专利名称:智能网络防火墙设备及网络攻击防护方法
技术领域:
本发明涉及计算机网络通信领域中的防火墙技术,尤其涉及ー种智能网络防火墙设备及网络攻击防护方法。
背景技术:
随着计算机网络的发展和普及,网络上各种黑客、蠕虫等非法网络攻击日益猖獗,为了保护计算机网络和系统,防火墙应运而生。防火墙又称Firewall,是ー项协助确保信息安全的设备,该设备会依照特定的规则,允许或限制传输的数据通过。具体来说,防火墙较早的实现方式是基于包过滤的方式,也就是简单的比对IP地址和端ロ,后来在此基础上加入了状态检测的功能,这成为了目前防火墙的主要工作方式。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的ー套软件。虽然防火墙具有一定的网络攻击保护作用,但传统的防火墙针对网络攻击的策略较为僵化,随着时间的推移,难以适应不断动态变化的网络攻击态势,因此有必要对传统防火墙进行技术改造,使之适应新的网络安全需求。
发明内容
本发明的目的是提出ー种智能网络防火墙设备及网络攻击防护方法,能够适应不断动态变化的网络攻击态势,符合更新的网络安全需求。为实现上述目的,本发明提供了ー种智能网络防火墙设备,包括:防火墙模块,用于根据下发的阻断策略对符合所述阻断策略的数据流量进行限制;蜜罐模块,用于在网络中利用空余IP地址和/或端ロ部署符合预定要求的虚拟蜜罐系统,并监听对所述虚拟蜜罐系统的访问流量,然后根据所述访问流量确定并记录攻击IP地址和/或端ロ ;安全策略模块,用于根据所述蜜罐模块记录的攻击IP地址和/或端ロ生成新的阻断策略,并将该新的阻断策略下发给所述防火墙模块。进ー步的,所述安全策略模块还保存有基本防火墙安全策略,并下发给所述防火墙模块执行数据流量的允许或拦截操作。进ー步的,所述蜜罐模块具体包括: 虚拟蜜罐生成単元,用于在网络中利用空余IP地址和/或端ロ部署符合预定要求的虚拟蜜罐系统;访问流量监听单元,用于监听对所述虚拟蜜罐系统的访问流量;攻击地址记录単元,用于根据所述访问流量确定并记录攻击IP地址和/或端ロ。进ー步的,所述访问流量监听单元具体用于监听网络攻击者对所述虚拟蜜罐系统的扫描或黑客攻击,或者在确定存在对被保护主机的疑似攻击时,将疑似攻击的数据流量牵引到所述虚拟蜜罐系统,并继续对所述疑似攻击的数据流量进行监听和分析。进ー步的,所述蜜罐模块还包括:分析模块,用于根据访问流量记录IP地址和/或端ロ的访问频率以及访问本虚拟蜜罐系统的端ロ的个数,并结合多个虚拟蜜罐系统进行统计,确定所述访问流量的IP地址和/或端ロ的风险指数,对风险指数超过阈值的IP地址和/或端ロ确定为攻击IP地址和
/或端ロ。进ー步的,该新的阻断策略为限时的临时策略,所述安全策略模块还用于在所述临时策略的有效时间终止吋,撤销该临时策略在所述防火墙模块中的应用。进ー步的,所述安全策略模块还进ー步用于根据所述蜜罐系统所提供的攻击IP地址和/或端ロ对应的风险指数或者攻击类型确定生成的新的阻断策略的有效时间。为实现上述目的,本发明提供了ー种网络攻击防护方法,包括:智能网络防火墙设备中的蜜罐模块在网络中利用空余IP地址和/或端ロ部署符合预定要求的虚拟蜜罐系统;所述蜜罐模块监听对所述虚拟蜜罐系统的访问流量,并根据所述访问流量确定并记录攻击IP地址和/或端ロ ;所述智能网络防火墙设备中的安全策略模块根据所述蜜罐模块记录的攻击IP地址和/或端ロ生成新的阻断策略,并将该新的阻断策略下发给所述智能网络防火墙设备中的防火墙模块;所述防火墙模块根据所述安全策略模块下发的阻断策略对符合所述阻断策略的数据流量进行限制。进ー步的,所述蜜罐模块监听对所述虚拟蜜罐系统的访问流量的操作具体为:所述蜜罐模块监听网络攻击者对所述虚拟蜜罐系统的扫描或黑客攻击;或者所述蜜罐模块在确定存在对被保护主机的疑似攻击时,将疑似攻击的数据流量牵引到所述虚拟蜜罐系统,并继续对所述疑似攻击的数据流量进行监听和分析。进ー步的,所述根据访问流量确定攻击IP地址和/或端ロ的操作具体包括:所述蜜罐模块根据访问流量记录IP地址和/或端ロ的访问频率以及访问本虚拟蜜罐系统的端ロ的个数,并结合多个虚拟蜜罐系统进行统计,确定所述访问流量的IP地址和/或端ロ的风险指数,对风险指数超过阈值的IP地址和/或端ロ确定为攻击IP地址和/或端ロ。进ー步的,该新的阻断策略为限时的临时策略,所述方法还包括:在所述临时策略的有效时间终止时,所述安全策略模块撤销该临时策略在所述防火墙模块中的应用。进ー步的,在所述安全策略模块根据所述蜜罐模块记录的攻击IP地址和/或端ロ生成新的阻断策略时,还包括:所述安全策略模块根据所述蜜罐系统所提供的攻击IP地址和/或端ロ对应的风险指数或者攻击类型确定生成的新的阻断策略的有效时间。基于上述技术方案,本发明在防火墙设备中使用蜜罐技术,利用虚拟蜜罐系统吸引非法的网络攻击,进而识别出网络攻击IP和/或端ロ,井根据识别结果动态调整防火墙设备的安全策略,因此能够适应不断动态变化的网络攻击态势,进而适应新的网络安全需求。
此处所说明的附图用来提供对本发明的进ー步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:图1为本发明智能网络防火墙设备的一实施例的结构示意图。图2为本发明智能网络防火墙设备的另ー实施例的结构示意图。图3为本发明网络攻击防护方法的一实施例的流程示意图。图4为本发明网络攻击防护方法的另ー实施例的流程示意图。
具体实施例方式下面通过附图和实施例,对本发明的技术方案做进ー步的详细描述。首先对蜜罐技术作出说明,蜜罐(或称蜜罐系统)是专门用于诱捕黑客攻击的ー套系统,它可以是物理上存在的一台主机,上面部署各种漏洞和监控系统;也可以是网络设备虚拟出来的IP地址、端口和服务,它本身并不存在,但对于网络上的攻击者看来,这台主机是存在的,能够响应、提供服务。在于本发明来说,蜜罐的存在是为了吸引网络中的各种扫描、攻击和攻陷等行为,通过监视流入/流出蜜罐的网络流量就可以对这些行为进行分析,判断是否可能属于有恶意的网络攻击行为。如图1所示,为本发明智能网络防火墙设备的一实施例的结构示意图。在本实施例中,智能网络防火墙设备包括:防火墙模块1、蜜罐模块2和安全策略模块3。防火墙模块I负责根据安全策略模块3所下发的阻断策略对符合所述阻断策略的数据流量进行限制。除此之外,防火墙模块I也可以完成传统意义上的允许或限制数据通过的任务。蜜罐模块2负责在网络中利用空余IP地址和/或端ロ部署符合预定要求的虚拟蜜罐系统,并监听对所述虚拟蜜罐系统的访问流量,然后根据所述访问流量确定并记录攻击IP地址和/或端ロ。蜜罐模块2存在于智能网络防火墙设备之内,由于智能网络防火墙设备属于ー种网关型的设备,后面防护着重要的系统和网络,因此其可以利用蜜罐技术将并不存在的主机作为诱捕黑客攻击的ー个诱饵。安全策略模块3负责根据蜜罐模块2记录的攻击IP地址和/或端ロ生成新的阻断策略,并将该新的阻断策略下发给防火墙模块I。在安全策略模块3还可以保存ー些基本防火墙安全策略,即传统防火墙设备所采用的安全策略规则。安全策略模块3可以将这些基本防火墙安全策略下发给防火墙模块I执行数据流量的允许或拦截操作。如图2所示,为本发明智能网络防火墙设备的另ー实施例的结构示意图。与上一实施例相比,本实施例中的蜜罐模块2具体包括:虚拟蜜罐生成单元21、访问流量监听单元22和攻击地址记录单元23。其中,虚拟蜜罐生成单元21负责在网络中利用空余IP地址和/或端ロ部署符合预定要求的虚拟蜜罐系统。在形成的虚拟蜜罐系统中,可以根据配置生成特定的操作系统,如Windows、Linux系统,或者模拟常见的应用,例如:Telnet、Ftp、Http等。由于虚拟蜜罐系统并非真实存在的主机,因此一切对虚拟蜜罐系统的访问都可以被判断为攻击或者有攻击企图,从而可以根据蜜罐监听和确定的攻击IP地址和/或访问端ロ来及时阻断可能的非法访问或攻击。访问流量监听单元22负责监听对所述虚拟蜜罐系统的访问流量。在具体监听方式上,访问流量监听单元22可以采用监听网络攻击者对所述虚拟蜜罐系统的扫描或黑客攻击的方式,这属于ー种相对被动的方式,但实现较为简单;也可以米用在确定存在对被保护主机的疑似攻击时,主动将疑似攻击的数据流量牵引到所述虚拟蜜罐系统,并继续对所述疑似攻击的数据流量进行监听和分析的方式,例如分析是否是攻击,以及攻击的类型方式,这种方式具有更好的保护效果。攻击地址记录単元23负责根据所述访问流量确定并记录攻击IP地址和/或端ロ。记录下来的攻击IP地址和/或端ロ可以提供给安全策略模块来生成新的防护规则,并应用到防火墙模块中,实现对新型网络攻击的实时阻断。考虑到网络中存在各种流量,除了部分恶意攻击或有恶意攻击企图的流量之外,还有些是无害的流量,因此在蜜罐模块中还可以进ー步布置分析模块,该模块负责根据访问流量记录IP地址的访问频率以及访问本虚拟蜜罐系统的端ロ的个数,并结合多个虚拟蜜罐系统进行统计,确定所述访问流量的IP地址和/或端ロ的风险指数,对风险指数超过阈值的IP地址和/或端ロ确定为攻击IP地址和/或端ロ。举例来说,分析模块所作的统计分析主要是针对攻击者的攻击行为判断其攻击企图,例如某公网IP对防火墙后面整个网段进行了全端ロ扫描,这可以看作是一次黑客试探攻击;某IP对防火墙后的web服务器进行了高頻度的web页面请求,其中还有很多是无效页面,可以看作是一次对web的探測,作为攻击的踩点;某IP对防火墙后大量主机的某个端ロ进行探測,可以看作是一次有针对性的攻击探測,事后必会有针对专门漏洞的攻击。统计可以分析攻击的IP分布情况、端ロ分布情况、协议分布情况等等,从这些分析中可以看出黑客的攻击类型、攻击方向,能够从中找出黑客攻击的特点,例如是否有新型的还没有曝光的攻击出现,这些对于管理者有很大的帮助。考虑到网络攻击具有一定的突发性,而且长时间运行后产生过多的安全策略也会给安全策略模块和防火墙模块带来一定的资源压力,因此可以将安全策略模块生成的新的阻断策略设定为限时的临时策略,安全策略模块可以在临时策略的有效时间终止时,撤销该临时策略在防火墙模块中的应用。这样可以有效地提高智能网络防火墙设备的性能。阻断策略的阻断时长的设置可以在系统中预先定义,也可以根据攻击类型的不同而设置不同的阻断时长。例如对扫描攻击和对DDOS攻击设置的阻断时长可以不同,增大攻击的难度,提高安全性,同时也不会对正常访问造成太大影响。另外,在策略生效期间,如果攻击不停止,策略的生效时长会自动增加,以应对攻击的威胁。相应的,安全策略模块可以进ー步根据蜜罐系统所提供的攻击IP地址和/或端ロ对应的风险指数或者攻击类型确定生成的新的阻断策略的有效时间。下面对本发明的几种网络攻击防护方法的实施例进行说明。如图3所示,为本发明网络攻击防护方法的一实施例的流程示意图。在本实施例中,网络攻击防护流程包括以下步骤:步骤101、智能网络防火墙设备中的蜜罐模块在网络中利用空余IP地址和/或端ロ部署符合预定要求的虚拟蜜罐系统;步骤102、所述蜜罐模块监听对所述虚拟蜜罐系统的访问流量,并根据所述访问流量确定并记录攻击IP地址和/或端ロ;步骤103、所述智能网络防火墙设备中的安全策略模块根据所述蜜罐模块记录的攻击IP地址和/或端ロ生成新的阻断策略,并将该新的阻断策略下发给所述智能网络防火墙设备中的防火墙模块;步骤104、所述防火墙模块根据所述安全策略模块下发的阻断策略对符合所述阻断策略的数据流量进行限制。在本实施例中,蜜罐模块可以监听来自各种IP地址和/或端ロ的访问虚拟蜜罐系统的流量,通过分析确定攻击IP地址和/或端ロ,进而由安全策略模块制定针对性地阻断策略,并交于防火墙模块进行应用,从而可以有效地对各种新型网络攻击实现实时的阻断。在上述步骤102中,蜜罐模块监听对所述虚拟蜜罐系统的访问流量的方式可采用监听网络攻击者对所述虚拟蜜罐系统的扫描或黑客攻击的方式;或者在确定存在对被保护主机的疑似攻击时,将疑似攻击的数据流量牵引到所述虚拟蜜罐系统,并继续对所述疑似攻击的数据流量进行监听和分析的方式,每种方式的特点在前面已经有所陈述,这里就不再赘述了。如图4所示,为本发明网络攻击防护方法的另ー实施例的流程示意图。在本实施例中,网络攻击防护流程具体包括:步骤201、智能网络防火墙设备中的蜜罐模块在网络中利用空余IP地址和/或端ロ部署符合预定要求的虚拟蜜罐系统,举例来说,防火墙保护的网段里面有100台主机,防火墙可以使用空闲的IP地址虚拟出几个蜜罐系统来,由于这些IP和服务并不是真实的,因此对这些IP服务的访问将有很大可能是攻击,扫描器通常会整个网段的扫描,只要在网段中设置2-3个虚拟蜜罐,就能通过自动分析得出扫描攻击的情況,从而设置策略阻断扫描。步骤202、蜜罐模块监听对所述虚拟蜜罐系统的访问流量。步骤203、蜜罐模块根据访问流量记录IP地址的访问频率以及访问本虚拟蜜罐系统的端ロ的个数。步骤204、蜜罐模块结合多个虚拟蜜罐系统进行统计,确定所述访问流量的IP地址和/或端ロ的风险指数,对风险指数超过阈值的IP地址和/或端ロ确定为攻击IP地址
和/或端ロ。步骤205、安全策略模块根据所述蜜罐模块记录的攻击IP地址和/或端ロ生成新的阻断策略,该新的阻断策略为限时的临时策略。步骤206、在生成阻断策略的同时,安全策略模块根据蜜罐系统所提供的攻击IP地址和/或端ロ对应的风险指数或者攻击类型确定生成的新的阻断策略的有效时间。步骤207、安全策略模块将该新的阻断策略下发给所述智能网络防火墙设备中的防火墙模块。步骤208、防火墙模块根据所述安全策略模块下发的阻断策略对符合所述阻断策略的数据流量进行限制。步骤209、在该临时策略的有效时间终止时,所述安全策略模块撤销该临时策略在所述防火墙模块中的应用。在上述本发明各方法实施例中,通过蜜罐技术实现了智能网络防火墙设备的安全策略的动态调整,可以对新型的网络探測、网络攻击、蠕虫病毒的破坏等实现很好的防御效果。本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于ー计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管參照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式
进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
权利要求
1.ー种智能网络防火墙设备,包括: 防火墙模块,用于根据下发的阻断策略对符合所述阻断策略的数据流量进行限制; 蜜罐模块,用于在网络中利用空余IP地址和/或端ロ部署符合预定要求的虚拟蜜罐系统,并监听对所述虚拟蜜罐系统的访问流量,然后根据所述访问流量确定并记录攻击IP地址和/或立而ロ ; 安全策略模块,用于根据所述蜜罐模块记录的攻击IP地址和/或端ロ生成新的阻断策略,并将该新的阻断策略下发给所述防火墙模块。
2.根据权利要求1所述的智能网络防火墙设备,其中,所述安全策略模块还保存有基本防火墙安全策略,并下发给所述防火墙模块执行数据流量的允许或拦截操作。
3.根据权利要求2所述的智能网络防火墙设备,其中,所述蜜罐模块具体包括: 虚拟蜜罐生成単元,用于在网络中利用空余IP地址和/或端ロ部署符合预定要求的虚拟蛮'Sil系统; 访问流量监听单元,用于监听对所述虚拟蜜罐系统的访问流量; 攻击地址记录単元,用于根据所述访问流量确定并记录攻击IP地址和/或端ロ。
4.根据权利要求3所述的智能网络防火墙设备,其中,所述访问流量监听单元具体用于监听网络攻击者对所述虚拟蜜罐系统的扫描或黑客攻击,或者 在确定存在对被保护主机的疑似攻击时,将疑似攻击的数据流量牵引到所述虚拟蜜罐系统,并继续对所述疑似攻击的数据流量进行监听和分析。
5.根据权利要求4所述的智能网络防火墙设备,其中,所述蜜罐模块还包括: 分析模块,用于根据访问流量记录IP地址的访问频率以及访问本虚拟蜜罐系统的端ロ的个数,并结合多个虚拟蜜罐系统进行统计,确定所述访问流量的IP地址和/或端ロ的风险指数,对风险指数超过阈值的IP地址和/或端ロ确定为攻击IP地址和/或端ロ。
6.根据权利要求3-5任一所述的智能网络防火墙设备,其中,该新的阻断策略为限时的临时策略,所述安全策略模块还用于在所述临时策略的有效时间终止时,撤销该临时策略在所述防火墙模块中的应用。
7.根据权利要求6所述的智能网络防火墙设备,其中,所述安全策略模块还进ー步用于根据所述蜜罐系统所提供的攻击IP地址和/或端ロ对应的风险指数或者攻击类型确定生成的新的阻断策略的有效时间。
8.—种网络攻击防护方法,包括: 智能网络防火墙设备中的蜜罐模块在网络中利用空余IP地址和/或端ロ部署符合预定要求的虚拟蜜罐系统; 所述蜜罐模块监听对所述虚拟蜜罐系统的访问流量,并根据所述访问流量确定并记录攻击IP地址和/或端ロ ; 所述智能网络防火墙设备中的安全策略模块根据所述蜜罐模块记录的攻击IP地址和/或端ロ生成新的阻断策略,并将该新的阻断策略下发给所述智能网络防火墙设备中的防火墙模块; 所述防火墙模块根据所述安全策略模块下发的阻断策略对符合所述阻断策略的数据流量进行限制。
9.根据权利要求8所述的方法,其中,所述蜜罐模块监听对所述虚拟蜜罐系统的访问流量的操作具体为: 所述蜜罐模块监听网络攻击者对所述虚拟蜜罐系统的扫描或黑客攻击;或者 所述蜜罐模块在确定存在对被保护主机的疑似攻击时,将疑似攻击的数据流量牵引到所述虚拟蜜罐系统,并继续对所述疑似攻击的数据流量进行监听和分析。
10.根据权利要求9所述的方法,其中,所述根据访问流量确定攻击IP地址的操作具体包括:所述蜜罐模块根据访问流量记录IP地址的访问频率以及访问本虚拟蜜罐系统的端ロ的个数,并结合多个虚拟蜜罐系统进行统计,确定所述访问流量的IP地址和/或端ロ的风险指数,对风险指数超过阈值的IP地址和/或端ロ确定为攻击IP地址和/或端ロ。
11.根据权利要求8-10任一所述的方法,其中,该新的阻断策略为限时的临时策略,所述方法还包括:在所述临时策略的有效时间终止时,所述安全策略模块撤销该临时策略在所述防火墙模块中的应用。
12.根据权利要求11所述的方法,其中,在所述安全策略模块根据所述蜜罐模块记录的攻击IP地址和/或端ロ生成新的阻断策略时,还包括:所述安全策略模块根据所述蜜罐系统所提供的攻击IP地址和/或端ロ对应的风险指数或者攻击类型确定生成的新的阻断策略的有效时 间。
全文摘要
本发明涉及一种智能网络防火墙设备,包括防火墙模块,用于根据下发的阻断策略对符合阻断策略的数据流量进行限制;蜜罐模块,用于在网络中利用空余IP地址和/或端口部署符合预定要求的虚拟蜜罐系统,并监听对虚拟蜜罐系统的访问流量,然后根据访问流量确定并记录攻击IP地址和/或端口;安全策略模块,用于根据蜜罐模块记录的攻击IP地址和/或端口生成新的阻断策略,并将该新的阻断策略下发给防火墙模块。本发明还涉及一种网络攻击防护方法。本发明在防火墙设备中利用虚拟蜜罐系统吸引非法的网络攻击,进而识别出网络攻击IP和/或端口,并动态调整防火墙设备的安全策略,因此能够适应不断动态变化的网络攻击态势,进而适应新的网络安全需求。
文档编号H04L29/12GK103139184SQ20111039463
公开日2013年6月5日 申请日期2011年12月2日 优先权日2011年12月2日
发明者余晓光, 王帅 申请人:中国电信股份有限公司