网络恶意行为检测方法与利用其的交换系统技术方案

一种网络恶意行为检测方法与利用其的交换系统，该方法以不回应封包的被动方式过滤恶意封包，该方法包括：检查各网络封包中是否具有一预定协议子封包集合中的一协议子封包，若判断结果为是，则将与该判断结果对应的各该网络封包标示为一可疑网络封包，若判断结果为否，则驱使一路径控制模块让与该判断结果对应的各该网络封包传输至一目标装置；以及对至少一该可疑网络封包进行一恶意行为判断程序，若判断结果为是，则驱使该路径控制模块禁止与该判断结果对应的至少一该可疑网络封包传输至所述目标装置，若判断结果为否，则驱使该路径控制模块允许与该判断结果对应的至少一该可疑网络封包传输至所述目标装置。疑网络封包传输至所述目标装置。疑网络封包传输至所述目标装置。

【技术实现步骤摘要】
网络恶意行为检测方法与利用其的交换系统


[0001]本专利技术涉及网络安全的确保方法，特别涉及一种可不影响正常封包传输速度的网络恶意行为检测方法。

技术介绍

[0002]为了维护网络系统的机密性、完整性和可用性，在网络交换机(switch) 上监听网络封包以进行恶意或攻击行为的检测是常见的做法。
[0003]然而，在现今网络的高速传输环境下，要监视网络封包的全部内容实有困难。
[0004]为确保网络安全，中国WO2015027523专利提出一种确定TCP端口扫描的方法及装置。该专利是通过主动回应网络封包以检测一端口扫描(port scan) 行为。
[0005]另外，中国台湾I436631专利提出一种检测具有伪来源地址的端扫瞄 (埠扫描)的方法和装置。该专利通过主动回应网络封包以找出发起端口扫描(port scan)的真正网络来源地址。
[0006]另外，美国8621060B2专利提出“System and method for networkvulnerability detection and reporting”。该专利通过主动发出网络封包以探测连网装置的安全漏洞。
[0007]然而，由于上述的专利都须主动回应网络封包，其信息处理资源仍有被恶意装置占用的风险。
[0008]为解决前述的问题，本领域亟需一新颖的网络恶意行为检测方法。

技术实现思路

[0009]1.本专利技术的一目的在于公开一种网络恶意行为检测方法，其可通过两阶段的过滤程序提供对网络流量及网速的影响几乎为零的防火墙效果。
[0010]2.本专利技术的一另目的在于公开一种网络恶意行为检测方法，其以不回应封包的被动方式过滤恶意封包，因此较现有的须回应封包的主动方式更不会影响到正常网络封包的传输速度。
[0011]为达前述目的，一种网络恶意行为检测方法乃被提出，其由一交换系统实现，该交换系统具有一路径控制模块、一封包特征获取模块、一镜像处理模块、一特征检查模块及一封包行为分析模块，且该方法包括：
[0012]利用该封包特征获取模块获取各网络封包中的网络层及/或传送层及 /或数据连结层的数据以各产生一特征数据节段；
[0013]利用该封包特征检查模块检查各该特征数据节段中是否具有一预定协议子封包集合中的一协议子封包，若判断结果为是，则驱使该镜像处理模块依与该判断结果对应的一该网络封包产生一镜像封包，若判断结果为否，则驱使该路径控制模块让与该判断结果对应的一该网络封包传输至一目标装置；以及
[0014]利用该封包行为分析模块对至少一该镜像封包进行一恶意行为判断程序，若判断
结果为是，则驱使该路径控制模块禁止与该判断结果对应的至少一该网络封包传输至所述目标装置，若判断结果为否，则驱使该路径控制模块允许与该判断结果对应的至少一该网络封包传输至所述目标装置。
[0015]在一实施例中，该预定协议子封包集合包含ARP子封包、ICMP子封包、SYN为1的TCP子封包和目标网络地址的端口号码为53的UDP 子封包。
[0016]在可能的实施例中，所述恶意行为可为在一预定时间内出现多个具有同一来源地址但不同目标地址的所述镜像封包，在一预定时间内出现多个具有同一来源地址、同一目标地址但不同端口地址的所述镜像封包，所述镜像封包的来源地址在一黑名单中，或所述镜像封包的来源地址不在一白名单中。
[0017]在一实施例中，所述的网络恶意行为检测方法进一步包含：利用一流量检测模块在所述网络封包的流量低于一阈值时将所有的所述网络封包都放入该封包行为分析模块中进行该恶意行为判断程序。
[0018]在一实施例中，所述的网络恶意行为检测方法进一步包含：利用该封包特征获取模块执行一流量检测程序以获得所述网络封包的一流量数值，并在该流量数值低于一阈值时使各该网络封包均经该镜像处理模块的处理而产生一该镜像封包。
[0019]在一实施例中，所述的网络恶意行为检测方法进一步包含：利用该封包特征检查模块执行一流量检测程序以获得所述特征数据节段的一流量数值，并在该流量数值低于一阈值时使各该网络封包均经该镜像处理模块的处理而产生一该镜像封包。
[0020]为达上述目的，本专利技术进一步提出一种交换系统，其设置于一网络上，且其具有一路径控制模块、一封包特征获取模块、一镜像处理模块、一封包特征检查模块及一封包行为分析模块以执行一网络恶意行为检测方法，该方法包括：
[0021]利用该封包特征获取模块获取各网络封包中的网络层及/或传送层及/ 或数据连结层的数据以各产生一特征数据节段；
[0022]利用该封包特征检查模块检查各该特征数据节段中是否具有一预定协议子封包集合中的一协议子封包，若判断结果为是，则驱使该镜像处理模块依与该判断结果对应的一该网络封包产生一镜像封包，若判断结果为否，则驱使该路径控制模块让与该判断结果对应的一该网络封包传输至一目标装置；以及
[0023]利用该封包行为分析模块对至少一该镜像封包进行一恶意行为判断程序，若判断结果为是，则驱使该路径控制模块禁止与该判断结果对应的至少一该网络封包传输至所述目标装置，若判断结果为否，则驱使该路径控制模块允许与该判断结果对应的至少一该网络封包传输至所述目标装置。
[0024]在一实施例中，该路径控制模块、该封包特征获取模块及该镜像处理模块是实现于一交换机中。
[0025]在一实施例中，该封包特征检查模块和该封包行为分析模块是实现于同一信息处理装置或不同的信息处理装置中。
[0026]在一实施例中，该预定协议子封包集合包含ARP子封包、ICMP子封包、SYN为1的TCP子封包和目标网络地址的端口号码为53的UDP 子封包。
[0027]在一实施例中，所述恶意行为可为在一预定时间内出现多个具有同一来源地址但不同目标地址的所述镜像封包，在一预定时间内出现多个具有同一来源地址、同一目标地
址但不同端口地址的所述镜像封包，所述镜像封包的来源地址在一黑名单中，或所述镜像封包的来源地址不在一白名单中。
[0028]在一实施例中，该黑名单包含与一恶意软件关联的一命令控制中继主机(Command and Control Server)的一网络地址或一网域名称。
[0029]在可能的实施例中，所述的网络恶意行为检测方法可进一步包含：利用一流量检测模块在所述网络封包的流量低于一阈值时将所有的所述网络封包都放入该封包行为分析模块中进行该恶意行为判断程序；或利用该封包特征获取模块执行一流量检测程序以获得所述网络封包的一流量数值，并在该流量数值低于一阈值时使各该网络封包均经该镜像处理模块的处理而产生一该镜像封包；或利用该封包特征检查模块执行一流量检测程序以获得所述特征数据节段的一流量数值，并在该流量数值低于一阈值时使各该网络封包均经该镜像处理模块的处理而产生一该镜像封包。
[0030]在一实施例中，该网络是一区域网络。
[0031]为达上述目的，本专利技术进一步提出一种网络恶意行为检测方本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络恶意行为检测方法，其由一交换系统实现，该交换系统具有一路径控制模块、一封包特征获取模块、一镜像处理模块、一封包特征检查模块及一封包行为分析模块，该方法包括：利用该封包特征获取模块获取各网络封包中的网络层及/或传送层及/或数据连结层的数据以各产生一特征数据节段；利用该封包特征检查模块检查各该特征数据节段中是否具有一预定协议子封包集合中的一协议子封包，若判断结果为是，则驱使该镜像处理模块依与该判断结果对应的一该网络封包产生一镜像封包，若否，则驱使该路径控制模块让与该判断结果对应的一该网络封包传输至一目标装置；以及利用该封包行为分析模块对至少一该镜像封包进行一恶意行为判断程序，若判断结果为是，则驱使该路径控制模块禁止与该判断结果对应的至少一该网络封包传输至所述目标装置，若判断结果为否，则驱使该路径控制模块允许与该判断结果对应的至少一该网络封包传输至所述目标装置。2.如权利要求1所述的网络恶意行为检测方法，其中该预定协议子封包集合包含ARP子封包、ICMP子封包、SYN为1的TCP子封包和目标网络地址的端口号码为53的UDP子封包。3.如权利要求1所述的网络恶意行为检测方法，其中所述恶意行为包含由在一预定时间内出现多个具有同一来源地址但不同目标地址的所述镜像封包，在一预定时间内出现多个具有同一来源地址、同一目标地址但不同端口地址的所述镜像封包，所述镜像封包的来源地址在一黑名单中，和所述镜像封包的来源地址不在一白名单中所组成群所选择的一种特征。4.如权利要求1所述的网络恶意行为检测方法，其进一步包含：利用一流量检测模块在所述网络封包的流量低于一阈值时将所有的所述网络封包都放入该封包行为分析模块中进行该恶意行为判断程序；或利用该封包特征获取模块执行一流量检测程序以获得所述网络封包的一流量数值，并在该流量数值低于一阈值时使各该网络封包均经该镜像处理模块的处理而产生一该镜像封包；或利用该封包特征检查模块执行一流量检测程序以获得所述特征数据节段的一流量数值，并在该流量数值低于一阈值时使各该网络封包均经该镜像处理模块的处理而产生一该镜像封包。5.一种交换系统，设置于一网络上，其具有一路径控制模块、一封包特征获取模块、一镜像处理模块、一封包特征检查模块及一封包行为分析模块以执行一网络恶意行为检测方法，该方法包括：利用该封包特征获取模块获取各网络封包中的网络层及/或传送层及/或数据连结层的数据以各产生一特征数据节段；利用该封包特征检查模块检查各该特征数据节段中是否具有一预定协议子封包集合中的一协议子封包，若判断结果为是，则驱使该镜像处理模块依与该判断结果对应的一该网络封包产生一镜像封包，若否，则驱使该路径控制模块让与该判断结果对应的一该网络封包传输至一目标装置；以及利用该封包行为分析模块对至少一该镜像封包进行一恶意行为判断程序，若判断结果为是，则驱使该路径控制模块禁止与该判断结果对应的至少一该网络封包传输至所述目标装置，若判断结果为否，则驱使该路径控制模块允许与该判断结果对应的至少一该网络封
包传输至所述目标装置。6.如权利要求5所述的交换系统，其中，该路径控制模块、该封包特征获取模块及该镜像处理模块是实现于一交换机中。7.如权利要求5所述的交换系统，其中，该封包特征检查模块和该封包行为分析模块是实现于同一信息处理装置或不同的信息处理装置中。8.如权利要求5所述的交换机系统，其中该预定协议子封包集合包含ARP子封包、ICMP子封包、SYN为1的TCP子封包和目标网络地址的端口号码为53的UDP子封包。9.如权利要求5所述的交换系统，其中所述恶意行为包含由在一预定时间内出现多个具有同一来源地址但不同目标地址的所述镜像封包，在一预定时间内出现多个具有同一来源地址、同一目标地址但不同端口地址的所述镜像封包，所述镜像封包的来源地址在一黑名单中，和所述镜像封包的来源地址不在一白名单中所组成群所选择的一种特征。10.如权利要求9所述的交换系统，其中，该黑名单包含与一恶意软件关联的一命令控制中继主机的一网络地址或一网域名称。11.如权利要求5所述的交换系统，其中，所述的网络恶意行为检测方法进一步包含：利用一流量检测模块在所述网络封包的流量低于一阈值时将所有的所述网络封包都放入该封包行为分析...

【专利技术属性】
技术研发人员：吕长达，黄士展，胡世铭，
申请(专利权)人：威联通科技股份有限公司，
类型：发明
国别省市：