网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体制造方法及图纸

一种网络攻击模式的判断装置、方法及其计算机可读取储存媒体。该判断装置储存多个攻击模式及多笔存取记录。各存取记录具有网络地址、时间戳及存取内容。各攻击模式对应至少一攻击存取关联，且各攻击存取关联由一网络地址及一存取内容界定。该判断装置根据至少一攻击地址撷取多笔攻击记录，而各攻击记录所具有的网络地址为攻击地址之一。该判断装置根据该些时间戳将该些攻击记录区分为多群组，且对各群组执行：(a)为该群组所具有的各攻击地址建立至少一存取关联，及(b)根据该群组所具有的该至少一存取关联，判断该群组对应至该些攻击模式之一。

【技术实现步骤摘要】
网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体
本专利技术系关于一种网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体。更具体而言，本专利技术系关于一种利用存取记录以判断及预测网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体。
技术介绍
随着科技的快速发展，政府与企业的运作以及使用者的日常生活皆已脱离不了计算机及网络。基于各式各样的目的，黑客会攻击网络上的服务器/计算机。一般而言，黑客所采取的攻击可区分为破坏型攻击及入侵型攻击二类。破坏型攻击的目的在于破坏攻击的目标，使目标瘫痪而无法正常运作。入侵型攻击则是会取得攻击的目标的某些权限，进而控制被入侵的目标以执行特定运作。入侵型攻击通常是在服务器、应用软件或网络通信协议中的漏洞中执行。为避免网络上的计算机受到黑客的攻击，某些习知技术采用专家规则式过滤机制。具体而言，管理者利用一预先决定的过滤名单，并根据过滤名单过滤来访的其他装置，藉此达到资安维护的目的。过滤名单可包含欲过滤的因特网地址，或是恶意软件的程序代码中的特征值。然而，黑名单并无法实时被更新，故仍存在资安防护的空窗期。另外，某些习知技术则是采取动态实时扫描(例如：扫描网页内容)。虽然此种作法能减少资安维护的空窗期，却会大量地消耗运算资源。不论是何种习知技术，皆无法将攻击模式提供予用户参考，亦无法预测未来可能发生的攻击模式以让用户事先预防。基于前述说明，本领域仍亟需一种能有效地得知及预测攻击模式的技术。
技术实现思路
本专利技术的一目的在于提供一种网络攻击模式(AttackPattern)的判断装置。该判断装置包含一储存单元及一处理单元，且该储存单元及该处理单元彼此电性连接。该储存单元储存多个攻击模式以及一网络节点的多笔存取记录。各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳(TimeStamp)与一存取内容。各该攻击模式对应到至少一攻击存取关联，其中各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定。该处理单元根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录，其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一。该处理单元更根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组。该处理单元更针对各该第一群组执行以下运作：(a)根据该第一群组所包含的该些攻击记录，为该第一群组所包含的各该至少一攻击地址建立至少一存取关联，各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定，以及(b)根据该第一群组所包含的该至少一存取关联，判断该第一群组对应至该些攻击模式中的一特定攻击模式。本专利技术的另一目的在于提供一种网络攻击模式的判断方法，其系适用于一电子计算装置。该电子计算装置储存多个攻击模式及一网络节点的多笔存取记录。各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容。各该攻击模式对应到至少一攻击存取关联，其中各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定。该判断方法包含下列步骤：(a)根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录，其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一，(b)根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组，以及(c)对各该第一群组执行以下步骤：(c1)根据该第一群组所包含的该些攻击记录，为该第一群组所包含的各该至少一攻击地址建立至少一存取关联，各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定，以及(c2)根据该第一群组所包含的该至少一存取关联，判断该第一群组对应至该些攻击模式中的一特定攻击模式。本专利技术的又一目的在于提供一种计算机可读取储存媒体，该计算机可读取储存媒体储存有计算机程序产品。一电子计算装置储存多个攻击模式及一网络节点的多笔存取记录。各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容。各该攻击模式对应到至少一攻击存取关联，其中各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定。该电子计算装置加载该计算机程序产品后，该电子计算装置执行该计算机程序产品所包含的多个程序指令，以执行前段所述的网络攻击模式的判断方法。本专利技术所提供的网络攻击模式判断技术(包含装置、方法及其计算机可读取储存媒体)在获知至少一攻击地址的情况下，会撷取与该至少一攻击地址相关的多笔攻击记录，将该些攻击记录区分为多个群组，再将各群组所对应的存取关联与攻击模式的攻击存取关联比对。透过前述运作，本专利技术可判断出各群组所对应的攻击模式，甚至能进一步地预测出未来可能发生的攻击模式。以下结合图式阐述本专利技术的详细技术及实施方式，使本领域普通技术人员能理解所请求保护的专利技术的技术特征。附图说明图1A系描绘第一实施方式的网络攻击模式的判断装置的架构示意图；图1B系描绘存取记录10a、……、10b的一具体范例；图1C系描绘第一群组16a、16b、16c的一具体范例；图2A系描绘第二实施方式的网络攻击模式的判断方法的流程图；以及图2B系描绘本专利技术的网络攻击模式的判断方法的某些实施方式所执行的流程图。符号说明1：判断装置11：储存单元13：处理单元10a、10b：存取记录12a、12b、12c：攻击模式14a、14b、14c、14d、14e、14f：攻击记录16a、16b、16c：第一群组T1、T2：时间间隔S201～S217：步骤S221～S225：步骤具体实施方式以下将透过实施方式来解释本专利技术所提供的网络攻击模式(AttackPattern)的判断装置、判断方法及其计算机可读取储存媒体。然而，该些实施方式并非用以限制本专利技术需在如该些实施方式所述的任何环境、应用或方式方能实施。因此，关于实施方式的说明仅为阐释本专利技术的目的，而非用以限制本专利技术的范围。应理解，在以下实施方式及附图中，与本专利技术非直接相关的元件已省略而未绘示，且各元件的尺寸以及元件间的尺寸比例仅为例示而已，而非用以限制本专利技术的范围。本专利技术的第一实施方式为一网络攻击模式的判断装置1，其架构示意图系描绘于图1A。判断装置1包含一储存单元11及一处理单元13，且二者彼此电性连接。储存单元11可为一存储器、一通用串行总线(UniversalSerialBus；USB)碟、一硬盘、一光盘(CompactDisk；CD)、一随身碟、一磁带、一数据库或本专利技术所属
中具有通常知识者所知且具有相同功能的任何其他储存媒体或电路。处理单元13可为各种处理器、中央处理单元(CentralProcessingUnit；CPU)、微处理器或本专利技术所属
中具有通常知识者所知的其他计算装置中的任一者。储存单元11储存一网络节点的多笔存取记录10a、……、10b(亦即，其他主机存取该网络节点的存取记录)。该网络节点可为判断装置1，亦可为一网络系统中的其他网络节点。举例而言，该网络节点可为一服务器(例如：一网站服务器)。存取记录10a、……、10b的每一笔包含一主机的一网络地址及该主机存取该网络节点的一时间戳(TimeStamp)与一存取内本文档来自技高网...

【技术保护点】
一种网络攻击模式的判断装置，其特征在于，包含：一储存单元，储存多个攻击模式以及一网络节点的多笔存取记录，各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容，各该攻击模式对应到至少一攻击存取关联，各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定；以及一处理单元，电性连接至该储存单元，根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录，各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一，其中，该处理单元更根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组，且针对各该第一群组执行以下运作：根据该第一群组所包含的该些攻击记录，为该第一群组所包含的各该至少一攻击地址建立至少一存取关联，各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定，以及根据该第一群组所对应的该至少一存取关联，判断该第一群组对应至该些攻击模式中的一特定攻击模式。

【技术特征摘要】
2016.12.05 TW 1051400861.一种网络攻击模式的判断装置，其特征在于，包含：一储存单元，储存多个攻击模式以及一网络节点的多笔存取记录，各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容，各该攻击模式对应到至少一攻击存取关联，各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定；以及一处理单元，电性连接至该储存单元，根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录，各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一，其中，该处理单元更根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组，且针对各该第一群组执行以下运作：根据该第一群组所包含的该些攻击记录，为该第一群组所包含的各该至少一攻击地址建立至少一存取关联，各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定，以及根据该第一群组所对应的该至少一存取关联，判断该第一群组对应至该些攻击模式中的一特定攻击模式。2.如权利要求1所述的判断装置，其特征在于，该处理单元更将该些特定攻击模式的一顺序储存于该储存单元。3.如权利要求2所述的判断装置，其特征在于，一第二群组包含多笔待测存取记录，各该待测存取记录包含一网络地址、一时间戳及一存取内容，该处理单元更根据该些待测存取记录，建立该第二群组所包含的各该至少一网络地址的至少一待测存取关联，各该至少一待测存取关联由该第二群组所包含的该至少一网络地址其中之一及该第二群组所包含的该些待测存取记录的该些存取内容其中之一界定，以及根据该些待测存取关联，判断该第二群组对应至该些特定攻击模式中的一第一特定攻击模式。4.如权利要求3所述的判断装置，其特征在于，该第二群组对应至一时间区间，该处理单元更根据该些特定攻击模式的该顺序，预测该时间区间后的另一时间区间对应至一第二特定攻击模式。5.如权利要求1所述的判断装置，其特征在于，各该第一群组对应至一时间区间，各该时间区间具有一时间长度，且该些时间长度相同。6.如权利要求1所述的判断装置，其特征在于，该些第一群组具有一顺序，各该第一群组对应至一时间区间，且相邻的两个第一群组的一时间间隔大于一门槛值。7.如权利要求1所述的判断装置，其特征在于，各该存取内容为一超文件传输协议请求、一存取状态代码及一数据存取量其中之一或其组合。8.一种网络攻击模式的判断方法，适用于一电子计算装置，该电子计算装置储存多个攻击模式及一网络节点的多笔存取记录，各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容，各该攻击模式对应到至少一攻击存取关联，各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定，其特征在于，该判断方法包含下列步骤：根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录，其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一；根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组；以及对各该第一群组执行以下步骤：根据该第一群组所包含的该些攻击记录，为该第一群组所包含的各该至少一攻击地址建立至少一存取关联，各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定；以及根据该第一群组所对应的该至少一存取关联，判断该第一群组对应至该些攻击模式中的一特定攻击模式。9.如权利要求8所述的判断方法，其特征在于，更包含下列步骤：储存该些特定攻击模式的一顺序。10.如权利要求9所述的判断方法，其特征在于，一第二...

【专利技术属性】
技术研发人员：赖家民，毛敬豪，谢志宏，魏得恩，赖季苹，
申请(专利权)人：财团法人资讯工业策进会，
类型：发明
国别省市：中国台湾,71