亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

用于檢測網(wǎng)絡(luò)攻擊的方法和防火墻系統(tǒng)與流程

文檔序號:12132145閱讀:560來源:國知局
用于檢測網(wǎng)絡(luò)攻擊的方法和防火墻系統(tǒng)與流程

本發(fā)明涉及網(wǎng)絡(luò)與信息安全領(lǐng)域,特別涉及一種用于檢測網(wǎng)絡(luò)攻擊的方法和防火墻系統(tǒng)。



背景技術(shù):

傳統(tǒng)的防火墻設(shè)備主要用于訪問流量的隔離控制,能檢測并防范常見的網(wǎng)絡(luò)層攻擊。隨著下一代防火墻的發(fā)展,防火墻設(shè)備能檢測并防御越來越多的應(yīng)用層攻擊,在功能上趨向于入侵防御系統(tǒng)。

但是,攻擊檢測原理都是基于攻擊的指紋特征的,無法發(fā)現(xiàn)未知的攻擊,從而也無法實現(xiàn)智能調(diào)整安全策略進行阻斷。



技術(shù)實現(xiàn)要素:

鑒于以上技術(shù)問題,本發(fā)明提供了一種用于檢測網(wǎng)絡(luò)攻擊的方法和防火墻系統(tǒng),可以檢測出未知惡意攻擊。

根據(jù)本發(fā)明的一個方面,提供一種用于檢測網(wǎng)絡(luò)攻擊的方法,包括:檢測是否有流量穿越防火墻;若檢測到有流量穿越防火墻,則將所述流量導(dǎo)入虛擬機仿真環(huán)境;通過監(jiān)測所述虛擬機仿真環(huán)境產(chǎn)生的變化確定主機是否受到網(wǎng)絡(luò)攻擊。

在本發(fā)明的一個實施例中,在檢測是否有流量穿越防火墻的步驟之前,所述方法還包括:根據(jù)虛擬機仿真環(huán)境的初始配置生成基線數(shù)據(jù);其中所述通過監(jiān)測虛擬機仿真環(huán)境產(chǎn)生的變化確定主機是否受到網(wǎng)絡(luò)攻擊的步驟包括:檢測虛擬機仿真環(huán)境是否發(fā)生變化;若虛擬機仿真環(huán)境發(fā)生變化,則確定引起所述變化的行為數(shù)據(jù);對比所述行為數(shù)據(jù)和所述基線數(shù)據(jù),初步判定所述行為是否是網(wǎng)絡(luò)攻擊。

在本發(fā)明的一個實施例中,所述的方法還包括:若將所述流量導(dǎo) 入所述虛擬機仿真環(huán)境,則記錄訪問虛擬機仿真環(huán)境所產(chǎn)生的流量數(shù)據(jù);其中所述通過監(jiān)測虛擬機仿真環(huán)境產(chǎn)生的變化確定主機是否受到網(wǎng)絡(luò)攻擊的步驟還包括:若初步判定所述行為是網(wǎng)絡(luò)攻擊,則通過匹配所述流量數(shù)據(jù)和所述行為數(shù)據(jù)中的時間、源IP、目的IP,以進一步確定所述行為是否是網(wǎng)絡(luò)攻擊。

在本發(fā)明的一個實施例中,所述的方法還包括:若主機受到網(wǎng)絡(luò)攻擊,則將所述網(wǎng)絡(luò)攻擊的源IP加入黑名單,并清除防火墻中與所述源IP相關(guān)的數(shù)據(jù),以阻斷網(wǎng)絡(luò)攻擊。

在本發(fā)明的一個實施例中,所述的方法還包括:若檢測到有流量穿越防火墻,則對所述流量進行攻擊特征檢測,以判定所述流量是否是已知網(wǎng)絡(luò)攻擊;若所述流量不是已知網(wǎng)絡(luò)攻擊,則執(zhí)行將所述流量導(dǎo)入所述虛擬機仿真環(huán)境的步驟。

根據(jù)本發(fā)明的另一方面,提供一種用于檢測網(wǎng)絡(luò)攻擊的防火墻系統(tǒng),包括流量檢測模塊、流量導(dǎo)入模塊和第一攻擊確定模塊,其中:所述流量檢測模塊,用于檢測是否有流量穿越防火墻;響應(yīng)于所述流量檢測模塊檢測到有流量穿越防火墻,所述流量導(dǎo)入模塊,用于將所述流量導(dǎo)入虛擬機仿真環(huán)境;所述第一攻擊確定模塊,用于通過監(jiān)測所述虛擬機仿真環(huán)境產(chǎn)生的變化確定主機是否受到網(wǎng)絡(luò)攻擊。

在本發(fā)明的一個實施例中,所述防火墻系統(tǒng)還包括基線數(shù)據(jù)確定模塊,其中:所述基線數(shù)據(jù)確定模塊,用于根據(jù)虛擬機仿真環(huán)境的初始配置生成基線數(shù)據(jù),之后指示所述流量檢測模塊執(zhí)行檢測是否有流量穿越防火墻的操作;所述第一攻擊確定模塊包括環(huán)境檢測單元、行為數(shù)據(jù)確定單元和攻擊初定單元,其中:所述環(huán)境檢測單元,用于檢測虛擬機仿真環(huán)境是否發(fā)生變化;響應(yīng)于所述環(huán)境檢測單元檢測到虛擬機仿真環(huán)境發(fā)生變化,所述行為數(shù)據(jù)確定單元,用于確定引起所述變化的行為數(shù)據(jù);所述攻擊初定單元,用于對比所述行為數(shù)據(jù)和所述基線數(shù)據(jù),初步判定所述行為是否是網(wǎng)絡(luò)攻擊。

在本發(fā)明的一個實施例中,所述防火墻系統(tǒng)還包括流量數(shù)據(jù)確定模塊,其中:響應(yīng)于所述流量導(dǎo)入模塊將所述流量導(dǎo)入所述虛擬機仿 真環(huán)境,所述流量數(shù)據(jù)確定模塊,用于記錄訪問虛擬機仿真環(huán)境所產(chǎn)生的流量數(shù)據(jù);所述第一攻擊確定模塊還包括攻擊確定單元,其中:響應(yīng)于所述攻擊初定單元初步判定所述行為是網(wǎng)絡(luò)攻擊,所述攻擊確定單元,用于通過匹配所述流量數(shù)據(jù)和所述行為數(shù)據(jù)中的時間、源IP、目的IP,以進一步確定所述行為是否是網(wǎng)絡(luò)攻擊。

在本發(fā)明的一個實施例中,所述防火墻系統(tǒng)還包括攻擊阻斷模塊,其中:響應(yīng)于所述第一攻擊確定模塊確定主機是否受到網(wǎng)絡(luò)攻擊,所述攻擊阻斷模塊,用于將所述網(wǎng)絡(luò)攻擊的源IP加入黑名單,并清除防火墻中與所述源IP相關(guān)的數(shù)據(jù),以阻斷網(wǎng)絡(luò)攻擊。

在本發(fā)明的一個實施例中,所述防火墻系統(tǒng)還包括第二攻擊確定模塊,其中:響應(yīng)于所述流量檢測模塊檢測到有流量穿越防火墻,所述第二攻擊確定模塊,用于對所述流量進行攻擊特征檢測,以判定所述流量是否是已知網(wǎng)絡(luò)攻擊;響應(yīng)于所述第二攻擊確定模塊判定所述流量不是已知網(wǎng)絡(luò)攻擊,所述流量導(dǎo)入模塊用于執(zhí)行將所述流量導(dǎo)入所述虛擬機仿真環(huán)境的操作。

本發(fā)明解決了過往防火墻設(shè)備無法檢測未知惡意攻擊的難題;同時把可疑流量引入到虛擬機仿真環(huán)境,減少了可疑流量對生產(chǎn)環(huán)境造成的不良影響。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明用于檢測網(wǎng)絡(luò)攻擊的方法一個實施例的示意圖。

圖2為本發(fā)明用于檢測網(wǎng)絡(luò)攻擊的方法另一實施例的示意圖。

圖3為本發(fā)明的用于檢測網(wǎng)絡(luò)攻擊的防火墻系統(tǒng)一個實施例的示意圖。

圖4為本發(fā)明的用于檢測網(wǎng)絡(luò)攻擊的防火墻系統(tǒng)另一實施例的示意圖。

圖5為本發(fā)明一個實施例第一攻擊確定模塊的示意圖。

圖6為本發(fā)明用于檢測網(wǎng)絡(luò)攻擊的防火墻系統(tǒng)又一實施例的示意圖。

具體實施方式

下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例。以下對至少一個示例性實施例的描述實際上僅僅是說明性的,決不作為對本發(fā)明及其應(yīng)用或使用的任何限制?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。

除非另外具體說明,否則在這些實施例中闡述的部件和步驟的相對布置、數(shù)字表達式和數(shù)值不限制本發(fā)明的范圍。

同時,應(yīng)當明白,為了便于描述,附圖中所示出的各個部分的尺寸并不是按照實際的比例關(guān)系繪制的。

對于相關(guān)領(lǐng)域普通技術(shù)人員已知的技術(shù)、方法和設(shè)備可能不作詳細討論,但在適當情況下,所述技術(shù)、方法和設(shè)備應(yīng)當被視為授權(quán)說明書的一部分。

在這里示出和討論的所有示例中,任何具體值應(yīng)被解釋為僅僅是示例性的,而不是作為限制。因此,示例性實施例的其它示例可以具有不同的值。

應(yīng)注意到:相似的標號和字母在下面的附圖中表示類似項,因此,一旦某一項在一個附圖中被定義,則在隨后的附圖中不需要對其進行進一步討論。

圖1為本發(fā)明用于檢測網(wǎng)絡(luò)攻擊的方法一個實施例的示意圖。優(yōu)選的,本實施例可由本發(fā)明用于檢測網(wǎng)絡(luò)攻擊的防火墻系統(tǒng)執(zhí)行。該方法包括以下步驟:

步驟101,檢測是否有流量試圖穿越防火墻訪問主機。

步驟102,若檢測到有流量試圖穿越防火墻訪問主機,則將該流量導(dǎo)入虛擬機仿真環(huán)境。

其中,虛擬機是主機上通過軟件模擬的具有完整硬件系統(tǒng)功能的、運行在一個完全隔離環(huán)境中的計算機系統(tǒng)??梢詫μ摂M機建立快照,當系統(tǒng)發(fā)生改變后把系統(tǒng)恢復(fù)到建立快照時的狀態(tài)。虛擬機仿真環(huán)境是一套獨立的系統(tǒng),虛擬機仿真環(huán)境上面安裝了主流的各種版本W(wǎng)indows,Linux操作系統(tǒng),上面運行著數(shù)據(jù)庫、中間件、WEB系統(tǒng),主要用于仿真真實的業(yè)務(wù)環(huán)境。各系統(tǒng)已經(jīng)打補丁到最新的狀態(tài)。

步驟103,通過監(jiān)測該流量引起的虛擬機仿真環(huán)境的變化,來確定主機是否受到網(wǎng)絡(luò)攻擊。其中,虛擬機仿真環(huán)境產(chǎn)生的變化可以包括文件變更、配置變更、網(wǎng)絡(luò)連接變更、數(shù)據(jù)傳輸變更等等。

基于本發(fā)明上述實施例提供的用于檢測網(wǎng)絡(luò)攻擊的方法,將流量引入虛擬機仿真環(huán)境,通過分析判斷流量引起的虛擬機仿真環(huán)境的變化,確定主機是否受到網(wǎng)絡(luò)攻擊,由此本發(fā)明上述實施例可以檢測未知的惡意攻擊,從而解決了過往防火墻設(shè)備無法檢測未知惡意攻擊的難題。同時,本發(fā)明上述實施例還把可疑流量引入到虛擬機仿真環(huán)境,減少了可疑流量對主機生產(chǎn)環(huán)境造成的不良影響。

圖2為本發(fā)明用于檢測網(wǎng)絡(luò)攻擊的方法另一實施例的示意圖。優(yōu)選的,本實施例可由本發(fā)明用于檢測網(wǎng)絡(luò)攻擊的防火墻系統(tǒng)執(zhí)行。該方法包括以下步驟:

步驟201,根據(jù)虛擬機仿真環(huán)境的初始配置生成基線數(shù)據(jù)。該基線數(shù)據(jù)存儲在基線數(shù)據(jù)庫中,基線數(shù)據(jù)庫主要紀錄了虛擬機仿真環(huán)境的初始狀態(tài),包括所有虛擬機的操作系統(tǒng)類型及所有配置。

在本發(fā)明的一個實施例中,基線數(shù)據(jù)記錄的信息包括【IP地址、操作系統(tǒng)版本、用戶數(shù)、用戶名、文件數(shù)、文件大小、各種軟件配置】等信息。

例如:在本發(fā)明的一個具體實施例中,基線數(shù)據(jù)記錄的虛擬機初始配置包括:IP為10.0.0.1,操作系統(tǒng)是windows 764bit的虛擬機 上用戶數(shù)量3,用戶名分別為xiaoyf1、xiaoyf2、xiaoyf3,共有文件2000個,大小分別是1MB、2MB、3MB……2000M。另外記錄了操作系統(tǒng)本身的配置、數(shù)據(jù)庫系統(tǒng)配置、WEB Sever配置等配置信息,還記錄了哪些敏感文件是不能刪除的、哪些是允許刪除的等信息。

步驟202,實時檢測是否有外部流量試圖穿越防火墻訪問主機。若檢測到有流量穿越防火墻,則執(zhí)行步驟203;否則,繼續(xù)執(zhí)行步驟202,即,繼續(xù)檢測是否有流量試圖穿越防火墻訪問主機。

在本發(fā)明的一個實施例中,如果合法的系統(tǒng)管理員修改過系統(tǒng)配置,基線數(shù)據(jù)庫需要更新,合法的管理員應(yīng)該是從防火墻內(nèi)側(cè)訪問的,不產(chǎn)生穿越防火墻的流量。

步驟203,對該流量進行攻擊特征檢測,以判定主機是否受到已知的網(wǎng)絡(luò)攻擊。其中,系統(tǒng)中預(yù)先存儲有已知網(wǎng)絡(luò)攻擊的指紋特征,通過特征比對,判斷當前流量是否為已知的網(wǎng)絡(luò)攻擊。若判定主機受到已知的網(wǎng)絡(luò)攻擊,則執(zhí)行步驟208;否則,若判定主機未受到已知的網(wǎng)絡(luò)攻擊,則執(zhí)行步驟204。

步驟204,將該流量導(dǎo)入虛擬機仿真環(huán)境,并開始建立流量數(shù)據(jù)庫,以記錄訪問虛擬機仿真環(huán)境所產(chǎn)生的流量數(shù)據(jù)。

在本發(fā)明的一個實施例中,流量數(shù)據(jù)庫記錄了訪客穿越防火墻訪問虛擬機仿真環(huán)境所產(chǎn)生的所有流量,包括【源IP、目的IP、協(xié)議、目的端口、開始時間、持續(xù)時間、數(shù)據(jù)包個數(shù)、流量大小】等信息。

例如:在本發(fā)明的上述具體實施例(虛擬機仿真環(huán)境為10.0.0.1的虛擬機)中,IP為120.0.0.1的外部主機訪問了10.0.0.1的虛擬機的WEB系統(tǒng)和FTP,則記錄如下信息:

【120.0.0.1、10.0.0.1、TCP、80、10:00、60秒、60、3KB】

【120.0.0.1、10.0.0.1、TCP、21、10:00、360秒、10000、300MB】

步驟205,若虛擬機仿真環(huán)境發(fā)生變化,則對虛擬機仿真環(huán)境進行可疑流量分析檢測;并確定引起該變化的行為數(shù)據(jù)。

在本發(fā)明的一個實施例中,如圖6所示,各虛擬機系統(tǒng)是相互隔離的,不能在虛擬機之間互相跳轉(zhuǎn)。如果虛擬機仿真環(huán)境中有配置發(fā) 生變化,無非是內(nèi)部管理員修改了虛擬機的配置,或者受到來自防火墻外部的攻擊。

在本發(fā)明的一個實施例中,步驟205中對虛擬機仿真環(huán)境進行可疑流量分析檢測包括:對各虛擬機仿真環(huán)境進行文件變更檢測、配置變更檢測、網(wǎng)絡(luò)連接檢測、數(shù)據(jù)傳輸檢測,以便從多個維度進行可疑流量分析檢測。

在本發(fā)明的一個實施例中,步驟205可以包括:當檢測到虛擬機上的配置發(fā)生變化后,生成引起該變化的行為數(shù)據(jù),并存儲在行為數(shù)據(jù)庫中。其中,行為數(shù)據(jù)包括【行為、危險程度、時間、行為類型】,涉及網(wǎng)絡(luò)事件的行為詳情還進一步包括【源IP、目的IP、源端口、目的端口】。其中,行為類型包括:文件拷貝、文件上傳、文件刪除、文件傳輸、域名查詢、創(chuàng)建賬號、添加賬號、刪除賬號、修改啟動項目等。

步驟206,對比步驟205確定的行為數(shù)據(jù)和步驟201中生成的基線數(shù)據(jù),初步判定引起虛擬機仿真環(huán)境變化的行為是否是網(wǎng)絡(luò)攻擊。若初步判定該行為是網(wǎng)絡(luò)攻擊,則執(zhí)行步驟207;否則,若初步判定該行為不是網(wǎng)絡(luò)攻擊,則執(zhí)行步驟202,即,繼續(xù)檢測是否有流量試圖穿越防火墻訪問主機。

例如:在本發(fā)明的上述具體實施例(虛擬機仿真環(huán)境為10.0.0.1的虛擬機)中,步驟206可以包括:當10.0.0.1上虛擬機的名為“文檔.doc”文件被刪除,文檔.doc文件在基線數(shù)據(jù)庫的記錄不是不可刪除文件,行為數(shù)據(jù)庫會生成一條記錄:

【刪除“文檔.doc”、中、11:00、文件刪除】,是疑似攻擊。

如果文檔.doc文件在基線數(shù)據(jù)庫中記錄是不可刪除文件,則行為數(shù)據(jù)庫生成的記錄為:

【刪除“文檔.doc”、高、11:00、文件刪除】,并初步認為這是攻擊。

步驟207,通過匹配步驟201中生成的流量數(shù)據(jù)、以及步驟205確定的行為數(shù)據(jù)中的時間、源IP、目的IP,以進一步確定該行為是否 是網(wǎng)絡(luò)攻擊。若最終確定該行為是網(wǎng)絡(luò)攻擊,則執(zhí)行步驟208;否則,最終確定該行為不是網(wǎng)絡(luò)攻擊,則執(zhí)行步驟202,即,繼續(xù)檢測是否有流量試圖穿越防火墻訪問主機。

例如:在本發(fā)明的上述具體實施例(虛擬機仿真環(huán)境為10.0.0.1的虛擬機)中,步驟207可以包括:通過防火墻的連接狀態(tài)表和流量數(shù)據(jù)庫,找出執(zhí)行了刪除“文檔.doc”文件的這個操作行為的IP來源;如果IP為內(nèi)部管理IP,則不是攻擊;如果IP地址是外部IP,如120.0.0.1,則需要進一步查看和這個IP有關(guān)的流量數(shù)據(jù)庫:

【120.0.0.1、10.0.0.1、TCP、80、10:00、60秒、60、3KB】

【120.0.0.1、10.0.0.1、TCP、21、10:00、360秒、10000、300MB】

除了這些看似正常的流量,是否還有其它可疑的流量,如果有則可以認定這是攻擊。如果沒有,也可以認為這是疑似攻擊。

步驟208,將發(fā)起該網(wǎng)絡(luò)攻擊的源IP加入黑名單,并清除流量數(shù)據(jù)庫與該源IP相關(guān)的數(shù)據(jù),以阻斷網(wǎng)絡(luò)攻擊。

本發(fā)明上述實施例能夠?qū)崿F(xiàn)對新型的、未知的網(wǎng)絡(luò)攻擊的檢測,把流量引入到虛擬機仿真環(huán)境中,并借助虛擬機仿真環(huán)境構(gòu)建環(huán)境基線數(shù)據(jù)庫,流量數(shù)據(jù)庫和行為數(shù)據(jù)庫,對網(wǎng)絡(luò)事件和流量進行跟蹤和分析。當虛擬機仿真環(huán)境發(fā)生變化后,進行文件變更檢測、配置變更檢測、網(wǎng)絡(luò)連接檢測、數(shù)據(jù)傳輸檢測,通過多個維度進行可疑流量的分析,能發(fā)現(xiàn)未知攻擊并進行阻斷。

同時,本發(fā)明還將對未知攻擊的檢測與對已知攻擊的特征檢測相結(jié)合,從而進一步提高了對網(wǎng)絡(luò)攻擊的識別和阻斷能力。

圖3為本發(fā)明的用于檢測網(wǎng)絡(luò)攻擊的防火墻系統(tǒng)一個實施例的示意圖。如圖3所示,防火墻系統(tǒng)3包括流量檢測模塊31、流量導(dǎo)入模塊32和第一攻擊確定模塊33,其中:

流量檢測模塊31,用于檢測是否有流量穿越防火墻訪問主機。

響應(yīng)于流量檢測模塊31檢測到有流量穿越防火墻訪問主機,流量導(dǎo)入模塊32,用于將該流量導(dǎo)入虛擬機仿真環(huán)境2。

第一攻擊確定模塊33,用于通過監(jiān)測虛擬機仿真環(huán)境2產(chǎn)生的變 化,確定主機是否受到網(wǎng)絡(luò)攻擊。

基于本發(fā)明上述實施例提供的用于檢測網(wǎng)絡(luò)攻擊的防火墻系統(tǒng),將流量引入虛擬機仿真環(huán)境,通過分析判斷流量引起的虛擬機仿真環(huán)境的變化,確定主機是否受到網(wǎng)絡(luò)攻擊,由此本發(fā)明上述實施例可以檢測未知的惡意攻擊,從而解決了過往防火墻設(shè)備無法檢測未知惡意攻擊的難題。同時本發(fā)明上述實施例,還把可疑流量引入到虛擬機仿真環(huán)境,減少了可疑流量對主機生產(chǎn)環(huán)境造成的不良影響。

圖4為本發(fā)明的用于檢測網(wǎng)絡(luò)攻擊的防火墻系統(tǒng)另一實施例的示意圖。與圖3實施例相比,圖4實施例中的防火墻系統(tǒng)3還可以包括基線數(shù)據(jù)確定模塊34,其中:

基線數(shù)據(jù)確定模塊34,用于根據(jù)虛擬機仿真環(huán)境2的初始配置生成基線數(shù)據(jù),之后指示流量檢測模塊31執(zhí)行檢測是否有流量穿越防火墻的操作。

圖5為本發(fā)明一個實施例第一攻擊確定模塊的示意圖。如圖5所示,第一攻擊確定模塊33包括環(huán)境檢測單元331、行為數(shù)據(jù)確定單元332和攻擊初定單元333,其中:

環(huán)境檢測單元331,用于檢測虛擬機仿真環(huán)境2是否發(fā)生變化。

響應(yīng)于環(huán)境檢測單元331檢測到虛擬機仿真環(huán)境2發(fā)生變化,行為數(shù)據(jù)確定單元332,用于對虛擬機仿真環(huán)境2進行可疑流量分析檢測;并確定引起仿真環(huán)境變化的行為數(shù)據(jù)。

在本發(fā)明的一個實施例中,行為數(shù)據(jù)確定單元332對虛擬機仿真環(huán)境進行的可疑流量分析檢測可以包括:對各虛擬機仿真環(huán)境進行文件變更檢測、配置變更檢測、網(wǎng)絡(luò)連接檢測、數(shù)據(jù)傳輸檢測,以便從多個維度進行可疑流量分析檢測。

攻擊初定單元333,用于對比行為數(shù)據(jù)確定單元332確定的行為數(shù)據(jù)和基線數(shù)據(jù)確定模塊34確定的基線數(shù)據(jù),初步判定引起仿真環(huán)境變化的行為是否是網(wǎng)絡(luò)攻擊。

本發(fā)明上述實施例將引起虛擬機仿真環(huán)境改變的行為數(shù)據(jù),與基于虛擬機仿真環(huán)境初始配置生成的基線數(shù)據(jù)進行比較,確定引起仿真 環(huán)境變化的行為是否是網(wǎng)絡(luò)攻擊,由此可以方便地識別出未知的網(wǎng)絡(luò)攻擊。

在本發(fā)明的一個實施例中,如圖4所示,該防火墻系統(tǒng)3還可以包括流量數(shù)據(jù)確定模塊35,其中:

響應(yīng)于流量導(dǎo)入模塊32將該流量導(dǎo)入虛擬機仿真環(huán)境2,流量數(shù)據(jù)確定模塊35,用于記錄訪問虛擬機仿真環(huán)境2所產(chǎn)生的流量數(shù)據(jù)。

如圖5所示,第一攻擊確定模塊33還可以包括攻擊確定單元334,其中:

響應(yīng)于攻擊初定單元333初步判定引起仿真環(huán)境變化的行為是網(wǎng)絡(luò)攻擊,攻擊確定單元334,用于通過匹配量數(shù)據(jù)確定模塊35確定的流量數(shù)據(jù),和行為數(shù)據(jù)確定單元332確定的行為數(shù)據(jù)中的時間、源IP、目的IP,在攻擊初定單元333判定結(jié)果的基礎(chǔ)上,進一步確定引起仿真環(huán)境變化的行為是否是網(wǎng)絡(luò)攻擊。

本發(fā)明上述實施例在基于行為數(shù)據(jù)初步判定的基礎(chǔ)上,通過匹配流量數(shù)據(jù)和行為數(shù)據(jù)中的時間、源IP、目的IP,以進一步確定引起仿真環(huán)境變化的行為是否是網(wǎng)絡(luò)攻擊,從而提高了識別未知網(wǎng)絡(luò)攻擊的精確度。

在本發(fā)明的一個實施例中,如圖4所示,該防火墻系統(tǒng)3還可以包括第二攻擊確定模塊36,其中:

響應(yīng)于流量檢測模塊31檢測到有流量穿越防火墻,第二攻擊確定模塊36,用于對該流量進行攻擊特征檢測,以判定主機是否受到已知的網(wǎng)絡(luò)攻擊;

響應(yīng)于第二攻擊確定模塊36判定主機受到已知的網(wǎng)絡(luò)攻擊,流量導(dǎo)入模塊32用于執(zhí)行將該流量導(dǎo)入虛擬機仿真環(huán)境的操作。

本發(fā)明上述實施例對未知攻擊的檢測與對已知攻擊的特征檢測相結(jié)合,從而進一步提高了對所有類型網(wǎng)絡(luò)攻擊的識別和阻斷能力。

在本發(fā)明的一個實施例中,如圖4所示,該防火墻系統(tǒng)3還可以包括攻擊阻斷模塊37,其中:

響應(yīng)于第一攻擊確定模塊33或攻擊確定模塊36確定主機受到網(wǎng) 絡(luò)攻擊,攻擊阻斷模塊37,用于將該網(wǎng)絡(luò)攻擊的源IP加入黑名單,并清除防火墻中與所述源IP相關(guān)的數(shù)據(jù),以阻斷網(wǎng)絡(luò)攻擊。

響應(yīng)于第一攻擊確定模塊33或攻擊確定模塊36確定主機受到網(wǎng)絡(luò)攻擊,攻擊阻斷模塊37還用于自動調(diào)整攻擊防御策略,攔截攻擊并告警。

圖6為本發(fā)明用于檢測網(wǎng)絡(luò)攻擊的防火墻系統(tǒng)又一實施例的示意圖。圖6中的防火墻系統(tǒng)6包括:探針裝置61和攻擊行為深度分析裝置62,其中:

探針裝置61,用于執(zhí)行圖3-圖5實施例中流量檢測模塊31、流量導(dǎo)入模塊32、基線數(shù)據(jù)確定模塊34、環(huán)境檢測單元331、行為數(shù)據(jù)確定單元332和流量數(shù)據(jù)確定模塊35的功能。

攻擊行為深度分析裝置62,用于執(zhí)行圖4-圖5實施例中攻擊初定單元333、攻擊確定單元334和攻擊阻斷模塊37的功能。

具體而言,圖6中的防火墻系統(tǒng)執(zhí)行攻擊檢測的流程包括:

1.探針裝置61針對攻擊檢測過程,首先要生成虛擬機仿真環(huán)境的基線數(shù)據(jù)庫63。

2.探針裝置61把流量導(dǎo)入虛擬機仿真環(huán)境,開始建立流量數(shù)據(jù)庫64。

3.當虛擬機仿真環(huán)境發(fā)生變化,探針裝置61對各虛擬機仿真環(huán)境進行文件變更檢測、配置變更檢測、網(wǎng)絡(luò)連接檢測、數(shù)據(jù)傳輸檢測,多個維度進行可疑流量分析檢測;同時,當虛擬機上的配置發(fā)生變化后,探針裝置61檢測到變化,生成行為數(shù)據(jù)庫65。

4.攻擊行為深度分析裝置62對行為數(shù)據(jù)庫65與基線數(shù)據(jù)庫63進行關(guān)聯(lián)比較,通過引起基線變化的行為初步判斷系統(tǒng)是否被攻擊,是的話則進一步匹配流量數(shù)據(jù)庫64和行為數(shù)據(jù)庫65中的時間、源IP、目的IP等字段,進一步分析結(jié)果。

5.如果判斷是攻擊,則攻擊行為深度分析裝置62把源IP加入黑名單,并在內(nèi)存中清除session,從而阻斷攻擊。

本發(fā)明上述實施例提出了一種能檢測新型攻擊的防火墻系統(tǒng),在 現(xiàn)有的傳統(tǒng)防火墻上新增了探針模塊和攻擊行為深度分析模塊,提出的方法是把流量引入到攻擊行為深度分析模塊中,并借助虛擬機仿真環(huán)境構(gòu)建環(huán)境基線數(shù)據(jù)庫,流量數(shù)據(jù)庫和行為數(shù)據(jù)庫。當虛擬機仿真環(huán)境發(fā)生變化后,探針模塊進行文件變更檢測、配置變更檢測、網(wǎng)絡(luò)連接檢測、數(shù)據(jù)傳輸檢測,通過多個維度進行可疑流量的分析,能發(fā)現(xiàn)未知攻擊并進行阻斷。

在上面所描述的流量檢測模塊31、流量導(dǎo)入模塊32、第一攻擊確定模塊33、基線數(shù)據(jù)確定模塊34、流量數(shù)據(jù)確定模塊35、第二攻擊確定模塊36、攻擊阻斷模塊37等功能單元可以實現(xiàn)為用于執(zhí)行本申請所描述功能的通用處理器、可編程邏輯控制器(PLC)、數(shù)字信號處理器(DSP)、專用集成電路(ASIC)、現(xiàn)場可編程門陣列(FPGA)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件或者其任意適當組合。

至此,已經(jīng)詳細描述了本發(fā)明。為了避免遮蔽本發(fā)明的構(gòu)思,沒有描述本領(lǐng)域所公知的一些細節(jié)。本領(lǐng)域技術(shù)人員根據(jù)上面的描述,完全可以明白如何實施這里公開的技術(shù)方案。

本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例的全部或部分步驟可以通過硬件來完成,也可以通過程序來指令相關(guān)的硬件完成,所述的程序可以存儲于一種計算機可讀存儲介質(zhì)中,上述提到的存儲介質(zhì)可以是只讀存儲器,磁盤或光盤等。

本發(fā)明的描述是為了示例和描述起見而給出的,而并不是無遺漏的或者將本發(fā)明限于所公開的形式。很多修改和變化對于本領(lǐng)域的普通技術(shù)人員而言是顯然的。選擇和描述實施例是為了更好說明本發(fā)明的原理和實際應(yīng)用,并且使本領(lǐng)域的普通技術(shù)人員能夠理解本發(fā)明從而設(shè)計適于特定用途的帶有各種修改的各種實施例。

當前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1