[发明专利]可疑封包检测装置及其可疑封包检测方法

权利要求书

1.一种可疑封包检测装置，其特征在于，该可疑封包检测装置包括：

一存储器，用以存储一参考数据以及一伪造特征数据，该参考数据记录一超文本传输协议HTTP参考标头，该伪造特征数据记录一关联信息；

一网络接口；以及

一处理器，电性连接该存储器及该网络接口，用以执行以下操作：

通过该网络接口，撷取自一内部网络传送至一外部网络的一HTTP封包；以及

将该HTTP封包的一HTTP标头与该HTTP参考标头比对，以判断该HTTP封包属于一浏览器类别及一应用程序类别其中之一，并辨别该HTTP封包为一正常封包及一可疑封包其中之一；

其中，当该HTTP封包被辨别为该正常封包且属于该浏览器类别时，该处理器更执行以下操作：

判断该HTTP标头的一目标域名信息及一参照位置信息是否存在于该关联信息中；以及

当该目标域名信息及该参照位置信息不存在于该关联信息时，判断该HTTP封包是否使得一时间窗口内与该目标域名信息相关联的一计数值超过一第一门槛值，以及若该计数值超过该第一门槛值，则重新辨别该HTTP封包为该可疑封包，其中该计数值为该时间窗口内的多个已接收HTTP封包的一封包总数，且各该已接收HTTP封包的另一HTTP标头的另一目标域名信息及另一参照位置信息不存在于该关联信息中。

2.如权利要求1所述的可疑封包检测装置，其特征在于，该伪造特征数据更记录一网址分类模型，以及当该HTTP封包被辨别为该正常封包且属于该应用程序类别时，该处理器更用以执行以下操作：

将该HTTP封包的一网址信息输入至该网址分类模型，以产生一推论用户代理信息；以及

判断该HTTP封包的一用户代理信息是否与该推论用户代理信息相同，若不相同，则重新辨别该HTTP封包为该可疑封包。

3.如权利要求2所述的可疑封包检测装置，其特征在于，该HTTP参考标头包括一用户代理参考信息、一语言参考信息、一域名参考信息及一字段参考信息，以及该处理器更用以执行以下操作：

判断该用户代理信息是否存在于该用户代理参考信息中，若不存在，则辨别该HTTP封包为该可疑封包；

当该用户代理信息存在于该用户代理参考信息中且该HTTP封包属于该浏览器类别时，判断该HTTP标头的一语言信息是否存在于该语言参考信息中，若是，则辨别该HTTP封包为该正常封包，若否，则辨别该HTTP封包为该可疑封包；以及

当该用户代理信息存在于该用户代理参考信息中且该HTTP封包属于该应用程序类别时，根据该HTTP标头的该目标域名信息是否存在于该域名参考信息中、该HTTP标头的一字段信息是否存在于该字段参考信息中且该HTTP封包的一封包尺寸是否落入一容许范围内计算一评估值，并判断该评估值是否大于等于一第二门槛值，若该评估值大于等于该第二门槛值，则辨别该HTTP封包为该正常封包，若该评估值小于该第二门槛值，则辨别该HTTP封包为该可疑封包。

4.如权利要求3所述的可疑封包检测装置，其特征在于，该处理器更将该HTTP标头的该用户代理信息与该用户代理参考信息比对，以判断该HTTP封包属于该浏览器类别及该应用程序类别其中之一。

5.如权利要求4所述的可疑封包检测装置，其特征在于，该用户代理参考信息包括一浏览器信息及一应用程序信息，该处理器更判断该HTTP标头的该用户代理信息是否存在于该浏览器信息中，若存在，则判断该HTTP封包属于该浏览器类别，以及若不存在，则判断该HTTP封包属于该应用程序类别。

6.如权利要求2所述的可疑封包检测装置，其特征在于，该网址分类模型是基于一序列分析算法及一多对一规则，以一监督式学习训练所建立。

7.如权利要求2所述的可疑封包检测装置，其特征在于，该处理器更自该HTTP封包的该网址信息撷取一域名特征、一路径特征及一参数索引键特征，以将该域名特征、该路径特征及该参数索引键特征输入至该网址分类模型，藉此产生该推论用户代理信息。