[发明专利]一种攻击性检测方法及装置

说明书

技术领域

本发明涉及网络安全领域，具体涉及一种攻击性检测方法及装置。

背景技术

随着互联网行业的发展，网络安全越来越受到人们重视，网络攻击者通常会利用现有网络信息系统中潜在的网络安全漏洞，对网络实施攻击行为，从而获取非法权限，对网络信息系统造成危害。

现有技术中，为了阻止网络攻击者的入侵，提高网络信息系统的安全性，通常采用杀毒软件、防火墙等入侵监测系统对网络中的攻击行为进行监测，例如：设置在网络信息系统中的防火墙是一个由软件和硬件设备组合而成、在内网和外网之间或者专用网与公共网之间的边界上构造的保护屏障，通过在信息边界上建立一个安全网关，从而保护内部网免受网络攻击者侵入。

防火墙主要是通过收集和分析网络行为、安全日志、审计数据等，检查网络或者系统中是否存在违反安全策略的行为或被攻击迹象。但是现有技术中防火墙只能检测出已知网络攻击行为，对于未知的网络攻击行为，防火墙无法做出防御，就会通过防火墙进入内网，导致防火墙失效，网络安全性降低。

发明内容

有鉴于此，本发明实施例提供一种攻击性检测方法及装置，能够使防火墙对于之前未知的网络攻击行为及时产生防御能力，提高网络安全性。

为实现上述目的，本发明实施例提供如下技术方案：

一种攻击性检测方法，包括：

采集网络中通过防火墙的流量数据；

对所述通过防火墙的流量数据进行攻击性检测，获取具有攻击性的流量数据；

依据所述具有攻击性的流量数据，对防火墙对应的原始攻击性特征进行更新，得到更新后的攻击性特征，使所述防火墙利用所述更新后的攻击性特征，对将要通过所述防火墙的流量数据进行攻击性检测。

优选的，所述对所述通过防火墙的流量数据进行攻击性检测，获取具有攻击性的流量数据的过程包括：

对所述通过防火墙的流量数据进行扫描，确定所述通过防火墙的流量数据的数据类型；

确定所述通过防火墙的流量数据的数据类型对应的数据特征；

对所述数据特征进行攻击性检测，确定具有攻击性的数据特征所对应的攻击性的流量数据。

优选的，所述对所述数据特征进行攻击性检测，确定具有攻击性的数据特征所对应的攻击性的流量数据的过程包括：

将所述通过防火墙的流量数据的数据类型对应的数据特征与特征数据库中存储的该数据类型对应的原始数据特征进行比对，得到比对结果；

依据所述比对结果，确定具有攻击性的数据特征所对应的攻击性的流量数据。

优选的，所述依据所述比对结果，确定具有攻击性的数据特征所对应的流量数据的过程包括：

依据所述比对结果，确定具有攻击性的数据特征所对应的攻击性的流量数据中的攻击类型、攻击路径以及网络互联协议IP地址。

优选的，在对所述通过防火墙的流量数据进行攻击性检测，获取具有攻击性的流量数据之后，还包括：

依据所述具有攻击性的流量数据，生成攻击性告警信息。

一种攻击性检测装置，包括：

流量数据采集模块，用于采集网络中通过防火墙的流量数据；

攻击性检测模块，用于对所述通过防火墙的流量数据进行攻击性检测，获取具有攻击性的流量数据；

攻击性特征更新模块，用于依据所述具有攻击性的流量数据，对防火墙对应的原始攻击性特征进行更新，得到更新后的攻击性特征，使所述防火墙利用所述更新后的攻击性特征，对将要通过所述防火墙的流量数据进行攻击性检测。

优选的，所述攻击性检测模块包括：

扫描模块，用于对所述通过防火墙的流量数据进行扫描，确定所述通过防火墙的流量数据的数据类型；

数据特征确定模块，用于确定所述通过防火墙的流量数据的数据类型对应的数据特征；

攻击性流量数据确定模块，用于对所述数据特征进行攻击性检测，确定具有攻击性的数据特征所对应的攻击性的流量数据。

优选的，所述攻击性流量数据确定模块包括：

数据特征比对模块，用于将所述通过防火墙的流量数据的数据类型对应的数据特征与特征数据库中存储的该数据类型对应的原始数据特征进行比对，得到比对结果；

攻击性流量数据确定子模块，依据所述比对结果，确定具有攻击性的数据特征所对应的攻击性的流量数据。

优选的，所述攻击性流量数据确定子模块具体用于：

依据所述比对结果，确定具有攻击性的数据特征所对应的攻击性的流量数据中的攻击类型、攻击路径以及网络互联协议IP地址。