【技术实现步骤摘要】
一种网络流量攻击识别方法、防火墙系统及相关组件
本专利技术涉及网络安全领域,特别涉及一种网络流量攻击识别方法、防火墙系统、计算机设备及可读存储介质。
技术介绍
防火墙指由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种位于内部网络与外部网络之间的网络安全系统,可以保护内部网免受非法用户的侵入。防火墙是是计算机设备中一种重要的信息安全的防护方法。防火墙在识别网络流量中的攻击时,主要包括以下方法:基于正则表达式的检验方案、基于语义分析检验方案、机器学习检验方案以及虚拟执行检验方案。其中,基于正则表达式的检验方案具有较高的计算速度,能支持同时启用很多条安全规则,但是防御能力有限,表达能力较弱,存在若干攻击无法用正则表达式来描述的情况,比如Struts2的攻击识别,webshell的识别等。基于语义分析、机器学习或虚拟执行等方案有较高的攻击识别准确度,能识别复杂的攻击模式。但是通常计算速度较慢,且只能启用较少数量的全规则,从而导致防御能力减弱,或者需要很高成本的硬件来实现才能达到...
【技术保护点】
1.一种网络流量攻击识别方法,其特征在于,包括:/n对原始网络数据进行数据还原解码,得到可识别的待检网络数据;/n通过轻量级检测方案对所述待检网络数据进行多安全规则防御的初始数据识别检测,生成初始识别结果;其中,所述轻量级检测方案为基于正则表达式的检测方案,所述初始识别结果包括:正常数据、危险数据及疑难数据;/n将所述疑难数据通过重量级检测方案进行深度数据识别检测,生成深度识别结果;其中,所述重量级检测方案为非基于正则表达式的检测方案,所述深度识别结果包括:正常数据以及危险数据。/n
【技术特征摘要】
1.一种网络流量攻击识别方法,其特征在于,包括:
对原始网络数据进行数据还原解码,得到可识别的待检网络数据;
通过轻量级检测方案对所述待检网络数据进行多安全规则防御的初始数据识别检测,生成初始识别结果;其中,所述轻量级检测方案为基于正则表达式的检测方案,所述初始识别结果包括:正常数据、危险数据及疑难数据;
将所述疑难数据通过重量级检测方案进行深度数据识别检测,生成深度识别结果;其中,所述重量级检测方案为非基于正则表达式的检测方案,所述深度识别结果包括:正常数据以及危险数据。
2.如权利要求1所述的网络流量攻击识别方法,其特征在于,通过轻量级检测方案对所述待检测数据进行多安全规则防御的初始数据识别检测,包括:
将所述待检测数据根据预先配置的字符串规则进行字符串匹配;
获取经过所述字符串匹配得到的疑难数据;
对经过所述字符串匹配得到的疑难数据根据预先配置的正则表达式规则进行正则表达式匹配,将所述正则表达式匹配得到的疑难数据作为所述轻量级检测方案的疑难数据。
3.如权利要求1所述的网络流量攻击识别方法,其特征在于,通过轻量级检测方案对所述待检测数据进行多安全规则防御的初始数据识别检测,包括:
将所述待检测数据与攻击特征进行匹配比对;
若与所述攻击特征匹配成功,判定为危险数据;
若与所述攻击特征匹配失败,将所述待检测数据与危险特征进行匹配比对;
若与所述危险特征匹配成功,判定为疑难数据;
若与所述危险特征匹配失败,判定为正常数据。
4.如权利要求1所述的网络流量攻击识别方法,其特征在于,将所述疑难数据通过重量级检测方案进行深度数据识别检测,包括:
将所述疑难数据通过若干类型的重量级检测方案进行深度数据识别检测;其中,所述重量级检测方案包括:基于语义分析的数据识别、机器学习识别以及虚拟执行。
5.如权利要求4所述的网络流量攻击识别方法,其特征在于,在将所述疑难数据通过若干重量级检测方案进行深度数据识别检测之前,还包括:
对所述疑难数据进行类型划分,生成数据标签;
根据所述数据标签查找匹配的重量级检测方案类型,得到匹配检测方案;
则相应地,将所述疑难数据通过若干重量级检测方案进行深度数据识别检测具体为:将所述疑难数据输入所述匹配检测方案进行深度数据识别检测,生成深度识别结果。
6.如权利要求1所述的网络流量攻击识别方法,其特征在于,还包括:
拦截所述危险数据,并进行日志记录,得到网络流量攻击日志。
7.如权利要求6所述的网络流量攻击识别方法,其特征在于,还包括:
当所述网络流量攻击记录中记录的攻击频率达到预设阈值时,输出频繁受到攻击的提示信息。
8.一种防火墙系统,其特征在于,包括:
数据还原单元,用于对原始网络数据进行数据还原解码,得到可识别的待检网络数据;
轻量级检测单元,用于通过轻量级检测方案对所述待检网络数据进行多安全规则防御的初始数据识别检测,生成初始识别结果;其中,...
【专利技术属性】
技术研发人员:罗得安,王大伟,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。