CN114826755B - 一种防御网络恶意攻击的方法和装置 - Google Patents

Abstract

本发明涉及本发明涉及网络安全领域，特别是涉及一种防御网络恶意攻击的方法和装置。主要包括：判定当前报文是否为恶意报文，将恶意报文的源IP和/或目的IP加入黑名单；判定恶意报文的恶意程度，将黑名单根据恶意程度分发至指定区间的防火墙设备，防火墙设备对恶意报文进行拦截。本发明可以在网络设备受到恶意攻击前就能够提前对恶意攻击进行防御的效果，增强防火墙的安全性，防护非正常IP对设备的访问，进行设备间的防御联动，提供更安全的网络服务。

Description

一种防御网络恶意攻击的方法和装置

【技术领域】

本发明涉及网络安全领域，特别是涉及一种防御网络恶意攻击的方法和装置。

【背景技术】

在的网络环境中，各种通信节点和服务节点除了正常访问之外，还可能存在各种恶意攻击访问。目前，网络中常见的恶意攻击的手法是对某网段进行大规模端口扫描，根据扫描结果得到客户开启了哪些服务，再进行针对性攻击。

对于端口扫描攻击，传统的防御措施是对未使用的端口访问直接做丢弃。相对的，对于已开放的端口，由于需要在通信时进行使用，现有的防火墙系统无法直接进行丢弃，而是对恶意扫描动作和正常访问动作不做区别，对攻击前的扫描行为无任何处理动作，任由攻击者进行信息收集。另一方面，在恶意攻击时，攻击者通常会对同一网段的端口同时进行扫描攻击，而现有的防火墙无法及时在网段内的某一台设备被攻击时，及时进行整个网段的预警及防护。

鉴于此，如何克服现有技术所存在的缺陷，解决现有网络恶意攻击无法在端口被扫描攻击时进行防护的现象，是本技术领域待解决的问题。

【发明内容】

针对现有技术的以上缺陷或改进需求，本发明解决了端口收到恶意攻击时未进行有效防御的问题。

本发明实施例采用如下技术方案：

第一方面，本发明提供了一种防御网络恶意攻击的方法，具体为：判定当前报文是否为恶意报文，将恶意报文的源IP和/或目的IP加入黑名单；判定恶意报文的恶意程度，将黑名单根据恶意程度分发至指定区间的防火墙设备，防火墙设备对恶意报文进行拦截。

优选的，判定当前报文是否属于恶意报文，具体包括：根据正常访问报文的源IP和目的IP生成连接跟踪表；判断当前报文是否命中连接跟踪表、黑名单和/或白名单；若当前报文命中连接跟踪表或命中白名单，判定报文为非恶意报文；若当前报文命中黑名单，判定报文为恶意报文。

优选的，判定当前报文是否属于恶意报文，还包括：将报文转发至陷阱系统，由陷阱系统对报文进行伪装回复；若接收到伪装回复的连接出现后续恶意行为，判定报文为恶意报文。

优选的，将恶意报文的源IP和/或目的IP加入黑名单，具体包括：若恶意报文为lan口报文，将恶意报文的目的IP加入黑名单中；若恶意报文为wan口报文，将恶意报文的源IP加入黑名单中。

优选的，判定恶意报文的恶意程度，具体包括：在预设时间段内，统计所有设备被单一恶意报文攻击的总权重，其中，单台设备每次被攻击的权重值根据攻击次数指数减少；将总权重与预设恶意权重区间比较，获取恶意报文的恶意程度。

优选的，统计所有设备被单一恶意报文攻击的总权重，还包括：若恶意报文的判定方式为通过陷阱系统判定，增加所述恶意报文对于单台设备每次被攻击的权重值。

优选的，还包括：预设时间段结束后，若没有再受到相同恶意报文的攻击，总权重按照预设时间段为周期指数减小；当总权重小于预设总权重下限时，总权重值视为0。

优选的，指定区间的防火墙设备，具体包括：被攻击的设备、同网段的防火墙设备、相邻网段的防火墙设备和全网段的防火墙设备。

优选的，还包括，若恶意报文的判定方式为通过连接跟踪表和/或黑名单判定，根据恶意报文攻击的总权重值变化对黑名单中恶意报文对应的IP进行刷新；若恶意报文的判定方式为通过陷阱系统判定，恶意报文的对应IP永久保留在黑名单中。

另一方面，本发明提供了一种防御网络恶意攻击的系统，具体为：包括管控平台1、陷阱系统设备2和至少一台防火墙设备3，管控平台1、陷阱系统设备2和每台防火墙设备3之间通过网络进行互连；其中，管控平台1、陷阱系统设备2和防火墙3中分别包括至少一个处理器和存储器，至少一个处理器和存储器之间通过数据总线连接，存储器存储能被至少一个处理器执行的指令，指令在被处理器执行后，用于完成第一方面中的防御网络恶意攻击的方法。

与现有技术相比，本发明实施例的有益效果在于：对端口访问报文的恶意程度进行判断，并将恶意报文的IP等特征信息通告给本网段的所有设备中，以达到在网络设备受到恶意攻击前就能够提前对恶意攻击进行防御的效果，增强防火墙的安全性，防护非正常IP对设备的访问，进行设备间的防御联动，提供更安全的网络服务。

【附图说明】

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍。显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种防御网络恶意攻击的方法流程图；

图2为本发明实施例提供的另一种防御网络恶意攻击的方法流程图；

图3为本发明实施例提供的另一种防御网络恶意攻击的方法流程图；

图4为本发明实施例提供的一种防御网络恶意攻击的系统结构示意图；

图5为本发明实施例提供的一种防御网络恶意攻击的系统使用陷阱系统设备进行恶意报文判断的过程示意图；

图6为本发明实施例提供的另一种防御网络恶意攻击的系统结构示意图；

图7为本发明实施例提供的一种防御网络恶意攻击的系统中各设备的结构示意图。

【具体实施方式】

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明是一种特定功能系统的体系结构，因此在具体实施例中主要说明各结构模组的功能逻辑关系，并不对具体软件和硬件实施方式做限定。

此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。下面就参考附图和实施例结合来详细说明本发明。

实施例1：

目前的防火墙设备中，一般的防护措施是根据黑名单对访问进行拦截，该防护方式仅能根据已知的黑名单进行拦截，必须依赖于黑名单的更新，而黑名单通常是受到攻击后才会进行更新，防御具有延迟性。对于高性能的防火墙设备，也可以对报文进行解析判断是否包含恶意特征字段，该方式能够及时的对攻击行为进行识别和拦截，但是需要设备具有较好的性能对报文进行解析和特征字段对比，并且由于报文解析识别需要时间，会增加报文转发时间，而且该方式同样只能在接收到恶意报文后，即实际受到攻击后，才能进行防御。在实际网络环境中，设置了防火墙的网络节点设备才具有报文识别和拦截的功能，本实施例中为了描述简便，将该类型的设备简称为防火墙设备，或设备。在实际网络环境中，进行恶意攻击前通常会对整个网段进行扫描，寻找防护较弱的端口进行攻击，基于此，本实施例提出一种针对攻击前的端口扫描过程进行防御的方法，在设备被恶意进行端口扫描时就开始进行拦截、跟踪、防御、及防御联动，实现受到攻击前的预先防御，提高防御的效率和有效性。

如图1所示，本发明实施例提供的防御网络恶意攻击的方法具体步骤如下：

步骤101：判定当前报文是否为恶意报文，将恶意报文的源IP和/或目的IP加入黑名单。

为了进行防御，首先需要判定当前报文是否为恶意报文。在实际实施过程中，防火墙设备会将恶意报文使用黑名单进行记录，可以使用现有的黑名单进行初步判定。设备收到请求后，若报文是由外网访问内网，则可能是恶意报文，首先对报文的IP进行黑名单查询，若报文的IP命中黑名单中的IP，则认为是该报文攻击报文，对报文进行拦截，并将报文的IP写入黑名单中，以便于后续的处理。

进一步的，为了对不存在于黑名单中的恶意报文进行防御，还可以使用连接跟踪表进行恶意报文的判定。进行正常的网络访问时，通常是内网设备先向外网发送数据请求，外网设备根据数据请求再向内网发送被请求的数据。由于内网设备向外网发送数据请求为正常访问，因此该报文所使用的连接为正常连接，内网访问外网时可以根据该报文的连接信息生成连接跟踪信息，当外网报文的访问信息与已有的连接跟踪信息相匹配时，说明该报文是对内网数据请求报文的回复，该报文为正常访问的报文。为了便于查找和比对，可以将所有已生成的跟踪连接信息保存在连接跟踪表中。相反的，恶意的端口扫描或攻击报文是直接由外网访问内网，并不存在相应的由内网发向外网的数据请求报文，并且理论上没有任何的内网设备访问过恶意报文的源IP，因此，不存在于连接跟踪表中的报文可能为恶意攻击报文，需要进行拦截或进一步分析。

进一步的，为了提高访问效率，或避免某些特殊报文被误拦截，防火墙设备中还存在白名单，白名单中保存了内网放开地址的目的IP，或被信任的源IP。对于没有命中黑名单，并且没有命中连接跟踪表的报文，还需要将其源IP或目的IP与白名单进行对比，若没有命中白名单，可以认为该报文为攻击报文，可以将其加入黑名单中。

进一步的，为了更准确的判断报文是否为恶意报文，在进行上述黑名单、连接跟踪表和白名单的对比分析后，还可以将报文上报至公网内的上级控制器中，利用计算资源和存储资源更丰富的上级控制器使用其它分析方法对报文进行进一步的分析。在具体实施场景中，具体可以使用报文特征字段匹配分析、陷阱设备等分析方式判断是否为恶意报文。由于上述过程已过滤了绝大部分报文，因此需要进行进一步分析的报文数量大大减少，减少了报文分析需要的时间，同时，将报文进行上报分析无需占用下层转发设备的资源，避免了资源占用导致的报文转发延迟，也降低了下层转发设备的性能需求。

步骤102：判定恶意报文的恶意程度，将黑名单根据恶意程度分发至指定区间的防火墙设备，防火墙设备对恶意报文进行拦截。

网络中进行端口扫描类型的恶意攻击时，通常不会仅攻击一个端口或一个设备，而是对整个网段中的所有端口或设备进行扫描并查找可攻击的端口。因此，在进行防御时，当一个端口接收到恶意报文时，本网段或相邻网段的其它设备也有被恶意攻击的风险。因此，本实施例提供的方案中，接收到恶意报文并加入黑名单后，还需要将黑名单分发至其它设备，使其它设备接收到相同源IP发出的恶意报文时能够不需要进行再次分析，直接进行拦截。在具体实施场景中，可以将恶意报文的IP上报至设备的统一控制器中，控制器根据上报的IP对黑名单进行刷新，并根据预设的下发策略将报文下发至相应的设备。进一步的，在具体实施场景中，设备可能会接收到内网发至外网的报文lan口报文，也可能接收到外网发至内网的wan口报文，由于黑名单仅对外网恶意IP进行拦截，因此，若恶意报文为lan口报文，其目的IP为外网IP，将恶意报文的目的IP加入黑名单中；若恶意报文为wan口报文，其源IP为外网IP，将恶意报文的源IP加入黑名单中。

本实施例中，根据报文的恶意等级确定黑名单的分发范围，在一定时间段内对单台设备攻击次数越多的报文其恶意程度越大，相应的恶意等级就越高。恶意等级高的报文危害性更大，其所在的黑名单分发范围也需要更广。具体的，当单台设备对恶意报文的IP第一次上报时，控制器对该IP累加权重，在预设时间段内，同一台设备每次累加的权重会递减，但是不同设备上报的权重值的递减都是隔离的，不会相互影响。预设时间段结束后，累加权重的值达到不同的阈值，触发相应的下发策略。

在实际网络环境中，端口扫描类恶意攻击通常为对整个网段的设备进行扫描，或者依次对各网段进行扫描。因此，本实施例提供的方法中，根据可能的攻击范围，黑名单下发策略中防火墙设备的指定区间通常包括：被攻击的设备、同网段的防火墙设备、相邻网段的防火墙设备和全网段的防火墙设备。

未受到端口攻击的设备接收到下发的黑名单后，即可获知对本网段进行扫描攻击的恶意报文IP，当设备受到来自黑名单中IP的恶意报文的攻击时，可以立刻通过黑名单对比识别出恶意报文，并进行相应的拦截，无需进行进一步的分析或报文解析。

经过本实施例中提供的步骤101-步骤102后，可以通过黑名单的分发，实现多设备的端口扫描攻击预警，仅需进行一次分析即可实现多台设备的联动防御，提高了恶意报文的识别效率，提升了网络安全性。

在具体实施中过程中，如图2所示，可以使用以下步骤完成步骤101中判定当前报文是否属于恶意报文的过程。

步骤201：根据正常访问报文的源IP和目的IP生成连接跟踪表。

在本实施例中，由于内网访问外网可以确认为正常访问，因此仅当内网先访问外网时才会将该连接信息保存至连接跟踪表中，外网回复报文时通过该连接反向传输至内网相应的地址，以回复内网的数据请求。具体的，连接信息中包括：报文使用的通信协议、源IP、源端口、目的IP和目的端口。例如，内网有用户A访问网站B。设备会基于用户A内网到外网的数据包，生成用户A至网站B的连接信息connect1；网站B回复用户A的访问请求时，所发送的数据包中的源IP和目的IP与连接信息connet1中的源IP和目的IP相反，能够与保存在连接跟踪表中的连接信息connect1相匹配，以此可以判断此外网到内网的请求信息为合法请求，能够进行放行。而外网的直接访问内网可能为端口扫描攻击等恶意访问，此时，该访问连接不存在于连接跟踪表中，会被视为恶意报文，进行相应的黑名单生成。

进一步的，内网访问外网的报文，在某些情况下，也可能是受到恶意攻击后根据恶意请求发送的报文，因此，在生成连接信息前，还需要判断报文的目的IP是否存在于黑名单中。若目的IP在黑名单中，说明可能已被恶意攻击，正在向位于外网的恶意地址泄露信息，需要进行拦截，避免继续受到攻击。若目的IP不在黑名单中，说明该报文为正常访问，可以根据报文信息生成连接信息。

进一步的，由于内网的数据请求和外网的数据传输通常为一一对应，因此连接跟踪表中的连接信息也具有时效性。为了避免伪装IP等恶意攻击方式，当连接跟踪表中的连接被使用后，需要对连接跟踪表的时间进行刷新，对相应的连接信息添加相应的标记，并在一定时间段后将相应的连接信息进行删除，以保证外网的回复报文与内网的请求报文相匹配。当内网再次发出数据请求报文时，再将相应的连接信息加入连接跟踪表中，以保证后续外网报文的正常传输。

步骤202：判断当前报文是否命中连接跟踪表、黑名单和白名单。

步骤203：若当前报文命中连接跟踪表或命中白名单，判定报文为非恶意报文。

步骤204：若当前报文命中黑名单，判定报文为恶意报文。

生成连接跟踪表后，即可根据连接跟踪表、黑名单和白名单进行比对，判断是否为恶意报文。一般场景中，若报文命中连接跟踪表或白名单，表明该报文为非恶意报文；若报文命中黑名单，表明报文为恶意报文。

进一步的，由于防火墙设备一般仅防御外网发送至内网的恶意报文，因此，对于lan口访问的报文，即内网访问外网的报文，以及wan口访问的报文，即外网访问内网的报文，需要使用不同的判定策略。

(1)对lan口访问的报文，首先判断位于外网的目的IP是否在黑名单。若目的IP存在于黑名单中，则进行拦截上报。若目的IP不存在于黑名单中，则对报文正常转发。同时，若报文的连接信息不在连接跟踪表中，还需要将相应连接信息加入连接跟踪表中。

(2)对wan口访问的报文，判断外网的源IP是否在黑名单中。若源IP存在于黑名单中，则进行拦截上报。若源IP不存在于黑名单中，进一步判断源IP是否存在于连接跟踪表中，若源IP存在于连接跟踪表中，则对报文正常转发。若源IP不在连接跟踪表中，再进一步判断源IP是否在白名单中，若源IP在白名单中，则对报文正常转发。若源IP不在白名单中，则表明可能为恶意报文，对报文进行拦截上报。

通过步骤201-步骤204，可以简单方便的判定接收到的报文是否为恶意报文，而不需要进行报文行为分析或报文内容分析，不会占用设备性能资源，可以部署在普通路由器等低成本设备上，并降低了报文分析对正常通信的影响。

进一步的，为了进一步提高判定的准确度，对某些无法使用连接跟踪表、黑名单和白名单进行判定的报文，或不存在于连接跟踪表、黑名单和白名单中的报文，还可以在本实施例提供的方法中增加陷阱系统。对于上述报文不进行丢弃，而是使用陷阱系统对非法访问进行拦截，并将识别出的恶意报文的信息同步到控制器中。具体的，当设备将可能的攻击报文的IP进行上报后，将报文转发至陷阱系统，由陷阱系统对报文进行伪装回复；若接收到伪装回复的连接出现后续恶意行为，判定报文为恶意报文。由于陷阱系统为专用的恶意报文处理系统，与网络中其它设备独立，把非法信息导流到陷阱系统后，不会对正常设备产生影响。另一方面，陷阱系统对非法访问信息进行伪装回复，并将对陷阱系统的攻击继续收集到控制器，再同步到所有设备，更加完善防火墙的防护功能。

如图3所示，可以使用以下步骤使用陷阱系统对报文是否为恶意报文进行判定。

步骤301：将可能的恶意报文进行转发，把可能的攻击流导入到陷阱系统。

步骤302：陷阱系统根据报文内容对可能的恶意报文进行回复。

步骤303：陷阱系统接收报文源IP的后续报文，对源IP后续的行为进行解析。

步骤304：判定源IP后续是否出现了攻击行为。若是，转步骤305；若否，转步骤307。

步骤305：把进行攻击的源IP更新至黑名单中。

步骤306：将更新后的黑名单发布到相应的设备中。

步骤307：设备正常转发该报文。

通过步骤301-步骤307，使用陷阱系统通过源IP的后续行为明确的判定了可能的恶意报文是否为恶意报文，更准确的对报文进行分析及拦截。

在本实施例提供的方法中，为了进行多设备的联动防御，需要根据恶意报文的恶意程度进行判定，根据报文的恶意程度确定黑名单分发的区间范围。在实际使用场景中，通常攻击次数多的报文恶意更高，因此，在步骤102中，可以通过设备被单一报文攻击次数，计算所有设备受到攻击的总权重，通过总权重对该报文的恶意程度进行定量判定。具体包括：在预设时间段内，统计所有设备被单一恶意报文攻击的总权重，其中，单台设备每次被攻击的权重值根据攻击次数指数减少；将总权重与预设恶意权重区间比较，获取恶意报文的恶意程度。

在本实施例的实际实施中，报文恶意程度的阈值以及黑名单下发的指定区间，可以根据联动设备的实际数量、网段分布、控制器的性能等确定。以下提供一个简单实例对报文恶意程度判定的方法进行说明，在实际使用中，可以根据需要根据以下实例中的实施细节进行调整。

本实例中，报文的恶意程度根据总权重的值分为4个阈值：a、b、c、d，其中a<b<c<d。相应的指定区间为被攻击的设备、同网段的防火墙设备、相邻网段的防火墙设备和全网段的防火墙设备。恶意程度与指定区间的对应关系为：总权重值小于a时仅生成黑名单并进行上报，总权重值大于a小于b将黑名单发布至同网段的防火墙设备，总权重值大于b小于c时将黑名单发布至相邻网段的防火墙设备，总权重值大于d时将黑名单发布至控制器管理的全网段设备。

在预设时间段t内，单台设备第一次上报攻击时，该恶意报文的权重为x，第二次上报时权重为x/2，第三次为x/4，指数减少。每次上报后，对权重值进行累加，计算总权重值sum。

在实际使用中，为了及时对设备上的黑名单进行更新，可以定时将总权重值sum与阈值进行比较，并在sum达到阈值时将黑名单发布至相应制定区间。具体的，总权重值sum大于阈值a时，进行黑名单生成，并且分发黑名单到上报攻击的设备；总权重值sum大于阈值b时，分发黑名单到上报攻击的设备同网段所有防火墙设备上；总权重值大于阈值c时，分发黑名单到上报攻击的相邻网段防火墙设备；总权重值sum大于阈值d时，分发黑名单到控制器管理的全部防火墙设备。

在实际使用场景中，阈值可以设置为权重x的倍数，表示设备被攻击的次数。在某个具体场景中，d取20x，相当于在预设时间段t内有20台不同设备被攻击，或者预设时间段t内有13台设备受到2次攻击。阈值的具体数值可以根据实际需要进行调整，阈值取值越高，触发防御需要的攻击次数越多，防御越不容易触发，防御能力越差，但对于设备性能要求较低；相反的，阈值取值越低，触发防御需要的攻击次数越低，防御越容易触发，防御能力越高，但对于设备拦截的性能要求和黑名单的存储空间资源要求较高。在本实施例的优选方案中，根据现网测试的经验值，较为合理的阈值组合为：a＝1.6x，b＝2x，c＝3x，d＝8x。

进一步的，端口扫描攻击通常具有时间性，攻击者在某个时间段内对某个网段进行集中攻击，但一般攻击不会一直持续，为了匹配这一特性，还需要在预设时间段结束后对总权重值进行调整，避免风险较低的黑名单IP一直按照高风险的黑名单IP策略进行下发，以减少资源浪费。具体的，预设时间段结束后，若没有再受到相同恶意报文的攻击，总权重按照预设时间段为周期指数减小。另一方面，若设备在一段时间内未再次受到攻击，可以视为攻击者已结束攻击，此时由于总权重的指数减小，总权重值会小于预设总权重下限，此时，可以将总权重值视为0，若后续设备未再次受到该恶意报文的攻击，即无需对该恶意报文的总权重值进行计算，以节省计算资源。在某个具体实施场景中，当预设时间段t时间结束后，若不再有攻击报文上送，总权重值sum值在下一个预设时间段t刷新为sum/2,当sum小于预设总权重下限后设置sum值为0。本实施例的优选方案中，预设总权重下限为0.5x，表明本预设时间段内没有任何一台设备受到攻击。

在使用了陷阱系统的场景中，若恶意报文的判定方式为通过陷阱系统判定，由于陷阱系统直接根据恶意报文的攻击行为对报文的恶意性进行了判定，陷阱系统上报的攻击信息，排除已有的黑名单外，可以认为此IP为攻击者的攻击机的IP。因此，这些IP的拦截优先级要更高，为了对此类IP进行有效拦截和发布，在进行恶意程度判定时，需要增加该恶意报文单台设备每次被攻击的权重值。在本实施例的优选方案中，根据现网测试的经验值，初始权重为2x，刷新时间为3t。

进一步的，由于端口扫描攻击通常具有时间性，黑名单中存在时间较久的IP也需要根据时间进行老化，以减少对比数量提高对比效率，并节省存储空间。若恶意报文的判定方式为通过连接跟踪表或黑名单判定，表明该IP可能在短期内存在过攻击行为，在停止攻击后可以由黑名单中去除，根据恶意报文攻击的总权重值变化对黑名单中恶意报文对应的IP进行刷新。若恶意报文的判定方式为通过陷阱系统判定，表明该IP为明确的攻击IP，应一直进行拦截，恶意报文的对应IP永久保留在黑名单中。在具体实施过程中，黑名单的老化可以通过定时器实现，而陷阱系统判定的恶意报文对应IP不随定时器老化。

本实施例提供的防御网络恶意攻击的方法，通过连接跟踪表、黑名单、白名单和陷阱系统的配合，解决了目前网络环境中攻击方式越来越复杂情况下，攻击难于防御的问题。通过黑名单的发布提供了攻击预防御，而不是在设备收到攻击后通过报文解析等方式进行被动防御，而是针对攻击前的扫描行为，在某一台设备受到端口扫描等方式的攻击后就将相应信息以黑名单的方式下发至相应指定区间，在一个或多个网段内形成联动防御，提高了防御的效率和效果。

实施例2：

在上述实施例1提供的防御网络恶意攻击的方法的基础上，本发明还提供了一种可用于实现上述方法的防御网络恶意攻击的系统，如图4所示，是本发明实施例的装置架构示意图。

包括管控平台1、陷阱系统设备2和至少一台防火墙设备3，管控平台1、陷阱系统2和每台防火墙3设备之间通过网络进行互连。

管控平台1按照步骤101的方式对报文进行分析，根据黑名单、连接跟踪表和白名单判定是否存在恶意攻击，将恶意攻击信息加入黑名单中，并按照步骤102的方式将可能的恶意攻击信息以黑名单的形式下发至指定区间的防火墙设备3上，使防火墙设备3可以在收到攻击前即知晓存在可能存在的攻击，以便在受到攻击时能够及时的识别和拦截。

进一步的，本实施例提供的系统中还使用了陷阱系统装置2以提高判定的准确性，如图5所示，管控设备1将报文转发至陷阱系统2，通过陷阱系统2对报文的行为进行解析，完成步骤301-步骤307中的恶意报文判定过程。图5中虚线表示报文数据传输路径，箭头示意报文传输方向。

，在本实施例的具体使用场景中，管控平台1可以为独立于防火墙设备并与所有防火墙设备连接的独立公网设备，也可以集成在与所有防火墙设备3连接并具有能够完成实施例1中提供的防御网络恶意攻击的方法的一台或多台防火墙设备3中，图4为独立的管控平台1，图6为管控平台1集成在防火墙设备3中。

本实施例的防御网络恶意攻击的系统中，管控平台、陷阱系统设备和防火墙中分别包括一个或多个处理器11以及存储器12。其中，图7中以一个处理器11为例。

处理器11和存储器12可以通过总线或者其他方式连接，图7中以通过总线连接为例。

存储器12作为一种防御网络恶意攻击方法非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如实施例1中的防御网络恶意攻击方法。处理器11通过运行存储在存储器12中的非易失性软件程序、指令以及模块，从而执行防御网络恶意攻击的系统中各装置的各种功能应用以及数据处理，即实现实施例1的防御网络恶意攻击的方法。

存储器12可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器12可选包括相对于处理器11远程设置的存储器，这些远程存储器可以通过网络连接至处理器11。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

程序指令/模块存储在存储器12中，当被一个或者多个处理器11执行时，执行上述实施例1中的防御网络恶意攻击的方法，例如，执行以上描述的图1-图3所示的各个步骤。

本领域普通技术人员可以理解实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器(Read Only Memory，简写为：ROM)、随机存取存储器(Random AccessMemory，简写为：RAM)、磁盘或光盘等。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种防御网络恶意攻击的方法，其特征在于：

设备基于每个用户与报文源来源的交互关系生成连接跟踪表，依照连接跟踪表、黑名单和白名单中的一项或多项判定当前报文是否为恶意报文，将恶意报文的源IP和/或目的IP加入黑名单，并将恶意报文的源IP和/或目的IP上报至控制器；

在预设时间段内，控制器根据设备上报的恶意报文的源IP和/或目的IP统计所有设备被单一恶意报文攻击的总权重，其中，单台设备每次被攻击的权重值根据攻击次数指数减少；预设时间段结束后，若没有再受到相同恶意报文的攻击，总权重按照预设时间段为周期指数减小；当总权重小于预设总权重下限时，总权重值视为0；将总权重与预设恶意权重区间比较，获取恶意报文的恶意程度；

控制器根据恶意报文的恶意程度对黑名单进行刷新，并将刷新后的黑名单根据恶意程度分发至指定区间的设备，以便于设备对恶意报文进行拦截，其中，所述指定区间的设备包括：被攻击的设备、同网段的防火墙设备、相邻网段的防火墙设备和全网段的防火墙设备中的一种或多种。

2.根据权利要求1所述的防御网络恶意攻击的方法，其特征在于，所述设备依照连接跟踪表、黑名单和白名单中的一项或多项判定可能的攻击，具体包括：

根据正常访问报文的源IP和目的IP生成连接跟踪表；

判断当前报文是否命中连接跟踪表、黑名单和/或白名单；

若当前报文命中连接跟踪表或命中白名单，判定报文为非恶意报文；

若当前报文命中黑名单，判定报文为恶意报文。

3.根据权利要求1所述的防御网络恶意攻击的方法，其特征在于，所述设备依照连接跟踪表、黑名单和白名单中的一项或多项判定可能的攻击报文是否为恶意报文，还包括：

将报文转发至陷阱系统，由陷阱系统对报文进行伪装回复；

若接收到伪装回复的连接出现后续恶意行为，判定报文为恶意报文。

4.根据权利要求1所述的防御网络恶意攻击的方法，其特征在于，所述将恶意报文的源IP和/或目的IP加入黑名单，具体包括：

若恶意报文为lan口报文，将恶意报文的目的IP加入黑名单中；

若恶意报文为wan口报文，将恶意报文的源IP加入黑名单中。

5.根据权利要求1所述的防御网络恶意攻击的方法，其特征在于，其特征在于，所述控制器统计所有设备被单一恶意报文攻击的总权重，还包括：

若恶意报文的判定方式为通过陷阱系统判定，增加所述恶意报文对于单台设备每次被攻击的权重值。

6.根据权利要求1所述的防御网络恶意攻击的方法，其特征在于，还包括：

若恶意报文的判定方式为通过连接跟踪表和/或黑名单判定，根据恶意报文攻击的总权重值变化对黑名单中恶意报文对应的IP进行刷新；

若恶意报文的判定方式为通过陷阱系统判定，恶意报文的对应IP永久保留在黑名单中。

7.一种防御网络恶意攻击的系统，其特征在于：

包括管控平台（1）、陷阱系统设备（2）和至少一台防火墙设备（3），管控平台（1）、陷阱系统设备（2）和每台防火墙设备（3）之间通过网络进行互连；

其中，管控平台（1）、陷阱系统设备（2）和防火墙设备（3）中分别包括至少一个处理器和存储器，所述至少一个处理器和存储器之间通过数据总线连接，所述存储器存储能被所述至少一个处理器执行的指令，所述指令在被所述处理器执行后，用于完成权利要求1-6中任一项所述的防御网络恶意攻击的方法。