在基于云端环境中阻挡或侦测计算机攻击的方法和设备技术

本发明专利技术提出一种在基于云端环境中阻挡或侦测计算机攻击的方法，由设备的处理单元执行，包括：通过因特网从客户端系统接收第一IP(因特网协议，Internet Protocol)封包；从上述第一IP封包取得服务请求，其中上述服务请求向受防护计算机资产请求服务；判断上述服务请求是否包括计算机攻击；以及当上述服务请求包括上述计算机攻击时，执行攻击阻挡/侦测操作以阻挡上述受防护计算机资产受到损害。

Methods and devices for blocking or detecting computer attacks in cloud based environments

【技术实现步骤摘要】
在基于云端环境中阻挡或侦测计算机攻击的方法和设备
本专利技术涉及一种计算机安全技术，特别是一种在基于云端环境中阻挡或侦测计算机攻击的方法以及使用该方法的设备。
技术介绍
在计算机安全情境，黑客寻找并攻击计算机系统或计算机网络中的弱点。企业通常会因为这些攻击而遭受伤害，例如危害计算机服务、客户私人数据遭窃、降低利润或声誉等风险。计算机攻击通常通过因特网进行。因此，需要一种在基于云端环境中阻挡或侦测计算机攻击的方法以及使用该方法的设备，以有效率地阻挡这些攻击。
技术实现思路
本专利技术的实施例提出一种在基于云端环境中阻挡或侦测计算机攻击的方法，由设备的处理单元执行，包括：通过因特网从客户端系统接收一个或多个IP(因特网协议，InternetProtocol)封包；从上述IP封包取得服务请求，其中上述服务请求向受防护计算机资产请求服务；判断上述服务请求是否包括计算机攻击；以及当上述服务请求包括上述计算机攻击时，执行攻击阻挡/侦测操作以阻挡上述受防护计算机资产受到损害。本专利技术的实施例提出一种在基于云端环境中阻挡或侦测计算机攻击的设备，包括：通讯接口；以及处理单元。上述处理单元耦接至上述通讯接口，经由上述通讯接口通过因特网从客户端系统接收一个或多个IP(因特网协议，InternetProtocol)封包；从上述IP封包取得服务请求，其中上述服务请求向受防护计算机资产请求服务；判断上述服务请求是否包括计算机攻击；以及当上述服务请求包括上述计算机攻击时，执行攻击阻挡/侦测操作以阻挡上述受防护计算机资产受到损害。具体的实施方式将在以下实施例及参考附图中给出详细的描述。附图说明图1是依据本专利技术实施例的网络架构示意图。图2是依据本专利技术实施例的攻击阻挡/侦测服务器的系统架构图。图3是根据本专利技术实施例的两阶段过滤方法的流程图。图4是依据本专利技术实施例的软件模块示意图，被处理单元加载并执行，用以处理流经攻击阻挡/侦测服务器的网络封包。图5是根据本专利技术实施例中在客户端系统和受防护计算机资产间传送服务请求和响应的示意图。图6是根据本专利技术实施例在基于云端环境中用于阻挡或侦测的计算机攻击的方法的流程图。具体实施方式以下说明为完成专利技术的较佳实现方式，其目的在于描述本专利技术的基本精神，但并不用以限定本专利技术。实际的
技术实现思路
必须参考之后的权利要求范围。本专利技术将针对具体的实施例并参照某些附图进行描述，但本专利技术不限于此且仅受权利要求的限制。必须了解的是，使用在本说明书中的“包含”、“包括”等词，用以表示存在特定的技术特征、数值、方法步骤、作业处理、组件以及/或组件，但并不排除可加上更多的技术特征、数值、方法步骤、作业处理、组件、组件，或以上的任意组合。在权利要求中使用如“第一”、“第二”、“第三”等语句用来修饰权利要求中的组件，并非用来表示之间具有优先权顺序、先行关系，或者是一个组件先于另一个组件，或者是执行方法步骤时的时间先后顺序，仅用来区别具有相同名字的组件。本专利技术实施例提出一种网络架构，用以连接多种受防护计算机资产，例如计算机、计算机服务器、监控系统、物联网(InternetofThings,IoT)装置等。图1是依据本专利技术实施例的网络架构示意图。受防护计算机资产包含服务器140a至140c、监控系统中的监控主机150a及监控摄影机150b及150c、物联网装置及客户端计算机等。物联网设备包括如照明控制系统160a、智能电视160b、门禁控制系统160c等，客户端计算机包括如笔记本电脑170a、个人计算机170b、平板计算机170c等。服务器140a、140b或140c可为网站服务器、应用服务器、电子邮件服务器、即时消息(InstantMessaging,IM)服务器、网络连接存储(NetworkAttachedStorage,NAS)服务器、或其他类型的服务器。网站服务器可存储、产生及传送网页给客户端。客户端及网站服务器间的通讯可使用超文件传输通讯协议(HypertextTransferProtocol,HTTP)或其他通讯协议。网页通常为超文件标示语言(Hyper-textMarkupLanguage,HTML)文件，其中包含文字、相片、样式表单(stylesheet)及脚本指令(scripts)等。应用服务器可为一种软件框架(softwareframework)，用以提供建立网页应用程序的工具，以及执行网页应用程序的服务器环境。应用服务器可包含庞杂的服务层模型(servicelayermodel)。应用服务器可执行一组组件(components)，用以让软件开发者通过框架本身制定的应用程序编程接口(ApplicationProgrammingInterface,API)进行存取。对网页应用程序而言，其组件可在与其网页服务器相同的运算环境中执行，其主要任务是支持网页的架构。网页应用程序可实施如丛集(clustering)、故障转移(fail-over)及负载平衡(load-balancing)等服务，使得软件开发者可专注于撰写企业逻辑。电子邮件服务器可以中继方式使用简易邮件转递通讯协议(SimpleMailTransferProtocol,SMTP)从客户端接收邮件，以及使用第三代邮局通讯协议(PostOfficeProtocolversion3,POP3)或因特网信息存取通讯协议(InternetMessageAccessProtocol,IMAP)传送邮件给客户端。即时消息(InstantMessaging,IM)服务器可协助一个或多个参与者间的沟通，达到立即的信息接收确认或回复。网络连接存储(NetworkAttachedStorage,NAS)服务器可让不同种类客户端进行数据存取，包含一或多部以逻辑、冗余设置的存储装置，或安排为独立硬盘冗余数组(RedundantArrayofIndependentDisks,RAID)。监控摄影机150b及150c可为视讯摄影机，用以监视一区域，以及监控主机150a可包含记录装置，用以记录及压缩从监控摄影机150b及150c取得的影像，以及存储压缩视讯至可供搜寻的数据库。物联网装置160a至160c可为嵌入电子电路、软件、传感器及连接器等设备的实体装置，使得此装置可与其他连接装置交换数据。物联网装置允许装置进行感测，以及跨网络基础建设进行控制。客户系统190连接上因特网，可传送请求至受防护计算机资产140a至170c中中的任何一个提供服务。本专利技术并非只包含以上所列的装置，可以理解的是其他类型的服务器、物联网装置及计算机系统亦可受到防护。受防护计算机资产140a至170c中的每一个连接至集线器(hubs)130a至130d中的一个。每一集线器将多部以太网络装置连接在一起，使得这些设备运作起来如单一网络区段(networksegment)。集线器具有多个输入/输出埠，任何一个端口的输入讯号会输出到除了本身以外的每一其他埠。集线器130a至130d中的任何一个可替换为无线存取点(AccessPoint,AP)。无线存取点可使用Wi-Fi或其他标准，让受防护计算机资产140a至170c连接至有线网络。路由器120a至120b中的每一个在计算机网络间转递网络封包。网络封包通常从一个路由器通过互联网络转递至本文档来自技高网...

【技术保护点】
1.一种在基于云端环境中阻挡或侦测计算机攻击的方法，由设备的处理单元执行，包括：通过因特网从客户端系统接收第一IP(因特网协议，Internet Protocol)封包；从上述第一IP封包取得服务请求，其中上述服务请求向受防护计算机资产请求服务；判断上述服务请求是否包括计算机攻击；以及当上述服务请求包括上述计算机攻击时，执行攻击阻挡/侦测操作以阻挡上述受防护计算机资产受到损害。

【技术特征摘要】
2018.03.26 US 15/936,3381.一种在基于云端环境中阻挡或侦测计算机攻击的方法，由设备的处理单元执行，包括：通过因特网从客户端系统接收第一IP(因特网协议，InternetProtocol)封包；从上述第一IP封包取得服务请求，其中上述服务请求向受防护计算机资产请求服务；判断上述服务请求是否包括计算机攻击；以及当上述服务请求包括上述计算机攻击时，执行攻击阻挡/侦测操作以阻挡上述受防护计算机资产受到损害。2.如权利要求1所述的在基于云端环境中阻挡或侦测计算机攻击的方法，还包括：当上述服务请求不包括上述计算机攻击时，取得上述受防护计算机资产的IP地址；以及通过上述因特网产生并传送携带上述服务请求的第二IP封包至上述受防护计算机资产，其中上述第二IP封包的来源端地址是上述设备的IP地址，上述第二IP封包的目的端地址是上述受防护计算机资产的上述IP地址。3.如权利要求2所述的在基于云端环境中阻挡或侦测计算机攻击的方法，其中上述受防护计算机资产的上述IP地址由上述设备的存储装置中所读取。4.如权利要求2所述的在基于云端环境中阻挡或侦测计算机攻击的方法，其中当上述服务请求不包括上述计算机攻击时，取得上述受防护计算机资产的上述IP地址的步骤包括：根据上述第一IP封包的请求类型搜寻上述设备的存储装置的表格，以取得上述受防护计算机资产的上述IP地址，其中上述表格存储复数请求类型且每一请求类型映像至IP地址。5.如权利要求4所述的在基于云端环境中阻挡或侦测计算机攻击的方法，其中上述第一IP封包的上述请求类型由上述第一IP封包的目的端埠号、来源端埠号或来源端IP地址所指示。6.如权利要求2所述的在基于云端环境中阻挡或侦测计算机攻击的方法，其中上述第二IP封包的包头或负载包括上述客户端系统的上述IP地址。7.如权利要求6所述的在基于云端环境中阻挡或侦测计算机攻击的方法，包括：从上述受防护计算机资产接收携带响应的第三IP封包，其中上述第三IP封包的包头或负载包括上述客户端系统的上述IP地址；以及通过上述因特网产生并传送携带上述响应的第四IP封包至上述客户端系统，其中上述第四IP封包的来源端地址是上述设备的上述IP地址，且上述第四IP封包的目的端地址是上述客户端系统的上述IP地址。8.如权利要求7所述的在基于云端环境中阻挡或侦测计算机攻击的方法，其中上述第四IP封包通过从上述第三IP封包的上述包头或负载中移除上述客户端系统的上述IP地址，用上述设备的上述IP地址取代上述第三IP封包的来源端地址，以及用上述客户端系统的上述IP地址取代上述第三IP封包的目的端地址来产生。9.如权利要求2所述的在基于云端环境中阻挡或侦测计算机攻击的方法，其中判断上述服务请求是否包含上述计算机攻击的步骤包括：当在第一阶段过滤中从上述服务请求中发现白名单模板时，判定上述服务请求不包含上述计算机攻击；以及在完成上述第一阶段过滤之后执行第二阶段过滤。10.如权利要求9所述的在基于云端环境中阻挡或侦测计算机攻击的方法，其中判断上述服务请求是否包含上述计算机攻击的步骤包括：提供复数黑名单模板；以及当发现上述服务请求不包括上述白名单模板但在上述第一阶段过滤中包括至少一个黑名单模板时，判定上述服务请求包括计算机攻击。11.如权利要求10所述的在基于云端环境中阻挡或侦测计算机攻击的方法，其中判断上述服务请求是否包含上述计算机攻击的步骤包括：提供复数客制规则模板；以及当发现上述服务请求不包括上述白名单模板但在上述第一阶段过滤中包括至少一个客制规则模板时，判定上述服务请求包括计算机攻击。12.如权利要求11所述的在基于云端环境中阻挡或侦测计算机攻击的方法，其中执行上述第二阶段过滤的步骤还包括：提供复数基本规则模板；以及当发现上述服务请求包括至少一个基本规则模板时，执行上述攻击阻挡/侦测操作。13.如权利要求12所述的在基于云端环境中阻挡或侦测计算机攻击的方法，其中上述基本规则模板较上述客制规则模板涵盖更多类型的受防护计算机资产。14.如权利要求13所述的在基于云端环境中阻挡或侦测计算机攻击的方法，其中上述客制规则模板是专门为单一系统或漏洞而设计，而上述基本规则模板被设计用以阻挡常见攻击。15.如权利要求1所述的在基于云端环境中阻挡或侦测计算机攻击的方法，其中上述服务请求包括第7层(Layer7)信息。16.如权利要求1所述的在基于云端环境中阻挡或侦测计算机攻击的...

【专利技术属性】
技术研发人员：江格，
申请(专利权)人：江格，
类型：发明
国别省市：中国台湾,71