用以认定网点的发生事件的方法

摘要

本发明系提供一种用以认定网点的发生事件的方法，包括下列步骤：判断网点的IP地址是否在一IP管理区段内；当网点的IP地址不在IP管理区段内，则认定发生事件为一区段外的非法事件；当网点的IP地址在IP管理区段内，则判断网点的媒体存取控制地址是否在一允许清单的表列；当网点的媒体存取控制地址不在允许清单的表列，则认定发生事件为非法事件；当网点的媒体存取控制地址在允许清单的表列，则取出与媒体存取控制地址对应的允许清单的表列；自允许清单的表列逐一取出允许清单并与网点的管理属性比对，而认定网点的发生事件。

说明书

技术领域

本发明系关于一种用以认定网点的发生事件的方法，特别是关于一种根据允许清单判断 网点的发生事件的方法。

背景技术

现今网络受到普遍使用，增进了信息交流的便利性。然而，藉由网络交流信息也带了许 多风险。例如，网络的电子商务中的个人金融认证数据遭盗取，或是计算机系统被网络黑客 入侵，进一步导致数据外流、计算机中毒、重要档案受损、甚至计算机系统故障，而影响到 个人或企业的权益。

接收网络封包有其风险，特别是来自一危险网点的封包，例如外部计算机经由网络所传 送来封包，而以各种方式危害他人计算机，包括窃听（wiretapping）、窜改（tampering）、恶 意攻击（malicious attack）、阻断服务（denial of service）、及网络钓鱼（phishing）等，使得网 络使用者防不慎防。诸如此类的网络危害的防范实为相当重要，如何拟定网络信息安全的策 略方法并予以执行，实为一项重要的课题。

网络风险与封包来源的网点有关，若能对于网点作出准确的判断评估将有助于网络安全 的提升。

发明内容

本发明的主要目的在于提供一种用以认定网点的发生事件的方法，用于对于封包来源的 网点的发生事件作出判断评估，以改善习知技术的问题。

本发明为解决习知技术的问题所采用的技术手段为一种用以认定网点的发生事件的方 法，包含下列步骤：(a)判断网点的IP地址是否在一IP管理区段内；(b)当网点的IP地址不在 IP管理区段内，则认定发生事件为一区段外的非法事件；(c)当网点的IP地址在IP管理区段 内，则判断网点的媒体存取控制地址是否在一允许清单的表列；(d)当网点的媒体存取控制地 址不在允许清单的表列，则认定发生事件为非法事件；(e)当网点的媒体存取控制地址在允许 清单的表列，则取出与媒体存取控制地址对应的允许清单的表列；(f)自允许清单的表列逐一 取出允许清单并与网点的管理属性比对，而认定网点的发生事件。

在本发明的一实施例中，网点的管理属性为选自以：单一媒体存取控制地址、一媒体存 取控制地址与一动态IP地址、一媒体存取控制地址与一固定IP地址、单一IP地址搭配多个 媒体存取控制地址、以及单一媒体存取控制地址搭配多个IP地址所构成的群组中的一个或多 个。

在本发明的一实施例中，在步骤(d)中，判断网点的IP地址是否于允许清单的表列，当网 点的IP地址在允许清单的表列，则认定发生事件为一外部抢IP的非法事件。

在本发明的一实施例中，在步骤(d)中，当网点的IP地址不在允许清单的表列，则判断动 态IP功能是否启用，当动态IP功能没有启用，则认定发生事件为一外部连结的非法事件。

在本发明的一实施例中，在步骤(d)中，当动态IP功能有启用，则判断网点的IP地址是 否为一动态IP地址，当网点的IP地址不为动态IP地址，则认定发生事件为一外部连结的非 法事件。

在本发明的一实施例中，在步骤(d)中，当网点的IP地址为一动态IP地址，则判断网点 的IP地址是否为一非法动态IP服务器所派发的IP地址，若是则认定发生事件为一非法动态 IP服务器IP的非法事件，若不是则认定发生事件为一动态IP服务器外部连结的非法事件。

在本发明的一实施例中，在步骤(f)中，判断网点的管理属性是否为单一媒体存取控制地 址，当网点的管理属性为单一媒体存取控制地址时则执行一单一媒体存取控制地址判断步骤， 当网点的管理属性不为单一媒体存取控制地址时，则执行一非单一媒体存取控制地址判断步 骤。

在本发明的一实施例中，单一媒体存取控制地址判断步骤为判断网点的IP地址是否在允 许清单的表列中，若网点的IP地址在允许清单的表列中，则认定发生事件为一内部抢IP的 非法事件，若网点的IP地址不在允许清单的表列中，则认定发生事件为一合法事件。

在本发明的一实施例中，非单一媒体存取控制地址判断步骤包括，当网点的管理属性为 包括具有动态IP的媒体存取控制地址时，若动态IP功能有启用且网点的IP类型不为动态IP， 则认定发生事件为一动态IP改固定IP的非法事件，若动态IP功能有启用且网点的IP类型为 动态IP且属于非法动态IP服务器所派发的IP地址，则认定发生事件为一非法动态IP服务器 的非法事件，若动态IP功能有启用且网点的IP类型为属于动态IP但不属于非法动态IP服务 器所派发的IP地址，则认定发生事件为一合法事件。

在本发明的一实施例中，非单一媒体存取控制地址判断步骤包括，当网点的管理属性为 包括具有固定IP的媒体存取控制地址时，若动态IP功能有启用且IP类型为动态IP，则认定 发生事件为一固定IP改动态IP的非法事件，否则判断网点的IP地址是否相符于允许清单， 若相符则进行下一笔允许清单的判断，若不相符则判断网点的IP是否在允许清单的表列，若 是则认定发生事件为一内部抢IP的非法事件，若不是则认定发生事件为一内部改IP的非法 事件。

本发明具有以下有益技术效果：

经由本发明所采用的技术手段，藉由允许清单比对网点的管理属性，而可认定此网点的 发生事件，藉此确保信息交流的机密性、完整性、及可用性，并保护网络系统，进一步提升 网络使用的安全性。本发明所提供方法严谨而有效，且相当适合于应用于个人以及企业所使 用的网络系统。

附图说明

图1系显示本发明的一实施例的用以认定网点的发生事件的方法的流程图。

图2系显示本发明的一实施例的用以认定网点的发生事件的方法所应用的网络监控系统 的示意图。

图3系显示本发明的一实施例的一非法事件类型判断步骤的流程图。

图4系显示本发明的一实施例的一媒体存取控制地址判断步骤的流程图。

图5系显示本发明的一实施例的单一媒体存取控制地址判断步骤的流程图。

图6系显示本发明的一实施例的非单一媒体存取控制地址判断步骤的流程图。

主要组件符号说明

100  网络监控系统

1    决策装置

2    执行装置

N    网络

P    网点

S    网段

具体实施方式

本发明所采用的具体实施例，将藉由以下的实施例及附呈图式作进一步的说明。

本发明提供一种用以认定网点的发生事件的方法，为在一网段中根据ARP（Address Resolution Protocol）封包而认定其对应的网点的发生事件。以下请配合参阅图1及图2对本 发明的一实施例的用以认定网点的发生事件的方法作一说明如后。

参阅图1所示，其系显示本发明的一实施例的用以认定网点的发生事件的方法的流程图。 本发明的一实施例的用以认定网点的发生事件的方法主要包含下列步骤：判断网点的IP （Internet Protocol）地址是否在一IP管理区段内（步骤S100）；当网点的IP地址不在IP管 理区段内，则认定发生事件为一区段外的非法事件（步骤S200）；当网点的IP地址在IP管理 区段内，则判断网点的媒体存取控制（Media Access Control,MAC）地址是否在一允许清单 的表列（步骤S300）；当网点的媒体存取控制地址不在允许清单的表列，则认定发生事件为 非法事件（步骤S400）；当网点的媒体存取控制地址在允许清单的表列，则取出与媒体存取 控制地址对应的允许清单的表列（步骤S500）；自允许清单的表列逐一取出允许清单并与网 点的管理属性比对，而认定网点的发生事件（步骤S600）。

在本实施例中，系应用一网络监控系统100以实施本发明的用以认定网点的发生事件的 方法，如图2所示。网络监控系统100包括一决策装置1及一执行装置2。决策装置1及执 行装置2为分别为一计算机或其它类似装置。在实际应用时，单一个决策装置1藉由一网络 N连接于多个执行装置2，而每个执行装置2分别通过网络N于一网段S中连接多个网点P。 网点P可为计算机、智能型手机、个人数字助理（PDA）等任何藉由网络卡、无线网络卡、 或无线网络基地台连接至网络N的装置。

详细来说，在步骤S100前，先进行收受网段S中的网点P的ARP封包的封包收取步骤 （步骤S10）。具体而言，在封包收取步骤中，通过网络N，执行装置2于一网段S中藉由撷 取每个网点P所发出的ARP封包来监测多个网点P。

然后进行判断网点P的步骤。具体而言，执行装置2将每个接受的ARP封包所对应的网 点P的管理属性与决策装置1中所储存的一允许数据作比对，而认定网点P的发生事件，其 中网点P的管理属性为选自以：单一媒体存取控制地址、一媒体存取控制地址与一动态IP地 址、一媒体存取控制地址与一固定IP地址、单一IP地址搭配多个媒体存取控制地址、以及 单一媒体存取控制地址搭配多个IP地址所构成的群组中的一个或多个。而允许数据包括一IP 管理区段以及包括数个允许清单的允许清单的表列。

首先，执行装置2判断网点P的IP地址是否在该允许数据的IP管理区段内（步骤S100）。 当网点P的IP地址不在IP管理区段内，则执行装置2认定发生事件为一区段外的非法事件 （步骤S200）。而当网点P的IP地址在IP管理区段内，则执行装置2判断网点P的媒体存 取控制地址是否在该允许清单的表列（步骤S300）。

当网点P的媒体存取控制地址不在允许清单的表列，则执行装置2认定发生事件为非法 事件（步骤S400）。而当网点P的媒体存取控制地址在允许清单的表列，则执行装置2取出 与网点P的媒体存取控制地址对应的允许清单的表列（步骤S500），并自允许清单的表列逐 一取出允许清单并与网点P的管理属性比对，而认定网点P的发生事件（步骤S600）。

其中，在步骤S200、步骤S400、及步骤S600之后还包括执行装置2将发生事件回传至 决策装置1而予以储存的步骤（步骤S700）。

在步骤S400中，还可进一步判断非法事件的类型，如图3所示。首先执行装置2再进一 步判断网点P的IP地址是否于允许清单的表列（步骤S410），当网点P的IP地址在允许清 单的表列，则执行装置2认定发生事件为一外部抢IP的非法事件（步骤S420）。当网点P的 IP地址不在允许清单的表列，则执行装置2判断决策装置1的动态IP功能是否启用（步骤 S430）。当决策装置1的动态IP功能没有启用，则执行装置2认定发生事件为一外部连结的 非法事件（步骤S440）。当决策装置1的动态IP功能有启用，则执行装置2判断网点P的IP 地址是否为一动态IP地址（步骤S450）。当网点P的IP地址不为动态IP地址，则执行装置 2认定发生事件为一外部连结的非法事件（步骤S460）。当网点P的IP地址为一动态IP地址， 则执行装置2判断网点P的IP地址是否为一非法动态IP服务器所派发的IP地址（步骤S470）， 若是则执行装置2认定发生事件为一非法动态IP服务器IP的非法事件（步骤S480），若不是 则执行装置2认定发生事件为一动态IP服务器外部连结的非法事件（步骤S490）。其中步骤 S420、步骤S440、步骤S460、步骤S480、及步骤S490后执行装置2还进一步可将发生事件 回传至决策装置1而予以储存（步骤S700）。

而在步骤S600中，首先，执行装置2判断网点P的管理属性是否为单一媒体存取控制地 址（步骤S610），当网点P的管理属性为单一媒体存取控制地址时，则执行装置2执行一单 一媒体存取控制地址判断步骤（步骤S620），当网点P的管理属性不为单一媒体存取控制地 址时，则执行装置2执行一非单一媒体存取控制地址判断步骤（步骤S630），如图4所示。

单一媒体存取控制地址判断步骤的详细流程如图5所示。首先，执行装置2判断网点P 的IP地址是否在允许清单的表列中（步骤S621）。若网点P的IP地址在允许清单的表列中， 则执行装置2认定发生事件为一内部抢IP的非法事件（步骤S622）。若网点的IP地址不在允 许清单的表列中，则执行装置2认定发生事件为一合法事件（步骤S623）。其中步骤S622、 步骤S623后执行装置2还进一步可将发生事件回传至决策装置1而予以储存（步骤S700）。

如图6所示，非单一媒体存取控制地址判断步骤包括执行装置2判断网点P的管理属性 是否为包括具有动态IP的媒体存取控制地址（步骤S631）。当网点P的管理属性包括具有动 态IP的媒体存取控制地址时，则执行装置2判断决策装置1的动态IP功能是否有启用（步 骤S632）。若决策装置1的动态IP功能没有启用，则执行装置2进行下一笔允许清单的判断 （步骤S645）。若决策装置1的动态IP功能有启用，则执行装置2判断网点P的管理属性是 否为动态IP（步骤S633）。若网点P的IP类型不为动态IP，则执行装置2认定发生事件为一 动态IP改固定IP的非法事件（步骤S634）。若网点P的IP类型为动态IP，则执行装置判断 网点P的IP地址是否为非法动态IP服务器所派发的IP地址（步骤S635）。若网点P的IP地 址为非法动态IP服务器所派发的IP地址，则执行装置2认定发生事件为一非法动态IP服务 器的非法事件（步骤S636）。若网点P的IP地址不为非法动态IP服务器所派发的IP地址， 则执行装置2认定发生事件为一合法事件（步骤S637）。其中步骤S634、步骤S636、步骤 S637后执行装置2还进一步可将发生事件回传至决策装置1而予以储存（步骤S700）。

非单一媒体存取控制地址判断步骤还包括在步骤S631后，当网点P的管理属性为不具有 动态IP的媒体存取控制地址时，执行装置2判断网点P的管理属性是否为具有固定IP的媒 体存取控制地址（步骤S640）。若网点P的管理属性不为具有固定IP的媒体存取控制地址， 则执行装置2进行下一笔允许清单的判断（步骤S645）。若网点P的管理属性为具有固定IP 的媒体存取控制地址时，则执行装置2判断决策装置1的动态IP功能是否有启用（步骤S641）。 若决策装置1的动态IP功能有启用，则执行装置2判断网点P的管理属性的IP类型是否为 动态IP（步骤S642）。若网点P的管理属性的IP类型为动态IP，则执行装置2认定发生事件 为一固定IP改动态IP的非法事件（步骤S643）。若步骤S641中执行装置2判断决策装置1 的动态IP功能没有启用，或是步骤S642中执行装置2判断网点P的管理属性的IP类型不为 动态IP，则执行装置2判断网点P的IP地址是否相符于允许清单（步骤S644）。若相符则执 行装置2进行下一笔允许清单的判断（步骤S645）。若不相符则执行装置2判断网点P的IP 是否在允许清单的表列（步骤S646），若是则执行装置2认定发生事件为一内部抢IP的非法 事件（步骤S647），若不是则认定发生事件为一内部改IP的非法事件（步骤S648）。其中步 骤S643、步骤S647、及步骤S648后执行装置2还进一步可将发生事件回传至决策装置1而 予以储存（步骤S700）。

以上的叙述仅为本发明的较佳实施例说明，凡精于此项技艺者当可依据上述的说明而作 其它种种的改良，然而这些改变仍属于本发明的发明精神及所界定的专利范围中。