智能網絡防火牆設備及網絡攻擊防護方法
2023-05-30 00:39:01
專利名稱:智能網絡防火牆設備及網絡攻擊防護方法
技術領域:
本發明涉及計算機網絡通信領域中的防火牆技術,尤其涉及ー種智能網絡防火牆設備及網絡攻擊防護方法。
背景技術:
隨著計算機網絡的發展和普及,網絡上各種黑客、蠕蟲等非法網絡攻擊日益猖獗,為了保護計算機網絡和系統,防火牆應運而生。防火牆又稱Firewall,是ー項協助確保信息安全的設備,該設備會依照特定的規則,允許或限制傳輸的數據通過。具體來說,防火牆較早的實現方式是基於包過濾的方式,也就是簡單的比對IP位址和端ロ,後來在此基礎上加入了狀態檢測的功能,這成為了目前防火牆的主要工作方式。防火牆可以是一臺專屬的硬體也可以是架設在一般硬體上的ー套軟體。雖然防火牆具有一定的網絡攻擊保護作用,但傳統的防火牆針對網絡攻擊的策略較為僵化,隨著時間的推移,難以適應不斷動態變化的網絡攻擊態勢,因此有必要對傳統防火牆進行技術改造,使之適應新的網絡安全需求。
發明內容
本發明的目的是提出ー種智能網絡防火牆設備及網絡攻擊防護方法,能夠適應不斷動態變化的網絡攻擊態勢,符合更新的網絡安全需求。為實現上述目的,本發明提供了ー種智能網絡防火牆設備,包括:防火牆模塊,用於根據下發的阻斷策略對符合所述阻斷策略的數據流量進行限制;蜜罐模塊,用於在網絡中利用空餘IP位址和/或端ロ部署符合預定要求的虛擬蜜罐系統,並監聽對所述虛擬蜜罐系統的訪問流量,然後根據所述訪問流量確定並記錄攻擊IP位址和/或端ロ ;安全策略模塊,用於根據所述蜜罐模塊記錄的攻擊IP位址和/或端ロ生成新的阻斷策略,並將該新的阻斷策略下發給所述防火牆模塊。進ー步的,所述安全策略模塊還保存有基本防火牆安全策略,並下發給所述防火牆模塊執行數據流量的允許或攔截操作。進ー步的,所述蜜罐模塊具體包括: 虛擬蜜罐生成単元,用於在網絡中利用空餘IP位址和/或端ロ部署符合預定要求的虛擬蜜罐系統;訪問流量監聽單元,用於監聽對所述虛擬蜜罐系統的訪問流量;攻擊地址記錄単元,用於根據所述訪問流量確定並記錄攻擊IP位址和/或端ロ。進ー步的,所述訪問流量監聽單元具體用於監聽網絡攻擊者對所述虛擬蜜罐系統的掃描或黑客攻擊,或者在確定存在對被保護主機的疑似攻擊時,將疑似攻擊的數據流量牽引到所述虛擬蜜罐系統,並繼續對所述疑似攻擊的數據流量進行監聽和分析。進ー步的,所述蜜罐模塊還包括:分析模塊,用於根據訪問流量記錄IP位址和/或端ロ的訪問頻率以及訪問本虛擬蜜罐系統的端ロ的個數,並結合多個虛擬蜜罐系統進行統計,確定所述訪問流量的IP位址和/或端ロ的風險指數,對風險指數超過閾值的IP位址和/或端ロ確定為攻擊IP位址和
/或端ロ。進ー步的,該新的阻斷策略為限時的臨時策略,所述安全策略模塊還用於在所述臨時策略的有效時間終止吋,撤銷該臨時策略在所述防火牆模塊中的應用。進ー步的,所述安全策略模塊還進ー步用於根據所述蜜罐系統所提供的攻擊IP位址和/或端ロ對應的風險指數或者攻擊類型確定生成的新的阻斷策略的有效時間。為實現上述目的,本發明提供了ー種網絡攻擊防護方法,包括:智能網絡防火牆設備中的蜜罐模塊在網絡中利用空餘IP位址和/或端ロ部署符合預定要求的虛擬蜜罐系統;所述蜜罐模塊監聽對所述虛擬蜜罐系統的訪問流量,並根據所述訪問流量確定並記錄攻擊IP位址和/或端ロ ;所述智能網絡防火牆設備中的安全策略模塊根據所述蜜罐模塊記錄的攻擊IP位址和/或端ロ生成新的阻斷策略,並將該新的阻斷策略下發給所述智能網絡防火牆設備中的防火牆模塊;所述防火牆模塊根據所述安全策略模塊下發的阻斷策略對符合所述阻斷策略的數據流量進行限制。進ー步的,所述蜜罐模塊監聽對所述虛擬蜜罐系統的訪問流量的操作具體為:所述蜜罐模塊監聽網絡攻擊者對所述虛擬蜜罐系統的掃描或黑客攻擊;或者所述蜜罐模塊在確定存在對被保護主機的疑似攻擊時,將疑似攻擊的數據流量牽引到所述虛擬蜜罐系統,並繼續對所述疑似攻擊的數據流量進行監聽和分析。進ー步的,所述根據訪問流量確定攻擊IP位址和/或端ロ的操作具體包括:所述蜜罐模塊根據訪問流量記錄IP位址和/或端ロ的訪問頻率以及訪問本虛擬蜜罐系統的端ロ的個數,並結合多個虛擬蜜罐系統進行統計,確定所述訪問流量的IP位址和/或端ロ的風險指數,對風險指數超過閾值的IP位址和/或端ロ確定為攻擊IP位址和/或端ロ。進ー步的,該新的阻斷策略為限時的臨時策略,所述方法還包括:在所述臨時策略的有效時間終止時,所述安全策略模塊撤銷該臨時策略在所述防火牆模塊中的應用。進ー步的,在所述安全策略模塊根據所述蜜罐模塊記錄的攻擊IP位址和/或端ロ生成新的阻斷策略時,還包括:所述安全策略模塊根據所述蜜罐系統所提供的攻擊IP位址和/或端ロ對應的風險指數或者攻擊類型確定生成的新的阻斷策略的有效時間。基於上述技術方案,本發明在防火牆設備中使用蜜罐技術,利用虛擬蜜罐系統吸引非法的網絡攻擊,進而識別出網絡攻擊IP和/或端ロ,井根據識別結果動態調整防火牆設備的安全策略,因此能夠適應不斷動態變化的網絡攻擊態勢,進而適應新的網絡安全需求。
此處所說明的附圖用來提供對本發明的進ー步理解,構成本申請的一部分,本發明的示意性實施例及其說明用於解釋本發明,並不構成對本發明的不當限定。在附圖中:圖1為本發明智能網絡防火牆設備的一實施例的結構示意圖。圖2為本發明智能網絡防火牆設備的另ー實施例的結構示意圖。圖3為本發明網絡攻擊防護方法的一實施例的流程示意圖。圖4為本發明網絡攻擊防護方法的另ー實施例的流程示意圖。
具體實施例方式下面通過附圖和實施例,對本發明的技術方案做進ー步的詳細描述。首先對蜜罐技術作出說明,蜜罐(或稱蜜罐系統)是專門用於誘捕黑客攻擊的ー套系統,它可以是物理上存在的一臺主機,上面部署各種漏洞和監控系統;也可以是網絡設備虛擬出來的IP位址、埠和服務,它本身並不存在,但對於網絡上的攻擊者看來,這臺主機是存在的,能夠響應、提供服務。在於本發明來說,蜜罐的存在是為了吸引網絡中的各種掃描、攻擊和攻陷等行為,通過監視流入/流出蜜罐的網絡流量就可以對這些行為進行分析,判斷是否可能屬於有惡意的網絡攻擊行為。如圖1所示,為本發明智能網絡防火牆設備的一實施例的結構示意圖。在本實施例中,智能網絡防火牆設備包括:防火牆模塊1、蜜罐模塊2和安全策略模塊3。防火牆模塊I負責根據安全策略模塊3所下發的阻斷策略對符合所述阻斷策略的數據流量進行限制。除此之外,防火牆模塊I也可以完成傳統意義上的允許或限制數據通過的任務。蜜罐模塊2負責在網絡中利用空餘IP位址和/或端ロ部署符合預定要求的虛擬蜜罐系統,並監聽對所述虛擬蜜罐系統的訪問流量,然後根據所述訪問流量確定並記錄攻擊IP位址和/或端ロ。蜜罐模塊2存在於智能網絡防火牆設備之內,由於智能網絡防火牆設備屬於ー種網關型的設備,後面防護著重要的系統和網絡,因此其可以利用蜜罐技術將並不存在的主機作為誘捕黑客攻擊的ー個誘餌。安全策略模塊3負責根據蜜罐模塊2記錄的攻擊IP位址和/或端ロ生成新的阻斷策略,並將該新的阻斷策略下發給防火牆模塊I。在安全策略模塊3還可以保存ー些基本防火牆安全策略,即傳統防火牆設備所採用的安全策略規則。安全策略模塊3可以將這些基本防火牆安全策略下發給防火牆模塊I執行數據流量的允許或攔截操作。如圖2所示,為本發明智能網絡防火牆設備的另ー實施例的結構示意圖。與上一實施例相比,本實施例中的蜜罐模塊2具體包括:虛擬蜜罐生成單元21、訪問流量監聽單元22和攻擊地址記錄單元23。其中,虛擬蜜罐生成單元21負責在網絡中利用空餘IP位址和/或端ロ部署符合預定要求的虛擬蜜罐系統。在形成的虛擬蜜罐系統中,可以根據配置生成特定的作業系統,如Windows、Linux系統,或者模擬常見的應用,例如:Telnet、Ftp、Http等。由於虛擬蜜罐系統並非真實存在的主機,因此一切對虛擬蜜罐系統的訪問都可以被判斷為攻擊或者有攻擊企圖,從而可以根據蜜罐監聽和確定的攻擊IP位址和/或訪問端ロ來及時阻斷可能的非法訪問或攻擊。訪問流量監聽單元22負責監聽對所述虛擬蜜罐系統的訪問流量。在具體監聽方式上,訪問流量監聽單元22可以採用監聽網絡攻擊者對所述虛擬蜜罐系統的掃描或黑客攻擊的方式,這屬於ー種相對被動的方式,但實現較為簡單;也可以米用在確定存在對被保護主機的疑似攻擊時,主動將疑似攻擊的數據流量牽引到所述虛擬蜜罐系統,並繼續對所述疑似攻擊的數據流量進行監聽和分析的方式,例如分析是否是攻擊,以及攻擊的類型方式,這種方式具有更好的保護效果。攻擊地址記錄単元23負責根據所述訪問流量確定並記錄攻擊IP位址和/或端ロ。記錄下來的攻擊IP位址和/或端ロ可以提供給安全策略模塊來生成新的防護規則,並應用到防火牆模塊中,實現對新型網絡攻擊的實時阻斷。考慮到網絡中存在各種流量,除了部分惡意攻擊或有惡意攻擊企圖的流量之外,還有些是無害的流量,因此在蜜罐模塊中還可以進ー步布置分析模塊,該模塊負責根據訪問流量記錄IP位址的訪問頻率以及訪問本虛擬蜜罐系統的端ロ的個數,並結合多個虛擬蜜罐系統進行統計,確定所述訪問流量的IP位址和/或端ロ的風險指數,對風險指數超過閾值的IP位址和/或端ロ確定為攻擊IP位址和/或端ロ。舉例來說,分析模塊所作的統計分析主要是針對攻擊者的攻擊行為判斷其攻擊企圖,例如某公網IP對防火牆後面整個網段進行了全端ロ掃描,這可以看作是一次黑客試探攻擊;某IP對防火牆後的web伺服器進行了高頻度的web頁面請求,其中還有很多是無效頁面,可以看作是一次對web的探測,作為攻擊的踩點;某IP對防火牆後大量主機的某個端ロ進行探測,可以看作是一次有針對性的攻擊探測,事後必會有針對專門漏洞的攻擊。統計可以分析攻擊的IP分布情況、端ロ分布情況、協議分布情況等等,從這些分析中可以看出黑客的攻擊類型、攻擊方向,能夠從中找出黑客攻擊的特點,例如是否有新型的還沒有曝光的攻擊出現,這些對於管理者有很大的幫助。考慮到網絡攻擊具有一定的突發性,而且長時間運行後產生過多的安全策略也會給安全策略模塊和防火牆模塊帶來一定的資源壓力,因此可以將安全策略模塊生成的新的阻斷策略設定為限時的臨時策略,安全策略模塊可以在臨時策略的有效時間終止時,撤銷該臨時策略在防火牆模塊中的應用。這樣可以有效地提高智能網絡防火牆設備的性能。阻斷策略的阻斷時長的設置可以在系統中預先定義,也可以根據攻擊類型的不同而設置不同的阻斷時長。例如對掃描攻擊和對DDOS攻擊設置的阻斷時長可以不同,增大攻擊的難度,提高安全性,同時也不會對正常訪問造成太大影響。另外,在策略生效期間,如果攻擊不停止,策略的生效時長會自動增加,以應對攻擊的威脅。相應的,安全策略模塊可以進ー步根據蜜罐系統所提供的攻擊IP位址和/或端ロ對應的風險指數或者攻擊類型確定生成的新的阻斷策略的有效時間。下面對本發明的幾種網絡攻擊防護方法的實施例進行說明。如圖3所示,為本發明網絡攻擊防護方法的一實施例的流程示意圖。在本實施例中,網絡攻擊防護流程包括以下步驟:步驟101、智能網絡防火牆設備中的蜜罐模塊在網絡中利用空餘IP位址和/或端ロ部署符合預定要求的虛擬蜜罐系統;步驟102、所述蜜罐模塊監聽對所述虛擬蜜罐系統的訪問流量,並根據所述訪問流量確定並記錄攻擊IP位址和/或端ロ;步驟103、所述智能網絡防火牆設備中的安全策略模塊根據所述蜜罐模塊記錄的攻擊IP位址和/或端ロ生成新的阻斷策略,並將該新的阻斷策略下發給所述智能網絡防火牆設備中的防火牆模塊;步驟104、所述防火牆模塊根據所述安全策略模塊下發的阻斷策略對符合所述阻斷策略的數據流量進行限制。在本實施例中,蜜罐模塊可以監聽來自各種IP位址和/或端ロ的訪問虛擬蜜罐系統的流量,通過分析確定攻擊IP位址和/或端ロ,進而由安全策略模塊制定針對性地阻斷策略,並交於防火牆模塊進行應用,從而可以有效地對各種新型網絡攻擊實現實時的阻斷。在上述步驟102中,蜜罐模塊監聽對所述虛擬蜜罐系統的訪問流量的方式可採用監聽網絡攻擊者對所述虛擬蜜罐系統的掃描或黑客攻擊的方式;或者在確定存在對被保護主機的疑似攻擊時,將疑似攻擊的數據流量牽引到所述虛擬蜜罐系統,並繼續對所述疑似攻擊的數據流量進行監聽和分析的方式,每種方式的特點在前面已經有所陳述,這裡就不再贅述了。如圖4所示,為本發明網絡攻擊防護方法的另ー實施例的流程示意圖。在本實施例中,網絡攻擊防護流程具體包括:步驟201、智能網絡防火牆設備中的蜜罐模塊在網絡中利用空餘IP位址和/或端ロ部署符合預定要求的虛擬蜜罐系統,舉例來說,防火牆保護的網段裡面有100臺主機,防火牆可以使用空閒的IP位址虛擬出幾個蜜罐系統來,由於這些IP和服務並不是真實的,因此對這些IP服務的訪問將有很大可能是攻擊,掃描器通常會整個網段的掃描,只要在網段中設置2-3個虛擬蜜罐,就能通過自動分析得出掃描攻擊的情況,從而設置策略阻斷掃描。步驟202、蜜罐模塊監聽對所述虛擬蜜罐系統的訪問流量。步驟203、蜜罐模塊根據訪問流量記錄IP位址的訪問頻率以及訪問本虛擬蜜罐系統的端ロ的個數。步驟204、蜜罐模塊結合多個虛擬蜜罐系統進行統計,確定所述訪問流量的IP位址和/或端ロ的風險指數,對風險指數超過閾值的IP位址和/或端ロ確定為攻擊IP位址
和/或端ロ。步驟205、安全策略模塊根據所述蜜罐模塊記錄的攻擊IP位址和/或端ロ生成新的阻斷策略,該新的阻斷策略為限時的臨時策略。步驟206、在生成阻斷策略的同時,安全策略模塊根據蜜罐系統所提供的攻擊IP位址和/或端ロ對應的風險指數或者攻擊類型確定生成的新的阻斷策略的有效時間。步驟207、安全策略模塊將該新的阻斷策略下發給所述智能網絡防火牆設備中的防火牆模塊。步驟208、防火牆模塊根據所述安全策略模塊下發的阻斷策略對符合所述阻斷策略的數據流量進行限制。步驟209、在該臨時策略的有效時間終止時,所述安全策略模塊撤銷該臨時策略在所述防火牆模塊中的應用。在上述本發明各方法實施例中,通過蜜罐技術實現了智能網絡防火牆設備的安全策略的動態調整,可以對新型的網絡探測、網絡攻擊、蠕蟲病毒的破壞等實現很好的防禦效果。本領域普通技術人員可以理解:實現上述方法實施例的全部或部分步驟可以通過程序指令相關的硬體來完成,前述的程序可以存儲於ー計算機可讀取存儲介質中,該程序在執行時,執行包括上述方法實施例的步驟;而前述的存儲介質包括:ROM、RAM、磁碟或者光碟等各種可以存儲程序代碼的介質。最後應當說明的是:以上實施例僅用以說明本發明的技術方案而非對其限制;儘管參照較佳實施例對本發明進行了詳細的說明,所屬領域的普通技術人員應當理解:依然可以對本發明的具體實施方式
進行修改或者對部分技術特徵進行等同替換;而不脫離本發明技術方案的精神,其均應涵蓋在本發明請求保護的技術方案範圍當中。
權利要求
1.ー種智能網絡防火牆設備,包括: 防火牆模塊,用於根據下發的阻斷策略對符合所述阻斷策略的數據流量進行限制; 蜜罐模塊,用於在網絡中利用空餘IP位址和/或端ロ部署符合預定要求的虛擬蜜罐系統,並監聽對所述虛擬蜜罐系統的訪問流量,然後根據所述訪問流量確定並記錄攻擊IP位址和/或立而ロ ; 安全策略模塊,用於根據所述蜜罐模塊記錄的攻擊IP位址和/或端ロ生成新的阻斷策略,並將該新的阻斷策略下發給所述防火牆模塊。
2.根據權利要求1所述的智能網絡防火牆設備,其中,所述安全策略模塊還保存有基本防火牆安全策略,並下發給所述防火牆模塊執行數據流量的允許或攔截操作。
3.根據權利要求2所述的智能網絡防火牆設備,其中,所述蜜罐模塊具體包括: 虛擬蜜罐生成単元,用於在網絡中利用空餘IP位址和/或端ロ部署符合預定要求的虛擬蠻'Sil系統; 訪問流量監聽單元,用於監聽對所述虛擬蜜罐系統的訪問流量; 攻擊地址記錄単元,用於根據所述訪問流量確定並記錄攻擊IP位址和/或端ロ。
4.根據權利要求3所述的智能網絡防火牆設備,其中,所述訪問流量監聽單元具體用於監聽網絡攻擊者對所述虛擬蜜罐系統的掃描或黑客攻擊,或者 在確定存在對被保護主機的疑似攻擊時,將疑似攻擊的數據流量牽引到所述虛擬蜜罐系統,並繼續對所述疑似攻擊的數據流量進行監聽和分析。
5.根據權利要求4所述的智能網絡防火牆設備,其中,所述蜜罐模塊還包括: 分析模塊,用於根據訪問流量記錄IP位址的訪問頻率以及訪問本虛擬蜜罐系統的端ロ的個數,並結合多個虛擬蜜罐系統進行統計,確定所述訪問流量的IP位址和/或端ロ的風險指數,對風險指數超過閾值的IP位址和/或端ロ確定為攻擊IP位址和/或端ロ。
6.根據權利要求3-5任一所述的智能網絡防火牆設備,其中,該新的阻斷策略為限時的臨時策略,所述安全策略模塊還用於在所述臨時策略的有效時間終止時,撤銷該臨時策略在所述防火牆模塊中的應用。
7.根據權利要求6所述的智能網絡防火牆設備,其中,所述安全策略模塊還進ー步用於根據所述蜜罐系統所提供的攻擊IP位址和/或端ロ對應的風險指數或者攻擊類型確定生成的新的阻斷策略的有效時間。
8.—種網絡攻擊防護方法,包括: 智能網絡防火牆設備中的蜜罐模塊在網絡中利用空餘IP位址和/或端ロ部署符合預定要求的虛擬蜜罐系統; 所述蜜罐模塊監聽對所述虛擬蜜罐系統的訪問流量,並根據所述訪問流量確定並記錄攻擊IP位址和/或端ロ ; 所述智能網絡防火牆設備中的安全策略模塊根據所述蜜罐模塊記錄的攻擊IP位址和/或端ロ生成新的阻斷策略,並將該新的阻斷策略下發給所述智能網絡防火牆設備中的防火牆模塊; 所述防火牆模塊根據所述安全策略模塊下發的阻斷策略對符合所述阻斷策略的數據流量進行限制。
9.根據權利要求8所述的方法,其中,所述蜜罐模塊監聽對所述虛擬蜜罐系統的訪問流量的操作具體為: 所述蜜罐模塊監聽網絡攻擊者對所述虛擬蜜罐系統的掃描或黑客攻擊;或者 所述蜜罐模塊在確定存在對被保護主機的疑似攻擊時,將疑似攻擊的數據流量牽引到所述虛擬蜜罐系統,並繼續對所述疑似攻擊的數據流量進行監聽和分析。
10.根據權利要求9所述的方法,其中,所述根據訪問流量確定攻擊IP位址的操作具體包括:所述蜜罐模塊根據訪問流量記錄IP位址的訪問頻率以及訪問本虛擬蜜罐系統的端ロ的個數,並結合多個虛擬蜜罐系統進行統計,確定所述訪問流量的IP位址和/或端ロ的風險指數,對風險指數超過閾值的IP位址和/或端ロ確定為攻擊IP位址和/或端ロ。
11.根據權利要求8-10任一所述的方法,其中,該新的阻斷策略為限時的臨時策略,所述方法還包括:在所述臨時策略的有效時間終止時,所述安全策略模塊撤銷該臨時策略在所述防火牆模塊中的應用。
12.根據權利要求11所述的方法,其中,在所述安全策略模塊根據所述蜜罐模塊記錄的攻擊IP位址和/或端ロ生成新的阻斷策略時,還包括:所述安全策略模塊根據所述蜜罐系統所提供的攻擊IP位址和/或端ロ對應的風險指數或者攻擊類型確定生成的新的阻斷策略的有效時 間。
全文摘要
本發明涉及一種智能網絡防火牆設備,包括防火牆模塊,用於根據下發的阻斷策略對符合阻斷策略的數據流量進行限制;蜜罐模塊,用於在網絡中利用空餘IP位址和/或埠部署符合預定要求的虛擬蜜罐系統,並監聽對虛擬蜜罐系統的訪問流量,然後根據訪問流量確定並記錄攻擊IP位址和/或埠;安全策略模塊,用於根據蜜罐模塊記錄的攻擊IP位址和/或埠生成新的阻斷策略,並將該新的阻斷策略下發給防火牆模塊。本發明還涉及一種網絡攻擊防護方法。本發明在防火牆設備中利用虛擬蜜罐系統吸引非法的網絡攻擊,進而識別出網絡攻擊IP和/或埠,並動態調整防火牆設備的安全策略,因此能夠適應不斷動態變化的網絡攻擊態勢,進而適應新的網絡安全需求。
文檔編號H04L29/12GK103139184SQ20111039463
公開日2013年6月5日 申請日期2011年12月2日 優先權日2011年12月2日
發明者餘曉光, 王帥 申請人:中國電信股份有限公司