一種網(wǎng)絡(luò)攻擊行為的確定方法和裝置的制造方法
【專利摘要】本發(fā)明提供一種網(wǎng)絡(luò)攻擊行為的確定方法和裝置,該方法包括:IPS設(shè)備在檢測到針對(duì)服務(wù)器的攻擊信息之后,判斷所述攻擊信息是否符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略;如果是,則IPS設(shè)備將漏洞掃描參考信息發(fā)送給漏洞掃描設(shè)備,由所述漏洞掃描設(shè)備利用所述漏洞掃描參考信息進(jìn)行漏洞掃描;IPS設(shè)備接收所述漏洞掃描設(shè)備返回的漏洞掃描結(jié)果,并利用所述攻擊信息和所述漏洞掃描結(jié)果確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為。通過本發(fā)明的技術(shù)方案,通過將IPS設(shè)備的攻擊信息以及漏洞掃描設(shè)備的漏洞掃描結(jié)果進(jìn)行聯(lián)動(dòng),對(duì)于檢測出的攻擊,IPS設(shè)備能夠檢測到攻擊行為的存在,而且也能夠檢測到這些攻擊是否對(duì)服務(wù)器產(chǎn)生威脅或者破壞,更加準(zhǔn)確的過濾攻擊。
【專利說明】
一種網(wǎng)絡(luò)攻擊行為的確定方法和裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其是一種網(wǎng)絡(luò)攻擊行為的確定方法和裝置。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)應(yīng)用越來越深入人們的生活和工作,各種網(wǎng)絡(luò)攻擊也層出不窮,每時(shí)每刻都可能面臨著新的網(wǎng)絡(luò)攻擊手段,尤其是一些重要的網(wǎng)絡(luò)流量節(jié)點(diǎn),如大型企業(yè)單位、政府機(jī)構(gòu)、運(yùn)營商等,每時(shí)每刻都面臨著大量的網(wǎng)絡(luò)攻擊威脅。在這一情況下,對(duì)IPS (Intrus1n Prevent1n System,入侵防御系統(tǒng))設(shè)備提出了更高要求。IPS設(shè)備是網(wǎng)絡(luò)安全設(shè)施,是對(duì)防病毒軟件和防火墻的補(bǔ)充,是能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的網(wǎng)絡(luò)安全設(shè)備,能夠即時(shí)中斷、調(diào)整或隔離不正?;蚓哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。
[0003]在IPS設(shè)備檢測出的網(wǎng)絡(luò)攻擊中,經(jīng)常會(huì)出現(xiàn)大量無效攻擊,例如針對(duì)服務(wù)器的XSS (Cross Site Scripting,跨站腳本攻擊)攻擊或者 SQL (Structured Query Language,結(jié)構(gòu)化查詢語言)注入攻擊。其中,XSS攻擊是指:惡意攻擊者向Web(互聯(lián)網(wǎng))頁面中,插入惡意的HTML (Hyper Text Markup Language,超級(jí)文本標(biāo)記語言)代碼,當(dāng)用戶瀏覽該Web頁面時(shí),嵌入在其中的HTML代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的。SQL注入攻擊是指:通過將SQL命令插入到Web表單提交或輸入域名或頁面請(qǐng)求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令;具體的,SQL注入攻擊是利用現(xiàn)有的應(yīng)用程序,將(惡意)的SQL命令注入到后臺(tái)數(shù)據(jù)庫引擎執(zhí)行的能力,可以通過在Web表單中輸入(惡意)SQL語句,得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫,而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語句。
[0004]對(duì)于檢測出的攻擊,IPS設(shè)備只能檢測到攻擊行為的存在,并不能知道這些攻擊是否對(duì)服務(wù)器產(chǎn)生威脅或者破壞。當(dāng)管理員看到攻擊日志后,同樣無法分辨出這些攻擊是否真的是潛在威脅,通常只能向服務(wù)器廠商的專業(yè)維護(hù)人員求證,或?qū)Ψ?wù)器做檢測,這個(gè)過程會(huì)消耗大量人力物力,效率低下。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供一種網(wǎng)絡(luò)攻擊行為的確定方法,所述方法包括以下步驟:
[0006]入侵防御系統(tǒng)IPS設(shè)備在檢測到針對(duì)服務(wù)器的攻擊信息之后,判斷所述攻擊信息是否符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略;
[0007]如果是,則所述IPS設(shè)備將漏洞掃描參考信息發(fā)送給漏洞掃描設(shè)備,由所述漏洞掃描設(shè)備利用所述漏洞掃描參考信息進(jìn)行漏洞掃描;
[0008]所述IPS設(shè)備接收所述漏洞掃描設(shè)備返回的漏洞掃描結(jié)果,并利用所述攻擊信息和所述漏洞掃描結(jié)果確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為。
[0009]所述IPS設(shè)備利用所述攻擊信息和所述漏洞掃描結(jié)果確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為,具體包括:
[0010]當(dāng)所述漏洞掃描結(jié)果為所述服務(wù)器上存在漏洞時(shí),所述IPS設(shè)備利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在;當(dāng)所述漏洞掃描結(jié)果為所述服務(wù)器上不存在漏洞時(shí),所述IPS設(shè)備利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為不存在。
[0011]所述IPS設(shè)備確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在之后,所述方法進(jìn)一步包括:所述IPS設(shè)備提升所述服務(wù)器的告警級(jí)別,并利用提升之后的告警級(jí)別所對(duì)應(yīng)的告警策略,對(duì)所述服務(wù)器進(jìn)行安全處理。
[0012]所述漏洞掃描聯(lián)動(dòng)策略的參數(shù)具體包括以下之一或者任意組合:IP地址、端口、協(xié)議、時(shí)間段、用戶名、攻擊頻率、操作系統(tǒng)類型、應(yīng)用軟件類型、IT資源類型。所述漏洞掃描參考信息具體包括:所述服務(wù)器的IP地址、操作系統(tǒng)類型和/或應(yīng)用軟件類型。
[0013]本發(fā)明提供一種網(wǎng)絡(luò)攻擊行為的確定裝置,所述網(wǎng)絡(luò)攻擊行為的確定裝置應(yīng)用在入侵防御系統(tǒng)IPS設(shè)備上,所述網(wǎng)絡(luò)攻擊行為的確定裝置包括:
[0014]判斷模塊,用于在檢測到針對(duì)服務(wù)器的攻擊信息之后,判斷所述攻擊信息是否符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略;
[0015]發(fā)送模塊,用于當(dāng)判斷結(jié)果為是時(shí),將漏洞掃描參考信息發(fā)送給漏洞掃描設(shè)備,由所述漏洞掃描設(shè)備利用所述漏洞掃描參考信息進(jìn)行漏洞掃描;
[0016]確定模塊,用于接收所述漏洞掃描設(shè)備返回的漏洞掃描結(jié)果,并利用所述攻擊信息和所述漏洞掃描結(jié)果確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為。
[0017]所述確定模塊,具體用于在利用攻擊信息和漏洞掃描結(jié)果確定針對(duì)服務(wù)器的網(wǎng)絡(luò)攻擊行為的過程中,當(dāng)所述漏洞掃描結(jié)果為所述服務(wù)器上存在漏洞時(shí),利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在;當(dāng)所述漏洞掃描結(jié)果為所述服務(wù)器上不存在漏洞時(shí),利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為不存在。
[0018]所述確定模塊,進(jìn)一步用于在確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在之后,提升所述服務(wù)器的告警級(jí)別,并利用提升之后的告警級(jí)別所對(duì)應(yīng)的告警策略,對(duì)所述服務(wù)器進(jìn)行安全處理。
[0019]所述漏洞掃描聯(lián)動(dòng)策略的參數(shù)具體包括以下之一或者任意組合:IP地址、端口、協(xié)議、時(shí)間段、用戶名、攻擊頻率、操作系統(tǒng)類型、應(yīng)用軟件類型、IT資源類型。所述漏洞掃描參考信息包括:所述服務(wù)器的IP地址、操作系統(tǒng)類型和/或應(yīng)用軟件類型。
[0020]基于上述技術(shù)方案,本發(fā)明實(shí)施例中,通過將IPS設(shè)備的攻擊信息以及漏洞掃描設(shè)備的漏洞掃描結(jié)果進(jìn)行聯(lián)動(dòng),對(duì)于檢測出的攻擊,IPS設(shè)備能夠檢測到攻擊行為的存在,而且也能夠檢測到這些攻擊是否對(duì)服務(wù)器產(chǎn)生威脅或者破壞,更加準(zhǔn)確的過濾攻擊。在上述方式中,以IPS設(shè)備和漏洞掃描設(shè)備之間的自動(dòng)聯(lián)動(dòng)機(jī)制,取代了靠人工手動(dòng)分析網(wǎng)絡(luò)攻擊信息,再做服務(wù)器漏洞分析,然后手工調(diào)整防御策略的方式,極大的提高了對(duì)攻擊分析的效率,提升了對(duì)內(nèi)部服務(wù)器的防護(hù)時(shí)效性,同時(shí)也節(jié)約了大量的人工成本。
【附圖說明】
[0021]圖1是本發(fā)明一種實(shí)施方式中的網(wǎng)絡(luò)攻擊行為的確定方法的流程圖;
[0022]圖2是本發(fā)明一種實(shí)施方式中的IPS設(shè)備的硬件結(jié)構(gòu)圖;
[0023]圖3是本發(fā)明一種實(shí)施方式中的網(wǎng)絡(luò)攻擊行為的確定裝置的結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0024]針對(duì)現(xiàn)有技術(shù)中存在的問題,本發(fā)明實(shí)施例中提出一種網(wǎng)絡(luò)攻擊行為的確定方法,該方法應(yīng)用于包括IPS設(shè)備和漏洞掃描設(shè)備的系統(tǒng)中。其中,IPS設(shè)備通過配置的大量攻擊防御規(guī)則,檢測發(fā)送給服務(wù)器的數(shù)據(jù)報(bào)文中是否存在異常或者攻擊載荷,并在數(shù)據(jù)報(bào)文中存在異?;蛘吖糨d荷時(shí),拒絕將數(shù)據(jù)報(bào)文發(fā)送給服務(wù)器,在數(shù)據(jù)報(bào)文中不存在異?;蛘吖糨d荷時(shí),允許將數(shù)據(jù)報(bào)文發(fā)送給服務(wù)器。漏洞掃描設(shè)備通過進(jìn)行漏洞掃描,可以明確知道服務(wù)器所使用的操作系統(tǒng)、應(yīng)用程序等存在一些什么樣的漏洞。在上述應(yīng)用場景下,如圖1所示,該網(wǎng)絡(luò)攻擊行為的確定方法具體可以包括以下步驟:
[0025]步驟101,IPS設(shè)備在檢測到針對(duì)服務(wù)器的攻擊信息之后,判斷該攻擊信息是否符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略。如果是,則執(zhí)行步驟102。
[0026]IPS設(shè)備在接收到數(shù)據(jù)報(bào)文時(shí),可以檢測到發(fā)送給服務(wù)器的數(shù)據(jù)報(bào)文中是否存在異?;蛘吖糨d荷,如果是,則可以檢測到針對(duì)服務(wù)器的攻擊信息。例如,當(dāng)數(shù)據(jù)報(bào)文是針對(duì)服務(wù)器的XSS攻擊或者SQL注入攻擊時(shí),IPS設(shè)備可以檢測出針對(duì)服務(wù)器的XSS攻擊或者SQL注入攻擊。此時(shí),IPS設(shè)備只能檢測到攻擊行為的存在,不能知道這些攻擊是否對(duì)服務(wù)器產(chǎn)生威脅或者破壞。
[0027]本發(fā)明實(shí)施例中,IPS設(shè)備在檢測到針對(duì)服務(wù)器的攻擊時(shí),IPS設(shè)備可以直接獲得針對(duì)該服務(wù)器的攻擊信息,該攻擊信息具體可以包括但不限于以下之一或者任意組合:IP地址(如服務(wù)器的IP地址,其為數(shù)據(jù)報(bào)文的目的IP地址)、端口(如數(shù)據(jù)報(bào)文的目的端口)、協(xié)議(如數(shù)據(jù)報(bào)文中攜帶的協(xié)議類型)、時(shí)間段(如檢測到攻擊行為時(shí)的時(shí)間段)、用戶名(如數(shù)據(jù)報(bào)文對(duì)應(yīng)的用戶設(shè)備的用戶名信息)、攻擊頻率(如針對(duì)該服務(wù)器的攻擊所產(chǎn)生的攻擊頻率)、操作系統(tǒng)類型(如針對(duì)該服務(wù)器的攻擊所對(duì)應(yīng)的操作系統(tǒng)類型)、應(yīng)用軟件類型(如針對(duì)該服務(wù)器的攻擊所對(duì)應(yīng)的應(yīng)用軟件類型)、IT(信息技術(shù))資源類型(如針對(duì)該服務(wù)器的攻擊所對(duì)應(yīng)的IT資源類型)。
[0028]本發(fā)明實(shí)施例中,漏洞掃描聯(lián)動(dòng)策略的參數(shù)具體可以包括但不限于以下之一或者任意組合:IP地址、端口、協(xié)議、時(shí)間段、用戶名、攻擊頻率、操作系統(tǒng)類型、應(yīng)用軟件類型、IT資源類型。例如,漏洞掃描聯(lián)動(dòng)策略可以包括:漏洞掃描聯(lián)動(dòng)策略1,該漏洞掃描聯(lián)動(dòng)策略I為IP地址A、端口 A、協(xié)議A、時(shí)間段A、用戶名A、攻擊頻率A、操作系統(tǒng)類型A、應(yīng)用軟件類型A、IT資源類型A ;漏洞掃描聯(lián)動(dòng)策略2,該漏洞掃描聯(lián)動(dòng)策略2為IP地址B、端口 B、協(xié)議B、時(shí)間段B、攻擊頻率B、操作系統(tǒng)類型B ;漏洞掃描聯(lián)動(dòng)策略3,該漏洞掃描聯(lián)動(dòng)策略3為IP地址C、端口 C、協(xié)議C、時(shí)間段C、攻擊頻率C、操作系統(tǒng)類型C、應(yīng)用軟件類型C、IT資源類型C。
[0029]基于實(shí)際需要,可以預(yù)先在IPS設(shè)備上配置漏洞掃描聯(lián)動(dòng)策略,該漏洞掃描聯(lián)動(dòng)策略中的內(nèi)容可以任意選擇,具體的配置方式在此不再贅述。
[0030]基于上述漏洞掃描聯(lián)動(dòng)策略,如果攻擊信息與漏洞掃描聯(lián)動(dòng)策略中的各參數(shù)匹配,則說明該攻擊信息符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略,執(zhí)行步驟102。如果攻擊信息與漏洞掃描聯(lián)動(dòng)策略中的各參數(shù)不匹配,則說明該攻擊信息不符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略,采用現(xiàn)有流程進(jìn)行后續(xù)處理。
[0031]例如,當(dāng)攻擊信息具體包括IP地址A、端口 A、協(xié)議A、時(shí)間段A、用戶名A、攻擊頻率A、操作系統(tǒng)類型A、應(yīng)用軟件類型A、IT資源類型A時(shí),則說明該攻擊信息符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略I,執(zhí)行步驟102。
[0032]步驟102,IPS設(shè)備將漏洞掃描參考信息發(fā)送給漏洞掃描設(shè)備,由該漏洞掃描設(shè)備利用該漏洞掃描參考信息進(jìn)行漏洞掃描。本發(fā)明實(shí)施例中,漏洞掃描參考信息具體可以包括但不限于:服務(wù)器的IP地址(如數(shù)據(jù)報(bào)文的目的IP地址)、操作系統(tǒng)類型(如針對(duì)該服務(wù)器的攻擊所對(duì)應(yīng)的操作系統(tǒng)類型)和/或應(yīng)用軟件類型(如針對(duì)該服務(wù)器的攻擊所對(duì)應(yīng)的應(yīng)用軟件類型)。
[0033]本發(fā)明實(shí)施例中,漏洞掃描設(shè)備在接收到來自IPS設(shè)備的漏洞掃描參考信息后,可以利用該漏洞掃描參考信息進(jìn)行漏洞掃描。漏洞掃描設(shè)備在利用服務(wù)器的IP地址、操作系統(tǒng)類型和/或應(yīng)用軟件類型進(jìn)行漏洞掃描時(shí),基于該服務(wù)器的IP地址,可以檢測到該服務(wù)器上的操作系統(tǒng)類型和/或應(yīng)用軟件類型是否存在漏洞。如果存在漏洞,則漏洞掃描結(jié)果為服務(wù)器上存在漏洞;如果不存在漏洞,則漏洞掃描結(jié)果為服務(wù)器上不存在漏洞。
[0034]其中,操作系統(tǒng)類型為服務(wù)器的操作系統(tǒng)類型,如可以為Windows系統(tǒng)、Linux系統(tǒng)等。應(yīng)用軟件類型為服務(wù)器支持應(yīng)用對(duì)應(yīng)的軟件類型,如當(dāng)支持SMTP (Simple MailTransfer Protocol,簡單郵件傳輸協(xié)議)應(yīng)用時(shí),則應(yīng)用軟件類型為SMTP軟件,當(dāng)支持HTTP (Hyper Text Transfer Protocol,超文本傳輸協(xié)議)應(yīng)用時(shí),則應(yīng)用軟件類型為HTTP軟件,當(dāng)支持SSH(Secure Shell,安全外殼協(xié)議)應(yīng)用時(shí),則應(yīng)用軟件類型為SSH軟件。
[0035]本發(fā)明實(shí)施例中,漏洞掃描設(shè)備上可以預(yù)先配置漏洞列表,該漏洞列表的內(nèi)容可以預(yù)先配置或者在實(shí)際應(yīng)用中動(dòng)態(tài)更新,該漏洞列表內(nèi)記錄了操作系統(tǒng)類型和/或應(yīng)用軟件類型、與漏洞信息之間的對(duì)應(yīng)關(guān)系。基于此漏洞列表,漏洞掃描設(shè)備在利用操作系統(tǒng)類型和/或應(yīng)用軟件類型進(jìn)行漏洞掃描時(shí),可以直接通過該操作系統(tǒng)類型和/或應(yīng)用軟件類型查詢?cè)撀┒戳斜?。如果該漏洞列表?nèi)存在該操作系統(tǒng)類型和/或應(yīng)用軟件類型對(duì)應(yīng)的漏洞信息,則說明存在漏洞,漏洞掃描設(shè)備獲知漏洞掃描結(jié)果為服務(wù)器上存在漏洞;如果該漏洞列表內(nèi)不存在該操作系統(tǒng)類型和/或應(yīng)用軟件類型對(duì)應(yīng)的漏洞信息,則說明不存在漏洞,漏洞掃描設(shè)備獲知漏洞掃描結(jié)果為服務(wù)器上不存在漏洞。
[0036]本發(fā)明實(shí)施例的另一方式中,漏洞掃描設(shè)備在接收到來自IPS設(shè)備的漏洞掃描參考信息后,可以利用該漏洞掃描參考信息進(jìn)行漏洞掃描。漏洞掃描設(shè)備在利用服務(wù)器的IP地址、操作系統(tǒng)類型和/或應(yīng)用軟件類型進(jìn)行漏洞掃描時(shí),基于該服務(wù)器的IP地址、操作系統(tǒng)類型和/或應(yīng)用軟件類型,漏洞掃描設(shè)備可以對(duì)該服務(wù)器進(jìn)行漏洞掃描,具體的漏洞掃描方式在此不再贅述。
[0037]本發(fā)明實(shí)施例中,漏洞掃描設(shè)備在獲得漏洞掃描結(jié)果(服務(wù)器上存在漏洞或者服務(wù)器上不存在漏洞)后,將漏洞掃描結(jié)果發(fā)送給IPS設(shè)備。
[0038]步驟103,IPS設(shè)備接收漏洞掃描設(shè)備返回的漏洞掃描結(jié)果,并利用攻擊信息和漏洞掃描結(jié)果確定針對(duì)服務(wù)器的網(wǎng)絡(luò)攻擊行為。
[0039]本發(fā)明實(shí)施例中,IPS設(shè)備利用攻擊信息和漏洞掃描結(jié)果確定針對(duì)服務(wù)器的網(wǎng)絡(luò)攻擊行為的過程,具體可以包括但不限于:當(dāng)漏洞掃描結(jié)果為服務(wù)器上存在漏洞時(shí),IPS設(shè)備利用攻擊信息和漏洞掃描結(jié)果,確定針對(duì)服務(wù)器的網(wǎng)絡(luò)攻擊行為存在;當(dāng)漏洞掃描結(jié)果為服務(wù)器上不存在漏洞時(shí),IPS設(shè)備利用攻擊信息和漏洞掃描結(jié)果,確定針對(duì)服務(wù)器的網(wǎng)絡(luò)攻擊行為不存在。
[0040]其中,當(dāng)數(shù)據(jù)報(bào)文是針對(duì)服務(wù)器的XSS攻擊或者SQL注入攻擊時(shí),IPS設(shè)備可以檢測出針對(duì)服務(wù)器的XSS攻擊或者SQL注入攻擊,此時(shí),IPS設(shè)備只能檢測到攻擊行為的存在,不能知道這些攻擊是否對(duì)服務(wù)器產(chǎn)生威脅或者破壞。當(dāng)漏洞掃描結(jié)果為服務(wù)器上存在漏洞時(shí),IPS設(shè)備基于攻擊信息可以確認(rèn)攻擊行為的存在,IPS設(shè)備基于漏洞掃描結(jié)果可以確認(rèn)服務(wù)器上存在漏洞,因此,IPS設(shè)備基于攻擊信息和漏洞掃描結(jié)果,可以確定針對(duì)服務(wù)器的網(wǎng)絡(luò)攻擊行為存在,即檢測到的攻擊行為對(duì)服務(wù)器產(chǎn)生威脅或者破壞。
[0041]其中,當(dāng)數(shù)據(jù)報(bào)文是針對(duì)服務(wù)器的XSS攻擊或者SQL注入攻擊時(shí),IPS設(shè)備可以檢測出針對(duì)服務(wù)器的XSS攻擊或者SQL注入攻擊,此時(shí),IPS設(shè)備只能檢測到攻擊行為的存在,不能知道這些攻擊是否對(duì)服務(wù)器產(chǎn)生威脅或者破壞。當(dāng)漏洞掃描結(jié)果為服務(wù)器上不存在漏洞時(shí),IPS設(shè)備基于攻擊信息可以確認(rèn)攻擊行為的存在,IPS設(shè)備基于漏洞掃描結(jié)果可以確認(rèn)服務(wù)器上不存在漏洞,因此,IPS設(shè)備基于攻擊信息和漏洞掃描結(jié)果,確定針對(duì)服務(wù)器的網(wǎng)絡(luò)攻擊行為不存在,即檢測到的攻擊行為不對(duì)服務(wù)器產(chǎn)生威脅或者破壞。
[0042]本發(fā)明實(shí)施例中,在IPS設(shè)備確定針對(duì)服務(wù)器的網(wǎng)絡(luò)攻擊行為存在之后,IPS設(shè)備還可以提升服務(wù)器的告警級(jí)別,并利用提升之后的告警級(jí)別所對(duì)應(yīng)的告警策略,對(duì)服務(wù)器進(jìn)行安全處理。此外,在IPS設(shè)備確定針對(duì)服務(wù)器的網(wǎng)絡(luò)攻擊行為不存在之后,IPS設(shè)備還可以降低服務(wù)器的告警級(jí)別,并利用降低之后的告警級(jí)別所對(duì)應(yīng)的告警策略,對(duì)服務(wù)器進(jìn)行安全處理。
[0043]其中,按照告警級(jí)別從低到高的順序,相應(yīng)的告警策略具體可以包括但不限于:記錄告警日志,阻斷流量,通知管理員,關(guān)閉服務(wù)器等。
[0044]本發(fā)明實(shí)施例中,當(dāng)告警策略為記錄告警日志時(shí),則IPS設(shè)備對(duì)服務(wù)器進(jìn)行安全處理的過程具體可以包括:IPS設(shè)備記錄告警日志。當(dāng)告警策略為阻斷流量時(shí),則IPS設(shè)備對(duì)服務(wù)器進(jìn)行安全處理的過程具體可以包括:IPS設(shè)備丟棄當(dāng)前發(fā)送給服務(wù)器的數(shù)據(jù)報(bào)文。當(dāng)告警策略為通知管理員時(shí),則IPS設(shè)備對(duì)服務(wù)器進(jìn)行安全處理的過程具體可以包括:IPS設(shè)備通知管理員及時(shí)修復(fù)相應(yīng)的漏洞。當(dāng)告警策略為關(guān)閉服務(wù)器時(shí),則IPS設(shè)備對(duì)服務(wù)器進(jìn)行安全處理的過程具體可以包括:IPS設(shè)備關(guān)閉服務(wù)器,不再向服務(wù)器發(fā)送報(bào)文。
[0045]基于上述技術(shù)方案,本發(fā)明實(shí)施例中,通過將IPS設(shè)備的攻擊信息以及漏洞掃描設(shè)備的漏洞掃描結(jié)果進(jìn)行聯(lián)動(dòng),對(duì)于檢測出的攻擊,IPS設(shè)備能夠檢測到攻擊行為的存在,而且也能夠檢測到這些攻擊是否對(duì)服務(wù)器產(chǎn)生威脅或者破壞,更加準(zhǔn)確的過濾攻擊。在上述方式中,IPS設(shè)備能夠智能的對(duì)網(wǎng)絡(luò)中存在的攻擊行為進(jìn)行分析,過濾掉其中無效的攻擊,從而減輕人工維護(hù)的代價(jià)。而且,通過對(duì)IPS設(shè)備和漏洞掃描設(shè)備的結(jié)果進(jìn)行聯(lián)合分析,使得IPS設(shè)備能夠更加準(zhǔn)確的過濾攻擊。而且,以IPS設(shè)備和漏洞掃描設(shè)備之間的自動(dòng)聯(lián)動(dòng)機(jī)制,取代了靠人工手動(dòng)分析網(wǎng)絡(luò)攻擊信息,再做服務(wù)器漏洞分析,然后手工調(diào)整防御策略的方式,極大的提高了對(duì)攻擊分析的效率,提升了對(duì)內(nèi)部服務(wù)器的防護(hù)時(shí)效性,同時(shí)也可以節(jié)約了大量的人工成本。
[0046]基于與上述方法同樣的發(fā)明構(gòu)思,本發(fā)明實(shí)施例中還提供了一種網(wǎng)絡(luò)攻擊行為的確定裝置,該網(wǎng)絡(luò)攻擊行為的確定裝置應(yīng)用在IPS設(shè)備上。其中,該網(wǎng)絡(luò)攻擊行為的確定裝置可以通過軟件實(shí)現(xiàn),也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例,作為一個(gè)邏輯意義上的裝置,是通過其所在的IPS設(shè)備的處理器,將非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的。從硬件層面而言,如圖2所示,為本發(fā)明提出的網(wǎng)絡(luò)攻擊行為的確定裝置所在的IPS設(shè)備的一種硬件結(jié)構(gòu)圖,除了圖2所示的處理器、網(wǎng)絡(luò)接口、內(nèi)存以及非易失性存儲(chǔ)器外,IPS設(shè)備還可以包括其他硬件,如負(fù)責(zé)處理報(bào)文的轉(zhuǎn)發(fā)芯片等;從硬件結(jié)構(gòu)上來講,該IPS設(shè)備還可能是分布式設(shè)備,可能包括多個(gè)接口卡,以便在硬件層面進(jìn)行報(bào)文處理的擴(kuò)展。
[0047]如圖3所示,為本發(fā)明實(shí)施例中提出的網(wǎng)絡(luò)攻擊行為的確定裝置的結(jié)構(gòu)圖,所述網(wǎng)絡(luò)攻擊行為的確定裝置具體可以包括:
[0048]判斷模塊11,用于在檢測到針對(duì)服務(wù)器的攻擊信息之后,判斷所述攻擊信息是否符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略;
[0049]發(fā)送模塊12,用于當(dāng)判斷結(jié)果為是時(shí),將漏洞掃描參考信息發(fā)送給漏洞掃描設(shè)備,由所述漏洞掃描設(shè)備利用所述漏洞掃描參考信息進(jìn)行漏洞掃描;
[0050]確定模塊13,用于接收所述漏洞掃描設(shè)備返回的漏洞掃描結(jié)果,并利用所述攻擊信息和所述漏洞掃描結(jié)果確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為。
[0051]所述確定模塊13,具體用于在利用攻擊信息和漏洞掃描結(jié)果確定針對(duì)服務(wù)器的網(wǎng)絡(luò)攻擊行為的過程中,當(dāng)漏洞掃描結(jié)果為所述服務(wù)器上存在漏洞時(shí),利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在;當(dāng)所述漏洞掃描結(jié)果為所述服務(wù)器上不存在漏洞時(shí),利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為不存在。
[0052]本發(fā)明實(shí)施例中,所述確定模塊13,進(jìn)一步用于在確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在之后,提升所述服務(wù)器的告警級(jí)別,并利用提升之后的告警級(jí)別所對(duì)應(yīng)的告警策略,對(duì)所述服務(wù)器進(jìn)行安全處理。
[0053]本發(fā)明實(shí)施例中,所述漏洞掃描聯(lián)動(dòng)策略的參數(shù)具體包括以下之一或者任意組合:IP地址、端口、協(xié)議、時(shí)間段、用戶名、攻擊頻率、操作系統(tǒng)類型、應(yīng)用軟件類型、IT資源類型。所述漏洞掃描參考信息包括:所述服務(wù)器的IP地址、操作系統(tǒng)類型和/或應(yīng)用軟件類型。
[0054]其中,本發(fā)明裝置的各個(gè)模塊可以集成于一體,也可以分離部署。上述模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊。
[0055]通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn),當(dāng)然也可以通過硬件,但很多情況下前者是更佳的實(shí)施方式。基于這樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖,附圖中的模塊或流程并不一定是實(shí)施本發(fā)明所必須的。
[0056]本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分布于實(shí)施例的裝置中,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中。上述實(shí)施例的模塊可以合并為一個(gè)模塊,也可進(jìn)一步拆分成多個(gè)子模塊。上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述,不代表實(shí)施例的優(yōu)劣。
[0057]以上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例,但是,本發(fā)明并非局限于此,任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種網(wǎng)絡(luò)攻擊行為的確定方法,其特征在于,所述方法包括以下步驟: 入侵防御系統(tǒng)IPS設(shè)備在檢測到針對(duì)服務(wù)器的攻擊信息之后,判斷所述攻擊信息是否符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略; 如果是,則所述IPS設(shè)備將漏洞掃描參考信息發(fā)送給漏洞掃描設(shè)備,由所述漏洞掃描設(shè)備利用所述漏洞掃描參考信息進(jìn)行漏洞掃描; 所述IPS設(shè)備接收所述漏洞掃描設(shè)備返回的漏洞掃描結(jié)果,并利用所述攻擊信息和所述漏洞掃描結(jié)果確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為。2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述IPS設(shè)備利用所述攻擊信息和所述漏洞掃描結(jié)果確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為,具體包括: 當(dāng)所述漏洞掃描結(jié)果為所述服務(wù)器上存在漏洞時(shí),所述IPS設(shè)備利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在;當(dāng)所述漏洞掃描結(jié)果為所述服務(wù)器上不存在漏洞時(shí),所述IPS設(shè)備利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為不存在。3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述IPS設(shè)備確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在之后,所述方法進(jìn)一步包括: 所述IPS設(shè)備提升所述服務(wù)器的告警級(jí)別,并利用提升之后的告警級(jí)別所對(duì)應(yīng)的告警策略,對(duì)所述服務(wù)器進(jìn)行安全處理。4.根據(jù)權(quán)利要求1-3任一項(xiàng)所述的方法,其特征在于,所述漏洞掃描聯(lián)動(dòng)策略的參數(shù)具體包括以下之一或者任意組合:IP地址、端口、協(xié)議、時(shí)間段、用戶名、攻擊頻率、操作系統(tǒng)類型、應(yīng)用軟件類型、IT資源類型。5.根據(jù)權(quán)利要求1-3任一項(xiàng)所述的方法,其特征在于,所述漏洞掃描參考信息具體包括:所述服務(wù)器的IP地址、操作系統(tǒng)類型和/或應(yīng)用軟件類型。6.一種網(wǎng)絡(luò)攻擊行為的確定裝置,其特征在于,所述網(wǎng)絡(luò)攻擊行為的確定裝置應(yīng)用在入侵防御系統(tǒng)IPS設(shè)備上,所述網(wǎng)絡(luò)攻擊行為的確定裝置包括: 判斷模塊,用于在檢測到針對(duì)服務(wù)器的攻擊信息之后,判斷所述攻擊信息是否符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略; 發(fā)送模塊,用于當(dāng)判斷結(jié)果為是時(shí),將漏洞掃描參考信息發(fā)送給漏洞掃描設(shè)備,由所述漏洞掃描設(shè)備利用所述漏洞掃描參考信息進(jìn)行漏洞掃描; 確定模塊,用于接收所述漏洞掃描設(shè)備返回的漏洞掃描結(jié)果,并利用所述攻擊信息和所述漏洞掃描結(jié)果確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為。7.根據(jù)權(quán)利要求6所述的裝置,其特征在于, 所述確定模塊,具體用于在利用攻擊信息和漏洞掃描結(jié)果確定針對(duì)服務(wù)器的網(wǎng)絡(luò)攻擊行為的過程中,當(dāng)所述漏洞掃描結(jié)果為所述服務(wù)器上存在漏洞時(shí),利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在;當(dāng)所述漏洞掃描結(jié)果為所述服務(wù)器上不存在漏洞時(shí),利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為不存在。8.根據(jù)權(quán)利要求7所述的裝置,其特征在于, 所述確定模塊,進(jìn)一步用于在確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在之后,提升所述服務(wù)器的告警級(jí)別,并利用提升之后的告警級(jí)別所對(duì)應(yīng)的告警策略,對(duì)所述服務(wù)器進(jìn)行安全處理。9.根據(jù)權(quán)利要求6-8任一項(xiàng)所述的裝置,其特征在于,所述漏洞掃描聯(lián)動(dòng)策略的參數(shù)具體包括以下之一或者任意組合:IP地址、端口、協(xié)議、時(shí)間段、用戶名、攻擊頻率、操作系統(tǒng)類型、應(yīng)用軟件類型、IT資源類型。10.根據(jù)權(quán)利要求6-8任一項(xiàng)所述的裝置,其特征在于,所述漏洞掃描參考信息包括:所述服務(wù)器的IP地址、操作系統(tǒng)類型和/或應(yīng)用軟件類型。
【文檔編號(hào)】H04L29/06GK105939311SQ201510489691
【公開日】2016年9月14日
【申請(qǐng)日】2015年8月11日
【發(fā)明人】張寧, 翟世興
【申請(qǐng)人】杭州迪普科技有限公司