[发明专利]用于在检测网络攻击期间减少误报的系统及方法

说明书

技术领域

本发明总体上涉及网络安全领域，且更具体而言，涉及用于在检测对受保护计算机的网络攻击期间减少误报（false positive）的系统、方法及计算机程序产品。

背景技术

对连接至互联网的计算机现存有大量威胁。这类威胁的一个示例是拒绝服务（DoS）攻击。DoS攻击是计算机系统上意图令其崩溃的攻击，即，创造条件以使合法的（正当的）系统用户无法获得对该系统所提供的资源（服务器）的访问或者使该访问困难。这些攻击的动机可以是多样化的——其可以是以下因素：竞争性斗争、欺骗或报复手段、表示不满、展示能力或者试图引起注意，其最常被解释为网络恐怖主义。在大量的计算机上同时实施的攻击称为分布式拒绝服务（DDoS）攻击。有两种DDoS攻击：带宽攻击和应用程序攻击。

带宽攻击的特点在于，用大量数据包进行网络通信信道泛洪（flood）。由于网络路由器、服务器和防火墙的处理资源有限，所以其会在DDoS带宽攻击期间变得不可访问以处理合法的业务或者由于超载而崩溃，在DDoS带宽攻击时大量TCP、UDP或ICMP数据包被发送至特定网络设备或者服务。

应用程序攻击的特点在于，利用TCP、HTTP和其他协议的特点以及服务和应用程序的行为，来占据该攻击的目标正在上面工作的计算机的计算资源，从而阻碍后者处理合法的业务和请求。应用程序攻击的示例是对半开HTTP连接的攻击以及利用错误HTTP连接的攻击。

用于检测和防止DDoS攻击的一种流行的技术是识别做出攻击的计算机并阻塞来自这些计算机的所有通信量（traffic）。该技术的一个缺点是对这类计算机的不正确识别（即，误报）可能会导致阻塞来自合法计算机的通信量。例如，误报可通过阻止常规访问者下订单而中断在线商铺的运营。据此，需要一种能够在检测对受保护计算机系统的DoS攻击及其他攻击期间减少误报的网络安全系统。

发明内容

本申请中所公开的是用于在检测对受保护计算机的网络攻击期间减少误报的系统、方法及计算机程序产品。在一个示例性实施例中，该系统包括：代理设备（proxy device），被配置为对指向所述受保护计算机的通信量进行重定向和镜像；通信量传感器，被配置为收集关于所述被镜像的通信量的统计信息；数据收集器，被配置为汇总由所述通信量传感器所收集的信息并基于所汇总的统计信息生成通信量过滤规则；过滤中心，被配置为与收集统计信息并行地，基于由所述数据收集器提供的所述通信量过滤规则来过滤被重定向的通信量；和控制模块，被配置为收集并存储关于已知网络攻击的统计信息，并且修正通信量过滤规则，以便在检测对所述受保护计算机的网络攻击期间减少误报。

在另一个示例性实施例中，提供一种用于在检测对受保护计算机的网络攻击期间减少误报的由计算机实施的方法，所述方法包括：将以所述受保护计算机为目的地的网络通信量重定向至过滤中心，并且将所述网络通信量镜像至与所述过滤中心并行操作的通信量传感器；由所述过滤中心使用预定义的过滤规则来过滤所述被重定向的通信量；与通信量过滤并行地，由所述通信量传感器分析所述被镜像的网络通信量，并且收集关于所述被镜像的网络通信量的统计信息；基于由所述通信量传感器所收集的所述统计信息来更新通信量过滤规则；以及基于关于已知网络攻击的统计信息来修正所述被更新的过滤规则，以便在检测对所述受保护计算机的网络攻击期间减少误报。

在另一个示例性实施例中，提供一种内嵌于非暂时性计算机可读存储介质中的计算机程序产品，所述计算机可读存储介质包括用于在检测对受保护计算机的网络攻击期间减少误报的计算机可执行指令，该介质包括指令用于：将以所述受保护计算机为目的地的网络通信量重定向至过滤中心，并且将所述网络通信量镜像至与所述过滤中心并行操作的通信量传感器；由所述过滤中心使用预定义的过滤规则来过滤所述被重定向的通信量；与通信量过滤并行地，由所述通信量传感器分析所述被镜像的网络通信量，并且收集关于所述被镜像的网络通信量的统计信息；基于由所述通信量传感器所收集的所述统计信息来更新通信量过滤规则；以及基于关于已知网络攻击的统计信息来修正所述被更新的过滤规则，以便在检测对所述受保护计算机的网络攻击期间减少误报。