一種適用于異質(zhì)網(wǎng)絡架構(gòu)的異常預測方法及系統(tǒng)。網(wǎng)關自電子裝置接收包，并轉(zhuǎn)換包使其符合交換格式。網(wǎng)關比對包與安全策略。在網(wǎng)關判定包無異常之后，傳送包至控制器?？刂破髟O定包的優(yōu)先權，并轉(zhuǎn)換包至目的格式，及暫存包至隊列。依據(jù)包的優(yōu)先權及目的地址，由控制器轉(zhuǎn)送包至目的地址。

背景技術：

網(wǎng)際網(wǎng)絡的發(fā)展及運用不斷成長，由原本桌上型電腦的時代慢慢轉(zhuǎn)向為可攜式電腦的時代，到現(xiàn)今熱門的物聯(lián)網(wǎng)(Internet of Things，IoT)時代，隨著科技的演進與創(chuàng)新，能夠連結(jié)網(wǎng)絡的物品不再限制只有桌上型電腦、筆記型電腦、或智能手機，而是期待所有的物品皆能連網(wǎng)，以便能隨時控管?；诖俗h題的發(fā)酵，各個領域及企業(yè)皆投入相當多的資源研發(fā)，也造成各企業(yè)采用的規(guī)格不一，造成前端及后端系統(tǒng)難以整合。

此外，連網(wǎng)物件不再只有電腦，各式物品連網(wǎng)后所產(chǎn)生的數(shù)據(jù)數(shù)據(jù)包含各式各樣的信息，有一般信息、垃圾信息、緊急事件或其他許多有價值的數(shù)據(jù)。然而，當越來越多的數(shù)據(jù)或信息皆需通過網(wǎng)際網(wǎng)絡來傳遞，勢必引發(fā)網(wǎng)絡頻寬及網(wǎng)絡安全問題。傳統(tǒng)的網(wǎng)絡防火墻只能作到限制開啟通行端口、檢測包異常情況，并不能作到預測包異常。

技術實現(xiàn)要素：

本發(fā)明提供一種適用于異質(zhì)網(wǎng)絡架構(gòu)的異常預測方法及系統(tǒng)，在網(wǎng)關中實作一防火墻機制，可立即阻擋來歷不明的包或惡意包。

本發(fā)明的適用于異質(zhì)網(wǎng)絡架構(gòu)的異常預測方法，包括：通過網(wǎng)關自電子裝置接收包，并轉(zhuǎn)換包使其符合交換格式，其中網(wǎng)關具有至少一第一安全策略；通過網(wǎng)關比對符合交換格式的包與第一安全策略，以判斷包是否 異常；在判定包無異常之后，通過網(wǎng)關傳送包至控制器，而通過控制器基于至少一第二安全策略設定包的優(yōu)先權；通過控制器轉(zhuǎn)換符合交換格式的包至目的格式，并暫存包至隊列(queue)；以及依據(jù)包的優(yōu)先權及目的地址，由控制器轉(zhuǎn)送包至目的地址。

在本發(fā)明的一實施例中，上述第一安全策略記錄有安全規(guī)則以及相對應的處理動作。網(wǎng)關在接收第一安全策略之后，轉(zhuǎn)換第一安全策略為符合網(wǎng)關的儲存表的格式，以寫入第一安全策略至儲存表。寫入第一安全策略至儲存表的步驟包括：寫入安全規(guī)則至規(guī)則字段；以及寫入處理動作至動作字段，其中儲存表還包括狀態(tài)字段，狀態(tài)字段記錄網(wǎng)關接收到包的包計數(shù)。

在本發(fā)明的一實施例中，上述基于第一安全策略，通過網(wǎng)關判斷符合交換格式的包是否異常的步驟包括：比對所接收的包與安全規(guī)則；以及在判定包與安全規(guī)則相匹配時，通過網(wǎng)關獲得相匹配的安全規(guī)則所對應的處理動作。

在本發(fā)明的一實施例中，在處理動作為啟動(active)動作的情況下，通過網(wǎng)關直接傳送包至控制器。在處理動作為過濾(filter)動作的情況下，通過網(wǎng)關調(diào)整包后，傳送包至控制器。在處理動作為阻隔(block)動作的情況下，通過網(wǎng)關阻隔包，使得網(wǎng)關不傳送包。

在本發(fā)明的一實施例中，上述第二安全策略記錄有安全規(guī)則以及優(yōu)先權信息。通過控制器轉(zhuǎn)換第二安全策略為符合控制器的儲存表的格式，以寫入第二安全策略至儲存表。寫入第二安全策略至儲存表的步驟包括：寫入安全規(guī)則至規(guī)則字段；以及寫入優(yōu)先權信息至優(yōu)先權字段。

在本發(fā)明的一實施例中，上述通過網(wǎng)關傳送包至制器之后，控制器比對所接收的包與安全規(guī)則；以及在判定包與安全規(guī)則相匹配時，基于所述優(yōu)先權信息來設定所述包的所述優(yōu)先權。

在本發(fā)明的一實施例中，上述異常預測方法還包括：通過控制器來產(chǎn)生第一安全策略與第二安全策略，并通過控制器傳送第一安全策略至網(wǎng)關。產(chǎn)生第一安全策略與第二安全策略的步驟包括：分析多個包記錄，以獲得異常群組以及誤用群組；自異常群組獲得正向樣本，并自誤用群組獲得負向樣本；以及基于正向樣本以及負向樣本，建立第一安全策略與第二 安全策略。

在本發(fā)明的一實施例中，上述包記錄儲存在訓練數(shù)據(jù)庫，而正向樣本與負向樣本儲存在模式(pattern)數(shù)據(jù)庫。

在本發(fā)明的一實施例中，上述在通過網(wǎng)關傳送包至控制器的步驟之后，更可通過控制器判斷傳送包的網(wǎng)關是否合法。在判定網(wǎng)關合法時，通過控制器轉(zhuǎn)換符合交換格式的包至目的格式。在判定網(wǎng)關不合法時，不轉(zhuǎn)送包至目的地址。

在本發(fā)明的一實施例中，依據(jù)包所記錄的優(yōu)先權及目的地址，由控制器轉(zhuǎn)送包至目的地址的步驟包括：由控制器傳送包至網(wǎng)關，再由網(wǎng)關傳送包至目的地址。

在本發(fā)明的一實施例中，上述交換格式為多協(xié)議標記交換格式(Multi-Protocol Label Switching，MPLS)，而轉(zhuǎn)換包使其符合交換格式的步驟包括：在包中插入標記標頭(label header)，其中標記標頭包括標記轉(zhuǎn)換路徑。

本發(fā)明的適用于異質(zhì)網(wǎng)絡架構(gòu)的異常預測系統(tǒng)，包括：網(wǎng)關以及異常預測裝置。網(wǎng)關具有至少一第一安全策略。控制器包括協(xié)議轉(zhuǎn)換器。網(wǎng)關自電子裝置接收包，并轉(zhuǎn)換包使其符合交換格式，并比對符合交換格式的包與第一安全策略，以判斷包是否異常，進而在判定包無異常之后，傳送包至控制器?？刂破髟诮邮盏桨?，基于第二安全策略設定包的優(yōu)先權，并轉(zhuǎn)換符合交換格式的包至目的格式，以及暫存包至隊列。并且，依據(jù)包的優(yōu)先權及目的地址，由控制器轉(zhuǎn)送包至目的地址。

在本發(fā)明的一實施例中，所述至少一第一安全策略記錄有一安全規(guī)則以及相對應的一處理動作，

所述網(wǎng)關在接收所述至少一第一安全策略之后，轉(zhuǎn)換所述至少一第一安全策略為符合所述網(wǎng)關的一儲存表的格式，以寫入所述至少一第一安全策略至所述儲存表，所述儲存表包括：

一規(guī)則字段，記錄所述安全規(guī)則；

一動作字段，記錄所述處理動作；以及

一狀態(tài)字段，記錄所述網(wǎng)關接收到所述包的包計數(shù)。

在本發(fā)明的一實施例中，所述至少一第一安全策略記錄有一安全規(guī)則 以及相對應的一處理動作，而所述網(wǎng)關比對所接收的所述包與所述安全規(guī)則，并在判定所述包與所述安全規(guī)則相匹配時，獲得相匹配的所述安全規(guī)則所對應的所述處理動作。

在本發(fā)明的一實施例中：

在所述處理動作為一啟動動作的情況下，所述網(wǎng)關直接傳送所述包至所述控制器；

在所述處理動作為一過濾動作的情況下，所述網(wǎng)關調(diào)整所述包后，傳送所述包至所述控制器；以及

在所述處理動作為一阻隔動作的情況下，所述網(wǎng)關阻隔所述包，使得所述網(wǎng)關不傳送所述包。

在本發(fā)明的一實施例中，所述至少一第二安全策略記錄有一安全規(guī)則以及一優(yōu)先權信息，

所述控制器轉(zhuǎn)換所述至少一第二安全策略為符合所述控制器的一儲存表的格式，以寫入所述至少一第二安全策略至所述儲存表，所述儲存表包括：

一規(guī)則字段，記錄所述安全規(guī)則；

一優(yōu)先權字段，記錄所述優(yōu)先權信息。

在本發(fā)明的一實施例中，所述至少一第二安全策略記錄有一安全規(guī)則以及一優(yōu)先權信息，而在通過所述網(wǎng)關傳送所述包至所述控制器之后，所述控制器比對所接收的所述包與所述安全規(guī)則，并在判定所述包與所述安全規(guī)則相匹配時，基于所述優(yōu)先權信息來設定所述包的所述優(yōu)先權。

在本發(fā)明的一實施例中，還包括一異常預測裝置，其中所述異常預測裝置包括：

一訓練數(shù)據(jù)庫，儲存多個包記錄；

一模式數(shù)據(jù)庫，儲存一異常群組以及一誤用群組；

所述控制器，包括：

一分類器，分析多個包記錄，以獲得所述異常群組以及所述誤用群組；

一識別器，自所述異常群組獲得一正向樣本，并自所述誤用群組獲得一負向樣本；以及

一產(chǎn)生器，基于所述正向樣本以及所述負向樣本，建立所述至少一第一安全策略及所述至少一第二安全策略；以及

一傳輸模組，傳送所述至少一第一安全策略至所述網(wǎng)關。

在本發(fā)明的一實施例中，所述控制器還包括：

一裝置管理服務器，判斷傳送所述包的所述網(wǎng)關是否合法，在判定所述網(wǎng)關合法時，通過所述協(xié)議轉(zhuǎn)換器轉(zhuǎn)換符合所述交換格式的所述包至所述目的格式，并且，在判定所述網(wǎng)關不合法時，不傳送所述包至所述目的地址。

在本發(fā)明的一實施例中，所述交換格式為多協(xié)議標記交換格式，所述控制器在所述包中插入一標記標頭以轉(zhuǎn)換所述包為符合所述交換格式，其中所述標記標頭包括一標記轉(zhuǎn)換路徑。

在本發(fā)明的一實施例中，所述控制器傳送所述包至所述網(wǎng)關，再由所述網(wǎng)關傳送所述包至所述目的地址。

在本發(fā)明的一實施例中，所述控制器依據(jù)所述優(yōu)先權決定所述包在所述隊列中的順序。

基于上述，通過與上述安全策略的比對，可將異常的包直接丟棄不處理，而將正常的包放入隊列中，并依照隊列中各包的優(yōu)先權而依序?qū)鼈魉椭聊康牡刂?。即，利用?yōu)先權來達成流量的控管。另外，由于網(wǎng)關所判定的異常包并不會儲存至隊列中，因此可加快其他包的傳送速度，可做到即時分流，達到網(wǎng)絡流量負載平衡功能。

為讓本發(fā)明的上述特征和優(yōu)點能更明顯易懂，下文特舉實施例，并配合所附附圖作詳細說明如下。

附圖說明

圖1是依照本發(fā)明一實施例的適用于異質(zhì)網(wǎng)絡架構(gòu)的異常預測系統(tǒng)的方塊圖。

圖2是依照本發(fā)明一實施例的網(wǎng)關的儲存表的示意圖。

圖3是依照本發(fā)明一實施例的適用于異質(zhì)網(wǎng)絡架構(gòu)的異常預測方法的流程圖。

圖4是依照本發(fā)明一實施例的控制器的儲存表的示意圖。

其中，附圖標記說明如下：

10：異常預測裝置

20：網(wǎng)關

30：電子裝置

100：異常預測系統(tǒng)

110：控制器

111：協(xié)議轉(zhuǎn)換器

112：裝置管理服務器

113：隊列

114：分類器

115：識別器

116：產(chǎn)生器

120：訓練數(shù)據(jù)庫

130：模式數(shù)據(jù)庫

140：傳輸模組

150：儲存表

F1、F5：規(guī)則字段

F2：動作字段

F3：狀態(tài)字段

F6：優(yōu)先權字段

F11：來源/目的字段

F12：標簽字段

F13：特征字段

S305～S325：適用于異質(zhì)網(wǎng)絡架構(gòu)的異常預測方法各步驟

具體實施方式

圖1是依照本發(fā)明一實施例的適用于異質(zhì)網(wǎng)絡架構(gòu)的異常預測系統(tǒng)的方塊圖。請參照圖1，異常預測系統(tǒng)100包括異常預測裝置10以及網(wǎng)關20。網(wǎng)關20的數(shù)量可以為一個或多個。異常預測裝置10可以通過有 線或無線的方式耦接至網(wǎng)關20。在本實施例中，網(wǎng)關20耦接至一或多臺電子裝置30。網(wǎng)關20由軟體來實現(xiàn)，而以軟體定義(software-defined)來實現(xiàn)，進而可安裝在各種平臺上，如個人電腦、筆記型電腦、平板電腦、智能手機、智能手表、連網(wǎng)電視、代理服務器、服務器等等。

舉例來說，異常預測系統(tǒng)100可應用于基于智能居家醫(yī)療照護環(huán)境的物聯(lián)網(wǎng)(Internet of Things，IoT)。此時，電子裝置30例如為智能冷氣、智能電視、智能冰箱、智能衣服、智能手表等具有感測元件以及連網(wǎng)功能的電子產(chǎn)品。然，上述僅為其中一種應用，并不以此限縮異常預測系統(tǒng)100的應用范圍。

異常預測裝置10例如為服務器、個人電腦、筆記型電腦、平板電腦、智能型手機等具有運算能力的裝置。異常預測裝置10用以依據(jù)多個包記錄來產(chǎn)生安全策略(policy)。而這些包記錄包括由網(wǎng)關20或電子裝置30所回傳的包記錄，也可以包括由外部的信息交換平臺(未示出)所提供的包記錄。在數(shù)據(jù)交換平臺中的包記錄可以是由廠商或其他使用者分享。

異常預測裝置10包括控制器110、訓練數(shù)據(jù)庫120、模式(pattern)數(shù)據(jù)庫130以及傳輸模組140?？刂破?10例如為中央處理單元(Central Processing Unit，CPU)、可程序化的微處理器(Microprocessor)、嵌入式控制晶片、數(shù)位信號處理器(Digital Signal Processor，DSP)、特殊應用集成電路(Application Specific Integrated Circuits，ASIC)或其他類似裝置。

控制器110還包括了協(xié)議轉(zhuǎn)換器111、裝置管理服務器112、隊列(queue)113、分類器114、識別器115以及產(chǎn)生器116。本實施例例如是以程序碼來實現(xiàn)異常預測方法。利用程序碼來實現(xiàn)上述協(xié)議轉(zhuǎn)換器111、裝置管理服務器112、隊列113、分類器114、識別器115以及產(chǎn)生器116的功能。上述協(xié)議轉(zhuǎn)換器111、裝置管理服務器112、隊列113、分類器114、識別器115以及產(chǎn)生器116是由一或多個程序碼片段所組成，上述程序碼片段在被安裝后，會由控制器110來執(zhí)行。在其他實施例中，上述協(xié)議轉(zhuǎn)換器111、裝置管理服務器112、隊列113、分類器114、識別器115以及產(chǎn)生器116亦可以由硬體處理器或者由一個或多個邏輯閘晶片來 實現(xiàn)。

訓練數(shù)據(jù)庫120儲存多個包記錄。模式數(shù)據(jù)庫(pattern database)130用以儲存經(jīng)由訓練(training)所獲得的樣本特征。詳細地說，通過網(wǎng)關20來收集各電子裝置30的包記錄，并且通過網(wǎng)關20將所收集的包記錄傳送至異常預測系統(tǒng)的訓練數(shù)據(jù)庫120。并且，由控制器110來對這些包記錄進行分析、歸類、識別等，進而建置出模式數(shù)據(jù)庫130。

具體而言，控制器110通過分類器114、識別器115以及產(chǎn)生器116，基于誤用群組及異常群組來建立安全策略；并且，通過協(xié)議轉(zhuǎn)換器111、裝置管理服務器112及隊列113來協(xié)助轉(zhuǎn)發(fā)包。

分類器114分析多個包記錄，以獲得所述異常群組以及所述誤用群組。例如，分類器114利用最近鄰居(K-Nearest Neighbors，KNN)演算法來執(zhí)行誤用檢測(misuse detection)及異常檢測(anomaly detection)。通過誤用檢測來獲得誤用群組及通過異常檢測來獲得異常群組。并且，將誤用群組及異常群組儲存至模式數(shù)據(jù)庫130。

識別器115自異常群組獲得正向樣本，并自誤用群組獲得負向樣本。在此，識別器115先將已知為病毒或異常的包切割為最小單位，例如為標簽(tag)、字段(column)等單位，并且定義各個標簽(tag)。例如，“標簽1”為時間戳記(timestamp)、“標簽2”為來源地址、“標簽3”為包尺寸、“標簽4”為協(xié)議型態(tài)(protocol type)。

誤用檢測是將各種已知的入侵模式或攻擊行為等特征建成數(shù)據(jù)庫，以模式配對(Pattern Matching)的方式來分析比對來源數(shù)據(jù)是否有入侵模式或攻擊行為等模式，若有，則判斷其為入侵。誤用檢測所獲得的是負向樣本。

而異常檢測會先建立使用者的一般設定檔(normal profile)，定義正常的標準值，若檢測到某些行為超過標準值，則判定有入侵行為發(fā)生。異常檢測所獲得的是正向樣本。即，正向樣本可用以規(guī)范網(wǎng)絡正常行為，凡不在此正常行為范圍者，都視為異常。特征樣本亦可規(guī)范網(wǎng)絡不正常行為，凡不在此特征行為范圍者，都視為正常。

例如，將符合下述條件的包設定至異常群組，即，每秒鐘的包計數(shù)(packet count)小于5，包大小小于100K，端口口80，以及來自相同的 網(wǎng)際網(wǎng)絡(Internet protocol，IP)地址的目的IP地址。

產(chǎn)生器116基于正向樣本以及負向樣本，建立第一安全策略以及第二安全策略。上述第一安全策略供網(wǎng)關20使用，而第二安全策略供控制器110使用。例如，產(chǎn)生器116依據(jù)正向樣本的特征來建立對應的第一安全策略以及第二安全策略，并且依據(jù)負向樣本的特征來建立對應的第一安全策略以及第二安全策略。例如，第一安全策略中規(guī)范了如下的條件，即，每秒鐘的包計數(shù)小于10，端口口80，包大小小于或等于343位元組(bytes)，對話計數(shù)(session count)大于或等于50，而將不符合上述條件的包視為是異常包。

例如，以異常檢測為例，控制器110通過數(shù)據(jù)分析來設定壅塞閥值的合理數(shù)值范圍。接著，基于壅塞閥值以及異常群組中累積至目前的包記錄，來建立第一安全策略以及第二安全策略。誤用檢測亦以此類推。上述安全策略例如為使用權限、使用頻率、數(shù)據(jù)量、優(yōu)先權至少其中之一或其組合，然并不以此為限。

之后，控制器110通過傳輸模組140將第一安全策略傳送至網(wǎng)關20，通過將第一安全策略記錄在網(wǎng)關20中來實現(xiàn)防火墻的功能。在接收到第一安全策略之后，網(wǎng)關20會進一步將第一安全策略轉(zhuǎn)換為符合其儲存表150的格式，以寫入第一安全策略至儲存表150。

圖2是依照本發(fā)明一實施例的網(wǎng)關的儲存表的示意圖。第一安全策略記錄有安全規(guī)則以及相對應的處理動作。網(wǎng)關20在接收到第一安全策略之后，會將第一安全策略轉(zhuǎn)換為符合其儲存表150的格式，而將安全規(guī)則與處理動作寫入至對應的字段中。

請參照圖2，儲存表150包括三個字段，即，規(guī)則字段F1、動作字段F2以及狀態(tài)字段F3。網(wǎng)關20在獲得第一安全策略之后，將安全規(guī)則寫入至規(guī)則字段F1，并且將處理動作寫入至動作字段。處理動作例如啟動(active)動作、過濾(filter)動作或阻隔(block)動作。規(guī)則字段F1包括來源/目的字段F11、標簽(tag)字段F12以及特征字段F13。來源/目的字段F11記錄IP地址或是媒體存取控制器(medium access controller，MAC)地址。標簽字段F12記錄執(zhí)行動作。特征字段F13記錄標簽的內(nèi)容參數(shù)。動作字段F2記錄處理動作。狀態(tài)字段F3記錄包計數(shù)及會話計數(shù)。

在本實施例中，當所匹配的安全規(guī)則對應的處理動作為過濾動作或阻隔動作時，判定包為異常。而當所匹配的安全規(guī)則對應的處理動作為啟動動作時，判定包無異常。而在處理動作為啟動動作的情況下，通過網(wǎng)關20直接傳送包至控制器110。在處理動作為過濾動作的情況下，通過網(wǎng)關20調(diào)整包后，傳送包至控制器110。在處理動作為阻隔動作的情況下，通過網(wǎng)關20阻隔此包，使得此包不會傳送至控制器110。

另外，在其他實施例中，第一安全策略中的安全規(guī)則亦可以僅是用來定義所接收的包是否為合法的安全規(guī)則，進而對應的動作字段則是記錄在判定包為不合法(異常)的情況下的防止異常動作(過濾動作或阻隔動作)。例如，當包與安全規(guī)則相匹配時，判定無異常，則直接傳送包至控制器110。當包未與安全規(guī)則相匹配時，判定為異常，進而讀取對應的動作字段來獲得處理動作。

圖4是依照本發(fā)明一實施例的控制器的儲存表的示意圖。第二安全策略記錄有安全規(guī)則以及優(yōu)先權信息?？刂破?10轉(zhuǎn)換第二安全策略為符合控制器110的儲存表410的格式，而將安全規(guī)則與優(yōu)先權信息寫入至對應的字段中。

請參照圖4，儲存表410包括兩個字段，即，規(guī)則字段F5以及優(yōu)先權字段F6。規(guī)則字段F5用以記錄安全規(guī)則，其與圖2所示的規(guī)則字段F1相同，故，在此不再贅述。優(yōu)先權字段F6用以記錄優(yōu)先權信息。在網(wǎng)關20傳送包至制器110之后，控制器110比對所接收的包與安全規(guī)則，而在判定包與安全規(guī)則相匹配時，基于優(yōu)先權信息來設定包的優(yōu)先權。

底下搭配上述異常預測系統(tǒng)100來說明異常預測方法的各步驟。圖3是依照本發(fā)明一實施例的適用于異質(zhì)網(wǎng)絡架構(gòu)的異常預測方法的流程圖。請同時參照圖1及圖3，在步驟S305中，通過網(wǎng)關20自電子裝置30接收包，并轉(zhuǎn)換此包使其符合一交換格式。在此，網(wǎng)關20為了適應各種包格式而提供了一種交換格式。上述交換格式例如多協(xié)議標記交換(Multi-Protocol Label Switching，MPLS)格式。

MPLS是一種整合了標簽交換架構(gòu)與網(wǎng)絡層的路由機制的技術，其概念是將進入網(wǎng)關20的包配置一個固定長度的標記標頭(label header)，之后便能夠根據(jù)包中的標記標頭來執(zhí)行轉(zhuǎn)發(fā)(forward)動作。一般而言， 標記標頭是插入于包(Packet)的第二層數(shù)據(jù)鏈結(jié)層(data link layer)與第三層網(wǎng)絡層(network layer)的標頭之間。而在標記標頭中記錄標記轉(zhuǎn)換路徑。據(jù)此，在后續(xù)轉(zhuǎn)送過程中便是通過標記標頭來決定包在網(wǎng)絡上的傳送路徑，而不會去讀取第三層的標頭。

接著，在步驟S310中，通過網(wǎng)關20來比對符合交換格式的包與第一安全策略。網(wǎng)關20比對所接收的包與儲存表安全規(guī)則。在判定包與安全規(guī)則相匹配時，通過網(wǎng)關20獲得相匹配的安全規(guī)則所對應的處理動作。處理動作例如啟動(active)動作、過濾(filter)動作或阻隔(block)動作。

在處理動作為啟動動作的情況下，通過網(wǎng)關20直接傳送包至控制器110。在處理動作為過濾動作的情況下，通過網(wǎng)關20調(diào)整包后，傳送包至控制器110。在處理動作為阻隔動作的情況下，通過網(wǎng)關20阻隔此包，使得此包不會傳送至控制器110。另外，在處理動作為阻隔動作的情況下，還可進一步通過網(wǎng)關20傳送包至控制器110或另一個網(wǎng)關。

之后，在步驟S315中，在判定包無異常之后，通過網(wǎng)關20傳送包至控制器110，而通過控制器110基于第二安全策略設定包的優(yōu)先權。此時，所傳送的包為符合交換格式。

當包進入到網(wǎng)關20時，網(wǎng)關20會查詢所記載的第一安全策略，以判斷包是否異常。而不管包是否異常皆會累計包計數(shù)。據(jù)此，可進一步統(tǒng)計在一時間區(qū)段內(nèi)所接收到的包的數(shù)量，而可以此包計數(shù)來進一步更新安全策略。例如，以原本第一安全策略中所設定的壅塞閥值最大為5次/10秒而言，假設在10秒內(nèi)自來源地址aa接收到10次的包，則前5次所接收的包皆會被執(zhí)行，而在第6次之后接收到的包將不會被執(zhí)行。而在將這次的接收記錄回傳至控制器110后，控制器110會去更新第一、第二安全策略，例如，直接封鎖來源地址aa，拒絕來源地址aa所傳送的包。然，上述僅為舉例說明，并不以此為限。

在控制器110接收到包之后，控制器110會基于第二安全策略中的優(yōu)先權信息來設定包的優(yōu)先權。并且，在接收到包之后，控制器110還可進一步依據(jù)儲存表410來比對所接收的包與安全規(guī)則，而在判定包與安全規(guī)則相匹配時，基于優(yōu)先權信息來設定包的優(yōu)先權。

例如，優(yōu)先權信息包括三個標簽(tag)，標簽1為目的地址(IP＝10.25.1.1)，標簽2為通信端口(port＝25)，標簽3為包尺寸(bytes<＝10M)。當包符合上述優(yōu)先權信息，則表示此一包具有高優(yōu)先權。

例如，優(yōu)先權亦可進一步設定級別，例如，優(yōu)先權設定為1表示最高優(yōu)先權，數(shù)字越高表示優(yōu)先權越低。在此，控制器110可通過分析歷史數(shù)據(jù)而知道地址10.25.1.1及通信端口25為警報系統(tǒng)，因而其優(yōu)先權設定為1。

例1，可利用最近鄰居(k-nearest neighbors，KNN)演算法在分群時，標記每一群的優(yōu)先權。例如，將較大群的優(yōu)先權設定為3，將較小群的優(yōu)先權設定為1。

例2，可由使用者自行設定地址10.25.1.1擁有最高優(yōu)先權1，而恒溫系統(tǒng)、空調(diào)系統(tǒng)、監(jiān)視系統(tǒng)等IP地址為次高優(yōu)先權2。

例3，可進一步對歷史數(shù)據(jù)進行分類，如，安全、生活、育樂等類別，再依類別來進行設定優(yōu)先權的高低。

例4，將感測裝置(溫度傳感器、紅外線傳感器)等地址的優(yōu)先權設定為1，一般家電設定為2，行動裝置設定為3。

舉例來說，假設警報系統(tǒng)想通過智能電視發(fā)出警告，告知瓦斯爐溫度過高。由于瓦斯爐的溫度傳感器的優(yōu)先權為1，且警報系統(tǒng)的優(yōu)先權亦為1，故，瓦斯爐的溫度傳感器所發(fā)出的包為最優(yōu)先傳送。而警報系統(tǒng)(優(yōu)先權為1)傳送包給智能電視(優(yōu)先權為2)，因其來源的優(yōu)先權為1，故警報系統(tǒng)所傳送的包仍是最優(yōu)先傳送。

再舉例來說，假設使用者通過手機打開家中冷氣。在此，假設手機的優(yōu)先權為3，冷氣的優(yōu)先權為2。則手機所傳送的包為次優(yōu)先傳送。

例5，亦可經(jīng)由分析來定義一組“來源地址->目的地址”。例如，來源地址為溫度傳感器，目的地址為冷氣(即，由溫度傳感器傳送包給冷氣)，其優(yōu)先權為2；來源地址為溫度傳感器，目的地址為電視(即，溫度傳感器傳送包給電視)，其優(yōu)先權為1。

然，上述僅為舉例說明，并不以此為限。

之后，在步驟S320中，控制器110利用協(xié)議轉(zhuǎn)換器110將符合交換格式的包轉(zhuǎn)換為目的格式，并暫存包至隊列。例如，目的格式為JSON (JavaScript Object Notation)或XML(eXtensible Markup Language)等。例如，依據(jù)優(yōu)先權決定包在隊列中的順序，即，隊列中的包是按照優(yōu)先權來進行排序。

之后，在步驟S325中，依據(jù)包的優(yōu)先權及目的地址，由控制器110轉(zhuǎn)送包至目的地址。此外，亦可由控制器110傳送包至網(wǎng)關20，再由網(wǎng)關20傳送包至目的地址。

另外，在控制器110接收到包之后，還可進一步通過裝置管理服務器112來判斷傳送此包的網(wǎng)關20是否合法。例如，裝置管理服務器112中記錄有其允許的網(wǎng)關地址。當裝置管理服務器112未記載此網(wǎng)關20的地址，則無法識別傳送此包的網(wǎng)關20時，因而判定網(wǎng)關20為不合法，而忽略或刪除此包，使得此包不會被轉(zhuǎn)送至目的地址。在判定網(wǎng)關20合法時，通過協(xié)議轉(zhuǎn)換器110轉(zhuǎn)換符合交換格式的包至目的格式。

而控制器110在接收到包，并將符合交換格式的包轉(zhuǎn)換為目的格式之后，可進一步將此包儲存至訓練數(shù)據(jù)庫120，以進一步來更新安全策略。

綜上所述，并且，利用控制器從每次所接收的數(shù)據(jù)(包)中抽絲剝繭，將每天每秒產(chǎn)生的數(shù)據(jù)，經(jīng)過收集、分類、歸納及分析評估，最后將“事后的分析數(shù)據(jù)”，產(chǎn)出成為“事前的預測信息”(即，安全策略)，并提供給網(wǎng)關來執(zhí)行即時異常判斷，而非傳統(tǒng)系統(tǒng)所作的事后處理。據(jù)此，可加快處理判別包的異常。并且，將正常的包放入隊列中，并依照其優(yōu)先權而直接傳送至目的地址，可做到即時分流，達到網(wǎng)絡流量負載平衡功能。另外，利用了誤用檢測以及異常檢測兩種檢測法，可即時依雙模型來建立篩選包的安全策略。由于結(jié)合了兩種檢測法來建立安全策略，進而提高了篩選包的準確率。

在此，當很多包一起涌入控制器時，傳統(tǒng)方法可能采用先進先出方式來處理包，然而在流量龐大時，此方式會造成嚴重瓶頸。據(jù)此，本實施例提出運用智能分流方法來避免上述情況的發(fā)生。例如，一般在網(wǎng)絡上有非常多包在傳送，當一個未知包進入時，控制器采用KNN演算法對包先進行分類，以期增進包辨認分流速度。當包特征偏向“已知群組”，則先采用異常檢測來進行其他特征的篩選。而當包特征偏向“未知群組”，則采用誤用檢測來進行其他特征的篩選。

而在網(wǎng)關收到包后，此包即會依照第一安全策略進行比對，并且被判別為異常的包則不處理。據(jù)此，可作到減低流量的作用。另外，在控制器接收到包后，依據(jù)第二安全策略的優(yōu)先權信息(例如，包來源＝指定地址)進行比對，若所述包來源符合指定地址，則優(yōu)先放入隊列中。此種作法改變了原來先進先出的模式，進而可改善流量控管。

也就是說，異常的包做修改或直接丟棄不作處理，而將正常包放置隊列中，并可設定優(yōu)先權順序，直接傳送到目的地址，以加快處理判別包的異常，進而作到即時分流，達到網(wǎng)絡流量負載平衡功能(Inbound/Outbound Load Balance)。

雖然本發(fā)明已以實施例公開如上，然其并非用以限定本發(fā)明，任何所屬技術領域中具有通常知識者，在不脫離本發(fā)明的精神和范圍內(nèi)，當可作些許的更動與潤飾，故本發(fā)明的保護范圍當視后附的申請專利范圍所界定者為準。