用于检测网络攻击的方法和防火墙系统与流程

本发明涉及网络与信息安全领域，特别涉及一种用于检测网络攻击的方法和防火墙系统。

背景技术：

传统的防火墙设备主要用于访问流量的隔离控制，能检测并防范常见的网络层攻击。随着下一代防火墙的发展，防火墙设备能检测并防御越来越多的应用层攻击，在功能上趋向于入侵防御系统。

但是，攻击检测原理都是基于攻击的指纹特征的，无法发现未知的攻击，从而也无法实现智能调整安全策略进行阻断。

技术实现要素：

鉴于以上技术问题，本发明提供了一种用于检测网络攻击的方法和防火墙系统，可以检测出未知恶意攻击。

根据本发明的一个方面，提供一种用于检测网络攻击的方法，包括：检测是否有流量穿越防火墙；若检测到有流量穿越防火墙，则将所述流量导入虚拟机仿真环境；通过监测所述虚拟机仿真环境产生的变化确定主机是否受到网络攻击。

在本发明的一个实施例中，在检测是否有流量穿越防火墙的步骤之前，所述方法还包括：根据虚拟机仿真环境的初始配置生成基线数据；其中所述通过监测虚拟机仿真环境产生的变化确定主机是否受到网络攻击的步骤包括：检测虚拟机仿真环境是否发生变化；若虚拟机仿真环境发生变化，则确定引起所述变化的行为数据；对比所述行为数据和所述基线数据，初步判定所述行为是否是网络攻击。

在本发明的一个实施例中，所述的方法还包括：若将所述流量导 入所述虚拟机仿真环境，则记录访问虚拟机仿真环境所产生的流量数据；其中所述通过监测虚拟机仿真环境产生的变化确定主机是否受到网络攻击的步骤还包括：若初步判定所述行为是网络攻击，则通过匹配所述流量数据和所述行为数据中的时间、源IP、目的IP，以进一步确定所述行为是否是网络攻击。

在本发明的一个实施例中，所述的方法还包括：若主机受到网络攻击，则将所述网络攻击的源IP加入黑名单，并清除防火墙中与所述源IP相关的数据，以阻断网络攻击。

在本发明的一个实施例中，所述的方法还包括：若检测到有流量穿越防火墙，则对所述流量进行攻击特征检测，以判定所述流量是否是已知网络攻击；若所述流量不是已知网络攻击，则执行将所述流量导入所述虚拟机仿真环境的步骤。

根据本发明的另一方面，提供一种用于检测网络攻击的防火墙系统，包括流量检测模块、流量导入模块和第一攻击确定模块，其中：所述流量检测模块，用于检测是否有流量穿越防火墙；响应于所述流量检测模块检测到有流量穿越防火墙，所述流量导入模块，用于将所述流量导入虚拟机仿真环境；所述第一攻击确定模块，用于通过监测所述虚拟机仿真环境产生的变化确定主机是否受到网络攻击。

在本发明的一个实施例中，所述防火墙系统还包括基线数据确定模块，其中：所述基线数据确定模块，用于根据虚拟机仿真环境的初始配置生成基线数据，之后指示所述流量检测模块执行检测是否有流量穿越防火墙的操作；所述第一攻击确定模块包括环境检测单元、行为数据确定单元和攻击初定单元，其中：所述环境检测单元，用于检测虚拟机仿真环境是否发生变化；响应于所述环境检测单元检测到虚拟机仿真环境发生变化，所述行为数据确定单元，用于确定引起所述变化的行为数据；所述攻击初定单元，用于对比所述行为数据和所述基线数据，初步判定所述行为是否是网络攻击。

在本发明的一个实施例中，所述防火墙系统还包括流量数据确定模块，其中：响应于所述流量导入模块将所述流量导入所述虚拟机仿 真环境，所述流量数据确定模块，用于记录访问虚拟机仿真环境所产生的流量数据；所述第一攻击确定模块还包括攻击确定单元，其中：响应于所述攻击初定单元初步判定所述行为是网络攻击，所述攻击确定单元，用于通过匹配所述流量数据和所述行为数据中的时间、源IP、目的IP，以进一步确定所述行为是否是网络攻击。

在本发明的一个实施例中，所述防火墙系统还包括攻击阻断模块，其中：响应于所述第一攻击确定模块确定主机是否受到网络攻击，所述攻击阻断模块，用于将所述网络攻击的源IP加入黑名单，并清除防火墙中与所述源IP相关的数据，以阻断网络攻击。

在本发明的一个实施例中，所述防火墙系统还包括第二攻击确定模块，其中：响应于所述流量检测模块检测到有流量穿越防火墙，所述第二攻击确定模块，用于对所述流量进行攻击特征检测，以判定所述流量是否是已知网络攻击；响应于所述第二攻击确定模块判定所述流量不是已知网络攻击，所述流量导入模块用于执行将所述流量导入所述虚拟机仿真环境的操作。

本发明解决了过往防火墙设备无法检测未知恶意攻击的难题；同时把可疑流量引入到虚拟机仿真环境，减少了可疑流量对生产环境造成的不良影响。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明用于检测网络攻击的方法一个实施例的示意图。

图2为本发明用于检测网络攻击的方法另一实施例的示意图。

图3为本发明的用于检测网络攻击的防火墙系统一个实施例的示意图。

图4为本发明的用于检测网络攻击的防火墙系统另一实施例的示意图。

图5为本发明一个实施例第一攻击确定模块的示意图。

图6为本发明用于检测网络攻击的防火墙系统又一实施例的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

图1为本发明用于检测网络攻击的方法一个实施例的示意图。优选的，本实施例可由本发明用于检测网络攻击的防火墙系统执行。该方法包括以下步骤：

步骤101，检测是否有流量试图穿越防火墙访问主机。

步骤102，若检测到有流量试图穿越防火墙访问主机，则将该流量导入虚拟机仿真环境。

其中，虚拟机是主机上通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的计算机系统。可以对虚拟机建立快照，当系统发生改变后把系统恢复到建立快照时的状态。虚拟机仿真环境是一套独立的系统，虚拟机仿真环境上面安装了主流的各种版本Windows,Linux操作系统，上面运行着数据库、中间件、WEB系统，主要用于仿真真实的业务环境。各系统已经打补丁到最新的状态。

步骤103，通过监测该流量引起的虚拟机仿真环境的变化，来确定主机是否受到网络攻击。其中，虚拟机仿真环境产生的变化可以包括文件变更、配置变更、网络连接变更、数据传输变更等等。

基于本发明上述实施例提供的用于检测网络攻击的方法，将流量引入虚拟机仿真环境，通过分析判断流量引起的虚拟机仿真环境的变化，确定主机是否受到网络攻击，由此本发明上述实施例可以检测未知的恶意攻击，从而解决了过往防火墙设备无法检测未知恶意攻击的难题。同时，本发明上述实施例还把可疑流量引入到虚拟机仿真环境，减少了可疑流量对主机生产环境造成的不良影响。

图2为本发明用于检测网络攻击的方法另一实施例的示意图。优选的，本实施例可由本发明用于检测网络攻击的防火墙系统执行。该方法包括以下步骤：

步骤201，根据虚拟机仿真环境的初始配置生成基线数据。该基线数据存储在基线数据库中，基线数据库主要纪录了虚拟机仿真环境的初始状态，包括所有虚拟机的操作系统类型及所有配置。

在本发明的一个实施例中，基线数据记录的信息包括【IP地址、操作系统版本、用户数、用户名、文件数、文件大小、各种软件配置】等信息。

例如：在本发明的一个具体实施例中，基线数据记录的虚拟机初始配置包括：IP为10.0.0.1，操作系统是windows 764bit的虚拟机 上用户数量3，用户名分别为xiaoyf1、xiaoyf2、xiaoyf3，共有文件2000个，大小分别是1MB、2MB、3MB……2000M。另外记录了操作系统本身的配置、数据库系统配置、WEB Sever配置等配置信息，还记录了哪些敏感文件是不能删除的、哪些是允许删除的等信息。

步骤202，实时检测是否有外部流量试图穿越防火墙访问主机。若检测到有流量穿越防火墙，则执行步骤203；否则，继续执行步骤202，即，继续检测是否有流量试图穿越防火墙访问主机。

在本发明的一个实施例中，如果合法的系统管理员修改过系统配置，基线数据库需要更新，合法的管理员应该是从防火墙内侧访问的，不产生穿越防火墙的流量。

步骤203，对该流量进行攻击特征检测，以判定主机是否受到已知的网络攻击。其中，系统中预先存储有已知网络攻击的指纹特征，通过特征比对，判断当前流量是否为已知的网络攻击。若判定主机受到已知的网络攻击，则执行步骤208；否则，若判定主机未受到已知的网络攻击，则执行步骤204。

步骤204，将该流量导入虚拟机仿真环境，并开始建立流量数据库，以记录访问虚拟机仿真环境所产生的流量数据。

在本发明的一个实施例中，流量数据库记录了访客穿越防火墙访问虚拟机仿真环境所产生的所有流量，包括【源IP、目的IP、协议、目的端口、开始时间、持续时间、数据包个数、流量大小】等信息。

例如：在本发明的上述具体实施例(虚拟机仿真环境为10.0.0.1的虚拟机)中，IP为120.0.0.1的外部主机访问了10.0.0.1的虚拟机的WEB系统和FTP，则记录如下信息：

【120.0.0.1、10.0.0.1、TCP、80、10:00、60秒、60、3KB】

【120.0.0.1、10.0.0.1、TCP、21、10:00、360秒、10000、300MB】

步骤205，若虚拟机仿真环境发生变化，则对虚拟机仿真环境进行可疑流量分析检测；并确定引起该变化的行为数据。

在本发明的一个实施例中，如图6所示，各虚拟机系统是相互隔离的，不能在虚拟机之间互相跳转。如果虚拟机仿真环境中有配置发 生变化，无非是内部管理员修改了虚拟机的配置，或者受到来自防火墙外部的攻击。

在本发明的一个实施例中，步骤205中对虚拟机仿真环境进行可疑流量分析检测包括：对各虚拟机仿真环境进行文件变更检测、配置变更检测、网络连接检测、数据传输检测，以便从多个维度进行可疑流量分析检测。

在本发明的一个实施例中，步骤205可以包括：当检测到虚拟机上的配置发生变化后，生成引起该变化的行为数据，并存储在行为数据库中。其中，行为数据包括【行为、危险程度、时间、行为类型】，涉及网络事件的行为详情还进一步包括【源IP、目的IP、源端口、目的端口】。其中，行为类型包括：文件拷贝、文件上传、文件删除、文件传输、域名查询、创建账号、添加账号、删除账号、修改启动项目等。

步骤206，对比步骤205确定的行为数据和步骤201中生成的基线数据，初步判定引起虚拟机仿真环境变化的行为是否是网络攻击。若初步判定该行为是网络攻击，则执行步骤207；否则，若初步判定该行为不是网络攻击，则执行步骤202，即，继续检测是否有流量试图穿越防火墙访问主机。

例如：在本发明的上述具体实施例(虚拟机仿真环境为10.0.0.1的虚拟机)中，步骤206可以包括：当10.0.0.1上虚拟机的名为“文档.doc”文件被删除，文档.doc文件在基线数据库的记录不是不可删除文件，行为数据库会生成一条记录：

【删除“文档.doc”、中、11:00、文件删除】，是疑似攻击。

如果文档.doc文件在基线数据库中记录是不可删除文件，则行为数据库生成的记录为：

【删除“文档.doc”、高、11:00、文件删除】，并初步认为这是攻击。

步骤207，通过匹配步骤201中生成的流量数据、以及步骤205确定的行为数据中的时间、源IP、目的IP，以进一步确定该行为是否 是网络攻击。若最终确定该行为是网络攻击，则执行步骤208；否则，最终确定该行为不是网络攻击，则执行步骤202，即，继续检测是否有流量试图穿越防火墙访问主机。

例如：在本发明的上述具体实施例(虚拟机仿真环境为10.0.0.1的虚拟机)中，步骤207可以包括：通过防火墙的连接状态表和流量数据库，找出执行了删除“文档.doc”文件的这个操作行为的IP来源；如果IP为内部管理IP，则不是攻击；如果IP地址是外部IP，如120.0.0.1，则需要进一步查看和这个IP有关的流量数据库：

【120.0.0.1、10.0.0.1、TCP、80、10:00、60秒、60、3KB】

【120.0.0.1、10.0.0.1、TCP、21、10:00、360秒、10000、300MB】

除了这些看似正常的流量，是否还有其它可疑的流量，如果有则可以认定这是攻击。如果没有，也可以认为这是疑似攻击。

步骤208，将发起该网络攻击的源IP加入黑名单，并清除流量数据库与该源IP相关的数据，以阻断网络攻击。

本发明上述实施例能够实现对新型的、未知的网络攻击的检测，把流量引入到虚拟机仿真环境中，并借助虚拟机仿真环境构建环境基线数据库，流量数据库和行为数据库，对网络事件和流量进行跟踪和分析。当虚拟机仿真环境发生变化后，进行文件变更检测、配置变更检测、网络连接检测、数据传输检测，通过多个维度进行可疑流量的分析，能发现未知攻击并进行阻断。

同时，本发明还将对未知攻击的检测与对已知攻击的特征检测相结合，从而进一步提高了对网络攻击的识别和阻断能力。

图3为本发明的用于检测网络攻击的防火墙系统一个实施例的示意图。如图3所示，防火墙系统3包括流量检测模块31、流量导入模块32和第一攻击确定模块33，其中：

流量检测模块31，用于检测是否有流量穿越防火墙访问主机。

响应于流量检测模块31检测到有流量穿越防火墙访问主机，流量导入模块32，用于将该流量导入虚拟机仿真环境2。

第一攻击确定模块33，用于通过监测虚拟机仿真环境2产生的变 化，确定主机是否受到网络攻击。

基于本发明上述实施例提供的用于检测网络攻击的防火墙系统，将流量引入虚拟机仿真环境，通过分析判断流量引起的虚拟机仿真环境的变化，确定主机是否受到网络攻击，由此本发明上述实施例可以检测未知的恶意攻击，从而解决了过往防火墙设备无法检测未知恶意攻击的难题。同时本发明上述实施例，还把可疑流量引入到虚拟机仿真环境，减少了可疑流量对主机生产环境造成的不良影响。

图4为本发明的用于检测网络攻击的防火墙系统另一实施例的示意图。与图3实施例相比，图4实施例中的防火墙系统3还可以包括基线数据确定模块34，其中：

基线数据确定模块34，用于根据虚拟机仿真环境2的初始配置生成基线数据，之后指示流量检测模块31执行检测是否有流量穿越防火墙的操作。

图5为本发明一个实施例第一攻击确定模块的示意图。如图5所示，第一攻击确定模块33包括环境检测单元331、行为数据确定单元332和攻击初定单元333，其中：

环境检测单元331，用于检测虚拟机仿真环境2是否发生变化。

响应于环境检测单元331检测到虚拟机仿真环境2发生变化，行为数据确定单元332，用于对虚拟机仿真环境2进行可疑流量分析检测；并确定引起仿真环境变化的行为数据。

在本发明的一个实施例中，行为数据确定单元332对虚拟机仿真环境进行的可疑流量分析检测可以包括：对各虚拟机仿真环境进行文件变更检测、配置变更检测、网络连接检测、数据传输检测，以便从多个维度进行可疑流量分析检测。

攻击初定单元333，用于对比行为数据确定单元332确定的行为数据和基线数据确定模块34确定的基线数据，初步判定引起仿真环境变化的行为是否是网络攻击。

本发明上述实施例将引起虚拟机仿真环境改变的行为数据，与基于虚拟机仿真环境初始配置生成的基线数据进行比较，确定引起仿真 环境变化的行为是否是网络攻击，由此可以方便地识别出未知的网络攻击。

在本发明的一个实施例中，如图4所示，该防火墙系统3还可以包括流量数据确定模块35，其中：

响应于流量导入模块32将该流量导入虚拟机仿真环境2，流量数据确定模块35，用于记录访问虚拟机仿真环境2所产生的流量数据。

如图5所示，第一攻击确定模块33还可以包括攻击确定单元334，其中：

响应于攻击初定单元333初步判定引起仿真环境变化的行为是网络攻击，攻击确定单元334，用于通过匹配量数据确定模块35确定的流量数据，和行为数据确定单元332确定的行为数据中的时间、源IP、目的IP，在攻击初定单元333判定结果的基础上，进一步确定引起仿真环境变化的行为是否是网络攻击。

本发明上述实施例在基于行为数据初步判定的基础上，通过匹配流量数据和行为数据中的时间、源IP、目的IP，以进一步确定引起仿真环境变化的行为是否是网络攻击，从而提高了识别未知网络攻击的精确度。

在本发明的一个实施例中，如图4所示，该防火墙系统3还可以包括第二攻击确定模块36，其中：

响应于流量检测模块31检测到有流量穿越防火墙，第二攻击确定模块36，用于对该流量进行攻击特征检测，以判定主机是否受到已知的网络攻击；

响应于第二攻击确定模块36判定主机受到已知的网络攻击，流量导入模块32用于执行将该流量导入虚拟机仿真环境的操作。

本发明上述实施例对未知攻击的检测与对已知攻击的特征检测相结合，从而进一步提高了对所有类型网络攻击的识别和阻断能力。

在本发明的一个实施例中，如图4所示，该防火墙系统3还可以包括攻击阻断模块37，其中：

响应于第一攻击确定模块33或攻击确定模块36确定主机受到网 络攻击，攻击阻断模块37，用于将该网络攻击的源IP加入黑名单，并清除防火墙中与所述源IP相关的数据，以阻断网络攻击。

响应于第一攻击确定模块33或攻击确定模块36确定主机受到网络攻击，攻击阻断模块37还用于自动调整攻击防御策略，拦截攻击并告警。

图6为本发明用于检测网络攻击的防火墙系统又一实施例的示意图。图6中的防火墙系统6包括：探针装置61和攻击行为深度分析装置62，其中：

探针装置61，用于执行图3-图5实施例中流量检测模块31、流量导入模块32、基线数据确定模块34、环境检测单元331、行为数据确定单元332和流量数据确定模块35的功能。

攻击行为深度分析装置62，用于执行图4-图5实施例中攻击初定单元333、攻击确定单元334和攻击阻断模块37的功能。

具体而言，图6中的防火墙系统执行攻击检测的流程包括：

1.探针装置61针对攻击检测过程，首先要生成虚拟机仿真环境的基线数据库63。

2.探针装置61把流量导入虚拟机仿真环境，开始建立流量数据库64。

3.当虚拟机仿真环境发生变化，探针装置61对各虚拟机仿真环境进行文件变更检测、配置变更检测、网络连接检测、数据传输检测，多个维度进行可疑流量分析检测；同时，当虚拟机上的配置发生变化后，探针装置61检测到变化，生成行为数据库65。

4.攻击行为深度分析装置62对行为数据库65与基线数据库63进行关联比较，通过引起基线变化的行为初步判断系统是否被攻击，是的话则进一步匹配流量数据库64和行为数据库65中的时间、源IP、目的IP等字段，进一步分析结果。

5.如果判断是攻击，则攻击行为深度分析装置62把源IP加入黑名单，并在内存中清除session，从而阻断攻击。

本发明上述实施例提出了一种能检测新型攻击的防火墙系统，在 现有的传统防火墙上新增了探针模块和攻击行为深度分析模块，提出的方法是把流量引入到攻击行为深度分析模块中，并借助虚拟机仿真环境构建环境基线数据库，流量数据库和行为数据库。当虚拟机仿真环境发生变化后，探针模块进行文件变更检测、配置变更检测、网络连接检测、数据传输检测，通过多个维度进行可疑流量的分析，能发现未知攻击并进行阻断。

在上面所描述的流量检测模块31、流量导入模块32、第一攻击确定模块33、基线数据确定模块34、流量数据确定模块35、第二攻击确定模块36、攻击阻断模块37等功能单元可以实现为用于执行本申请所描述功能的通用处理器、可编程逻辑控制器(PLC)、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。

至此，已经详细描述了本发明。为了避免遮蔽本发明的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。