用于移动通信系统的威胁侦测系统及其中心装置与本地装置的制作方法

本发明是关于用于一移动通信系统的威胁侦测系统，及其中心装置与本地装置。具体而言，本发明的威胁侦测系统的中心装置训练一张量神经网络(tnn)模型，以生成供本地装置辨识低速分散式阻断服务(lsddos)攻击类型的一威胁分类器。

背景技术：

随着无线通信技术的快速成长，无线通信的各种应用已充斥于人们的生活中，且人们对于无线通信的需求亦日益增加。随着移动通信系统(例如：4g移动通信系统、5g移动通信系统)的布建，除了现在常见的智能手机、平板外，越来越多的电子产品也开始内建通信功能，例如：目前热门的窄频物联网(narrowbandinternetofthings；nb-iot)装置。在此情况下，开始有恶意人士藉由移动通信系统网络，对特定企业服务器或移动通信系统的核心网络中的服务器进行攻击，以尝试瘫痪服务器或造成服务器的庞大负担，使其无法正常运作。

分散式阻断服务(ddos)攻击是一种常见且存在已久的攻击手法。ddos攻击藉由分散式地装置传送大量的封包、建立大量的连线或下达多种混乱的指示，以使得服务器瞬间过于忙碌而被瘫痪。传统的ddos攻击主要是属于传输层(transmissionlayer)的攻击。由于近年来对于传统的ddos攻击的防御机制已逐渐有成效，因此恶意人士开始转向使用应用层(applicationlayer)的ddos攻击。应用层的ddos攻击主要是利用高层协定(例如：超文本传输协定(hypertexttransferprotocol；http))，以多样化且复杂性高的方式进行攻击。

低速分散式阻断服务(lowandslowdistributeddenial-of-service；lsddos)攻击属于应用层的ddos攻击的一种。相较于传统的ddos攻击，lsddos攻击的攻击速度较慢且流量较低，故不容易基于流量被侦测出来，但仍可逐步地耗尽服务器的资源，最终几乎被瘫痪。有鉴于此，本领域亟需一种威胁侦测机制，以侦测lsddos攻击并辨识出其攻击类型，进而做出适当的防御。

技术实现要素：

本发明的目的在于提供一种威胁侦测机制，其针对移动通信系统网络建立一威胁侦测系统，并藉由中心装置训练一张量神经网络(tnn)模型，以生成供本地装置辨识低速分散式阻断服务(lsddos)攻击类型的一威胁分类器。据此，本发明的威胁侦测机制可侦测lsddos攻击的动态行为并辨识出其攻击类型，进而做出适当的防御。

为达上述目的，本发明揭露一种用于一移动通信系统的威胁侦测系统，其包含一中心装置及一本地装置。该中心装置位于该移动通信系统的一核心网络，并用以执行下列操作：自一本地装置接收多个训练数据，各该训练数据是由每秒封包数量大于一临界值的一时间区间内的多个训练流量数据所构成；将该等训练数据输入至一张量神经网络(tensorneuralnetwork；tnn)模型，以训练该张量神经网络模型，并生成一威胁分类器，该威胁分类器用以辨识多个威胁类型；以及将该威胁分类器传送至一本地装置。该本地装置用以执行下列操作：自该中心装置接收该威胁分类器；撷取每秒封包数量大于该临界值的另一时间区间内的多个待辨识流量数据，以产生一待辨识数据；以及将该待辨识数据输入至该威胁分类器，以产生一分类结果，该分类结果对应至该等威胁类型其中之一。

此外，本发明更揭露一种用于一移动通信系统的一威胁侦测系统的中心装置。该威胁侦测系统包含该中心装置及一本地装置。该中心装置位于该移动通信系统的一核心网络。该中心装置包含一网络接口及一处理器。该网络接口用以连接该本地装置。该处理器电性连接至该网络接口，并用以执行以下操作：透过该网络接口，自该本地装置接收多个训练数据，各该训练数据是由每秒封包数量大于一临界值的一时间区间内的多个训练流量数据所构成；将该等训练数据输入至一张量神经网络(tensorneuralnetwork；tnn)模型，以训练该张量神经网络模型，并生成一威胁分类器，该威胁分类器用以辨识多个威胁类型；以及透过该网络接口，将该威胁分类器传送至该本地装置，以使该中心装置撷取每秒封包数量大于该临界值的另一时间区间内的多个待辨识流量数据，以产生一待辨识数据，并将该待辨识数据输入至该威胁分类器，以产生一分类结果，其中，该分类结果对应至该等威胁类型其中之一。

此外，本发明更揭露一种用于一移动通信系统的一威胁侦测系统的本地装置。该威胁侦测系统包含一中心装置及该本地装置。该中心装置位于该移动通信系统的一核心网络。该本地装置包含一网络接口以及一处理器。该网络接口用以连接该中心装置。该处理器，电性连接至该网络接口，并用以执行以下操作：撷取多个训练数据，各该训练数据是由每秒封包数量大于一临界值的一时间区间内的多个训练流量数据所构成；透过该网络接口，传送该等训练数据至该中心装置，以使该中心装置将该等训练数据输入至一张量神经网络(tensorneuralnetwork；tnn)模型，以训练该张量神经网络模型，并生成一威胁分类器，其中该威胁分类器用以辨识多个威胁类型；透过该网络接口，自该中心装置接收该威胁分类器；撷取每秒封包数量大于该临界值的另一时间区间内的多个待辨识流量数据，以产生一待辨识数据；以及将该待辨识数据输入至该威胁分类器，以产生一分类结果，其中，该分类结果对应至该等威胁类型其中之一。

在参阅附图及随后描述的实施方式后，本领域技术人员便可了解本发明的其他目的，以及本发明的技术手段及实施态样。

附图说明

图1是描绘本发明的威胁侦测系统1的示意图；

图2是描绘可用于本发明的威胁侦测系统1的一移动通信系统网络架构的示意图；

图3是描绘本发明训练张量神经网络模型tm的实施情境；

图4是描绘本发明透过威胁分类器tcr分析待辨识数据304的实施情境；

图5是本发明中心装置2的示意图；以及

图6是本发明本地装置3的示意图。

附图标记说明

1：威胁侦测系统

2：中心装置

21：网络接口

23：处理器

202：训练分类结果

3：本地装置

31：网络接口

33：处理器

302：训练数据

304：待辨识数据

306：分类结果

4：外部服务器

501：网络开放功能

502：网络数据分析功能

503：应用功能

504：接入和移动管理功能

505：会话管理功能

506：用户平面功能

507：基站

508：基站

509：用户装置

510：数据网络

cn：核心网络

tm：张量神经网络模型

tcr：威胁分类器

具体实施方式

以下将透过实施例来解释本发明内容，本发明的实施例并非用以限制本发明须在如实施例所述的任何特定的环境、应用或特殊方式方能实施。因此，关于实施例的说明仅为阐释本发明的目的，而非用以限制本发明。需说明者，以下实施例及附图中，与本发明非直接相关的元件已省略而未绘示，且附图中各元件间的尺寸关系仅为求容易了解，并非用以限制实际比例。

本发明第一实施例请参考图1-4。如图1所示，威胁侦测系统1包含中心装置2及本地装置3。威胁侦测系统1可用于一移动通信系统，例如：5g移动通信系统(但不限于此)。中心装置2位于移动通信系统的一核心网络cn。如图2所示，核心网络cn可用以提供下列功能：网络开放功能(networkexposurefunction；nef)501、网络数据分析功能(networkdataanalyticsfunction；nwdaf)502、应用功能(applicationfunction；af)503、接入和移动管理功能(accessandmobilitymanagementfunction；amf)504、会话管理功能(sessionmanagementfunction；smf)505及用户平面功能(userplanefunction；upf)506。

核心网络cn可由一个或多个装置(例如：服务器)所组成，以透过硬件或软件的型态来实现上述该等功能。该等功能彼此可透过特定接口连接(例如：smf505与upf506间可透过n4接口连接)。由于本领域技术人员可了解各功能间的连接接口，故于此不加以赘述。

中心装置2可为执行网络数据分析功能(nwdaf)502的装置(但不限于此)。本地装置3可为执行核心网络cn的其他功能(例如：amf504)的装置，或核心网络cn以外的装置，例如：基站(例如：5g移动通信系统的基站507(通常称作gnb)或4g移动通信系统的基站508(通常称作enb))。用户装置(userequipment；ue)509可为一智能手机或一nb-iot装置(但不限于此)。

如图3所示，中心装置2自本地装置3接收多个训练数据302。各训练数据302是由每秒封包数量大于一临界值的一时间区间内的多个训练流量数据所构成。临界值可与一日平均封包总数量相关联。该等训练数据302是由已知威胁类型的流量数据所构成。换言之，系统建立者可藉由多个用户装置产生各种lsddos攻击类型的封包(即，模拟攻击者的动态行为)，并经由移动通信系统网络传送，以供本地装置3撷取这些封包的信息并产生训练流量数据。随后，本地装置3将由该等训练流量数据所构成的训练数据302提供给中心装置2，以供中心装置2训练机器学习模型或深度学习模型使用，来产生用于本地装置3的威胁分类器。

具体而言，本地装置3在第一时间点判断每秒封包数量大于临界值时，开始自该等封包撷取信息，以产生训练流量数据，直到本地装置3判断在第二时间点的每秒封包数量小于临界值时，停止自该等封包撷取信息并停止产生训练流量数据，并将在第一时间点至第二时间点间所搜集的训练流量数据作为一笔训练数据302。

如同前述，临界值可与日平均封包总数量相关联。举例而言，假设日平均封包总数量为1000万笔，比例值设定为0.2，因此临界值可设计为日平均封包总数量乘上比例值，即临界值为200万笔。当本地装置3于15:10:00判断每秒封包数量大于200万笔时，则开始自该等封包撷取信息，以产生训练流量数据，并且于15:10:30判断每秒封包数量小于200万笔时，停止自该等封包撷取信息并停止产生训练流量数据。因此，本地装置3将自15:10:00至15:10:29期间所搜集到的训练流量数据作为一笔训练数据302，再将该笔训练数据302传送至中心装置2。随后依循上述操作，本地装置3可获得其他每秒封包数量大于临界值的时间区间的训练流量数据，以产生其他笔训练数据302。

随后，如图4所示，中心装置2获得该等训练数据302后，将该等训练数据302输入至一张量神经网络(tensorneuralnetwork；tnn)模型tm，以产生多个训练分类结果202，藉以训练张量神经网络模型tm，并生成一威胁分类器tcr，以及将威胁分类器tcr传送至本地装置3，供本地装置3利用威胁分类器tcr辨识威胁类型。本发明的训练方式可为监督式(但不限于此)，藉以将该等训练分类结果202分别标示为一种威胁类型。张量神经网络(tnn)模型tm可为基于反向传播算法的神经网络模型(但不限于此)，且其所运算的数据是以张量表示(例如：以三维坐标系统表示)。本领域技术人员可了解任何可支持张量运算的机器学习模型或深度学习模型皆可作为本发明的张量神经网络(tnn)模型tm，以生成本发明的威胁分类器tcr，故在此不加以赘述。

本地装置3自中心装置2接收威胁分类器tcr后，于另一时间区间内撷取每秒封包数量大于临界值的多个待辨识流量数据，以产生一待辨识数据304，并将待辨识数据304输入至威胁分类器tcr，以产生一分类结果306。分类结果306对应至该等威胁类型其中之一。

由上述说明可知，本地装置3主要用于撷取封包信息及辨识威胁，而中心装置2主要用于训练机器学习模型或深度学习模型(即，tnn模型)，以生成符合本地装置3所需的威胁分类器tcr。

于一实施例中，本地装置3可纪录多笔分类结果306，并将该等分类结果306回报至中心装置2。中心装置2可根据该等分类结果306，计算威胁分类器tcr的一错误率，并更新临界值，以及因应临界值被更新，重新训练该张量神经网络模型tm，以更新威胁分类器tcr，并将更新的威胁分类器tcr传送至本地装置3。换言之，中心装置2藉由观察本地装置3的威胁分类器tcr的辨识失败率，以适时地重新训练张量神经网络模型tm，以生成新的威胁分类器tcr，来提高威胁分类器tcr的辨识成功率。

此外，于其他实施例中，中心装置2是基于一排程周期重新训练张量神经网络模型tm，以更新威胁分类器tcr。换言之，中心装置2定期地(例如：固定几周或固定几个月)更新或新增训练数据302，以重新训练张量神经网络模型tm，以生成新的威胁分类器tcr，来提高威胁分类器tcr的辨识成功率。

本发明第二实施例请再次参考第1-4图。第二实施例为第一实施例的延伸。于本实施例中，该等训练数据302及待辨识数据304皆为封包数据。详言之，若该等封包的目的端为核心网络cn以外的装置，例如：用户装置509所产生的封包是经由核心网络cn透过数据网络(datanetwork；dn)510传送至外部服务器4，则本地装置3判断基于该等封包的信息所产生的该等训练数据302及待辨识数据304属于封包数据。此外，本地装置3可利用嗅探工具(例如：tcpdump)搜集各封包的信息。

针对目的端为外部服务器4的该等封包，本地装置3自各封包中撷取一时间戳记、一来源端网际协定(internetprotocol；ip)地址、一超文本传输协定(hypertexttransferprotocol；http)标头的一保持存活(keep-alive)栏位与一内文长度(content-length)栏位、一传输控制协定(transmissioncontrolprotocol；tcp)的一滑动视窗(slidingwindow)栏位以及一重发超过时间(retransmissiontime-out)栏位以获得一笔训练流量数据，并以张量结构表示各训练流量数据。

各训练流量数据的张量结构是由一三维坐标系统所表示。三维坐标系统包含一第一维度、一第二维度及一第三维度。第一维度表示由时间戳记所构成的一第一数值，第二维度表示由来源端ip地址所构成的一第二数值，以及第三维度表示由http标头的保持存活栏位与内文长度栏位及tcp的滑动视窗栏位与重发超过时间栏位所构成的一第三数值。

随后，本地装置3将该等训练数据302传送至中心装置2，由中心装置2将该等训练数据302输入至张量神经网络模型tm，以训练张量神经网络模型tm，并生成威胁分类器tcr。中心装置2将威胁分类器tcr传送至本地装置3，使本地装置3利用威胁分类器tcr辨识待辨识数据304的威胁类型。换言之，针对目的端为外部服务器4的该等封包，本地装置3自各封包中撷取时间戳记、来源端ip地址、超文本传输协定(http)标头的保持存活(keep-alive)栏位与内文长度(content-length)栏位、传输控制协定(tcp)的滑动视窗(slidingwindow)栏位以及重发超过时间(retransmissiontime-out)栏位获得一笔待辨识流量数据，并以张量结构表示待辨识流量数据。最后，本地装置3基于特定时间区间(即，每秒封包数量大于临界值的一时间区间)所产生的该等待辨识流量数据，产生待辨识数据304，并将待辨识数据304输入至威胁分类器tcr以获得分类结果306。如同前述，分类结果306对应至该等威胁类型其中之一。

进一步言，封包数据具有负载重及服务单纯的特性。举例而言，该等威胁类型可包含3种封包威胁类型：第一封包威胁类型为「藉由一直传送不完整的消息，要求保持持续连线性」，第二封包威胁类型为「藉由要求目的端传送超长消息，但来源端每次传送消息是短的、间隔时间长且不固定」，以及第三封包威胁类型为「藉由要求设定滑动视窗，占据较多服务资源」。分类结果306可为一具有3个元素的向量，且3个元素分别表示对应至3种封包威胁类型的机率值。机率值最高者表示分类结果306所对应的封包威胁类型。

本地装置3根据分类结果306，判断待辨识数据304属于前述3种封包威胁类型时，则进一步地做出适当的防御。举例而言，若待辨识数据304呈现来源端一直传送不完整的消息(即，不包含\r\n\r\n(0d0a0d0a)的消息)，则分类结果306对应至第一封包威胁类型。在此情况下，本地装置3可藉由设定一最大允许等待次数为「(1-对应至第一封包威胁类型的机率值)乘上预设等待次数」，且当达到最大允许等待次数时，则中断连线，以对此封包威胁类型的攻击进行防御。

再举例而言，若待辨识数据304呈现来源端以10-100秒速度发送一个字节，则分类结果306对应至第二封包威胁类型。在此情况下，本地装置3可藉由设定一最大允许传送时间为「(1-对应至第二封包威胁类型的机率值)乘上(1+平均传输时间)」，以对此封包威胁类型的攻击进行防御。

再举例而言，若待辨识数据304呈现来源端的tcp参数变更次数频繁而藉以控制目的端单次发送的数据大小，导致长期占有资源，则分类结果306对应至第三封包威胁类型。在此情况下，本地装置3可藉由设定一最大允许滑动视窗大小为「(1-对应至第三封包威胁类型的机率值)乘上(1+平均滑动视窗大小)」，以对此封包威胁类型的攻击进行防御。

本发明第三实施例请再次参考第1-4图。第三实施例亦为第一实施例的延伸。于本实施例中，该等训练数据302及待辨识数据304皆为伫列数据。详言之，若该等封包的目的端为核心网络cn中的装置，例如：执行amf504的装置，则本地装置3判断基于该等封包的信息所产生的该等训练数据302及待辨识数据304属于伫列数据。同样地，本地装置3可利用嗅探工具(例如：tcpdump)搜集封包的信息。

针对目的端为核心网络cn中的装置的该等封包，本地装置3自各封包中撷取一时间戳记、一目的端ip地址、一拒绝服务次数、一服务解析时间以及一资源处理时间以获得一笔训练数据，并以张量结构表示各训练数据。同样地，各训练数据的张量结构是由三维坐标系统所表示。三维坐标系统包含第一维度、第二维度及第三维度。不同于第二实施例，于本实施例中，对于伫列数据，第一维度是表示由时间戳记所构成的第一数值，第二维度是表示由目的端ip地址所构成的第二数值，以及第三维度是表示由拒绝服务次数、服务解析时间及资源处理时间所构成的第三数值。

本地装置3将该等训练数据302传送至中心装置2，由中心装置2将该等训练数据302输入至张量神经网络模型tm，以训练张量神经网络模型tm，并生成威胁分类器tcr。中心装置2将威胁分类器tcr传送至本地装置3，使本地装置3利用威胁分类器tcr辨识待辨识数据304的威胁类型。换言之，针对目的端为核心网络cn中的装置的该等封包，本地装置3自各封包中撷取时间戳记、目的端ip地址、拒绝服务次数、服务解析时间以及资源处理时间以获得一笔待辨识流量数据，并以张量结构表示待辨识流量数据。最后，本地装置3基于特定时间区间(即，每秒封包数量大于临界值的一时间区间)所产生的该等待辨识流量数据，产生待辨识数据304，并将待辨识数据304输入至威胁分类器tcr以获得分类结果306。如同前述，分类结果306对应至该等威胁类型其中之一。

进一步言，伫列数据具有负载轻及服务复杂的特性。举例而言，该等威胁类型包含4种伫列威胁类型：第一伫列威胁类型为「透过重传或回复机制启动拥塞控制，降低网络吞吐量」，第二伫列威胁类型为「留存过多数据或允许过长封包标头于暂存或快取区，导致后续连线被拒绝」，第三伫列威胁类型为「应用简单规则且合法，但内含逻辑炸弹，藉此消耗主机端前后端资源」，以及第四伫列威胁类型为「应用合法但却复杂规则，藉此消耗前后端解析信息」。分类结果306可为一具有4个元素的向量，且4个元素分别表示对应至4种伫列威胁类型的机率值。机率值最高者表示分类结果306所对应的伫列威胁类型。

本地装置3根据分类结果306，判断待辨识数据304属于前述4种伫列威胁类型时，则进一步地做出适当的防御。举例而言，若待辨识数据304呈现透过重传/回复机制启动拥塞控制，以降低网络吞吐量，则分类结果306对应至第一伫列威胁类型。在此情况下，本地装置3可藉由将重发超过时间设定为「(1-对应至第一伫列威胁类型的机率值)乘上(1+预设重发超过时间)」，以对此伫列威胁类型的攻击进行防御。

再举例而言，若待辨识数据304呈现留存过多数据或允许过长封包标头(header)于暂存区或快取区(cache)，导致后续连线被拒，则分类结果306对应至第二伫列威胁类型。在此情况下，本地装置3可藉由清除暂存数据，以对此伫列威胁类型的攻击进行防御。

再举例而言，若待辨识数据304中存在串接大量独立指令，建立逻辑炸弹(logicbomb)，使目标服务端得到一个无效结果，造成资源损耗，则分类结果306对应至第三伫列威胁类型。在此情况下，本地装置3可藉由将最大允许回应时间设定为「(1-对应至第三伫列威胁类型的机率值)乘上(1+平均回应时间)」，以对此伫列威胁类型的攻击进行防御。

再举例而言，假设待辨识数据中存在大量合并(join)类型指令(例如：布林函数运算指令)组合进行检索，使目标服务端的索引资源被大量消耗，则分类结果306对应至第四伫列威胁类型，本地装置3可藉由将最大允许回应时间设定为「(1-对应至第四伫列威胁类型的机率)乘上(1+平均回应时间)」，以对此伫列威胁类型的攻击进行防御。

须说明者，前述第二实施例的三种封包威胁类型及第三实施例的四种伫列威胁类型仅作为举例说明，以及本领域技术人员可基于前述说明了解，本发明的威胁侦测系统1可对不同数量种类的封包威胁类型及不同数量种类的伫列威胁类型进行张量神经网络(tnn)模型的训练，以生成多个不同的威胁分类器tcr。中心装置2可保存各种威胁分类器tcr，并基于实际需求(威胁类型的改变或环境的改变)更换本地装置3的威胁分类器tcr或其参数(又称超参数)，以进行符合实际需求的防御。再者，依据不同本地装置3所扮演的角色(即，其所具有的功能及能力)，各本地装置3可设有封包威胁类型的分类器及伫列威胁类型的分类器其中之一，或者同时设有封包威胁类型的分类器及伫列威胁类型的分类器。

本发明第四实施例如图5所示，其为本发明中心装置2的示意图。中心装置2包含一网络接口21以及一处理器23。处理器23电性连接至网络接口21。基于说明简化的原则，中心装置2的其它元件，例如：储存器、壳体、电源模组等与本发明较不相关的元件，皆于图中省略而未绘示。处理器23可为各种处理器、中央处理单元、微处理器、数字讯号处理器或本领域技术人员所知的其他可进行机器学习或深度学习的计算装置。

对应至第一实施例，网络接口21用以连接本地装置3。处理器23透过网络接口21，自本地装置3接收多个训练数据302。各训练数据302是由每秒封包数量大于一临界值的一时间区间内的多个训练流量数据所构成。处理器23将该等训练数据302输入至张量神经网络模型tm，以训练张量神经网络模型tm，并生成威胁分类器tcr。威胁分类器tcr用以辨识多个威胁类型。处理器23透过网络接口21，将威胁分类器tcr传送至本地装置3，以使本地装置3撷取每秒封包数量大于临界值的另一时间区间内的多个待辨识流量数据，以产生一待辨识数据，并将待辨识数据输入至威胁分类器tcr，以产生一分类结果306。分类结果306对应至该等威胁类型其中之一。

于一实施例中，临界值与一日平均封包总数量相关联。

对应至第二实施例，该等训练数据302及该待辨识数据304每一者是一封包数据，以及该等训练流量数据及该等待辨识流量数据每一者是由三维坐标系统所表示。三维坐标系统包含第一维度、第二维度及第三维度。第一维度表示由时间戳记所构成的第一数值。第二维度表示由来源端ip地址所构成的第二数值。第三维度表示由超文本传输协定(hypertexttransferprotocol；http)标头的保持存活(keep-alive)栏位与内文长度(content-length)栏位及传输控制协定(transmissioncontrolprotocol；tcp)的滑动视窗(slidingwindow)栏位与重发超过时间(retransmissiontime-out)栏位所构成的第三数值。

对应至第三实施例，该等训练数据302及该待辨识数据304每一者是一伫列数据，以及该等训练流量数据及该等待辨识流量数据每一者是由三维坐标系统所表示。三维坐标系统包含第一维度、第二维度及第三维度。第一维度表示时间戳记所构成的第一数值。第二维度表示由目的端ip地址所构成的第二数值。第三维度表示由拒绝服务次数、服务解析时间及资源处理时间所构成的第三数值。

本发明第五实施例如图6所示，其是为本发明本地装置3的示意图。本地装置3包含一网络接口31以及一处理器33。处理器33电性连接至网络接口31。基于说明简化的原则，本地装置3的其它元件，例如：储存器、壳体、电源模组等与本发明较不相关的元件，皆于图中省略而未绘示。处理器33可为各种处理器、中央处理单元、微处理器、数字讯号处理器或本领域技术人员所知的其他计算装置。

对应至第一实施例，网络接口31用以连接中心装置2。处理器33撷取多个训练数据302。各训练数据302是由每秒封包数量大于临界值的时间区间内的多个训练流量数据所构成。处理器33透过网络接口31，传送该等训练数据302至中心装置2，以使中心装置2将该等训练数据302输入至张量神经网络(tensorneuralnetwork；tnn)模型tm，以训练张量神经网络模型tm，并生成威胁分类器tcr。威胁分类器tcr用以辨识多个威胁类型。处理器33透过网络接口31，自中心装置2接收威胁分类器tcr。处理器33撷取每秒封包数量大于临界值的另一时间区间内的多个待辨识流量数据，以产生待辨识数据304。处理器33将待辨识数据304输入至威胁分类器tcr，以产生分类结果306。分类结果对应至该等威胁类型其中之一。

于一实施例中，临界值与日平均封包总数量相关联。

对应至第二实施例，该等训练数据302及待辨识数据304每一者是封包数据，以及该等训练流量数据及该等待辨识流量数据每一者是由一三维坐标系统所表示。三维坐标系统包含第一维度、第二维度及第三维度。第一维度表示由时间戳记所构成的第一数值。第二维度表示由来源端ip地址所构成的第二数值。第三维度表示由超文本传输协定(hypertexttransferprotocol；http)标头的保持存活(keep-alive)栏位与内文长度(content-length)栏位及传输控制协定(transmissioncontrolprotocol；tcp)的滑动视窗(slidingwindow)栏位与重发超过时间(retransmissiontime-out)栏位所构成的第三数值。

对应至第三实施例，该等训练数据302及待辨识数据304每一者是伫列数据，以及该等训练流量数据及该等待辨识流量数据每一者是由三维坐标系统所表示。三维坐标系统包含第一维度、第二维度及第三维度。第一维度表示由时间戳记所构成的第一数值。第二维度表示由目的端ip地址所构成的第二数值。第三维度表示由拒绝服务次数、服务解析时间及资源处理时间所构成的第三数值。

综上所述，本发明的威胁侦测系统藉由中心装置训练张量神经网络模型，以生成供本地装置辨识核心网络内部及外部不同的低速分散式阻断服务(lsddos)攻击类型的威胁分类器。据此，本发明的威胁侦测机制可侦测lsddos攻击并辨识出其攻击类型，进而做出适当的防御。

上述的实施例仅用来例举本发明的实施态样，以及阐释本发明的技术特征，并非用来限制本发明的保护范畴。任何熟悉此技术者可轻易完成的改变或均等性的安排均属于本发明所主张的范围，本发明的权利保护范围应以权利要求为准。