网络流分析方法及其相关系统技术方案

技术编号:21917316 阅读:30 留言:0更新日期:2019-08-21 13:28
一种网络流的分析方法,包含有撷取该网络流的一来源地址与一目的地址;判断该目的地址是否符合一默认条件;以及于该目的地址不符合该默认条件时,判断该来源地址是否在一白名单或该目的地址是否在一活动网址清单之中,以判断该网络流是否属于一攻击行为。

Network Flow Analysis Method and Related Systems

【技术实现步骤摘要】
网络流分析方法及其相关系统
本专利技术涉及一种网络流分析方法及其相关计算机系统,尤其涉及一种辨识网络流种类的分析方法及其相关计算机系统。
技术介绍
随着科技的发展与网络的进步,人们对网络的依赖也日渐增加,相对地,关于网络安全的问题也随之产生。举例来说,分布式阻断(DistributedDenialofService,DDoS)攻击即为一种常见的网络攻击事件,其透过发送大量请求服务要求的网络封包来攻击服务器或计算机主机,造成服务器或计算机主机无法提供正常服务的运作,进而占用资源、消耗带宽甚至瘫痪网络系统等。然而,现行针对网络攻击事件防护措施并不完善,并且网络攻击事件通常为随机且无法预测的。因此,当事件发生时,应变时程可能长达数十分钟甚至数小时,而损害网络安全。如此一来,必须针对网络流进行分析,以实时地过滤可疑的网络流,进而有效地防止网络攻击事件的产生。此外,现有针对网络流分析的技术需要较长时间才能完成分析网络流的程序,而无法实时过滤可疑的网络流。因此,如何有效解决上述问题,以实时且有效率地提供网络流的分析方法,进而提高网络的防护效率,便成为此
的重要课题之一。
技术实现思路
因此,本专利技术提供一种网络流分析方法及其相关计算机系统,以有效率地分析网络流,进而有效防止网络攻击事件。本专利技术公开一种网络流(networkflow)的分析方法,包含有撷取该网络流的一来源地址与一目的地址;判断该目的地址是否符合一默认条件;以及于该目的地址不符合该默认条件时,判断该目的来源地址是否在一白名单或该目的地址是否在一活动网址清单之中,以判断该网络流是否属于一攻击行为。本专利技术还公开一种计算机系统,包含有至少一路由器,用来决定一网络流的一路径;一搜集器,用来搜集该网络流的该路径的一目的地址及一来源地址;以及一分析器,用来撷取该网络流的该来源地址与该目的地址,判断该目的地址是否符合一默认条件,以及于该目的地址不符合该默认条件时,判断该来源地址是否在一白名单或该目的地址是否在一活动网址清单之中,以判断该网络流是否属于一攻击行为。【附图说明】图1为本专利技术实施例的一计算机系统的示意图。图2至图4为本专利技术实施例的一分析流程的示意图。符号说明:10计算机系统102路由器104搜集器106分析器20、30、40流程202~210、302~316、402~414步骤【具体实施方式】请参考图1,图1为本专利技术实施例的一计算机系统10的示意图。计算机系统10包含有复数个路由器102、一搜集器104及一分析器106。计算机系统10可用来分析一网络流,以针对网络流进行侦测、辨识、分类或封锁等步骤,进而判断网络流是否属于一攻击行为,并于确定网络流属于攻击行为时,通知一维运人员(Operator)或一应用程序编程接口(ApplicationProgramInterface,API)呼叫应用交付控制器将服务自动导转至特殊机群与呼叫路由器调整路由表,避免网络遭受攻击。路由器102用来决定网络流的一路径,搜集器104用来汇聚或搜集关于网络流路径的一目的地址及一来源地址,以及分析器106用来撷取网络流的目的地址,并据以判断目的地址是否符合一默认条件,以于目的地址符合默认条件时,判断来源地址是否在一白名单或目的地址是否在一活动网址清单之中,进而确定攻击行为是否持续进行。详细来说,请参考图2,图2为本专利技术实施例的一分析流程20的示意图。分析流程20可应用于计算机系统10,进而针对网络流进行侦测、分类及分析等步骤,分析流程20包含下列步骤:步骤202:开始。步骤204:撷取网络流的来源地址及目的地址。步骤206:判断目的地址是否符合默认条件。步骤208:于目的地址不符合默认条件时,判断来源地址是否在白名单中或目的网址是否在活动网址列表中,以判断网络流是否属于攻击行为。步骤210:结束。根据分析流程20,计算机系统10可根据网络流的目的地址,确定网络流是否属于攻击行为。首先,在步骤204中,计算机系统10的分析器106撷取搜集器104所搜集的网络流的目的地址,以于步骤206根据目的地址判断是否符合默认条件。在一实施例中,默认条件可以是计算机系统10接收来自同一目的地址的每秒封包数、单位时间内联机数或位数是否超过一阈值(threshold)。因此,当分析器106检测到传送到同一目的地址的每秒封包数、单位时间内联机数或位数超过预先设定的阈值时,可发出一警告并通知一控制端。此外,当目的地址不符合默认条件时,于步骤208,则进一步判断来源地址是否在白名单或目的地址是否在活动网址列表之中,以确定网络流是否属于攻击行为。在此例中,控制端可以是维运人员。此外,当目的地址符合默认条件时,则将网络流留存于一数据库备查。值得注意的是,针对每一种预设条件的阈值皆可根据计算机系统或维运人员的需求调整,例如,可设定传送至同一目的地址的每秒封包数超过100MB时,即发出警告,或者,传送至同一目的地址的位数超过1GB等预设条件,不限于此,皆适用于本专利技术。上述范例仅概略性地说明本专利技术的计算机系统,透过判断网络流的目的地址是否符合默认条件,以判断网络流是否属于攻击事件,进而预先采取措施以避免网络遭受攻击。需注意的是,本领域普通技术人员可根据不同系统需求适当设计计算机系统,举例来说,以一或多个默认条件判断网络流是否属于攻击事件,或者,以其他网络流所包含的指针作为判断的依据,而不限于此,皆属本专利技术的范畴。在一实施例中,当网络流的目的地址不符合默认条件时,分析器106可进一步判断其来源地址是否在白名单或其目的地址是否在活动网址列表,以执行对应的措施。请参考图3,图3为本专利技术实施例的另一分析流程30的示意图。分析流程30包含下列步骤:步骤302:开始。步骤304:判断来源地址是否在白名单之中。若是,执行步骤306;若否,执行步骤308。步骤306:当来源地址在白名单之中,通知控制端以排除状况。步骤308:根据一查表方式确定目的地址的一服务网域(ServiceDomain),以实时分析对应于服务网域的一访问日志(AccessLog)。步骤310:判断目的地址是否在活动网址列表之中。若是,执行步骤312;若否,执行步骤314。步骤312:当目的地址在活动网址列表之中,透过应用程序编程接口呼叫应用交付控制器将服务自动导转至特殊机群与呼叫路由器调整路由表。步骤314:当活动网址列表不包含目的地址时,透过应用程序编程接口联络一防护设备,以启动旁路清洗流程。步骤316:结束。根据分析流程30,计算机系统10可根据网络流的来源地址是否在白名单或目地地址是否在活动网址列表之中,以执行对应的措施。首先,于步骤304中,分析器106判断来源地址是否在白名单之中。当来源地址确实在白名单之中时,则执行步骤306,以通知控制端以排除状况。相反地,则执行步骤308,以查表方式确定目的地址的服务网域,以实时分析对应于服务网域的访问日志。也就是说,透过实时分析服务网域的访问日志,来判断该服务网域所提供的网络流是否为可疑的网络流。接着,于步骤310中,判断目的地址是否在活动网址列表中。若目的地址包含于活动网址列表中,则执行步骤312,透过应用程序编程接口呼叫应用交付控制器将服务自动导转至特殊机群与呼叫路由器调整路由表。反之,本文档来自技高网...

【技术保护点】
1.一种网络流(network flow)的分析方法,包含有:撷取该网络流的一来源地址与一目的地址;判断该目的地址是否符合一默认条件;以及于该目的地址不符合该默认条件时,判断该来源地址是否在一白名单或该目的地址是否在一活动网址清单之中,以判断该网络流是否属于一攻击行为。

【技术特征摘要】
2018.02.13 TW 1071052581.一种网络流(networkflow)的分析方法,包含有:撷取该网络流的一来源地址与一目的地址;判断该目的地址是否符合一默认条件;以及于该目的地址不符合该默认条件时,判断该来源地址是否在一白名单或该目的地址是否在一活动网址清单之中,以判断该网络流是否属于一攻击行为。2.如权利要求1所述的分析方法,其中,还包含:判断该来源地址是否存在于任一不良IP信誉评等清单之中;于确定该来源地址存在于该任一不良IP信誉评等清单时,透过一应用程序编程接口将该网络流导向一诱捕系统;以及当该来源地址不存在于该任一不良IP信誉评等清单时,将该来源地址与该目的地址留存于一数据库备查。3.如权利要求1所述的分析方法,其中,该默认条件为该目的地址所接收的一每秒封包数、一单位时间内联机数或一位数超过一阈值。4.如权利要求3所述的分析方法,其中,还包含当该目的地址所接收的该每秒封包数、该单位时间内联机数或该位数超过该阈值时,发出一警告以通知一控制端。5.如权利要求1所述的分析方法,其中,于该目的地址符合该默认条件时,判断该来源地址是否在该白名单或该目的地址是否在该活动网址清单之中的步骤包含:当该来源地址在该白名单之中,通知该控制端以排除状况;以及当该白名单不包含该来源地址时,确认该目的地址是否在该活动网址清单之中。6.如权利要求5所述的分析方法,其中,当该白名单不包含该来源地址时,确认该目的地址是否在该活动网址清单之中的步骤包含:根据一查表方式确定该目的地址的一服务网域,以实时分析对应于该服务网域的一访问日志。7.如权利要求5所述的分析方法,其中,当该白名单不包含该来源地址时,确认该目的地址是否在该活动网址清单之中的步骤包含:当该目的地址在该活动网址列表之中,透过一应用程序编程接口呼叫一应用交付控制器将服务自动导转至一特殊机群与呼叫路由器调整路由表;以及当该活动网址列表不包含该目的地址时,透过该应用程序编程接口联络一防护设备,以启动一旁路清洗流程。8.如权利要求7所述的分析方法,其中,当该活动网址列表不包含该目的地址时,透过该应用程序编程接口联络该防护设备,以启动该旁路清洗流程的步骤包含:判断攻击行为是否持续,以透过该应用程序编程接口联络一路由器将该网络流调整为一防骇路由,或者透过该应用程序编程接口联络该路由器丢弃该网络流;以及当该攻击行...

【专利技术属性】
技术研发人员:叶哲宏黄建庭林岳锋
申请(专利权)人:爱迪尔资讯有限公司
类型:发明
国别省市:中国台湾,71

相关技术
    暂无相关专利
网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1