攻击节点侦测装置、方法及其计算机可读取储存媒体与流程

本发明系关于一种攻击节点侦测装置、方法及其计算机可读取储存媒体。更具体而言，本发明系关于一种利用存取记录侦测出攻击节点的装置、方法及其计算机可读取储存媒体。

背景技术：

随着科技的快速发展，政府与企业的运作以及使用者的日常生活皆已脱离不了计算机及网络。基于各式各样的目的，黑客会攻击网络上的服务器/计算机。一般而言，黑客所采取的攻击可区分为破坏型攻击及入侵型攻击二类。破坏型攻击的目的在于破坏攻击的目标，使目标瘫痪而无法正常运作。入侵型攻击则是会取得攻击的目标的某些权限，进而控制被入侵的目标以执行特定运作。入侵型攻击通常是在服务器、应用软件或网络通信协议中的漏洞中执行。

为避免网络上的计算机受到黑客的攻击，某些已知技术采用专家规则式过滤机制。具体而言，管理者利用一预先决定的过滤名单，并根据过滤名单过滤来访的其他装置，藉此达到资安维护的目的。过滤名单可包含欲过滤的因特网地址，或是恶意软件的程序代码中的特征值。然而，过滤名单并无法实时被更新，故仍存在资安防护的空窗期。另外，某些已知技术则是采取动态实时扫描(例如：扫描网页内容)。虽然此种作法能减少资安维护的空窗期，却会大量地消耗运算资源。有鉴于此，本领域仍亟需一种能侦测攻击节点以达成兹安维护的技术。

技术实现要素：

本发明的一目的在于提供一种攻击节点侦测装置。该攻击节点侦测装置包含一储存单元及一处理单元，且二者彼此电性连接。该储存单元储存一应用程序的多笔存取记录，其中各该存取记录包含一主机的一网络地址及该主机存取该应用程序的一存取内容。该处理单元以一预设规则将该等存取记录过滤为多笔已过滤存取记录，其中各该已过滤存取记录的该存取内容符合该预设规则。该处理单元更根据该等已过滤存取记录建立各该网络地址的至少一存取关联，其中各该存取关联由该等网络地址其中之一及该等存取内容其中之一界定。该处理单元更根据该等存取关联自该等网络地址中分离出一特定网络地址作为一攻击节点。

本发明的另一目的在于提供一种攻击节点侦测方法，其系适用于一电子计算装置。该电子计算装置储存一应用程序的多笔存取记录，其中各该存取记录包含一主机的一网络地址及该主机存取该应用程序的一存取内容。该攻击节点侦测方法包含下列步骤：(a)以一预设规则将该等存取记录过滤为多笔已过滤存取记录，其中各该已过滤存取记录的该存取内容符合该预设规则，(b)根据该等已过滤存取记录建立各该网络地址的至少一存取关联，其中各该存取关联由该等网络地址其中之一及该等存取内容其中之一界定，以及(c)根据该等存取关联自该等网络地址中分离出一特定网络地址作为一攻击节点。

本发明的又一目的在于提供一种计算机可读取储存媒体，该计算机可读取储存媒体储存有计算机程序产品。一电子计算装置储存一应用程序的多笔存取记录，且各该存取记录包含一主机的一网络地址及该主机存取该应用程序的一存取内容。该电子计算装置加载该计算机程序产品后，该电子计算装置执行该计算机程序产品所包含的多个程序指令，以执行前段所述的攻击节点侦测方法。

本发明所提供的攻击节点侦测技术(包含装置、方法及其计算机可读取储存媒体)藉由分析一应用程序的多笔存取记录找出行为较为异常的网络地址(例如：网络地址所具有的存取关联的数目大于第一预设门槛值)，这些较为异常的网络地址即为第一攻击节点。本发明所提供的攻击节点侦测技术(包含装置、方法及其计算机可读取储存媒体)进一步地基于第一攻击节点去找出行为类似的其他节点作为第二攻击节点。透过前述运作，攻击节点侦测装置不仅能找出明显可能的攻击节点，亦可找出潜在的攻击节点。这些攻击节点为黑客可能攻击该应用程序的攻击进入点(Attacking Entry Point)。

以下结合附图阐述本发明的详细技术及实施方式，使本发明所属技术领域中具有通常知识者能理解所请求保护的发明的技术特征。

附图说明

图1A系描绘第一实施方式的攻击节点侦测装置1的架构示意图；

图1B系描绘存取记录10a、……、10b的一具体范例；

图1C系描绘以一图呈现存取关联R1、……、R2的示意图；

图1D系描绘以一图呈现节点关联的示意图；

图1E系描绘以一传递性算法且基于节点关联扩散初始分数的示意图；以及

图2系描绘第二实施方式的攻击节点侦测方法的流程图。

符号说明

1：攻击节点侦测装置

11：储存单元

13：处理单元

10a、……、10b：存取记录

12a、……、12b：已过滤存取记录

IP1、IP2：网络地址

F1：档案

R1、R2、R3：存取关联

A、B、C：网络地址

R_AB、R_BC、R_CA、R_AC：节点关联

S201～S213：步骤

具体实施方式

以下将透过实施方式来解释本发明所提供的攻击节点侦测装置、方法及其计算机可读取储存媒体。然而，该等实施方式并非用以限制本发明需在如该等实施方式所述的任何环境、应用或方式方能实施。因此，关于实施方式的说明仅为阐释本发明的目的，而非用以限制本发明的范围。应理解，在以下实施方式及附图中，与本发明非直接相关的元件已省略而未绘示，且各元件的尺寸以及元件间的尺寸比例仅为例示而已，而非用以限制本发明的范围。

本发明的第一实施方式为一攻击节点侦测装置1，其架构示意图系描绘于图1A。攻击节点侦测装置1包含一储存单元11及一处理单元13，且二者彼此电性连接。储存单元11可为一存储器、一通用串行总线(Universal Serial Bus；USB)碟、一硬盘、一光盘(Compact Disk；CD)、一随身碟、一磁带、一数据库或本发明所属技术领域中具有通常知识者所知且具有相同功能的任何其他储存媒体或电路。处理单元13可为各种处理器、中央处理单元(Central Processing Unit；CPU)、微处理器或本发明所属技术领域中具有通常知识者所知的其他计算装置中的任一者。

储存单元11储存一应用程序(例如：一网站服务器程序)的多笔存取记录10a、……、10b(亦即，其他主机存取该应用程序的存取记录)。该应用程序可安装于攻击节点侦测装置1，亦可安装于一网络系统中的其他网络节点。存取记录10a、……、10b的每一笔包含一主机的一网络地址及该主机存取该应用程序的一存取内容。于某些实施方式中，前述各存取内容可为一超文件传输协议(HyperText Transfer Protocol；HTTP)请求、一存取状态代码(Status Code)或/及一数据存取量。需说明者，本发明所属技术领域中具有通常知识者应知悉一个超文件传输协议请求可包含哪些内容，故不赘言。另外，一存取记录中的一存取状态代码代表该次存取的结果(例如：存取成功、存取失败、网页不存在)。再者，一存取记录中的一数据存取量则代表该主机于该次存取过程所下载的数据量。

为便于理解，请参图1B，其系描绘存取记录10a、……、10b的一具体范例。于此具体范例中，存取记录10a包含一网络地址(亦即，fcrawler.looksmart.com)、一超文件传输协议请求(亦即，GET/contacts.html)、一存取状态代码(亦即，200，代表请求成功)以及一数据存取量(亦即，4,595字节)。存取记录10b包含一网络地址(亦即，123.123.123.123)、一超文件传输协议请求(亦即，GET/pics/a2hlogo.jpg)、一存取状态代码(亦即，200，代表请求成功)以及一数据存取量(亦即，4,282字节)。需说明者，图1B所绘示的存取记录10a、……、10b仅作为例示之用，并非用以限制本发明的范围。

处理单元13以一预设规则(未绘示)将存取记录10a、……、10b过滤为多笔已过滤存取记录12a、……、12b，而过滤后所得到的已过滤存取记录12a、……、12b中的每一笔的存取内容符合该预设规则。换言之，针对存取记录10a、……、10b，处理单元13排除存取内容不符合预设规则者。需说明者，攻击节点侦测装置1可针对不同的应用需求而设置不同的预设规则，而预设规则可与存取内容的种类相关。

举例而言，当存取记录10a、……、10b的存取内容包含超文件传输协议请求，则处理单元13可将预设规则设为一超文件传输协议请求使用至少一非法字符。此设计主要是考虑了黑客通常会在超文件传输协议请求中的统一字符定位符(Uniform Resource Locator；URL)使用非法字符，藉此尝试各种可能的攻击方式。于此范例中，经处理单元13过滤后所得的已过滤存取记录12a、……、12b中的该等存取内容，其超文件传输协议请求皆使用了非法字符。再举例而言，当存取记录10a、……、10b的存取内容包含数据存取量，则处理单元13可将预设规则设为一数据存取量落于一预设数据量范围之外(例如：存取数据量需落于两个标准偏差之外)。此设计主要是考虑了黑客攻击一应用程序时所造成的数据存取量通常远大于一般使用者存取同一应用程序时所造成的数据存取量。于此范例中，经处理单元13过滤后所得的已过滤存取记录12a、……、12b中的该等存取内容，其数据存取量皆落于一预设数据量范围外。

之后，处理单元13根据已过滤存取记录12a、……、12b建立各该网络地址的至少一存取关联，其中各该存取关联由该等网络地址其中之一及该等存取内容其中之一界定。具体而言，针对已过滤存取记录12a、……、12b中的每一笔，处理单元13对其所载的网络地址与存取内容产生至少一存取关联。为便于理解，兹假设已过滤存取记录12a包含一网络地址IP1及一超文件传输协议请求，且该超文件传输协议请求存取该应用程序的一档案F1。在此情况下，处理单元13建立网络地址IP1及档案F1间的一存取关联R1(亦即，记录网络地址IP1及档案F1之间具有关联性)，如图1C所示。兹再假设已过滤存取记录12b包含一网络地址IP2及一超文件传输协议请求，且该超文件传输协议请求存取该应用程序的一档案F1。在此情况下，处理单元13建立网络地址IP2及档案F1间的一存取关联R2(亦即，记录网络地址IP2及档案F1之间具有关联性)，如图1C所示。

图1C系描绘以一图(Graph)呈现处理单元13根据已过滤存取记录12a、……、12b所建立的所有存取关联R1、……、R2。于图1C中，每一圆形代表一个网络地址，且该等圆形所代表的该等网络地址相异。此外，于图1C中，每一方形代表一档案，且该等方形所代表的该等档案相异。需说明者，图1C所描绘的呈现方式仅为例示而已，并非用以限制本发明的发明。

需说明者，于某些实施方式中，一笔已过滤存取记录的存取内容可包含不只一种信息(例如：超文件传输协议请求、存取状态代码及数据存取量的任意组合)。于该等实施方式中，针对已过滤存取记录中的每一笔，处理单元13对其所载的网络地址与存取内容所包含的各信息个别地产生一存取关联。举例而言，若某一已过滤存取记录包含一网络地址及一存取内容，且其存取内容包含一存取状态代码及一数据存取量，则处理单元13会建立该网络地址及该存取状态代码间的一存取关联，且建立该网络地址及该数据存取量间的一存取关联。于该等实施方式中，若处理单元13以一图于一显示屏幕上呈现所有存取关联，则可以不同形状代表不同类型的信息(例如：方形代表档案、三角形代表数据存取量、菱形代表存取状态代码)。

之后，处理单元13根据存取关联R1、……、R2，自该等网络地址中分离出一特定网络地址作为一第一攻击节点。需说明者，第一攻击点可视为黑客可能攻击该应用程序的攻击进入点(Attacking Entry Point)。

于某些实施方式中，处理单元13系判断各网络地址所具有的存取关联的一数目是否大于一第一预设门槛值。若一网络地址所具有的存取关联的数目大于该第一预设门槛值，则处理单元13将该网络地址视为特定网络地址，并以该特定网络地址作为第一攻击节点。于某些实施方式中，倘若处理单元13所建立的存取关联包含多种类别(例如：包含介于网络地址与档案间的存取关联、介于网络地址与网络地址间的存取关联及介于网络地址与数据存取量间的存取关联)，则处理单元13系判断各网络地址所具有的某一类型的存取关联(例如：网络地址与档案之间的存取关联)的一数目是否大于一第一预设门槛值。若一网络地址所具有的某一类型的存取关联的数目大于该第一预设门槛值，则处理单元13将该网络地址视为特定网络地址，并以该特定网络地址作为第一攻击节点。以图1C为例，处理单元13判断网络地址IP1的某一类型的存取关联(亦即，网络地址与档案之间的存取关联)的数目大于第一预设门槛值，故分离出网络地址IP1作为第一攻击节点。

于某些实施方式中，处理单元13系利用一奇异值分解(Singular Value Decomposition；SVD)算法及一离值侦测(Outlier Detection)算法自该等网络地址中分离出该特定网络地址，并以该特定网络地址作为第一攻击节点。具体而言，处理单元13根据存取关联R1、……、R2中的每一笔所记载的网络地址及存取内容形成一存取信息矩阵(例如：存取关联R1、……、R2中有五个相异网络地址，处理单元13会产生一5x5矩阵，且矩阵中各元素的值由网络地址所对应的存取内容决定)，以奇异值分解算法将该存取信息矩阵由一第一空间转换至一第二空间，再于该第二空间以一离值侦测算法找出较为偏离的网络地址。处理单元13所找出的较为偏离的网络地址即作为第一攻击节点。需说明者，本发明所属技术领域中具有通常知识者应能理解奇异值分解算法及离值侦测算法的运作方式，故不赘言。

于某些实施方式中，处理单元13可进一步地利用第一攻击点找出第二攻击点(亦即，黑客可能攻击该应用程序的其他攻击进入点)。

具体而言，处理单元13根据存取关联R1、……、R2决定各该网络地址的至少一节点关联，其中各该至少一节点关联由两个网络地址所界定。为便于理解，请一并参阅图1C。处理单元13根据存取关联R1、……、R2所决定的该等节点关联可区分为二种。第一种节点关联包含存取关联R1、……、R2中那些由两个网络地址所决定的存取关联(例如：图1C所绘示的存取关联R3)。第二种节点关联则是介于那些其存取内容具有共同特性的网络地址之间。以图1C为例，网络地址IP1的存取内容与网络地址IP2的存取内容具有一共同特性(亦即，网络地址IP1、IP2所对应的存取内容皆包含档案F1)，则处理单元13会于网络地址IP1及网络地址IP2间建立一节点关联。图1D系描绘以一图呈现处理单元13基于图1C所绘示的存取关联R1、……、R2所产生的节点关联，其中每一圆形代表一个网络地址，且该等圆形所代表的该等网络地址相异。需说明者，图1D所描绘的呈现方式仅为例示而已，并非用以限制本发明的发明。

接着，处理单元13指定第一攻击节点具有一初始分数(例如：一预设分数)。处理单元13再以一传递性算法(Propagation Algorithm)，基于该等节点关联扩散该初始分数，使各该网络地址具有一扩散后分数。前述传递性算法可为一网页排序(PageRank)算法、一随机漫步(Random Walk with Restart；RWR)算法、一信任指数(TrustRank)算法或其他具有类似功能的算法。

为便于理解，兹以图1E所绘示的具体范例说明如何利用网页排序算法及该等节点关联来扩散该初始分数。图1E绘示三个网络地址A、B、C及三者间的节点关联R_AB、R_BC、R_CA、R_AC。依据网页排序算法，链接节点(亦即，网络地址A、B、C)与节点的边(亦即，节点关联R_AB、R_BC、R_CA、R_AC)具有方向性，故处理单元13需先决定节点关联R_AB、R_BC、R_CA、R_AC的方向性，才能扩散初始分数。于某些实施方式中，针对一节点关联，处理单元13系以界定该节点关联的两个网络地址所各自具有的存取关联的数目来决定该节点关联的方向性。举例而言，一节点关联的方向可被设定为由存取关联数目较少的网络节点指向存取关联数目较多的网络节点。假设各存取关联系介于一网络地址与一档案之间，则前述的决定方式代表由存取较少档案的网络节点指向存取较多档案的网络节点。

于图1E中，节点关联R_AB系由网络地址A指向网络地址B，节点关联R_BC系由网络地址B指向网络地址C，节点关联R_CA系由网络地址C指向网络地址A，且节点关联R_AC系由网络地址A指向网络地址C。节点关联R_AB可视为网络地址A的导出连结(Outgoing Link)，且可视为网络地址B的导入连结(Incoming Link)。同理，节点关联R_BC可视为网络地址B的导出连结，且可视为网络地址C的导入连结。节点关联R_CA可视为网络地址C的导出连结，且可视为网络地址A的导入连结。节点关联R_AC可视为网络地址A的导出连结，且可视为网络地址C的导入连结。

于决定节点关联R_AB、R_BC、R_CA、R_AC的方向性后，处理单元13便可从第一攻击节点扩散初始分数。兹假设网络地址A为第一攻击节点，故处理单元13会指定网络地址A具有一初始分数(例如：一预设分数)，再依据以下公式(1)(亦即，网页排序算法所提供的公式)扩散网络地址A的初始分数，使网络地址A、B、C皆具有扩散后分数。处理单元13会重复地以公式(1)计算网络地址A、B、C的扩散分数，直到收敛为止。

上述公式(1)中，变量u可为网络地址A、B、C中的任一者，PR(u)代表变量u所代表的网络地址的扩散后分数，PR(v)代表变量v所代表的网络地址的扩散后分数，参数B_u代表指向变量u所代表的网络地址的那些网络地址所形成的集合(例如：若变量u代表网络地址C，则B_u所形成的集合包含网络地址A及网络地址B)，且参数L_v为变量v所代表的网络地址的导出连结的数目。

于某些实施方式中，处理单元13亦可依据以下公式(2)(亦即，网页排序算法所提供的另一公式)扩散网络地址A的初始分数，使网络地址A、B、C皆具有扩散后分数。处理单元13会重复地以公式(2)计算网络地址A、B、C的扩散分数，直到收敛为止。

上述公式(2)中，变量u可为网络地址A、B、C中的任一者，PR(u)代表变量u所代表的网络地址的扩散后分数，PR(v)代表变量v所代表的网络地址的扩散后分数，参数B_u代表指向变量u所代表的网络地址的那些网络地址所形成的集合(例如：若变量u代表网络地址C，则B_u所形成的集合包含网络地址A及网络地址B)，参数L_v为变量v所代表的网络地址的导出链接的数目，变量λ代表一随机连结而来的机率，且N代表网络地址的数目。

依据前述说明，本发明所属技术领域中具有通常知识者应能了解处理单元13如何以随机漫步算法、信任指数算法或其他具有类似功能的算法计算出各网络地址的扩散后分数，兹不赘言。

在处理单元13利用一传递性算法，且基于该等节点关联扩散第一攻击节点的初始分数至其他网络地址后，处理单元13自该等网络地址中选取至少一第二攻击节点。需说明者，处理单元13所选取的各该第二攻击节点的该扩散后分数大于一第二预设门槛值。需说明者，第二攻击点亦可视为黑客可能攻击该应用程序的攻击进入点。

由前述说明可知，攻击节点侦测装置1利用一应用程序的多笔存取记录10a、……、10b(亦即，其他主机存取该应用程序的存取记录)来侦测出黑客可能攻击该应用程序的攻击进入点。简言之，攻击节点侦测装置1藉由分析存取记录10a、……、10b找出行为较为异常的网络地址(例如：网络地址所具有的存取关联的数目大于第一预设门槛值)，这些较为异常的网络地址即为第一攻击节点。攻击节点侦测装置1进一步地基于第一攻击节点去找出行为类似的其他节点作为第二攻击节点。透过前述运作，攻击节点侦测装置1不仅能找出明显可能的攻击节点，亦可找出潜在的攻击节点。这些攻击节点为黑客可能攻击该应用程序的攻击进入点。

本发明的第二实施方式为一种攻击节点侦测方法，其流程图系描绘于图2。该攻击节点侦测方法适用于一电子计算装置(例如：第一实施方式的攻击节点侦测装置1)。该电子计算装置储存一应用程序的多笔存取记录，其中各该存取记录包含一主机的一网络地址及该主机存取该应用程序的一存取内容。于某些实施方式中，各该存取内容为一超文件传输协议请求、一存取状态代码或/及一数据存取量。

于步骤S201，由该电子计算装置以一预设规则将该等存取记录过滤为多笔已过滤存取记录，其中各该已过滤存取记录的该存取内容符合该预设规则。举例而言，当该等存取记录的存取内容包含超文件传输协议请求，则该预设规则可为一超文件传输协议请求使用至少一非法字符。因此，步骤S201过滤后所得的已过滤存取记录中的该等存取内容，其超文件传输协议请求皆使用了非法字符。再举例而言，当该等存取记录的存取内容包含数据存取量，则该预设规则为一数据存取量落于一预设数据量范围之外。因此，步骤S201过滤后所得的已过滤存取记录中的该等存取内容，其数据存取量皆落于一预设数据量范围外。

于步骤S203，由该电子计算装置根据该等已过滤存取记录建立各该网络地址的至少一存取关联，其中各该存取关联由该等网络地址其中之一及该等存取内容其中之一界定。具体而言，针对已过滤存取记录中的每一笔，步骤S203对其所载的网络地址与存取内容产生至少一存取关联。

于步骤S205，由该电子计算装置根据该等存取关联自该等网络地址中分离出一特定网络地址作为一第一攻击节点。需说明者，第一攻击点可视为黑客可能攻击该应用程序的攻击进入点。于某些实施方式中，步骤S205系藉由判断该特定网络地址的该至少一存取关联的一数目大于一预设门槛值而自该等网络地址中分离出该特定网络地址。于某些实施方式中，步骤S205则利用一奇异值分解算法及一离值侦测算法自该等网络地址中分离出该特定网络地址。

于步骤S207，由该电子计算装置根据该等存取关联决定各该网络地址的至少一节点关联，其中各该节点关联由该等网络地址中的两个网络地址界定。于步骤S209，由该电子计算装置指定该第一攻击节点具有一初始分数。于步骤S211，由该电子计算装置以一传递性算法且依据该等节点关联扩散该初始分数使各该网络地址具有一扩散后分数。前述传递性算法可为一网页排序算法、一随机漫步算法或一信任指数算法。于步骤S213，由该电子计算装置自该等网络地址选取至少一第二攻击节点，其中各该至少一第二攻击节点的该扩散后分数大于一预设门槛值。需说明者，第二攻击点亦可视为黑客可能攻击该应用程序的攻击进入点。

除了上述步骤，第二实施方式亦能执行第一实施方式所描述的所有运作及步骤，具有同样的功能，且达到同样的技术效果。本发明所属技术领域中具有通常知识者可直接了解第二实施方式如何基于上述第一实施方式以执行此等运作及步骤，具有同样的功能，并达到同样的技术效果，故不赘述。

在第二实施方式中所阐述的攻击节点侦测方法可由包含多个程序指令的一计算机程序产品实现。该计算机程序产品可被储存于一非瞬时计算机可读取储存媒体中。针对该计算机程序产品，在其所包含的该等程序指令被加载一电子计算装置(例如：第一实施方式的攻击节点侦测装置1)之后，该计算机程序产品执行如在第二实施方式中所述的攻击节点侦测方法。该非瞬时计算机可读取储存媒体可为一电子产品，例如：一只读存储器(read only memory；ROM)、一闪存、一软盘、一硬盘、一光盘(compact disk；CD)、一随身碟、一磁带、一可由网络存取的数据库或本发明所属技术领域中具有通常知识者所知且具有相同功能的任何其他储存媒体。

需说明者，于本发明专利说明书中，第一攻击节点及第二攻击节点中的「第一」及「第二」仅用来表示该等攻击节点为不同阶段所决定的攻击点。第一预设门槛值及第二预设门槛值中的「第一」及「第二」仅用来表示该等门槛值为不同的门槛值。

综上所述，本发明所提供的攻击节点侦测技术(包含装置、方法及其计算机可读取储存媒体)藉由分析一应用程序的多笔存取记录找出行为较为异常的网络地址(例如：网络地址所具有的存取关联的数目大于第一预设门槛值)，这些较为异常的网络地址即为第一攻击节点。本发明所提供的攻击节点侦测技术(包含装置、方法及其计算机可读取储存媒体)进一步地基于第一攻击节点去找出行为类似的其他节点作为第二攻击节点。透过前述运作，本发明所提供的攻击节点侦测技术不仅能找出明显可能的攻击节点，亦可找出潜在的攻击节点，而这些攻击节点即为黑客可能攻击该应用程序的攻击进入点。

上述实施方式仅用来例举本发明的部分实施态样，以及阐释本发明的技术特征，而非用来限制本发明的保护范畴及范围。本领域普通技术人员可轻易完成的改变或均等性的安排均属于本发明所主张的范围，而本发明的权利保护范围以权利要求为准。