网络封包处理装置及网络封包处理方法与流程

1.本揭示内容涉及一种网络封包处理装置及方法，尤其涉及通过网络卡接收数据封包，并产生回应信息的技术。


背景技术：

2.随着科技的发展，网络通讯技术被广泛应用于人们的生活中，且人们对于网络通讯的需求亦日益增加。相对的，网络通讯的安全性也日益重要。如何有效防御网络攻击，乃成为现今网际网络技术的重要课题。


技术实现要素：

3.本揭示内容是关于一种网络封包处理装置，包含处理单元、作业系统及分析单元。处理单元电性连接于网络界面卡。作业系统用以配合处理单元，将控制网络界面卡处于混杂模式，以自网际网络中接收数据封包。分析单元用以由网络界面卡取得数据封包，且用以解析数据封包内的目的地址。分析单元还包含多个蜜罐单元，且存储有对应的多个蜜罐地址。在分析单元判断数据封包的目的地址对应于该些蜜罐地址的其中之一时，分析单元用以选择性地以该些蜜罐地址的其中之一或预设地址发送回应信息。
4.本揭示内容还关于一种网络封包处理方法，包含下列步骤：通过处理单元及作业系统，将网络界面卡设定于混杂模式，以自网际网络中接收数据封包；通过分析单元，解析数据封包的目的地址，其中分析单元包含多个蜜罐单元，且存储有对应于该些蜜罐单元的多个蜜罐地址；在数据封包的目的地址对应于该些蜜罐地址的其中之一时，将数据封包传送给对应于该些蜜罐地址的其中之一的蜜罐单元；以及选择性地以该些蜜罐地址的其中之一或预设地址发送一回应信息。
5.本揭示内容还关于一种网络封包处理装置，包含处理单元、作业系统及分析单元。处理单元电性连接于网络界面卡。作业系统用以配合处理单元，控制网络界面卡处于混杂模式，以自网际网络中接收数据封包。分析单元用以接收数据封包。分析单元还包含多个蜜罐单元，且用以存储有对应于该些蜜罐单元的多个蜜罐地址，在分析单元判断数据封包对应于该些蜜罐地址的其中之一时，分析单元根据该些蜜罐地址的其中之一的回应设定条件，判断是否以预设地址发送回应信息。
6.由于网络封包处理装置通过处理单元运行作业系统驱动网络界面卡，进而接收数据封包给分析单元，因此，分析单元无须针对每个蜜罐单元安装对应的作业系统，以有效改善网络封包处理装置的建构成本。
附图说明
7.图1为根据本揭示内容的部分实施例的网络封包处理装置的示意图；
8.图2为根据本揭示内容的部分实施例的网络封包处理方法的流程图。
9.附图标记说明
10.100:网络封包处理装置
11.110:处理单元
12.120:网络界面卡
13.130:作业系统
14.140:分析单元
15.141:分析模块
16.t:回应表
17.t1:第一蜜罐地址
18.t2:第二蜜罐地址
19.h1-hn:蜜罐单元
20.s201-s208:步骤
具体实施方式
21.以下将以附图公开本发明的多个实施方式，为明确说明起见，许多实务上的细节将在以下叙述中一并说明。然而，应了解到，这些实务上的细节不应用以限制本发明。也就是说，在本发明部分实施方式中，这些实务上的细节是非必要的。此外，为简化附图起见，一些现有惯用的结构与元件在附图中将以简单示意的方式示出的。
22.于本文中，当一元件被称为“连接”或“耦接”时，可指“电性连接”或“电性耦接”。“连接”或“耦接”亦可用以表示二或多个元件间相互搭配操作或互动。此外，虽然本文中使用“第一”、“第二”、
…
等用语描述不同元件，该用语仅是用以区别以相同技术用语描述的元件或操作。除非上下文清楚指明，否则该用语并非特别指称或暗示次序或顺位，亦非用以限定本发明。
23.图1所示为根据本揭示内容的部分实施例的网络封包处理装置100的示意图。网络封包处理装置100包含处理单元110、网络界面卡120、作业系统130及分析单元140。处理单元110电性连接于网络界面卡120，用以配合作业系统130，控制网络界面卡120以接收网际网络传来的数据，或者将数据通过网络界面卡120传送至网际网络。
24.处理单元110用以执行各种运算，且可以被实施为微控制单元(microcontroller)、微处理器(microprocessor)、数字信号处理器(digital signal processor)、特殊应用集成电路(application specific integrated circuit，asic)、中央处理器(central processing unit,cpu)、系统单芯片(system on chip,soc)或特定功能的处理芯片或控制器。
25.在部分实施例中，作业系统130系安装于网络封包处理装置100中的数据存储单元(图中未示)。数据存储单元电性连接于处理单元110，可以被实作为唯读存储器、快闪存储器、硬盘、随身盘、可由网络存取的数据库或本领域技术人员可轻易思及具有相同功能的存储媒体。
26.处理单元110用以执行作业系统130，以管理网络封包处理装置100中的硬体(处理器、存储器、网络卡等)、决定系统资源供需、控制输入与输出装置等基本事务。同时，作业系统130也可提供一个让使用者与网络封包处理装置100互动的操作界面。在一实施例中，作业系统130的架构可包含硬体抽象层、系统服务层、子系统层等。其中系统服务层提供所有
统一规格的函式呼叫库，子系统层则位于系统服务层之上，属于使用者模式，可以避免使用者程序执行非法行动。
27.在一实施例中，分析单元140可为一种预先建构的数据库的分析程序。在其他实施例中，分析单元140可为设置于网络封包处理装置100的固件、运算芯片或电路。分析单元140可存储于网络封包处理装置100中的数据存储单元，亦可为安装于作业系统130中的应用程序，或属于作业系统的一部分。在其他部分实施例中，作业系统130包含系统服务层，分析单元140设置/安装于系统服务层的上层。
28.如图1所示，分析单元140包含分析模块141及多个蜜罐单元h1～hn，且其内存储有回应表t(如：存储于存储器)。在一实施例中，分析模块141为分析单元140中一种预先建构的运作程序，用以对接收到的数据进行分析，例如：分析一个封包或讯框的内部数据与组成。回应表t内存储有对应于该些蜜罐单元h1～hn的多个蜜罐地址，该蜜罐单元h1～hn亦可由独立的应用程序来实现，并独立地连接于分析单元140。换言之，以应用程序来实现的蜜罐单元可由其他硬体设备驱动，而不限于网络封包处理装置100中的分析单元140。蜜罐地址可至少包含网际协定地址(ip地址)、媒体存取控制地址(mac地址)、完整网域名称(fully qualified domain name，fqdn)或传输端口代码等各类参数的至少一者。在部分实施例中，回应表t可包含第一蜜罐地址t1、第二蜜罐地址t2，第一蜜罐地址t1可为ip地址、第二蜜罐地址t2则可为mac地址。
29.本揭示内容的网络封包处理装置100系用以建构“诱捕系统”。蜜罐(honeypot)是一种特别被设计有安全漏洞，但被严密监控的网络主机，用以吸引入侵者(攻击者、骇客)攻击。蜜罐会在入侵者攻击的过程中，记录攻击行为和数据，并对入侵者进行追踪与取证。由于本领域人士能理解蜜罐的建构方式与运作原理，故在此不另赘述。
30.蜜罐可为实体装置，亦可为一种由软件产生的虚拟装置。在部分技术中，无论是实体装置或虚拟装置皆需要独立安装一个作业系统，以能使入侵者认为蜜罐为真实的攻击目标(如：终端装置、通讯装置、机械手臂等)。
31.在本实施例中，蜜罐单元h1～hn同样具有用以纪录、追踪攻击者的逻辑模块与功能模块，但并不需要安装独立的作业系统。处理单元110会统一通过作业系统130与网络界面卡120，为蜜罐单元h1～hn发送及接收数据封包，因此分析单元140无须针对每一个蜜罐单元h1～hn设置完整的作业系统。
32.在网络封包处理装置100通过网络界面卡120及作业系统130接收到网际网络传来的数据封包时，处理单元110将数据封包传给分析单元140。分析单元140由网络界面卡120取得数据封包，并通过分析模块141，判断数据封包是否对应于回应表t中的任一个蜜罐地址。具体而言，分析模块141先解析出数据封包内的一个目的地址，再判断该目的地址是否与任一个蜜罐地址相对应。在一实施例中，目的地址是指osi(open system interconnection，开放式系统连结)七层架构中第2层(数据链结层)及第3层(网络层)的来源地址，例如前述的ip地址与mac地址。
33.在分析模块141判断数据封包的目的地址对应于其中一个蜜罐地址时，若分析模块141进一步判断需要回应此数据封包，则分析模块141将选择性地根据此蜜罐地址，或者一个预设地址来产生回应信息。分析模块141将通过处理单元110及网络界面卡120，以该蜜罐地址或预设位置发送回应信息。据此，由于网络封包处理装置100通过处理单元110运行
作业系统驱动网络界面卡，进而接收数据封包给分析模块141，因此，分析模块141无须针对每个蜜罐单元h1～hn安装对应的作业系统，以有效改善网络封包处理装置100的建构成本。
34.图2所示为根据本揭示内容的部分实施例的网络封包处理方法的流程图。在步骤s201中，处理单元110通过作业系统130控制网络界面卡120，以将网络界面卡120设定为混杂模式(promiscuous mode)。在网络界面卡120处于混杂模式时，网络界面卡120会接收所有传输至网络封包处理装置100的数据封包，即便数据封包的目的地址并非网络封包处理装置100。
35.在步骤s202中，处理单元110通过网络界面卡120，将接收到的数据封包传给分析单元140。分析单元140判断数据封包是否对应于多个蜜罐地址的任一个、或者是否对应于多个蜜罐单元的任一个。
36.若数据封包并未对应于任一个蜜罐地址，在步骤s203中，分析单元140的分析模块141会判断是否需要回复。若分析模块141判断需要回复，则分析模块141将产生错误信息，处理单元110会将错误信息回传至网际网络。
37.在部分实施例中，在数据封包并未对应于任一个蜜罐地址、或者数据封包的格式有错误时，分析单元140可使用一组虚拟地址来发送错误信息。此一方式可通过作业系统中的实体驱动程序来回应，以确保资源利用效率。
38.在步骤s204中，若数据封包确实对应到其中一个蜜罐地址，则分析模块141将数据封包传送至对应于该蜜罐地址的蜜罐单元。举例而言，若数据封包内的目标地址为“add1a”，对应于回应表t中蜜罐单元h1的第一蜜罐地址t1，则分析模块141将数据封包传送至蜜罐单元h1。在步骤s205中，接收到数据封包的蜜罐单元h1会根据数据封包的类型和/或内容，产生对应的回应信息，并将回应信息回传给分析模块141。
39.在步骤s206中，分析模块141判断是否根据预设地址来发送回应信息，或者判断蜜罐单元h1是否有指定回应信息时所使用的地址。“预设地址”用以模拟防火墙，在网络封包处理装置100以预设地址回传回应信息的情况下，入侵者接收到回应信息时，将会认为蜜罐单元处于一个防火墙后，因此信息是以防火墙的地址来回应。
40.若分析模块141判断要以预设地址来发送回应信息，或者蜜罐单元并未指定回应信息要使用的地址，在步骤s207中，分析模块会通过处理单元110、作业系统130及网络界面卡120，以预设地址发送回应信息。
41.若分析模块141判断不需根据预设地址来发送回应信息，或者蜜罐单元已指定要以特定地址(即，对应的蜜罐地址)传送回应信息，则在步骤s208中，分析模块会通过处理单元110、作业系统130及网络界面卡120，以回应表中对应的蜜罐地址发送回应信息。换言之，分析模块141选择性地以蜜罐地址或预设地址发送回应信息。
42.在一实施例中，回应表t内还可存储多笔回应设定条件，每一个回应设定条件分别对应至一个蜜罐单元h1～hn。每一个回应设定条件设定了对应的蜜罐单元h1～hn接收到数据封包时，所应回复的方式。换言之，分析模块141可根据回应表t内的回应设定条件，确认前述步骤s206的判断结果。回应设定条件根据每个蜜罐单元h1～hn所模拟的装置类型而产生，例如：若蜜罐单元h1～hn模拟一个生产线上的机器手臂，且机器手臂的管理网络通常有防火墙保护，则该蜜罐单元h1～hn的回应设定条件将会为“当蜜罐单元h1～hn模拟防火墙后的机器手臂时，以预设地址回应”，以确保回应信息能使入侵者误以为成功攻击了一个防
火墙后的装置。
43.在一实施例中，本揭示内容的网络封包处理装置100将分析单元140安装于作业系统，且以软件模拟方式设置蜜罐单元。据此，在虚拟的蜜罐单元需回应信息时，可统一通过实体的驱动程序，由作业系统130进行回应，具有较佳的资源利用率。
44.前述各实施例中的各项元件、方法步骤或技术特征，可相互结合，而不以本揭示内容中的文字描述顺序或附图呈现顺序为限。
45.虽然本揭示内容已以实施方式公开如上，然其并非用以限定本揭示内容，任何本领域技术人员，在不脱离本揭示内容的精神和范围内，当可作各种更改与润饰，因此本揭示内容的保护范围当视权利要求所界定的为准。