1.一种用于检测网络攻击的方法,其特征在于,包括:
检测是否有流量穿越防火墙;
若检测到有流量穿越防火墙,则将所述流量导入虚拟机仿真环境;
通过监测所述虚拟机仿真环境产生的变化确定主机是否受到网络攻击。
2.根据权利要求1所述的方法,其特征在于,在检测是否有流量穿越防火墙的步骤之前,还包括:
根据虚拟机仿真环境的初始配置生成基线数据;
所述通过监测虚拟机仿真环境产生的变化确定主机是否受到网络攻击的步骤包括:
检测虚拟机仿真环境是否发生变化;
若虚拟机仿真环境发生变化,则确定引起所述变化的行为数据;
对比所述行为数据和所述基线数据,初步判定所述行为是否是网络攻击。
3.根据权利要求2所述的方法,其特征在于,还包括:
若将所述流量导入所述虚拟机仿真环境,则记录访问虚拟机仿真环境所产生的流量数据;
所述通过监测虚拟机仿真环境产生的变化确定主机是否受到网络攻击的步骤还包括:
若初步判定所述行为是网络攻击,则通过匹配所述流量数据和所述行为数据中的时间、源IP、目的IP,以进一步确定所述行为是否是网络攻击。
4.根据权利要求1所述的方法,其特征在于,还包括:
若检测到有流量穿越防火墙,则对所述流量进行攻击特征检测, 以判定主机是否受到已知的网络攻击;
若主机受到已知的网络攻击,则执行将所述流量导入所述虚拟机仿真环境的步骤。
5.根据权利要求1-4中任一项所述的方法,其特征在于,还包括:
若主机受到网络攻击,则将所述网络攻击的源IP加入黑名单,并清除防火墙中与所述源IP相关的数据,以阻断网络攻击。
6.一种用于检测网络攻击的防火墙系统,其特征在于,包括流量检测模块、流量导入模块和第一攻击确定模块,其中:
所述流量检测模块,用于检测是否有流量穿越防火墙;
响应于所述流量检测模块检测到有流量穿越防火墙,所述流量导入模块,用于将所述流量导入虚拟机仿真环境;
所述第一攻击确定模块,用于通过监测所述虚拟机仿真环境产生的变化确定主机是否受到网络攻击。
7.根据权利要求6所述的防火墙系统,其特征在于,还包括基线数据确定模块,其中:
所述基线数据确定模块,用于根据虚拟机仿真环境的初始配置生成基线数据,之后指示所述流量检测模块执行检测是否有流量穿越防火墙的操作;
所述第一攻击确定模块包括环境检测单元、行为数据确定单元和攻击初定单元,其中:
所述环境检测单元,用于检测虚拟机仿真环境是否发生变化;
响应于所述环境检测单元检测到虚拟机仿真环境发生变化,所述行为数据确定单元,用于确定引起所述变化的行为数据;
所述攻击初定单元,用于对比所述行为数据和所述基线数据,初步判定所述行为是否是网络攻击。
8.根据权利要求7所述的防火墙系统,其特征在于,还包括流量数据确定模块,其中:
响应于所述流量导入模块将所述流量导入所述虚拟机仿真环境,所述流量数据确定模块,用于记录访问虚拟机仿真环境所产生的流量数据;
所述第一攻击确定模块还包括攻击确定单元,其中:
响应于所述攻击初定单元初步判定所述行为是网络攻击,所述攻击确定单元,用于通过匹配所述流量数据和所述行为数据中的时间、源IP、目的IP,以进一步确定所述行为是否是网络攻击。
9.根据权利要求6所述的防火墙系统,其特征在于,还包括第二攻击确定模块,其中:
响应于所述流量检测模块检测到有流量穿越防火墙,所述第二攻击确定模块,用于对所述流量进行攻击特征检测,以判定主机是否受到已知的网络攻击;
响应于所述第二攻击确定模块判定主机受到已知的网络攻击,所述流量导入模块用于执行将所述流量导入所述虚拟机仿真环境的操作。
10.根据权利要求6-9中任一项所述的防火墙系统,其特征在于,还包括攻击阻断模块,其中:
响应于所述第一攻击确定模块或第二攻击确定模块确定主机受到网络攻击,所述攻击阻断模块,用于将所述网络攻击的源IP加入黑名单,并清除防火墙中与所述源IP相关的数据,以阻断网络攻击。