本發明專利技術公開一種用于檢測網絡攻擊的方法和防火墻系統。該方法包括:檢測是否有流量穿越防火墻;若檢測到有流量穿越防火墻,則將所述流量導入虛擬機仿真環境;通過監測所述虛擬機仿真環境產生的變化,確定主機是否受到網絡攻擊。本發明專利技術解決了過往防火墻設備無法檢測未知惡意攻擊的難題;同時把可疑流量引入到虛擬機仿真環境,減少了可疑流量對生產環境造成的不良影響。
【技術實現步驟摘要】
本專利技術涉及網絡與信息安全領域,特別涉及一種用于檢測網絡攻擊的方法和防火墻系統。
技術介紹
傳統的防火墻設備主要用于訪問流量的隔離控制,能檢測并防范常見的網絡層攻擊。隨著下一代防火墻的發展,防火墻設備能檢測并防御越來越多的應用層攻擊,在功能上趨向于入侵防御系統。但是,攻擊檢測原理都是基于攻擊的指紋特征的,無法發現未知的攻擊,從而也無法實現智能調整安全策略進行阻斷。
技術實現思路
鑒于以上技術問題,本專利技術提供了一種用于檢測網絡攻擊的方法和防火墻系統,可以檢測出未知惡意攻擊。根據本專利技術的一個方面,提供一種用于檢測網絡攻擊的方法,包括:檢測是否有流量穿越防火墻;若檢測到有流量穿越防火墻,則將所述流量導入虛擬機仿真環境;通過監測所述虛擬機仿真環境產生的變化確定主機是否受到網絡攻擊。在本專利技術的一個實施例中,在檢測是否有流量穿越防火墻的步驟之前,所述方法還包括:根據虛擬機仿真環境的初始配置生成基線數據;其中所述通過監測虛擬機仿真環境產生的變化確定主機是否受到網絡攻擊的步驟包括:檢測虛擬機仿真環境是否發生變化;若虛擬機仿真環境發生變化,則確定引起所述變化的行為數據;對比所述行為數據和所述基線數據,初步判定所述行為是否是網絡攻擊。在本專利技術的一個實施例中,所述的方法還包括:若將所述流量導入所述虛擬機仿真環境,則記錄訪問虛擬機仿真環境所產生的流量數據;其中所述通過監測虛擬機仿真環境產生的變化確定主機是否受到網絡攻擊的步驟還包括:若初步判定所述行為是網絡攻擊,則通過匹配所述流量數據和所述行為數據中的時間、源IP、目的IP,以進一步確定所述行為是否是網絡攻擊。在本專利技術的一個實施例中,所述的方法還包括:若主機受到網絡攻擊,則將所述網絡攻擊的源IP加入黑名單,并清除防火墻中與所述源IP相關的數據,以阻斷網絡攻擊。在本專利技術的一個實施例中,所述的方法還包括:若檢測到有流量穿越防火墻,則對所述流量進行攻擊特征檢測,以判定所述流量是否是已知網絡攻擊;若所述流量不是已知網絡攻擊,則執行將所述流量導入所述虛擬機仿真環境的步驟。根據本專利技術的另一方面,提供一種用于檢測網絡攻擊的防火墻系統,包括流量檢測模塊、流量導入模塊和第一攻擊確定模塊,其中:所述流量檢測模塊,用于檢測是否有流量穿越防火墻;響應于所述流量檢測模塊檢測到有流量穿越防火墻,所述流量導入模塊,用于將所述流量導入虛擬機仿真環境;所述第一攻擊確定模塊,用于通過監測所述虛擬機仿真環境產生的變化確定主機是否受到網絡攻擊。在本專利技術的一個實施例中,所述防火墻系統還包括基線數據確定模塊,其中:所述基線數據確定模塊,用于根據虛擬機仿真環境的初始配置生成基線數據,之后指示所述流量檢測模塊執行檢測是否有流量穿越防火墻的操作;所述第一攻擊確定模塊包括環境檢測單元、行為數據確定單元和攻擊初定單元,其中:所述環境檢測單元,用于檢測虛擬機仿真環境是否發生變化;響應于所述環境檢測單元檢測到虛擬機仿真環境發生變化,所述行為數據確定單元,用于確定引起所述變化的行為數據;所述攻擊初定單元,用于對比所述行為數據和所述基線數據,初步判定所述行為是否是網絡攻擊。在本專利技術的一個實施例中,所述防火墻系統還包括流量數據確定模塊,其中:響應于所述流量導入模塊將所述流量導入所述虛擬機仿真環境,所述流量數據確定模塊,用于記錄訪問虛擬機仿真環境所產生的流量數據;所述第一攻擊確定模塊還包括攻擊確定單元,其中:響應于所述攻擊初定單元初步判定所述行為是網絡攻擊,所述攻擊確定單元,用于通過匹配所述流量數據和所述行為數據中的時間、源IP、目的IP,以進一步確定所述行為是否是網絡攻擊。在本專利技術的一個實施例中,所述防火墻系統還包括攻擊阻斷模塊,其中:響應于所述第一攻擊確定模塊確定主機是否受到網絡攻擊,所述攻擊阻斷模塊,用于將所述網絡攻擊的源IP加入黑名單,并清除防火墻中與所述源IP相關的數據,以阻斷網絡攻擊。在本專利技術的一個實施例中,所述防火墻系統還包括第二攻擊確定模塊,其中:響應于所述流量檢測模塊檢測到有流量穿越防火墻,所述第二攻擊確定模塊,用于對所述流量進行攻擊特征檢測,以判定所述流量是否是已知網絡攻擊;響應于所述第二攻擊確定模塊判定所述流量不是已知網絡攻擊,所述流量導入模塊用于執行將所述流量導入所述虛擬機仿真環境的操作。本專利技術解決了過往防火墻設備無法檢測未知惡意攻擊的難題;同時把可疑流量引入到虛擬機仿真環境,減少了可疑流量對生產環境造成的不良影響。附圖說明為了更清楚地說明本專利技術實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本專利技術的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動性的前提下,還可以根據這些附圖獲得其他的附圖。圖1為本專利技術用于檢測網絡攻擊的方法一個實施例的示意圖。圖2為本專利技術用于檢測網絡攻擊的方法另一實施例的示意圖。圖3為本專利技術的用于檢測網絡攻擊的防火墻系統一個實施例的示意圖。圖4為本專利技術的用于檢測網絡攻擊的防火墻系統另一實施例的示意圖。圖5為本專利技術一個實施例第一攻擊確定模塊的示意圖。圖6為本專利技術用于檢測網絡攻擊的防火墻系統又一實施例的示意圖。具體實施方式下面將結合本專利技術實施例中的附圖,對本專利技術實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本專利技術一部分實施例,而不是全部的實施例。以下對至少一個示例性實施例的描述實際上僅僅是說明性的,決不作為對本專利技術及其應用或使用的任何限制。基于本專利技術中的實施例,本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例,都屬于本專利技術保護的范圍。除非另外具體說明,否則在這些實施例中闡述的部件和步驟的相對布置、數字表達式和數值不限制本專利技術的范圍。同時,應當明白,為了便于描述,附圖中所示出的各個部分的尺寸并不是按照實際的比例關系繪制的。對于相關領域普通技術人員已知的技術、方法和設備可能不作詳細討論,但在適當情況下,所述技術、方法和設備應當被視為授權說明書的一部分。在這里示出和討論的所有示例中,任何具體值應被解釋為僅僅是示例性的,而不是作為限制。因此,示例性實施例的其它示例可以具有不同的值。應注意到:相似的標號和字母在下面的附圖中表示類似項,因此,一旦某一項在一個附圖中被定義,則在隨后的附圖中不需要對其進行進一步討論。圖1為本專利技術用于檢測網絡攻擊的方法一個實施例的示意圖。優選的,本實施例可由本專利技術用于檢測網絡攻擊的防火墻系統執行。該方法包括以下步驟:步驟101,檢測是否有流量試圖穿越防火墻訪問主機。步驟102,若檢測到有流量試圖穿越防火墻訪問主機,則將該流量導入虛擬機仿真環境。其中,虛擬機是主機上通過軟件模擬的具有完整硬件系統功能的、運行在一個完全隔離環境中的計算機系統。可以對虛擬機建立快照,當系統發生改變后把系統恢復到建立快照時的狀態。虛擬機仿真環境是一套獨立的系統,虛擬機仿真環境上面安裝了主流的各種版本Windows,Linux操作系統,上面運行著數據庫、中間件、WEB系統,主要用于仿真真實的業務環境。各系統已經打補丁到最新的狀態。步驟103,通過監測該流量引起的虛擬機仿真環境的變化,來確定主機是否受到網絡攻擊。其中,虛擬機仿真環境產生的變化可以包括文本文檔來自技高網...
【技術保護點】
一種用于檢測網絡攻擊的方法,其特征在于,包括:檢測是否有流量穿越防火墻;若檢測到有流量穿越防火墻,則將所述流量導入虛擬機仿真環境;通過監測所述虛擬機仿真環境產生的變化確定主機是否受到網絡攻擊。
【技術特征摘要】
1.一種用于檢測網絡攻擊的方法,其特征在于,包括:檢測是否有流量穿越防火墻;若檢測到有流量穿越防火墻,則將所述流量導入虛擬機仿真環境;通過監測所述虛擬機仿真環境產生的變化確定主機是否受到網絡攻擊。2.根據權利要求1所述的方法,其特征在于,在檢測是否有流量穿越防火墻的步驟之前,還包括:根據虛擬機仿真環境的初始配置生成基線數據;所述通過監測虛擬機仿真環境產生的變化確定主機是否受到網絡攻擊的步驟包括:檢測虛擬機仿真環境是否發生變化;若虛擬機仿真環境發生變化,則確定引起所述變化的行為數據;對比所述行為數據和所述基線數據,初步判定所述行為是否是網絡攻擊。3.根據權利要求2所述的方法,其特征在于,還包括:若將所述流量導入所述虛擬機仿真環境,則記錄訪問虛擬機仿真環境所產生的流量數據;所述通過監測虛擬機仿真環境產生的變化確定主機是否受到網絡攻擊的步驟還包括:若初步判定所述行為是網絡攻擊,則通過匹配所述流量數據和所述行為數據中的時間、源IP、目的IP,以進一步確定所述行為是否是網絡攻擊。4.根據權利要求1所述的方法,其特征在于,還包括:若檢測到有流量穿越防火墻,則對所述流量進行攻擊特征檢測,
\t以判定主機是否受到已知的網絡攻擊;若主機受到已知的網絡攻擊,則執行將所述流量導入所述虛擬機仿真環境的步驟。5.根據權利要求1-4中任一項所述的方法,其特征在于,還包括:若主機受到網絡攻擊,則將所述網絡攻擊的源IP加入黑名單,并清除防火墻中與所述源IP相關的數據,以阻斷網絡攻擊。6.一種用于檢測網絡攻擊的防火墻系統,其特征在于,包括流量檢測模塊、流量導入模塊和第一攻擊確定模塊,其中:所述流量檢測模塊,用于檢測是否有流量穿越防火墻;響應于所述流量檢測模塊檢測到有流量穿越防火墻,所述流量導入模塊,用于將所述流量導入虛擬機仿真環境;所述第一攻擊確定模塊,用于通過監測所述虛擬機仿真...
【專利技術屬性】
技術研發人員:肖宇峰,金華敏,沈軍,
申請(專利權)人:中國電信股份有限公司,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。