专利名称:可检测出异常网络封包的方法
技术领域:
本发明涉及网络安全技术,特别涉及一种可检测出异常网络封包的方法。
技术背景一个电子产业蓬勃发展的信息时代正与我们的生活逐渐融合,各种网络 技术所衍生的电子产品着实为人类的科技发展带来了莫大的突破性,随着当 今网络产品的不断研发与精进,相关网络安全的话题及考虑便显得更加的重 要,尤其是当今网际网络及各大企业及组织的服务器入口往往受到黑客(Hacker)释放病毒(Virus )、网络蠕虫(Worm)或间谍软件(Spyware如 特洛伊病毒Troy)欲窃取内部信息或加以破坏的行为屡见不穷,使得各大防 毒软件企业于网络安全市场上的竟争也越来越激烈。目前各大防毒软件企业针对一般黑客所发出的间谍软件(Spyware ),都 有推出对应间谍软件的病毒码的检测软件,这些检测软件可将已发现的间谍 软件予以检测并对使用者发出警告,并予以解除,通常所述间谍软件于服务 器内开始发作,经网管人员通报至各大防毒软件企业后,依此种间谍软件的 病毒码再对症下药而完成的检测软件,然而,面对新一代完全新品种的间谍 软件,必须要等到防毒软件企业找到所述间谍软件的相关信息再写成病毒码 时,数据已被窃取一段很长的时间,所造成的伤害往往无法弥补,因此,未 来各大企业及组织的服务器面对新一代的间谍软件只能消极的等待植入的间 谍软件发作,且被网管人员发现后,才能对所述间谍软件采取对应手段,对 企业造成相当大的不便及困扰,因此,如何设计出一种可检测出异常网络封 包的方法,实乃目前刻不容緩而亟待解决的一重要课题。发明内容因此,本发明的主要目的在于提供一种可检测出异常网络封包的方法, 应用可对外部网络的多个网络装置分别进行多个网络封包的交换工作的一封 包分配单元,该封包分配单元分别至少记录多个时段内特定输出网络封包的 一目的位置、目的端口号码及输出时间,再找出相同输出时间且被重复输出 至相同目的位置及目的端口号码的网络装置的所述多个网络封包,则所述封 包分配单元即发出一警告报告。一种可检测出异常网络封包的方法,应用在网络上的—十包分配单元,该封包分酉傳元可与一夕h^网络上的多个网络装置交换多个网络封包,所述多个网,包内包含一目的位置、 一目的端口号码、 一来源位置及一来源端口号码;所述方法包 含下列步骤分别记录至少两个时段内特定的输出网络封包的所述目的位置、目的端 口号码及一输出时间;比对不同时段内是否具有相同输出时间、相同目的位置及相同目的端口 号码的数据;及若是,则所述封包分配单元即发出一警告报告。其中每一时段内的所述多个特定的输出网络封包的所述目的位置、目的 端口号码及输出时间,记录至一输出封包数据模块内。 还包含下列步骤定义具有相同的目的位置、目的端口号码及输出时间的所述多个特定的 网络封包为异常网络封包;将所述多个异常网络封包记录至一异常警示模块内;使所述异常警示模块表示一画面并显示至一显示器上。其中,所述不同时段的数据以取交集的方式进行比对。对比方法包括该封包分配单元还包括有一过滤表,该过滤表内的数据 用以供所述封包分配单元判断不需记录的正常网络封包的依据,所述特定的输出网络封包,不符合所述过滤表的数据;或是,所述输出网络封包包含一 网络封包序号(TCP Sequence Number),所述特定的输出网络封包,为任何 第一个具有相同所述网络封包序号的输出网络封包。还有对所述至少两个时段的所述多个特定的输出网络封包,还记录所述 来源位置及来源端口号码,本方法更进一步包含下列步骤将所述多个异常网络封包的来源位置、来源端口号码记录至所述异常警 示才莫块内;依据所述异常警示模块内所述来源位置及来源端口号码,找出发出所述 网络封包的一应用程序;及将所述应用程序的 一存在位置输入至所述异常警示模块中。综上所述,本发明开发设计出一种可检测出异常网络封包的方法,通过 提早防堵所述多种间谍软件的动作,预防所带来的伤害。并且,本发明的可 检测出异常网络封包的方法,还具有主动检测、缩短发现问题的时间、方法 方便灵活等优点。
图1为本发明的方块示意图;图2为本发明输出封包数据模块的示意图;图3为本发明封包分配单元比对输出网络封包的流程图;图4为本发明封包分配单元利用暂存表比对输出网络封包的流程图;图5为本发明封包分配单元比对输出网络封包序号的流程图;图6为本发明过滤表的示意图;图7为本发明封包分配单元过滤表比对输出网络封包的流程图; 图8为本发明异常警示模块的示意图。 主要组件符号说明1封包分配单元10存储器11驱动模块12输出封包数据模块121序号字段122、 132、 152来源位置字段123、 133、 153来源端口号码字段124、 134、 154目的位置字革炎125、 135、 155目的端口号码字段126、 136输出时间字段13异常警示模块137应用程序字段14暂存表15过滤表30显示器40输入接口200外部网络300网络装置具体实施方式
以下结合附图对本发明进行详细说明。图l所示,应用在网络上的一封包分配单元l,封包分配单元l (如服务器,server或网络卡,Network Card )可接受多个网络封包,并使其与一外 部网络200 (如网际网络)上的多个网络装置300 (如服务器,server) 分别进行交换工作,同时封包分配单元1在分配此多个网络封包至这些网络 装置300时,分别逐一对各网络封包进行解封装(Decapsulation)以取得这 些网络封包内的一前置数据(Header)的一序号(TCP Sequence Number), 一来源位置(Source IP Address )、 一来源端口号码(Source Port Number)、 一目的位置(Destination IP Address)及一 目的端口号码(Destination Port Number),并且分别记录至少两个时^殳内特定的输出网络封包的目的位置、目 的端口号码及网络封包的一输出时间(Post Time),封包分配单元1同时比对不同时段内的网络封包是否具有相同输出时间、相同目的位置及相同目的 端口号码的数据,若有,则封包分配单元1发出一警告报告,以警告异常网 络封包的发生。本发明的一较佳实施例中,请参见图1、 2所示,封包分配单元l包括有 一驱动模块ll,驱动模块11可为一驱动程序(Driver),设于封包分配单元 1内,且封包分配单元1于内或外接设有一存储器10,存储器10内可设有一 输出封包数据模块12及一异常警示模块13,输出封包数据模块12用以记录 所输出的网络封包的数据,例如一序号(TCP Sequence Number)字段121、 一来源位置(Source IP)字段122、 一来源端口号码(Source Port Number) 字段123、 一目的位置(Destination IP)字段124、 一目的端口号码 (Destination Port Number )字段125及一输出时间(Post Time)字段126。 请参见图3所示,封包分配单元l于所述多个时段内进行以下步骤(201)在第一时段内,若发生输出网络封包的事件,则封包分配单元1 将这些特定的输出网络封包的序号、来源位置、来源端口号码、目的位置、 目的端口号码及输出时间记录至输出封包数据模块12内;(202 )在第二时段内,若发生输出网络封包的事件,则封包分配单元1 将这些特定的输出网络封包的序号、来源位置、来源端口号码、目的位置、 目的端口号码及输出时间至所述输出封包数据模块12内;(203 )以布尔逻辑(Boolean Logic)的模式中的交集(AND)的方式比对 第一时段与第二时段内输出的网络封包的目的位置、目的端口号码及输出时 间,判断这些网络封包是否具有相同的目的位置、目的端口号码及输出时间,
若是,则进行步骤(204 ),否则,结束本流程。(204 )将具有相同目的位置、目的端口号码及输出时间的各网络封包定义为一异常网络封包并记录至一异常警示模块13内;(205 )使异常警示模块13表示一画面并显示至一显示器30上。 由于输出的网络封包因巧合或种种原因,于两时段内于相同时间输出网 络封包至相同的网络装置300时常发生,为避免巧合,或提高准确性,因此,本发明的方法可以对三个时段或更多时段内所记录的输出网络封包的数据来 进行比对,其比对方法是将不同时段所记录的数椐取交集来比对。本方法的另一实施方式,是比对三个时段所记录的输出网络封包数据, 请参见图4所示,封包分配单元1进行以下步骤(301)将第一时段内与第二时段内输出网络封包的封包的序号、来源位 置、来源端口号码、目的位置、目的端口号码及输出时间等记录进行比对, 并将交集后的结果(包含此多个网络封包的目的位置、目的端口号码及输出时 间)记录至存储器10内的一暂存表14内;(302 )在第三时段内,若发生输出网络封包的亊件,则封包分配单元1 将输出网络封包的目的位置、目的端口号码及输出时间至输出封包数据棋块 12内;(303 )将暂存表14的数据与第三时段所记录所述多个网络封包的目的 位置、目的端口号码及输出时间进行比对,判断是否有相同目的位置、目的 端口号码及输出时间的网络封包,若是,则进行步骤(304 ),否则,结束本 流程。(304 )将具有相同目的位置、目的端口号码及输出时间的网络封包定义 为异常网络封包并记录至异常警示模块13内;(305 )使异常警示模块表示一画面并显示至显示器30上。 请参见图1所示,由于欲传送至各网络装置300的单一数据会切割成多 数个的网络封包,且单一数据所切割成的网络封包均具有相同的序号(TCPSequence Number),若为找出异常程序所发出的异常数据,而将所有具有相 同序号的所述多个网络封包予以记录于输出封包数据模块12内,将造成所述 封包分配单元1大量的资源浪费,为不需将所有属于相同前置数据的所述多 个网络封包均记录于输出封包数据模块12,以防止浪费大量资源用以记录相 同序号的重复,所述封包分配单元1依据各所述网络封包的序号是否一致, 来判断是否为同一数据的封包,上述特定的输出网络封包,可被定义为任何 第一个具有相同网络封包序号的输出网络封包。请参见图5所示,因此当所述封包分配单元1于各时段内记录所述多个网络封包的目的位置、目的端口 号码及输出时间前,所述封包分配单元1依以下步骤进行处理 (401)读取对外输出网络封包的前置数据内的序号; (402 )读取对外输出另一网络封包的前置数据内的序号; (403 )判断所述多个网络封包的序号是否相同,若是,则进行步骤(404 ), 否则,进行步骤(405 );(404)不记录所述网络封包的目的位置、目的端口号码及输出时间至输 出封包数据模块12内。(405 )记录所述网络封包的目的位置、目的端口号码及输出时间至输出 封包数据模块12内。上述的实施例中,请参见图1、 6所示,为加速所述封包分配单元l本身 记录各所述网络封包数据的效率,所述存储器10内还包括有一过滤表15,该 过滤表15内的数据用以供所述封包分配单元1判断(如来源处位置或目地 处位置)不需记录的正常网络封包的依据,所述的特定的输出网络封包,可 被定义为任何不符合所述过滤表15内所记录的数据,过滤表15包括一来源 位置(Source IP)字段152、 一来源端口号码(Source Port Number)字段153、 一目的位置(Destination IP)字段154及一 目的端口号码(Destination Port Number )字段155,过滤表15也可于显示器30提供一输入接口 40,以供使 用者随时更改正常传输动作的网络封包的数据,如此,请参见图7所示,当 所述封包分配单元1对外输出一网络封包,依以下步骤进行处理(601)取得网络封包的来源位置、来源端口号码、目的位置及目的端口号码;(602 )判断欲输出网络封包的目的位置及目的端口号码是否与过滤表15 内的数据相符,若是,则进行步骤(603 ),否则,进行步骤(604 );(603 )不使网络封包的目的位置及目的端口号码记录至输出封包数据模 块12内。(604 )使网络封包的数据记录至输出封包数据模块12内。 请参见图1、 8所示,异常警示模块13可为存储器10内的一异常警示表, 包括一来源位置字段132、 一来源端口号码字段133、 一目的位置字段134、 一目的端口号码字段135、 一输出时间字段136及一应用程序(Program)字 段137,当封包分配单元l将各所述异常网络封包的目的位置、目的端口号码 及输出时间记录至异常警示模块13时,对至少两个时段的这些特定的输出网 络封包,还记录来源位置及来源端口号码,而封包分配单元1依据异常警示 模块13内来源位置字段132及来源端口号码字段133的目的位置及目的端口 号码,找出发出网络封包的一应用程序,将应用程序的一存在位置(File Path) 输入至异常警示模块的应用程序字段137中。以上具体实施方式
仅用于说明本发明,而非用于限定本发明。
权利要求
1.一种可检测出异常网络封包的方法,其特征在于,应用在网络上的一封包分配单元,该封包分配单元可与一外部网络上的多个网络装置交换多个网络封包,所述多个网络封包内包含一目的位置、一目的端口号码、一来源位置及一来源端口号码;所述方法包含下列步骤分别记录至少两个时段内特定的输出网络封包的所述目的位置、目的端口号码及一输出时间;比对不同时段内是否具有相同输出时间、相同目的位置及相同目的端口号码的数据;及若是,则所述封包分配单元即发出一警告报告。
2. 根据权利要求l所述方法,其特征在于,其中每一时段内的所述多个 特定的输出网络封包的所述目的位置、目的端口号码及所述输出时间,纪录 至一输出封包数据模块内。
3. 根据权利要求2所述方法,其特征在于,进一步包含下列步骤定义具有相同的目的位置、目的端口号码及输出时间的所述多个特定的 网络封包为异常网络封包;将所述多个异常网络封包记录至一异常警示模块内;及 使所述异常警示模块表示一画面并显示至一显示器上。
4. 根据权利要求2所述方法,其特征在于,其中所述不同时段的数据以 取交集的方式进行比对。
5. 根据权利要求4所述方法,其特征在于,其中所述封包分配单元还包 括有一过滤表,该过滤表内的数据用以提供所述封包分配单元判断不需记录 的正常网络封包的依据,所述特定的输出网络封包,不符合所述过滤表的数 据。
6. 根据权利要求4所述方法,其特征在于,其中所述输出网络封包包含 一网络封包序号,所述特定的输出网络封包,为任何第一个具有相同所述网 络封包序号的输出网络封包。
7. 根据权利要求5所述方法,其特征在于,其中对所述至少两个时段的 所述多个特定的输出网络封包,还记录所述来源位置及来源端口号码,本方 法更进一步包含下列步骤将所述多个异常网络封包的来源位置、来源端口号码记录至所述异常警 示才莫块内;依据所述异常警示模块内所述来源位置及来源端口号码,找出发出所述 网络封包的一应用程序;及将该应用程序的 一存在位置输入至所述异常警示模块中。
8. 根据权利要求6所述方法,其特征在于,其中对所述至少两个时段的 所迷多个特定的输出网络封包,还记录所述来源位置及来源端口号码,本方 法更进一步包含下列步骤将所述多个异常网络封包的来源位置、来源端口号码记录至所述异常警 示才莫块内;依据所述异常警示模块内所述来源位置及来源端口号码,找出发出所述 网络封包的一应用程序;及将该应用程序的一存在位置输入至所述异常警示模块中。
全文摘要
本发明提供一种可检测出异常网络封包的方法,应用在一网络上的封包分配单元,封包分配单元可对一外部网络上的多个网络装置分别进行多个网络封包的交换工作,同时封包分配单元分别记录至少两个时段内特定的输出网络封包的目的位置、目的端口号码及网络封包的一输出时间,封包分配单元同时比对不同时段内的网络封包是否具有相同输出时间、相同目的位置及相同目的端口号码的数据,若有,则封包分配单元发出一警告报告。
文档编号H04L12/26GK101155082SQ20061014188
公开日2008年4月2日 申请日期2006年9月30日 优先权日2006年9月30日
发明者邱世华 申请人:英业达股份有限公司