[发明专利]网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体

说明书

一种网络攻击模式的判断装置、方法及其计算机可读取储存媒体。该判断装置储存多个攻击模式及多笔存取记录。各存取记录具有网络地址、时间戳及存取内容。各攻击模式对应至少一攻击存取关联，且各攻击存取关联由一网络地址及一存取内容界定。该判断装置根据至少一攻击地址撷取多笔攻击记录，而各攻击记录所具有的网络地址为攻击地址之一。该判断装置根据该些时间戳将该些攻击记录区分为多群组，且对各群组执行：(a)为该群组所具有的各攻击地址建立至少一存取关联，及(b)根据该群组所具有的该至少一存取关联，判断该群组对应至该些攻击模式之一。

技术领域

本发明系关于一种网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体。更具体而言，本发明系关于一种利用存取记录以判断及预测网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体。

背景技术

随着科技的快速发展，政府与企业的运作以及使用者的日常生活皆已脱离不了计算机及网络。基于各式各样的目的，黑客会攻击网络上的服务器/计算机。一般而言，黑客所采取的攻击可区分为破坏型攻击及入侵型攻击二类。破坏型攻击的目的在于破坏攻击的目标，使目标瘫痪而无法正常运作。入侵型攻击则是会取得攻击的目标的某些权限，进而控制被入侵的目标以执行特定运作。入侵型攻击通常是在服务器、应用软件或网络通信协议中的漏洞中执行。

为避免网络上的计算机受到黑客的攻击，某些习知技术采用专家规则式过滤机制。具体而言，管理者利用一预先决定的过滤名单，并根据过滤名单过滤来访的其他装置，藉此达到资安维护的目的。过滤名单可包含欲过滤的因特网地址，或是恶意软件的程序代码中的特征值。然而，黑名单并无法实时被更新，故仍存在资安防护的空窗期。另外，某些习知技术则是采取动态实时扫描(例如：扫描网页内容)。虽然此种作法能减少资安维护的空窗期，却会大量地消耗运算资源。不论是何种习知技术，皆无法将攻击模式提供予用户参考，亦无法预测未来可能发生的攻击模式以让用户事先预防。基于前述说明，本领域仍亟需一种能有效地得知及预测攻击模式的技术。

发明内容

本发明的一目的在于提供一种网络攻击模式(Attack Pattern)的判断装置。该判断装置包含一储存单元及一处理单元，且该储存单元及该处理单元彼此电性连接。该储存单元储存多个攻击模式以及一网络节点的多笔存取记录。各该存取记录包含一主机的一网络地址及该主机存取该网络节点的一时间戳(Time Stamp)与一存取内容。各该攻击模式对应到至少一攻击存取关联，其中各该至少一攻击存取关联由该些网络地址其中之一及该些存取内容其中之一界定。该处理单元根据至少一攻击地址撷取该些存取记录的一子集作为多笔攻击记录，其中各该攻击记录所包含的该网络地址为该至少一攻击地址其中之一。该处理单元更根据该些攻击记录的该些时间戳将该些攻击记录区分为多个第一群组。该处理单元更针对各该第一群组执行以下运作：(a)根据该第一群组所包含的该些攻击记录，为该第一群组所包含的各该至少一攻击地址建立至少一存取关联，各该至少一存取关联由该第一群组所包含的该至少一攻击地址其中之一及该第一群组所包含的该些攻击记录的该些存取内容其中之一界定，以及(b)根据该第一群组所包含的该至少一存取关联，判断该第一群组对应至该些攻击模式中的一特定攻击模式。