一种攻击性检测方法及装置与流程
本发明涉及网络安全领域,具体涉及一种攻击性检测方法及装置。
背景技术:
随着互联网行业的发展,网络安全越来越受到人们重视,网络攻击者通常会利用现有网络信息系统中潜在的网络安全漏洞,对网络实施攻击行为,从而获取非法权限,对网络信息系统造成危害。
现有技术中,为了阻止网络攻击者的入侵,提高网络信息系统的安全性,通常采用杀毒软件、防火墙等入侵监测系统对网络中的攻击行为进行监测,例如:设置在网络信息系统中的防火墙是一个由软件和硬件设备组合而成、在内网和外网之间或者专用网与公共网之间的边界上构造的保护屏障,通过在信息边界上建立一个安全网关,从而保护内部网免受网络攻击者侵入。
防火墙主要是通过收集和分析网络行为、安全日志、审计数据等,检查网络或者系统中是否存在违反安全策略的行为或被攻击迹象。但是现有技术中防火墙只能检测出已知网络攻击行为,对于未知的网络攻击行为,防火墙无法做出防御,就会通过防火墙进入内网,导致防火墙失效,网络安全性降低。
技术实现要素:
有鉴于此,本发明实施例提供一种攻击性检测方法及装置,能够使防火墙对于之前未知的网络攻击行为及时产生防御能力,提高网络安全性。
为实现上述目的,本发明实施例提供如下技术方案:
一种攻击性检测方法,包括:
采集网络中通过防火墙的流量数据;
对所述通过防火墙的流量数据进行攻击性检测,获取具有攻击性的流量数据;
依据所述具有攻击性的流量数据,对防火墙对应的原始攻击性特征进行更新,得到更新后的攻击性特征,使所述防火墙利用所述更新后的攻击性特征,对将要通过所述防火墙的流量数据进行攻击性检测。
优选的,所述对所述通过防火墙的流量数据进行攻击性检测,获取具有攻击性的流量数据的过程包括:
对所述通过防火墙的流量数据进行扫描,确定所述通过防火墙的流量数据的数据类型;
确定所述通过防火墙的流量数据的数据类型对应的数据特征;
对所述数据特征进行攻击性检测,确定具有攻击性的数据特征所对应的攻击性的流量数据。
优选的,所述对所述数据特征进行攻击性检测,确定具有攻击性的数据特征所对应的攻击性的流量数据的过程包括:
将所述通过防火墙的流量数据的数据类型对应的数据特征与特征数据库中存储的该数据类型对应的原始数据特征进行比对,得到比对结果;
依据所述比对结果,确定具有攻击性的数据特征所对应的攻击性的流量数据。
优选的,所述依据所述比对结果,确定具有攻击性的数据特征所对应的流量数据的过程包括:
依据所述比对结果,确定具有攻击性的数据特征所对应的攻击性的流量数据中的攻击类型、攻击路径以及网络互联协议IP地址。
优选的,在对所述通过防火墙的流量数据进行攻击性检测,获取具有攻击性的流量数据之后,还包括:
依据所述具有攻击性的流量数据,生成攻击性告警信息。
一种攻击性检测装置,包括:
流量数据采集模块,用于采集网络中通过防火墙的流量数据;
攻击性检测模块,用于对所述通过防火墙的流量数据进行攻击性检测,获取具有攻击性的流量数据;
攻击性特征更新模块,用于依据所述具有攻击性的流量数据,对防火墙对应的原始攻击性特征进行更新,得到更新后的攻击性特征,使所述防火墙利用所述更新后的攻击性特征,对将要通过所述防火墙的流量数据进行攻击性检测。
优选的,所述攻击性检测模块包括:
扫描模块,用于对所述通过防火墙的流量数据进行扫描,确定所述通过防火墙的流量数据的数据类型;
数据特征确定模块,用于确定所述通过防火墙的流量数据的数据类型对应的数据特征;
攻击性流量数据确定模块,用于对所述数据特征进行攻击性检测,确定具有攻击性的数据特征所对应的攻击性的流量数据。
优选的,所述攻击性流量数据确定模块包括:
数据特征比对模块,用于将所述通过防火墙的流量数据的数据类型对应的数据特征与特征数据库中存储的该数据类型对应的原始数据特征进行比对,得到比对结果;
攻击性流量数据确定子模块,依据所述比对结果,确定具有攻击性的数据特征所对应的攻击性的流量数据。
优选的,所述攻击性流量数据确定子模块具体用于:
依据所述比对结果,确定具有攻击性的数据特征所对应的攻击性的流量数据中的攻击类型、攻击路径以及网络互联协议IP地址。
优选的,还包括:
攻击性告警信息生成模块,用于依据所述具有攻击性的流量数据,生成攻击性告警信息。
基于上述技术方案,本发明实施例中公开了一种攻击性检测方法及装置,包括:采集网络中通过防火墙的流量数据;对所述通过防火墙的流量数据进行攻击性检测,获取具有攻击性的流量数据;依据所述具有攻击性的流量数据,对防火墙对应的原始攻击性特征进行更新,得到更新后的攻击性特征,使所述防火墙利用所述更新后的攻击性特征,对将要通过所述防火墙的流量数据进行攻击性检测。本发明实施例中对通过防火墙的流量数据进行攻击性检测,从而获取具有攻击性的流量数据,而该通过防火墙的具有攻击性的流量数据是防火墙之前没有检测到的,利用该攻击性的流量数据对防火墙对应的原始攻击性特征进行更新,从而使防火墙对之前没有检测到的攻击行为及时产生防御能力,防火墙即可利用更新后的攻击性特征,对将要通过所述防火墙的流量数据进行攻击性检测,提高网络安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种攻击性检测方法流程图;
图2为本发明实施例提供的一种对所述通过防火墙的流量数据进行攻击性检测,获取具有攻击性的流量数据的方法流程图;
图3为本发明实施例提供的另一种对所述通过防火墙的流量数据进行攻击性检测,获取具有攻击性的流量数据的方法流程图;
图4为本发明实施例提供的一种攻击性检测装置的结构框图;
图5为本发明实施例提供的一种攻击性检测架构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在网络部署方面,许多网络通常是分区分域分级部署的,而不同区、域以及级之间通常采用各种类型的防火墙(如状态防火墙、应用防火墙等)进行防护。由于信息系统安全漏洞的存在,网络攻击者经常会利用网络中的安全漏洞穿越防火墙,渗透到较深层次的内网中进行非法活动。一旦网络攻击者攻陷某台内网主机,即可将该被攻陷的主机作为跳板进一步向深层内网渗透。网络攻击者的这种“攻陷->跳板->攻陷->跳板……”的操作行为最终会体现为一条线性的攻击链路,即为攻击链,网络攻击者通过该攻击链进行网络攻击。
而防火墙是设置在内网和外网之间或者专用网与公共网之间的边界上构造的保护屏障,作为内部网络与外部网络边界的第一道关口,阻止外部网络或公共网络中的病毒或非法访问进入内网或专用网,防火墙能够从源头上阻止网络攻击行为,防止网络攻击行为向更深层次的内网渗透。因此,提高防火墙的网络防御能力,成为阻止网络攻击的重要手段。
但是现有技术中防火墙只能检测出已知网络攻击行为,对于未知的网络攻击行为,防火墙无法对其做出防御,就会通过防火墙进入内网,导致防火墙失效,网络安全性降低。
基于此,本发明实施例提供一种攻击性检测方法及装置,能够使防火墙对于之前未知的网络攻击行为及时产生防御能力,提高网络安全性。
图1为本发明实施例提供的一种攻击性检测方法流程图,该方法可应用于终端,参照图1,所述方法可以包括:
步骤S100、采集网络中通过防火墙的流量数据;
本发明实施例中可以对网络系统的运行状况进行监控,即对网络中的实时传输内容进行监控,在内网中或者专用网中采集通过防火墙的流量数据,需要说明的是,所述流量数据指的是实时传输的数据,如数据包、数据报文以及网络日志等,本发明实施例不做具体限定。
需要说明的是,本发明实施例中通过防火墙的流量数据指的是没有被防火墙阻断的流量数据,其中,没有被防火墙阻断的流量数据中包含不具有攻击性的流量数据,还可能包含具有攻击性的流量数据。
步骤S110、对所述通过防火墙的流量数据进行攻击性检测,获取具有攻击性的流量数据;
本发明实施例中对所述通过防火墙的流量数据进行攻击性检测,是为了获取防火墙没能够阻断的具有攻击性的流量数据,即是防火墙未能够识别的攻击性的流量数据。
可选的,本发明实施例中对所述通过防火墙的流量数据进行攻击性检测的方式可以基于开源入侵检测系统如snort、和机器学习库如LIBSVM等,还可以基于开源库如OpenSSL等,本发明实施例不做具体限定。
步骤S120、依据所述具有攻击性的流量数据,对防火墙对应的原始攻击性特征进行更新,得到更新后的攻击性特征,使所述防火墙利用所述更新后的攻击性特征,对将要通过所述防火墙的流量数据进行攻击性检测。
需要说明的是,防火墙自身对应有原始攻击性特征,所述原始攻击性特征可以存储在原始攻击性特征列表中,依据所述具有攻击性的流量数据,对防火墙对应的原始攻击性特征列表中存储的原始攻击性特征进行更新,得到更新后的攻击性特征,使所述防火墙利用所述更新后的攻击性特征,对将要通过所述防火墙的流量数据进行攻击性检测。
需要说明的是,对防火墙对应的原始攻击性特征进行更新的过程,可以是将依据所述具有攻击性的流量数据生成的目标攻击性特征发送至防火墙,其中,再将目标攻击性特征发送至防火墙的过程中,可以对所述目标攻击性特征进行加密,或者数字签名的方式来保证目标攻击性特征的安全性,保证所述目标攻击性特征不被窃取,提高网络通信的安全性。
本发明实施例中根据各防火墙产品的实际情况,通过调用具体功能接口予以实现本发明实施例公开的上述内容。
本发明实施例中对通过防火墙的流量数据进行攻击性检测,从而获取具有攻击性的流量数据,而该通过防火墙的具有攻击性的流量数据是防火墙之前没有检测到的,利用该攻击性的流量数据对防火墙对应的原始攻击性特征进行更新,从而使防火墙对之前没有检测到的攻击行为及时产生防御能力,防火墙即可利用更新后的攻击性特征,对将要通过所述防火墙的流量数据进行攻击性检测,提高网络安全性。
并且,本发明实施例中可以依据所述具有攻击性的流量数据,对防火墙对应的原始攻击性特征进行更新,得到更新后的攻击性特征,自动完成防火墙的配置,减少人工分析的工作量,降低了攻击性流量数据的处理时间,能够有效避免因为安全事件反应延迟造成的损失。
图2为本发明实施例提供的一种对所述通过防火墙的流量数据进行攻击性检测,获取具有攻击性的流量数据的方法流程图,参照图2,所述方法可以包括:
步骤S200、对所述通过防火墙的流量数据进行扫描,确定所述通过防火墙的流量数据的数据类型;
可选的,可以按照流量数据的字段类型来对通过防火墙的流量数据划分不同的数据类型,还可以按照流量数据的传输类型对通过防火墙的流量数据划分不同的数据类型,本发明实施例中不做具体限定。
步骤S210、确定所述通过防火墙的流量数据的数据类型对应的数据特征;
本发明实施例中可以对通过防火墙的流量数据进行语句识别,获取流量数据的数据类型对应的数据特征,即能够表征流量数据的数据类型的特征,如:流量数据中的不同字段名等,本发明实施例不做具体限定。
步骤S220、对所述数据特征进行攻击性检测,确定具有攻击性的数据特征所对应的攻击性的流量数据。
本发明实施例中可以检测数据特征是否满足预设的攻击性准则,从而确定该数据特征是否具有攻击性,例如:对数据特征进行相应的攻击性规则匹配,判断所述数据特征是否满足攻击性规则,如果不满足,则确定所述数据特征不具有攻击性,反之,则具有攻击性,进一步确定具有攻击性的数据特征所对应的攻击性的流量数据。
本发明实施例中通过对所述通过防火墙的流量数据进行攻击性检测,获取具有攻击性的流量数据,该通过防火墙的具有攻击性的流量数据是防火墙之前没有检测到的,利用该攻击性的流量数据对防火墙对应的原始攻击性特征进行更新,从而使防火墙对之前没有检测到的攻击行为及时产生防御能力,防火墙即可利用更新后的攻击性特征,对将要通过所述防火墙的流量数据进行攻击性检测,提高网络安全性。并且,本发明实施例中可以及时将通过防火墙的具有攻击性的流量数据检测出来,对防火墙的防御能力进行改进,使防火墙能够对之前没有检测到的攻击行为及时产生防御能力,提高了对攻击性流量数据的处理效率。
图3为本发明实施例提供的另一种对所述通过防火墙的流量数据进行攻击性检测,获取具有攻击性的流量数据的方法流程图,参照图3,所述方法可以包括:
步骤S300、对所述通过防火墙的流量数据进行扫描,确定所述通过防火墙的流量数据的数据类型;
步骤S310、确定所述通过防火墙的流量数据的数据类型对应的数据特征;
步骤S320、将所述通过防火墙的流量数据的数据类型对应的数据特征与特征数据库中存储的该数据类型对应的原始数据特征进行比对,得到比对结果;
本发明实施例中将所述通过防火墙的流量数据的数据类型对应的数据特征与特征数据库中存储的该数据类型对应的原始数据特征进行比对的过程可以是:将所述通过防火墙的流量数据的数据类型对应的数据特征与特征数据库中存储的该数据类型对应的原始数据特征的相似度,依据相似度,确定具有攻击性的数据特征所对应的攻击性的流量数据。
步骤S330、依据所述比对结果,确定具有攻击性的数据特征所对应的攻击性的流量数据。
可选的,本发明实施例中还可以依据所述比对结果,确定具有攻击性的数据特征所对应的攻击性的流量数据中的攻击类型、攻击路径以及网络互联协议IP地址。
可选的,在对所述通过防火墙的流量数据进行攻击性检测,获取具有攻击性的流量数据之后,还包括:
依据所述具有攻击性的流量数据,生成攻击性告警信息,并将所述攻击性告警信息发送至系统管理员,使所述系统管理员依据所述攻击性告警信息及时对网络防护进行调整,提高网络安全性。
上述本发明公开的实施例中详细描述了方法,对于本发明的方法可采用多种形式的装置实现,因此本发明还公开了一种装置,下面给出具体的实施例进行详细说明。
图4为本发明实施例提供的一种攻击性检测装置的结构框图,该装置可以包括:流量数据采集模块100、攻击性检测模块110以及攻击性特征更新模块120;
结合图5所示的攻击性检测架构,防火墙被放置于内外网络的边界出入口处,对内外网络交换的数据包做严格把关,阻止外部网络的病毒和非法访问的进入;本发明实施例中的攻击性检测装置则设置在内部网络中,时刻监视内部网络中的网络状况,发现网络中存在的非法操作或入侵行为并及时发出响应,已达到保护内网安全的目的。
流量数据采集模块100,用于采集网络中通过防火墙的流量数据;
需要说明的是,本发明实施例中可以对网络系统的运行状况进行监控,即对网络中的实时传输内容进行监控,在内网中或者专用网中通过流量数据采集模块100采集通过防火墙的流量数据,需要说明的是,所述流量数据指的是实时传输的数据,如数据包、数据报文以及网络日志等,本发明实施例不做具体限定。
攻击性检测模块110,用于对所述通过防火墙的流量数据进行攻击性检测,获取具有攻击性的流量数据;
需要说明的是,本发明实施例中通过攻击性检测模块110对所述通过防火墙的流量数据进行攻击性检测,是为了获取防火墙没能够阻断的具有攻击性的流量数据,即是防火墙未能够识别的攻击性的流量数据。
攻击性特征更新模块120,用于依据所述具有攻击性的流量数据,对防火墙对应的原始攻击性特征进行更新,得到更新后的攻击性特征,使所述防火墙利用所述更新后的攻击性特征,对将要通过所述防火墙的流量数据进行攻击性检测。
需要说明的是,防火墙自身对应有原始攻击性特征,所述原始攻击性特征可以存储在原始攻击性特征列表中,依据所述具有攻击性的流量数据,对防火墙对应的原始攻击性特征列表中存储的原始攻击性特征进行更新,得到更新后的攻击性特征,使所述防火墙利用所述更新后的攻击性特征,对将要通过所述防火墙的流量数据进行攻击性检测。
基于上述攻击性检测装置实施例,本发明还可从以下模块中选取合适模块组成新的攻击性检测装置,具体组成方式可对应方法实施例中的相关描述进行确定,本实施例不再赘述。
所述攻击性检测模块包括:
扫描模块,用于对所述通过防火墙的流量数据进行扫描,确定所述通过防火墙的流量数据的数据类型;
数据特征确定模块,用于确定所述通过防火墙的流量数据的数据类型对应的数据特征;
攻击性流量数据确定模块,用于对所述数据特征进行攻击性检测,确定具有攻击性的数据特征所对应的攻击性的流量数据。
所述攻击性流量数据确定模块包括:
数据特征比对模块,用于将所述通过防火墙的流量数据的数据类型对应的数据特征与特征数据库中存储的该数据类型对应的原始数据特征进行比对,得到比对结果;
攻击性流量数据确定子模块,依据所述比对结果,确定具有攻击性的数据特征所对应的攻击性的流量数据。
所述攻击性流量数据确定子模块具体用于:
依据所述比对结果,确定具有攻击性的数据特征所对应的攻击性的流量数据中的攻击类型、攻击路径以及网络互联协议IP地址。
还包括:
攻击性告警信息生成模块,用于依据所述具有攻击性的流量数据,生成攻击性告警信息。
综上所述:
本发明实施例中公开了一种攻击性检测方法及装置,包括:采集网络中通过防火墙的流量数据;对所述通过防火墙的流量数据进行攻击性检测,获取具有攻击性的流量数据;依据所述具有攻击性的流量数据,对防火墙对应的原始攻击性特征进行更新,得到更新后的攻击性特征,使所述防火墙利用所述更新后的攻击性特征,对将要通过所述防火墙的流量数据进行攻击性检测。本发明实施例中对通过防火墙的流量数据进行攻击性检测,从而获取具有攻击性的流量数据,而该通过防火墙的具有攻击性的流量数据是防火墙之前没有检测到的,利用该攻击性的流量数据对防火墙对应的原始攻击性特征进行更新,从而使防火墙对之前没有检测到的攻击行为及时产生防御能力,防火墙即可利用更新后的攻击性特征,对将要通过所述防火墙的流量数据进行攻击性检测,提高网络安全性。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
- 还没有人留言评论。精彩留言会获得点赞!