TWI785374B - 網路惡意行為偵測方法與利用其之交換系統 - Google Patents

網路惡意行為偵測方法與利用其之交換系統 Download PDF

Info

Publication number
TWI785374B
TWI785374B TW109129811A TW109129811A TWI785374B TW I785374 B TWI785374 B TW I785374B TW 109129811 A TW109129811 A TW 109129811A TW 109129811 A TW109129811 A TW 109129811A TW I785374 B TWI785374 B TW I785374B
Authority
TW
Taiwan
Prior art keywords
packet
network
module
subpacket
packets
Prior art date
Application number
TW109129811A
Other languages
English (en)
Other versions
TW202211659A (zh
Inventor
呂長達
黃士展
胡世銘
Original Assignee
威聯通科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 威聯通科技股份有限公司 filed Critical 威聯通科技股份有限公司
Priority to TW109129811A priority Critical patent/TWI785374B/zh
Priority to US17/015,977 priority patent/US11552973B2/en
Priority to CN202110988655.4A priority patent/CN114205105A/zh
Publication of TW202211659A publication Critical patent/TW202211659A/zh
Application granted granted Critical
Publication of TWI785374B publication Critical patent/TWI785374B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一種網路惡意行為偵測方法,係以不回應封包的被動方式過濾惡意封包,該方法包括:檢查各網路封包中是否具有一預定協議子封包集合中之一協議子封包,若判斷結果為是,則將與該判斷結果對應的各該網路封包標示為一可疑網路封包,若判斷結果為否,則驅使一路徑控制模組讓與該判斷結果對應的各該網路封包傳輸至一目標裝置;以及對至少一該可疑網路封包進行一惡意行為判斷程序,若判斷結果為是,則驅使該路徑控制模組禁止與該判斷結果對應的至少一該可疑網路封包傳輸至所述目標裝置,若判斷結果為否,則驅使該路徑控制模組允許與該判斷結果對應的至少一該可疑網路封包傳輸至所述目標裝置。

Description

網路惡意行為偵測方法與利用其之交換系統
本發明係有關於網路安全的確保方法,特別是關於一種可不影響正常封包傳輸速度的網路惡意行為偵測方法。
為了維護網路系統的機密性、完整性和可用性,在網路交換機(switch)上監聽網路封包以進行惡意或攻擊行為的偵測是常見的做法。
然而,在現今網路的高速傳輸環境下, 要檢視網路封包的全部內容實有困難。
為確保網路安全,中國WO2015027523專利提出一種確定TCP端口掃描的方法及裝置。該專利係藉由主動回應網路封包以偵測一端口掃描 (port scan)行為。
另外,台灣I436631專利提出一種偵測具有偽來源地址之埠掃瞄的方法和裝置。該專利係藉由主動回應網路封包以找出發起端口掃描 (port scan)之真正網路來源地址。
另外,美國8621060B2專利提出“System and method for network vulnerability detection and reporting”。該專利係藉由主動發出網路封包以探測連網裝置的安全漏洞。
然而,由於上述的專利都須主動回應網路封包,其資訊處理資源仍有被惡意裝置占用的風險。
為解決前述的問題,本領域亟需一新穎的網路惡意行為偵測方法。
1.本發明之一目的在於揭露一種網路惡意行為偵測方法,其可藉由兩階段的過濾程序提供對網路流量及網速之影響幾乎為零的防火牆效果。
2.本發明之一另目的在於揭露一種網路惡意行為偵測方法,其係以不回應封包的被動方式過濾惡意封包,因此較習知之須回應封包的主動方式更不會影響到正常網路封包的傳輸速度。
為達前述目的,一種網路惡意行為偵測方法乃被提出,其係由一交換系統實現,該交換系統具有一路徑控制模組、一封包特徵擷取模組、一鏡像處理模組、一特徵檢查模組及一封包行為分析模組,且該方法包括:
利用該封包特徵擷取模組擷取各網路封包中之網路層及/或傳送層及/或資料連結層之資料以各產生一特徵資料節段;
利用該封包特徵檢查模組檢查各該特徵資料節段中是否具有一預定協議子封包集合中之一協議子封包,若判斷結果為是,則驅使該鏡像處理模組依與該判斷結果對應之一該網路封包產生一鏡像封包,若判斷結果為否,則驅使該路徑控制模組讓與該判斷結果對應之一該網路封包傳輸至一目標裝置;以及
利用該封包行為分析模組對至少一該鏡像封包進行一惡意行為判斷程序,若判斷結果為是,則驅使該路徑控制模組禁止與該判斷結果對應之至少一該網路封包傳輸至所述目標裝置,若判斷結果為否,則驅使該路徑控制模組允許與該判斷結果對應之至少一該網路封包傳輸至所述目標裝置。
在一實施例中,該預定協議子封包集合包含ARP子封包、ICMP子封包、SYN為1的TCP子封包和目標網路地址之端口號碼為53之UDP子封包。
在可能的實施例中,所述惡意行為可為在一預定時間內出現複數個具有同一來源地址但不同目標地址的所述鏡像封包,在一預定時間內出現複數個具有同一來源地址、同一目標地址但不同端口地址的所述鏡像封包,所述鏡像封包的來源地址在一黑名單中,或所述鏡像封包的來源地址不在一白名單中。
在一實施例中,所述之網路惡意行為偵測方法進一步包含:利用一流量偵測模組在所述網路封包的流量低於一閾值時將所有的所述網路封包都放入該封包行為分析模組中進行該惡意行為判斷程序。
在一實施例中,所述之網路惡意行為偵測方法進一步包含:利用該封包特徵擷取模組執行一流量偵測程序以獲得所述網路封包之一流量數值,並在該流量數值低於一閾值時使各該網路封包均經該鏡像處理模組之處理而產生一該鏡像封包。
在一實施例中,所述之網路惡意行為偵測方法進一步包含:利用該封包特徵檢查模組執行一流量偵測程序以獲得所述特徵資料節段之一流量數值,並在該流量數值低於一閾值時使各該網路封包均經該鏡像處理模組之處理而產生一該鏡像封包。
為達上述目的,本發明進一步提出一種交換系統,其係設置於一網路上,且其具有一路徑控制模組、一封包特徵擷取模組、一鏡像處理模組、一封包特徵檢查模組及一封包行為分析模組以執行一網路惡意行為偵測方法,該方法包括:
利用該封包特徵擷取模組擷取各網路封包中之網路層及/或傳送層及/或資料連結層之資料以各產生一特徵資料節段;
利用該封包特徵檢查模組檢查各該特徵資料節段中是否具有一預定協議子封包集合中之一協議子封包,若判斷結果為是,則驅使該鏡像處理模組依與該判斷結果對應之一該網路封包產生一鏡像封包,若判斷結果為否,則驅使該路徑控制模組讓與該判斷結果對應之一該網路封包傳輸至一目標裝置;以及
利用該封包行為分析模組對至少一該鏡像封包進行一惡意行為判斷程序,若判斷結果為是,則驅使該路徑控制模組禁止與該判斷結果對應之至少一該網路封包傳輸至所述目標裝置,若判斷結果為否,則驅使該路徑控制模組允許與該判斷結果對應之至少一該網路封包傳輸至所述目標裝置。
在一實施例中,該路徑控制模組、該封包特徵擷取模組及該鏡像處理模組係實現於一交換機中。
在一實施例中,該封包特徵檢查模組和該封包行為分析模組係實現於同一資訊處理裝置或不同的資訊處理裝置中。
在一實施例中,該預定協議子封包集合包含ARP子封包、ICMP子封包、SYN為1的TCP子封包和目標網路地址之端口號碼為53之UDP子封包。
在一實施例中,所述惡意行為可為在一預定時間內出現複數個具有同一來源地址但不同目標地址的所述鏡像封包,在一預定時間內出現複數個具有同一來源地址、同一目標地址但不同端口地址的所述鏡像封包,所述鏡像封包的來源地址在一黑名單中,或所述鏡像封包的來源地址不在一白名單中。
在一實施例中,該黑名單包含與一惡意軟體關聯之一命令控制中繼主機(Command and Control Server)之一網路地址或一網域名稱。
在可能的實施例中,所述之網路惡意行為偵測方法可進一步包含:利用一流量偵測模組在所述網路封包的流量低於一閾值時將所有的所述網路封包都放入該封包行為分析模組中進行該惡意行為判斷程序;或利用該封包特徵擷取模組執行一流量偵測程序以獲得所述網路封包之一流量數值,並在該流量數值低於一閾值時使各該網路封包均經該鏡像處理模組之處理而產生一該鏡像封包;或利用該封包特徵檢查模組執行一流量偵測程序以獲得所述特徵資料節段之一流量數值,並在該流量數值低於一閾值時使各該網路封包均經該鏡像處理模組之處理而產生一該鏡像封包。
在一實施例中,該網路係一區域網路。
為達上述目的,本發明進一步提出一種網路惡意行為偵測方法,其係由一交換系統實現,該交換系統具有一路徑控制模組、一封包特徵檢查模組及一封包行為分析模組,該方法包括:
利用該封包特徵檢查模組檢查各網路封包中是否具有一預定協議子封包集合中之一協議子封包,若判斷結果為是,則將與該判斷結果對應的各該網路封包標示為一可疑網路封包,若判斷結果為否,則驅使該路徑控制模組讓與該判斷結果對應的各該網路封包傳輸至一目標裝置;以及
利用該封包行為分析模組對至少一該可疑網路封包進行一惡意行為判斷程序,若判斷結果為是,則驅使該路徑控制模組禁止與該判斷結果對應的至少一該可疑網路封包傳輸至所述目標裝置,若判斷結果為否,則驅使該路徑控制模組允許與該判斷結果對應的至少一該可疑網路封包傳輸至所述目標裝置。
在一實施例中,該預定協議子封包集合包含ARP子封包、ICMP子封包、SYN為1的TCP子封包和目標網路地址之端口號碼為53之UDP子封包。
在可能的實施例中,所述惡意行為可為在一預定時間內出現複數個具有同一來源地址但不同目標地址的所述鏡像封包,在一預定時間內出現複數個具有同一來源地址、同一目標地址但不同端口地址的所述鏡像封包,所述鏡像封包的來源地址在一黑名單中,或所述鏡像封包的來源地址不在一白名單中。
在可能的實施例中,所述之網路惡意行為偵測方法可進一步包含:利用一流量偵測模組在所述網路封包的流量低於一閾值時將所有的所述網路封包都放入該封包行為分析模組中進行該惡意行為判斷程序;或利用該封包特徵檢查模組執行一流量偵測程序以獲得所述網路封包之一流量數值,並在該流量數值低於一閾值時將所有的所述網路封包都放入該封包行為分析模組中進行該惡意行為判斷程序。
為達上述目的,本發明進一步提出一種交換系統,其係設置於一網路上,且其具有一路徑控制模組、一封包特徵檢查模組及一封包行為分析模組以執行一網路惡意行為偵測方法,該方法包括:
利用該封包特徵檢查模組檢查各網路封包中是否具有一預定協議子封包集合中之一協議子封包,若判斷結果為是,則將與該判斷結果對應的各該網路封包標示為一可疑網路封包,若判斷結果為否,則驅使該路徑控制模組讓與該判斷結果對應的各該網路封包傳輸至一目標裝置;以及
利用該封包行為分析模組對至少一該可疑網路封包進行一惡意行為判斷程序,若判斷結果為是,則驅使該路徑控制模組禁止與該判斷結果對應的至少一該可疑網路封包傳輸至所述目標裝置,若判斷結果為否,則驅使該路徑控制模組允許與該判斷結果對應的至少一該可疑網路封包傳輸至所述目標裝置。
在一實施例中,該預定協議子封包集合包含ARP子封包、ICMP子封包、SYN為1的TCP子封包和目標網路地址之端口號碼為53之UDP子封包。
在可能的實施例中,所述惡意行為可為在一預定時間內出現複數個具有同一來源地址但不同目標地址的所述鏡像封包,在一預定時間內出現複數個具有同一來源地址、同一目標地址但不同端口地址的所述鏡像封包,所述鏡像封包的來源地址在一黑名單中,或所述鏡像封包的來源地址不在一白名單中所組成群組所選擇的一種特徵。
在一實施例中,該黑名單包含與一惡意軟體關聯之一命令控制中繼主機(Command and Control Server)之一網路地址或一網域名稱。
在可能的實施例中,所述之網路惡意行為偵測方法可進一步包含:利用一流量偵測模組在所述網路封包的流量低於一閾值時將所有的所述網路封包都放入該封包行為分析模組中進行該惡意行為判斷程序;或利用該封包特徵檢查模組執行一流量偵測程序以獲得所述網路封包之一流量數值,並在該流量數值低於一閾值時將所有的所述網路封包都放入該封包行為分析模組中進行該惡意行為判斷程序。
為使 貴審查委員能進一步瞭解本發明之結構、特徵及其目的,茲附以圖式及較佳具體實施例之詳細說明如後。
本發明的原理在於:
(一)藉由檢查一網路封包的網路層、傳送層或資料連結層是否包含有惡意行為常使用的協議子封包,以決定是否將該網路封包視為一可疑網路封包;以及
(二)對各該可疑網路封包進行一惡意行為判斷程序,以決定是否阻擋該些可疑網路封包的傳輸路徑,其中,所述惡意行為係指在一預定時間內出現複數個具有同一來源地址但不同目標地址的所述可疑網路封包(IP 掃描攻擊),或在一預定時間內出現複數個具有同一來源地址、同一目標地址但不同端口地址的所述可疑網路封包(端口掃描攻擊),或所述可疑網路封包的來源地址在一黑名單(不允許存取名單)中,或所述可疑網路封包的來源地址不在一白名單(允許存取名單)中。
依上述的原理,本發明即可以不回應封包的被動方式過濾惡意封包,並在過濾的過程中藉由一簡短的過濾程序讓正常網路封包的傳輸盡量不受影響。
請參照圖1,其繪示本發明之交換系統之一實施例的方塊圖。如圖1所示,一交換系統100包含一路徑控制模組110、一封包特徵擷取模組120、一鏡像處理模組130、一封包特徵檢查模組140及一封包行為分析模組150,用以在一網路(例如但不限於一區域網路)上為多個資訊處理裝置提供具防火牆功能的網路封包交換功能。
路徑控制模組110係用以依一第一允許命令CPASS1 、一第二允許命令CPASS2 及一阻擋命令CSTOP 決定是否讓一網路封包DNP 傳輸至一目標裝置,其中,當第一允許命令CPASS1 或第二允許命令CPASS2 為作用狀態時,路徑控制模組110會讓網路封包DNP 傳輸至該目標裝置;當阻擋命令CSTOP 為作用狀態時,路徑控制模組110會阻止網路封包DNP 傳輸至該目標裝置。
封包特徵擷取模組120係用以擷取網路封包DNP 中之網路層及/或傳送層及/或資料連結層之資料以產生一特徵資料節段DCH
鏡像處理模組130係用以依一鏡像命令CMR 之控制將各可疑的網路封包DNP 之一鏡像封包DMR 傳送至封包行為分析模組150。
封包特徵檢查模組140係用以檢查各該特徵資料節段DCH 中是否具有一預定協議子封包集合中之一協議子封包,以決定產生第一允許命令CPASS1 或鏡像命令CMR ,其中,該預定協議子封包集合包括ARP(address resolution protocol;地址解析協議)子封包、ICMP(internet control message protocol;網際網路控制訊息協議)子封包、SYN(同步標誌)為1的TCP(transmission control protocol;傳輸控制協議)子封包、和目標網路地址之端口號碼為53之UDP(user datagram protocol;用戶數據報協議)子封包,並在特徵資料節段DCH 具有上述任一子封包 (亦即與特徵資料節段DCH 對應的網路封包DNP 為可疑的網路封包) 時,令鏡像命令CMR 處於作用狀態以使鏡像處理模組130依網路封包DNP 產生鏡像封包DMR ,及在特徵資料節段DCH 不具有上述任一子封包時令第一允許命令CPASS1 處於作用狀態以驅使路徑控制模組110讓網路封包DNP 傳輸至所述目標裝置。
封包行為分析模組150係用以對該些鏡像封包DMR 進行一惡意行為判斷程序,以決定是否阻擋與該些鏡像封包DMR 對應的該些可疑網路封包DNP 的傳輸路徑,其中,所述惡意行為係指在一預定時間內出現複數個具有同一來源地址但不同目標地址的鏡像封包DMR (IP 掃描攻擊),或在一預定時間內出現複數個具有同一來源地址、同一目標地址但不同端口地址的鏡像封包DMR (端口掃描攻擊),或鏡像封包DMR 的來源地址在一黑名單(不允許存取名單)中,該黑名單包含與一惡意軟體關聯之一命令控制中繼主機(Command and Control Server)之一網路地址或一網域名稱,或鏡像封包DMR 的來源地址不在一白名單(允許存取名單)中。當封包行為分析模組150判斷應阻擋該些可疑網路封包DNP 的傳輸路徑時,會使阻擋命令CSTOP 處於作用狀態以禁止該些可疑網路封包DNP 傳輸至所述目標裝置;當封包行為分析模組150判斷不須阻擋該些可疑網路封包DNP 的傳輸路徑時,會使第二允許命令CPASS2 處於作用狀態以使該些可疑網路封包DNP 傳輸至所述目標裝置。
另外,在可能的實施例中,路徑控制模組110、封包特徵擷取模組120及鏡像處理模組130可實現在一交換機中;且封包特徵檢查模組140和封包行為分析模組150可實現在同一資訊處理裝置或不同資訊處理裝置腦中。
具體而言,交換系統100可執行以下步驟:
(一)利用封包特徵擷取模組120擷取各網路封包DNP 中之網路層及/或傳送層及/或資料連結層之資料以各產生一特徵資料節段DCH
(二) 利用封包特徵檢查模組140檢查各該特徵資料節段中是否具有一預定協議子封包集合中之一協議子封包,以決定產生第一允許命令CPASS1 或鏡像命令CMR ,其中,該預定協議子封包集合包含ARP子封包、ICMP子封包、SYN為1的TCP子封包、和目標網路地址之端口號碼為53之UDP子封包,並在特徵資料節段DCH 具有上述任一子封包 (亦即與特徵資料節段DCH 對應的網路封包DNP 為可疑的網路封包) 時,令鏡像命令CMR 處於作用狀態以使鏡像處理模組130依網路封包DNP 產生鏡像封包DMR ,及在特徵資料節段DCH 不具有上述任一子封包時令第一允許命令CPASS1 處於作用狀態以驅使路徑控制模組110讓網路封包DNP 傳輸至一目標裝置;以及
(三)利用封包行為分析模組150對該些鏡像封包DMR 進行一惡意行為判斷程序,以決定是否阻擋與該些鏡像封包DMR 對應的該些可疑網路封包DNP 的傳輸路徑,其中所述惡意行為係指在一預定時間內出現複數個具有同一來源地址但不同目標地址的鏡像封包DMR (IP 掃描攻擊),或在一預定時間內出現複數個具有同一來源地址、同一目標地址但不同端口地址的鏡像封包DMR (端口掃描攻擊),或鏡像封包DMR 的來源地址在一黑名單(不允許存取名單)中,該黑名單包含與一惡意軟體關聯之一命令控制中繼主機(Command and Control Server)之一網路地址或一網域名稱,或鏡像封包DMR 的來源地址不在一白名單(允許存取名單)中,且其中當封包行為分析模組150判斷應阻擋該些可疑網路封包DNP 的傳輸路徑時,會使阻擋命令CSTOP 處於作用狀態以禁止該些可疑網路封包DNP 傳輸至所述目標裝置;當封包行為分析模組150判斷不須阻擋該些可疑網路封包DNP 的傳輸路徑時,會使第二允許命令CPASS2 處於作用狀態以使該些可疑網路封包DNP 傳輸至所述目標裝置。
亦即,圖1之交換系統可實現一種新穎的網路惡意行為偵測方法。請參照圖2,其為本發明之網路惡意行為偵測方法之一實施例的流程圖。如圖2所示,該方法包括:在一交換系統內設置一路徑控制模組、一封包特徵擷取模組、一鏡像處理模組、一封包特徵檢查模組及一封包行為分析模組(步驟a1);利用該封包特徵擷取模組擷取各網路封包中之網路層及/或傳送層及/或資料連結層之資料以產生一特徵資料節段(步驟a2);利用該封包特徵檢查模組檢查各該特徵資料節段中是否具有一預定協議子封包集合中之一協議子封包,以決定產生一第一允許命令或一鏡像命令,其中,該預定協議子封包集合包含ARP子封包、ICMP子封包、SYN為1的TCP子封包和目標網路地址之端口號碼為53之UDP子封包,若判斷結果為是,則令該鏡像命令處於作用狀態以使該鏡像處理模組依與該判斷結果對應之一該網路封包產生一鏡像封包,若判斷結果為否,則令該第一允許命令處於作用狀態以驅使該路徑控制模組讓與該判斷結果對應之一該網路封包傳輸至一目標裝置(步驟a3);以及利用該封包行為分析模組對至少一該鏡像封包進行一惡意行為判斷程序,若判斷結果為是,則令一阻擋命令處於作用狀態以驅使該路徑控制模組禁止與該判斷結果對應之至少一該網路封包傳輸至所述目標裝置,若判斷結果為否,則令該第二允許命令處於作用狀態以驅使該路徑控制模組允許與該判斷結果對應之至少一該網路封包傳輸至所述目標裝置,其中所述惡意行為包含由在一預定時間內出現複數個具有同一來源地址但不同目標地址的所述鏡像封包,在一預定時間內出現複數個具有同一來源地址、同一目標地址但不同端口地址的所述鏡像封包,所述鏡像封包的來源地址在一黑名單中,和所述鏡像封包的來源地址不在一白名單中所組成群組所選擇的一種特徵 (步驟a4)。
依上述的說明,本發明即可在幾乎不影響正常資訊處理裝置的網路存取體驗的情況下有效阻擋惡意裝置對正常資訊處理裝置的攻擊。請參照圖3,其為圖1之交換系統之一應用例的示意圖。如圖3所示,在此應用例中,交換系統100係與資訊處理裝置200a、200b及一惡意裝置200c分別耦接以處理資訊處理裝置200a、200b及惡意裝置200c發出的網路封包。於操作時,請參照圖4a,當資訊處理裝置200a發出目標為資訊處理裝置200b之一網路封包DNP ,亦即在正常資訊處理裝置間進行網路通信時,交換系統100在執行圖2的方法後會讓該網路封包DNP 傳輸到資訊處理裝置200b;以及請參照圖4b,當惡意裝置200c發出目標為資訊處理裝置200b之一網路封包DNP ,亦即在惡意裝置對正常資訊處理裝置進行攻擊時,交換系統100在執行圖2的方法後會攔截該網路封包DNP
另外,由於在低流量的狀態下將所有的網路封包DNP 都放入封包行為分析模組150中進行該惡意行為判斷程序對網路存取體驗不會有太大的影響,因此,在可能的實施例中,交換系統100可具有一流量偵測功能以在網路封包DNP 的流量低於一閾值時將所有的網路封包DNP 都放入封包行為分析模組150中進行該惡意行為判斷程序。例如,封包特徵檢查模組140可具有一流量偵測程序以獲得特徵資料節段DCH 之一流量數值,並在該流量數值低於一閾值時令鏡像命令CMR 處於作用狀態,以使各網路封包DNP 均經鏡像處理模組130處理而產生一鏡像封包DMR ;或利用該封包特徵擷取模組120執行一流量偵測程序以獲得所述網路封包DNP 之一流量數值,並在該流量數值低於一閾值時使各該網路封包DNP 均經該鏡像處理模組130之處理而產生一該鏡像封包DMR ;或者,可增加一流量偵測模組以偵測網路封包DNP 或特徵資料節段DCH 之一流量數值,並在該流量數值低於一閾值時驅使鏡像處理模組130依網路封包DNP 產生鏡像封包DMR
依上述的詳細說明,本發明進一步提出本發明之交換系統之另一實施例。請參照圖5,其繪示本發明之交換系統之另一實施例的方塊圖。如圖5所示,一交換系統300包含一路徑控制模組310、一封包特徵檢查模組320及一封包行為分析模組330,用以在一網路(例如但不限於一區域網路)上為多個資訊處理裝置提供具防火牆功能的網路封包交換功能。
路徑控制模組310係用以依一第一允許命令CPASS1 、一第二允許命令CPASS2 及一阻擋命令CSTOP 決定是否讓一網路封包DNP 傳輸至一目標裝置,其中,當第一允許命令CPASS1 或第二允許命令CPASS2 為作用狀態時,路徑控制模組310會讓網路封包DNP 傳輸至該目標裝置;當阻擋命令CSTOP 為作用狀態時,路徑控制模組310會阻止網路封包DNP 傳輸至該目標裝置。
封包特徵檢查模組320係用以檢查各該網路封包DNP 中是否具有一預定協議子封包集合中之一協議子封包,若判斷結果為是,則將與該判斷結果對應的各該網路封包DNP 標示為一可疑網路封包DNPQ ,若判斷結果為否,則使第一允許命令CPASS1 處於作用狀態以驅使該路徑控制模組310讓與該判斷結果對應的各該網路封包DNP 傳輸至一目標裝置,其中,該預定協議子封包集合包括ARP(address resolution protocol;地址解析協議)子封包、ICMP(internet control message protocol;網際網路控制訊息協議)子封包、SYN(同步標誌)為1的TCP(transmission control protocol;傳輸控制協議)子封包、和目標網路地址之端口號碼為53之UDP(user datagram protocol;用戶數據報協議)子封包。
封包行為分析模組330係用以對至少一該可疑網路封包DNPQ 進行一惡意行為判斷程序,若判斷結果為是,則使阻擋命令CSTOP 處於作用狀態以驅使該路徑控制模組310禁止與該判斷結果對應的至少一該可疑網路封包傳輸DNPQ 至所述目標裝置,若判斷結果為否,則使第二允許命令CPASS2 處於作用狀態以驅使該路徑控制模組310允許與該判斷結果對應的至少一該可疑網路封包DNPQ 傳輸至所述目標裝置,其中,所述惡意行為係指在一預定時間內出現複數個具有同一來源地址但不同目標地址的可疑網路封包DNPQ (IP 掃描攻擊),或在一預定時間內出現複數個具有同一來源地址、同一目標地址但不同端口地址的可疑網路封包DNPQ (端口掃描攻擊),或可疑網路封包DNPQ 的來源地址在一黑名單(不允許存取名單)中,該黑名單包含與一惡意軟體關聯之一命令控制中繼主機(Command and Control Server)之一網路地址或一網域名稱,或可疑網路封包DNPQ 的來源地址不在一白名單(允許存取名單)中。
依圖5之技術方案,本發明進一步提出本發明之網路惡意行為偵測方法之另一實施例。請參照圖6,其為本發明之網路惡意行為偵測方法之另一實施例的流程圖。如圖6所示,該方法包括:在一交換系統內設置一路徑控制模組、一封包特徵檢查模組及一封包行為分析模組(步驟b1);利用該封包特徵檢查模組檢查各網路封包中是否具有一預定協議子封包集合中之一協議子封包,若判斷結果是,則將與該判斷結果對應的各該網路封包標示為一可疑網路封包,若判斷結果否,則驅使該路徑控制模組讓與該判斷結果對應的各該網路封包傳輸至一目標裝置 (步驟b2);以及利用該封包行為分析模組對至少一該可疑網路封包進行一惡意行為判斷程序,若判斷結果為是,則驅使該路徑控制模組禁止與該判斷結果對應的至少一該可疑網路封包傳輸至所述目標裝置,若判斷結果為否,則驅使該路徑控制模組允許與該判斷結果對應的至少一該可疑網路封包傳輸至所述目標裝置 (步驟b3)。
在步驟b2中,該預定協議子封包集合包含ARP子封包、ICMP子封包、SYN為1的TCP子封包和目標網路地址之端口號碼為53之UDP子封包。
在步驟b3中,所述惡意行為可為在一預定時間內出現複數個具有同一來源地址但不同目標地址的所述鏡像封包,在一預定時間內出現複數個具有同一來源地址、同一目標地址但不同端口地址的所述鏡像封包,所述鏡像封包的來源地址在一黑名單中,該黑名單包含與一惡意軟體關聯之一命令控制中繼主機(Command and Control Server)之一網路地址或一網域名稱,或所述鏡像封包的來源地址不在一白名單中。
藉由前述所揭露的設計,本發明乃具有以下的優點:
1.本發明的網路惡意行為偵測方法可藉由兩階段的過濾程序提供對網路流量及網速之影響幾乎為零的防火牆效果。
2.本發明的網路惡意行為偵測方法係以不回應封包的被動方式過濾惡意封包,因此較習知之須回應封包的主動方式更不會影響到正常網路封包的傳輸速度。
本案所揭示者,乃較佳實施例,舉凡局部之變更或修飾而源於本案之技術思想而為熟習該項技藝之人所易於推知者,俱不脫本案之專利權範疇。
綜上所陳,本案無論目的、手段與功效,皆顯示其迥異於習知技術,且其首先發明合於實用,確實符合發明之專利要件,懇請  貴審查委員明察,並早日賜予專利俾嘉惠社會,是為至禱。
100:交換系統 110:路徑控制模組 120:封包特徵擷取模組 130:鏡像處理模組 140:封包特徵檢查模組 150:封包行為分析模組 200a:資訊處理裝置 200b:資訊處理裝置 200c:惡意裝置 300:交換系統 310:路徑控制模組 320:封包特徵檢查模組 330:封包行為分析模組 步驟a1:在一交換系統內設置一路徑控制模組、一封包特徵擷取模組、一鏡像處理模組、一特徵檢查模組及一封包行為分析模組 步驟a2:利用該封包特徵擷取模組擷取各網路封包中之網路層及/或傳送層及/或資料連結層之資料以產生一特徵資料節段 步驟a3:利用該封包特徵檢查模組檢查各該特徵資料節段中是否具有一預定協議子封包集合中之一協議子封包,以決定產生一第一允許命令或一鏡像命令,其中,該預定協議子封包集合包含ARP子封包、ICMP子封包、SYN為1的TCP子封包和目標網路地址之端口號碼為53之UDP子封包,若判斷結果為是,則令該鏡像命令處於作用狀態以使該鏡像處理模組依與該判斷結果對應之一該網路封包產生一鏡像封包,若判斷結果為否,則令該第一允許命令處於作用狀態以驅使該路徑控制模組讓與該判斷結果對應之一該網路封包傳輸至一目標裝置 步驟a4:利用該封包行為分析模組對至少一該鏡像封包進行一惡意行為判斷程序,若判斷結果為是,則令一阻擋命令處於作用狀態以驅使該路徑控制模組禁止與該判斷結果對應之至少一該網路封包傳輸至所述目標裝置,若判斷結果為否,則令該第二允許命令處於作用狀態以驅使該路徑控制模組允許與該判斷結果對應之至少一該網路封包傳輸至所述目標裝置,其中所述惡意行為包含由在一預定時間內出現複數個具有同一來源地址但不同目標地址的所述鏡像封包,在一預定時間內出現複數個具有同一來源地址、同一目標地址但不同端口地址的所述鏡像封包,所述鏡像封包的來源地址在一黑名單中,和所述鏡像封包的來源地址不在一白名單中所組成群組所選擇的一種特徵 步驟b1:在一交換系統內設置一路徑控制模組、一封包特徵檢查模組及一封包行為分析模組 步驟b2:利用該封包特徵檢查模組檢查各網路封包中是否具有一預定協議子封包集合中之一協議子封包,若判斷結果為是,則將與該判斷結果對應的各該網路封包標示為一可疑網路封包,若判斷結果為否,則驅使該路徑控制模組讓與該判斷結果對應的各該網路封包傳輸至一目標裝置 步驟b3:利用該封包行為分析模組對至少一該可疑網路封包進行一惡意行為判斷程序,若判斷結果為是,則驅使該路徑控制模組禁止與該判斷結果對應的至少一該可疑網路封包傳輸至所述目標裝置,若判斷結果為否,則驅使該路徑控制模組允許與該判斷結果對應的至少一該可疑網路封包傳輸至所述目標裝置
圖1繪示本發明之交換系統之一實施例的方塊圖。 圖2為本發明之網路惡意行為偵測方法之一實施例的流程圖。 圖3為圖1之交換系統之一應用例的示意圖。 圖4a為圖1之交換系統100處理正常資訊處理裝置間之網路通信的示意圖。 圖4b為圖1之交換系統100處理惡意裝置對正常資訊處理裝置的攻擊行為的示意圖。 圖5為本發明之網路惡意行為偵測方法之另一實施例的流程圖。 圖6為本發明之交換系統之另一實施例的方塊圖。
步驟b1:在一交換系統內設置一路徑控制模組、一封包特徵檢查模組及一封包行為分析模組
步驟b2:利用該封包特徵檢查模組檢查各網路封包中是否具有一預定協議子封包集合中之一協議子封包,若判斷結果為是,則將與該判斷結果對應的各該網路封包標示為一可疑網路封包,若判斷結果為否,則驅使該路徑控制模組讓與該判斷結果對應的各該網路封包傳輸至一目標裝置
步驟b3:利用該封包行為分析模組對至少一該可疑網路封包進行一惡意行為判斷程序,若判斷結果為是,則驅使該路徑控制模組禁止與該判斷結果對應的至少一該可疑網路封包傳輸至所述目標裝置,若判斷結果為否,則驅使該路徑控制模組允許與該判斷結果對應的至少一該可疑網路封包傳輸至所述目標裝置

Claims (12)

  1. 一種網路惡意行為偵測方法,其係由一交換系統實現,該交換系統具有一路徑控制模組、一封包特徵擷取模組、一鏡像處理模組、一封包特徵檢查模組及一封包行為分析模組,該方法包括:利用該封包特徵擷取模組擷取各網路封包中之網路層及/或傳送層及/或資料連結層之資料以各產生一特徵資料節段;利用該封包特徵檢查模組檢查各該特徵資料節段中是否具有一預定協議子封包集合中之一協議子封包,若判斷結果為是,則驅使該鏡像處理模組依與該判斷結果對應之一該網路封包產生一鏡像封包,若否,則驅使該路徑控制模組讓與該判斷結果對應之一該網路封包傳輸至一目標裝置;以及利用該封包行為分析模組對至少一該鏡像封包進行一惡意行為判斷程序,若判斷結果為是,則驅使該路徑控制模組禁止與該判斷結果對應之至少一該網路封包傳輸至所述目標裝置,若判斷結果為否,則驅使該路徑控制模組允許與該判斷結果對應之至少一該網路封包傳輸至所述目標裝置;其中,該預定協議子封包集合包含ARP子封包、ICMP子封包、TCP子封包和UDP子封包。
  2. 如申請專利範圍第1項所述之網路惡意行為偵測方法,其中,所述TCP子封包係SYN為1的TCP子封包,且所述UDP子封包係目標網路地址之端口號碼為53之UDP子封包。
  3. 如申請專利範圍第1項所述之網路惡意行為偵測方法,其中所述惡意行為包含由在一預定時間內出現複數個具有同一來源地址但不同目標地址的所述鏡像封包,在一預定時間內出現複數個具有同一來源地址、同一目標地址但不同端口地址的所述鏡像封包,所述鏡像封包的來源地址在一黑名單中,和所述鏡像封包的來源地址不在一白名單中所組成群組所選擇的一種特徵。
  4. 如申請專利範圍第1項所述之網路惡意行為偵測方法,其進一步包含:利用一流量偵測模組在所述網路封包的流量低於一閾值時將所有的所述網路封包都放入該封包行為分析模組中進行該惡意行為判斷程序;或利用該 封包特徵擷取模組執行一流量偵測程序以獲得所述網路封包之一流量數值,並在該流量數值低於一閾值時使各該網路封包均經該鏡像處理模組之處理而產生一該鏡像封包;或利用該封包特徵檢查模組執行一流量偵測程序以獲得所述特徵資料節段之一流量數值,並在該流量數值低於一閾值時使各該網路封包均經該鏡像處理模組之處理而產生一該鏡像封包。
  5. 一種交換系統,設置於一網路上,其具有一路徑控制模組、一封包特徵擷取模組、一鏡像處理模組、一封包特徵檢查模組及一封包行為分析模組以執行一網路惡意行為偵測方法,該方法包括:利用該封包特徵擷取模組擷取各網路封包中之網路層及/或傳送層及/或資料連結層之資料以各產生一特徵資料節段;利用該封包特徵檢查模組檢查各該特徵資料節段中是否具有一預定協議子封包集合中之一協議子封包,若判斷結果為是,則驅使該鏡像處理模組依與該判斷結果對應之一該網路封包產生一鏡像封包,若否,則驅使該路徑控制模組讓與該判斷結果對應之一該網路封包傳輸至一目標裝置;以及利用該封包行為分析模組對至少一該鏡像封包進行一惡意行為判斷程序,若判斷結果為是,則驅使該路徑控制模組禁止與該判斷結果對應之至少一該網路封包傳輸至所述目標裝置,若判斷結果為否,則驅使該路徑控制模組允許與該判斷結果對應之至少一該網路封包傳輸至所述目標裝置;其中,該預定協議子封包集合包含ARP子封包、ICMP子封包、TCP子封包和UDP子封包。
  6. 如申請專利範圍第5項所述之交換系統,其中,該路徑控制模組、該封包特徵擷取模組及該鏡像處理模組係實現於一交換機中。
  7. 如申請專利範圍第5項所述之交換系統,其中,該封包特徵檢查模組和該封包行為分析模組係實現於同一資訊處理裝置或不同的資訊處理裝置中。
  8. 如申請專利範圍第5項所述之交換系統,其中,所述TCP子封包係SYN為1的TCP子封包,且所述UDP子封包係目標網路地址之端口號碼為53之UDP子封包。
  9. 如申請專利範圍第5項所述之交換系統,其中所述惡意行為包含由在一預定時間內出現複數個具有同一來源地址但不同目標地址的所述鏡像封包,在一預定時間內出現複數個具有同一來源地址、同一目標地址但不同端口地址的所述鏡像封包,所述鏡像封包的來源地址在一黑名單中,和所述鏡像封包的來源地址不在一白名單中所組成群組所選擇的一種特徵。
  10. 如申請專利範圍第9項所述之交換系統,其中,該黑名單包含與一惡意軟體關聯之一命令控制中繼主機之一網路地址或一網域名稱。
  11. 如申請專利範圍第5項所述之交換系統,其中,所述之網路惡意行為偵測方法進一步包含:利用一流量偵測模組在所述網路封包的流量低於一閾值時將所有的所述網路封包都放入該封包行為分析模組中進行該惡意行為判斷程序;或利用該封包特徵擷取模組執行一流量偵測程序以獲得所述網路封包之一流量數值,並在該流量數值低於一閾值時使各該網路封包均經該鏡像處理模組之處理而產生一該鏡像封包;或利用該封包特徵檢查模組執行一流量偵測程序以獲得所述特徵資料節段之一流量數值,並在該流量數值低於一閾值時使各該網路封包均經該鏡像處理模組之處理而產生一該鏡像封包。
  12. 如申請專利範圍第5項所述之交換系統,其中,該網路係一區域網路。
TW109129811A 2020-09-01 2020-09-01 網路惡意行為偵測方法與利用其之交換系統 TWI785374B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW109129811A TWI785374B (zh) 2020-09-01 2020-09-01 網路惡意行為偵測方法與利用其之交換系統
US17/015,977 US11552973B2 (en) 2020-09-01 2020-09-09 Network malicious behavior detection method and networking system using same
CN202110988655.4A CN114205105A (zh) 2020-09-01 2021-08-26 网络恶意行为检测方法与利用其的交换系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW109129811A TWI785374B (zh) 2020-09-01 2020-09-01 網路惡意行為偵測方法與利用其之交換系統

Publications (2)

Publication Number Publication Date
TW202211659A TW202211659A (zh) 2022-03-16
TWI785374B true TWI785374B (zh) 2022-12-01

Family

ID=80359003

Family Applications (1)

Application Number Title Priority Date Filing Date
TW109129811A TWI785374B (zh) 2020-09-01 2020-09-01 網路惡意行為偵測方法與利用其之交換系統

Country Status (3)

Country Link
US (1) US11552973B2 (zh)
CN (1) CN114205105A (zh)
TW (1) TWI785374B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI785374B (zh) * 2020-09-01 2022-12-01 威聯通科技股份有限公司 網路惡意行為偵測方法與利用其之交換系統
CN116436698B (zh) * 2023-06-08 2023-09-05 深圳宏途教育网络科技有限公司 一种智慧校园网络安全防护系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7251215B1 (en) * 2002-08-26 2007-07-31 Juniper Networks, Inc. Adaptive network router
US8510821B1 (en) * 2010-06-29 2013-08-13 Amazon Technologies, Inc. Tiered network flow analysis
US9430646B1 (en) * 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US20170063682A1 (en) * 2015-08-25 2017-03-02 Google Inc. Systems and methods for externalizing network functions via packet trunking
US10498612B2 (en) * 2016-09-27 2019-12-03 Mellanox Technologies Tlv Ltd. Multi-stage selective mirroring
US20200267170A1 (en) * 2017-01-23 2020-08-20 Cyphort Inc. System and method for detecting and classifying malware

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7543056B2 (en) 2002-01-15 2009-06-02 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7809826B1 (en) * 2005-01-27 2010-10-05 Juniper Networks, Inc. Remote aggregation of network traffic profiling data
US20070245417A1 (en) * 2006-04-17 2007-10-18 Hojae Lee Malicious Attack Detection System and An Associated Method of Use
US7962957B2 (en) 2007-04-23 2011-06-14 International Business Machines Corporation Method and apparatus for detecting port scans with fake source address
CN101453363A (zh) * 2007-11-28 2009-06-10 英业达股份有限公司 网络入侵检测系统
TWI346492B (en) * 2007-11-28 2011-08-01 Inventec Corp System for intrusion protection system
CN101453365A (zh) * 2007-12-05 2009-06-10 英业达股份有限公司 网络入侵防护系统
TWI410080B (zh) * 2009-09-18 2013-09-21 Hon Hai Prec Ind Co Ltd 無線路由器及利用該無線路由器預防惡意掃描的方法
US20140198790A1 (en) * 2013-01-17 2014-07-17 International Business Machines Corporation Data link layer analysis with packet trace replay
TW201441861A (zh) * 2013-04-30 2014-11-01 Chunghwa Telecom Co Ltd 防禦網路攻擊之抽樣偵測系統及方法
WO2015027523A1 (zh) 2013-09-02 2015-03-05 北京东土科技股份有限公司 一种确定tcp端口扫描的方法及装置
WO2015138518A1 (en) * 2014-03-11 2015-09-17 Vectra Networks, Inc. Detecting network reconnaissance by tracking intranet dark-net communications
US10212178B2 (en) * 2015-04-07 2019-02-19 Zingbox, Ltd. Packet analysis based IoT management
US10887330B2 (en) * 2015-12-15 2021-01-05 Flying Cloud Technologies, Inc. Data surveillance for privileged assets based on threat streams
US10516689B2 (en) * 2015-12-15 2019-12-24 Flying Cloud Technologies, Inc. Distributed data surveillance in a community capture environment
CN106909847B (zh) * 2017-02-17 2020-10-16 国家计算机网络与信息安全管理中心 一种恶意代码检测的方法、装置及系统
CN109271790A (zh) * 2018-09-30 2019-01-25 国网湖南省电力有限公司 一种基于流量分析的恶意站点访问拦截方法及检测系统
JP7079721B2 (ja) * 2018-12-05 2022-06-02 アラクサラネットワークス株式会社 ネットワーク異常検知装置、ネットワーク異常検知システム及びネットワーク異常検知方法
TWI785374B (zh) * 2020-09-01 2022-12-01 威聯通科技股份有限公司 網路惡意行為偵測方法與利用其之交換系統

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7251215B1 (en) * 2002-08-26 2007-07-31 Juniper Networks, Inc. Adaptive network router
US8510821B1 (en) * 2010-06-29 2013-08-13 Amazon Technologies, Inc. Tiered network flow analysis
US9430646B1 (en) * 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US20170063682A1 (en) * 2015-08-25 2017-03-02 Google Inc. Systems and methods for externalizing network functions via packet trunking
US10498612B2 (en) * 2016-09-27 2019-12-03 Mellanox Technologies Tlv Ltd. Multi-stage selective mirroring
US20200267170A1 (en) * 2017-01-23 2020-08-20 Cyphort Inc. System and method for detecting and classifying malware

Also Published As

Publication number Publication date
US11552973B2 (en) 2023-01-10
CN114205105A (zh) 2022-03-18
US20220070192A1 (en) 2022-03-03
TW202211659A (zh) 2022-03-16

Similar Documents

Publication Publication Date Title
US11516181B2 (en) Device, system and method for defending a computer network
US10587636B1 (en) System and method for bot detection
US8561177B1 (en) Systems and methods for detecting communication channels of bots
JP4545647B2 (ja) 攻撃検知・防御システム
JP4480422B2 (ja) 不正アクセス阻止方法、装置及びシステム並びにプログラム
US8204984B1 (en) Systems and methods for detecting encrypted bot command and control communication channels
Weaver et al. Very fast containment of scanning worms, revisited
US7653941B2 (en) System and method for detecting an infective element in a network environment
Chao-Yang DOS attack analysis and study of new measures to prevent
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
GB2414627A (en) Network administration
TWI785374B (zh) 網路惡意行為偵測方法與利用其之交換系統
JP2004302538A (ja) ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
JP3652661B2 (ja) サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム
WO2005026872A2 (en) Internal lan perimeter security appliance composed of a pci card and complementary software
JP3790486B2 (ja) パケット中継装置、パケット中継システムおよびオトリ誘導システム
JP3760919B2 (ja) 不正アクセス防止方法、装置、プログラム
CN109274638A (zh) 一种攻击源接入自动识别处理的方法和路由器
KR100613904B1 (ko) 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
Khirwadkar Defense against network attacks using game theory
Rm et al. A comprehensive approach for network security
JP3947138B2 (ja) DDoS防御方法及びDDoS防御機能付きルータ装置
CN115208596B (zh) 网络入侵防御方法、装置及存储介质
Salim et al. A precise model to secure systems on Ethernet against man-in-the-middle attack
CN116996294A (zh) 一种网络安全防护方法、装置及设备