用于应用程序层的防火墙装置的保护方法与其电脑系统

摘要

本发明提供了一种保护方法，用以解除一恶意软件攻击设置于一应用程序层的一防火墙装置，所述保护方法包含有根据至少一输入数据，于至少一工作时间点以及于多个会话通道中进行一微批次操作，以产生多个会话专用防火墙模式；以及于所述应用程序层组合所述多个会话专用防火墙模式来产生一应用程序专用防火墙模式，以配置相对于所述应用程序专用防火墙模式的一治愈数据至所述防火墙装置，进而解除所述恶意软件的攻击；其中，所述微批次操作是于每一会话通道中产生彼此独立的多个子集专用防火墙模式，进而产生每一会话通道所对应的一会话专用防火墙模式。

说明书

技术领域

本发明涉及一种用于应用程序层的防火墙装置的保护方法与其电脑系统，尤其涉及一种同时参考多个会话通道的传输数据，进而产生用于应用程序层的防火墙装置的保护方法与其电脑系统。

背景技术

随着因特网的快速发展，一般人依赖网络信息的程度越来越普遍，随之而来的恶意软件如计算机病毒、间谍软件、广告软件或垃圾邮件等，皆可大开门户地通过因特网的路径，入侵或攻击一般人所使用的电脑系统或行动装置，或像是其它以连接网络并执行应用程序APP的电子装置(如智能型手表)，病毒软件恶意破坏上述电子装置的软、硬件功能，更甚者窃取其中的重要信息。

为了建立电脑系统或行动装置的保护措施，可于应用程序层安装防火墙装置或相关的防毒软件来辨识与隔离任何潜在的恶意软件。然而，由于恶意软件所对应的程序代码必然与时俱变，使得应用程序层所安装的防火墙装置或防毒软件必须定期更新其中的病毒辨识数据库，再加上现有技术中防火墙装置仅于开放式系统互联通讯参考模型(Open System Interconnection Reference Model，简称OSI模型)的会话层(Session layer)内单一会话通道进行侦查，而进阶的病毒或恶意软件可巧妙地对传输封包进行拆解或切分为多个子封包，并于会话层中多个会话通道对应进行不同子封包间的传输来避免被侦查或过滤，使防火墙装置或相关的防毒软件难以精准地逐一辨认，而无法对全部会话通道进行有效的检验或隔离操作，致使通过应用网络层接收网络数据的电子装置仍有中毒的风险。

因此，提供另一种用于防火墙装置的保护方法与其电脑系统，有效地于应用程序层来进行恶意软件的防御与保护，已成为本领域的重要课题。

发明内容

因此，本发明的主要目的即在于提供一种用于应用程序层的防火墙装置的保护方法与其电脑系统，来避免或解除相关恶意软件的攻击。

本发明揭露一种保护方法，用以解除一恶意软件攻击设置于一应用程序层的一防火墙装置，所述保护方法包含有根据至少一输入数据，于至少一工作时间点以及于多个会话通道中进行一微批次(Microbatching)操作，以产生所述多个会话通道的多个会话专用防火墙模式(Session-specific firewall pattern)；以及于所述应用程序层组合所述多个会话专用防火墙模式来产生一应用程序专用防火墙模式(Application-specific firewall pattern)，以配置相对于所述应用程序专用防火墙模式的一治愈数据至所述防火墙装置，进而解除所述恶意软件的攻击；其中，所述微批次操作是于每一会话通道中进行一模式重组操作，以产生彼此独立的多个子集专用防火墙模式(Subset-specific firewall pattern)，并根据所述多个子集专用防火墙模式来产生每一会话通道所对应的一会话专用防火墙模式。

本发明另揭露一种电脑系统，耦接设置于一应用程序层的一防火墙装置，用来解除一恶意软件于所述防火墙装置的攻击，所述电脑系统包含一中央处理器；以及一储存装置，耦接于所述中央处理器，并储存有一程序代码，所述程序代码用来进行一保护方法，所述保护方法包含根据至少一输入数据，于至少一工作时间点以及于多个会话通道中进行一微批次(Microbatching)操作，以产生所述多个会话通道的多个会话专用防火墙模式(Session specific firewall pattern)；以及于所述应用程序层组合所述多个会话专用防火墙模式来产生一应用程序专用防火墙模式(Application specific firewall pattern)，以配置相对于所述应用程序专用防火墙模式的一治愈数据至所述防火墙装置，进而解除所述恶意软件的攻击；其中，所述微批次操作是于每一会话通道中进行一模式重组操作，以产生彼此独立的多个子集专用防火墙模式(Subset specific firewall pattern)，并根据所述多个子集专用防火墙模式来产生每一会话通道所对应的一会话专用防火墙模式。

附图说明

图1为本发明实施例一电脑系统耦接一防火墙装置的示意图。

图2为本发明实施例一保护流程的流程图。

图3为本发明实施例一会话通道模块的示意图。

图4为本发明实施例一微批次流程的流程图。

附图标号说明

10 电脑系统

100 中央处理器

102 储存装置

12 防火墙装置

20 保护流程

200、202、204、206、400、402、404、406、408 步骤

30 会话通道模块

300 接收模块

302 储存模块

304 模式重组模块

306 输出模块

40 微批次流程

NW 因特网

LM_1～LM_N 结构预测机器学习模型

SP_1～SP_N 子集专用防火墙模式

F_1～F_N 子集特征数据

具体实施方式

在说明书及后续的申请专利范围当中使用了某些词汇来指称特定的组件。所属领域中具有通常知识者应可理解，制造商可能会用不同的名词来称呼同样的组件。本说明书及后续的申请专利范围并不以名称的差异来作为区别组件的方式，而是以组件在功能上的差异来作为区别的基准。在通篇说明书及后续的请求项当中所提及的“包含”为一开放式的用语，故应解释成“包含但不限定于”。此外，“耦接”一词在此包含任何直接及间接的电气连接手段。因此，若文中描述一第一装置耦接于一第二装置，则 代表所述第一装置可直接连接于所述第二装置，或通过其它装置或连接手段间接地连接至所述第二装置。

请参考图1，图1为本发明实施例的一电脑系统10耦接一防火墙装置12的示意图。本实施例的电脑系统10基本架构包含如主机板、处理器、内存、硬盘、南桥模块、北桥模块等，其应是本领域所熟知，为求简洁，图1仅绘示出电脑系统10的一中央处理器100与一储存装置102。此外，本实施例中的中央处理器100可以为一处理器单元或者为一绘图处理单元，亦可同时整合多个处理器单元与绘图处理单元的处理模块，来对应提供相关的运算与控制功能。储存装置102可以是只读存储器、闪存、软盘、硬盘、光盘、随身碟、磁带、可由网络存取的数据库，或是熟习本领域的通常知识者所熟知的任何其它储存媒体等，用以储存一程序代码，中央处理器100可执行程序代码来进行防火墙装置12所适用的一保护方法。至于防火墙装置12是设置于OSI模型最上层的应用程序层，且用来连接电脑系统10与一因特网NW的桥梁，同时，防火墙装置12还设置有适当的硬件、软件或韧体来配合保护方法的执行，以解除或避免防火墙装置12遭受经由因特网NW的一恶意软件(例如计算机病毒、间谍软件、广告软件或垃圾邮件等)的攻击或入侵。

当然，本实施例中仅绘出单一电脑系统10耦接单一防火墙装置12的态样，于其它实施例中，亦可为多个电脑系统耦接单一防火墙装置或多个电脑系统耦接多个防火墙装置的情形，即电脑系统10与防火墙装置12所对应的数量非用以限缩本实施例的范畴。同时，本实施例中电脑系统10与防火墙装置12间的传输方式可为一有线传输或一无线传输，至于保护方法所对应的程序代码亦可适性地储存于防火墙装置12的一储存单元中，使得防火墙装置12可独立进行保护方法者，亦属于本发明的范畴之一。

于本实施例中，恶意软件源自于一可运算装置、一远程储存装置、一应用程序或一网络数据，且经由因特网NW所传输/夹带的电子文件、安装一特定程序的操作或开启一网页数据的浏览操作。据此，本实施例中的电脑系统10与防火墙装置12皆安装有相关的防毒软件与程序，且对应有一病毒数据库来包含多个已辨识数据，并用来初步辨识所述些恶意软件的全部或部分特征模式数据。

相较于现有技术仅检查或过滤会话层的单一会话通道的传输封包，而无法同时比对、检验与整合全部会话通道中传输封包的操作方式，本实施例所提供的保护方法是 于OSI模型中会话层的多个会话通道同时进行检查与过滤的操作，同时，本实施例还整合一结构预测机器学习模型的预测、学习或训练操作，且于每一会话通道配置有结构预测机器学习模型，用来根据所有传输于会话通道的传输封包来进行一微批次操作，以自动预测、学习或训练所有潜在恶意软件的全部或部分特征模式数据，进而将预测、学习或训练后的结果传输至OSI模型最上层的应用程序层来进行分析、合并与整合，同时将处理后结果所对应的保护或防卫机制/操作配置于耦接至应用程序层的防火墙装置12，用以进行潜在恶意软件的保护或过滤操作。至于本实施例中的结构预测机器学习模型可为一软件或硬件实施态样，且整合于电脑系统10或防火墙装置12内来配合保护方法的进行，非用以限制本发明的范畴。

当然，为了配合多个会话通道的传输数据将同时进行预测、学习或训练等操作，本实施例中的电脑系统10可视为多个计算机模块的组成/集合体，即每一计算机模块皆包含有一中央处理单元(或绘图处理单元)以及一储存单元，且独立执行用于每一会话通道的微批次操作，而多个计算机模块间为相互耦接(即通过一有线传输或一无线传输)，并共享所有预测、学习或训练的结果。至于保护方法的详细操作步骤，将于以下段落进行说明。

进一步，本实施例防火墙装置12所适用的保护方法可归纳为一保护流程20，且被编译为程序代码而储存于储存装置102(或防火墙装置12的储存单元)中，如图2所示，保护流程20包含以下步骤。

步骤200：开始。

步骤202：根据至少一输入数据，于至少一工作时间点以及于多个会话通道中进行微批次操作，以产生多个会话通道的多个会话专用防火墙模式。

步骤204：于应用程序层组合多个会话专用防火墙模式来产生一应用程序专用防火墙模式，以配置相对于应用程序专用防火墙模式的一治愈数据至防火墙装置12，进而解除恶意软件的攻击。

步骤206：结束。

于本实施例中，若使用者通过电脑系统10与防火墙装置12连接至因特网NW时，将对应启动保护流程20(即步骤200)，且允许电脑系统10接收来自因特网NW的至少一输入数据。当然，本实施例中的电脑系统10与防火墙装置12已安装防毒软件与相关程序，且可定期进行更新操作来下载最新的病毒辨识数据，以维持电脑系统 10与防火墙装置12的病毒数据库为最新版本的病毒辨识数据，且于电脑系统10(或防火墙装置12)内储存最新版本病毒辨识数据的预储存模式数据来供后续操作。

于步骤202中，中央处理器100将于一第一工作时间点根据已接收的输入数据，同时于OSI模型中会话层的多个会话通道进行各自对应的微批次操作，以产生多个会话通道的多个会话专用防火墙模式。较佳地，本实施例配置有多个中央处理单元(或绘图处理单元)来同时执行多个会话通道专属的微批次操作，以快速且精准的预测方式来产生彼此为独立的多个会话专用防火墙模式，进而提高保护流程20的执行效率与更新/学习速度。归因于OSI模型的设计理念，本实施例的输入数据可视为因特网NW与电脑系统10间多个应用程序间的对话传输数据，而其传输路径是通过两者间虚拟建立的多个会话通道，对应开启与关闭因特网NW与电脑系统10间的传输或分配操作，同时传输对话传输数据所包含的多个封包数据，至于其它OSI模型的多个层间所用的传输机制或详细步骤，非本发明的主要精神，在此不赘述。

为了理解方便，以下实施例以一会话通道模块来说明OSI模型中每一会话通道是如何进行微批次操作的运作。请参考图3，图3为本发明实施例的一会话通道模块30的示意图。如图3所示，本实施例的会话通道模块30包含有一接收模块300、一储存模块302、一模式重组模块304、结构预测机器学习模型(Structured prediction machine learning models)LM_1～LM_N以及一输出模块306。于本实施例中，接收模块300用来接收因特网NW的输入数据，且对应撷取输入数据中至少一输入模式数据。预储存模块302用来预先储存预储存模式数据，即可用来辨识恶意软件所对应的病毒辨识数据且已更新为最新版本的数据。模式重组模块304耦接有接收模块300、储存模块302与结构预测机器学习模型LM_1～LM_N，且对应接收输入模式数据以及预储存模式数据来进行一模式重组操作，即模式重组模块304将重新组合输入模式数据与预储存模式数据来产生一更新模式数据，而更新模式数据是彼此独立的子集特征数据(Subset-specific firewall pattern)F_1～F_N。举例来说，每一子集特征数据代表一种分类群聚数据，好比是个人的健康信息、兴趣喜好信息、家庭背景信息、或工作职涯规划信息等，且彼此间包含有相互独立、不相关性(或无交集)的基本数据，据此，完成模式重组操作后，模式重组模块304将对应输出已分类的子集特征数据F_1～F_N至结构预测机器学习模型LM_1～LM_N。

进一步，会话通道模块30中每一结构预测机器学习模型系是参考已接收的分类后子集特征数据，来进行其对应的自动预测、学习或训练操作，例如将子集特征数据套入一合并特征方程式(Joint feature function)的共同学习/训练操作，用以预测所有潜在且未知的恶意软件所对应的全部或部分特征模式数据，进而产生子集专用防火墙模式SP_1～SP_N且传输至输出模块306，至于如何实施本实施例中合并特征方程式(Joint feature function)的共同学习/训练操作，好比可通过转导机器学习与引导机器学习等的操作，而非用以限制本发明的范畴之一。

当然，于另一实施例中，会话通道模块30中每一结构预测机器学习模型还可对应取得其它结构预测机器学习模型所产生的多个子集专用防火墙模式，以协助其于另一工作时间点(例如一第二工作时间点)来产生另一子集专用防火墙模式。换言之，不同结构预测机器学习模型间还共享预测、学习或训练操作后取得的子集专用防火墙模式，并与自身所产生的子集专用防火墙模式进行比较、分析或整合，以提高自身的共同学习/训练操作的执行效率与精准度，进而于下一个或之后多个工作时间点来对应产生更为精准(或预测机率更高)的子集专用防火墙模式，且对应传输至输出模块306，此亦属于本发明的范畴之一。

再者，本实施例中的输出模块306耦接且接收结构预测机器学习模型LM_1～LM_N所输出的子集专用防火墙模式SP_1～SP_N，以整合且比较子集专用防火墙模式SP_1～SP_N的相关联性，进而产生相对于每一会话通道的会话专用防火墙模式。详细来说，本实施例中的输出模块306将根据子集专用防火墙模式SP_1～SP_N的相似度、交集程度或差异性，撷取子集专用防火墙模式SP_1～SP_N中一或多者的部分或全部模式，来产生相对于每一会话通道的会话专用防火墙模式，进而取得多个会话通道所对应的多个会话专用防火墙模式，同时还将多个会话专用防火墙模式传输至应用程序层来做后续操作。

同样地，于另一实施例中，会话通道模块30中每一会话通道还可接收其它会话通道所对应的会话专用防火墙模式，以协助其于另一工作时间点来产生另一会话专用防火墙模式。换言的，不同会话通道所对应的计算机模块间还共享微批次操作后取得的会话专用防火墙模式，并与自身所产生的会话专用防火墙模式进行比较、分析或整合，以提高自身的共同学习/训练操作的执行效率与精准度，进而于下一个或之后的 多个工作时间点对应产生更为精准(或预测机率更高)的会话专用防火墙模式，同时提供至应用程序层来进行后续操作，此亦属于本发明的范畴之一。

当然，每一会话通道所进行的微批次操作亦可归纳为一微批次流程40，且被编译为程序代码而储存于储存装置102(或防火墙装置12的储存单元)中，如图4所示，微批次流程40包含以下步骤。

步骤400：开始。

步骤402：模式重组模块304根据输入数据以及预储存模式数据，进行模式重组操作来产生子集特征数据F_1～F_N。

步骤404：结构预测机器学习模型LM_1～LM_N根据子集特征数据F_1～F_N，产生子集专用防火墙模式SP_1～SP_N。

步骤406：输出模块306比较子集专用防火墙模式SP_1～SP_N的相关连性，以产生相对于每一会话通道的会话专用防火墙模式。

步骤408：结束。

当然，微批次流程40的相关步骤与操作方式可参考图3的会话通道模块30与其相关段落获得了解，在此不赘述。据此，本实施例是根据每一会话通道所产生各自专属的会话专用防火墙模式，对应取得多个会话通道所对应的多个会话专用防火墙模式，并由步骤204进行后续的操作。

于步骤204中，本实施例的中央处理器(或相关的处理器单元、绘图处理单元)将于应用程序层组合多个会话专用防火墙模式，以产生用于应用程序层的应用程序专用防火墙模式，进而配置相对于应用程序专用防火墙模式的治愈数据至防火墙装置12来解除恶意软件的攻击。较佳地，本实施例中中央处理器(或相关的处理器单元、绘图处理单元)将控制应用程序层来撷取多个会话专用防火墙模式中一或多者的部分或全部模式，以产生应用程序专用防火墙模式，进而对应配置相对于应用程序专用防火墙模式的治愈数据至防火墙装置12来解除恶意软件的攻击。

于本实施例中，应用程序专用防火墙模式用来辨识潜在恶意软件的全部或部分特征模式数据，而应用程序专用防火墙模式所对应的治愈数据则用来根据已辨识恶意软件的全部或部分特征模式数据，来对应进行恶意软件的过滤、隔离或清理删除等操作。较佳地，本实施例中并未限制进行恶意软件全部或部分特征模式数据的过滤、隔离或清理删除等操作的实施方式，例如常见的扫毒方式可通过一互动窗口或消息来告知与 建议电脑系统10的使用者，目前接触因特网NW的防火墙装置12已检测到潜在的恶意软件，并于互动窗口或消息中对应提供所述类型恶意软件的多种选择/操作清单来让使用者挑选，进而于防火墙装置12适性删除或隔离夹带恶意软件全部及/或部分特征模式数据的电子文件或其对应的传输封包。于另一实施例中，本实施例的保护流程20还可提供一认知性分析结果来告知电脑系统10的使用者，目前防火墙装置12可能遭受某一特定恶意软件类型的攻击或入侵，而建议采用所述恶意软件类型所对应的特定扫毒操作来进行保护，以预防性地清除或隔离所述特定恶意软件类型的入侵或攻击，进而避免电脑系统10发生无法正常运作或文件毁损的情形。

当然，于另一实施例中，若于每一会话通道同时进行微批次操作时，即发现或检测到有恶意软件全部或部分特征模式数据所对应的传输封包或电子文件已通过防火墙装置12且存在/被传输于至少一会话通道时，本实施例亦可将治愈数据所对应的治愈数据配置于多个会话通道(或本实施例所提供的会话通道模块30)中，以于每一会话通道(或会话通道模块30)中利用治愈数据所对应的过滤、隔离或清理删除等操作来解除恶意软件的攻击或入侵，此亦属于本发明的范畴之一。

简言之，本实施例中的防火墙装置12是根据保护流程20与微批次流程40的操作，先于多个会话通道产生所对应的多个会话专用防火墙模式，再于应用程序层参考多个会话专用防火墙模式来取得应用程序专用防火墙模式，进而配置应用程序专用防火墙模式所对应的治愈数据至防火墙装置12，来进行恶意软件全部/部分特征模式数据所对应传输封包或电子文件的过滤、隔离或清理删除等操作。当然，为了操作方便，保护流程20与微批次流程40所对应的程序代码亦可适性地整合于防火墙装置12的储存单元中，以便利不同使用者于首次耦接其电子装置/产品，来使用防火墙装置12且连接因特网NW时，能直接通过防火墙装置12的保护流程20与微批次流程40的程序代码，来进行恶意软件的过滤、隔离或清理删除等操作者，亦属于本发明的范畴之一。

综上所述，本发明实施例提供一种可于应用程序层进行恶意软件的过滤、隔离或清理删除的保护方法与其电脑系统，其中单一计算机模块于每一会话通道中微批次操作进行时，取得输入数据与预储存模式数据，以进行模式重组操作来对应取得多个子集特征数据，并由多个结构预测机器学习模型来对多个子集特征数据进行共同学习/训练操作，进而取得专属于每一会话通道的会话专用防火墙模式，同时根据多个计算 机模块来取得多个会话专用防火墙模式；据此，再参考多个会话专用防火墙模式来取得应用程序专用防火墙模式，以配置应用程序专用防火墙模式所对应的治愈数据至防火墙装置，进而有效过滤、隔离或清理删除恶意软件全部/部分特征模式数据所对应的传输封包或电子文件。相较于现有技术，本发明实施例已可同时参考多个会话通道中的传输封包，同时多个会话通道或单一会话通道中多个结构预测机器学习模型皆可适性共享学习/训练的结果，以对应加强结构预测机器学习模型预测潜在恶意软件的保护与预防机制。

以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的涵盖范围。