网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体与流程

技术特征：

1.一种网络攻击模式的判断装置，其特征在于，包含：

一储存单元，储存多个攻击模式以及一网络节点的多笔存取记录，各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容，各该攻击模式对应到至少一攻击存取关联，各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定；以及

一处理单元，电性连接至该储存单元，根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录，各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一，

其中，该处理单元更根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组，且针对各该第一群组执行以下运作：

根据该第一群组所包含的该些攻击记录，为该第一群组所包含的各该至少一攻击地址建立至少一存取关联，各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定，以及

根据该第一群组所对应的该至少一存取关联，判断该第一群组对应至该些攻击模式中的一特定攻击模式。

2.如权利要求1所述的判断装置，其特征在于，该处理单元更将该些特定攻击模式的一顺序储存于该储存单元。

3.如权利要求2所述的判断装置，其特征在于，一第二群组包含多笔待测存取记录，各该待测存取记录包含一网络地址、一时间戳及一存取内容，该处理单元更根据该些待测存取记录，建立该第二群组所包含的各该至少一网络地址的至少一待测存取关联，各该至少一待测存取关联由该第二群组所包含的该至少一网络地址其中之一及该第二群组所包含的该些待测存取记录的该些存取内容其中之一界定，以及

根据该些待测存取关联，判断该第二群组对应至该些特定攻击模式中的一第一特定攻击模式。

4.如权利要求3所述的判断装置，其特征在于，该第二群组对应至一时间区间，该处理单元更根据该些特定攻击模式的该顺序，预测该时间区间后的另一时间区间对应至一第二特定攻击模式。

5.如权利要求1所述的判断装置，其特征在于，各该第一群组对应至一时间区间，各该时间区间具有一时间长度，且该些时间长度相同。

6.如权利要求1所述的判断装置，其特征在于，该些第一群组具有一顺序，各该第一群组对应至一时间区间，且相邻的两个第一群组的一时间间隔大于一门槛值。

7.如权利要求1所述的判断装置，其特征在于，各该存取内容为一超文件传输协议请求、一存取状态代码及一数据存取量其中之一或其组合。

8.一种网络攻击模式的判断方法，适用于一电子计算装置，该电子计算装置储存多个攻击模式及一网络节点的多笔存取记录，各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容，各该攻击模式对应到至少一攻击存取关联，各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定，其特征在于，该判断方法包含下列步骤：

根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录，其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一；

根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组；以及

对各该第一群组执行以下步骤：

根据该第一群组所包含的该些攻击记录，为该第一群组所包含的各该至少一攻击地址建立至少一存取关联，各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定；以及

根据该第一群组所对应的该至少一存取关联，判断该第一群组对应至该些攻击模式中的一特定攻击模式。

9.如权利要求8所述的判断方法，其特征在于，更包含下列步骤：

储存该些特定攻击模式的一顺序。

10.如权利要求9所述的判断方法，其特征在于，一第二群组包含多笔待测存取记录，各该待测存取记录包含一网络地址、一时间戳及一存取内容，该判断方法更包含下列步骤：

根据该些待测存取记录，建立该第二群组所包含的各该至少一网络地址的至少一待测存取关联，其中各该至少一待测存取关联由该第二群组所包含的该至少一网络地址其中之一及该第二群组所包含的该些待测存取记录的该些存取内容其中之一界定；以及

根据该些待测存取关联，判断该第二群组对应至该些特定攻击模式中的一第一特定攻击模式。

11.如权利要求10所述的判断方法，其特征在于，该第二群组对应至一时间区间，该判断方法更包含下列步骤：

根据该些特定攻击模式的该顺序，预测该时间区间后的另一时间区间对应至一第二特定攻击模式。

12.如权利要求8所述的判断方法，其特征在于，各该第一群组对应至一时间区间，各该时间区间具有一时间长度，且该些时间长度相同。

13.如权利要求8所述的判断方法，其特征在于，该些第一群组具有一顺序，各该第一群组对应至一时间区间，且相邻的两个第一群组的一时间间隔大于一门槛值。

14.如权利要求8所述的判断方法，其特征在于，各该存取内容为一超文件传输协议请求、一存取状态代码及一数据存取量其中之一或其组合。

15.一种计算机可读取储存媒体，储存有计算机程序产品，经由一电子计算装置加载该计算机程序产品后，该电子计算装置执行该计算机程序产品所包含的多个程序指令，以执行一种网络攻击模式的判断方法，该电子计算装置储存多个攻击模式及一网络节点的多笔存取记录，各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳与一存取内容，各该攻击模式对应到至少一攻击存取关联，各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定，其特征在于，该判断方法包含下列步骤：

根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录，其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一；

根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组；以及

对各该第一群组执行以下步骤：

根据该第一群组所包含的该些攻击记录，为该第一群组所包含的各该至少一攻击地址建立至少一存取关联，各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定；以及

根据该第一群组所对应的该至少一存取关联，判断该第一群组对应至该些攻击模式中的一特定攻击模式。

16.如权利要求15所述的计算机可读取储存媒体，其特征在于，该判断方法更包含下列步骤：

储存该些特定攻击模式的一顺序。

17.如权利要求16所述的计算机可读取储存媒体，其特征在于，一第二群组包含多笔待测存取记录，各该待测存取记录包含一网络地址、一时间戳及一存取内容，该判断方法更包含下列步骤：

根据该些待测存取记录，建立该第二群组所包含的各该至少一网络地址的至少一待测存取关联，其中各该至少一待测存取关联由该第二群组所包含的该至少一网络地址其中之一及该第二群组所包含的该些待测存取记录的该些存取内容其中之一界定；以及

根据该些待测存取关联，判断该第二群组对应至该些特定攻击模式中的一第一特定攻击模式。

18.如权利要求17所述的计算机可读取储存媒体，其特征在于，该第二群组对应至一时间区间，该判断方法更包含下列步骤：

根据该些特定攻击模式的该顺序，预测该时间区间后的另一时间区间对应至一第二特定攻击模式。

19.如权利要求15所述的计算机可读取储存媒体，其特征在于，各该第一群组对应至一时间区间，各该时间区间具有一时间长度，且该些时间长度相同。

20.如权利要求8所述的计算机可读取储存媒体，其特征在于，该些第一群组具有一顺序，各该第一群组对应至一时间区间，且相邻的两个第一群组的一时间间隔大于一门槛值。