网络流分析方法及其相关系统与流程

本发明涉及一种网络流分析方法及其相关计算机系统，尤其涉及一种辨识网络流种类的分析方法及其相关计算机系统。

背景技术：

随着科技的发展与网络的进步，人们对网络的依赖也日渐增加，相对地，关于网络安全的问题也随之产生。举例来说，分布式阻断(distributeddenialofservice，ddos)攻击即为一种常见的网络攻击事件，其透过发送大量请求服务要求的网络封包来攻击服务器或计算机主机，造成服务器或计算机主机无法提供正常服务的运作，进而占用资源、消耗带宽甚至瘫痪网络系统等。然而，现行针对网络攻击事件防护措施并不完善，并且网络攻击事件通常为随机且无法预测的。因此，当事件发生时，应变时程可能长达数十分钟甚至数小时，而损害网络安全。如此一来，必须针对网络流进行分析，以实时地过滤可疑的网络流，进而有效地防止网络攻击事件的产生。此外，现有针对网络流分析的技术需要较长时间才能完成分析网络流的程序，而无法实时过滤可疑的网络流。

因此，如何有效解决上述问题，以实时且有效率地提供网络流的分析方法，进而提高网络的防护效率，便成为此技术领域的重要课题之一。

技术实现要素：

因此，本发明提供一种网络流分析方法及其相关计算机系统，以有效率地分析网络流，进而有效防止网络攻击事件。

本发明公开一种网络流(networkflow)的分析方法，包含有撷取该网络流的一来源地址与一目的地址；判断该目的地址是否符合一默认条件；以及于该目的地址不符合该默认条件时，判断该目的来源地址是否在一白名单或该目的地址是否在一活动网址清单之中，以判断该网络流是否属于一攻击行为。

本发明还公开一种计算机系统，包含有至少一路由器，用来决定一网络流的一路径；一搜集器，用来搜集该网络流的该路径的一目的地址及一来源地址；以及一分析器，用来撷取该网络流的该来源地址与该目的地址，判断该目的地址是否符合一默认条件，以及于该目的地址不符合该默认条件时，判断该来源地址是否在一白名单或该目的地址是否在一活动网址清单之中，以判断该网络流是否属于一攻击行为。

【附图说明】

图1为本发明实施例的一计算机系统的示意图。

图2至图4为本发明实施例的一分析流程的示意图。

符号说明：

10计算机系统

102路由器

104搜集器

106分析器

20、30、40流程

202～210、302～316、402～414步骤

【具体实施方式】

请参考图1，图1为本发明实施例的一计算机系统10的示意图。计算机系统10包含有复数个路由器102、一搜集器104及一分析器106。计算机系统10可用来分析一网络流，以针对网络流进行侦测、辨识、分类或封锁等步骤，进而判断网络流是否属于一攻击行为，并于确定网络流属于攻击行为时，通知一维运人员(operator)或一应用程序编程接口(applicationprograminterface，api)呼叫应用交付控制器将服务自动导转至特殊机群与呼叫路由器调整路由表，避免网络遭受攻击。路由器102用来决定网络流的一路径，搜集器104用来汇聚或搜集关于网络流路径的一目的地址及一来源地址，以及分析器106用来撷取网络流的目的地址，并据以判断目的地址是否符合一默认条件，以于目的地址符合默认条件时，判断来源地址是否在一白名单或目的地址是否在一活动网址清单之中，进而确定攻击行为是否持续进行。

详细来说，请参考图2，图2为本发明实施例的一分析流程20的示意图。分析流程20可应用于计算机系统10，进而针对网络流进行侦测、分类及分析等步骤，分析流程20包含下列步骤：

步骤202：开始。

步骤204：撷取网络流的来源地址及目的地址。

步骤206：判断目的地址是否符合默认条件。

步骤208：于目的地址不符合默认条件时，判断来源地址是否在白名单中或目的网址是否在活动网址列表中，以判断网络流是否属于攻击行为。

步骤210：结束。

根据分析流程20，计算机系统10可根据网络流的目的地址，确定网络流是否属于攻击行为。首先，在步骤204中，计算机系统10的分析器106撷取搜集器104所搜集的网络流的目的地址，以于步骤206根据目的地址判断是否符合默认条件。在一实施例中，默认条件可以是计算机系统10接收来自同一目的地址的每秒封包数、单位时间内联机数或位数是否超过一阈值(threshold)。因此，当分析器106检测到传送到同一目的地址的每秒封包数、单位时间内联机数或位数超过预先设定的阈值时，可发出一警告并通知一控制端。此外，当目的地址不符合默认条件时，于步骤208，则进一步判断来源地址是否在白名单或目的地址是否在活动网址列表之中，以确定网络流是否属于攻击行为。在此例中，控制端可以是维运人员。此外，当目的地址符合默认条件时，则将网络流留存于一数据库备查。值得注意的是，针对每一种预设条件的阈值皆可根据计算机系统或维运人员的需求调整，例如，可设定传送至同一目的地址的每秒封包数超过100mb时，即发出警告，或者，传送至同一目的地址的位数超过1gb等预设条件，不限于此，皆适用于本发明。

上述范例仅概略性地说明本发明的计算机系统，透过判断网络流的目的地址是否符合默认条件，以判断网络流是否属于攻击事件，进而预先采取措施以避免网络遭受攻击。需注意的是，本领域普通技术人员可根据不同系统需求适当设计计算机系统，举例来说，以一或多个默认条件判断网络流是否属于攻击事件，或者，以其他网络流所包含的指针作为判断的依据，而不限于此，皆属本发明的范畴。

在一实施例中，当网络流的目的地址不符合默认条件时，分析器106可进一步判断其来源地址是否在白名单或其目的地址是否在活动网址列表，以执行对应的措施。请参考图3，图3为本发明实施例的另一分析流程30的示意图。分析流程30包含下列步骤：

步骤302：开始。

步骤304：判断来源地址是否在白名单之中。若是，执行步骤306；若否，执行步骤308。

步骤306：当来源地址在白名单之中，通知控制端以排除状况。

步骤308：根据一查表方式确定目的地址的一服务网域(servicedomain)，以实时分析对应于服务网域的一访问日志(accesslog)。

步骤310：判断目的地址是否在活动网址列表之中。若是，执行步骤312；若否，执行步骤314。

步骤312：当目的地址在活动网址列表之中，透过应用程序编程接口呼叫应用交付控制器将服务自动导转至特殊机群与呼叫路由器调整路由表。

步骤314：当活动网址列表不包含目的地址时，透过应用程序编程接口联络一防护设备，以启动旁路清洗流程。

步骤316：结束。

根据分析流程30，计算机系统10可根据网络流的来源地址是否在白名单或目地地址是否在活动网址列表之中，以执行对应的措施。首先，于步骤304中，分析器106判断来源地址是否在白名单之中。当来源地址确实在白名单之中时，则执行步骤306，以通知控制端以排除状况。相反地，则执行步骤308，以查表方式确定目的地址的服务网域，以实时分析对应于服务网域的访问日志。也就是说，透过实时分析服务网域的访问日志，来判断该服务网域所提供的网络流是否为可疑的网络流。接着，于步骤310中，判断目的地址是否在活动网址列表中。若目的地址包含于活动网址列表中，则执行步骤312，透过应用程序编程接口呼叫应用交付控制器将服务自动导转至特殊机群与呼叫路由器调整路由表。反之，当活动网址列表不包含目的地址时，则执行步骤314，以透过应用程序编程接口联络防护设备，以启动旁路清洗流程。具体而言，旁路清洗流程系将网络流导入一流量清洗系统过滤掉攻击封包后，再将网络流导回服务器。如此一来，计算机系统10根据分析流程30，可针对属于攻击行为的网络流进行清洗，以避免网络持续遭受攻击行为。

由上述可知，根据分析流程20及30，计算机系统10可对网络流进行侦测、辨识、判断分类等步骤，以实时地判断网络流是否属于攻击行为，进而启动旁路清洗流程，以避免计算机系统10遭受攻击。在另一实施例中，当分析器106于启动旁路清洗流程以过滤网络流中的攻击封包后，仍可持续观察攻击行为是否持续。请参考图4，图4为本发明实施例的另一分析流程40的示意图。分析流程40包含下列步骤：

步骤402：开始。

步骤404：确定攻击行为是否持续进行。若是，则执行步骤408；若否，则执行步骤406。

步骤406：将网络流留存于数据库备查。

步骤408：透过应用程序编程接口联络路由器102将网络流调整为一防骇路由。

步骤410：观察攻击行为是否持续进行。若是，则执行步骤412；若否，则执行步骤406。

步骤412：透过应用程序编程接口联络路由器102，将攻击流量导至黑洞路由后，执行步骤406。

步骤414：结束。

计算机系统10可根据分析流程40进一步针对旁路清洗流程的网络流进行分析。于步骤404中，先确定攻击行为是否持续。若没有遭受到攻击，则执行步骤406，将网络流留存于数据库备查；相反地，若攻击行为仍持续进行，则执行步骤408以透过应用程序编程接口联络路由器102将网络流调整为防骇路由，也就是说，将网络流的路径调整至防骇路由的路径，以避免持续遭受攻击。接着，于步骤410中，观察攻击行为是否持续，以于持续遭受攻击时，透过应用程序编程接口联络路由器102丢弃网络流，或者，将攻击流量导至黑洞路由(blackholeroute)。

需注意的是，前述实施例用以说明本发明的精神，本领域普通技术人员当可据以做适当的修饰，而不限于此。根据不同应用及设计理念，网络流的分析方法及计算机系统可以各式各样的方式实现。相较于前述以网络流的目的地址进行分析，在另一实施例中，也可针对网络流的来源地址进行分析。举例来说，分析器106可根据网络流的来源地址，以判断网络流是否存在于一不良ip信誉评等清单(ipreputationlist)之中，以于来源地址存在于任一不良ip信誉评等清单时，透过应用程序编程接口将网络流导向一诱捕系统(honeypotsystem)，或者，当来源地址不存在于任一不良ip信誉评等清单时，将该来源地址与目的地址留存于数据库备查，而不限于此，皆属本发明的范畴。

综上所述，本发明提供一种网络流分析方法及其相关计算机系统，根据网络流的多个指针实时地分析网络流，以采取防护步骤，进而有效防止网络攻击事件及提高网络安全。

以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的保护范围。