一種攻擊性檢測方法及裝置制造方法及圖紙

本發明專利技術實施例中公開了一種攻擊性檢測方法及裝置，包括：采集網絡中通過防火墻的流量數據；對通過防火墻的流量數據進行攻擊性檢測，獲取具有攻擊性的流量數據；依據具有攻擊性的流量數據，對防火墻對應的原始攻擊性特征進行更新，得到更新后的攻擊性特征，使防火墻利用更新后的攻擊性特征，對將要通過的流量數據進行攻擊性檢測。由于該通過防火墻的具有攻擊性的流量數據是防火墻之前沒有檢測到的，利用該攻擊性的流量數據對防火墻對應的原始攻擊性特征進行更新，從而使防火墻對之前沒有檢測到的攻擊行為及時產生防御能力，防火墻即可利用更新后的攻擊性特征，對將要通過的流量數據進行攻擊性檢測，提高網絡安全性。

Method and device for detecting attack

The embodiment of the invention discloses an attack detection method and device, including: data acquisition network traffic through the firewall; the attack detection data flow through the firewall, get traffic data aggressive; according to the number of offensive flow according to the features of the original attack, the firewall update, attack features updated, so that the firewall features updated using the attack, attack detection of traffic data will be passed. Because the data flow through the firewall offensive is not detected before the firewall, using the data flow attack on the firewall that corresponds to the original attack features updated, so that the firewall to before attacks detected timely defense capabilities, you can use the firewall attack features updated, for the method of attack traffic data will pass through, improve network security.

【技術實現步驟摘要】
一種攻擊性檢測方法及裝置
本專利技術涉及網絡安全領域，具體涉及一種攻擊性檢測方法及裝置。
技術介紹
隨著互聯網行業的發展，網絡安全越來越受到人們重視，網絡攻擊者通常會利用現有網絡信息系統中潛在的網絡安全漏洞，對網絡實施攻擊行為，從而獲取非法權限，對網絡信息系統造成危害?，F有技術中，為了阻止網絡攻擊者的入侵，提高網絡信息系統的安全性，通常采用殺毒軟件、防火墻等入侵監測系統對網絡中的攻擊行為進行監測，例如：設置在網絡信息系統中的防火墻是一個由軟件和硬件設備組合而成、在內網和外網之間或者專用網與公共網之間的邊界上構造的保護屏障，通過在信息邊界上建立一個安全網關，從而保護內部網免受網絡攻擊者侵入。防火墻主要是通過收集和分析網絡行為、安全日志、審計數據等，檢查網絡或者系統中是否存在違反安全策略的行為或被攻擊跡象。但是現有技術中防火墻只能檢測出已知網絡攻擊行為，對于未知的網絡攻擊行為，防火墻無法做出防御，就會通過防火墻進入內網，導致防火墻失效，網絡安全性降低。
技術實現思路
有鑒于此，本專利技術實施例提供一種攻擊性檢測方法及裝置，能夠使防火墻對于之前未知的網絡攻擊行為及時產生防御能力，提高網絡安全性。為實現上述目的，本專利技術實施例提供如下技術方案：一種攻擊性檢測方法，包括：采集網絡中通過防火墻的流量數據；對所述通過防火墻的流量數據進行攻擊性檢測，獲取具有攻擊性的流量數據；依據所述具有攻擊性的流量數據，對防火墻對應的原始攻擊性特征進行更新，得到更新后的攻擊性特征，使所述防火墻利用所述更新后的攻擊性特征，對將要通過所述防火墻的流量數據進行攻擊性檢測。優選的，所述對所述通過防火墻的流量數據進行攻擊性檢測，獲取具有攻擊性的流量數據的過程包括：對所述通過防火墻的流量數據進行掃描，確定所述通過防火墻的流量數據的數據類型；確定所述通過防火墻的流量數據的數據類型對應的數據特征；對所述數據特征進行攻擊性檢測，確定具有攻擊性的數據特征所對應的攻擊性的流量數據。優選的，所述對所述數據特征進行攻擊性檢測，確定具有攻擊性的數據特征所對應的攻擊性的流量數據的過程包括：將所述通過防火墻的流量數據的數據類型對應的數據特征與特征數據庫中存儲的該數據類型對應的原始數據特征進行比對，得到比對結果；依據所述比對結果，確定具有攻擊性的數據特征所對應的攻擊性的流量數據。優選的，所述依據所述比對結果，確定具有攻擊性的數據特征所對應的流量數據的過程包括：依據所述比對結果，確定具有攻擊性的數據特征所對應的攻擊性的流量數據中的攻擊類型、攻擊路徑以及網絡互聯協議IP地址。優選的，在對所述通過防火墻的流量數據進行攻擊性檢測，獲取具有攻擊性的流量數據之后，還包括：依據所述具有攻擊性的流量數據，生成攻擊性告警信息。一種攻擊性檢測裝置，包括：流量數據采集模塊，用于采集網絡中通過防火墻的流量數據；攻擊性檢測模塊，用于對所述通過防火墻的流量數據進行攻擊性檢測，獲取具有攻擊性的流量數據；攻擊性特征更新模塊，用于依據所述具有攻擊性的流量數據，對防火墻對應的原始攻擊性特征進行更新，得到更新后的攻擊性特征，使所述防火墻利用所述更新后的攻擊性特征，對將要通過所述防火墻的流量數據進行攻擊性檢測。優選的，所述攻擊性檢測模塊包括：掃描模塊，用于對所述通過防火墻的流量數據進行掃描，確定所述通過防火墻的流量數據的數據類型；數據特征確定模塊，用于確定所述通過防火墻的流量數據的數據類型對應的數據特征；攻擊性流量數據確定模塊，用于對所述數據特征進行攻擊性檢測，確定具有攻擊性的數據特征所對應的攻擊性的流量數據。優選的，所述攻擊性流量數據確定模塊包括：數據特征比對模塊，用于將所述通過防火墻的流量數據的數據類型對應的數據特征與特征數據庫中存儲的該數據類型對應的原始數據特征進行比對，得到比對結果；攻擊性流量數據確定子模塊，依據所述比對結果，確定具有攻擊性的數據特征所對應的攻擊性的流量數據。優選的，所述攻擊性流量數據確定子模塊具體用于：依據所述比對結果，確定具有攻擊性的數據特征所對應的攻擊性的流量數據中的攻擊類型、攻擊路徑以及網絡互聯協議IP地址。優選的，還包括：攻擊性告警信息生成模塊，用于依據所述具有攻擊性的流量數據，生成攻擊性告警信息。基于上述技術方案，本專利技術實施例中公開了一種攻擊性檢測方法及裝置，包括：采集網絡中通過防火墻的流量數據；對所述通過防火墻的流量數據進行攻擊性檢測，獲取具有攻擊性的流量數據；依據所述具有攻擊性的流量數據，對防火墻對應的原始攻擊性特征進行更新，得到更新后的攻擊性特征，使所述防火墻利用所述更新后的攻擊性特征，對將要通過所述防火墻的流量數據進行攻擊性檢測。本專利技術實施例中對通過防火墻的流量數據進行攻擊性檢測，從而獲取具有攻擊性的流量數據，而該通過防火墻的具有攻擊性的流量數據是防火墻之前沒有檢測到的，利用該攻擊性的流量數據對防火墻對應的原始攻擊性特征進行更新，從而使防火墻對之前沒有檢測到的攻擊行為及時產生防御能力，防火墻即可利用更新后的攻擊性特征，對將要通過所述防火墻的流量數據進行攻擊性檢測，提高網絡安全性。附圖說明為了更清楚地說明本專利技術實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本專利技術的實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據提供的附圖獲得其他的附圖。圖1為本專利技術實施例提供的一種攻擊性檢測方法流程圖；圖2為本專利技術實施例提供的一種對所述通過防火墻的流量數據進行攻擊性檢測，獲取具有攻擊性的流量數據的方法流程圖；圖3為本專利技術實施例提供的另一種對所述通過防火墻的流量數據進行攻擊性檢測，獲取具有攻擊性的流量數據的方法流程圖；圖4為本專利技術實施例提供的一種攻擊性檢測裝置的結構框圖；圖5為本專利技術實施例提供的一種攻擊性檢測架構圖。具體實施方式下面將結合本專利技術實施例中的附圖，對本專利技術實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本專利技術一部分實施例，而不是全部的實施例?；诒緦＠夹g中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本專利技術保護的范圍。在網絡部署方面，許多網絡通常是分區分域分級部署的，而不同區、域以及級之間通常采用各種類型的防火墻(如狀態防火墻、應用防火墻等)進行防護。由于信息系統安全漏洞的存在，網絡攻擊者經常會利用網絡中的安全漏洞穿越防火墻，滲透到較深層次的內網中進行非法活動。一旦網絡攻擊者攻陷某臺內網主機，即可將該被攻陷的主機作為跳板進一步向深層內網滲透。網絡攻擊者的這種“攻陷->跳板->攻陷->跳板……”的操作行為最終會體現為一條線性的攻擊鏈路，即為攻擊鏈，網絡攻擊者通過該攻擊鏈進行網絡攻擊。而防火墻是設置在內網和外網之間或者專用網與公共網之間的邊界上構造的保護屏障，作為內部網絡與外部網絡邊界的第一道關口，阻止外部網絡或公共網絡中的病毒或非法訪問進入內網或專用網，防火墻能夠從源頭上阻止網絡攻擊行為，防止網絡攻擊行為向更深層次的內網滲透。因此，提高防火墻的網絡防御能力，成為阻止網絡攻擊的重要手段。但是現有技術中防火墻只能檢測出已知網絡攻擊行為，對于未知的網絡攻擊行為，防火墻無法對其做出防御，就會通過防火墻進入內網本文檔來自技高網...

【技術保護點】
一種攻擊性檢測方法，其特征在于，包括：采集網絡中通過防火墻的流量數據；對所述通過防火墻的流量數據進行攻擊性檢測，獲取具有攻擊性的流量數據；依據所述具有攻擊性的流量數據，對防火墻對應的原始攻擊性特征進行更新，得到更新后的攻擊性特征，使所述防火墻利用所述更新后的攻擊性特征，對將要通過所述防火墻的流量數據進行攻擊性檢測。

【技術特征摘要】
1.一種攻擊性檢測方法，其特征在于，包括：采集網絡中通過防火墻的流量數據；對所述通過防火墻的流量數據進行攻擊性檢測，獲取具有攻擊性的流量數據；依據所述具有攻擊性的流量數據，對防火墻對應的原始攻擊性特征進行更新，得到更新后的攻擊性特征，使所述防火墻利用所述更新后的攻擊性特征，對將要通過所述防火墻的流量數據進行攻擊性檢測。2.根據權利要求1所述的攻擊性檢測方法，其特征在于，所述對所述通過防火墻的流量數據進行攻擊性檢測，獲取具有攻擊性的流量數據的過程包括：對所述通過防火墻的流量數據進行掃描，確定所述通過防火墻的流量數據的數據類型；確定所述通過防火墻的流量數據的數據類型對應的數據特征；對所述數據特征進行攻擊性檢測，確定具有攻擊性的數據特征所對應的攻擊性的流量數據。3.根據權利要求2所述的攻擊性檢測方法，其特征在于，所述對所述數據特征進行攻擊性檢測，確定具有攻擊性的數據特征所對應的攻擊性的流量數據的過程包括：將所述通過防火墻的流量數據的數據類型對應的數據特征與特征數據庫中存儲的該數據類型對應的原始數據特征進行比對，得到比對結果；依據所述比對結果，確定具有攻擊性的數據特征所對應的攻擊性的流量數據。4.根據權利要求3所述的攻擊性檢測方法，其特征在于，所述依據所述比對結果，確定具有攻擊性的數據特征所對應的流量數據的過程包括：依據所述比對結果，確定具有攻擊性的數據特征所對應的攻擊性的流量數據中的攻擊類型、攻擊路徑以及網絡互聯協議IP地址。5.根據權利要求1-4任意一項所述的攻擊性檢測方法，其特征在于，在對所述通過防火墻的流量數據進行攻擊性檢測，獲取具有攻擊性的流量數據之后，還包括：依據所述具有攻擊性的流量數據，生成攻擊...

【專利技術屬性】
技術研發人員：呂俊峰，來風剛，李靜，郭永和，賈蕊，王嬋，程杰，劉安，盧曉梅，
申請(專利權)人：國家電網公司信息通信分公司，
類型：發明
國別省市：北京,11