防止恶意连线通信的方法及系统.pdf

一种防止恶意连线通信的方法及系统。通过一安全模块设定特定IP地址及其存活时间(TTL)，判断是否存在恶意连线。还可以进一步使恶意连线导向记录模块，以获得恶意连线的活动内容，用来防止与黑客恶意连线的通信。

1.  一种防止恶意连线通信的系统，其包括：
一安全模块，其可根据一网站查询名单、一新接收的IP地址或一存活时间，以辨认一恶意连线通信，并将该恶意连线通信导向到一新导向IP地址；以及
一记录模块，其记录导向到该新导向IP地址的该恶意连线通信。

2.  如权利要求1所述的系统，其该安全模块包括：
一查询检查单元，其设有该网站查询名单，当使用者欲连线至一网址或一IP地址时，该查询检查单元可比对该网址是否符合该网站查询名单，以辨认该恶意连线通信。

3.  如权利要求2所述的系统，当该查询检查单元比对该网址或该IP地址未符合该网站查询名单时，该安全模块接收该新接收的IP地址及该存活时间，且该新接收的IP地址及该存活时间对应于该网址，其中该安全模块还包括：
一响应检查单元，该响应检查单元比对该新接收的IP地址及该存活时间，以辨认该恶意连线通信。

4.  如权利要求3所述的系统，其中该安全模块包括：
一导向机制，当该查询检查单元或该响应检查单元辨认出该恶意连线通信，该导向机制使该恶意连线通信导向到该新导向IP地址。

5.  如权利要求1所述的系统，其中该安全模块内嵌于或外挂于一域名服务器。

6.  一种防止恶意连线通信的方法，其包括：
接收至少一特定网际网络协议IP地址及一IP存活临界值；
接收一新接收的IP地址及一存活时间值，该存活时间值为该新接收的IP地址的存活时间；以及
判断当符合下列两者至少其中一时，则提供一新导向IP地址：
1)该新接收的IP地址符合该至少一特定IP地址，以及
2)该存活时间小于或等于该IP存活临界值。

7.  如权利要求6所述的方法，在提供该新导向IP地址之后还包括：
记录该恶意连线的通信内容。

8.  如权利要求6所述的方法，其中该IP存活临界值为小于一个月的时间值。

9.  如权利要求6所述的方法，其中该至少一特定IP地址为127.0.0.1或为至少一内连网IP地址。

10.  一种可被计算机读取的产品，其是防止恶意连线通信，该产品包括有可记录程序码的媒介，该媒介包括有下列的程序码：
接收至少一特定网际网络协议IP地址及一IP存活临界值；
接收一新接收的IP地址及一存活时间值，该存活时间值为该新接收的IP地址的存活时间；以及
判断当符合下列两者至少其中一时，则提供一新导向IP地址：
1)该新接收的IP地址符合该至少一特定IP地址，以及
2)该存活时间小于或等于该IP存活临界值。

11.  如权利要求10所述的产品，其中该媒介还包括下列的程序码：
在提供该新导向IP地址之后还包括记录该恶意连线的通信内容。

12.  如权利要求10所述的产品，其中该IP存活临界值为小于一个月的时间值。

13.  如权利要求10所述的产品，其中该至少一特定IP地址为127.0.0.1或为至少一内连网IP地址。

防止恶意连线通信的方法及系统
技术领域
本发明涉及一种防止恶意连线通信的方法及系统。
背景技术
现在的网络发达，几乎每位使用者计算机每天都会收到许多电子邮件(e-mails)。因此恶意入侵者常常利用e-mail夹藏或植入“恶意程序”(包括一般的病毒、木马、后门、漏洞、破坏等等)，伺机攻击收信者的计算机(受害计算机)。
一般使用者常会利用防火墙保护其网络结构，使得恶意入侵者难以由外部主动连到受害计算机通信。然而，若由防火墙之内的使用者对外发出通信连线，通常防火墙就无法提供保护；这是因为防火墙之内的使用者对外通信的限制较低，否则使用者会几乎无法对外连线。
网际网络协议(IP)地址是由四组数字组成，例如201.105.194.134，对于使用者而言，要记住这些数字非常不容易；因此由英文字母所组成的域名(http或URL)，例如www.example.com可提供使用者较为方便记忆的名称。而域名服务器(DNS)就是被用来翻译域名(或全球资源定位，或称URL)，例如可在DNS设定www.example.com对应的IP地址即为201.105.194.134。因此当使用者键入网址(例如www.example.com)，可通过DNS找到相对应的IP地址(例如201.105.194.134)，顺利实现网际网络连线。
为了适应某些用户特性，例如使用浮动IP地址，这些用户往往需要在非固定地址连线，还发展出动态DNS(DDNS“动态域名服务”)。例如，www.example.com对应的IP地址为201.105.194.134，若当IP地址的服务器在维修一周，需改到其他服务器(例如201.105.194.136)提供连线时，该用户可利用DDNS设定www.example.com对应的IP地址改为201.105.194.136，一周之后在改回原对应的201.105.194.134。此时，用户可设定IP地址的存活时间(TTL)为一周。
黑客常常会利用上述使用者上网的连线特性，以e-mail夹藏或植入恶意程序，诱使收信者的计算机自行对外上网连线，以此进行攻击受害计算机。
为了解决上述的公知问题，因此而产生出本发明的构想。
发明内容
本发明的主要目的在于防止与黑客恶意连线的通信。
本发明的另一目的在于通过防止恶意连线通信的方法以及系统，找出更多的“恶意程序”(例如变型或新型计算机病毒)，进而找出破解或反制这些恶意程序的方法。
为达到上述目的，本发明提供一种防止恶意连线通信的方法及系统。防止恶意连线通信的方法包括以下步骤：
S1：接收至少一特定网际网络协议(IP)地址及一IP存活临界值。例如特定IP地址为127.0.0.1或为至少一内连网(intranet)IP地址，也就是通过本发明(例如为特定软件或程序)网管人员可设定特定IP地址为127.0.0.1或其内连网IP地址。然而，特定IP地址并非仅限于上述地址，本发明还有其他判断方式，以下将作进一步说明。
S2：接收网络上实际通信中的新接收IP地址及一存活时间值(TTL)，该存活时间值是该新接收的IP地址的存活时间。当使用者计算机连网时，本发明即可接收到新接收的IP地址及其存活时间值(TTL)。
S3：判断该新接收的IP地址是否符合该至少一特定IP地址。在此的判断也就是，使用者计算机连线时所接收到新接收的IP地址与网管人员所设定的特定IP地址是否相符。若判断为“是”，本发明还可进一步提供一新导向IP地址(S5)，以使得使用者计算机连线导向该新导向IP地址，而不是新接收的IP地址。
S4：判断该TTL是否小于或等于该IP存活临界值。在此的判断也就是，使用者计算机连线时所接收到新接收的IP地址相对应TTL与网管人员所设定的IP存活临界值相比较，TTL是否小于或等于该IP存活临界值？若判断为“是”，本发明还可进一步提供一新导向IP地址(S5)，以使得使用者计算机连线导向该新导向IP地址，而非是新接收的IP地址。
此外，本发明还提供一种防止恶意连线通信的系统，其包括：一安全模块与一记录模块。安全模块可依据一网站查询名单、一新接收的IP地址或一TTL，以辨认一恶意连线通信，并将该恶意连线通信导向到一新导向IP地址。记录模块则是记录导向到该新导向IP地址的该恶意连线通信。安全模块可以是内嵌于也可以外挂于一域名服务器(DNS)。
更进一步而言，安全模块包括一查询检查单元。查询检查单元设有网站查询名单，当使用者欲连线至一网址时，该查询检查单元可比对该网址是否符合该网站查询名单，以辨认该恶意连线通信。
安全模块还可包括一响应检查单元。当查询检查单元比对网址未符合网站查询名单时，该安全模块接收该新接收的IP地址及其TTL，响应检查单元则比对该新接收的IP地址及其TTL，以辨认该恶意连线通信。例如，响应检查单元的比对方法可以是如上面所述防止恶意连线通信的方法。
此外，本发明还提供一种可被计算机读取的产品，其是防止恶意连线通信，该产品包括有可记录程序码的媒介(medium)，该媒介包括有下列的程序码：接收至少一特定网际网络协议(IP)地址及一IP存活临界值；接收一新接收的IP地址及一存活时间值，该存活时间值为该新接收的IP地址的存活时间；以及判断当符合下列两者至少其中一时，则提供一新导向IP地址：(1)该新接收的IP地址符合该至少一特定IP地址，以及(2)该存活时间小于或等于该IP存活临界值。
为了实现本发明的另一目的，找出更多的恶意程序，并发展相对应的破解、反制技术，本发明的安全模块还包括一导向机制(means for redirecting)。当查询检查单元或响应检查单元辨认出该恶意连线通信，该导向机制使该恶意连线通信导向到该新导向IP地址。此时，在新导向IP地址装设监听设备(软/硬件)，以此记录恶意连线的通信内容，以发展相对应的破解、反制技术。
附图说明
图1A和图1B是黑客攻击的计算机连线示意图；
图2是根据本发明的一种防止恶意连线通信的方法，显示其流程示意图；
图3是根据本发明的防止恶意连线通信的系统方框示意图。
并且，上述附图中的附图标记说明如下：
10服务器
11、12用户计算机
20防火墙
30DDNS服务器
31安全模块
311查询检查单元
312导向机制
313响应检查单元
32记录模块
40中继站
具体实施方式
为使本发明的上述和其他目的、特征和优点能更明显易懂，下文特举出优选实施例，并结合附图，进行如下的详细说明。
请先参见图1A，其显示黑客攻击时的计算机连线示意图。当使用者计算机11要连到外部网络时，通常会先向域名服务器(DNS)查询所对应网址的IP地址解析。DNS可以是设在其内部服务器10，当内部服务器10的DNS查不到时，还可向外查询其他DNS(在此未显示)。动态DNS(DDNS)30则提供浮动IP用户，可随时通过网页更换对应的IP地址。例如，www.badsite.com原本是对应到201.100.194.134，但通过DDNS的设定更换IP地址，该网址可修改为对应到127.0.0.1。DNS或DDNS并未限定其数量，简言之，当使用者计算机11连网时，可通过DNS阶层结构，一个接着一个查询，以找到所对应的IP地址。
黑客技术可通过电子邮件或其他方式，将使用者计算机11连至其网址(www.badsite.com)的中继站40，这种方式是已知技术，故不在此赘述。如图1A所示，黑客还可利用DDNS 30的特性，当使用者计算机11连至www.badsite.com时，将其解析为自身计算机(也就是当地主机(Localhost)：127.0.0.1)，如此一来，防火墙20就无法察觉www.badsite.com实际是恶意连线网址。或者，如图1B所示，利用DDNS 30的特性，黑客也可将其网址(www.badsite.com)对应IP地址改为内部网络互连(intranet)，使得使用者计算机11连往内部其他使用者计算机12。
当黑客欲发动攻击使用者计算机11时，黑客才会将DDNS 30的网址(www.badsite.com)设定改为真正的IP地址(例如上述的201.100.194.134)。当使用者计算机11与中继站40连线时，黑客即可发动攻击。
请参见图2，本发明提供一种防止恶意连线通信的方法，其包括以下S1-S5的步骤。
S1：接收至少一特定网际网络协议(IP)地址及一IP存活临界值。
例如，特定IP地址可以为上述的Localhost：127.0.0.1或为至少一内连网(intranet)IP地址。也就是通过本发明(例如可以为特定软件或程序)，网管人员可设定特定IP地址为127.0.0.1或为其内连网IP地址。换言之，当如图1A或1B所示的使用者计算机11连线的IP地址为特定IP地址时，在此即判断为恶意连线(有受攻击的危险)，以下将有进一步说明。
然而，特定IP地址并非仅限于上述地址，本发明尚有其他判断式，以下将有进一步说明。另外关于网管人员设定IP存活临界值，以下也将作进一步的说明。
S2：接收一新接收的IP地址及一存活时间值(TTL)，该存活时间值为该新接收的IP地址的存活时间。
例如，当如图1所示的使用者计算机11要连至www.badsite.com时，根据DDNS 30所提供的IP地址，本发明即接收到新接收的IP地址(例如127.0.0.1)及其存活时间值(TTL)。更进一步而言，根据DNS(或DDNS)阶层结构与通信协议，使用者计算机11查询网址连线时，例如图1A或1B所示的DDNS 30会将使用者计算机11查询网址的结果(对应的IP地址)传回给使用者计算机11，且该查询结果中会有栏位(header栏位)记录所对应的IP地址的存活时间(TTL)。利用DNS或DDNS的响应(response)功能即可获得TTL，此方式是本领域普通技术人员可了解的，故不在此赘述。
S3：判断新接收的IP地址是否符合至少一特定IP地址。
举例而言，此步骤的判断是在于，如图1的使用者计算机11要连线时所接收到新接收的IP地址与网管人员所设定的特定IP地址是否相符。网管人员所设定的特定IP地址除了上述的localhost IP与intranet IP之外，还有可能包括其他异常连线，像是使用者为国内业务，但其计算机却一直企图连往欧洲的IP，此一异常连线的IP地址也可经由网管人员设定为特定IP地址。
若S3判断为“是”，例如新接收的IP地址即为127.0.0.1或其他网管人员设定的特定IP地址，本发明还可进一步提供一新导向IP地址(S5)，以使得使用者计算机11连线导向新导向IP地址，而不是新接收的IP地址。当使用者计算机11连线导向新导向IP地址时，依据本发明的方法，还可记录使用者计算机11与中继站40之间的恶意连线通信的内容。
S4：判断该TTL是否小于或等于该IP存活临界值。
在此的判断就是在于，使用者计算机11连线时所接收到新接收的IP地址相对应的TTL与网管人员所设定的IP存活临界值相比较，TTL是否小于或等于网管人员设定的IP存活临界值？更进一步而言，通常TTL的设定若过短则不属于常态，也就是IP地址更换过于频繁应该不属于常态。因此，网管人员可设定IP存活临界值为小于一个月的时间值，例如可设为86400秒(一日)或更长或更短，这是根据其经验值而设定。按照过去查获的恶意程序案例，往往TTL值为60秒或300秒，明显的不合网络应用特性，此判断是用来辨识恶意程序连线的重要依据。
若S4判断为“是”，本发明进一步提供一新导向IP地址(S5)，以使得使用者计算机连线导向该新导向IP地址，而非是新接收的IP地址。同样地，当使用者计算机11连线导向新导向IP地址时，根据本发明的方法，还可记录使用者计算机11与中继站40之间的恶意连线通信的内容。
由于上述的方法最好以计算机程序完成，因此本发明的方法可以以计算机程序写于载有计算机可使用的媒介，譬如硬盘，集成电路，光盘及其他可记录计算机程序的产品。
更进一步而言，本发明的防止恶意连线通信的方法，可以计算机程序语言写成以便执行，而计算机程序可以储存于任何微处理单元可以辨识、解读的记录媒体，或包含有该记录媒体的产品及装置。其不限于任何形式，该产品较佳为CD，CD-R，MO，软盘磁片，硬盘磁片，IC芯片或任何本领域普通技术人员所可使用的包含有该记录媒体的产品。由于本发明的防止恶意连线通信的方法已充分公开，任何熟悉计算机程序语言的人阅读本发明说明书就可以知道如何编写计算机软件程序，故有关计算机软件程序细节部分不在此赘述。
此外，本发明还提供一种防止恶意连线通信的系统，如图3所示，其包括：一安全模块31与一记录模块32。安全模块31可依据一网站查询名单、一新接收的IP地址或一TTL，以辨认一恶意连线通信，并将恶意连线通信导向到一新导向IP地址。记录模块32则记录导向到新导向IP地址的恶意连线通信。安全模块31可以内嵌于或者也可外挂于一域名服务器(DNS)，例如安全模块31可内嵌于或外挂于图1所示的服务器10。
更进一步而言，安全模块31包括一查询检查单元311。查询检查单元311设有网站查询名单，此网站查询名单可以是来自各防毒公司提供的恶意网站名单，或其他类似的来源。当使用者计算机欲连线至一网址时，查询检查单元311可比对该网址是否符合该网站查询名单，以辨认该恶意连线通信。在此，若查询检查单元311比对出使用者计算机所要连线的网址(或IP地址)“符合”网站查询名单的网址(或IP地址)时，即表示存有恶意连线通信，可利用其他机制中断连线或防止连线。在本优选实施例中，安全模块31还可将恶意连线通信导向到新导向IP地址，并通过记录模块32记录恶意连线通信的内容。
安全模块31还可包括一响应检查单元313。当查询检查单元311比对网址(或IP地址)未符合网站查询名单时，安全模块31则会接收到新接收的IP地址及其TTL。更进一步而言，当查询检查单元311比对网址(或IP地址)未符合网站查询名单时，通过DNS或DDNS可提供新IP地址给响应检查单元313。
在此响应检查单元313比对所接收的新IP地址及其TTL，以辨认是否为恶意连线通信。例如，响应检查单元的比对方法可以为如图2所述的方法，故不在此重复赘述响应检查单元313的比对。
为了实现本发明的另一目的，找出更多的恶意程序，并发展相对应的破解、反制技术，因此本发明的安全模块31还包括一导向机制(means forredirecting)312。当查询检查单元311或响应检查单元313辨认出恶意连线通信时，导向机制312可使该恶意连线通信导向到新导向IP地址。例如，在新导向IP地址装设监听设备(软/硬件)，以执行侧录，以此记录恶意连线的通信内容并可获得更多恶意程序的内容或活动型态，以发展相对应的破解技术。由于网络的侧录技术为本领域普通技术人员已知内容，故不多赘述。
虽然本发明已经通过优选实施例公开如上技术，然而其并非用来限定本发明，任何本领域普通技术人员，在不脱离本发明的精神和范围内，当可作各种更动与润饰，因此本发明的保护范围当视随附的权利要求所界定的范围为准。