本发明涉及一种计算机安全技术,特别是一种二阶段过滤的计算机攻击阻挡方法以及使用该方法的装置。
背景技术:
:于计算机安全情境,黑客寻找并攻击计算机系统或计算机网络中的弱点。企业通常会因为这些攻击而遭受伤害,例如危害计算机服务、客户私人数据遭窃、降低利润或声誉等。为防止计算机系统或计算机网络遭受攻击,传统上会建立大量防堵规则并耗费大量时间来分析攻击行为。因此,需要一种二阶段过滤的计算机攻击阻挡方法以及使用该方法的装置,用以有效率地阻挡这些攻击。技术实现要素:本发明的实施例提出一种二阶段过滤的计算机攻击阻挡方法,由处理单元执行,包含以下步骤。从客户端系统接收一服务请求,用以向受防护计算机资产请求服务。执行第一阶段过滤,用以当从服务请求中发现白名单模板时,将服务请求转送至受防护计算机资产。于第一阶段过滤结束后,执行第二阶段过滤。本发明的实施例提出一种二阶段过滤的计算机攻击阻挡装置,包含储存装置及处理单元。储存装置储存多个白名单模板。处理单元组态来从客户端系统接收服务请求;执行第一阶段过滤,用以当从服务请求中发现白名单模板时,将服务请求转送至受防护计算机资产;以及于第一阶段过滤结束后,执行第二阶段过滤。配合所附图示,详细说明下列实施例。附图说明藉由阅读以下详细描述及实施例并配合所附图示,可更加清楚了解本发明,其中:图1为依据本发明实施例的网络架构示意图。图2为依据本发明实施例的网络装置的系统架构图。图3为依据本发明实施例的二阶段过滤的计算机攻击阻挡方法。图4为依据本发明实施例的软件示意图,被处理单元加载及执行,用以处理流经网关或路由器中的网络适配器的网络封包。图5为依据本发明实施例的计算机装置的系统架构图。图6为依据本发明实施例的软件示意图,被处理单元加载及执行,用以处理从客户端系统传来的服务请求。具体实施方式以下说明系为完成发明的较佳实现方式,其目的在于描述本发明的基本精神,但并不用以限定本发明。实际的
发明内容必须参考之后的权利要求范围。本发明将参考特定实施例并参考某些附图来描述,但本发明不限于此且仅由权利要求所限制。必须了解的是,使用于本说明书中的“包含”、“包括”等词,系用以表示存在特定的技术特征、数值、方法步骤、作业处理、组件以及/或组件,但并不排除可加上更多的技术特征、数值、方法步骤、作业处理、组件、组件,或以上的任意组合。于权利要求中使用如“第一”、“第二”、“第三”等词系用来修饰权利要求中的组件,并非用来表示之间具有优先权顺序、,先行关系,或者是一个组件先于另一个组件,或者是执行方法步骤时的时间先后顺序,仅用来区别具有相同名字的组件。本发明实施例提出一种网络架构,用以连接多种受防护计算机资产,例如计算机、计算机服务器、监控系统、物联网(iot,internetofthings)设备等。图1为依据本发明实施例的网络架构示意图。受防护计算机资产包含服务器140a至140c、监控系统中的监控主机150a及监控摄像头150b及150c、物联网设备及客户端计算机等。物联网设备包括如照明控制系统160a、智能tv(电视)160b、门禁控制系统160c等,客户端计算机包括如笔记本电脑170a、个人计算机170b、平板计算机170c等。服务器140a、140b或140c可为网站服务器、应用服务器、电子邮件服务器、im(实时消息)服务器、网络附加储存(network-attachedstorage,nas)服务器或其他类型的服务器。网站服务器可储存、产生及传送网页给客户端。客户端及网站服务器间的通信可使用超文件传输通信协议(http,hypertexttransferprotocol)或其他通信协议。网页通常为超文件标示语言(html,hyper-textmarkuplanguage)文件,除文本内容外,其包含图像、样式表单(stylesheet)及脚本指令(scripts)等。应用服务器可为一种软件框架(softwareframework),用以提供建立网页应用程序的工具,以及执行网页应用程序的服务器环境。应用服务器可包含庞杂的服务层模型(servicelayermodel)。应用服务器可执行一组组件(components),用以让软件开发者通过框架本身制定的应用程序编程接口(api,applicationprogramminginterface)进行存取。对于网站应用程序而言,组件可在与其网站服务器相同的运行环境中执行,且其主要任务是支持网站页面的建构。此组件可实施如丛集(clustering)、故障转移(fail-over)及负载平衡(load-balancing)等服务,使得软件开发者可专注于撰写企业逻辑。电子邮件服务器可以中继方式使用简易邮件转递通信协议(smtp,simplemailtransferprotocol)从邮件客户端接收电子邮件,以及使用第三代邮局通信协议(pop3,postofficeprotocolversion3)或互联网信息存取通信协议(imap,internetmessageaccessprotocol)传送电子邮件给邮件客户端。即时消息(im,instantmessaging)服务器可协助一或多个参与者间的沟通,达到立即的信息接收、读取回条及回复。网络附加储存(nas,networkattachedstorage)服务器可让不同种类客户端进行数据存取,包含一或多部以逻辑、冗余设置的储存装置,或安排为独立硬盘冗余数组(raid,redundantarrayofindependentdisks)。监控摄像头150b及150c可为视频摄像头,用以监视特定区域,以及监控主机150a可包含纪录装置,用以纪录及压缩从监控摄像头150b及150c取得的影像,以及储存压缩视频至可供搜寻的数据库。物联网设备160a至160c可为实体装置,嵌入电子电路、软件、传感器及连接器,使得此装置可与其他连接装置交换数据。物联网设备允许装置进行感测,以及跨网络基础建设进行控制。客户系统190连接上互联网,可传送请求至受防护计算机资产140a至170c中的任意一个提供服务。本发明并非只包含以上所列的设备,以及本领域技术人员可防护其他种类的服务器、物联网设备或计算机系统。受防护计算机资产140a至170c中的每一个连接至集线器(hubs)130a至130d中的一个。每一集线器将多部以太网络设备连接在一起,使得这些设备运作起来如单一网络区段(networksegment)。集线器具有多个输入/输出端口,任何一个端口的输入信号会输出到除了本身以外的每一个其他端口。集线器130a至130d中的任意一个可替换为无线接取点(ap,accesspoint)。无线接取点可使用wi-fi或其他标准,让受防护计算机资产140a至170c连接至有线网络。路由器120a至120b中的每一个于计算机网络间转递网络封包。网络封包通常从一个路由器通过互联网络转递至另一个,直到到达目的节点。路由器通过二或多个数据线连接至不同网络。当网络封包从数据线中的一个进入,路由器读取封包中的地址信息来决定最终目的地。接着,路由器使用其中的路由表(routingtable)或路由政策(routingpolicy),将网络封包转递至下一个网络。路由器120a至120b可为家庭或小型办公路由器,于受防护计算机资产140a至170c及互联网之间单纯传递数据,例如网页、电子邮件、即时消息、音频串流、视频串流等。家庭或小型办公路由器可为电缆或数字用户线(dsl,datasubscriberline)路由器,通过互联网服务供货商(isp,internetserviceprovider)连接至互联网。路由器120a至120b中的任意一个可替换为企业路由器,用以连接大型企业或isp网络,甚至是强大的主干路由器(corerouter),于互联网主干上以光纤线路高速转递资料。网关(gateway)110可运行为代理服务器(proxyserver)及防火墙服务器(firewallserver)。网关110可整合路由器及交换器的功能,路由器知道将到达网关110的网络封包导向何处,而交换器用以为特定封包决定输入及输出网关110的实际路径。图2为依据本发明实施例的网络装置的系统架构图。此系统架构可实施于网关110及路由器120a及120b中的任意一个。网关110、路由器120a或120b配置用以接收网络封包,以及决定最终的输出节点,用以将网络封包传出网关110、路由器120a或120b。处理单元210可使用多种方式实施,例如以专用硬件电路或通用硬件(例如,单处理器、具平行处理能力的多处理器、图形处理器或其他具运算能力的处理器),并且在执行程序代码或软件时,提供之后所描述的功能。系统架构另包含内存250用以储存执行过程中需要的数据,例如,变量、数据表(datatables)、数据结构等,以及储存单元240,用以储存白名单(whitelist)以及各种过滤规则,例如,客制规则(customrules)、基础规则(baserules)或其他规则等。系统架构可还包含一或多个输入设备230,用以接收用户输入信号,例如,键盘、鼠标、触控面板等。用户可按压键盘上的硬键来输入字符,藉由操作鼠标来控制显示器上的鼠标,或者是在触控面板制造手势来控制执行中的应用程序。手势可包含单击、双击、单指拖曳、多指拖曳等,但不限定于此。显示单元220可包含显示面板(例如,薄膜液晶显示(thinfilmtransistorliquid-crystaldisplay,tft-lcd)面板、有机发光二极管(organiclight-emittingdiode,oled)面板或其他具显示能力的面板),用以显示输入的字符、数字、符号、拖曳鼠目标移动轨迹、绘制的图案或应用程序所提供的画面,提供给使用者观看。网络适配器(networkadapter)260可配置用以使用以太网络(ethernet)通信,具有使用传输控制协议/互联网协议(tcp/ip,transmissioncontrolprotocol/internetprotocol)、用户包协议(udp,userdatagramprotocol),以及/或其他协议的能力。网络适配器260包含多个端口(ports)261,每一个端口配置为对内端口(internalport)或对外端口(externalport)。网络适配器260可包含多个传送/接收(tx/rx,transmitand/orreceive)队列263_1至263_n,用以暂存即将传送以及/或已接收的网络数据。为避免计算机攻击造成受防护计算机资产140a至170c遭受损害,实施例提出一种二阶段过滤的计算机攻击阻挡方法,以具效率的方式检查流经网关110或路由器120a或120b及包含各式各样服务请求(servicerequests)的网络封包,以及,一旦发现任何网络封包中包含攻击模板(attackpattern),则执行攻击防护作业(attackpreventionoperation)。当网关110或路由器120a或120b中的处理单元210加载并执行相关软件码或指令,辅以事先定义的模板,执行此方法。图3为依据本发明实施例的二阶段过滤的计算机攻击阻挡方法。此方法检查流经的网络封包中的第七层(layer7,也称应用层)信息,用以检测攻击模板。每一服务请求可包含目的地地址、端口号、请求信息、可执行的脚本指令(executablescripts)、窗体对象(formobjects)、后行动(postactions)、可执行的上载程序(executableprogram-uploads)或其他任意组合。图4为依据本发明实施例的软件示意图,被处理单元210加载及执行,用以处理流经网关110或路由器120a或120b中的网络适配器260的网络封包。软件模块410至470可依循开放系统互联模板(osi,opensystemsinterconnectionmodel)的规范,用以一层一层地解析数据或信息。osi模板将电信通信或计算机系统的通信分层归类并标准化,使得每一层可不管下层的内部构造及技术。网络适配器260可实施物理层模块(physical-layermodule)410、数据链路层模块(data-link-layermodule)420、网络层模块(network-layermodule)430、传输层模块(transport-layermodule)440。物理层模块410可建立及中止经由通信媒介直接联机的二个节点间的联机。数据联机的电性及实体规范可包含脚位布局、电压、接线阻抗、电缆规范、信号时序等。数据链路层模块420可提供节点对节点的数据传输,并且藉由检测可能发生在物理层中的错误并尝试修正错误,用以提供二个联机节点间的可靠联机。数据链路层可分成二个子层:媒体访问控制层(mac,mediaaccesscontrollayer),负责控制网络中的装置如何存取数据和传输数据的权限;逻辑链接控制层(llc,logicallinkcontrollayer),用以控制错误检查及封包间的同步。网络层模块430可提供功能性及程序性手段,从一个节点传递可变长度数据序列(又称为数据块(datagrams))至另一者。网络层模块430可转译逻辑网络地址成为实体机器地址。每个节点具有地址,藉由提供信息内容及目的地节点的地址,允许连接在网络上的一个节点传递信息至连接在网络上的其他节点,使得网关110、路由器120a或120b可找到绕送(route)信息的路径至目的地节点。除了信息的绕送外,网络层模块430可将信息分割成数块,以不同路径发送每一块以及组合这些块,纪录发送的错误等,用以实现信息递送。传输层模块440可通过流量控制、分割/重组及错误控制来提供特定联机的可靠性。传输层模块440可持续追踪所有块的传送,并且在失败时重传。传输层模块440也可提供成功传输数据的确认信息,并于无任何错误发生时传送其余的数据。传输层模块440可从应用层模块(application-layermodule)470接收信息并产生封包。传输层模块440使用的传输层通信协议可为传输控制通信协议(tcp,transmissioncontrolprotocol),其通常建立于互联网通信协议(ip,internetprotocol)之上。会话层模块(session-layermodule)450、表现层模块(presentation-layermodule)460及应用层模块(application-layermodule)470可于处理单元210加载及执行软件码或指令时实施。会话层模块450可建立、管理及中止本地及远程应用程序间的联机。表现层模块460可建立应用层实体间的上下文(context),其中当表现服务提供应用层实体间的对应关系时,应用层实体可使用不同的语法及语意。如果一个对应关系存在,可将表现服务数据单元(presentationservicedataunits)封装成会话协议数据单元(sessionprotocoldataunits),并且传送至协议栈(protocolstack)的下层。应用层模块470可藉由应用程序及网络格式间的转译提供独立于数据表现层的功能(例如,加密)。应用层模块470可将数据转变为应用程序可接受的格式。例如,应用层模块470可从互联网封包摘取请求信息(又称为第七层信息),诸如超文件传递通信协议(http,hypertexttransferprotocol)、加密超文件传递通信协议(https,securehypertexttransferprotocol)、无线应用讯协议(wap,wirelessapplicationprotocol)、文件传输协议(filetransferprotocol,ftp)、轻量目录存取通信协议(ldap,lightweithtdirectoryaccessprotocol)、域名系统(dns,domainnamesystem)、安全壳协议(ssh,secureshell)等请求,或者转译请求信息为互联网封包。此方法通过网络适配器260不断接收从客户端系统190传送来的请求,用以向受防护计算机资产请求服务,例如,受防护计算机资产140a至170c中的任意一个(步骤s310)。如图3所示的二阶段过滤的计算机攻击阻挡方法可实施于攻击阻挡模块480之中。于步骤s310,攻击阻挡模块480可从应用层模块470接收服务请求。于接收服务请求之后(步骤s310),进行二阶段过滤。于第一阶段,包含三种判断中的至少一个。第一判断决定每个服务请求中是否包含任何白名单模板(white-listpattern)(步骤s320)。使用者新增或更新的白名单模板可为通用表示式(regularexpressions)或其他表示式语言。白名单模板读取自储存装置240并提供来加速决策的速度并且避免误报(falsepositives)。也就是说,处理单元210快速通过具有白名单模板的服务请求,而不另做更多检测。第二判断决定每个服务请求中是否包含任何黑名单模板(black-listpattern)(步骤s325)。使用者新增或更新的黑名单模板可包含特定来源ip地址、统一资源标识符(uri,universalresourceidentifier)等。黑名单模板读取自储存装置240并提供来加速决策的速度。也就是说,处理单元210直接执行攻击阻挡作业(attackpreventionoperation)。第三判断决定每个服务请求中是否包含任何客制规则模板(custom-rulepattern)(步骤s330)。储存装置240储存客制规则模板,并随着特定类型的受防护计算机资产进行新增、修改或加强(reinforce),例如网站服务器、应用服务器、即时消息服务器、网络附加储存服务器、电子邮件服务器、监控系统、物联网设备、客户端计算机等。客制规则模板可视为特定类别的受防护计算机资产的增强模板(enhancedpatterns)。例如,如果企业主要防止网站服务器不受伤害,关连于网站服务器的客制规则模板被提供来过滤对网站服务器的可能攻击。一旦发现白名单模板(步骤s320中的“是”路径),处理单元210运行的攻击阻挡模块480直接转送服务请求至受防护计算机资产(步骤s350)。详细来说,传输层模块440可缓存(cache)相应于每一个服务请求的网络封包于内存250中,例如tcp/ip封包及目的地ip地址(步骤s310),以及,发现白名单模板后(步骤s320中的“是”路径),攻击阻挡模块480驱动传输层模块440直接传送缓存的网络封包至协议栈的下层,使得网络封包中的服务请求可转送至受防护计算机资产,而不需要由表现层模块460及会话层模块450重新产生网络封包(步骤s350)。替代性地,攻击阻挡模块480可直接下传服务请求至表现层模块460,使得网络封包中的服务请求可转送至受防护计算机资产(步骤s350)。一旦未发现白名单模板(步骤s320中“否”的路径)但却发现黑名单模板(步骤s325中“是”的路径),处理单元210运行的攻击阻挡模块480执行攻击阻挡作业(步骤s360)。一旦未发现白名单模板及黑名单模板(步骤s320中“否”的路径接着步骤s325中“否”的路径)但却发现客制规则模板(步骤s330中“是”的路径),处理单元210运行的攻击阻挡模块480执行攻击阻挡作业(步骤s360)。客制规则模板为受防护系统或现存弱点做特别设计。于一例中,客制规则模板包含字符串“a=2147483647”,可触发特定应用错误,而处理单元210于检测到服务请求中的请求信息“http-get:http://www.example.com/index.php?a=2147483647”包含此字符串后,执行攻击阻挡作业。于另一例中,客制规则模板包含于预先决定的时间区间尝试登入的允许次数,而处理单元210于检测到客户端系统190于预先决定的时间区间尝试的登入受防护计算机资产的次数超过了允许次数后,执行攻击阻挡作业。于更另一例中,客制规则模板包含译码及检查以base64编码的信息,而处理单元210于检测到译码的服务请求包含恶意内容(maliciouscontent)后,执行攻击阻挡作业。于更另一例中,客制规则模板包含防护特定物联网装置所辨认出的弱点模板。虽然以上三种判断以特定顺序执行,本领域技术人员可依据设计的需要更改顺序,本发明并不以此为限。一旦发现没有白名单模板(步骤s320中“否”的路径)、没有黑名单模板(步骤s325中“否”的路径)以及没有客制规则模板(步骤s330中“否”的路径)后,执行第二阶段过滤。于第二阶段中,处理单元210决定每个服务请求中是否包含任何基础规则模板(base-rulepattern)(步骤s340)。储存装置240储存基础规则模板,并提供来防止一般性重大攻击,而不会让受防护计算机资产遭受损害。基础规则模板并非专为个别系统或弱点设计。基础规则模板用以防止一般性攻击。基础规则模板可周期性更新,例如每日、每周一次,用以应付最新发现的攻击行为。当未发现服务请求中包含基础规则模板时(步骤s340中“否”的路径),处理单元210运行的攻击阻挡模块480转送服务请求至受防护计算机资产(步骤s350)。于步骤s350,如先前所讨论的,攻击阻挡模块480可驱动传输层模块440转传服务请求至受防护计算机资产以直接传送缓存的网络封包至协议栈的下层,或者直接下传服务请求至表现层模块460。当发现服务请求中包含基础规则模板时(步骤s340中“是”的路径),处理单元210运行的攻击阻挡模块480执行攻击阻挡作业(步骤s360)。于一例中,基础规则模板包含字符串“‘or1=1--”,而处理单元210于检测到服务请求中的可执行脚本指令包含此字符串后,执行攻击阻挡作业。于另一例中,基础规则模板包含字符串““><script>alert(‘0’);</script>”,而处理单元210于检测到服务请求中的可执行脚本指令包含此字符串后,执行攻击阻挡作业。于更另一例中,基础规则模板包含服务请求中的请求信息的字符的允许数目,而处理单元210于检测到请求信息的长度超过了允许数目后,其中可能包含缓冲区溢出(buffer-overflow)攻击,执行攻击阻挡作业。于攻击阻挡作业的实施例中,服务请求的请求信息中所拥有含括可能触发执行恶意攻击的脚本指令的特殊字符,可替换成等同的字符串,例如,特殊字符“<”及“>”可分别替换为字符串“<”及“>”,接着,转送修改后的请求信息给受防护计算机资产。本领域技术人员理解,当触发执行的脚本指令被含括在字符串“<”及“>”,并不会触发恶意攻击的脚本指令的执行。也就是说,藉由以上特殊字符的替换,而替换后字符串中的脚本指令不能转入执行上下文。于另一实施例,丢弃包含检测到的客制规则模板或基础规则模板的服务请求,而不转送请求信息给受防护计算机资产。于更另一实施例,阻挡包含检测到的客制规则模板或基础规则模板的服务请求,而不转送请求信息给受防护计算机资产,并且回复信息给客户端系统190。信息可为“http500-内部服务器错误”、“http403-禁止”、“http200-ok”,或其他信息。于更另一实施例,转送包含检测到的客制规则模板或基础规则模板的服务请求给受防护计算机资产,并且记录检测到的客制规则模板或基础规则模板的时间,或其他相关信息到日志中。于更另一实施例,将连结到警示网页的单一资源寻址(url,uniformresourcelocator)回复给客户端系统190,从而使得使用者浏览此警示网页。警示网页可显示非法或不安全存取的警告信息。于更另一实施例,转送包含检测到的客制规则模板或基础规则模板的服务请求给沙盒(sandbox)中的目的地装置,可将伤害控制在有限范围。可理解的是,于步骤s320、s330或s340中,攻击阻挡模块480可检查服务请求中的请求信息、可执行的脚本指令、窗体对象、后行动、可执行的上载程序等,用以决定服务请求中是否包含任何的白名单模板、黑名单模板、客制规则模板或基础规则模板。储存装置240中的白名单模板、黑名单模板、客制规则模板或基础规则模板可加载至内存250。以上所述的方法可应用来降低因sql隐码攻击(sqlinjectionattacks)、跨站脚本指令攻击(xss,cross-sitescriptingattacks)、造访路径攻击(pathtraversalattacks)、命令隐码攻击(commandinjectionattacks)、缓冲区溢出攻击(buffer-overflowattacks)、跨站假要求攻击(csrf,cross-siterequestforgeryattacks),或其他类型的攻击所造成的损害。sql隐码攻击用以插入恶意脚本指令至sql指令(query)。一个成功的sql隐码攻击可从数据库读取隐私数据,如以insert、update或delete的指令修改数据库数据,执行数据库的管理者作业,例如关闭数据库管理系统(dbms,databasemanagementsystem),回复dbms文件系统的特定档案内容,或发送命令给操作系统。跨站脚本指令攻击可插入恶意脚本指令至信任的网站服务器,又称为持续式跨站脚本指令攻击。跨站脚本指令攻击可发生于当攻击者使用网站应用程序传送恶意码(通常以浏览器侧脚本指令的形式)给另外的使用者,又称为反射式跨站脚本指令攻击。造访路径攻击尝试存取网站根文件夹(webrootfolder)外的档案及路径。藉由访问目录的方式,攻击者找寻储存于网站服务器、应用服务器、电子邮件服务器、即时消息服务器、网络附加储存服务器,或其他类型服务器中档案的绝对路径。藉由将变量改变为“../”序列及其变量,可存取文件系统中任意的档案及目录,包含受到操作系统访问控制限制住的应用程序原始码、组态数据、重要系统档案。攻击者可使用“../”序列移动到根目录,用以浏览文件系统。访问目录的序列可承载于系统请求,例如,“http://www.test.com/.././../”。命令隐码攻击通过有弱点的应用程序来执行主机操作系统上的任意命令。当应用系统传递用户提供的不安全数据(例如窗体、cookies、http标头等)给系统核心时,命令隐码攻击就可能出现。缓冲区溢出攻击用以瘫痪网站服务器或应用服务器的执行堆栈。攻击者可通过输入精心设计的指令至网站应用程序,使得网站应用程序执行这些指令时造成缓冲区溢出。跨站假要求攻击强迫用户于网站应用程序上执行不想要但已授权出去的操作。藉社交应用程序的协助(例如,通过电子邮件或实时通信软件发送链接),攻击者可假装网站应用程序的真实用户,执行攻击者选择的操作。如果受害者是一般使用者,成功的跨站假要求攻击可强迫使用者执行状态转换请求,像转账、电子邮件地址或密码变更等。如果受害者是管理者账号,跨站假要求攻击可能危害整个网站应用程序。如上述第二阶段过滤中,基础规则模板(basic-rulepatterns)尽可能涵盖所有种类的攻击行为。换句话说,基础规则模板较客制规则模板涵盖更多种类的受防护计算机资产。更甚者,基础规则模板可防护一些在企业网络中不存在的弱点。这些规则并不是特别为单一系统设计。例如,公司网络没有互联网装置,而基础规则模板可提供互联网装置的一般性攻击防护。值得注意的是,公司网络未来可能配备互联网装置,而必须具有基础规则模板,用以避免互联网装置遭受计算机攻击。然而,全面检查服务请求的内容,用以决定是否通过基础规则模板的检验,需花费大量的时间。包含白名单模板及客制规则模板的第一阶段过滤被执行在第二阶段过滤之前。客制规则模板用来防护位于网关110或路由器120a或120b之后的有限受防护计算机资产。客制规则为特定计算机资产或软件弱点进行详细设计。依据受防护系统的不同,可有不同的客制规则模板。于一方面,每当发现任何的白名单模板,马上转送服务请求至目的地装置,而不再进行任何的检查。第一阶段过滤也可包含黑名单模板,早期阻挡攻击者,例如,特定ip地址。于其他方面,一旦发现任何客制规则模板,马上执行攻击防护作业。虽然实施例在第一阶段过滤中使用客制规则模板而第二阶段过滤中使用基础规则模板,然而,本领域技术人员可交换这二者。换句话说,可根据不同需求交换步骤s330及s340。例如,当企业网络面对较特定防护计算机资产、系统或弱点更多的一般性攻击时,在第一阶段过滤中使用基础规则模板而第二阶段过滤中使用客制规则模板。图5为依据本发明实施例的计算机装置的系统架构图。此系统架构可实施于如服务器140a至140c、监控主机150a、物联网设备160a至160c、客户端计算机170a至170c中的任意一个,或其他具运算能力的装置,至少包含处理单元510。处理单元510可使用多种方式实施,例如以专用硬件电路或通用硬件(例如,单处理器、具平行处理能力的多处理器、图形处理器或其他具运算能力的处理器),并且在执行程序代码或软件时,提供之后所描述的功能。系统架构另包含内存550用以储存执行过程中需要的数据,例如,变量、数据表(datatables)、数据结构等,以及储存单元540,用以储存各式各样的电子档案,例如,白名单、黑名单、各式各样过滤规则及电子档案,过滤规则包含基础规则模板、客制规则模板等,电子档案包含网页、文件、视频档案、音频档案等。系统架构另包含通信接口560,让处理单元510可藉以跟其他电子装置进行沟通。通信接口560可以是局域网络(localareanetwork,lan)通信模块、无线局域网络通信模块(wlan)或其他通信模块,用以跟路由器120a及120b通信。系统架构还包含一或更多输入设备530以接收用户输入,像是键盘、鼠标、触控面板等。用户可按压键盘上的硬键来输入字符,藉由操作鼠标来控制鼠标,或者是在触控面板制造手势来控制执行中的应用程序。手势可包含单击、双击、单指拖曳、多指拖曳等,但不限定于此。显示单元520可包含显示面板(例如,薄膜液晶显示面板、有机发光二极管面板或其他具显示能力的面板),用以显示输入的字符、数字、符号、拖曳鼠目标移动轨迹、绘制的图案或应用程序所提供的画面,提供给使用者观看。为避免计算机攻击造成受防护计算机资产140a至170c遭受损害,上述实施例的二阶段过滤的计算机攻击阻挡方法可实现于服务器140a至140c、监控主机150a、物联网设备160a至160c、客户端计算机170a至170c中的任意一个,或其他具运算能力的装置,在传送服务请求给服务器前,以具效率的方式检查服务请求,服务器可为网站服务器、应用服务器、即时消息服务器、网络附加储存服务器、电子邮件服务器等。以及,一旦发现任何服务请求中包含攻击模板,执行攻击防护作业。此方法可依据图3的流程图进行修改。当服务器140a至140c、监控主机150a、物联网设备160a至160c、客户端计算机170a至170c中的任意一个的处理单元210加载并执行相关软件码或指令,辅以事先定义的模板,实现此方法。图6为依据本发明实施例的软件示意图,被处理单元510加载及执行,用以处理从客户端计算机传来的服务请求。软件模块610至670的技术细节可参考模块410至470的说明。服务器690可实施网站服务器、应用服务器、即时消息服务器、网络附加储存服务器、电子邮件服务器、监控系统、互联网装置等的功能。攻击阻挡模块680可置于应用层模块670及服务器690之间。修改后的方法可检查第七层(又称为应用层)信息,用以检测攻击模板,诸如,检查服务请求中的请求信息、可执行的脚本指令、窗体对象、后行动、可执行的上载程序、或其他服务请求。攻击阻挡模块680可修改图3的步骤s350,当服务请求中发现任何的白名单模板时(步骤s320中“是”的路径),或者当服务请求中没有发现任何的白名单模板、黑名单模板、客制规则模板以及基础规则模板时(经过步骤s320、s325、s330及s340中一系列“否”的路径),用以上传服务请求至服务器690。虽然图2及图5中包含了以上描述的组件,但不排除在不违反发明的精神下,使用更多其他的附加组件,已达成更佳的技术效果。此外,虽然图3的方法流程图采用特定的顺序来执行,但应可理解,这些过程可以包括更多或更少的操作,其可以串行或平行执行(例如,使用平行处理器或多线程环境)。虽然本发明使用以上实施例进行说明,但需要注意的是,这些描述并非用以限缩本发明。相反地,此发明涵盖了本领域技术人员显而易见的修改与相似设置。所以,申请权利要求范围应以最宽广的方式解释来包含所有显而易见的修改与相似设置。当前第1页12当前第1页12