【技术实现步骤摘要】
网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体
本专利技术系关于一种网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体。更具体而言,本专利技术系关于一种利用存取记录以判断及预测网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体。
技术介绍
随着科技的快速发展,政府与企业的运作以及使用者的日常生活皆已脱离不了计算机及网络。基于各式各样的目的,黑客会攻击网络上的服务器/计算机。一般而言,黑客所采取的攻击可区分为破坏型攻击及入侵型攻击二类。破坏型攻击的目的在于破坏攻击的目标,使目标瘫痪而无法正常运作。入侵型攻击则是会取得攻击的目标的某些权限,进而控制被入侵的目标以执行特定运作。入侵型攻击通常是在服务器、应用软件或网络通信协议中的漏洞中执行。为避免网络上的计算机受到黑客的攻击,某些习知技术采用专家规则式过滤机制。具体而言,管理者利用一预先决定的过滤名单,并根据过滤名单过滤来访的其他装置,藉此达到资安维护的目的。过滤名单可包含欲过滤的因特网地址,或是恶意软件的程序代码中的特征值。然而,黑名单并无法实时被更新,故仍存在资安防护的空窗期。另外,某些习知技术则是采取动态实时扫描(例如:扫描网页内容)。虽然此种作法能减少资安维护的空窗期,却会大量地消耗运算资源。不论是何种习知技术,皆无法将攻击模式提供予用户参考,亦无法预测未来可能发生的攻击模式以让用户事先预防。基于前述说明,本领域仍亟需一种能有效地得知及预测攻击模式的技术。
技术实现思路
本专利技术的一目的在于提供一种网络攻击模式(AttackPattern)的判断装置。该判断装置包含一储存单元及一处理单 ...
【技术保护点】
一种网络攻击模式的判断装置,其特征在于,包含:一储存单元,储存多个攻击模式以及一网络节点的多笔存取记录,各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容,各该攻击模式对应到至少一攻击存取关联,各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定;以及一处理单元,电性连接至该储存单元,根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录,各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一,其中,该处理单元更根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组,且针对各该第一群组执行以下运作:根据该第一群组所包含的该些攻击记录,为该第一群组所包含的各该至少一攻击地址建立至少一存取关联,各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定,以及根据该第一群组所对应的该至少一存取关联,判断该第一群组对应至该些攻击模式中的一特定攻击模式。
【技术特征摘要】
2016.12.05 TW 1051400861.一种网络攻击模式的判断装置,其特征在于,包含:一储存单元,储存多个攻击模式以及一网络节点的多笔存取记录,各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容,各该攻击模式对应到至少一攻击存取关联,各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定;以及一处理单元,电性连接至该储存单元,根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录,各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一,其中,该处理单元更根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组,且针对各该第一群组执行以下运作:根据该第一群组所包含的该些攻击记录,为该第一群组所包含的各该至少一攻击地址建立至少一存取关联,各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定,以及根据该第一群组所对应的该至少一存取关联,判断该第一群组对应至该些攻击模式中的一特定攻击模式。2.如权利要求1所述的判断装置,其特征在于,该处理单元更将该些特定攻击模式的一顺序储存于该储存单元。3.如权利要求2所述的判断装置,其特征在于,一第二群组包含多笔待测存取记录,各该待测存取记录包含一网络地址、一时间戳及一存取内容,该处理单元更根据该些待测存取记录,建立该第二群组所包含的各该至少一网络地址的至少一待测存取关联,各该至少一待测存取关联由该第二群组所包含的该至少一网络地址其中之一及该第二群组所包含的该些待测存取记录的该些存取内容其中之一界定,以及根据该些待测存取关联,判断该第二群组对应至该些特定攻击模式中的一第一特定攻击模式。4.如权利要求3所述的判断装置,其特征在于,该第二群组对应至一时间区间,该处理单元更根据该些特定攻击模式的该顺序,预测该时间区间后的另一时间区间对应至一第二特定攻击模式。5.如权利要求1所述的判断装置,其特征在于,各该第一群组对应至一时间区间,各该时间区间具有一时间长度,且该些时间长度相同。6.如权利要求1所述的判断装置,其特征在于,该些第一群组具有一顺序,各该第一群组对应至一时间区间,且相邻的两个第一群组的一时间间隔大于一门槛值。7.如权利要求1所述的判断装置,其特征在于,各该存取内容为一超文件传输协议请求、一存取状态代码及一数据存取量其中之一或其组合。8.一种网络攻击模式的判断方法,适用于一电子计算装置,该电子计算装置储存多个攻击模式及一网络节点的多笔存取记录,各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容,各该攻击模式对应到至少一攻击存取关联,各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定,其特征在于,该判断方法包含下列步骤:根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录,其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一;根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组;以及对各该第一群组执行以下步骤:根据该第一群组所包含的该些攻击记录,为该第一群组所包含的各该至少一攻击地址建立至少一存取关联,各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定;以及根据该第一群组所对应的该至少一存取关联,判断该第一群组对应至该些攻击模式中的一特定攻击模式。9.如权利要求8所述的判断方法,其特征在于,更包含下列步骤:储存该些特定攻击模式的一顺序。10.如权利要求9所述的判断方法,其特征在于,一第二...
【专利技术属性】
技术研发人员:赖家民,毛敬豪,谢志宏,魏得恩,赖季苹,
申请(专利权)人:财团法人资讯工业策进会,
类型:发明
国别省市:中国台湾,71
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。