[发明专利]可疑封包检测装置及其可疑封包检测方法

说明书

一种可疑封包检测装置及其可疑封包检测方法。可疑封包检测装置撷取自内部网络传送至外部网络的超文本传输协议(HTTP)封包，以及基于HTTP封包的HTTP标头，判断HTTP封包属于一浏览器类别及一应用程序类别其中之一，并辨别HTTP封包为一正常封包及一可疑封包其中之一。当HTTP封包被辨别为正常封包时，可疑封包检测装置更将HTTP标头与关联信息比对或使用一网址分类模型，以进一步地确认HTTP封包是否为可疑封包。

技术领域

本发明是关于一种可疑封包检测装置及其可疑封包检测方法。具体而言，可疑封包检测装置可基于HTTP封包的HTTP标头，辨别HTTP封包为一正常封包及一可疑封包其中之一，并当HTTP封包被辨别为正常封包时，进一步地确认HTTP封包是否为可疑封包。

背景技术

随着科技的发展，网络通信的各种应用已充斥于人们的生活中，且人们对于网络通信的需求亦日益增加。然而，网络通信的安全性也随的日益重要。

目前关于网络安全的多个研究议题其中之一在于，黑客会通过命令与控制服务器(command-and-control server；C2server)向被僵尸病毒感染的电脑下达指令并加以控制，以攻击特定受害者电脑(例如：企业的服务器)，例如：寄送垃圾信件、窃取个资或发起阻断服务攻击等。近年来的僵尸病毒攻击案例中，C2服务器除了使用因特网中继聊天(Internet Relay Chat；IRC)协议及对等(Point-to-Point)协议向被僵尸病毒感染的电脑下达指令外，更逐渐地开始使用超文本传输协议(HyperText Transfer Protocol；HTTP)。相较于IRC协议及P2P协议，由于基于HTTP传输的封包(后称HTTP封包)的流量大且难以有效地检测，故一般的防御检测系统不会去阻挡或检测可疑的HTTP封包，进而使得黑客有机可乘以将指令藏到HTTP封包内。

有鉴于此，如何提供一种HTTP封包检测机制，其能有效地检测出可疑的HTTP封包，为业界及学术界亟需解决的一技术问题。

发明内容

本发明的目的在于提供一种HTTP封包检测机制，其能有效地检测出可疑的HTTP封包。具体而言，本发明的HTTP封包检测机制可通过撷取HTTP封包的特征来分析及比对，以辨别可疑封包，并进一步地通过深度学习算法加以确认，以增强辨别可疑封包的能力。

为达上述目的，本发明揭露一种可疑封包检测装置，其包括一存储器、一网络接口以及一处理器。该存储器用以存储一参考数据以及一伪造特征数据。该参考数据记录一超文本传输协议(HTTP)参考标头。该伪造特征数据记录一关联信息。处理器，电性连接该存储器及该网络接口，且用以执行以下操作：通过该网络接口，撷取自一内部网络传送至一外部网络的一HTTP封包；以及将该HTTP封包的一HTTP标头与该HTTP参考标头比对，以判断该HTTP封包属于一浏览器类别及一应用程序类别其中之一，并辨别该HTTP封包为一正常封包及一可疑封包其中之一。当该HTTP封包被辨别为该正常封包且属于该浏览器类别时，该处理器更执行以下操作：判断该HTTP标头的一目标域名信息及一参照位置信息是否存在于该关联信息中；以及当该目标域名信息及该参照位置信息不存在于该关联信息中时，判断该HTTP封包是否使得一时间窗口内与该目标域名信息相关联的一计数值超过一第一门槛值，以及若该计数值超过该第一门槛值，则重新辨别该HTTP封包为该可疑封包。该计数值为该时间窗口内的多个已接收HTTP封包的一封包总数，且各该已接收HTTP封包的另一HTTP标头的另一目标域名信息及另一参照位置信息不存在于该关联信息中。