專利名稱：檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法及其系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種網(wǎng)絡(luò)監(jiān)控技術(shù)，特別是涉及一種檢測異常網(wǎng)絡(luò)通訊行為的網(wǎng)絡(luò)監(jiān) 控技術(shù)。
背景技術(shù)：
因特網(wǎng)已成為社會上另外一種信息傳播與交流的媒介工具。由于因特網(wǎng)具有實時 性、便利性、普及性等等，愈來愈多人的生活形態(tài)從現(xiàn)實社會中逐漸融入虛擬世界，諸多網(wǎng) 絡(luò)應(yīng)用如網(wǎng)絡(luò)購物、部落格、搜尋引擎等逐漸為社會大眾所接受，甚至賴以維生。就現(xiàn)今的因特網(wǎng)架構(gòu)而言，使用最廣泛的網(wǎng)絡(luò)通訊協(xié)議為傳輸控制協(xié)議和因特網(wǎng) 1·辦議(Transmission Control Protocol and Internet Protocol, TCP/IP)。此協(xié)、議的通 訊協(xié)議結(jié)構(gòu)依照開放系統(tǒng)連結(jié)模式(Open Systemslnterconnection, 0SI)的七層鏈接架 構(gòu)將TCP/IP的通訊結(jié)構(gòu)劃分為以下五層物理層、鏈接層、因特網(wǎng)層、傳輸層、應(yīng)用層。其 中，應(yīng)用層負責(zé)提供各種服務(wù)給應(yīng)用程序(Application Processes)，使其能夠利用應(yīng)用 層所提供的功能來達到和因特網(wǎng)交換信息的目的。舉例而言，與應(yīng)用層相對應(yīng)的協(xié)議有 HTTP (Hyper Text Transfer Protocol，超文件傳輸協(xié)議)、FTP (File TransferProtocol, 文件傳輸協(xié)議)、SMTP (Simple Mail Transfer Protocol，簡單郵件傳輸協(xié)議)以及許多其 它協(xié)議。上述常用的通訊協(xié)議通常具有固定的通訊連接端口(Port)，以作為終端設(shè)備中客 戶端與服務(wù)器端聯(lián)系與傳輸信息的依據(jù)。但由于應(yīng)用程序愈來愈多，所使用的通訊協(xié)議多 數(shù)為程序自定的通訊協(xié)議，因此許多通訊協(xié)議并無固定的通訊連接端口。由于因特網(wǎng)的蓬勃發(fā)展，除了促進全球的信息交流外，亦加速計算機病毒與惡意 軟件的流竄與傳染。計算機病毒是指破壞計算機功能或者毀壞數(shù)據(jù)，進而影響計算機使用， 并能自我復(fù)制的計算機應(yīng)用程序。惡意軟件則是指未經(jīng)使用者許可的情況下，在使用者計 算機或其它終端機上執(zhí)行以侵犯使用者合法權(quán)益為目的的軟件。上述兩種惡意程序有部分以偷竊使用者在計算機中的個人信息(如使用者賬號 密碼、通訊簿、側(cè)錄鍵盤信息等)為目的，或者藉由遠程監(jiān)控使用者的計算機以作為網(wǎng)絡(luò)跳 板等惡意用途時，必須與網(wǎng)絡(luò)上的其它計算機或終端機聯(lián)絡(luò)以傳輸信息。由于計算機病毒 與惡意軟件的程序文件通常較小而難以察覺，因此難以使用復(fù)雜的通訊協(xié)議作為信息傳輸 的途徑，如MSN(Microsoft Network，微軟公司網(wǎng)絡(luò)協(xié)議)、SSL Gecure Socket Layer，安全 保密協(xié)議)等通訊協(xié)議。此外，這些惡意程序經(jīng)常使用自行設(shè)計的通訊協(xié)議作為數(shù)據(jù)傳輸?shù)姆绞剑@些 通訊協(xié)議不符合因特網(wǎng)共通的技術(shù)規(guī)格(如RFC)或現(xiàn)有的常用的應(yīng)用層通訊協(xié)議(如 Skype、R)Xy、Bitt0rrent、eMule)，其主因是防毒軟件或防火墻對于未知的通訊協(xié)議與聯(lián)機 僅能將其全部阻擋或者全部開放兩種選擇。而許多通訊協(xié)議的客戶端程序常常使用非固定 式通訊連接端口作為通訊依據(jù)，導(dǎo)致防毒軟件或防火墻若將未知的通訊協(xié)議與聯(lián)機全部阻 擋，會連帶地阻擋住許多善意的應(yīng)用程序。據(jù)此，使用者通常會把防毒軟件或防火墻設(shè)定為 「將未知的通訊協(xié)議與聯(lián)機全部開放」的模式，導(dǎo)致惡意程序便可藉由上述漏洞而將重要的公司或私人信息傳輸至因特網(wǎng)上，防毒軟件與防火墻于此時毫無效用可言。此外，現(xiàn)有的主機型監(jiān)控軟件大部分針對操作系統(tǒng)內(nèi)的系統(tǒng)日志(Log)作監(jiān)控， 當(dāng)系統(tǒng)日志中出現(xiàn)異常時，主機型監(jiān)控軟件會依據(jù)情況將異常的惡意軟件作防護或者刪除 該程序的動作，以維護系統(tǒng)安全。但操作系統(tǒng)的系統(tǒng)日志所記錄的事項并不全面，僅針對大 部分修改主機重要設(shè)定時才會記錄，而例如文件的存取記錄、文件權(quán)限的修改等更改不會 出現(xiàn)在系統(tǒng)日志上。而且許多惡意程序會將系統(tǒng)日志的記錄功能關(guān)閉，使得主機型監(jiān)控軟件變成毫無 意義。目前僅有少數(shù)軟件能夠全面地監(jiān)控終端設(shè)備上所有的變更，但也僅能記錄其變更以 便于用在日后追查使用，而無法有效地將監(jiān)控記錄作為立即確認惡意程序活動的依據(jù)。

發(fā)明內(nèi)容
本發(fā)明提供一種檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法，藉由分析無法識別應(yīng)用層通訊協(xié) 議的分組信息，以判別產(chǎn)生前述分組信息的終端設(shè)備是否發(fā)生異常網(wǎng)絡(luò)通訊行為，藉此排 除惡意程序的侵擾。本發(fā)明實施例所稱的無法識別，是指「通訊協(xié)議不符合因特網(wǎng)共通的 技術(shù)規(guī)格(如RFC)或已知常用的應(yīng)用層通訊協(xié)議(如Skype、R)Xy、Bitt0rrent、eMule)?！贡景l(fā)明提供另一種檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法，藉由分析無法識別應(yīng)用層通訊 協(xié)議的分組信息以及在終端設(shè)備中無法識別的程序信息并作交叉比對，來判別前述程序是 否為發(fā)生異常網(wǎng)絡(luò)通訊行為的來源。從另一觀點而言，本發(fā)明提供一種檢測網(wǎng)絡(luò)通訊行為的監(jiān)測系統(tǒng)，利用未知應(yīng)用 層通訊協(xié)議的分組信息來判別是否發(fā)生異常網(wǎng)絡(luò)通訊行為。再從另一觀點而言，本發(fā)明提供另一種檢測網(wǎng)絡(luò)通訊行為的監(jiān)測系統(tǒng)，利用無法 識別應(yīng)用層通訊協(xié)議的分組信息以及在終端設(shè)備中無法識別的程序信息坐標作交叉比對， 以判別前述程序是否為發(fā)生異常網(wǎng)絡(luò)通訊行為的來源。本發(fā)明提出一種檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法，其包括擷取由終端設(shè)備所發(fā)出的 分組信息，其中各分組信息包括所采用的應(yīng)用層通訊協(xié)議。此外，檢查各分組信息所采用的 應(yīng)用層通訊協(xié)議是否能被識別。據(jù)此，若上述分組信息中的第一分組信息所采用的應(yīng)用層 通訊協(xié)議無法被識別時，擷取此第一分組信息作為判別終端設(shè)備是否發(fā)生異常網(wǎng)絡(luò)通訊行 為的依據(jù)。在本發(fā)明的一實施例中，上述的監(jiān)測方法還包括監(jiān)控該終端設(shè)備所執(zhí)行的多個程 序。此外，檢查各該程序是否能被識別。并且，若前述程序中的第一程序無法被識別時，擷 取此第一程序的信息。藉此，交叉比對第一程序的信息與第一分組信息以判別第一程序是 否為一惡意程序。在本發(fā)明的一實施例中，交叉比對第一程序的信息與第一分組信息，以判別第一 分組信息是否由第一程序所發(fā)出的步驟當(dāng)中，包括比對第一程序的執(zhí)行時間與終端設(shè)備發(fā) 出前述分組信息的時間是否相同。在本發(fā)明的一實施例中，交叉比對第一程序的信息與第一分組信息，以判別第一 分組信息是否由第一程序所發(fā)出的步驟當(dāng)中，包括比對第一程序內(nèi)的通訊連接端口與第一 分組信息的來源/目的地連接端口是否相同。在本發(fā)明的一實施例中，檢查各程序是否能被識別的步驟當(dāng)中，包括檢查程序的散列(hash)值是否位于數(shù)據(jù)庫內(nèi)。藉此，若程序的散列值并未在數(shù)據(jù)庫內(nèi)，或數(shù)據(jù)庫識別 出程序?qū)儆趷阂獬绦驎r，將前述程序視為無法識別。在本發(fā)明的一實施例中，檢查各程序是否能被識別的步驟當(dāng)中，包括檢查程序的 文件名稱是否位于數(shù)據(jù)庫內(nèi)。藉此，若程序的文件名稱并未在數(shù)據(jù)庫內(nèi)，或數(shù)據(jù)庫識別出程 序的文件名稱屬于惡意程序時，將前述程序視為無法識別。在本發(fā)明的一實施例中，檢查各程序是否能被識別的步驟當(dāng)中，包括檢查程序的 機器碼(Machine code)是否位于數(shù)據(jù)庫內(nèi)。藉此，若程序的機器碼并未在數(shù)據(jù)庫內(nèi)，或數(shù) 據(jù)庫識別出程序的機器碼屬于惡意程序時，將前述程序視為無法識別。本發(fā)明提出另一種檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法，其包括擷取由終端設(shè)備所發(fā) 出的多個分組信息，其中各分組信息包括所采用的應(yīng)用層通訊協(xié)議。此外，檢查各分組信 息所采用的應(yīng)用層通訊協(xié)議是否能被識別。并且，若上述分組信息的第一分組信息所采 用的應(yīng)用層通訊協(xié)議無法被識別時，擷取第一分組信息，此處所擷取的第一分組信息例 如來源網(wǎng)絡(luò)地址/通訊連接端口(Source IP/Port)、目的地網(wǎng)絡(luò)地址/通訊連接端口 (DestinationlP/Port)、時間標記(Timestamps)等。另外，根據(jù)第一分組的信息，交叉比對 監(jiān)控終端設(shè)備所執(zhí)行的多個程序。接著，檢查各程序是否能被識別。若前述程序中的第一 程序無法被識別時，擷取第一程序的信息。藉此，交叉比對第一程序的信息與第一分組信息 以判別第一分組信息是否由第一程序所發(fā)出。從另一角度來看，本發(fā)明提出一種檢測網(wǎng)絡(luò)通訊行為的監(jiān)測系統(tǒng)，其包括網(wǎng)絡(luò)監(jiān) 控模塊與信息比對模塊。網(wǎng)絡(luò)監(jiān)控模塊用以擷取由終端設(shè)備所發(fā)出的多個分組信息，其中 各分組信息包括所采用的應(yīng)用層通訊協(xié)議，并且檢查各分組信息所采用的應(yīng)用層通訊協(xié)議 是否能被識別，若前述分組信息的第一分組信息所采用的應(yīng)用層通訊協(xié)議無法被網(wǎng)絡(luò)監(jiān)控 模塊識別時，擷取第一分組信息。信息比對模塊用以依第一分組信息來判別終端設(shè)備是否 發(fā)生異常網(wǎng)絡(luò)通訊行為。在本發(fā)明的一實施例中，上述的監(jiān)測系統(tǒng)還包括一終端監(jiān)控模塊，用以監(jiān)控終端 設(shè)備所執(zhí)行的多個程序，并檢查各該程序是否能被識別。若前述程序中的第一程序無法被 終端監(jiān)控模塊所識別時，則擷取第一程序的信息。信息比對模塊交叉比對第一程序的信息 與第一分組信息以判別第一程序是否為一惡意程序。在本發(fā)明的一實施例中，上述監(jiān)測系統(tǒng)還包括一防火墻模塊，用以停止第一程序 的網(wǎng)絡(luò)聯(lián)機。再從另一觀點而言，本發(fā)明提出另一種檢測網(wǎng)絡(luò)通訊行為的監(jiān)測系統(tǒng)，其包括網(wǎng) 絡(luò)監(jiān)控模塊、終端監(jiān)控模塊與信息比對模塊。網(wǎng)絡(luò)監(jiān)控模塊用以擷取由終端設(shè)備所發(fā)出的 多個分組信息，其中各個分組信息包括所采用的應(yīng)用層通訊協(xié)議，并且檢查各個分組信息 所采用的應(yīng)用層通訊協(xié)議是否能被網(wǎng)絡(luò)監(jiān)控模塊識別。若上述分組信息的第一分組信息所 采用的應(yīng)用層通訊協(xié)議無法被網(wǎng)絡(luò)監(jiān)控模塊識別時，則擷取第一分組信息。終端監(jiān)控模塊 用以監(jiān)控終端設(shè)備所執(zhí)行的多個程序，并檢查各程序是否能被終端監(jiān)控模塊識別。若前述 程序中的第一程序無法被終端監(jiān)控模塊識別時，則擷取第一程序的信息。信息比對模塊藉 由交叉比對第一程序的信息與第一分組信息來判別第一分組信息是否由第一程序所發(fā)出。基于上述，本發(fā)明的實施例利用無法識別應(yīng)用層通訊協(xié)議的分組信息以及在終端 設(shè)備中無法識別的程序信息作交叉比對，來判別前述程序是否為發(fā)生異常網(wǎng)絡(luò)通訊行為的來源。因此，可藉此判斷來針對終端設(shè)備以及前述程序作相對應(yīng)的后續(xù)動作，以避免惡意程 序?qū)Ρ旧砘蚱渌K端設(shè)備造成更加嚴重的傷害，并藉此排除惡意程序的侵擾。舉例而言，后 續(xù)動作可為利用防火墻模塊將前述程序的網(wǎng)絡(luò)聯(lián)機關(guān)閉，或者停止終端設(shè)備內(nèi)正在執(zhí)行的 前述程序。為使本發(fā)明的上述特征和優(yōu)點能更明顯易懂，下文特舉實施例，并結(jié)合附圖詳細 說明如下。


圖1是依照本發(fā)明一實施例說明檢測網(wǎng)絡(luò)通訊行為的監(jiān)測系統(tǒng)示意圖。圖2是依照本發(fā)明一實施例說明檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法的流程圖。附圖符號說明100 檢測網(wǎng)絡(luò)通訊行為的監(jiān)測系統(tǒng)110_1 110_N 終端設(shè)備120:網(wǎng)絡(luò)監(jiān)控模塊130 終端監(jiān)控模塊140:信息比對模塊150:因特網(wǎng)160:防火墻模塊S210、S220、S230、S240、S250、S260、S270、S280 步驟
具體實施例方式請參照圖1，圖1是依照本發(fā)明一實施例說明檢測網(wǎng)絡(luò)通訊行為的監(jiān)測系統(tǒng)示意 圖。檢測網(wǎng)絡(luò)通訊行為的監(jiān)測系統(tǒng)100包括網(wǎng)絡(luò)監(jiān)控模塊120、終端監(jiān)控模塊130與信息比 對模塊140。于本實施例中，檢測網(wǎng)絡(luò)通訊行為的監(jiān)測系統(tǒng)100可同時監(jiān)測多臺終端設(shè)備 110_1 110_N，在此以終端設(shè)備110_N所發(fā)出的分組信息以及終端設(shè)備110_N內(nèi)執(zhí)行的程 序作為范例以清楚說明本實施例的作動方式。其中，終端設(shè)備110_1 110_N可為個人計 算機、智能型手機及服務(wù)器等可供連接至因特網(wǎng)150的電子裝置。網(wǎng)絡(luò)監(jiān)控模塊120可擷取由終端設(shè)備110_1 110_N所發(fā)出的多個分組信息，每 個分組信息內(nèi)各自包括所采用的應(yīng)用層通訊協(xié)議，N為整數(shù)且N > 1。其中，網(wǎng)絡(luò)監(jiān)控模塊 120檢查各個分組信息所采用的應(yīng)用層通訊協(xié)議是否能被識別。本發(fā)明實施例所稱的無法 被識別，是指「通訊協(xié)議不符合因特網(wǎng)共通的技術(shù)規(guī)格(如RFC)或已知常用的應(yīng)用層通 訊協(xié)議(如Skype、Foxy, Bittorrent、eMule等)」。若由終端設(shè)備110_N發(fā)出的多個分組 信息內(nèi)包括一第一分組信息，而此第一分組信息所采用的應(yīng)用層通訊協(xié)議無法被網(wǎng)絡(luò)監(jiān)控 模塊120所識別時，擷取此第一分組信息作為判別該終端設(shè)備是否發(fā)生異常網(wǎng)絡(luò)通訊行為 的依據(jù)。舉例而言，可擷取第一分組信息內(nèi)的來源網(wǎng)絡(luò)地址/通訊連接端口(Source IP/ Port)、目的地網(wǎng)絡(luò)地址/通訊連接端口 (Destination IP/Port)、時間標記(Timestamps) 等作為判別依據(jù)。此處的網(wǎng)絡(luò)監(jiān)控模塊120于本實施例中位于具有終端設(shè)備110_1 110_N的局域 網(wǎng)絡(luò)的網(wǎng)絡(luò)集線器(Hub)中以攔截分組信息，并且判斷所攔截的分組信息所采用的應(yīng)用層通訊協(xié)議是否能被識別。網(wǎng)絡(luò)監(jiān)控模塊120亦可位于終端設(shè)備110_1 110_N至因特網(wǎng)150 中任何一段網(wǎng)絡(luò)線路上以藉此攔截并且識別前述的分組信息，應(yīng)用本實施例者可依其設(shè)計 需求而作相對應(yīng)的變更。其中，本實施例于識別分組信息中應(yīng)用層通訊協(xié)議的方式主要利用分組信息內(nèi)的 通訊連接端口與網(wǎng)絡(luò)監(jiān)控模塊120內(nèi)的通訊協(xié)議數(shù)據(jù)庫作比對。若無法藉由通訊連接端口 取得所攔截的分組信息的通訊協(xié)議，可利用分組信息的標頭(Header)格式作為判斷依據(jù)， 若上述兩種方式均無法判斷分組信息的通訊協(xié)議，則將此分組信息視為無法識別。在此請 注意，本發(fā)明可以應(yīng)用任何可能的方法，來識別分組信息的通訊協(xié)議，不應(yīng)僅以前述方式為 限。終端監(jiān)控模塊130于本實施例中可監(jiān)控終端設(shè)備110_1 執(zhí)行的多個程 序，并檢查各個程序是否能被終端監(jiān)控模塊130識別。若在終端設(shè)備110_Ν所執(zhí)行的多個 程序中的第一程序無法被終端監(jiān)控模塊130識別時，擷取此第一程序的信息。于本實施例中，終端監(jiān)控模塊130包括一個應(yīng)用程序數(shù)據(jù)庫，其內(nèi)擁有眾多已知 的應(yīng)用程序信息，用以判斷前述多個程序是否為無法識別的程序。當(dāng)前述第一程序的信息 與應(yīng)用程序數(shù)據(jù)庫作比對后被判斷為無法識別時，表示此第一程序不是已知的應(yīng)用程序， 可藉此判斷此第一程序有很高的機率為惡意程序。而于其它實施例中，應(yīng)用程序數(shù)據(jù)庫中亦可包括一惡意程序數(shù)據(jù)庫，其將已知的 惡意程序信息整理成為數(shù)據(jù)庫型態(tài)，終端監(jiān)控模塊130可藉此惡意程序數(shù)據(jù)庫來識別前述 第一程序是否為惡意程序。當(dāng)識別出此第一程序為惡意程序時，終端監(jiān)控模塊130可將此 第一程序視為無法識別，以進行本實施例的其它步驟。此外，終端監(jiān)控模塊130于另一實施 例中亦可記錄終端設(shè)備110_1 110_Ν中的諸多異常行為作為識別的依據(jù)，如系統(tǒng)的記錄 日志被關(guān)閉、創(chuàng)建使用者賬號、文件存取記錄、具有眾多異常網(wǎng)絡(luò)聯(lián)機等。此外，若前述第一 程序雖可用程序數(shù)據(jù)庫所識別，但第一程序執(zhí)行的動作超出前述程序的應(yīng)用范圍，亦可將 其視為無法識別。其中，應(yīng)用程序數(shù)據(jù)庫可藉由程序的文件名稱、散列(hush)值或者機器碼 (Machine code)來識別此程序。終端監(jiān)控模塊130檢查程序的文件名稱、散列值或者機器 碼是否位于此應(yīng)用程序數(shù)據(jù)庫內(nèi)。若程序的文件名稱并未存在于數(shù)據(jù)庫內(nèi)，或應(yīng)用程序數(shù) 據(jù)庫識別出程序的文件名稱、散列值或者機器碼屬于惡意程序時，將此程序視為無法識別。此處所述的散列值是由散列算法(Hash Function)計算而得，此散列算法將程序 數(shù)據(jù)打亂混合，以建立一個獨特的散列值，此散列值僅與單一程序信息相對應(yīng)。也就是說， 每一個程序的散列值均不相同，因此可藉散列值來識別此程序與應(yīng)用程序數(shù)據(jù)庫中的已知 程序是否相同。信息比對模塊140接收從終端設(shè)備110_N所發(fā)出的第一分組信息以及在終端設(shè)備 110_N中執(zhí)行的第一程序的信息，并依據(jù)第一分組信息以及第一程序的信息作交叉比對，以 判別第一分組信息是否由此第一程序所發(fā)出，并作為判斷是否發(fā)生異常網(wǎng)絡(luò)通訊行為的依 據(jù)。此外，防火墻模塊160可在信息比對模塊140已判斷第一程序是發(fā)生異常網(wǎng)絡(luò)行為的 來源后，停止第一程序與因特網(wǎng)150的聯(lián)機。在此詳細說明符合本發(fā)明的實施例的監(jiān)測系統(tǒng)及其實施方法，請同時參照圖1與 圖2。圖2是依照本發(fā)明一實施例說明檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法的流程圖。于步驟S210中，網(wǎng)絡(luò)監(jiān)控模塊120擷取由終端設(shè)備110_1 發(fā)出的多個分組信息，其中分組信 息包括所采用的應(yīng)用層通訊協(xié)議。接著，進入步驟S220，檢查前述分組信息所采用的應(yīng)用層通訊協(xié)議是否能被網(wǎng)絡(luò) 監(jiān)控模塊120識別。若終端設(shè)備出的第一分組信息所采用的應(yīng)用層通訊協(xié)議無法 被網(wǎng)絡(luò)監(jiān)控模塊120識別時，進入步驟S230以擷取第一分組信息，作為判別終端設(shè)備110_ N是否發(fā)生異常網(wǎng)絡(luò)通訊行為的依據(jù)。此外，于步驟S240時，終端監(jiān)控模塊130監(jiān)控終端設(shè)備110_1 110_N所執(zhí)行的 多個程序。接著，于步驟S250中檢查前述各個程序是否能被終端監(jiān)控模塊130識別。若終 端設(shè)備110_N的第一程序無法被監(jiān)控模塊130識別時，進入步驟S260以擷取第一程序的信 息。最后，于步驟S270時，交叉比對終端設(shè)備執(zhí)行的第一程序的信息與終端設(shè)備 110_N發(fā)出的第一分組信息以判別第一分組信息是否由第一程序所發(fā)出。其中，步驟S270內(nèi)交叉比對第一程序的信息與第一分組信息的方式是藉由常見 的惡意程序行為模式以作為交叉比對的依據(jù)。舉例而言，若于執(zhí)行中的第一程序為常見的 惡意程序時，其通常會開啟一個至多個終端設(shè)備110_N的網(wǎng)絡(luò)聯(lián)機，以接收或傳輸由因特 網(wǎng)150傳送的惡意指令。與此同時，惡意程序亦會將收集到的信息(例如使用者的賬號密 碼、鍵盤側(cè)錄信息等)傳輸至因特網(wǎng)150上。因此，于本實施例中藉由比對第一程序發(fā)出分 組的執(zhí)行時間與終端設(shè)備110_N發(fā)出第一分組信息的時間是否相同以判別此第一分組信 息是否由第一程序所發(fā)出，并藉此判斷第一程序是否為惡意程序。另一種常見的惡意程序行為模式則是第一程序開啟終端設(shè)備110_N的網(wǎng)絡(luò)聯(lián)機 后便依據(jù)此網(wǎng)絡(luò)聯(lián)機的通訊協(xié)議發(fā)送第一分組信息。此時，第一程序所開啟的網(wǎng)絡(luò)聯(lián)機中 的來源/目的地連接端口信息便會存在于第一分組信息的通訊連接端口內(nèi)。因此，于其它 實施例中亦可藉由比對第一程序的通訊連接端口與終端設(shè)備110_N發(fā)出第一分組信息的 來源/目的地連接端口是否相同，以判別此第一分組信息是否由第一程序所發(fā)出，并藉此 判斷第一程序是否為惡意程序。若經(jīng)由交叉比對后發(fā)現(xiàn)第一分組信息確實是由第一程序所發(fā)出，便可藉此認定此 第一程序為惡意程序的機率相當(dāng)高。接著進入步驟S^o，防火墻模塊160藉此而中斷第一 程序與因特網(wǎng)150的聯(lián)機。于本實施例中，當(dāng)已經(jīng)確認此第一程序具有相當(dāng)高的機率為惡 意程序時，除了可以藉由防火墻模塊160來中斷聯(lián)機外，于其它實施例中亦可通知網(wǎng)管人 員將終端設(shè)備110_N中正在執(zhí)行或曾經(jīng)執(zhí)行的第一程序作相對應(yīng)的處理，如刪除此第一程 序、修復(fù)終端設(shè)備110_N受到惡意程序感染的數(shù)據(jù)，或者其它動作以消除惡意程序所造成 的威脅，應(yīng)用本實施例者可依其設(shè)計需求而作相對應(yīng)的變動。為更詳細說明本實施例的實施精神，在此再舉另一實施例以詳細描述交叉比對分 組信息以及程序信息的作動方式。本實施例未說明的操作方式與原理已于前述實施例所提 及，其中相同的內(nèi)容不再贅述。請同時參照圖1、表(一)與表(二)，在此假設(shè)網(wǎng)絡(luò)監(jiān)控 模塊120中攔截到部分的分組信息，以及藉由通訊協(xié)議數(shù)據(jù)庫來識別分組信息的結(jié)果于表 (一)中所示。表權(quán)利要求
1.一種檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法，包括擷取由一終端設(shè)備所發(fā)出的多個分組信息，其中各該分組信息包括所采用的一應(yīng)用層 通訊協(xié)議；檢查各該分組信息所采用的該應(yīng)用層通訊協(xié)議是否能被識別；以及若上述分組信息的一第一分組信息所采用的該應(yīng)用層通訊協(xié)議無法被識別時，擷取該 第一分組信息作為判別該終端設(shè)備是否發(fā)生異常網(wǎng)絡(luò)通訊行為的依據(jù)。
2.如權(quán)利要求1所述的檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法，擷取該第一分組信息以作為判 別該終端設(shè)備是否發(fā)生異常網(wǎng)絡(luò)通訊行為依據(jù)的步驟包括監(jiān)控該終端設(shè)備所執(zhí)行的多個程序；檢查各該程序是否能被識別；若該程序中的一第一程序無法被識別時，擷取該第一程序的信息；以及交叉比對該第一程序的信息與該第一分組信息以判別該第一程序是否為一惡意程序。
3.如權(quán)利要求2所述的檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法，其中交叉比對該第一程序的信 息與該第一分組信息以判別該第一分組信息是否由該第一程序所發(fā)出的步驟包括比對該 第一程序的執(zhí)行時間與該終端設(shè)備發(fā)出該分組信息的時間是否相同。
4.如權(quán)利要求2所述的檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法，其中交叉比對該第一程序的信 息與該第一分組信息以判別該第一分組信息是否由該第一程序所發(fā)出的步驟包括比對該 第一程序內(nèi)的一通訊連接端口與該第一分組信息的一來源/目的地連接端口是否相同。
5.如權(quán)利要求2所述的檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法，其中檢查各該程序是否能被識 別的步驟包括檢查該程序的散列值是否存在于一數(shù)據(jù)庫內(nèi)；以及若該程序的散列值并未在該數(shù)據(jù)庫內(nèi)，或該數(shù)據(jù)庫識別出該程序?qū)儆谝粣阂獬绦驎r， 將該程序視為無法識別。
6.如權(quán)利要求2所述的檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法，其中檢查各該程序是否能被識 別的步驟包括檢查該程序的文件名稱是否位于一數(shù)據(jù)庫內(nèi)；以及若該程序的文件名稱并未在該數(shù)據(jù)庫內(nèi)，或該數(shù)據(jù)庫識別出該程序的文件名稱屬于一 惡意程序時，將該程序視為無法識別。
7.如權(quán)利要求2所述的檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法，其中檢查各該程序是否能被識 別的步驟包括檢查該程序的機器碼是否位于一數(shù)據(jù)庫內(nèi)；以及若該程序的機器碼并未在該數(shù)據(jù)庫內(nèi)，或該數(shù)據(jù)庫識別出該程序的機器碼屬于一惡意 程序時，將該程序視為無法識別。
8.如權(quán)利要求2所述的檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法，還包括藉由一防火墻模塊停止 該第一程序的網(wǎng)絡(luò)聯(lián)機。
9.如權(quán)利要求2所述的檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法，還包括停止正在執(zhí)行的該第一 程序。
10.一種檢測網(wǎng)絡(luò)通訊行為的監(jiān)測系統(tǒng)，包括一網(wǎng)絡(luò)監(jiān)控模塊，用以擷取由一終端設(shè)備所發(fā)出的多個分組信息，其中各該分組信息包括所采用的一應(yīng)用層通訊協(xié)議，該網(wǎng)絡(luò)監(jiān)控模塊檢查各該分組信息所采用的該應(yīng)用層通 訊協(xié)議是否能被識別，若上述分組信息的一第一分組信息所采用的該應(yīng)用層通訊協(xié)議無法 被識別時，擷取該第一分組信息；以及一信息比對模塊，用以依據(jù)該第一分組信息來判別該終端設(shè)備是否發(fā)生異常網(wǎng)絡(luò)通訊 行為。
11.如權(quán)利要求10所述的檢測網(wǎng)絡(luò)通訊行為的監(jiān)測系統(tǒng)，還包括一終端監(jiān)控模塊，用 以監(jiān)控該終端設(shè)備所執(zhí)行的多個程序，并檢查各該程序是否能被識別，若該程序中的一第 一程序無法被該終端監(jiān)控模塊所識別時，擷取該第一程序的信息，其中，該信息比對模塊交 叉比對該第一程序的信息與該第一分組信息以判別該第一程序是否為一惡意程序。
12.如權(quán)利要求10所述的檢測網(wǎng)絡(luò)通訊行為的監(jiān)測系統(tǒng)，還包括一防火墻模塊，用以 停止該第一程序的網(wǎng)絡(luò)聯(lián)機。
全文摘要
一種檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法及其系統(tǒng)。該檢測網(wǎng)絡(luò)通訊行為的監(jiān)測方法，藉由分析無法識別應(yīng)用層通訊協(xié)議的分組信息，以判別產(chǎn)生前述分組信息的終端設(shè)備是否發(fā)生異常網(wǎng)絡(luò)通訊行為。該方法包括下列步驟擷取由終端設(shè)備所發(fā)出的多個分組信息，其中分組信息包括所采用的應(yīng)用層通訊協(xié)議；檢查分組信息所采用的應(yīng)用層通訊協(xié)議是否能被識別；若分組信息所采用的應(yīng)用層通訊協(xié)議無法被識別時，擷取此分組信息作為判別終端設(shè)備是否發(fā)生異常網(wǎng)絡(luò)通訊行為的依據(jù)。
文檔編號H04L12/56GK102136956SQ20101000286
公開日2011年7月27日 申請日期2010年1月21日 優(yōu)先權(quán)日2010年1月21日
發(fā)明者蔡東霖, 黃柏智, 黃瓊瑩 申請人:宏碁股份有限公司