网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体与流程

本发明系关于一种网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体。更具体而言，本发明系关于一种利用存取记录以判断及预测网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体。

背景技术：

随着科技的快速发展，政府与企业的运作以及使用者的日常生活皆已脱离不了计算机及网络。基于各式各样的目的，黑客会攻击网络上的服务器/计算机。一般而言，黑客所采取的攻击可区分为破坏型攻击及入侵型攻击二类。破坏型攻击的目的在于破坏攻击的目标，使目标瘫痪而无法正常运作。入侵型攻击则是会取得攻击的目标的某些权限，进而控制被入侵的目标以执行特定运作。入侵型攻击通常是在服务器、应用软件或网络通信协议中的漏洞中执行。

为避免网络上的计算机受到黑客的攻击，某些习知技术采用专家规则式过滤机制。具体而言，管理者利用一预先决定的过滤名单，并根据过滤名单过滤来访的其他装置，藉此达到资安维护的目的。过滤名单可包含欲过滤的因特网地址，或是恶意软件的程序代码中的特征值。然而，黑名单并无法实时被更新，故仍存在资安防护的空窗期。另外，某些习知技术则是采取动态实时扫描(例如：扫描网页内容)。虽然此种作法能减少资安维护的空窗期，却会大量地消耗运算资源。不论是何种习知技术，皆无法将攻击模式提供予用户参考，亦无法预测未来可能发生的攻击模式以让用户事先预防。基于前述说明，本领域仍亟需一种能有效地得知及预测攻击模式的技术。

技术实现要素：

本发明的一目的在于提供一种网络攻击模式(Attack Pattern)的判断装置。该判断装置包含一储存单元及一处理单元，且该储存单元及该处理单元彼此电性连接。该储存单元储存多个攻击模式以及一网络节点的多笔存取记录。各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳(Time Stamp)与一存取内容。各该攻击模式对应到至少一攻击存取关联，其中各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定。该处理单元根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录，其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一。该处理单元更根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组。该处理单元更针对各该第一群组执行以下运作：(a)根据该第一群组所包含的该些攻击记录，为该第一群组所包含的各该至少一攻击地址建立至少一存取关联，各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定，以及(b)根据该第一群组所包含的该至少一存取关联，判断该第一群组对应至该些攻击模式中的一特定攻击模式。

本发明的另一目的在于提供一种网络攻击模式的判断方法，其系适用于一电子计算装置。该电子计算装置储存多个攻击模式及一网络节点的多笔存取记录。各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容。各该攻击模式对应到至少一攻击存取关联，其中各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定。该判断方法包含下列步骤：(a)根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录，其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一，(b)根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组，以及(c)对各该第一群组执行以下步骤：(c1)根据该第一群组所包含的该些攻击记录，为该第一群组所包含的各该至少一攻击地址建立至少一存取关联，各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定，以及(c2)根据该第一群组所包含的该至少一存取关联，判断该第一群组对应至该些攻击模式中的一特定攻击模式。

本发明的又一目的在于提供一种计算机可读取储存媒体，该计算机可读取储存媒体储存有计算机程序产品。一电子计算装置储存多个攻击模式及一网络节点的多笔存取记录。各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容。各该攻击模式对应到至少一攻击存取关联，其中各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定。该电子计算装置加载该计算机程序产品后，该电子计算装置执行该计算机程序产品所包含的多个程序指令，以执行前段所述的网络攻击模式的判断方法。

本发明所提供的网络攻击模式判断技术(包含装置、方法及其计算机可读取储存媒体)在获知至少一攻击地址的情况下，会撷取与该至少一攻击地址相关的多笔攻击记录，将该些攻击记录区分为多个群组，再将各群组所对应的存取关联与攻击模式的攻击存取关联比对。透过前述运作，本发明可判断出各群组所对应的攻击模式，甚至能进一步地预测出未来可能发生的攻击模式。

以下结合图式阐述本发明的详细技术及实施方式，使本领域普通技术人员能理解所请求保护的发明的技术特征。

附图说明

图1A系描绘第一实施方式的网络攻击模式的判断装置的架构示意图；

图1B系描绘存取记录10a、……、10b的一具体范例；

图1C系描绘第一群组16a、16b、16c的一具体范例；

图2A系描绘第二实施方式的网络攻击模式的判断方法的流程图；以及

图2B系描绘本发明的网络攻击模式的判断方法的某些实施方式所执行的流程图。

符号说明

1：判断装置

11：储存单元

13：处理单元

10a、10b：存取记录

12a、12b、12c：攻击模式

14a、14b、14c、14d、14e、14f：攻击记录

16a、16b、16c：第一群组

T1、T2：时间间隔

S201～S217：步骤

S221～S225：步骤

具体实施方式

以下将透过实施方式来解释本发明所提供的网络攻击模式(Attack Pattern)的判断装置、判断方法及其计算机可读取储存媒体。然而，该些实施方式并非用以限制本发明需在如该些实施方式所述的任何环境、应用或方式方能实施。因此，关于实施方式的说明仅为阐释本发明的目的，而非用以限制本发明的范围。应理解，在以下实施方式及附图中，与本发明非直接相关的元件已省略而未绘示，且各元件的尺寸以及元件间的尺寸比例仅为例示而已，而非用以限制本发明的范围。

本发明的第一实施方式为一网络攻击模式的判断装置1，其架构示意图系描绘于图1A。判断装置1包含一储存单元11及一处理单元13，且二者彼此电性连接。储存单元11可为一存储器、一通用串行总线(Universal Serial Bus；USB)碟、一硬盘、一光盘(Compact Disk；CD)、一随身碟、一磁带、一数据库或本发明所属技术领域中具有通常知识者所知且具有相同功能的任何其他储存媒体或电路。处理单元13可为各种处理器、中央处理单元(Central Processing Unit；CPU)、微处理器或本发明所属技术领域中具有通常知识者所知的其他计算装置中的任一者。

储存单元11储存一网络节点的多笔存取记录10a、……、10b(亦即，其他主机存取该网络节点的存取记录)。该网络节点可为判断装置1，亦可为一网络系统中的其他网络节点。举例而言，该网络节点可为一服务器(例如：一网站服务器)。存取记录10a、……、10b的每一笔包含一主机的一网络地址及该主机存取该网络节点的一时间戳(Time Stamp)与一存取内容。于某些实施方式中，前述各存取内容可为一超文件传输协议(HyperText Transfer Protocol；HTTP)请求、一存取状态代码(Status Code)或/及一数据存取量。需说明者，本发明所属技术领域中具有通常知识者应知悉一个超文件传输协议请求可包含哪些内容，故不赘言。另外，一存取记录中的一存取状态代码代表该次存取的结果(例如：存取成功、存取失败、网页不存在)。再者，一存取记录中的一数据存取量则代表该主机于该次存取过程所下载的数据量。

为便于理解，请参图1B，其系描绘存取记录10a、……、10b的一具体范例。于此具体范例中，存取记录10a包含一网络地址(亦即，fcrawler.looksmart.com)、一时间戳(亦即，26/Apr/2000:00:00:12)、一超文件传输协议请求(亦即，GET/contacts.html)、一存取状态代码(亦即，200，代表请求成功)以及一数据存取量(亦即，4,595字节)。存取记录10b包含一网络地址(亦即，123.123.123.123)、一时间戳(亦即，26/Apr/2000:00:23:51)、一超文件传输协议请求(亦即，GET/pics/a2hlogo.jpg)、一存取状态代码(亦即，200，代表请求成功)以及一数据存取量(亦即，4,282字节)。需说明者，图1B所绘示的存取记录10a、……、10b仅作为例示之用，并非用以限制本发明的范围。

另外，于本实施方式中，储存单元11储存多个攻击模式12a、……、12b、12c。攻击模式12a、……、12b、12c中的每一笔对应到至少一攻击存取关联，而各该至少一攻击存取关联由存取记录10a、……、10b所包含的该些网络地址其中之一及存取记录10a、……、10b所包含的该些存取内容其中之一界定。更具体而言，各该至少一攻击存取关联由存取记录10a、……、10b其中之一的网络地址及存取内容界定。举例而言，若一网络信息安全专家判断存取记录10a与攻击模式12a相关(例如：网络信息安全专家判断在某一时间区间内有一网络攻击事件且判断存取记录10a涉及该网络攻击事件，而该网络攻击事件被命名为攻击模式12a)，则攻击模式12a将可对应至由存取记录10a的网络地址及超文件传输协议请求中的档案(亦即，a2hlogo.jpg)所界定的一第一攻击存取关联、由存取记录10a的网络地址及存取状态代码所界定的一第二攻击存取关联或/及由存取记录10a的网络地址及数据存取量所界定的一第三攻击存取关联。由前述说明可知，一个攻击模式所对应到的攻击存取关联能反映出该攻击模式可能牵涉的存取型态。需说明者，于其他实施方式中，储存单元11一开始可能并未储存任何攻击模式。

于本实施方式中，判断装置1已知至少一攻击地址(亦即，已知悉各该至少一攻击地址为曾经攻击一网络节点的网络地址或为可能攻击一网络节点的网络地址)。需说明者，本发明的重点在于如何根据至少一攻击地址判断及预测网络攻击模式。至于如何取得至少一攻击地址，则非本发明的重点，故不赘述细节。

接着，判断装置1会判断该至少一攻击地址涉及哪一(或那些)攻击模式。具体而言，处理单元13根据至少一攻击地址自储存单元11撷取存取记录10a、……、10b的一子集作为多笔攻击记录，其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一。换言之，处理单元13从存取记录10a、……、10b中挑出网络地址与该至少一攻击地址相符者，且以挑出的结果作为该些攻击记录。

处理单元13再根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组。于某些实施方式中，处理单元13根据该些攻击记录的该些时间戳计算该些攻击记录所涵盖的一总时间长度，将该总时间长度区分为多个时间区间，且该些时间区间的时间长度相同。于该些实施方式中，每一时间区间所对应的攻击记录即形成前述第一群组其中之一。另外，于某些实施方式中，处理单元13则是根据该些攻击记录的该些时间戳的群聚特性将该些攻击记录区分为多个第一群组。于该些实施方式中，该些第一群组具有一顺序，各该第一群组对应至一时间区间，且相邻的两个第一群组的一时间间隔大于一门槛值。为便于理解，请参图1C所绘示的具体范例，其水平轴系代表时间。攻击记录14a、……、14b属于第一群组16a、攻击记录14c、……、14d属于第一群组16b，且攻击记录14e、……、14f属于第一群组16c。第一群组16a及第一群组16b相邻，且二者间的时间间隔T1大于门槛值。此外，第一群组16b及第一群组16c相邻，且二者间的时间间隔T2大于门槛值。

接着，处理单元13判断各该第一群组属于哪一攻击模式。为便于理解，兹以图1C为例接续说明。以第一群组16a为例，处理单元13根据第一群组16a所包含的攻击记录14a、……、14b，为第一群组16a所包含的各该至少一攻击地址(亦即，攻击记录14a、……、14b中所包含的网络地址中的每一个)建立至少一存取关联。各该至少一存取关联由第一群组16a所包含的该至少一攻击地址其中之一及第一群组16a所包含的攻击记录14a、……、14b的该些存取内容其中之一界定。具体而言，各该至少一存取关联由攻击记录14a、……、14b其中之一的网络地址及存取内容界定。

接着，处理单元13根据第一群组16a所对应的该至少一存取关联，判断第一群组16a是否对应至攻击模式12a、……、12b、12c中的某一特定攻击模式。举例而言，处理单元13可计算第一群组16a所对应的存取关联与攻击模式12a、……、12b、12c中每一笔所对应的攻击存取关联的一相似度，且将该些相似度个别地与一门槛值比。若有哪一(或哪些)相似度大于该门槛值，则处理单元13选取相似度大于该门槛值中的最大者所对应的攻击模式作为第一群组16a所对应的攻击模式。再举例而言，处理单元可利用图(Graph)来呈现第一群组16a所对应的该至少一存取关联，利用其他图来呈现攻击模式12a、……、12b、12c中每一笔所对应的攻击存取关联，再个别地计算第一群组的图与其他图之间的一图编辑距离(Graph Edit Distance)。若有哪一(或哪些)图编辑距离小于一门槛值，则处理单元13选取图编辑距离小于门槛值中的最小者所对应的攻击模式作为第一群组16a所对应的攻击模式。若处理单元13判断第一群组16a未对应至攻击模式12a、……、12b、12c中的任一模式，则可提供(例如：透过一收发接口传送、显示于一显示装置)第一群组16a所对应的该至少一存取关联给一网络信息安全专家判断，再于储存单元11记录网络信息安全专家所判断出的攻击模式对应于第一群组16a所对应的该至少一存取关联。依据前述说明，本发明所属技术领域中具有通常知识者应可理解处理单元13如何对第一群组16b、16c进行雷同的运作，兹不赘言。

于某些实施方式中，处理单元13可进一步地将该些第一群组所对应的该些特定攻击模式的一顺序储存于储存单元11。为便于理解，兹以图1C为例接续说明。兹假设第一群组16a对应至攻击模式12b，第一群组16b对应至攻击模式12c，且第一群组16c对应至攻击模式12a。由于第一群组16a、16b、16具有一顺序，因此处理单元13于储存单元11记录攻击模式12b、12c、12a亦具有一顺序(亦即，攻击模式12c出现于攻击模式12b之后，且攻击模式12a出现于攻击模式12c之后)。

于某些实施方式中，处理单元11会再处理一第二群组(未绘示)所包含的多笔待测存取记录(未绘示)，其中各该待测存取记录包含一网络地址、一时间戳及一存取内容。于某些实施方式中，前述各存取内容可为一超文件传输协议请求、一存取状态代码或/及一数据存取量。具体而言，处理单元11根据该些待测存取记录，建立第二群组所包含的各该至少一网络地址的至少一待测存取关联。各该至少一待测存取关联由该第二群组所包含的该至少一网络地址其中之一及该第二群组所包含的该些待测存取记录的该些存取内容其中之一界定。更具体而言，各该至少一待测存取关联由该些待测存取记录其中之一的网络地址及存取内容界定。

接着，处理单元13根据该些待测存取关联，判断该第二群组对应是否对应至攻击模式12a、……、12b、12c中的某一特定攻击模式。本发明所属技术领域中具有通常知识者基于先前与第一群组相关的描述，应可了解处理单元13如何根据该些待测存取关联，判断该第二群组对应是否对应至攻击模式12a、……、12b、12c中的某一特定攻击模式，兹不赘言。兹假设处理单元13判断第二群组对应至攻击模式12b。处理单元13进一步地判断储存单元11已记录攻击模式12b、12c、12a具有一顺序，因此处理单元13更根据攻击模式12b、12c、12a的该顺序，预测第二群组所对应的时间区间后的另一时间区间会对应至攻击模式12c。

由前述说明可知，当判断装置1获知至少一攻击地址，判断装置1会撷取与该至少一攻击地址相关的多笔攻击记录，将该些攻击记录区分为多个群组，再将各群组所对应的存取关联与攻击模式的攻击存取关联比对。透过前述运作，判断装置1可判断出各群组所对应的攻击模式，甚至能进一步地预测出未来可能发生的攻击模式。

本发明的第二实施方式为一网络攻击模式的判断方法，其流程图系描绘于图2A。该网络攻击模式的判断方法适用于一电子计算装置(例如：第一实施方式中的判断装置1)。该电子计算装置储存一网络节点的多笔存取记录，其中各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容。于某些实施方式中，各该存取内容为一超文件传输协议请求、一存取状态代码及一数据存取量其中之一或其组合。该电子计算装置亦储存多个攻击模式，其中，各该攻击模式对应到至少一攻击存取关联，且各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定。

于本实施方式中，电子计算装置已知至少一攻击地址(亦即，已知悉各该至少一攻击地址为曾经攻击一网络节点的网络地址或为可能攻击一网络节点的网络地址)。于步骤S201，由该电子计算装置根据该至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录，其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一。

于步骤S203，由该电子计算装置根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组。于某些实施方式中，步骤S203系根据该些攻击记录的该些时间戳计算该些攻击记录所涵盖的一总时间长度，将该总时间长度区分为多个时间区间，且该些时间区间的时间长度相同。于该些实施方式中，每一时间区间所对应的攻击记录即形成前述第一群组其中之一。于某些实施方式中，步骤S203则是根据该些攻击记录的该些时间戳的群聚特性将该些攻击记录区分为多个第一群组。于该些实施方式中，该些第一群组具有一顺序，各该第一群组对应至一时间区间，且相邻的两个第一群组的一时间间隔大于一门槛值。

接着，针对各该第一群组，由该电子计算装置执行步骤S205至步骤S215。于步骤S205，由该电子计算装置选取一个尚未分析过的第一群组。于步骤S207，由该电子计算装置根据该第一群组所包含的该些攻击记录，为该第一群组所包含的各该至少一攻击地址建立至少一存取关联。各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定。于步骤S209，由该电子计算装置根据该第一群组所包含的该至少一存取关联，判断该第一群组是否对应至该电子计算装置所储存的该些攻击模式中的一特定攻击模式。

若步骤S209的判断结果为是，则执行步骤S215(容后说明)。若步骤S209的判断结果为否，则执行步骤S211，由该电子计算装置提供该第一群组所对应的该至少一存取关联给一网络信息安全专家判断。接着，于步骤S213，由该电子计算装置记录该网络信息安全专家所判断出的一攻击模式且记录该攻击模式对应于该第一群组所对应的该至少一存取关联，之后再执行步骤S215。于步骤S215，由该电子计算装置判断是否尚有未分析的第一群组。若步骤S215的判断结果为是，则网络攻击模式的判断方法再次地执行步骤S205至步骤S215以分析其他的第一群组。若步骤S215的判断结果为否(亦即，所有第一群组皆已分析完毕)，则可直接结束此网络攻击模式的判断方法。然而，某些实施方式则可进一步地执行步骤S217，由该电子计算装置储存该些第一群组所对应的该些特定攻击模式的一顺序。

于某些实施方式中，网络攻击模式的判断方法可进一步地执行图2B所绘示的流程以分析一第二群组所包含的多笔待测存取记录。各该待测存取记录包含一网络地址、一时间戳及一存取内容。类似的，于某些实施方式中，各该存取内容可为一超文件传输协议请求、一存取状态代码或/及一数据存取量。

于步骤S221，由该电子计算装置根据该些待测存取记录，建立该第二群组所包含的各该至少一网络地址的至少一待测存取关联。各该至少一待测存取关联由该第二群组所包含的该至少一网络地址其中之一及该第二群组所包含的该些待测存取记录的该些存取内容其中之一界定。于步骤S223，由该电子计算装置根据该些待测存取关联，判断该第二群组对应至该些特定攻击模式中的一第一特定攻击模式(亦即，于步骤S209所判断出的该些第一群组所对应的该些特定攻击模式其中之一)。于步骤S225，由该电子计算装置根据该些特定攻击模式的该顺序，预测该第二群组所对应的一时间区间后的另一时间区间对应至一第二特定攻击模式。

除了上述步骤，第二实施方式亦能执行第一实施方式所描述的所有运作及步骤，具有同样的功能，且达到同样的技术效果。本发明所属技术领域中具有通常知识者可直接了解第二实施方式如何基于上述第一实施方式以执行此等运作及步骤，具有同样的功能，并达到同样的技术效果，故不赘述。

在第二实施方式中所阐述网络攻击模式的判断方法可由包含多个程序指令的计算机程序产品实现。该计算机程序产品可被储存于一非瞬时的计算机可读取储存媒体中。针对该计算机程序产品，在其所包含的该些程序指令被加载一电子计算装置(例如：第一实施方式的攻击节点侦测装置1)之后，该计算机程序产品执行如在第二实施方式中所述的网络攻击模式的判断方法。该非瞬时计算机可读取储存媒体可为一电子产品，例如：一只读存储器(read only memory；ROM)、一闪存、一软盘、一硬盘、一光盘(compact disk；CD)、一随身碟、一磁带、一可由网络存取的数据库或本发明所属技术领域中具有通常知识者所知且具有相同功能的任何其他储存媒体。

需说明者，于本发明专利说明书中，第一群组及第二群组中的「第一」及「第二」仅用来表示该些群组为不同阶段所决定的群组。第一攻击存取关联、第二攻击存取关联及第三攻击存取关联中的「第一」、「第二」及「第三」仅用来表示该些攻击存取关联为不同的攻击存取关联。

综上所述，本发明所提供的网络攻击模式判断技术(包含装置、方法及其计算机可读取储存媒体)在获知至少一攻击地址的情况下，会撷取与该至少一攻击地址相关的多笔攻击记录，将该些攻击记录区分为多个群组，再将各群组所对应的存取关联与攻击模式的攻击存取关联比对。透过前述运作，本发明可判断出各群组所对应的攻击模式，甚至能进一步地预测出未来可能发生的攻击模式。

上述实施方式仅用来例举本发明的部分实施态样，以及阐释本发明的技术特征，而非用来限制本发明的保护范畴及范围。本领域普通技术人员可轻易完成的改变或均等性的安排均属于本发明所主张的范围，而本发明的权利保护范围以权利要求为准。