本发明专利技术公开了一种用于在检测对受保护计算机的网络攻击期间减少误报的系统、方法及计算机程序产品。在一个示例中,该系统包括:代理设备,被配置为对指向受保护计算机的通信量进行重定向和镜像;通信量传感器,被配置为收集关于被镜像的通信量的统计信息;数据收集器,被配置为汇总由通信量传感器收集的信息并基于所汇总的统计信息生成通信量过滤规则;过滤中心,被配置为与收集统计信息并行地,基于由数据收集器提供的通信量过滤规则来过滤被重定向的通信量;和控制模块,被配置为收集并存储关于已知网络攻击的统计信息,并且修正过滤中心所使用的通信量过滤规则,以便在检测对受保护计算机的网络攻击期间减少误报。
【技术实现步骤摘要】
本专利技术总体上涉及网络安全领域,且更具体而言,涉及用于在检测对受保护计算机的网络攻击期间減少误报(false positive)的系统、方法及计算机程序产品。
技术介绍
对连接至互联网的计算机现存有大量威胁。这类威胁的ー个示例是拒绝服务(DoS)攻击。DoS攻击是计算机系统上意图令其崩溃的攻击,S卩,创造条件以使合法的(正当的)系统用户无法获得对该系统所提供的资源(服务器)的访问或者使该访问困难。这些攻击的动机可以是多祥化的——其可以是以下因素竞争性斗争、欺骗或报复手段、表示不满、展示能力或者试图引起注意,其最常被解释为网络恐怖主义。在大量的计算机上同时实施的攻击称为分布式拒绝服务(DDoS)攻击。有两种DDoS攻击带宽攻击和应用程序攻击。带宽攻击的特点在于,用大量数据包进行网络通信信道泛洪(flood)。由于网络路 由器、服务器和防火墙的处理资源有限,所以其会在DDoS带宽攻击期间变得不可访问以处理合法的业务或者由于超载而崩溃,在DDoS带宽攻击时大量TCP、UDP或ICMP数据包被发送至特定网络设备或者服务。应用程序攻击的特点在于,利用TCP、HTTP和其他协议的特点以及服务和应用程序的行为,来占据该攻击的目标正在上面工作的计算机的计算资源,从而阻碍后者处理合法的业务和请求。应用程序攻击的示例是对半开HTTP连接的攻击以及利用错误HTTP连接的攻击。用于检测和防止DDoS攻击的ー种流行的技术是识别做出攻击的计算机并阻塞来自这些计算机的所有通信量(traffic)。该技术的一个缺点是对这类计算机的不正确识别(即,误报)可能会导致阻塞来自合法计算机的通信量。例如,误报可通过阻止常规访问者下订单而中断在线商铺的运营。据此,需要一种能够在检测对受保护计算机系统的DoS攻击及其他攻击期间减少误报的网络安全系统。
技术实现思路
本申请中所公开的是用于在检测对受保护计算机的网络攻击期间減少误报的系统、方法及计算机程序产品。在一个示例性实施例中,该系统包括代理设备(proxydevice),被配置为对指向所述受保护计算机的通信量进行重定向和镜像;通信量传感器,被配置为收集关于所述被镜像的通信量的统计信息;数据收集器,被配置为汇总由所述通信量传感器所收集的信息并基于所汇总的统计信息生成通信量过滤规则;过滤中心,被配置为与收集统计信息并行地,基于由所述数据收集器提供的所述通信量过滤规则来过滤被重定向的通信量;和控制模块,被配置为收集并存储关于已知网络攻击的统计信息,并且修正通信量过滤规则,以便在检测对所述受保护计算机的网络攻击期间減少误报。在另ー个示例性实施例中,提供一种用于在检测对受保护计算机的网络攻击期间減少误报的由计算机实施的方法,所述方法包括将以所述受保护计算机为目的地的网络通信量重定向至过滤中心,并且将所述网络通信量镜像至与所述过滤中心并行操作的通信量传感器;由所述过滤中心使用预定义的过滤规则来过滤所述被重定向的通信量;与通信量过滤并行地,由所述通信量传感器分析所述被镜像的网络通信量,并且收集关于所述被镜像的网络通信量的统计信息;基于由所述通信量传感器所收集的所述统计信息来更新通信量过滤规则;以及基于关于已知网络攻击的统计信息来修正所述被更新的过滤规则,以便在检测对所述受保护计算机的网络攻击期间減少误报。在另ー个示例性实施例中,提供ー种内嵌于非暂时性计算机可读存储介质中的计算机程序产品,所述计算机可读存储介质包括用于在检测对受保护计算机的网络攻击期间減少误报的计算机可执行指令,该介质包括指令用干将以所述受保护计算机为目的地的网络通信量重定向至过滤中心,并且将所述网络通信量镜像至与所述过滤中心并行操作的通信量传感器;由所述过滤中心使用预定义的过滤规则来过滤所述被重定向的通信量;与通信量过滤并行地,由所述通信量传感器分析所述被镜像的网络通信量,并且收集关于所述被镜像的网络通信量的统计信息;基于由所述通信量传感器所收集的所述统计信息来更新通信量过滤规则;以及基于关于已知网络攻击的统计信息来修正所述被更新的过滤规贝1J,以便在检测对所述受保护计算机的网络攻击期间減少误报。 以上对本专利技术示例性实施例的简要概括用于提供对这类实施例的基本理解。此概括并不是本专利技术设想的所有方面的宽泛概述,并且既不意图确定所有实施例的关键或决定性要素也不意图限制任何或所有实施例的范围。其唯一目的在于简要地提出ー个或多个方面的ー些构思,作为下面更为详细的描述的前序。为了实现前述的以及相关的目的,ー个或多个实施例包括将在下面充分描述且在权利要求书中特别指出的特征。下面的描述和附图详细地阐述了一个或多个实施例的某些示例性特征。不过,这些特征仅通过可以采用各方面原理的各种方式中的ー些来加以说明,但此描述意图包括所有这样的方面及其等同物。附图说明附图包含于说明书中并构成说明书的一部分,示出了本专利技术的一个或多个示例性实施例,与详细描述一起用于解释本专利技术实施例的原理和实施方式。附图中图I示出了对计算机系统的DDoS攻击的示意图;图2示出了根据ー个示例性实施例的网络安全系统的简化示意图;图3示出了根据ー个示例性实施例的网络安全系统的详细示意图;图4示出了根据ー个示例性实施例的用于过滤网络通信量的算法;图5示出了根据ー个示例性实施例的网络安全系统的操作的算法;图6示出了根据ー个示例性实施例的由网络安全系统执行的各种级别的数据汇总的不意图;以及图7示出了根据ー个示例性实施例的用于实施网络安全系统的计算机系统的示意图。具体实施例方式在本申请中,围绕用于在检测对受保护计算机的诸如DDoS攻击这类网络攻击期间减少误报的系统、方法及计算机程序产品,来描述本专利技术的示例性实施例。本领域普通技术人员应认识到,下面的描述仅仅是示例性的而并非意图以任何方式进行限定。受益于此公开内容的本领域技术人员将容易获得其他实施例的启示。现在,将更为详细地描述如图所示的本专利技术示例性实施例的实施方式。贯穿全部附图以及下列描述,相同的附图标记将尽可能用于表示相同或相似的对象。DDoS攻击一般是使用被称为僵尸网络(botnet)的僵尸计算机网络。僵尸网络是受到能够远程控制受感染计算机而不为其用户所知晓的恶意软件感染的计算机网络。能够执行这些动作的程序称为僵尸程序(bot)。图I是典型DDoS攻击的示例图。僵尸网络所有者从计算机100发送信号至受僵尸网络控制的计算机110,其中计算机110中的每ー个均追踪其上安装有僵尸程序的大量计算机120。对僵尸网络所控制的计算机110的利用,使得更加难以识别僵尸网络所有者的计算机100,并且使僵尸程序的潜在规模增至数以百万的机器。然后,计算机120上的僵尸程序启动对服务(serv iCe)130的DDoS攻击,服务130可以是任何基于网络的服务,例如在线商店或文件服务器。在DDoS攻击期间,服务130被来自计算机120的请求所泛洪,因此,不能处理来自合法的客户的真实请求,甚至会超载并且崩溃。图2绘出了用于保护服务130免于DDoS攻击和其他攻击的网络安全系统的示例性实施例的简化图。系统200包括用于保护被托管(host)于服务器上的服务130的ー个或多个通信量过滤中心210。这些中心过滤通信量——既有来自己安装有僵尸程序的计算机120的也有来自正尝试访本文档来自技高网...
【技术保护点】
一种用于在检测对受保护计算机的网络攻击期间减少误报的系统,所述系统包括:代理设备,被配置为对指向所述受保护计算机的通信量进行重定向和镜像;通信量传感器,被配置为收集关于所述被镜像的通信量的统计信息;数据收集器,被配置为汇总由所述通信量传感器所收集的信息并基于所汇总的统计信息生成通信量过滤规则;过滤中心,被配置为与所述通信量传感器从所述被镜像的通信量收集所述统计信息并行地,基于由所述数据收集器提供的所述通信量过滤规则来过滤所述被重定向的通信量;和控制模块,被配置为收集并存储关于已知网络攻击的统计信息,并且修正所述过滤中心所使用的通信量过滤规则,以便在检测对所述受保护计算机的网络攻击期间减少误报。
【技术特征摘要】
2011.05.23 US 13/113,2231.一种用于在检测对受保护计算机的网络攻击期间减少误报的系统,所述系统包括 代理设备,被配置为对指向所述受保护计算机的通信量进行重定向和镜像; 通信量传感器,被配置为收集关于所述被镜像的通信量的统计信息; 数据收集器,被配置为汇总由所述通信量传感器所收集的信息并基于所汇总的统计信息生成通信量过滤规则; 过滤中心,被配置为与所述通信量传感器从所述被镜像的通信量收集所述统计信息并行地,基于由所述数据收集器提供的所述通信量过滤规则来过滤所述被重定向的通信量;和 控制模块,被配置为收集并存储关于已知网络攻击的统计信息,并且修正所述过滤中心所使用的通信量过滤规则,以便在检测对所述受保护计算机的网络攻击期间减少误报。2.根据权利要求I所述的系统,其中,所述数据收集器基于所汇总的信息生成指向所述受保护计算机的平均统计通信量的模型,并且基于所生成的统计模型生成通信量过滤规则。3.根据权利要求I所述的系统,其中,所述关于已知网络攻击的统计信息包括 攻击期间的平均网络负载和峰值网络负载的统计信息; 关于互联网中僵尸网络的恶意活动的信息; 参与网络攻击的僵尸网络的数量; 网络攻击启动的时间; 网络攻击的持续时间;和 网络攻击的布局。4.根据权利要求I所述的系统,其中,所述控制模块使用IP地址的白名单和黑名单来更新通信量过滤规则。5.根据权利要求4所述的系统,其中,所述IP地址的白名单和黑名单是基于行为标准而创建的,包括 来自一个IP地址的查询和会话的数量; 来自一个IP地址的未经确认的查询的数量; 来自一个IP地址的对同类型数据的查询的数量;以及 无需继续交换信息的连接的数量。6.根据权利要求I所述的系统,其中,所述数据收集器被配置为以不同的粒度级别来汇总关于网络通信量的统计信息,并且生成不同的过滤规则,用于以不同的粒度级别来过滤网络通信量。7.根据权利要求I所述的系统,其中,过滤中心位于与所述受保护计算机相关联的宽带主干网附近,并且通信量传感器位于所述受保护计算机附近...
【专利技术属性】
技术研发人员:尼古拉·V·古多夫,德米特里·A·列瓦绍夫,
申请(专利权)人:卡巴斯基实验室封闭式股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。