CN108667854A - 网络漏洞检测方法及装置、网络漏洞自动发布系统 - Google Patents
网络漏洞检测方法及装置、网络漏洞自动发布系统 Download PDFInfo
- Publication number
- CN108667854A CN108667854A CN201810713937.1A CN201810713937A CN108667854A CN 108667854 A CN108667854 A CN 108667854A CN 201810713937 A CN201810713937 A CN 201810713937A CN 108667854 A CN108667854 A CN 108667854A
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- feature
- data
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络漏洞检测方法及装置、网络漏洞自动发布系统,所述网络漏洞检测方法包括:检测目标主机是否受到网络攻击并确定所述网络攻击的攻击类型;若所述目标主机受到所述网络攻击,则检测所述网络攻击是否成功并确定成功的网络攻击的攻击动作;若所述网络攻击成功,则生成漏洞信息,其中,所述漏洞信息包括存在网络漏洞的网络站点的域名、所述网络攻击的攻击类型以及所述网络攻击的攻击动作;将所述漏洞信息发送至网络漏洞平台。本发明提供的网络漏洞检测方法及装置、网络漏洞自动发布系统,能够提高网络漏洞检测和漏洞信息发布的效率。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种网络漏洞检测方法及装置、网络漏洞自动发布系统。
背景技术
网络漏洞是指一个系统存在的弱点或缺陷,系统对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。网络漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被有意或无意地利用,从而对一个组织的资产或运行造成不利影响,如信息系统被攻击或控制、重要资料被窃取、用户数据被篡改、系统被作为入侵其他主机系统的跳板等。
网络漏洞平台是一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台,用户可以在线提交发现的漏洞信息,企业也可通过网络漏洞平台获知自己网站的漏洞信息。然而,现有的网络漏洞平台发布的漏洞信息依赖于用户发现并进行在线提交,因而存在网络漏洞检测和漏洞信息发布不及时的问题。
发明内容
本发明所要解决的是网络漏洞检测和漏洞信息发布不及时的问题。
本发明通过下述技术方案实现:
一种网络漏洞检测方法,包括:
检测目标主机是否受到网络攻击并确定所述网络攻击的攻击类型;
若所述目标主机受到所述网络攻击,则检测所述网络攻击是否成功并确定成功的网络攻击的攻击动作;
若所述网络攻击成功,则生成漏洞信息,其中,所述漏洞信息包括存在网络漏洞的网络站点的域名、所述网络攻击的攻击类型以及所述网络攻击的攻击动作;
将所述漏洞信息发送至网络漏洞平台。
可选的,所述检测目标主机是否受到网络攻击并确定所述网络攻击的攻击类型包括:
采集所述目标主机的网络数据;
从所述网络数据中提取待检测特征;
将所述待检测特征导入预先建立的人工智能模型,通过所述人工智能模型对所述待检测特征进行归类,根据归类结果确定所述目标主机是否受到网络攻击以及所述网络攻击的攻击类型。
可选的,所述从所述网络数据中提取待检测特征包括:
从所述网络数据中提取请求数据,其中,所述请求数据用于向所述目标主机发起请求服务;
从所述请求数据中提取所述待检测特征。
可选的,在所述将所述待检测特征导入预先建立的人工智能模型之前,还包括:
建立所述人工智能模型。
可选的,所述建立所述人工智能模型包括:
收集模型训练数据;
从所述模型训练数据中提取已知网络攻击的特征,获得攻击特征数据;
对所述攻击特征数据进行分类,获得训练样本;
根据所述训练样本进行模型训练,获得所述人工智能模型。
可选的,所述根据所述训练样本进行模型训练包括:
根据所述训练样本,采用朴素贝叶斯算法进行模型训练。
可选的,所述检测所述网络攻击是否成功包括:
从所述网络攻击对应的网络数据中提取待比对特征;
将所述待比对特征与一个以上攻击响应规则进行比对,其中,所述攻击响应规则根据第一响应数据形成,所述第一响应数据用于受攻击主机对成功攻击请求的应答;
若所述待比对特征与所述攻击响应规则相匹配,则判定所述网络攻击成功。
可选的,所述从所述网络攻击对应的网络数据中提取待比对特征包括:
从所述网络数据中提取第二响应数据,其中,所述第二响应数据用于所述目标主机应答请求服务;
从所述第二响应数据中提取所述待比对特征。
可选的,所述从所述网络攻击对应的网络数据中提取待比对特征包括:
从所述网络数据中提取请求数据和第二响应数据,其中,所述请求数据用于向所述目标主机发起请求服务,所述第二响应数据用于所述目标主机应答请求服务;
从所述请求数据和所述第二响应数据中提取所述待比对特征。
可选的,在所述将所述待比对特征与一个以上攻击响应规则进行比对之前,还包括:
建立包含所述一个以上攻击响应规则的特征库。
可选的,所述建立包含所述一个以上攻击响应规则的特征库包括:
创建数据库;
从一个以上第一响应数据中对应提取一个以上攻击响应特征;
对每个攻击响应特征进行确定性描述,形成一个以上攻击响应规则;
将所述一个以上攻击响应规则存储到所述数据库中,获得所述特征库。
可选的,所述特征库包括N个子特征库,N为不小于2的整数,所述建立包含所述一个以上攻击响应规则的特征库包括:
创建N个数据库;
从两个以上第一响应数据中对应提取两个以上攻击响应特征;
对每个攻击响应特征进行确定性描述,形成两个以上攻击响应规则;
将所述两个以上攻击响应规则中属于同种攻击类型的攻击响应规则存储到相同的数据库中,获得所述子特征库。
可选的,所述将所述待比对特征与一个以上攻击响应规则进行比对包括:
将所述待比对特征与和所述网络攻击的攻击类型对应的子特征库中一个以上攻击响应规则进行比对。
可选的,所述对每个攻击响应特征进行确定性描述包括:
采用正则表达式对每个攻击响应特征进行确定性描述。
可选的,在所述将所述待比对特征与一个以上攻击响应规则进行比对之前,还包括:
建立每个所述攻击响应规则与攻击动作之间的关联关系;
所述确定成功的网络攻击的攻击动作包括:
根据每个所述攻击响应规则与攻击动作之间的关联关系,将与所述待比对特征匹配的攻击响应规则所对应的攻击动作,确定为所述成功的网络攻击的攻击动作。
可选的,在所述生成漏洞信息之后,还包括:
通过邮件、短信、对话框以及即时通信中的一种或多种组合将所述漏洞信息发送给网络管理人员。
可选的,在所述通过邮件、短信、对话框以及即时通信中的一种或多种组合将所述漏洞信息发送给网络管理人员之后,还包括:
检测是否接收到漏洞修复确认请求;
若接收到所述漏洞修复确认请求,则检测所述网络漏洞是否已被修复;
若所述网络漏洞已被修复,则生成修复成功信息,其中,所述修复成功信息包括修复结果和所述网络站点的域名;
将所述修复确认信息发送至所述网络漏洞平台和/或网络管理人员。
可选的,所述检测所述网络漏洞是否已被修复包括:
根据所述网络攻击对应的网络数据向所述目标主机发起模拟攻击;
检测所述模拟攻击是否成功;
若所述模拟攻击不成功,则判定所述网络漏洞已被修复。
基于同样的发明构思,本发明还提供一种网络漏洞检测装置,包括:
第一检测模块,用于检测目标主机是否受到网络攻击并确定所述网络攻击的攻击类型;
第二检测模块,用于在所述目标主机受到所述网络攻击时,检测所述网络攻击是否成功并确定成功的网络攻击的攻击动作;
漏洞信息生成模块,用于在所述网络攻击成功时,生成漏洞信息,其中,所述漏洞信息包括存在网络漏洞的网络站点的域名、所述网络攻击的攻击类型以及所述网络攻击的攻击动作;
第一发送模块,用于将所述漏洞信息发送至网络漏洞平台。
可选的,所述第一检测模块包括:
采集模块,用于采集所述目标主机的网络数据;
第一提取模块,用于从所述网络数据中提取待检测特征;
导入模块,用于将所述待检测特征导入预先建立的人工智能模型,通过所述人工智能模型对所述待检测特征进行归类,根据归类结果确定所述目标主机是否受到网络攻击以及所述网络攻击的攻击类型。
可选的,所述第一提取模块包括:
第一提取单元,用于从所述网络数据中提取请求数据,其中,所述请求数据用于向所述目标主机发起请求服务;
第二提取单元,用于从所述请求数据中提取所述待检测特征。
可选的,所述网络漏洞检测装置,还包括:
模型创建模块,用于在所述将所述待检测特征导入预先建立的人工智能模型之前,建立所述人工智能模型。
可选的,所述模型创建模块包括:
收集模块,用于收集模型训练数据;
第二提取模块,用于从所述模型训练数据中提取已知网络攻击的特征,获得攻击特征数据;
分类模块,用于对所述攻击特征数据进行分类,获得训练样本;
训练模块,用于根据所述训练样本进行模型训练,获得所述人工智能模型。
可选的,所述训练模块为朴素贝叶斯算法模块。
可选的,所述第二检测模块包括:
第三提取模块,用于从所述网络攻击对应的网络数据中提取待比对特征;
比对模块,用于将所述待比对特征与一个以上攻击响应规则进行比对,其中,所述攻击响应规则根据第一响应数据形成,所述第一响应数据用于受攻击主机对成功攻击请求的应答;
第一判定模块,用于在所述待比对特征与所述攻击响应规则相匹配时,判定所述网络攻击成功;
攻击动作确定模块,用于确定成功的网络攻击的攻击动作。
可选的,所述第三提取模块包括:
第三提取单元,用于从所述网络数据中提取第二响应数据,其中,所述第二响应数据用于所述目标主机应答请求服务;
第四提取单元,用于从所述第二响应数据中提取所述待比对特征。
可选的,所述第三提取模块包括:
第五提取单元,用于从所述网络数据中提取请求数据和第二响应数据,其中,所述请求数据用于向所述目标主机发起请求服务,所述第二响应数据用于所述目标主机应答请求服务;
第六提取单元,用于从所述请求数据和所述第二响应数据中提取所述待比对特征。
可选的,所述网络漏洞检测装置,还包括:
特征库创建模块,用于在所述将所述待比对特征与一个以上攻击响应规则进行比对之前,建立包含所述一个以上攻击响应规则的特征库。
可选的,所述特征库创建模块包括:
数据库创建模块,用于创建数据库;
第四提取模块,用于从一个以上第一响应数据中对应提取一个以上攻击响应特征;
规则形成模块,用于对每个攻击响应特征进行确定性描述,形成一个以上攻击响应规则;
存储模块,用于将所述一个以上攻击响应规则存储到所述数据库中,获得所述特征库。
可选的,所述特征库包括N个子特征库,N为不小于2的整数,所述特征库创建模块包括:
数据库创建模块,用于创建N个数据库;
第四提取模块,用于从两个以上第一响应数据中对应提取两个以上攻击响应特征;
规则形成模块,用于对每个攻击响应特征进行确定性描述,形成两个以上攻击响应规则;
存储模块,用于将所述两个以上攻击响应规则中属于同种攻击类型的攻击响应规则存储到相同的数据库中,获得所述子特征库。
可选的,所述比对模块用于将所述待比对特征与和所述网络攻击的攻击类型对应的子特征库中一个以上攻击响应规则进行比对。
可选的,所述规则形成模块为正则表达式编写模块。
可选的,所述网络漏洞检测装置,还包括:
关联关系创建模块,用于在所述将所述待比对特征与一个以上攻击响应规则进行比对之前,建立每个所述攻击响应规则与攻击动作之间的关联关系;
所述攻击动作确定模块用于根据每个所述攻击响应规则与攻击动作之间的关联关系,将与所述待比对特征匹配的攻击响应规则所对应的攻击动作,确定为所述成功的网络攻击的攻击动作。
可选的,所述网络漏洞检测装置,还包括:
第二发送模块,用于在生成所述漏洞信息之后,通过邮件、短信、对话框以及即时通信中的一种或多种组合将所述漏洞信息发送给网络管理人员。
可选的,所述网络漏洞检测装置,还包括:
第三检测模块,用于检测是否接收到漏洞修复确认请求;
第四检测模块,用于在接收到所述漏洞修复确认请求时,检测所述网络漏洞是否已被修复;
修复成功信息生成模块,用于在所述网络漏洞已被修复时,生成修复成功信息,其中,所述修复成功信息包括修复结果和所述网络站点的域名;
第三发送模块,用于将所述修复确认信息发送至所述网络漏洞平台和/或网络管理人员。
可选的,所述第四检测模块包括:
模拟攻击模块,用于根据所述网络攻击对应的网络数据向所述目标主机发起模拟攻击;
第五检测模块,用于检测所述模拟攻击是否成功;
第二判定模块,用于在所述模拟攻击不成功时,判定所述网络漏洞已被修复。
基于同样的发明构思,本发明还提供一种网络漏洞自动发布系统,包括上述网络漏洞检测装置以及网络漏洞平台;
所述网络漏洞平台用于接收所述漏洞信息并进行展示。
基于同样的发明构思,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述网络漏洞检测方法。
基于同样的发明构思,本发明还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述网络漏洞检测方法。
本发明与现有技术相比,具有如下的优点和有益效果:
本发明提供的网络漏洞检测方法及装置、网络漏洞自动发布系统,首先检测目标主机是否受到网络攻击,并确定所述网络攻击的攻击类型;在检测到所述目标主机受到所述网络攻击时,再检测所述网络攻击是否成功,并确定成功的网络攻击的攻击动作;最后在所述网络攻击成功时生成漏洞信息,并将所述漏洞信息发送至网络漏洞平台。通过本发明提供的网络漏洞检测方法及装置、网络漏洞自动发布系统,网络漏洞平台发布的漏洞信息不依赖于用户发现并进行在线提交,而是在检测到网络攻击成功时自动生成并被发送至网络漏洞平台,因而提高了网络漏洞检测和漏洞信息发布的效率。
进一步,通过本发明提供的网络漏洞检测方法及装置、网络漏洞自动发布系统,不仅能够检测所述网络攻击是否成功,还能够确定成功的网络攻击的攻击动作,因而能够为网络管理人员提供有效的网络攻击信息,从而能够提高运维效率。
附图说明
此处所说明的附图用来提供对本发明实施例的进一步理解,构成本申请的一部分,并不构成对本发明实施例的限定。在附图中:
图1是本发明实施例的网络漏洞检测方法的流程示意图;
图2是本发明实施例的检测目标主机是否受到网络攻击的流程示意图;
图3是本发明实施例的建立人工智能模型的流程示意图;
图4是本发明实施例的检测网络攻击是否成功的流程示意图;
图5是本发明一种实施例的建立特征库的流程示意图;
图6是本发明另一种实施例的建立特征库的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。
实施例1
本实施例提供一种网络漏洞检测方法,图1是所述网络漏洞检测方法的流程示意图,所述网络漏洞检测方法包括:
步骤S11,检测目标主机是否受到网络攻击并确定所述网络攻击的攻击类型;
步骤S12,若所述目标主机受到所述网络攻击,则检测所述网络攻击是否成功并确定成功的网络攻击的攻击动作;
步骤S13,若所述网络攻击成功,则生成漏洞信息,其中,所述漏洞信息包括存在网络漏洞的网络站点的域名、所述网络攻击的攻击类型以及所述网络攻击的攻击动作;
步骤S14,将所述漏洞信息发送至网络漏洞平台。
所述目标主机可以是提供各种服务的服务器,也可以是能够实现特定功能的个人计算机,还可以是其他能够提供网络服务的网络设备。所述目标主机可以接收终端设备发送过来的用于向所述目标主机发起请求服务的请求数据,根据所述请求数据进行相应的数据处理以获得第二响应数据,即所述第二响应数据用于所述目标主机应答请求服务,并将所述第二响应数据反馈给所述终端设备。所述终端设备可以是具有显示功能并且支持交互功能的各种电子设备,包括但不限于智能手机、平板电脑、个人计算机以及台式计算机等。在本发明检测网络攻击这一具体的应用场景中,发起网络攻击的攻击者通常为恶意发送大量数据请求的用户。攻击者所利用的终端设备可以是具有强大计算功能的电子设备,甚至还可以是服务器。
检测所述目标主机是否受到网络攻击,可以采用传统的网络攻击检测方法。考虑到传统的网络攻击检测方法存在漏报率高、灵活性差的缺陷,本实施例提供一种检测所述目标主机是否受到网络攻击的具体方法。图2是检测所述目标主机是否受到网络攻击的流程示意图,所述检测所述目标主机是否受到网络攻击包括:
步骤S21,采集所述目标主机的网络数据;
步骤S22,从所述网络数据中提取待检测特征;
步骤S23,将所述待检测特征导入预先建立的人工智能模型,通过所述人工智能模型对所述待检测特征进行归类,根据归类结果确定所述目标主机是否受到网络攻击以及所述网络攻击的攻击类型。
具体地,对于所述目标主机的网络数据的采集,可以采用网络嗅探方式获取,也可以通过网络端口镜像方式获取。所述网络嗅探方式是指将所述目标主机的网卡设置为混杂模式,通过调用网络截包工具来捕获所述目标主机的网路数据。所述网络端口镜像方式是指将所述目标主机的采集端口映射到另一端口,对数据进行实时拷贝,从而获得所述目标主机的网络数据。当然,采集所述目标主机的网络数据的具体实现方式并不限于上述两种方式,本实施例对此不作限定。
采集到所述网络数据之后,从所述网络数据中提取所述待检测特征。所述网络数据包括所述请求数据和所述第二响应数据,如前所述,所述请求数据用于向所述目标主机发起请求服务,是由终端设备发送给所述目标主机的数据;所述第二响应数据用于所述目标主机应答请求服务,是由所述目标主机发送给终端设备的数据。所述待检测特征的提取,可以是直接从所述网络数据中提取所述请求数据的特征来获得所述待检测特征,也可以是先从所述网络数据中提取所述请求数据,再从所述请求数据中提取所述待检测特征,本实施例对此不作限定。所述待检测特征可以包括请求时间、IP信息、端口信息、协议类型、发包频度、邮件地址、文件名称以及目标URL地址中的一项或多项组合。需要说明的是,所述待检测特征可根据实际情况进行灵活设定,本实施例对此不作限制。
根据所述目标主机与终端设备之间采用的传输协议的不同,例如包括但不限于超文本传输协议(HTTP,Hyper Text Transfer Protocol)、文件传输协议(FTP,FileTransfer Protocol)、简单邮件传输协议(SMTP,Simple Mail Transfer Protocol),所述请求数据的结构也不相同。以HTTP类型的网络请求为例,所述请求数据包括以下三个部分:请求行,由方法(例如,POST)、统一资源标识符(URI,Uniform Resource Identifier)以及协议版本(例如,HTTP 1.1)三个部分构成;请求头部,用于通知所述目标主机有关终端设备请求的信息,包括但不限于产生请求的浏览器类型、终端设备可识别的内容类型列表以及请求的网络站点的域名;请求主体。在采集到所述网络数据后,进行HTTP请求头部中各个字段的解析,查找出需要进行检测的字段内容,即提取到所述待检测特征。
获得所述待检测特征之后,将所述待检测特征导入预先建立的人工智能模型,通过所述人工智能模型对所述待检测特征进行归类,获得归类结果。所述人工智能模型可以为机器学习分类模型,例如朴素贝叶斯分类模型,还可以为深度学习分类模型。若所述归类结果为所述待检测特征不属于任何一种已知攻击类型的网络攻击,也不属于未知攻击类型的网络攻击,则确定所述目标主机未受到网络攻击;若所述归类结果为所述待检测特征属于某种已知攻击类型的网络攻击,则确定所述目标主机受到该种攻击类型的网络攻击;若所述归类结果为所述待检测特征属于某种未知攻击类型的网络攻击,则确定所述目标主机受到未知攻击类型的网络攻击。
本实施例提供的检测所述目标主机是否受到网络攻击的方法,由于所述人工智能模型是利用人工智能技术的分类模型,具有自学习、自组织、自适应等能力,所以可有效地发现新型或变种的网络攻击,有效地弥补传统的网络攻击检测方法不能检测未知网络攻击的缺点,提高整体网络攻击检测能力,能够降低漏报率,并能够根据所述归类结果确定所述网络攻击的攻击类型。
进一步,在将所述待检测特征导入预先建立的人工智能模型之前,还需要建立所述人工智能模型。图3是建立所述人工智能模型的流程示意图,所述建立所述人工智能模型包括:
步骤S31,收集模型训练数据;
步骤S32,从所述模型训练数据中提取已知网络攻击的特征,获得攻击特征数据;
步骤S33,对所述攻击特征数据进行分类,获得训练样本;
步骤S34,根据所述训练样本进行模型训练,获得所述人工智能模型。
具体地,所述模型训练数据包括互联网已公开的攻击数据、互联网已公开的漏洞数据、所述目标主机已采集的攻击数据以及所述目标主机已采集的漏洞数据中的一种或多种组合。所述攻击数据为从已有的网络攻击案例中提取出的数据,所述漏洞数据为从已有的漏洞案例中提取出的数据。所述攻击数据和所述漏洞数据可以是互联网公开的,也可以是所述目标主机根据以往遭受的网络攻击事件进行分析和提炼而来。
获得所述模型训练数据之后,从所述模型训练数据中提取已知网络攻击的特征,获得攻击特征数据。进一步,提取的攻击特征数据可以包括请求时间、IP信息、端口信息、协议类型、发包频度、邮件地址、文件名称以及目标URL地址中的一项或多项组合。需要说明的是,所述攻击特征数据可根据实际情况进行灵活设定,本实施例对此不作限制。获得所述攻击特征数据之后,按照其所属网络攻击的攻击类型进行分类以形成训练样本,所述网络攻击的攻击类型包括但不限于SQL注入攻击和XSS攻击。
根据所述训练样本进行模型训练,即计算每种攻击类型的网络攻击在所述训练样本中的出现频率以及每个攻击特征数据划分对每种攻击类型的网络攻击的条件概率估计,并将计算结果进行记录就获得所述人工智能模型。在本实施例中,进行模型训练采用的算法为朴素贝叶斯算法。朴素贝叶斯算法对小规模的数据表现很好,适合多分类任务,适合增量式训练。当然,也可以采用其他机器学习分类算法或者深度学习分类算法进行模型训练,例如,还可以采用决策树算法进行模型训练,本实施例对此不作限定。
在检测到所述目标主机受到所述网络攻击后,在本实施例中采用规则匹配的方式检测所述网络攻击是否成功。图4是检测所述网络攻击是否成功的流程示意图,所述检测所述网络攻击是否成功包括:
步骤S41,从所述网络攻击对应的网络数据中提取待比对特征;
步骤S42,将所述待比对特征与一个以上攻击响应规则进行比对,其中,所述攻击响应规则根据第一响应数据形成,所述第一响应数据用于受攻击主机对成功攻击请求的应答;
步骤S43,若所述待比对特征与所述攻击响应规则相匹配,则判定所述网络攻击成功。
具体地,每种成功的网络攻击都有其独特性,这种独特性主要通过受攻击主机对成功攻击请求的应答体现。因此,所述待比对特征的提取即是提取所述第二响应数据的特征。提取所述待比对特征可以是直接从所述网络数据中提取所述第二响应数据的特征,也可以是先从所述网络数据中提取所述第二响应数据,再从所述第二响应数据中提取所述待比对特征,本实施例对此不作限定。
仍以HTTP类型的网络响应为例,所述第二响应数据包括以下三个部分:状态行,由协议版本(例如,HTTP 1.1)、状态码以及状态码描述三个部分组成;响应头部,包括但不限于应用程序的名称、应用程序的版本、响应正文类型、响应正文长度以及响应正文所采用的编码;响应主体。在采集到所述网络数据后,进行HTTP响应头部中各个字段的解析,查找出需要进行比对的字段内容,即提取到所述待比对特征。
进一步,要判断一个网络攻击是否成功,还可以从攻击者的角度进行逆向推导,通过响应内容反推攻击请求应具备的特征,以提高识别网络攻击是否成功的准确性。因此,所述待比对特征的提取还可以是从所述第二响应数据和所述请求数据中共同提取。具体地,可以从所述网络数据中提取所述请求数据和所述第二响应数据,再从所述请求数据和所述第二响应数据中提取所述待比对特征。仍以HTTP类型的网络请求和HTTP类型的网络响应为例,在采集到所述网络数据后,进行HTTP请求头部和HTTP响应头部中各个字段的解析,查找出需要进行比对的字段内容,即提取到所述待比对特征。
获得所述待比对特征之后,将所述待比对特征与一个以上攻击响应规则进行比对。仍以HTTP类型的传输协议为例,若所述待比对特征与某个攻击响应规则相匹配,则判定HTTP请求为恶意攻击,所述目标主机受到的网络攻击成功;若所述待比对特征不能与任意一个攻击响应规则相匹配,则判定HTTP请求为无效网络攻击,可以直接忽略该HTTP请求。
进一步,还可以预先建立特征库,所述特征库用于存储所述一个以上攻击响应规则。所述特征库存储的攻击响应规则是根据所述第一响应数据形成,所述第一响应数据用于受攻击主机对成功攻击请求的应答,即所述攻击响应规则是根据已经存在的成功攻击请求对应的攻击响应的响应特性预先生成的。图5是本实施例提供的一种建立所述特征库的流程示意图,所述建立所述特征库包括:
步骤S51,创建数据库;
步骤S52,从一个以上第一响应数据中对应提取一个以上攻击响应特征;
步骤S53,对每个攻击响应特征进行确定性描述,形成一个以上攻击响应规则;
步骤S54,将所述一个以上攻击响应规则存储到所述数据库中,获得所述特征库。
具体地,所述创建数据库即是创建空白的存储空间。所述第一响应数据用于受攻击主机对成功攻击请求的应答,可以从互联网已公开的攻击数据和/或所述目标主机已采集的攻击数据中进行收集。例如,攻击者向被攻击主机发送了floor()函数报错注入攻击请求,且所述floor()函数报错注入攻击请求获得了成功,所述被攻击主机对所述floor()函数报错注入攻击请求的应答即为所述第一响应数据。对于同一种攻击类型的网络攻击,根据具体攻击动作的不同还可以进行划分。例如,对于SQL注入攻击,还包括count()函数报错注入、rand()函数报错注入以及floor()函数报错注入等。对于每种攻击动作的网络攻击,对应可以收集一个第一响应数据,因而从一个以上第一响应数据中可以对应提取一个以上攻击响应特征,即每个第一响应数据可以对应提取到一个攻击响应特征。与所述攻击特征数据类似,所述攻击响应特征可以包括请求时间、IP信息、端口信息、协议类型、发包频度、邮件地址、文件名称以及目标URL地址中的一项或多项组合。需要说明的是,所述攻击响应特征也可根据实际情况进行灵活设定,本实施例对此不作限制。
获得所述攻击响应特征之后,对每个攻击响应特征进行确定性描述,所述确定性描述是按照预设的规则进行描述。在本实施例中,可以采用传统的正则表达式对每个攻击响应特征进行确定性描述,也可以在所述正则表达式中加入运算逻辑、匹配逻辑等复杂逻辑,以提高匹配结果的准确性。获得所述攻击响应规则之后,将所有攻击响应规则存储到所述数据库中,即在所述空白的存储空间中写入相应的数据,就获得所述特征库。
进一步,所述特征库还可以包括N个子特征库,每个子特征库对应存储同一种攻击类型的所有攻击响应规则,其中,N为不小于2的整数。基于此,图6是本实施例提供的另一种建立所述特征库的流程示意图,所述建立所述特征库包括:
步骤S61,创建N个数据库;
步骤S62,从两个以上第一响应数据中对应提取两个以上攻击响应特征;
步骤S63,对每个攻击响应特征进行确定性描述,形成两个以上攻击响应规则;
步骤S64,将所述两个以上攻击响应规则中属于同种攻击类型的攻击响应规则存储到相同的数据库中,获得所述子特征库。
具体地,步骤S61~步骤S63可参考前述对步骤S51~步骤S53的描述,在此不再赘述。在获得两个以上攻击响应规则之后,按照每个攻击响应规则所属的攻击类型,将属于同种攻击类型的攻击响应规则存储到相同的数据库中,获得所述子特征库。在本实施例中,所述子特征库可以为基础特征库、SQL注入特征库、XSS动态特征库以及工具指纹库,其中,所述基础特征库存储的是命令特征和文件特征,所述SQL注入特征库存储的是SQL注入攻击的特征,所述XSS动态特征库存储的是XSS动态攻击的特征,所述工具指纹库存储的是大马连接指纹的特征和菜刀指纹的特征。需要说明的是,所述子特征库可根据实际情况进行灵活设定,本实施例对此不作限制。
针对采用图6所示流程建立的特征库,所述将所述待比对特征与一个以上攻击响应规则进行比对具体包括:将所述待比对特征与和所述网络攻击的攻击类型对应的子特征库中的一个以上攻击响应规则进行比对。例如,若所述网络攻击的攻击类型为SQL注入攻击,则将所述待比对特征与SQL注入特征库中的一个以上攻击响应规则进行比对;若所述网络攻击的攻击类型为XSS动态攻击,则将所述待比对特征与XSS动态特征库中的一个以上攻击响应规则进行比对。通过将所述特征库设置为多个子特征库,可以减少与所述待比对特征进行比对的攻击响应规则数量,只需与某个子特征库中的攻击响应规则进行匹配即可,因而能够提高所述待比对特征与所述攻击响应规则的比对效率。
对于每种攻击动作的网络攻击,对应得到一个攻击响应规则,因而可以通过建立所述每个攻击响应规则与攻击动作之间的关联关系,根据所述每个攻击响应规则与攻击动作之间的关联关系,将与所述待比对特征匹配的攻击响应规则所对应的攻击动作,确定为所述成功的网络攻击的攻击动作。例如,与所述待比对特征相匹配的攻击响应规则对应的攻击动作为floor()函数报错注入,则成功的网络攻击的攻击动作为floor()函数报错注入。
在检测到所述网络攻击成功时,表明所述目标主机的网络站点存在网络漏洞,因而可以根据所述网络站点的域名、所述网络攻击的攻击类型以及所述网络攻击的攻击动作生成所述漏洞信息。如前所述,所述网络站点的域名在所述请求数据中,因而对所述请求数据进行提取即可获得所述网络站点的域名。生成所述漏洞信息之后,通过有线或者无线的网络连接方式,将所述漏洞信息发送至网络漏洞平台,由所述网络漏洞平台进行展示。通过所述网络漏洞平台发布的漏洞信息,网络管理人员可以获知其管理的网络站点是否存在网络漏洞,网络站点的用户可以获知使用该网络站点是否存在安全风险,甚至可以对存在网络漏洞的网络站点进行研究。
本实施例提供的网络漏洞检测方法,在检测到所述网络攻击成功时自动生成所述漏洞信息,并将所述漏洞信息发送至所述网络漏洞平台,因而提高了网络漏洞检测和所述漏洞信息发布的效率。并且,通过本实施例提供的网络漏洞检测方法,不仅能够检测所述网络攻击是否成功,还能够确定成功的网络攻击的攻击动作,因而能够为网络管理人员提供有效的网络攻击信息,从而能够提高运维效率。
由于网络管理人员无法实时关注所述网络漏洞平台发布的漏洞信息,通常通过定期查看所述网络漏洞平台来获知其管理的网络站点是否存在网络漏洞,因而在网络站点存在网络漏洞时,其网络管理人员可能无法及时获知。基于此,本发明提供另一种网络漏洞检测方法,详见实施例2的描述。
实施例2
本实施例提供另一种网络漏洞检测方法,与实施例1提供的网络漏洞检测方法相比,在生成所述漏洞信息之后,还通过邮件、短信、对话框以及即时通信中的一种或多种组合将所述漏洞信息发送给网络管理人员。
例如,可以通过邮件的方式将所述漏洞信息发送至指定的邮箱地址,还可以通过短信的方式将所述漏洞信息发送至指定的移动终端,还可以通过对话框的形式直接在所述目标主机显示所述漏洞信息,还可以通过即时通信的方式将所述漏洞信息发送给网络管理人员。当然,可以采用上述任意一种方式将所述漏洞信息发送给网络管理人员,也可以采用任意几种方式的组合将所述漏洞信息发送给网络管理人员。
通过将所述漏洞信息直接发送给所述网络站点的网络管理人员,可以及时提醒网络管理人员对其管理的网络站点进行漏洞修复。进行漏洞修复之后,所述网络漏洞可能仍然存在,所述网络站点仍然存在安全风险,因而需要确认漏洞修复是否成功。基于此,本发明提供另一种网络漏洞检测方法,详见实施例3的描述。
实施例3
本实施例提供另一种网络漏洞检测方法,与实施例2提供的网络漏洞检测方法相比,在将所述漏洞信息发送给网络管理人员之后,还包括:
检测是否接收到漏洞修复确认请求;
若接收到所述漏洞修复确认请求,则检测所述网络漏洞是否已被修复;
若所述网络漏洞已被修复,则生成修复成功信息,其中,所述修复成功信息包括修复结果和所述网络站点的域名;
将所述修复确认信息发送至所述网络漏洞平台和/或网络管理人员。
具体地,当网络管理人员对所述网络漏洞进行修复之后,可通过所述目标主机的输入装置输入所述漏洞修复确认请求,所述漏洞修复确认请求用于表征请求确认所述网络漏洞是否已被修复。接收到所述漏洞修复确认请求后,根据所述网络攻击对应的网络数据向所述目标主机发起模拟攻击,即模拟攻击者向所述目标主机发送所述网络数据中的请求数据。发起所述模拟攻击之后,检测所述模拟攻击是否成功。检测所述模拟攻击是否成功与检测所述网络攻击是否成功类似,具体可参考实施例1中对步骤S41至步骤S43的描述,在此不再赘述。若所述模拟攻击不成功,则确定所述网络漏洞已被修复,可生成修复成功信息,并将所述修复成功信息发送至所述网络漏洞平台和/或网络管理人员。将所述修复成功信息发送至所述网络漏洞平台与将所述漏洞信息发送至所述网络漏洞平台类似,将所述修复成功信息发送至网络管理人员与将所述漏洞信息发送至网络管理人员类似。所述修复成功信息用于表征所述网络漏洞已被修复,包括修复结果和所述网络站点的域名,所述修复结果可以表示为“已修复”、“已被修复”、“修复成功”等。进一步,若所述网络漏洞未被修复,还可以生成修复失败信息,并将所述修复失败信息反馈至网络管理人员。
实施例4
本实施例提供一种网络漏洞检测装置,所述网络漏洞检测装置包括:第一检测模块,用于检测目标主机是否受到网络攻击并确定所述网络攻击的攻击类型;第二检测模块,用于在所述目标主机受到所述网络攻击时,检测所述网络攻击是否成功并确定成功的网络攻击的攻击动作;漏洞信息生成模块,用于在所述网络攻击成功时,生成漏洞信息,其中,所述漏洞信息包括存在网络漏洞的网络站点的域名、所述网络攻击的攻击类型以及所述网络攻击的攻击动作;第一发送模块,用于将所述漏洞信息发送至网络漏洞平台。
进一步,所述第一检测模块包括:采集模块,用于采集所述目标主机的网络数据;第一提取模块,用于从所述网络数据中提取待检测特征;导入模块,用于将所述待检测特征导入预先建立的人工智能模型,通过所述人工智能模型对所述待检测特征进行归类,根据归类结果确定所述目标主机是否受到网络攻击以及所述网络攻击的攻击类型。
进一步,所述第一提取模块包括:第一提取单元,用于从所述网络数据中提取请求数据,其中,所述请求数据用于向所述目标主机发起请求服务;第二提取单元,用于从所述请求数据中提取所述待检测特征。
进一步,所述网络漏洞检测装置还包括:模型创建模块,用于在所述将所述待检测特征导入预先建立的人工智能模型之前,建立所述人工智能模型。具体地,所述模型创建模块包括:收集模块,用于收集模型训练数据;第二提取模块,用于从所述模型训练数据中提取已知网络攻击的特征,获得攻击特征数据;分类模块,用于对所述攻击特征数据进行分类,获得训练样本;训练模块,用于根据所述训练样本进行模型训练,获得所述人工智能模型。
进一步,所述第二检测模块包括:第三提取模块,用于从所述网络攻击对应的网络数据中提取待比对特征;比对模块,用于将所述待比对特征与一个以上攻击响应规则进行比对,其中,所述攻击响应规则根据第一响应数据形成,所述第一响应数据用于受攻击主机对成功攻击请求的应答;第一判定模块,用于在所述待比对特征与所述攻击响应规则相匹配时,判定所述网络攻击成功;攻击动作确定模块,用于确定成功的网络攻击的攻击动作。
进一步,所述第三提取模块包括:第三提取单元,用于从所述网络数据中提取第二响应数据,其中,所述第二响应数据用于所述目标主机应答请求服务;第四提取单元,用于从所述第二响应数据中提取所述待比对特征。
进一步,所述第三提取模块包括:第五提取单元,用于从所述网络数据中提取请求数据和第二响应数据,其中,所述请求数据用于向所述目标主机发起请求服务,所述第二响应数据用于所述目标主机应答请求服务;第六提取单元,用于从所述请求数据和所述第二响应数据中提取所述待比对特征。
进一步,所述网络漏洞检测装置还包括:特征库创建模块,用于在所述将所述待比对特征与一个以上攻击响应规则进行比对之前,建立包含所述一个以上攻击响应规则的特征库。具体地,所述特征库创建模块可以包括:数据库创建模块,用于创建数据库;第四提取模块,用于从一个以上第一响应数据中对应提取一个以上攻击响应特征;规则形成模块,用于对每个攻击响应特征进行确定性描述,形成一个以上攻击响应规则;存储模块,用于将所述一个以上攻击响应规则存储到所述数据库中,获得所述特征库。
所述特征库可以包括N个子特征库,N为不小于2的整数,基于此,所述特征库创建模块也可以包括:数据库创建模块,用于创建N个数据库;第四提取模块,用于从两个以上第一响应数据中对应提取两个以上攻击响应特征;规则形成模块,用于对每个攻击响应特征进行确定性描述,形成两个以上攻击响应规则;存储模块,用于将所述两个以上攻击响应规则中属于同种攻击类型的攻击响应规则存储到相同的数据库中,获得所述子特征库。
进一步,所述网络漏洞检测装置还包括:关联关系创建模块,用于在所述将所述待比对特征与一个以上攻击响应规则进行比对之前,建立每个所述攻击响应规则与攻击动作之间的关联关系;所述攻击动作确定模块用于根据每个所述攻击响应规则与攻击动作之间的关联关系,将与所述待比对特征匹配的攻击响应规则所对应的攻击动作,确定为所述成功的网络攻击的攻击动作。
所述网络漏洞检测装置的具体工作原理可参考实施例1中对各个步骤的描述,本实施例在此不再赘述。
实施例5
本实施例提供另一种网络漏洞检测装置,与实施例4提供的网络漏洞检测装置相比,所述网络漏洞检测装置还包括:第二发送模块,用于在生成所述漏洞信息之后,通过邮件、短信、对话框以及即时通信中的一种或多种组合将所述漏洞信息发送给网络管理人员。
所述网络漏洞检测装置的具体工作原理可参考实施例2中对各个步骤的描述,本实施例在此不再赘述。
实施例6
本实施例提供另一种网络漏洞检测装置,与实施例5提供的网络漏洞检测装置相比,所述网络漏洞检测装置还包括:第三检测模块,用于检测是否接收到漏洞修复确认请求;第四检测模块,用于在接收到所述漏洞修复确认请求时,检测所述网络漏洞是否已被修复;修复成功信息生成模块,用于在所述网络漏洞已被修复时,生成修复成功信息,其中,所述修复成功信息包括修复结果和所述网络站点的域名;第三发送模块,用于将所述修复确认信息发送至所述网络漏洞平台和/或网络管理人员。
进一步,所述第四检测模块包括:模拟攻击模块,用于根据所述网络攻击对应的网络数据向所述目标主机发起模拟攻击;第五检测模块,用于检测所述模拟攻击是否成功;第二判定模块,用于在所述模拟攻击不成功时,判定所述网络漏洞已被修复。
所述网络漏洞检测装置的具体工作原理可参考实施例3中对各个步骤的描述,本实施例在此不再赘述。
实施例7
本实施例提供一种网络漏洞自动发布系统,所述网络漏洞自动发布系统包括网络漏洞检测装置和网络漏洞平台。其中,所述网络漏洞检测装置为实施例4至实施例6任一实施例提供的网络漏洞检测装置;所述网络漏洞平台用于接收所述漏洞信息并进行展示。
实施例8
本实施例提供一种计算机可读存储介质,其上存储有计算机程序,本发明实施例1至实施例3提供的任一种网络漏洞检测方法如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现实施例1至实施例3提供的任一种网络漏洞检测方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成。所述计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。
其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
本发明公开A 1、一种网络漏洞检测方法,包括:
检测目标主机是否受到网络攻击并确定所述网络攻击的攻击类型;
若所述目标主机受到所述网络攻击,则检测所述网络攻击是否成功并确定成功的网络攻击的攻击动作;
若所述网络攻击成功,则生成漏洞信息,其中,所述漏洞信息包括存在网络漏洞的网络站点的域名、所述网络攻击的攻击类型以及所述网络攻击的攻击动作;
将所述漏洞信息发送至网络漏洞平台。
A2、根据A1所述的网络漏洞检测方法,所述检测目标主机是否受到网络攻击并确定所述网络攻击的攻击类型包括:
采集所述目标主机的网络数据;
从所述网络数据中提取待检测特征;
将所述待检测特征导入预先建立的人工智能模型,通过所述人工智能模型对所述待检测特征进行归类,根据归类结果确定所述目标主机是否受到网络攻击以及所述网络攻击的攻击类型。
A3、根据A2所述的网络漏洞检测方法,所述从所述网络数据中提取待检测特征包括:
从所述网络数据中提取请求数据,其中,所述请求数据用于向所述目标主机发起请求服务;
从所述请求数据中提取所述待检测特征。
A4、根据A2所述的网络漏洞检测方法,在所述将所述待检测特征导入预先建立的人工智能模型之前,还包括:
建立所述人工智能模型。
A5、根据A4所述的网络漏洞检测方法,所述建立所述人工智能模型包括:
收集模型训练数据;
从所述模型训练数据中提取已知网络攻击的特征,获得攻击特征数据;
对所述攻击特征数据进行分类,获得训练样本;
根据所述训练样本进行模型训练,获得所述人工智能模型。
A6、根据A5所述的网络漏洞检测方法,所述根据所述训练样本进行模型训练包括:
根据所述训练样本,采用朴素贝叶斯算法进行模型训练。
A7、根据A1所述的网络漏洞检测方法,所述检测所述网络攻击是否成功包括:
从所述网络攻击对应的网络数据中提取待比对特征;
将所述待比对特征与一个以上攻击响应规则进行比对,其中,所述攻击响应规则根据第一响应数据形成,所述第一响应数据用于受攻击主机对成功攻击请求的应答;
若所述待比对特征与所述攻击响应规则相匹配,则判定所述网络攻击成功。
A8、根据A7所述的网络漏洞检测方法,所述从所述网络攻击对应的网络数据中提取待比对特征包括:
从所述网络数据中提取第二响应数据,其中,所述第二响应数据用于所述目标主机应答请求服务;
从所述第二响应数据中提取所述待比对特征。
A9、根据A7所述的网络漏洞检测方法,所述从所述网络攻击对应的网络数据中提取待比对特征包括:
从所述网络数据中提取请求数据和第二响应数据,其中,所述请求数据用于向所述目标主机发起请求服务,所述第二响应数据用于所述目标主机应答请求服务;
从所述请求数据和所述第二响应数据中提取所述待比对特征。
A10、根据A7所述的网络漏洞检测方法,在所述将所述待比对特征与一个以上攻击响应规则进行比对之前,还包括:
建立包含所述一个以上攻击响应规则的特征库。
A11、根据A10所述的网络漏洞检测方法,所述建立包含所述一个以上攻击响应规则的特征库包括:
创建数据库;
从一个以上第一响应数据中对应提取一个以上攻击响应特征;
对每个攻击响应特征进行确定性描述,形成一个以上攻击响应规则;
将所述一个以上攻击响应规则存储到所述数据库中,获得所述特征库。
A12、根据A10所述的网络漏洞检测方法,所述特征库包括N个子特征库,N为不小于2的整数,所述建立包含所述一个以上攻击响应规则的特征库包括:
创建N个数据库;
从两个以上第一响应数据中对应提取两个以上攻击响应特征;
对每个攻击响应特征进行确定性描述,形成两个以上攻击响应规则;
将所述两个以上攻击响应规则中属于同种攻击类型的攻击响应规则存储到相同的数据库中,获得所述子特征库。
A13、根据A12所述的网络漏洞检测方法,所述将所述待比对特征与一个以上攻击响应规则进行比对包括:
将所述待比对特征与和所述网络攻击的攻击类型对应的子特征库中一个以上攻击响应规则进行比对。
A14、根据A11或A12所述的网络漏洞检测方法,所述对每个攻击响应特征进行确定性描述包括:
采用正则表达式对每个攻击响应特征进行确定性描述。
A15、根据A11或A12所述的网络漏洞检测方法,在所述将所述待比对特征与一个以上攻击响应规则进行比对之前,还包括:
建立每个所述攻击响应规则与攻击动作之间的关联关系;
所述确定成功的网络攻击的攻击动作包括:
根据每个所述攻击响应规则与攻击动作之间的关联关系,将与所述待比对特征匹配的攻击响应规则所对应的攻击动作,确定为所述成功的网络攻击的攻击动作。
A16、根据A1所述的网络漏洞检测方法,在所述生成漏洞信息之后,还包括:
通过邮件、短信、对话框以及即时通信中的一种或多种组合将所述漏洞信息发送给网络管理人员。
A17、根据A16所述的网络漏洞检测方法,在所述通过邮件、短信、对话框以及即时通信中的一种或多种组合将所述漏洞信息发送给网络管理人员之后,还包括:
检测是否接收到漏洞修复确认请求;
若接收到所述漏洞修复确认请求,则检测所述网络漏洞是否已被修复;
若所述网络漏洞已被修复,则生成修复成功信息,其中,所述修复成功信息包括修复结果和所述网络站点的域名;
将所述修复确认信息发送至所述网络漏洞平台和/或网络管理人员。
A18、根据A17所述的网络漏洞检测方法,所述检测所述网络漏洞是否已被修复包括:
根据所述网络攻击对应的网络数据向所述目标主机发起模拟攻击;
检测所述模拟攻击是否成功;
若所述模拟攻击不成功,则判定所述网络漏洞已被修复。
本发明还公开了B 19、一种网络漏洞检测装置,包括:
第一检测模块,用于检测目标主机是否受到网络攻击并确定所述网络攻击的攻击类型;
第二检测模块,用于在所述目标主机受到所述网络攻击时,检测所述网络攻击是否成功并确定成功的网络攻击的攻击动作;
漏洞信息生成模块,用于在所述网络攻击成功时,生成漏洞信息,其中,所述漏洞信息包括存在网络漏洞的网络站点的域名、所述网络攻击的攻击类型以及所述网络攻击的攻击动作;
第一发送模块,用于将所述漏洞信息发送至网络漏洞平台。
B20、根据B19所述的网络漏洞检测装置,所述第一检测模块包括:
采集模块,用于采集所述目标主机的网络数据;
第一提取模块,用于从所述网络数据中提取待检测特征;
导入模块,用于将所述待检测特征导入预先建立的人工智能模型,通过所述人工智能模型对所述待检测特征进行归类,根据归类结果确定所述目标主机是否受到网络攻击以及所述网络攻击的攻击类型。
B21、根据B20所述的网络漏洞检测装置,所述第一提取模块包括:
第一提取单元,用于从所述网络数据中提取请求数据,其中,所述请求数据用于向所述目标主机发起请求服务;
第二提取单元,用于从所述请求数据中提取所述待检测特征。
B22、根据B20所述的网络漏洞检测装置,还包括:
模型创建模块,用于在所述将所述待检测特征导入预先建立的人工智能模型之前,建立所述人工智能模型。
B23、根据B22所述的网络漏洞检测装置,所述模型创建模块包括:
收集模块,用于收集模型训练数据;
第二提取模块,用于从所述模型训练数据中提取已知网络攻击的特征,获得攻击特征数据;
分类模块,用于对所述攻击特征数据进行分类,获得训练样本;
训练模块,用于根据所述训练样本进行模型训练,获得所述人工智能模型。
B24、根据B23所述的网络漏洞检测装置,所述训练模块为朴素贝叶斯算法模块。
B25、根据B19所述的网络漏洞检测装置,所述第二检测模块包括:
第三提取模块,用于从所述网络攻击对应的网络数据中提取待比对特征;
比对模块,用于将所述待比对特征与一个以上攻击响应规则进行比对,其中,所述攻击响应规则根据第一响应数据形成,所述第一响应数据用于受攻击主机对成功攻击请求的应答;
第一判定模块,用于在所述待比对特征与所述攻击响应规则相匹配时,判定所述网络攻击成功;
攻击动作确定模块,用于确定成功的网络攻击的攻击动作。
B26、根据B25所述的网络漏洞检测装置,所述第三提取模块包括:
第三提取单元,用于从所述网络数据中提取第二响应数据,其中,所述第二响应数据用于所述目标主机应答请求服务;
第四提取单元,用于从所述第二响应数据中提取所述待比对特征。
B27、根据B25所述的网络漏洞检测装置,所述第三提取模块包括:
第五提取单元,用于从所述网络数据中提取请求数据和第二响应数据,其中,所述请求数据用于向所述目标主机发起请求服务,所述第二响应数据用于所述目标主机应答请求服务;
第六提取单元,用于从所述请求数据和所述第二响应数据中提取所述待比对特征。
B28、根据B25所述的网络漏洞检测装置,还包括:
特征库创建模块,用于在所述将所述待比对特征与一个以上攻击响应规则进行比对之前,建立包含所述一个以上攻击响应规则的特征库。
B29、根据B28所述的网络漏洞检测装置,所述特征库创建模块包括:
数据库创建模块,用于创建数据库;
第四提取模块,用于从一个以上第一响应数据中对应提取一个以上攻击响应特征;
规则形成模块,用于对每个攻击响应特征进行确定性描述,形成一个以上攻击响应规则;
存储模块,用于将所述一个以上攻击响应规则存储到所述数据库中,获得所述特征库。
B30、根据B28所述的网络漏洞检测装置,所述特征库包括N个子特征库,N为不小于2的整数,所述特征库创建模块包括:
数据库创建模块,用于创建N个数据库;
第四提取模块,用于从两个以上第一响应数据中对应提取两个以上攻击响应特征;
规则形成模块,用于对每个攻击响应特征进行确定性描述,形成两个以上攻击响应规则;
存储模块,用于将所述两个以上攻击响应规则中属于同种攻击类型的攻击响应规则存储到相同的数据库中,获得所述子特征库。
B31、根据B30所述的网络漏洞检测装置,所述比对模块用于将所述待比对特征与和所述网络攻击的攻击类型对应的子特征库中一个以上攻击响应规则进行比对。
B32、根据B29或B30所述的网络漏洞检测装置,所述规则形成模块为正则表达式编写模块。
B33、根据B29或B30所述的网络漏洞检测装置,还包括:
关联关系创建模块,用于在所述将所述待比对特征与一个以上攻击响应规则进行比对之前,建立每个所述攻击响应规则与攻击动作之间的关联关系;
所述攻击动作确定模块用于根据每个所述攻击响应规则与攻击动作之间的关联关系,将与所述待比对特征匹配的攻击响应规则所对应的攻击动作,确定为所述成功的网络攻击的攻击动作。
B34、根据B19所述的网络漏洞检测装置,还包括:
第二发送模块,用于在生成所述漏洞信息之后,通过邮件、短信、对话框以及即时通信中的一种或多种组合将所述漏洞信息发送给网络管理人员。
B35、根据B34所述的网络漏洞检测装置,还包括:
第三检测模块,用于检测是否接收到漏洞修复确认请求;
第四检测模块,用于在接收到所述漏洞修复确认请求时,检测所述网络漏洞是否已被修复;
修复成功信息生成模块,用于在所述网络漏洞已被修复时,生成修复成功信息,其中,所述修复成功信息包括修复结果和所述网络站点的域名;
第三发送模块,用于将所述修复确认信息发送至所述网络漏洞平台和/或网络管理人员。
B36、根据B35所述的网络漏洞检测装置,所述第四检测模块包括:
模拟攻击模块,用于根据所述网络攻击对应的网络数据向所述目标主机发起模拟攻击;
第五检测模块,用于检测所述模拟攻击是否成功;
第二判定模块,用于在所述模拟攻击不成功时,判定所述网络漏洞已被修复。
本发明还公开了C 37、一种网络漏洞自动发布系统,包括B19至B36任一项所述的网络漏洞检测装置以及网络漏洞平台;
所述网络漏洞平台用于接收所述漏洞信息并进行展示。
本发明还公开了D38、一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现A1至A18任一项所述的网络漏洞检测方法。
本发明还公开了E 39、一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现A1至A18任一项所述的网络漏洞检测方法。
Claims (10)
1.一种网络漏洞检测方法,其特征在于,包括:
检测目标主机是否受到网络攻击并确定所述网络攻击的攻击类型;
若所述目标主机受到所述网络攻击,则检测所述网络攻击是否成功并确定成功的网络攻击的攻击动作;
若所述网络攻击成功,则生成漏洞信息,其中,所述漏洞信息包括存在网络漏洞的网络站点的域名、所述网络攻击的攻击类型以及所述网络攻击的攻击动作;
将所述漏洞信息发送至网络漏洞平台。
2.根据权利要求1所述的网络漏洞检测方法,其特征在于,所述检测目标主机是否受到网络攻击并确定所述网络攻击的攻击类型包括:
采集所述目标主机的网络数据;
从所述网络数据中提取待检测特征;
将所述待检测特征导入预先建立的人工智能模型,通过所述人工智能模型对所述待检测特征进行归类,根据归类结果确定所述目标主机是否受到网络攻击以及所述网络攻击的攻击类型。
3.根据权利要求2所述的网络漏洞检测方法,其特征在于,所述从所述网络数据中提取待检测特征包括:
从所述网络数据中提取请求数据,其中,所述请求数据用于向所述目标主机发起请求服务;
从所述请求数据中提取所述待检测特征。
4.根据权利要求2所述的网络漏洞检测方法,其特征在于,在所述将所述待检测特征导入预先建立的人工智能模型之前,还包括:
建立所述人工智能模型。
5.根据权利要求4所述的网络漏洞检测方法,其特征在于,所述建立所述人工智能模型包括:
收集模型训练数据;
从所述模型训练数据中提取已知网络攻击的特征,获得攻击特征数据;
对所述攻击特征数据进行分类,获得训练样本;
根据所述训练样本进行模型训练,获得所述人工智能模型。
6.根据权利要求5所述的网络漏洞检测方法,其特征在于,所述根据所述训练样本进行模型训练包括:
根据所述训练样本,采用朴素贝叶斯算法进行模型训练。
7.一种网络漏洞检测装置,其特征在于,包括:
第一检测模块,用于检测目标主机是否受到网络攻击并确定所述网络攻击的攻击类型;
第二检测模块,用于在所述目标主机受到所述网络攻击时,检测所述网络攻击是否成功并确定成功的网络攻击的攻击动作;
漏洞信息生成模块,用于在所述网络攻击成功时,生成漏洞信息,其中,所述漏洞信息包括存在网络漏洞的网络站点的域名、所述网络攻击的攻击类型以及所述网络攻击的攻击动作;
第一发送模块,用于将所述漏洞信息发送至网络漏洞平台。
8.一种网络漏洞自动发布系统,其特征在于,包括权利要求7所述的网络漏洞检测装置以及网络漏洞平台;
所述网络漏洞平台用于接收所述漏洞信息并进行展示。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至6任一项所述的网络漏洞检测方法。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至6任一项所述的网络漏洞检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810713937.1A CN108667854A (zh) | 2018-06-29 | 2018-06-29 | 网络漏洞检测方法及装置、网络漏洞自动发布系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810713937.1A CN108667854A (zh) | 2018-06-29 | 2018-06-29 | 网络漏洞检测方法及装置、网络漏洞自动发布系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108667854A true CN108667854A (zh) | 2018-10-16 |
Family
ID=63772410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810713937.1A Pending CN108667854A (zh) | 2018-06-29 | 2018-06-29 | 网络漏洞检测方法及装置、网络漏洞自动发布系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108667854A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067813A (zh) * | 2018-10-24 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 网络漏洞检测方法、装置、存储介质和计算机设备 |
| CN111385240A (zh) * | 2018-12-27 | 2020-07-07 | 北京奇虎科技有限公司 | 一种网络内设备接入的提醒方法、装置和计算设备 |
| CN111385271A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 网络攻击的检测方法、装置及系统 |
| CN111400718A (zh) * | 2020-03-06 | 2020-07-10 | 苏州浪潮智能科技有限公司 | 一种系统漏洞与攻击的检测方法、装置及其相关设备 |
| CN111435393A (zh) * | 2019-01-14 | 2020-07-21 | 北京京东尚科信息技术有限公司 | 对象漏洞的检测方法、装置、介质及电子设备 |
| CN112653651A (zh) * | 2019-10-11 | 2021-04-13 | 四川无国界信息技术有限公司 | 一种基于云计算的漏洞挖掘方法 |
| CN112839054A (zh) * | 2021-02-02 | 2021-05-25 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及介质 |
| CN113839963A (zh) * | 2021-11-25 | 2021-12-24 | 南昌首页科技发展有限公司 | 基于人工智能与大数据的网络安全漏洞智能检测方法 |
| CN114500015A (zh) * | 2022-01-14 | 2022-05-13 | 北京网藤科技有限公司 | 一种基于工业网络的态势感知系统及其控制方法 |
| CN114553525A (zh) * | 2022-02-22 | 2022-05-27 | 国网河北省电力有限公司电力科学研究院 | 基于人工智能的网络安全漏洞挖掘方法及系统 |
| CN115022054A (zh) * | 2022-06-09 | 2022-09-06 | 安天科技集团股份有限公司 | 网络攻击跳板重要度评估方法、系统、电子设备及存储介质 |
| CN115296872A (zh) * | 2022-07-26 | 2022-11-04 | 北京科能腾达信息技术股份有限公司 | 一种网络安全风险评估系统 |
| WO2023216792A1 (zh) * | 2022-05-07 | 2023-11-16 | 华为技术有限公司 | 一种检测攻击的方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102664876A (zh) * | 2012-04-10 | 2012-09-12 | 星云融创(北京)科技有限公司 | 网络安全检测方法及系统 |
| US20160028753A1 (en) * | 2014-07-23 | 2016-01-28 | Cisco Technology, Inc. | Verifying network attack detector effectiveness |
| CN105959335A (zh) * | 2016-07-19 | 2016-09-21 | 腾讯科技(深圳)有限公司 | 一种网络攻击行为检测方法及相关装置 |
| CN106657096A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | Web漏洞检测方法、装置及系统 |
| CN107483458A (zh) * | 2017-08-29 | 2017-12-15 | 杭州迪普科技股份有限公司 | 网络攻击的识别方法及装置、计算机可读存储介质 |
| CN107659583A (zh) * | 2017-10-27 | 2018-02-02 | 深信服科技股份有限公司 | 一种检测事中攻击的方法及系统 |
-
2018
- 2018-06-29 CN CN201810713937.1A patent/CN108667854A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102664876A (zh) * | 2012-04-10 | 2012-09-12 | 星云融创(北京)科技有限公司 | 网络安全检测方法及系统 |
| US20160028753A1 (en) * | 2014-07-23 | 2016-01-28 | Cisco Technology, Inc. | Verifying network attack detector effectiveness |
| CN105959335A (zh) * | 2016-07-19 | 2016-09-21 | 腾讯科技(深圳)有限公司 | 一种网络攻击行为检测方法及相关装置 |
| CN106657096A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | Web漏洞检测方法、装置及系统 |
| CN107483458A (zh) * | 2017-08-29 | 2017-12-15 | 杭州迪普科技股份有限公司 | 网络攻击的识别方法及装置、计算机可读存储介质 |
| CN107659583A (zh) * | 2017-10-27 | 2018-02-02 | 深信服科技股份有限公司 | 一种检测事中攻击的方法及系统 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067813B (zh) * | 2018-10-24 | 2020-11-20 | 腾讯科技(深圳)有限公司 | 网络漏洞检测方法、装置、存储介质和计算机设备 |
| CN109067813A (zh) * | 2018-10-24 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 网络漏洞检测方法、装置、存储介质和计算机设备 |
| CN111385240A (zh) * | 2018-12-27 | 2020-07-07 | 北京奇虎科技有限公司 | 一种网络内设备接入的提醒方法、装置和计算设备 |
| CN111385271A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 网络攻击的检测方法、装置及系统 |
| CN111435393A (zh) * | 2019-01-14 | 2020-07-21 | 北京京东尚科信息技术有限公司 | 对象漏洞的检测方法、装置、介质及电子设备 |
| CN111435393B (zh) * | 2019-01-14 | 2024-04-16 | 北京京东尚科信息技术有限公司 | 对象漏洞的检测方法、装置、介质及电子设备 |
| CN112653651A (zh) * | 2019-10-11 | 2021-04-13 | 四川无国界信息技术有限公司 | 一种基于云计算的漏洞挖掘方法 |
| CN111400718B (zh) * | 2020-03-06 | 2022-07-15 | 苏州浪潮智能科技有限公司 | 一种系统漏洞与攻击的检测方法、装置及其相关设备 |
| CN111400718A (zh) * | 2020-03-06 | 2020-07-10 | 苏州浪潮智能科技有限公司 | 一种系统漏洞与攻击的检测方法、装置及其相关设备 |
| CN112839054A (zh) * | 2021-02-02 | 2021-05-25 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及介质 |
| CN113839963A (zh) * | 2021-11-25 | 2021-12-24 | 南昌首页科技发展有限公司 | 基于人工智能与大数据的网络安全漏洞智能检测方法 |
| CN114500015B (zh) * | 2022-01-14 | 2024-02-27 | 北京网藤科技有限公司 | 一种基于工业网络的态势感知系统及其控制方法 |
| CN114500015A (zh) * | 2022-01-14 | 2022-05-13 | 北京网藤科技有限公司 | 一种基于工业网络的态势感知系统及其控制方法 |
| CN114553525A (zh) * | 2022-02-22 | 2022-05-27 | 国网河北省电力有限公司电力科学研究院 | 基于人工智能的网络安全漏洞挖掘方法及系统 |
| WO2023216792A1 (zh) * | 2022-05-07 | 2023-11-16 | 华为技术有限公司 | 一种检测攻击的方法及装置 |
| CN115022054A (zh) * | 2022-06-09 | 2022-09-06 | 安天科技集团股份有限公司 | 网络攻击跳板重要度评估方法、系统、电子设备及存储介质 |
| CN115022054B (zh) * | 2022-06-09 | 2024-04-30 | 安天科技集团股份有限公司 | 网络攻击跳板重要度评估方法、系统、电子设备及存储介质 |
| CN115296872A (zh) * | 2022-07-26 | 2022-11-04 | 北京科能腾达信息技术股份有限公司 | 一种网络安全风险评估系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108667854A (zh) | 网络漏洞检测方法及装置、网络漏洞自动发布系统 | |
| CN108471429A (zh) | 一种网络攻击告警方法及系统 | |
| CN108683687A (zh) | 一种网络攻击识别方法及系统 | |
| CN108833186A (zh) | 一种网络攻击预测方法及装置 | |
| CN108881263A (zh) | 一种网络攻击结果检测方法及系统 | |
| CN108881265A (zh) | 一种基于人工智能的网络攻击检测方法及系统 | |
| CN108833185A (zh) | 一种网络攻击路线还原方法及系统 | |
| CN107566358A (zh) | 一种风险预警提示方法、装置、介质及设备 | |
| CN108366045B (zh) | 一种风控评分卡的设置方法和装置 | |
| CN109635872A (zh) | 身份识别方法、电子设备及计算机程序产品 | |
| CN106549974A (zh) | 预测社交网络账户是否恶意的设备、方法及系统 | |
| CN111435507A (zh) | 广告反作弊方法、装置、电子设备及可读存储介质 | |
| CN103875015A (zh) | 利用用户行为的多因子身份指纹采集 | |
| CN103685307A (zh) | 基于特征库检测钓鱼欺诈网页的方法及系统、客户端、服务器 | |
| CN107392022A (zh) | 爬虫识别、处理方法及相关装置 | |
| CN105824805B (zh) | 一种识别方法及装置 | |
| CN112733045B (zh) | 用户行为的分析方法、装置及电子设备 | |
| CN113763057A (zh) | 用户身份画像的数据处理方法和装置 | |
| CN111709603A (zh) | 基于风控的服务请求处理方法、装置及系统 | |
| CN110278201A (zh) | 安全策略评价方法及装置、计算机可读介质和电子设备 | |
| CN112749973A (zh) | 一种权限管理方法、装置和计算机可读存储介质 | |
| CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
| CN114785710A (zh) | 一种工业互联网标识解析二级节点服务能力的评估方法及系统 | |
| CN109544179B (zh) | 基于重要产品追溯数据服务的运行支撑系统 | |
| CN113923011B (zh) | 一种网络诈骗的预警方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181016 |