技術領域

本發明總體上涉及網絡安全領域，且更具體而言，涉及用于在檢測對受保護計算機的網絡攻擊期間減少誤報（false?positive）的系統、方法及計算機程序產品。

背景技術

對連接至互聯網的計算機現存有大量威脅。這類威脅的一個示例是拒絕服務（DoS）攻擊。DoS攻擊是計算機系統上意圖令其崩潰的攻擊，即，創造條件以使合法的（正當的）系統用戶無法獲得對該系統所提供的資源（服務器）的訪問或者使該訪問困難。這些攻擊的動機可以是多樣化的——其可以是以下因素：競爭性斗爭、欺騙或報復手段、表示不滿、展示能力或者試圖引起注意，其最常被解釋為網絡恐怖主義。在大量的計算機上同時實施的攻擊稱為分布式拒絕服務（DDoS）攻擊。有兩種DDoS攻擊：帶寬攻擊和應用程序攻擊。

帶寬攻擊的特點在于，用大量數據包進行網絡通信信道泛洪（flood）。由于網絡路由器、服務器和防火墻的處理資源有限，所以其會在DDoS帶寬攻擊期間變得不可訪問以處理合法的業務或者由于超載而崩潰，在DDoS帶寬攻擊時大量TCP、UDP或ICMP數據包被發送至特定網絡設備或者服務。

應用程序攻擊的特點在于，利用TCP、HTTP和其他協議的特點以及服務和應用程序的行為，來占據該攻擊的目標正在上面工作的計算機的計算資源，從而阻礙后者處理合法的業務和請求。應用程序攻擊的示例是對半開HTTP連接的攻擊以及利用錯誤HTTP連接的攻擊。

用于檢測和防止DDoS攻擊的一種流行的技術是識別做出攻擊的計算機并阻塞來自這些計算機的所有通信量（traffic）。該技術的一個缺點是對這類計算機的不正確識別（即，誤報）可能會導致阻塞來自合法計算機的通信量。例如，誤報可通過阻止常規訪問者下訂單而中斷在線商鋪的運營。據此，需要一種能夠在檢測對受保護計算機系統的DoS攻擊及其他攻擊期間減少誤報的網絡安全系統。

發明內容

本申請中所公開的是用于在檢測對受保護計算機的網絡攻擊期間減少誤報的系統、方法及計算機程序產品。在一個示例性實施例中，該系統包括：代理設備（proxy?device），被配置為對指向所述受保護計算機的通信量進行重定向和鏡像；通信量傳感器，被配置為收集關于所述被鏡像的通信量的統計信息；數據收集器，被配置為匯總由所述通信量傳感器所收集的信息并基于所匯總的統計信息生成通信量過濾規則；過濾中心，被配置為與收集統計信息并行地，基于由所述數據收集器提供的所述通信量過濾規則來過濾被重定向的通信量；和控制模塊，被配置為收集并存儲關于已知網絡攻擊的統計信息，并且修正通信量過濾規則，以便在檢測對所述受保護計算機的網絡攻擊期間減少誤報。

在另一個示例性實施例中，提供一種用于在檢測對受保護計算機的網絡攻擊期間減少誤報的由計算機實施的方法，所述方法包括：將以所述受保護計算機為目的地的網絡通信量重定向至過濾中心，并且將所述網絡通信量鏡像至與所述過濾中心并行操作的通信量傳感器；由所述過濾中心使用預定義的過濾規則來過濾所述被重定向的通信量；與通信量過濾并行地，由所述通信量傳感器分析所述被鏡像的網絡通信量，并且收集關于所述被鏡像的網絡通信量的統計信息；基于由所述通信量傳感器所收集的所述統計信息來更新通信量過濾規則；以及基于關于已知網絡攻擊的統計信息來修正所述被更新的過濾規則，以便在檢測對所述受保護計算機的網絡攻擊期間減少誤報。

在另一個示例性實施例中，提供一種內嵌于非暫時性計算機可讀存儲介質中的計算機程序產品，所述計算機可讀存儲介質包括用于在檢測對受保護計算機的網絡攻擊期間減少誤報的計算機可執行指令，該介質包括指令用于：將以所述受保護計算機為目的地的網絡通信量重定向至過濾中心，并且將所述網絡通信量鏡像至與所述過濾中心并行操作的通信量傳感器；由所述過濾中心使用預定義的過濾規則來過濾所述被重定向的通信量；與通信量過濾并行地，由所述通信量傳感器分析所述被鏡像的網絡通信量，并且收集關于所述被鏡像的網絡通信量的統計信息；基于由所述通信量傳感器所收集的所述統計信息來更新通信量過濾規則；以及基于關于已知網絡攻擊的統計信息來修正所述被更新的過濾規則，以便在檢測對所述受保護計算機的網絡攻擊期間減少誤報。