製造業的作業設備皆已連網,且透過工業控制系統進行管理和控制。若工業控制環境(亦即,工業控制系統與其控管的基礎設施或/及作業設備所在的網路環境)遭受資安攻擊(例如:惡意軟體的入侵),將造成難以計數甚至是無法彌補的損失。因此,工業控制環境必須安裝入侵檢測系統(Intrusion Detection System)以便及時地或/及即時地監測工業控制環境是否正常運行。
工業控制系統所使用的通訊協定(下稱「工業控制協定」)必須符合開放式通訊系統互連(Open System Interconnection;OSI)模型。習知的入侵檢測系統主要是檢測工業控制協定的第2層及第5-7層的封包內容。若有不同的工業控制協定,使用者必須了解這些不同的工業控制協定,再針對不同的工業控制協定分析出對應的協定分析模組使入侵檢測系統據以運作。習知的入侵檢測系統在遇到未知的工業控制協定時無法逆向處理,導致產生許多的誤判。
有鑑於此,本領域仍亟需一種能以非人為的方式分析未知通訊協定(例如:未知的工業控制協定)的特性且能及時地偵測出網路環境中的攻擊事件(例如:惡意軟體的入侵)的技術。
為解決上述的技術問題,本發明提供一種異常封包偵測裝置及方法,其能以非人為的方式分析未知通訊協定的特性且能及時地偵測出網路環境中的攻擊事件的異常封包偵測裝置及方法。
本發明所提供的異常封包偵測裝置包含一儲存器、一收發介面及一處理器,其中該處理器電性連接至該儲存器及該收發介面。該儲存器儲存對應至一協定埠的一白名單,且該白名單包含至少一合法封包記錄。各該至少一合法封包記錄包含一合法封包長度、一合法來源位址以及一合法變動位置集合,且各該至少一合法封包記錄對應至一參考封包。該收發介面接收該協定埠的一待分析封包。該處理器判斷該待分析封包的一當前封包長度以及一當前來源位址分別與該至少一合法封包記錄中的一參考封包記錄所包含的該合法封包長度及該來源位址相同。該處理器藉由比對該待分析封包與該參考封包記錄所對應的該參考封包以確認該待分析封包的一當前變動位置。該處理器將該當前變動位置與該參考封包記錄所包含的該合法變動位置集合比對以產生一第一偵測結果。
本發明所提供的某些異常封包偵測裝置,其白名單所包含的各該至少一合法封包記錄所包含的該合法變動位置集合包含至少一位元組位置。該第一偵測結果可為該當前變動位置並非該參考封包記錄所包含的該合法變動位置集合所包含的該至少一位元組位置其中之一。該收發介面還傳送一示警訊號。
本發明所提供的某些異常封包偵測裝置,其白名單所包含的各該至少一合法封包記錄所包含的該合法變動位置集合包含至少一位元組位置,且各該至少一位元組位置對應至一合法出現值集合。該第一偵測結果為該當前變動位置為該參考封包記錄所包含的該合法變動位置集合所包含的該至少一位元組位置其中之一。該處理器還根據該當前變動位置從該至少一合法出現值集合找出一參考出現值集合,且該處理器還將該待分析封包於該當前變動位置的一當前出現值與該參考出現值集合比對以產生一第二偵測結果。
本發明所提供的異常封包偵測方法適用於一電子計算裝置。該電子計算裝置儲存對應至一協定埠的一白名單,且該白名單包含至少一合法封包記錄。各該至少一合法封包記錄包含一合法封包長度、一合法來源位址以及一合法變動位置集合,且各該至少一合法封包記錄對應至一參考封包。該異常封包偵測方法包含下列步驟:(a)接收該協定埠的一待分析封包,(b)判斷該待分析封包的一當前封包長度以及一當前來源位址分別與該至少一合法封包記錄中的一參考封包記錄所包含的該合法封包長度及該來源位址相同,(c)藉由比對該待分析封包與該參考封包記錄所對應的該參考封包以確認該待分析封包的一當前變動位置,以及(d)將該當前變動位置與該參考封包記錄所包含的該合法變動位置集合比對以產生一第一偵測結果。
本發明所提供的某些異常封包偵測方法,其白名單所包含的各該至少一合法封包記錄所包含的該合法變動位置集合包含至少一位元組位置。該第一偵測結果為該當前變動位置並非該參考封包記錄所包含的該合法變動位置集合所包含的該至少一位元組位置其中之一。該異常封包偵測方法還包含一步驟以傳送一示警訊號。
本發明所提供的某些異常封包偵測方法,其白名單所包含的各該至少一合法封包記錄所包含的該合法變動位置集合包含至少一位元組位置,且各該至少一位元組位置對應至一合法出現值集合。該第一偵測結果為該當前變動位置為該參考封包記錄所包含的該合法變動位置集合所包含的該至少一位元組位置其中之一。該異常封包偵測方法還包含一步驟以根據該當前變動位置從該至少一合法出現值集合找出一參考出現值集合,且包含另一步驟以將該第一待分析封包於該當前變動位置的一當前出現值與該參考出現值集合比對以產生一第二偵測結果。
本發明所提供的異常封包偵測技術(至少包含裝置及方法)可針對不同的協定埠的歷史封包進行統計分析以產生不同的協定埠的白名單。具體而言,一協定埠的白名單包含至少一合法封包記錄,其中各該至少一合法封包記錄包含一合法封包長度、一合法來源位址以及一合法變動位置集合,且各該至少一合法封包記錄對應至一參考封包。此外,一協定埠的白名單所包含的各該至少一合法封包記錄所包含的該合法變動位置集合可包含至少一位元組位置,且各該至少一位元組位置對應至一合法出現值集合。本發明所提供的異常封包偵測技術在接收到某一協定埠的一待分析封包後,可將該待分析封包與該協定埠的該白名單比對,便能從封包長度、來源位址及變動位置等角度,甚至還能從變動位置的出現值此一角度來判斷該待分析封包是否異常。
本發明所提供的異常封包偵測技術係針對不同協定埠的歷史封包進行統計分析以產生不同協定埠的白名單。由於不同的通訊協定係使用不同的協定埠,因此亦可以理解為本發明所提供的異常封包偵測技術係針對不同通訊協定的歷史封包進行統計分析以產生不同通訊協定的白名單。因此,採用本發明所提供的異常封包偵測技術,使用者便不需了解不同通訊協定的內容。即使有未知的通訊協定,本發明所提供的異常封包偵測技術仍能產生對應的白名單以及時地或/及即時地偵測出網路環境中的攻擊事件。
以下結合圖式闡述本發明的詳細技術及實施方式,俾使本發明所屬技術領域中具有通常知識者能理解所請求保護的發明的技術特徵。
以下將透過實施方式來解釋本發明所提供的異常封包偵測裝置及方法。然而,該等實施方式並非用以限制本發明需在如該等實施方式所述的任何環境、應用或方式方能實施。因此,關於以下實施方式的說明僅在於闡釋本發明的目的,而非用以限制本發明的範圍。應理解,在以下實施方式及圖式中,與本發明非直接相關的元件已省略而未繪示。此外,圖式中各元件的尺寸以及元件間的尺寸比例僅為便於繪示及說明,而非用以限制本發明的範圍。
本發明的第一實施方式為一異常封包偵測裝置1,其架構示意圖係描繪於第1A圖。異常封包偵測裝置1包含一儲存器11、一收發介面13及一處理器15,且處理器15電性連接至儲存器11及收發介面13。儲存器11可為一記憶體、一通用串列匯流排(Universal Serial Bus;USB)碟、一隨身碟、一光碟(Compact Disk;CD)、一數位多工光碟(Digital Versatile Disc;DVD)、一硬碟(Hard Disk Drive;HDD)或本發明所屬技術領域中具有通常知識者所知的任何其他具有相同功能的非暫態儲存媒體或裝置。收發介面13可為本發明所屬技術領域中具有通常知識者所知的一有線傳輸介面或一無線傳輸介面,其係用於連接至一網路(例如:一網際網路、一區域網路)且可在該網路收送訊號及資料。處理器15可為各種處理器、中央處理單元(Central Processing Unit;CPU)、微處理器(Microprocessor Unit;MPU)、數位訊號處理器(Digital Signal Processor;DSP)或本發明所屬技術領域中具有通常知識者所知悉的其他計算裝置。
異常封包偵測裝置1可被設置於一網路環境,且該網路環境中可包含複數個聯網設備。舉例而言,異常封包偵測裝置1可設置於一工業控制環境,且該工業控制環境中包含複數個作業設備,例如:人機介面(Human Machine Interface;HMI)、可程式邏輯控制器(Programmable Logic Controller;PLC)。在該網路環境中,聯網設備之間可使用一或多種通訊協定溝通。
於本實施方式中,儲存器11儲存一白名單10,且白名單10對應至一協定埠(例如:使用埠號44818的協定埠)。由於不同的通訊協定會使用不同的協定埠,因此亦可理解為白名單10對應至某一通訊協定。需說明者,本發明未限制儲存器11所儲存的白名單的數目;換言之,儲存器11亦可儲存複數個白名單,且不同的白名單對應至不同的協定埠(亦即,不同的白名單對應至不同的通訊協定)。
請參第1B圖所示的白名單10的一具體範例。該具體範例將用於後續的說明,而非用以限制本發明的範圍。白名單10包含複數筆合法封包記錄10a、……、10b。合法封包記錄10a、……、10b各自包含一合法封包長度、一合法來源位址、一合法變動位置集合以及至少一合法出現值集合,且合法封包記錄10a、……、10b各自對應至一參考封包(未繪示)。由於各該參考封包所對應的合法封包記錄包含一合法封包長度,因此各該參考封包係作為具有相同封包長度的封包的比對基準(容後說明)。需說明者,本發明未限制一白名單所包含的合法封包記錄的筆數,亦即可為一筆或多筆。此外,在某些實施方式中,一白名單所包含的各筆合法封包記錄可不包含至少一合法出現值集合。
於本實施方式中,合法封包記錄10a、……、10b各自所包含的合法來源位址包含一網際網路位址與一媒體存取控制位址。於其他實施方式中,異常封包偵測裝置1則可採用其他能辨識出一網路環境中不同聯網設備的位址作為一合法來源位址。另外,合法封包記錄10a、……、10b各自所包含的合法變動位置集合包含至少一位元組位置(亦即,值可變動的位元組位置),且各該至少一位元組位置對應至一合法出現值集合(亦即,在某一位元組位置被視為合法的值)。舉例而言,合法封包記錄10a的合法變動位置集合包含二個位元組位置(亦即,第49個位元組位置與第54個位元組位置),代表封包長度為56個位元組的封包在該二個位元組位置是可變動的。此外,合法封包記錄10a的合法變動位置集合所包含的該二個位元組位置各自對應至一合法出現值集合(亦即,第49個位元組位置對應至合法出現值集合{115, 139},且第54個位元組位置對應至合法出現值集合{9, 10, 5, 8}),代表封包長度為56個位元組的封包在第49個位元組位置可出現的值為115及139,且在第54個位元組位置可出現的值為5、8、9及10。
異常封包偵測裝置1可透過該網路環境中的一交換器或一集線器的鏡像埠(Mirror port)監聽該網路環境的所有封包,收發介面13可接收所有監聽到的封包。異常封包偵測裝置1可利用白名單10來判斷監聽到的任一封包是否異常。茲假設收發介面13接收到一待分析封包12(亦即,所監聽到的封包其中之一)。處理器15藉由讀取待分析封包12所包含的埠號(例如:44818)而確認待分析封包12對應至某一協定埠,因而將待分析封包12與該協定埠所對應的白名單10的內容比對。以下將詳述異常封包偵測裝置1如何利用白名單10來判斷待分析封包12是否異常。
具體而言,待分析封包12具有一封包長度(稱之為「當前封包長度」)且記錄一來源位址(稱之為「當前來源位址」)。處理器15判斷待分析封包12的當前封包長度以及當前來源位址是否分別與合法封包記錄10a、……、10b中的某一筆所包含的合法封包長度及合法來源位址相同。若處理器15判斷白名單10中沒有一筆合法封包記錄的合法封包長度及合法來源位址分別與待分析封包12的當前封包長度以及當前來源位址相同,則處理器15判斷待分析封包12為異常封包,且收發介面13會因應地傳送一示警訊號20。若處理器15判斷待分析封包12的當前封包長度以及當前來源位址分別與合法封包記錄10a、……、10b中的某一筆(稱之為「參考封包記錄」)所包含的合法封包長度及合法來源位址相同,則處理器15會進一步地從待分析封包12的當前變動位置來分析其是否異常。
現說明處理器15如何從待分析封包12的當前變動位置來分析其是否異常。茲假設處理器15從白名單10中找到一參考封包記錄(例如:合法封包記錄10a)的合法封包長度及合法來源位址分別與待分析封包12的當前封包長度以及當前來源位址相同。處理器15進一步地比對待分析封包12與參考封包記錄所對應的參考封包,藉此確認待分析封包12的當前變動位置(未繪示)。具體而言,待分析封包12與參考封包各自包含多個位元組位置,處理器15係比對待分析封包12與參考封包有哪一或哪些位元組位置的值不同,值不同的那一或那些位元組位置即為待分析封包12的一或多個當前變動位置。處理器15再將待分析封包12的各當前變動位置與參考封包記錄所包含的合法變動位置集合比對以產生一第一偵測結果。
在某些情況下(視待分析封包12的內容而定),該第一偵測結果為待分析封包12的某一當前變動位置並非參考封包記錄所包含的合法變動位置集合所包含的該至少一位元組位置其中之一。舉例而言,若參考封包記錄為合法封包記錄10a且待分析封包12的當前變動位置為第50個位元組位置,則此當前變動位置並非參考封包記錄所包含的合法變動位置集合所包含的該等位元組位置其中之一(亦即,非第49個位元組位置,且非第54個位元組位置)。針對這樣的第一偵測結果,處理器15會將待分析封包12視為異常封包,且收發介面13會因應地傳送一示警訊號20。
在某些情況下(視待分析封包12的內容而定),該第一偵測結果為待分析封包12的各當前變動位置為參考封包記錄所包含的合法變動位置集合所包含的該至少一位元組位置其中之一。舉例而言,若參考封包記錄為合法封包記錄10a且待分析封包12的唯一的當前變動位置為第49個位元組位置,則此當前變動位置為參考封包記錄所包含的合法變動位置集合所包含的該等位元組位置其中之一。針對這樣的第一偵測結果,處理器15會進一步地從待分析封包12的當前變動位置的當前出現值來分析其是否異常。
現說明處理器15如何從待分析封包12的當前變動位置的當前出現值來分析其是否異常。為便於後續說明,茲假設待分析封包12只有一個當前變動位置。但應理解,若待分析封包12有多個當前變動位置,處理器15會針對待分析封包12的各當前變動位置分別進行判斷。具體而言,處理器15根據待分析封包12的當前變動位置從參考封包記錄所包含的至少一合法出現值集合找出一參考出現值集合。參考出現值集合包含複數個合法出現值。處理器15再將待分析封包12於當前變動位置的當前出現值與該參考出現值集合比對以產生一第二偵測結果。
在某些情況下(視待分析封包12的內容而定),該第二偵測結果為待分析封包12於當前變動位置的當前出現值並非該參考出現值集合所包含的該等合法出現值其中之一。舉例而言,若參考封包記錄為合法封包記錄10a、待分析封包12的當前變動位置為第49個位元組位置,且當前變動位置的當前出現值為35,則處理器15根據當前變動位置找出參考出現值集合(亦即,{115, 139}),且處理器15判斷此當前出現值並非參考出現值集合所包含的合法出現值其中之一。針對這樣的第二偵測結果,處理器15會將待分析封包12視為異常封包,且收發介面13會因應地傳送一示警訊號20。
在某些情況下(視待分析封包12的內容而定),該第二偵測結果為待分析封包12於當前變動位置的當前出現值為該參考出現值集合所包含的該等合法出現值其中之一。舉例而言,若參考封包記錄為合法封包記錄10a、待分析封包12的唯一的當前變動位置為第49個位元組位置,且當前變動位置的當前出現值為115,則處理器15根據當前變動位置找出參考出現值集合(亦即,{115, 139}),且處理器15判斷此當前出現值為參考出現值集合所包含的合法出現值其中之一。針對這樣的第二偵測結果,處理器15會將待分析封包12視為正常封包。
如前所述,在某些實施方式中,一白名單所包含的各筆合法封包記錄可不包含至少一合法出現值集合。於該等實施方式中,處理器15則不會從待分析封包12的當前變動位置的當前出現值來分析其是否異常。
在某些實施方式中,白名單10中的某一或某些合法封包記錄會各自對應至一出現模式(未繪示)。於該等實施方式中,異常封包偵測裝置1還可判斷複數個依序出現的待分析封包(例如:待分析封包14a、……、14b、12)是否符合對應的出現模式,藉此確認是否有異常的封包。
為便於後續說明,茲假設白名單10中的合法封包記錄10a對應至一出現模式。具體而言,合法封包記錄10a所包含的合法變動位置集合所包含的至少一位元組位置其中之一為一特定位元組位置(例如:對應的合法出現值集合所包含的合法出現值的數目最多的那一個位元組位置),且該特定位元組位置所對應的特定合法出現值集合(為合法封包記錄10a所包含的合法出現值集合其中之一)所包含的該等合法出現值形成一出現模式。舉例而言,合法封包記錄10a的特定位元組位置為第54個位元組位置,且此特定位元組位置所對應的特定合法出現值集合所包含的合法出現值會以9、10、5、8的順序依序出現。儲存器11會記錄合法封包記錄10a於此特定位元組位置的出現模式。
茲假設收發介面13依序接收待分析封包14a、……、14b、12。處理器15判斷待分析封包14a、……、14b、12各自的當前封包長度以及當前來源位址分別與參考封包記錄(例如:合法封包記錄10a)的合法封包長度及合法來源位址相同。處理器15會進一步地將待分析封包14a、……、14b、12於該特定位元組位置(例如:第54個位元組位置)的複數個當前出現值與該出現模式比對以產生另一偵測結果。若待分析封包14a、……、14b、12於該特定位元組位置的該等當前出現值與該出現模式不一致,則處理器15判斷待分析封包14a、……、14b、12中存在異常封包(例如:待分析封包14a、……、14b、12中的最後一個為異常封包),且收發介面13會因應地傳送一示警訊號20。若待分析封包14a、……、14b、12於該特定位元組位置的該等當前出現值與該出現模式一致,則處理器15判斷未有異常狀況。
藉由前述運作,異常封包偵測裝置1便實現了從封包長度、來源位址、變動位置、變動位置的出現值以及出現模式等角度來判斷該網路環境中的任一封包是否異常。
於本實施方式中,異常封包偵測裝置1會先產生白名單10,再利用白名單10進行異常封包的偵測。於其他實施方式中,異常封包偵測裝置1則可利用其他裝置以相同技術所產生的白名單10。以下將詳述異常封包偵測裝置1如何產生白名單10。
於本實施方式中,儲存器11還儲存同一協定埠(例如:使用埠號44818的協定埠)的複數個歷史封包22a、……、22b。歷史封包22a、……、22b各自具有一歷史封包長度且各自記錄一歷史來源位址。處理器15針對不同歷史封包長度的該等歷史封包產生一統計資料,其中各該統計資料包含對應的該歷史封包長度、該等歷史來源位址其中一個或多個、與對應的該歷史封包長度相關的一計數、至少一歷史變動位置以及各該至少一歷史變動位置的至少一歷史出現值。處理器15還根據各該統計資料產生該等合法封包記錄其中之一。
為便於理解,請參第1C圖所示的一具體範例。該具體範例將用於後續的說明,而非用以限制本發明的範圍。於第1C圖所示的具體範例中,處理器15針對不同歷史封包長度的該等歷史封包產生統計資料24a、……、24b。以統計資料24a為例,其包含對應的歷史封包長度(亦即,56)、歷史封包長度為56個位元組的那些歷史封包的歷史來源位址、歷史封包長度為56個位元組的歷史封包的一計數(例如:歷史封包長度為56個位元組的歷史封包的個數、歷史封包長度為56個位元組的歷史封包與一參考封包的比較次數)、多個歷史變動位置(亦即,歷史封包長度為56個位元組的那些歷史封包有哪些位元組位置的值曾發生改變)以及各歷史變動位置的至少一歷史出現值(亦即,各歷史變動位置曾出現過的值)。
在某些實施方式中,處理器15可逐一地分析歷史封包22a、……、22b的內容來產生及更新統計資料24a、……、24b。若處理器15所分析的該歷史封包的歷史封包長度為第一次出現,則處理器15將該歷史封包設定為該歷史封包長度所對應的參考封包(亦可視為該歷史封包長度所對應的該筆統計資料所對應的參考封包),並將該歷史封包長度所對應的該筆統計資料的計數加1。若處理器15所分析的該歷史封包的歷史封包長度並非第一次出現,則處理器15將該歷史封包的計數加1,將該歷史封包與對應的參考封包比對以確認是否有哪一或哪些位元組位置的值不同,將那一或那些位元組位置的值記錄該歷史封包長度所對應的該筆統計資料的歷史變動位置(若有),且將那一或那些位元組位置的值記錄為該歷史封包長度所對應的該筆統計資料的歷史出現值(若有)。
處理器15根據歷史封包22a、……、22b所產生的複數筆統計資料中可能會有某一或某些統計資料對應至多個歷史來源位址(例如:第1C圖所示的統計資料24a)。在某些實施方式中,為避免有某一或某些統計資料對應至多個歷史來源位址,處理器15可改為針對不同歷史封包長度及不同歷史來源位址所形成的複數個組合(例如:歷史封包長度56與歷史來源位址192.168.10.105_00:1d:09:99:b2:2c為一個組合,而歷史封包長度56與歷史來源位址192.168.10.120_00:00:bc:3e:eb:e4為另一個組合)個別地產生一統計資料。各該組合對應至歷史封包22a、……、22b的一子集,處理器15所產生的各該統計資料包含與該子集所包含的該等歷史封包相關的該歷史封包長度、該歷史來源位址、一計數、至少一歷史變動位置以及各該至少一歷史變動位置的至少一歷史出現值。茲不贅言。
在處理器15根據歷史封包22a、……、22b產生複數筆統計資料(例如:第1C統計資料24a、……、24b)後,處理器15還可判斷是否有某一或某些特定位元組位置出現於每一筆統計資料各自所對應的歷史變動位置中。若判斷的結果為是,代表不論封包長度為何,該(等)特定位元組位置的值都是可變動的,故不需特別關注該(等)特定位元組位置的值是否變動。因此,若處理器15判斷有某一或某些特定位元組位置出現於每一筆統計資料各自所對應的歷史變動位置中,處理器15還從每一筆統計資料各自所對應的歷史變動位置中移除該(等)特定位元組位置。在第1C圖所示的具體範例中,第44個位元組位置出現在統計資料24a、……、24b各自所對應的歷史變動位置中,因此處理器15會從統計資料24a、……、24b各自所對應的歷史變動位置中移除第44個位元組位置。
於本實施方式中,處理器15還進一步地判斷該等統計資料中是否有某一特定統計資料所包含的該至少一歷史變動位置中的一特定位元組位置的一變動率高於一門檻值。舉例而言,變動率可為該特定統計資料的該特定位元組位置所對應的歷史出現值的數目與該特定統計資料的計數之間的比例。若判斷的結果為是,代表對該特定統計資料所記錄的該歷史封包長度而言,該特定位元組位置的值都是可變動的,故不需特別關注該特定位元組位置的值是否變動。因此,若判斷的結果為是,處理器15會從該特定統計資料的該至少一歷史變動位置移除對應的該特定位元組位置。在第1C圖所示的具體範例中,茲假設統計資料24a的第45個位元組位置的歷史出現值共有92個,處理器15判斷統計資料24a的第45個位元組位置的變動率高於一門檻值,因此處理器15會從統計資料24a所對應的歷史變動位置中移除第45個位元組位置。需說明者,於其他實施方式中,處理器15可省略此處所述的關於一特定位元組位置的變動率的判斷。
於本實施方式中,處理器15會判斷變動率高於該門檻值的該特定位元組位置所對應的該等歷史出現值是否呈現遞增的形式。若判斷的結果為是,處理器15進一步判斷該特定位元組位置的下一位元組位置是否也屬於歷史變動位置,且該下一位元組位置所對應的歷史出現值是否也呈現遞增。若判斷的結果為是,處理器15會認定該下一位元組位置與該特定位元組位置應一起觀之,該二個位元組位置對應至會變動的數值(例如:時間),因此會從該特定統計資料的該至少一歷史變動位置移除該下一位元組位置。在第1C圖所示的具體範例中,處理器15判斷第45個位元組位置的該等歷史出現值呈現遞增的形式,進而判斷第46個位元組位置也是統計資料24a的歷史變動位置之一,且第46個位元組位置所對應的歷史出現值也呈現遞增。因此,處理器15還會從統計資料24a所對應的歷史變動位置中移除第46個位元組位置。需說明者,於其他實施方式中,處理器15可省略前述關於一特定位元組的下一位元組的判斷。
為便於理解,請參第1C圖所示的具體範例。若處理器15針對第1C圖所示的統計資料24a、……、24b執行上述各種處理,便得到如第1D圖所示的統計資料24a’、……、24b’。
在本實施方式中,處理器15還可利用統計資料24a、……、24b(或利用統計資料24a’、……、24b’)來找出網路環境中的主裝置(Master device)。具體而言,在一網路環境中,主裝置的封包長度的種類通常較少,而從裝置(Slave device)的封包長度的種類通常較多。因此,處理器15還可從統計資料24a、……、24b(或統計資料24a’、……、24b’)中確認該等歷史來源位址中是否有某一(或某些)特定來源位址的一封包長度變化小於一門檻值,並確認封包長度變化小於門檻值的那一(或那些)特定來源位址個別地對應至一主裝置。稍後將說明找出主裝置的用意。需說明者,於某些實施方式中,若處理器15不需辨識出網路環境中的主裝置,則不需執行相關運作。
於本實施方式中,在處理器15針對該等統計資料的歷史變動位置進行分析,且從該等統計資料中移除掉不需考慮的歷史變動位置後,便可根據這些統計資料產生白名單10中的合法封包記錄10a、……、10b。
在某些實施態樣中,處理器15可鎖定某一、某些或全部的統計資料。若各筆鎖定的統計資料都只對應到一個歷史來源位址,處理器15再針對各筆鎖定的統計資料個別地產生一合法封包記錄。具體而言,一筆統計資料的歷史封包長度、歷史來源位址、歷史變動位置及各該歷史變動位置的至少一歷史出現值會分別最為一筆合法封包記錄中的合法封包長度、合法來源位址、合法變動位置及各該合法變動位置的至少一合法出現值。
在某些實施態樣中,處理器15可根據統計資料24a’、……、24b’的該等計數中的最大者從該等歷史封包長度中確認一鎖定封包長度。以第1C圖及第1D圖的具體範例而言,處理器15確認的鎖定封包長度為56,因對應的計數最大。處理器15再針對該鎖定封包長度及不同歷史來源位址所形成的至少一組合個別地產生一第二統計資料。各該至少一組合對應至該等歷史封包的一子集,各該至少一第二統計資料包含該鎖定封包長度、該等歷史來源位址其中之一、與該子集所包含的該等歷史封包相關的一計數、至少一第二歷史變動位置以及各該至少一第二歷史變動位置的至少一第二歷史出現值。以第1C圖及第1D圖的具體範例而言,由於歷史封包長度為56個位元組的有兩個不同歷史來源位址,因此處理器15會產生兩筆統計資料26a、26b如第1E圖所示。處理器15再根據統計資料26a、26b產生白名單10中的合法封包記錄。舉例而言,統計資料26a對應至主裝置,處理器15便根據統計資料26a產生白名單10中的一筆合法封包記錄。
在本實施方式中,處理器15還可進一步地針對主裝置所對應的統計資料進行分析。以統計資料26a為例,處理器15分析歷史封包長度為56且歷史來源位址為192.168.10.105_00:1d:09:99:b2:2c所對應的歷史封包。若這些歷史封包在某一特定歷史變動位置所出現的歷史出現值形成一出現模式,處理器15便會記錄此筆統計資料的該特定歷史變動位置對應至該出現模式。因此,處理器15在根據統計資料26a產生白名單10中的一筆合法封包記錄時,該合法封包記錄也會記錄著該出現模式。
由上述說明可知,異常封包偵測裝置1可針對不同的協定埠的歷史封包進行統計分析以產生不同的協定埠的白名單。一協定埠的白名單包含至少一合法封包記錄,且各該至少一合法封包記錄包含一合法封包長度、一合法來源位址、一合法變動位置集合以及至少一合法出現值集合。異常封包偵測裝置1在接收到某一協定埠的一待分析封包後,可將該待分析封包與該協定埠的該白名單比對,便能從封包長度、來源位址及變動位置等角度,甚至還能從變動位置的出現值此一角度來判斷該待分析封包是否異常。
異常封包偵測裝置1係針對不同協定埠的歷史封包進行統計分析以產生不同協定埠的白名單。由於不同的通訊協定係使用不同的協定埠,因此亦可以理解為異常封包偵測裝置1針對不同通訊協定的歷史封包進行統計分析以產生不同通訊協定的白名單。即使有未知的通訊協定,使用者不需了解未知通訊協定的內容,便可透過異常封包偵測裝置1產生對應的白名單以及時地或/及即時地偵測出網路環境中的攻擊事件。
本發明的第二實施方式為一種異常封包偵測方法,其主要流程圖係描繪於第2圖。該異常封包偵測方法適用於一電子計算裝置,且該電子計算裝置儲存對應至一協定埠的一白名單。該白名單包含至少一合法封包記錄,且各該至少一合法封包記錄包含一合法封包長度、一合法來源位址、一合法變動位置集合以及至少一合法出現值集合。具體而言,在一合法封包記錄中,合法變動位置集合包含至少一位元組位置,各位元組位置對應至一合法出現值集合,且各合法出現值集合包含複數個合法出現值。此外,各該至少一合法封包記錄對應至一參考封包。於本實施方式中,異常封包偵測方法包含步驟S201至步驟S215。藉由執行步驟S201至步驟S215,達成從封包長度、來源位址、變動位置以及變動位置的出現值等角度來判斷一待分析封包是否異常。
於步驟S201,由該電子計算裝置接收該協定埠的一待分析封包。接著,該電子計算裝置執行步驟S203,判斷該待分析封包的一當前封包長度以及一當前來源位址是否分別與該至少一合法封包記錄中的一參考封包記錄所包含的該合法封包長度及該合法來源位址相同。若步驟S203的判斷結果為否,則該電子計算裝置執行步驟S215以傳送一示警訊號。若步驟S203的判斷結果為是,則該電子計算裝置執行步驟S205以藉由比對該待分析封包與該參考封包記錄所對應的該參考封包以確認該待分析封包的一當前變動位置。
之後,於步驟S207,該電子計算裝置將該當前變動位置與該參考封包記錄所包含的該合法變動位置集合比對以產生一第一偵測結果。具體而言,步驟S207係由該電子計算裝置判斷該當前變動位置是否為該參考封包記錄所包含的該合法變動位置集合所包含的該至少一位元組位置其中之一。若步驟S207的判斷結果為否(亦即,該第一偵測結果為該當前變動位置並非該參考封包記錄所包含的該合法變動位置集合所包含的該至少一位元組位置其中之一),則該電子計算裝置執行步驟S215以傳送一示警訊號。若步驟S207的判斷結果為是(亦即,該第一偵測結果為該當前變動位置為該參考封包記錄所包含的該合法變動位置集合所包含的該至少一位元組位置其中之一),則該電子計算裝置接著執行步驟S209。
於步驟S209,該電子計算裝置根據該當前變動位置從該至少一合法出現值集合找出一參考出現值集合。接著,於步驟S211,由該電子計算裝置將該待分析封包於該當前變動位置的一當前出現值與該參考出現值集合比對以產生一第二偵測結果。具體而言,步驟S211係判斷該當前出現值是否為該參考出現值集合的該等合法出現值其中之一。若步驟S211的判斷結果為否(亦即,該第二偵測結果為該當前出現值非該參考出現值集合的該等合法出現值其中之一),則該電子計算裝置執行步驟S215以傳送一示警訊號。若步驟S211的判斷結果為是(亦即,該第二偵測結果為該當前出現值為該參考出現值集合的該等合法出現值其中之一),則該電子計算裝置執行步驟S213以確認該待分析封包為一合法封包。
需說明者,在某些實施方式中,若各合法封包記錄未包含合法出現值集合,則可省略步驟S209、步驟S211及步驟S213。
在某些實施方式中,異常封包偵測方法還可從多個待分析封包在一特定位元組位置的當前出現值是否符合一出現模式來判斷封包是否異常。在該等實施方式中,白名單中的某一或某些合法封包記錄會各自對應至一出現模式。為便於後續說明,茲假設前述的參考封包記錄對應至一出現模式。具體而言,該參考封包記錄的該合法變動位置集合中的一特定位元組位置,其所對應的特定出現值集合所包含的複數個合法出現值形成一出現模式。
於該等實施方式中,若異常封包偵測方法接收到複數個待分析封包,且各該待分析封包的一當前封包長度以及一當前來源位址皆分別與該參考封包記錄所包含的該合法封包長度及該合法來源位址相同,則異常封包偵測方法還可執行一步驟以將該等待分析封包於該特定位元組位置的複數個當前出現值與該出現模式比對以產生另一偵測結果。若該等待分析封包於該特定位元組位置的該等當前出現值符合該出現模式,則異常封包偵測方法判斷未有異常封包。若該等待分析封包於該特定位元組位置的該等當前出現值不符合該出現模式,則異常封包偵測方法還可執行一步驟以傳送一示警訊號。
於某些實施方式中,異常封包偵測方法還可執行如第3圖所示的流程以建立白名單。於該等實施方式中,該電子計算裝置還儲存該協定埠的複數個歷史封包,且各該歷史封包具有一歷史封包長度且記錄一歷史來源位址。於該等實施方式中,異常封包偵測方法還包含步驟S301至步驟S307。
於步驟S301,由該電子計算裝置針對不同歷史封包長度的該等歷史封包產生一第一統計資料,其中各該第一統計資料包含對應的該歷史封包長度、該等歷史來源位址其中之一、與對應的該歷史封包長度相關的一計數、至少一第一歷史變動位置以及各該至少一第一歷史變動位置的至少一第一歷史出現值。
在某些實施方式中,步驟S301可改為針對不同歷史封包長度及不同歷史來源位址所形成的複數個組合個別地產生一第一統計資料。如此可確保每一筆第一統計資料只對應到一個歷史來源位址。前述的其中各該組合對應至該等歷史封包的一子集,各該第一統計資料包含與該子集所包含的該等歷史封包相關的該歷史封包長度、該歷史來源位址、一計數、至少一第一歷史變動位置以及各該至少一第一歷史變動位置的至少一第一歷史出現值。
於步驟S303,由該電子計算裝置判斷一特定位元組位置出現於各該第一統計資料的該至少一第一歷史變動位置,且從各該第一統計資料的該至少一第一歷史變動位置移除該特定位元組位置。需說明者,該等第一統計資料中不存在一特定位元組位置出現於各該第一統計資料的該至少一第一歷史變動位置,則可省略步驟S303。
於步驟S305,由該電子計算裝置判斷該等第一統計資料中的一特定統計記錄所包含的該至少一第一歷史變動位置中的一特定位元組位置的一變動率高於一門檻值,且從該特定統計記錄的該至少一第一歷史變動位置移除該特定位元組位置。類似的,若該等第一統計資料中不存在一特定位元組位置的變動率高於該門檻值,則可省略步驟S305。
接著,執行步驟S307,由該電子計算裝置根據各該第一統計資料個別地產生一合法封包記錄。
在某些實施方式中,異常封包偵測方法還可從該等統計資料中判斷出主裝置。於該等實施方式中,異常封包偵測方法執行一步驟以從該等統計資料中確認該等歷史來源位址中的一特定來源位址的一封包長度變化小於一門檻值。之後,異常封包偵測方法再執行一步驟確認該特定來源位址對應至一主裝置。
在某些實施方式中,異常封包偵測方法可將步驟S307改為針對一鎖定封包長度產生合法封包記錄。於該等實施方式中,異常封包偵測方法可執行一步驟以根據該等統計資料的該等計數中的最大者從該等歷史封包長度中確認一鎖定封包長度。異常封包偵測方法再執行一步驟以針對該鎖定封包長度及不同歷史來源位址所形成的至少一組合個別地產生一第二統計資料,其中各該至少一組合對應至該等歷史封包的一子集,各該至少一第二統計資料包含該鎖定封包長度、該等歷史來源位址其中之一、與該子集所包含的該等歷史封包相關的一計數、至少一第二歷史變動位置以及各該至少一第二歷史變動位置的至少一第二歷史出現值。接著,異常封包偵測方法再執行一步驟以根據該至少一第二該統計資料產生該至少一合法封包記錄。
除了上述步驟,第二實施方式還能執行異常封包偵測裝置1所能執行的所有運作及步驟,具有同樣的功能,且達到同樣的技術效果。本發明所屬技術領域中具有通常知識者可直接瞭解第二實施方式如何基於上述的異常封包偵測裝置1以執行此等運作及步驟,具有同樣的功能,並達到同樣的技術效果,故不贅述。
需說明者,於本發明專利說明書及申請專利範圍中,某些用語(包含:待分析封包、偵測結果、統計資料、歷史變動位置、歷史出現值)前被冠以「第一」或「第二」,該等「第一」及「第二」係用來區隔該等用語彼此不同。另需說明者,於本發明專利說明書及申請專利範圍中,某些用語(包含:封包記錄、封包長度、來源位址、變動位置集合、出現值集合、出現值)前被冠以「合法」,其係用以表示該等用語所對應的資料記載於白名單中。此外,某些用語(包含:封包記錄、封包長度、來源位址、變動位置集合、出現值集合、出現值)前被冠以「歷史」,其係用以表示該等用語所對應的資料為過去的資料。再者,某些用語(包含:封包長度、來源位址、變動位置、出現值)前被冠以「當前」,其係用以表示該等用語所對應的資料與一待分析封包相關。
綜上所述,本發明所提供的異常封包偵測技術(至少包含裝置及方法)可針對不同的協定埠的歷史封包進行統計分析以產生不同的協定埠的白名單。一協定埠的白名單包含至少一合法封包記錄,且各該至少一合法封包記錄包含一合法封包長度、一合法來源位址、一合法變動位置集合以及至少一合法出現值集合。本發明所提供的異常封包偵測技術在接收到某一協定埠的一待分析封包後,可將該待分析封包與該協定埠的該白名單比對,便能從封包長度、來源位址及變動位置等角度,甚至還能從變動位置的出現值此一角度來判斷該待分析封包是否異常。
本發明所提供的異常封包偵測技術係針對不同協定埠的歷史封包進行統計分析以產生不同協定埠的白名單。由於不同的通訊協定係使用不同的協定埠,因此亦可以理解為本發明所提供的異常封包偵測技術針對不同通訊協定的歷史封包進行統計分析以產生不同通訊協定的白名單。即使有未知的通訊協定,使用者不需了解未知通訊協定的內容,便可透過本發明所提供的異常封包偵測技術產生對應的白名單以及時地或/及即時地偵測出網路環境中的攻擊事件。
上述各實施方式係用以例示性地說明本發明的部分實施態樣,以及闡釋本發明的技術特徵,而非用來限制本發明的保護範疇及範圍。任何本發明所屬技術領域中具有通常知識者可輕易完成的改變或均等性的安排均屬於本發明所主張的範圍,本發明的權利保護範圍以申請專利範圍為準。
1:異常封包偵測裝置 11:儲存器 13:收發介面 15:處理器 10:白名單 10a、……、10b:合法封包記錄 12、14a、……、14b:待分析封包 20:示警訊號 22a、……、22b:歷史封包 24a、……、24b:統計資料 24a’、……、24b’:統計資料 26a、26b:統計資料 S201~S215:步驟 S301~S307:步驟
第1A圖描繪異常封包偵測裝置1的架構示意圖。
第1B圖描繪白名單10的一具體範例。
第1C圖描繪針對不同歷史封包長度的歷史封包產生統計資料24a、……、24b的一具體範例。
第1D圖描繪從統計資料中移除某些歷史變動位置的一具體範例。
第1E圖描繪針對一鎖定封包長度再次產生統計資料26a、26b的一具體範例。
第2圖描繪本發明的異常封包偵測方法的主要流程圖。
第3圖描繪本發明的異常封包偵測方法建立白名單的流程圖。
S201~S215:步驟

Claims (22)

  1. 一種異常封包偵測裝置,包含: 一儲存器,儲存對應至一協定埠的一白名單,其中該白名單包含至少一合法封包記錄,各該至少一合法封包記錄包含一合法封包長度、一合法來源位址以及一合法變動位置集合,且各該至少一合法封包記錄對應至一參考封包; 一收發介面,接收該協定埠的一第一待分析封包;以及 一處理器,電性連接至該儲存器及該收發介面,判斷該第一待分析封包的一當前封包長度以及一當前來源位址分別與該至少一合法封包記錄中的一參考封包記錄所包含的該合法封包長度及該合法來源位址相同,藉由比對該第一待分析封包與該參考封包記錄所對應的該參考封包以確認該第一待分析封包的一當前變動位置,且將該當前變動位置與該參考封包記錄所包含的該合法變動位置集合比對以產生一第一偵測結果。
  2. 如請求項1所述的異常封包偵測裝置,其中各該至少一合法封包記錄的該合法變動位置集合包含至少一位元組位置, 其中,該第一偵測結果為該當前變動位置並非該參考封包記錄所包含的該合法變動位置集合所包含的該至少一位元組位置其中之一,且該收發介面還傳送一示警訊號。
  3. 如請求項1所述的異常封包偵測裝置,其中各該至少一合法封包記錄的該合法變動位置集合包含至少一位元組位置,且各該至少一位元組位置對應至一合法出現值集合, 其中,該第一偵測結果為該當前變動位置為該參考封包記錄所包含的該合法變動位置集合所包含的該至少一位元組位置其中之一,該處理器還根據該當前變動位置從該至少一合法出現值集合找出一參考出現值集合,且該處理器還將該第一待分析封包於該當前變動位置的一當前出現值與該參考出現值集合比對以產生一第二偵測結果。
  4. 如請求項3所述的異常封包偵測裝置,其中該參考出現值集合包含複數個合法出現值,該第二偵測結果為該當前出現值並非該等合法出現值其中之一,且該收發介面還傳送一示警訊號。
  5. 如請求項1所述的異常封包偵測裝置,其中該參考封包記錄的該合法變動位置集合包含至少一位元組位置,各該至少一位元組位置對應至一合法出現值集合,該至少一位元組位置中的一特定位元組位置對應至該至少一合法出現值集合中的一特定出現值集合,且該特定出現值集合所包含的複數個合法出現值形成一出現模式, 其中,該收發介面還接收複數個第二待分析封包,該處理器還判斷各該第二待分析封包的一當前封包長度以及一當前來源位址分別與該參考封包記錄所包含的該合法封包長度及該合法來源位址相同,該處理器還將該等第二待分析封包及該第一待分析封包於該特定位元組位置的複數個當前出現值與該出現模式比對以產生一第二偵測結果。
  6. 如請求項1所述的異常封包偵測裝置,其中該白名單係包含複數筆合法封包記錄,該儲存器還儲存該協定埠的複數個歷史封包,各該歷史封包具有一歷史封包長度且記錄一歷史來源位址,該處理器還針對不同歷史封包長度的該等歷史封包產生一統計資料,各該統計資料包含對應的該歷史封包長度、該等歷史來源位址其中之一、與對應的該歷史封包長度相關的一計數、至少一歷史變動位置以及各該至少一歷史變動位置的至少一歷史出現值,且該處理器還根據各該統計資料產生該等合法封包記錄其中之一。
  7. 如請求項6所述的異常封包偵測裝置,其中該處理器判斷一特定位元組位置出現於各該統計資料的該至少一歷史變動位置,該處理器還從各該統計資料的該至少一歷史變動位置移除該特定位元組位置。
  8. 如請求項6所述的異常封包偵測裝置,其中該處理器還從該等統計資料中找出一特定統計資料,該處理器還判斷該特定統計資料所包含的該至少一歷史變動位置中的一特定位元組位置的一變動率高於一門檻值,該處理器還從該特定統計資料的該至少一歷史變動位置移除該特定位元組位置。
  9. 如請求項6所述的異常封包偵測裝置,其中該處理器還從該等統計資料中確認該等歷史來源位址中的一特定來源位址的一封包長度變化小於一門檻值,且該處理器還確認該特定來源位址對應至一主裝置(master device)。
  10. 如請求項1所述的異常封包偵測裝置,其中該儲存器還儲存該協定埠的複數個歷史封包,各該歷史封包具有一歷史封包長度且記錄一歷史來源位址,該處理器還針對不同歷史封包長度的該等歷史封包產生一第一統計資料,各該第一統計資料包含對應的該歷史封包長度、該等歷史來源位址的至少其中之一、與對應的該歷史封包長度相關的一計數、至少一第一歷史變動位置以及各該至少一第一歷史變動位置的至少一第一歷史出現值, 其中,該處理器還根據該等計數中的最大者從該等歷史封包長度中確認一鎖定封包長度,該處理器還針對該鎖定封包長度及不同歷史來源位址所形成的至少一組合個別地產生一第二統計資料,各該至少一組合對應至該等歷史封包的一子集,各該至少一第二統計資料包含該鎖定封包長度、該等歷史來源位址其中之一、與該子集所包含的該等歷史封包相關的一計數、至少一第二歷史變動位置以及各該至少一第二歷史變動位置的至少一第二歷史出現值,且該處理器還根據該至少一第二該統計資料產生該至少一合法封包記錄。
  11. 如請求項1所述的異常封包偵測裝置,其中該白名單係包含複數筆合法封包記錄,該儲存器還儲存該協定埠的複數個歷史封包,各該歷史封包具有一歷史封包長度且記錄一歷史來源位址,該處理器還針對不同歷史封包長度及不同歷史來源位址所形成的複數個組合個別地產生一統計資料,各該組合對應至該等歷史封包的一子集,各該統計資料包含與該子集所包含的該等歷史封包相關的該歷史封包長度、該歷史來源位址、一計數、至少一歷史變動位置以及各該至少一歷史變動位置的至少一歷史出現值,且該處理器還根據各該統計資料產生該等合法封包記錄其中之一。
  12. 一種異常封包偵測方法,適用於一電子計算裝置,該電子計算裝置儲存對應至一協定埠的一白名單,該白名單包含至少一合法封包記錄,各該至少一合法封包記錄包含一合法封包長度、一合法來源位址以及一合法變動位置集合,各該至少一合法封包記錄對應至一參考封包,該異常封包偵測方法包含下列步驟: 接收該協定埠的一第一待分析封包; 判斷該第一待分析封包的一當前封包長度以及一當前來源位址分別與該至少一合法封包記錄中的一參考封包記錄所包含的該合法封包長度及該合法來源位址相同; 藉由比對該第一待分析封包與該參考封包記錄所對應的該參考封包以確認該第一待分析封包的一當前變動位置;以及 將該當前變動位置與該參考封包記錄所包含的該合法變動位置集合比對以產生一第一偵測結果。
  13. 如請求項12所述的異常封包偵測方法,其中各該至少一合法封包記錄的該合法變動位置集合包含至少一位元組位置,該第一偵測結果為該當前變動位置並非該參考封包記錄所包含的該合法變動位置集合所包含的該至少一位元組位置其中之一,且該異常封包偵測方法還包含下列步驟: 傳送一示警訊號。
  14. 如請求項12所述的異常封包偵測方法,其中各該至少一合法封包記錄的該合法變動位置集合包含至少一位元組位置,各該至少一位元組位置對應至一合法出現值集合,該第一偵測結果為該當前變動位置為該參考封包記錄所包含的該合法變動位置集合所包含的該至少一位元組位置其中之一,該異常封包偵測方法還包含下列步驟: 根據該當前變動位置從該至少一合法出現值集合找出一參考出現值集合;以及 將該第一待分析封包於該當前變動位置的一當前出現值與該參考出現值集合比對以產生一第二偵測結果。
  15. 如請求項14所述的異常封包偵測方法,其中該參考出現值集合包含複數個合法出現值,該第二偵測結果為該當前出現值並非該等合法出現值其中之一,且該異常封包偵測方法還包含下列步驟: 傳送一示警訊號。
  16. 如請求項12所述的異常封包偵測方法,其中該參考封包記錄的該合法變動位置集合包含至少一位元組位置,各該至少一位元組位置對應至一合法出現值集合,該至少一位元組位置中的一特定位元組位置對應至該至少一合法出現值集合中的一特定出現值集合,該特定出現值集合所包含的複數個合法出現值形成一出現模式,且該異常封包偵測方法還包含下列步驟: 接收複數個第二待分析封包; 判斷各該第二待分析封包的一當前封包長度以及一當前來源位址分別與該參考封包記錄所包含的該合法封包長度及該合法來源位址相同;以及 將該等第二待分析封包及該第一待分析封包於該特定位元組位置的複數個當前出現值與該出現模式比對以產生一第二偵測結果。
  17. 如請求項12所述的異常封包偵測方法,其中該白名單係包含複數筆合法封包記錄,該電子計算裝置還儲存該協定埠的複數個歷史封包,各該歷史封包具有一歷史封包長度且記錄一歷史來源位址,且該異常封包偵測方法還包含下列步驟: 針對不同歷史封包長度的該等歷史封包產生一統計資料,其中各該統計資料包含對應的該歷史封包長度、該等歷史來源位址其中之一、與對應的該歷史封包長度相關的一計數、至少一歷史變動位置以及各該至少一歷史變動位置的至少一歷史出現值;以及 根據各該統計資料產生該等合法封包記錄其中之一。
  18. 如請求項17所述的異常封包偵測方法,還包含下列步驟: 判斷一特定位元組位置出現於各該統計資料的該至少一歷史變動位置;以及 從各該統計資料的該至少一歷史變動位置移除該特定位元組位置。
  19. 如請求項17所述的異常封包偵測方法,還包含下列步驟: 從該等統計資料中找出一特定統計資料; 判斷該特定統計資料所包含的該至少一歷史變動位置中的一特定位元組位置的一變動率高於一門檻值;以及 從該特定統計資料的該至少一歷史變動位置移除該特定位元組位置。
  20. 如請求項17所述的異常封包偵測方法,還包還下列步驟: 從該等統計資料中確認該等歷史來源位址中的一特定來源位址的一封包長度變化小於一門檻值;以及 確認該特定來源位址對應至一主裝置。
  21. 如請求項12所述的異常封包偵測方法,其中該電子計算裝置還儲存該協定埠的複數個歷史封包,各該歷史封包具有一歷史封包長度且記錄一歷史來源位址,且該異常封包偵測方法還包含下列步驟: 針對不同歷史封包長度的該等歷史封包產生一第一統計資料,其中各該第一統計資料包含對應的該歷史封包長度、該等歷史來源位址的至少其中之一、與對應的該歷史封包長度相關的一計數、至少一第一歷史變動位置以及各該至少一第一歷史變動位置的至少一第一歷史出現值; 根據該等計數中的最大者從該等歷史封包長度中確認一鎖定封包長度; 針對該鎖定封包長度及不同歷史來源位址所形成的至少一組合個別地產生一第二統計資料,其中各該至少一組合對應至該等歷史封包的一子集,各該至少一第二統計資料包含該鎖定封包長度、該等歷史來源位址其中之一、與該子集所包含的該等歷史封包相關的一計數、至少一第二歷史變動位置以及各該至少一第二歷史變動位置的至少一第二歷史出現值;以及 根據該至少一第二該統計資料產生該至少一合法封包記錄。
  22. 如請求項12所述的異常封包偵測方法,其中該白名單係包含複數筆合法封包記錄,該電子計算裝置還儲存該協定埠的複數個歷史封包,各該歷史封包具有一歷史封包長度且記錄一歷史來源位址,且該異常封包偵測方法還包含下列步驟: 針對不同歷史封包長度及不同歷史來源位址所形成的複數個組合個別地產生一統計資料,其中各該組合對應至該等歷史封包的一子集,各該統計資料包含與該子集所包含的該等歷史封包相關的該歷史封包長度、該歷史來源位址、一計數、至少一歷史變動位置以及各該至少一歷史變動位置的至少一歷史出現值;以及 根據各該統計資料產生該等合法封包記錄其中之一。
TW109137275A 2020-10-27 2020-10-27 異常封包偵測裝置及方法 TWI736456B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW109137275A TWI736456B (zh) 2020-10-27 2020-10-27 異常封包偵測裝置及方法
CN202011237556.4A CN114513323A (zh) 2020-10-27 2020-11-09 异常封包侦测装置及方法
US17/102,209 US11425094B2 (en) 2020-10-27 2020-11-23 Abnormal packet detection apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW109137275A TWI736456B (zh) 2020-10-27 2020-10-27 異常封包偵測裝置及方法

Publications (2)

Publication Number Publication Date
TWI736456B true TWI736456B (zh) 2021-08-11
TW202218381A TW202218381A (zh) 2022-05-01

Family

ID=78283208

Family Applications (1)

Application Number Title Priority Date Filing Date
TW109137275A TWI736456B (zh) 2020-10-27 2020-10-27 異常封包偵測裝置及方法

Country Status (3)

Country Link
US (1) US11425094B2 (zh)
CN (1) CN114513323A (zh)
TW (1) TWI736456B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110131655A1 (en) * 2006-06-29 2011-06-02 Cisco Technology, Inc. Detection of frequent and dispersed invariants
CN105141604A (zh) * 2015-08-19 2015-12-09 国家电网公司 一种基于可信业务流的网络安全威胁检测方法及系统
TW201603529A (zh) * 2014-04-30 2016-01-16 惠普發展公司有限責任合夥企業 封包登錄技術
CN108737447A (zh) * 2018-06-22 2018-11-02 腾讯科技(深圳)有限公司 用户数据报协议流量过滤方法、装置、服务器及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101247404A (zh) * 2008-03-24 2008-08-20 华为技术有限公司 一种媒体流检测的方法和装置
US10965693B2 (en) * 2016-07-31 2021-03-30 Fenror7 Ltd Method and system for detecting movement of malware and other potential threats
CN106850637B (zh) * 2017-02-13 2020-02-04 韩伟杰 一种基于流量白名单的异常流量检测方法
TWM596496U (zh) * 2019-12-20 2020-06-01 泓格科技股份有限公司 具自我學習功能的工業控制網路異常偵測裝置及其系統

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110131655A1 (en) * 2006-06-29 2011-06-02 Cisco Technology, Inc. Detection of frequent and dispersed invariants
EP2033356B1 (en) * 2006-06-29 2015-08-12 Cisco Technology, Inc. Detection of frequent and dispersed invariants
TW201603529A (zh) * 2014-04-30 2016-01-16 惠普發展公司有限責任合夥企業 封包登錄技術
CN105141604A (zh) * 2015-08-19 2015-12-09 国家电网公司 一种基于可信业务流的网络安全威胁检测方法及系统
CN108737447A (zh) * 2018-06-22 2018-11-02 腾讯科技(深圳)有限公司 用户数据报协议流量过滤方法、装置、服务器及存储介质

Also Published As

Publication number Publication date
TW202218381A (zh) 2022-05-01
US20220131833A1 (en) 2022-04-28
US11425094B2 (en) 2022-08-23
CN114513323A (zh) 2022-05-17

Similar Documents

Publication Publication Date Title
US11356475B2 (en) Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system
US9843594B1 (en) Systems and methods for detecting anomalous messages in automobile networks
EP3128699B1 (en) Network communication system, fraud detection electronic control unit and fraud handling method
JP2020102886A (ja) 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
WO2018224669A1 (en) Anomaly detection in computer networks
CN111935061B (zh) 一种工控主机的网络安全防护实现方法及工控主机
CN104601570A (zh) 一种基于旁路监听和软件抓包技术的网络安全监控方法
JPWO2019225257A1 (ja) 異常検知装置、異常検知方法およびプログラム
JPWO2019193786A1 (ja) ログ出力方法、ログ出力装置及びプログラム
JP7255710B2 (ja) 攻撃監視用センター装置、及び攻撃監視用端末装置
WO2019136954A1 (zh) 网络合规检测方法、装置、设备及介质
JP6939898B2 (ja) ビットアサイン推定装置、ビットアサイン推定方法、プログラム
JP2020092417A (ja) ノードデバイスが、許可できないメッセージをcanバス上に送信することを防止する方法及び装置
JP6828632B2 (ja) 検知装置、検知方法および検知プログラム
TWI736456B (zh) 異常封包偵測裝置及方法
CN112291239B (zh) 一种面向scada系统的网络物理模型及其入侵检测方法
WO2024007615A1 (zh) 模型训练方法、装置及相关设备
CN106416178A (zh) 用于识别自主的、自传播的软件的方法和设备
CN116527391A (zh) 端口扫描检测
WO2023223515A1 (ja) 攻撃経路推定システム、攻撃経路推定装置、攻撃経路推定方法及びプログラム
KR102295348B1 (ko) 운영 기술 데이터의 보안 위협 분석 및 탐지 방법
US11870693B2 (en) Kernel space based capture using intelligent packet selection paradigm and event output storage determination methodology
US11496394B2 (en) Internet of things (IoT) device identification on corporate networks via adaptive feature set to balance computational complexity and model bias
JP6819610B2 (ja) 診断装置、診断方法、及び、診断プログラム
JP6863290B2 (ja) 診断装置、診断方法、及び、診断プログラム