CN110912890B - 一种面向内网的漏洞攻击检测系统 - Google Patents

一种面向内网的漏洞攻击检测系统 Download PDF

Info

Publication number
CN110912890B
CN110912890B CN201911155283.6A CN201911155283A CN110912890B CN 110912890 B CN110912890 B CN 110912890B CN 201911155283 A CN201911155283 A CN 201911155283A CN 110912890 B CN110912890 B CN 110912890B
Authority
CN
China
Prior art keywords
vulnerability
poc
data
detection
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911155283.6A
Other languages
English (en)
Other versions
CN110912890A (zh
Inventor
邹福泰
沈倩颖
张晴钊
薛广涛
齐开悦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Jiaotong University
Original Assignee
Shanghai Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Jiaotong University filed Critical Shanghai Jiaotong University
Priority to CN201911155283.6A priority Critical patent/CN110912890B/zh
Publication of CN110912890A publication Critical patent/CN110912890A/zh
Application granted granted Critical
Publication of CN110912890B publication Critical patent/CN110912890B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Quality & Reliability (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种面向内网的漏洞攻击检测系统,包括信息搜集模块、漏洞检测模块和漏洞分析模块;信息搜集模块利用爬虫技术从互联网上拉取以PoC为主的与漏洞相关的信息,再对这些信息进行格式预处理和重组,最后存入数据库;漏洞检测模块使用搜集到的PoC资源,有优先级地对目标主机执行漏洞检测,生成检测结果报告;漏洞分析模块进行漏洞信息综合和漏洞攻击签名提取,同时筛选最高效的签名组合成IDS规则并将检测规则部署到主机上实现主动的防御。本发明设计了自动化的网络漏洞攻击数据收集、检测、防护一体化系统,显著降低了处理网络攻击的人工需求,可以达成快速及时准确的网络漏洞攻击检测,同时提供有效的防御手段。

Description

一种面向内网的漏洞攻击检测系统
技术领域
本发明涉及系统漏洞检测和防御技术领域,尤其涉及一种面向内网的漏洞攻击检测系统及方法。
背景技术
随着互联网规模的迅猛发展,大量的公司、团队或个人将网络服务部署在服务器上。尤其是云服务的发展,使得网络资源的分配更加快捷方便,个人用户即便不精通计算机网络应用技术,也可以迅速简便地搭建个人网络服务。定义上,网络服务(Web服务)代指一种软件系统,借助网络相互连接,通过网络间不同机器的交互实现特定的服务。现实生活中,最常见的形式即通过远端服务器实现用户请求。目前各种形式的网络服务规模已经成长到庞大的规模。
网络服务的大规模部署同时也吸引了频繁的网络攻击。攻击者试图通过网络漏洞等方式窃取服务器中的信息或者破坏网络服务的正常进行。网络漏洞一般由网络服务软件或者网络协议的自身不足造成,严重增加了网络攻击威胁的范围、频率及严重性。常见的针对漏洞的攻击包括应用漏洞,反序列化漏洞,数据库漏洞,web漏洞等等,他们都可能获取主机权限,进而窃取数据或造成更严重的破坏。具体的攻击方式有比如拒绝服务攻击(DOS)、SQL注入、远程代码执行等等。从2017年起,平均每年CVE增加12,000条漏洞。由于网络漏洞出现频繁、数量大且危害严重,快速准确的网络漏洞检测及防护为网络服务提供的安全保障至关重要。
在常见的网络系统中,网络入侵监测系统(Network Intrusion DetectionSystem,NIDS)和网络入侵防御系统(Network Intrusion Prevention System,NIPS)负责相关网络漏洞的检测与防御。根据不同的NIDS/NIPS类型,它们既可以通过匹配网络攻击的签名,比如流量的相关签名,来侦知漏洞攻击情报,也可以基于攻击的行为签名,比如攻击者对文件的操作,来定位网络攻击。然而,这些检测或防护手段依赖于对网络漏洞全面的了解。只有在掌握网络漏洞攻击的环境、利用条件以及攻击流程后,才有可能准确提取对应的攻击的特点或分析攻击行为。在现实的网络系统中,依赖人工对网络漏洞的完全知识掌握困难有二:首先,公开的网络漏洞信息繁杂且缺少固定格式,往往需要一定的专业水平进行人工地分析和处理。相关研究显示,由于网络上漏洞信息描述经常出现信息缺失和偏差,漏洞复现的成功率并不高。完成准确及时的漏洞处理需要较高的专业素质和较长的时间。其次,网络漏洞的披露频繁,人工的处理很难做到即时的更新或修复。频繁的更新额外地增加了人力的需求。因而,自动化的高效漏洞检测系统被业内所追求。
因此,本领域的技术人员致力于开发一种面向内网的漏洞攻击检测系统及方法,减少漏洞攻击检测及处理时人工操作带来的低效率和高误差,可以实现网络漏洞攻击信息搜集、检测、防护一体化。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是如何减少漏洞攻击检测及处理时人工操作带来的低效率和高误差,实现网络漏洞攻击信息搜集、检测、防护一体化。
为实现上述目的,本发明提供了一种面向内网的漏洞攻击检测系统,其特征在于,所述检测系统包括信息搜集模块、漏洞检测模块和漏洞分析模块;
所述信息搜集模块利用爬虫技术从互联网上拉取以PoC为主的与漏洞相关的信息,再对这些信息进行格式预处理和重组,最后存入数据库;
所述漏洞检测模块使用搜集到的PoC资源,有优先级地对目标主机执行漏洞检测,生成检测结果报告;
所述漏洞分析模块进行漏洞信息综合和漏洞攻击签名提取,同时筛选最高效的签名组合成IDS规则并将检测规则部署到主机上实现主动的防御。
进一步地,所述检测系统的输入为与漏洞相关的网页文本、PoC文件和HTTP流量;所述检测系统的输出为漏洞报告以及以所述IDS规则为表现形式的防御策略。
本发明还提供了一种面向内网的漏洞攻击检测系统的检测方法,其特征在于,所述检测方法包括以下步骤:
步骤1、数据收集和处理:获取与漏洞相关的网页数据、PoC数据、网络流量数据和靶场数据,再进行数据处理;
步骤2、漏洞检测:执行收集到的PoC,检测目标主机是否存在对应的漏洞;
步骤3、漏洞分析:实现漏洞攻击签名提取和基于流量的主动防御部署。
进一步地,所述步骤1包括以下步骤:
步骤1.1、数据收集:利用爬虫技术收集描述漏洞的网页数据、PoC数据、网络流量数据和靶场数据;
步骤1.2、数据过滤:定义好数据格式模板,并对于爬虫获取的数据按照所述模板进行清洗、分类和格式化;
步骤1.3、数据入库:将整理好的数据存入数据库,供下一步使用。
进一步地,所述步骤2包括以下步骤:
步骤2.1、选定漏洞ID后,系统首先从数据库中调出对应的PoC脚本或执行程序以及其类别,根据其类别再选取对应的执行环境和执行脚本;
步骤2.2、以docker容器的形式启动执行环境,将所述PoC脚本或执行程序以挂载的形式加载入环境;
步骤2.3、使用执行脚本间接启动PoC;
步骤2.4、重组执行脚本的统一格式输出,形成漏洞检测报告。
进一步地,所述步骤3包括以下步骤:
步骤3.1、基本特征提取:提取流量方向以及网络协议两方面特征,所述流量方向包括流入目标主机和流出目标主机,所述网络协议包括传输层至应用层的网络协议栈,标识唯一的数据包格式;通过基本特征提取,得到一系列的漏洞ID和一个或多个候选子特征的配对;
步骤3.2、关联性分析:利用关联性分析算法,计算所述漏洞ID和候选子特征之间的关联性,获取漏洞的一组候选子特征;
步骤3.3、综合排序:对关联性分析得到的候选签名,结合网页关键字信息进行排序;
步骤3.4、签名验证:对每一条候选签名进行评估,并选取最优的签名作为最终的签名提取结果;
步骤3.5、防御部署:在已经获取对应某漏洞攻击的唯一签名之后,系统将其转化为IDS规则,并部署到主机上实现基于流量的预警或过滤。
进一步地,所述步骤2还包括执行PoC时按照状态匹配、威胁等级和发布时间指标进行执行顺序排序;
所述状态匹配指标为:将PoC的执行环境要求与目标主机状态信息进行匹配,匹配程度越高执行优先级越高;所述状态信息包括操作系统版本、指定软件是否安装及对应版本、端口配置、防火墙配置、某些安全机制是否启用;
所述威胁等级指标为:漏洞的威胁等级越高,PoC执行优先级越高;
所述发布时间指标为:漏洞的发布时间越接近当前,PoC执行优先级越高。
进一步地,所述步骤1.2包括以下步骤:
步骤1.2.1、网页文本的关键信息提取:利用TF-IDF算法对文本进行关键词提取,获取包括漏洞所威胁的软件系统及版本关键词;基于这些关键词进一步进行基于语义的段落划分以及辅助漏洞签名获取;
步骤1.2.2、PoC分类:包括爬取阶段、静态文本阶段和聚类阶段;
所述爬取阶段为:在爬取时直接为采集到的PoC添加类别标签,以设置PoC类别;
所述静态文本阶段为:PoC的基本格式、编程语言平台通过简单的静态分析得到;
所述聚类阶段为:前两个阶段仍然无法分类的PoC,应用基于机器学习的无监督的聚类方法,聚类之后进行人工的检查和环境配置,或者添加一个新的PoC类别。
进一步地,所述步骤3.1中的所述基本特征提取包括HTTP流量格式和数据域分析、基于最长字符串匹配的签名抽取;其中所述HTTP流量格式和数据域分析时对HTTP报文的状态行、头部和数据分别进行分析;对于数据域取值比较长的,从取值中提取最长子字符串作为候选子特征。
进一步地,所述步骤3.4中的所述签名验证,采用漏报率、误报率、召回率和精确率指标验证提取到的漏洞攻击签名对于网络攻击检测和防御的有效性。
与现有技术相比,本发明具有以下有益效果:
综合运用网络爬虫、PoC分析、IDS技术,采用和改进了最长字符串匹配、Apriori算法等进行有效的特征提取和关联性分析,并利用了多维度的签名验证方法,能够有效地进行自动化的内网漏洞检测分析和防御策略支持。本发明设计了自动化的网络漏洞攻击数据收集、检测、防护一体化系统,显著降低了处理网络攻击的人工需求,可以达成快速及时准确的网络漏洞攻击检测,同时提供有效的防御手段,极大地降低了漏洞检测所需要的人力。
附图说明
图1是本发明的一个较佳实施例的系统总体架构图;
图2是本发明的一个较佳实施例的系统运行流程图;
图3是本发明的一个较佳实施例的爬虫运行流程图;
图4是本发明的一个较佳实施例的漏洞检测流程图。
具体实施方式
以下参考说明书附图介绍本发明的优选实施例,使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现,本发明的保护范围并非仅限于文中提到的实施例。
为了减少漏洞攻击检测及处理时人工操作带来的低效率和高误差,本发明设计了一种面向内网的漏洞攻击检测系统,可以实现网络漏洞攻击信息搜集、检测、防护一体化。
本发明提供一种面向内网的漏洞攻击检测系统,以与漏洞相关的网页文本、PoC文件以及HTTP流量等作为输入,自动化执行漏洞检测和漏洞分析,最终输出漏洞报告以及以IDS规则为表现形式的防御策略。
如图1所示,本发明的一种面向内网的漏洞攻击检测系统包括:
信息搜集模块、漏洞检测模块和漏洞分析模块等3个主要模块。信息搜集模块利用爬虫技术从互联网上拉取以PoC为主的漏洞相关的信息,再对这些信息进行格式预处理和重组,最后存入数据库。自动化信息搜集任务需要克服不同格式信息的混淆问题。本系统制定了一套标准的信息格式,统一地对各类信息资源管理,从而达到自动化提取信息的效果。
漏洞检测模块使用搜集到的PoC资源,有优先级地对目标主机进行漏洞检测,生成检测结果报告。
漏洞分析模块是本系统的核心模块,主要进行漏洞信息综合和漏洞攻击签名提取,同时筛选最高效的签名组合成IDS规则并将检测规则部署到主机上实现主动的防御。
同时,系统的输入输出如下:
(1)输入:与漏洞相关的网页文本、PoC文件以及HTTP流量。
(2)输出:漏洞报告以及以IDS规则为表现形式的防御策略。
采用本实施例的面向内网的漏洞攻击检测方法包括如下步骤:
(1)数据收集和处理,获取与漏洞相关的网页数据、PoC数据、网络流量数据和靶场数据。
(2)漏洞检测,执行收集到的PoC,检测目标主机是否存在对应的漏洞。
(3)漏洞分析,实现漏洞攻击签名提取和基于流量的主动防御部署。
图2详细描述了每个步骤的具体流程。
数据收集和处理具体执行步骤如下:
(1)数据收集。具体是指利用爬虫技术收集描述漏洞的网页数据、PoC数据、网络流量数据和靶场数据。爬虫运行流程图如图3所示。
(2)数据过滤。具体是指定义好数据格式模板,并对于爬虫获取的数据按照模板进行清洗、分类和格式化。
(3)数据入库。具体是指将整理好的数据存入数据库,供下一步使用。
其中,数据过滤包括以下步骤:
(1)网页文本的关键信息提取。具体是指利用TF-IDF算法对文本进行关键词提取,获取包括漏洞所威胁的软件系统及版本等关键词。基于这些关键词可以进一步进行基于语义的段落划分以及辅助漏洞签名获取。TF-IDF是一种文档关键字提取算法,在相同领域的文档上进行的提取效果优良,且容易实现,复杂度低。
(2)PoC分类。PoC分类通过以下方法进行:首先,爬取阶段。网络上,同一PoC数据集中的PoC往往使用相同的执行环境。在爬取时设置PoC类别即可以直接为采集到的PoC添加类别标签。接着,静态文本阶段。PoC的基本格式、编程语言平台可以通过简单的静态分析得到。比如基于Python的不同PoC框架在导入包阶段有明显不同,Pocsuite框架下一般情况会有类似frompocsuite.*import*语句,通过匹配关键字pocsuite可以迅速识别PoC框架。最后,聚类阶段。前两个阶段仍然无法分类的PoC,可以应用基于机器学习的无监督的聚类方法,聚类之后进行人工的检查和环境配置,或者添加一个新的PoC类别。
如图4所示,漏洞检测包括以下步骤:
(1)选定漏洞ID后,系统首先从数据库中调出对应的PoC脚本或执行程序以及其类别,根据其类别再选取对应的执行环境和执行脚本。
(2)启动执行环境(以docker容器的形式),将PoC脚本或执行程序以挂载的形式加载入环境。
(3)使用执行脚本间接启动PoC。
(4)重组执行脚本的统一格式输出,形成漏洞检测报告。
其中,执行PoC时按照状态匹配、威胁等级和发布时间3个指标进行执行顺序排序:
状态匹配。将PoC的执行环境要求与目标主机状态信息进行匹配,匹配程度越高执行优先级越高。这种状态信息可以包括操作系统版本、指定软件是否安装及对应版本、端口配置、防火墙配置、某些安全机制是否启用等等。
威胁等级。漏洞的威胁等级越高,PoC执行优先级越高。
发布时间。漏洞的发布时间越接近当前,PoC执行优先级越高。
漏洞分析包括以下步骤:
(1)基本特征提取。提取流量方向以及网络协议两方面特征。流量方向包括流入目标主机和流出目标主机。网络协议包括传输层至应用层的网络协议栈,标识唯一的数据包格式,如tcp.http.request。通过基本特征提取,得到一系列的漏洞ID和一个或多个候选子特征的配对。
(2)关联性分析。利用关联性分析算法,计算漏洞ID和候选子特征之间的关联性,获取漏洞的一组候选子特征。
(3)综合排序。关联性分析得到的候选签名,结合网页关键字等信息进行排序。
(4)签名验证。对每一条候选签名进行评估,并选取最优的签名最为最终的签名提取结果。
(5)防御部署。在已经获取对应某漏洞攻击的唯一签名之后,系统将其转化为IDS规则,并部署到主机上实现基于流量的预警或过滤。
其中,基本特征提取包括HTTP流量格式和数据域分析、基于最长字符串匹配的签名抽取。其中HTTP流量格式和数据域分析时对HTTP报文的状态行、头部和数据分别进行分析。对于数据域取值比较长的,比如HTTP request的URI数据和data字段,从取值中提取最长子字符串作为候选子特征。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。

Claims (4)

1.一种面向内网的漏洞攻击检测系统,其特征在于,所述检测系统包括信息搜集模块、漏洞检测模块和漏洞分析模块;
所述信息搜集模块利用爬虫技术从互联网上拉取以PoC为主的与漏洞相关的信息,再对所述信息进行格式预处理和重组,最后存入数据库;
所述漏洞检测模块使用搜集到的PoC资源,有优先级地对目标主机执行漏洞检测,生成漏洞检测报告;
所述漏洞分析模块进行漏洞信息综合和漏洞攻击签名提取,将所述漏洞攻击签名组合成IDS规则并将检测规则部署到主机上实现主动的防御;
所述检测系统的输入为与漏洞相关的网页文本、PoC文件和HTTP流量;所述检测系统的输出为漏洞检测报告以及以所述IDS规则为表现形式的防御策略;
所述面向内网的漏洞攻击检测系统的检测方法包括以下步骤:
步骤1、 数据收集和处理:获取与漏洞相关的网页数据、PoC数据、网络流量数据和靶场数据,再进行数据处理;
步骤2、 漏洞检测:执行收集到的PoC,检测目标主机是否存在对应的漏洞;
步骤3、 漏洞分析:实现漏洞攻击签名提取和基于流量的主动防御部署;
所述步骤1包括以下步骤:
步骤1.1、 数据收集:利用爬虫技术收集描述漏洞的网页数据、PoC数据、网络流量数据和靶场数据;
步骤1.2、 数据过滤:定义好数据格式模板,并对于爬虫获取的数据按照所述模板进行清洗、分类和格式化;
步骤1.3、 数据入库:将整理好的数据存入数据库,供下一步使用;
所述步骤1.2包括以下步骤:
步骤1.2.1、 网页文本的关键信息提取:利用TF-IDF算法对文本进行关键词提取,获取包括漏洞所威胁的软件系统及其版本关键词;基于所述关键词进一步进行基于语义的段落划分以及辅助漏洞签名获取;
步骤1.2.2、 PoC分类:包括爬取阶段、静态文本阶段和聚类阶段;
所述爬取阶段为:在爬取时直接为采集到的PoC添加类别标签,以设置PoC类别;
所述静态文本阶段为:PoC的基本格式、编程语言平台通过静态分析得到;
所述聚类阶段为:前两个阶段仍然无法分类的PoC,应用基于机器学习的无监督的聚类方法,聚类之后进行人工的检查和环境配置,或者添加一个新的PoC类别;
所述步骤2包括以下步骤:
步骤2.1、 选定漏洞ID后,系统首先从数据库中调出对应的PoC脚本或执行程序以及所述PoC的类别,根据所述PoC的类别再选取对应的执行环境和执行脚本;
步骤2.2、 以docker容器的形式启动执行环境,将所述PoC脚本或执行程序以挂载的形式加载入执行环境;
步骤2.3、 使用执行脚本间接启动PoC;
步骤2.4、 重组执行脚本的统一格式输出,形成漏洞检测报告;
所述步骤3包括以下步骤:
步骤3.1、 基本特征提取:提取流量方向以及网络协议两方面特征,所述流量方向包括流入目标主机和流出目标主机,所述网络协议包括传输层至应用层的网络协议栈,标识唯一的数据包格式;通过基本特征提取,得到一系列的漏洞ID和一个或多个候选子特征的配对;
步骤3.2、 关联性分析:利用关联性分析算法,计算所述漏洞ID和候选子特征之间的关联性,获取漏洞的一组候选签名;
步骤3.3、 综合排序:对关联性分析得到的所述候选签名,结合网页关键字信息进行排序;
步骤3.4、 签名提取:对每一条候选签名进行评估,并根据步骤3.3的排序结果,选择所述候选签名,作为最终的签名提取结果;
步骤3.5、 防御部署:在已经获取对应的漏洞攻击的唯一签名之后,系统将其转化为IDS规则,并部署到主机上实现基于流量的预警或过滤。
2.如权利要求1所述的面向内网的漏洞攻击检测系统,其特征在于,所述步骤2还包括执行PoC时按照状态匹配、威胁等级和发布时间指标进行执行顺序排序;
所述状态匹配指标为:将PoC的执行环境要求与目标主机状态信息进行匹配,匹配程度越高执行优先级越高;所述状态信息包括操作系统版本、指定软件是否安装及对应版本、端口配置、防火墙配置、对应的安全机制是否启用;
所述威胁等级指标为:漏洞的威胁等级越高,PoC执行优先级越高;
所述发布时间指标为:漏洞的发布时间越接近当前,PoC执行优先级越高。
3.如权利要求1所述的面向内网的漏洞攻击检测系统,其特征在于,所述步骤3.1中的所述基本特征提取包括HTTP流量格式和数据域分析、基于最长字符串匹配的签名抽取;其中所述HTTP流量格式和数据域分析时对HTTP报文的状态行、头部和数据分别进行分析;对于数据域取值比较长的,从取值中提取最长子字符串作为候选子特征。
4.如权利要求1所述的面向内网的漏洞攻击检测系统,其特征在于,所述步骤3.4中的所述签名提取,采用漏报率、误报率、召回率和精确率指标验证提取到的漏洞攻击签名对于网络攻击检测和防御的有效性。
CN201911155283.6A 2019-11-22 2019-11-22 一种面向内网的漏洞攻击检测系统 Active CN110912890B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911155283.6A CN110912890B (zh) 2019-11-22 2019-11-22 一种面向内网的漏洞攻击检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911155283.6A CN110912890B (zh) 2019-11-22 2019-11-22 一种面向内网的漏洞攻击检测系统

Publications (2)

Publication Number Publication Date
CN110912890A CN110912890A (zh) 2020-03-24
CN110912890B true CN110912890B (zh) 2021-10-22

Family

ID=69818919

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911155283.6A Active CN110912890B (zh) 2019-11-22 2019-11-22 一种面向内网的漏洞攻击检测系统

Country Status (1)

Country Link
CN (1) CN110912890B (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111611591B (zh) * 2020-05-22 2024-05-07 中国电力科学研究院有限公司 一种固件漏洞的检测方法、装置、存储介质及电子设备
CN111428248A (zh) * 2020-06-10 2020-07-17 浙江鹏信信息科技股份有限公司 一种基于等级赋分的漏洞降噪识别方法及系统
CN111865979A (zh) * 2020-07-20 2020-10-30 北京丁牛科技有限公司 一种漏洞信息处理方法及网络攻防平台
CN112202763B (zh) * 2020-09-28 2022-04-22 杭州安恒信息技术股份有限公司 一种ids策略生成方法、装置、设备及介质
CN112104674B (zh) * 2020-11-17 2021-05-11 鹏城实验室 攻击检测召回率自动测试方法、装置和存储介质
CN112818351B (zh) * 2021-01-18 2022-09-30 哈尔滨工业大学(威海) 一种面向工控系统的漏洞优先级分析方法、系统、设备及存储介质
CN113407946A (zh) * 2021-06-19 2021-09-17 西安电子科技大学 一种针对IoT设备的智能防护方法、系统
CN113761539B (zh) * 2021-08-06 2023-10-17 中国科学院软件研究所 一种鸿蒙安全漏洞防御方法和系统
CN114036365A (zh) * 2021-11-10 2022-02-11 深圳安巽科技有限公司 一种分布式网络空间搜索方法、系统及存储介质
CN114070629B (zh) * 2021-11-16 2023-10-20 南京南瑞信息通信科技有限公司 针对apt攻击的安全编排与自动化响应方法、装置及系统
CN114301784B (zh) * 2021-12-09 2024-02-09 中国国家铁路集团有限公司 网络靶场训练环境构建方法和装置、电子设备及存储介质
CN114553551B (zh) * 2022-02-24 2024-02-09 杭州迪普科技股份有限公司 对入侵防御系统进行测试的方法及装置
CN114666145B (zh) * 2022-03-30 2024-04-26 成都安恒信息技术有限公司 一种基于网络采集的安全预警方法及系统
CN115994361B (zh) * 2023-03-22 2023-05-30 北京升鑫网络科技有限公司 容器漏洞的检测方法、系统、电子设备及可读存储介质
CN116738442B (zh) * 2023-08-10 2023-12-08 北京安博通科技股份有限公司 一种防御漏洞扫描探测方法、装置、电子设备及介质
CN117216767B (zh) * 2023-09-05 2024-04-05 四川大学 一种基于图神经网络的漏洞利用攻击预测方法
CN116962081B (zh) * 2023-09-19 2023-12-12 南京聚铭网络科技有限公司 安全报警研判方法、装置及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101853277A (zh) * 2010-05-14 2010-10-06 南京信息工程大学 一种基于分类和关联分析的漏洞数据挖掘方法
CN104065645A (zh) * 2014-05-28 2014-09-24 北京知道创宇信息技术有限公司 用于防护web漏洞的方法和设备
CN106503563A (zh) * 2016-10-17 2017-03-15 成都知道创宇信息技术有限公司 基于通用框架的批量漏洞检测方法
CN106778280A (zh) * 2016-11-02 2017-05-31 北京知道未来信息技术有限公司 一种填充式远程漏洞PoC编写方法及漏洞检测方法
CN107273748A (zh) * 2017-05-23 2017-10-20 成都联宇云安科技有限公司 一种基于漏洞poc实现安卓系统漏洞检测的方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110266669B (zh) * 2019-06-06 2021-08-17 武汉大学 一种Java Web框架漏洞攻击通用检测与定位的方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101853277A (zh) * 2010-05-14 2010-10-06 南京信息工程大学 一种基于分类和关联分析的漏洞数据挖掘方法
CN104065645A (zh) * 2014-05-28 2014-09-24 北京知道创宇信息技术有限公司 用于防护web漏洞的方法和设备
CN106503563A (zh) * 2016-10-17 2017-03-15 成都知道创宇信息技术有限公司 基于通用框架的批量漏洞检测方法
CN106778280A (zh) * 2016-11-02 2017-05-31 北京知道未来信息技术有限公司 一种填充式远程漏洞PoC编写方法及漏洞检测方法
CN107273748A (zh) * 2017-05-23 2017-10-20 成都联宇云安科技有限公司 一种基于漏洞poc实现安卓系统漏洞检测的方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
"Gossip: Automatically identifying malicious domains from mailing list discussion";Huang C, Hao S, Invernizzi L, et al.;《 Proceedings of the 2017 ACM on Asia Conference on Computer and Communications Security》;20170430;第494-505页 *
"Understanding and securing device vulnerabilities through automated bug report analysis ";Feng X, Liao X, Wang X, et al.;《SEC"19: Proceedings of the 28th USENIX Conference on Security Symposium》;20190830;第887–903页 *
"基于Docker的漏洞验证框架的设计与实现";陈一鸣,寇小强,王永利;《电子技术应用》;20181106;第44卷(第11期);第99-101+106页 *
徐文涛."基于网络安全大数据靶标系统的研究与构建".《中国优秀硕士学位论文全文数据库 信息科技辑》.2019,(第01期), *
温涛."安全漏洞危害评估研究暨标准漏洞库的设计与实现".《 中国博士学位论文全文数据库 信息科技辑》.2017,(第02期), *

Also Published As

Publication number Publication date
CN110912890A (zh) 2020-03-24

Similar Documents

Publication Publication Date Title
CN110912890B (zh) 一种面向内网的漏洞攻击检测系统
US9781139B2 (en) Identifying malware communications with DGA generated domains by discriminative learning
Berlin et al. Malicious behavior detection using windows audit logs
Abdallah et al. Intrusion detection systems using supervised machine learning techniques: a survey
CN110912889B (zh) 一种基于智能化威胁情报的网络攻击检测系统和方法
Tran et al. An approach for host-based intrusion detection system design using convolutional neural network
Subba et al. A tfidfvectorizer and singular value decomposition based host intrusion detection system framework for detecting anomalous system processes
US20050144480A1 (en) Method of risk analysis in an automatic intrusion response system
CN103532760B (zh) 用于分析在各主机上执行的命令的分析设备、系统和方法
EP3539043B1 (en) Digital auditing system and method for detecting unauthorized activities on websites
Ju et al. Hetemsd: A big data analytics framework for targeted cyber‐attacks detection using heterogeneous multisource data
Zhang et al. Early detection of host-based intrusions in Linux environment
EP4111660B1 (en) Cyberattack identification in a network environment
CN117454376A (zh) 工业互联网数据安全检测响应与溯源方法及装置
Garcia et al. Web attack detection using ID3
Gupta et al. GeneMiner: a classification approach for detection of XSS attacks on web services
CN114070642A (zh) 网络安全检测方法、系统、设备及存储介质
US20240054210A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
Khalid et al. Automatic yara rule generation
Dau et al. A survey of tools and techniques for web attack detection
Irawan et al. Malware Detection and Classification Model Using Machine Learning Random Forest Approach
Venturi et al. On the feasibility of adversarial machine learning in malware and network intrusion detection
Jegede et al. Post analysis of Snort intrusion files using data mining techniques: Decision tree and Bayesian network
Konda et al. AI and IoT based Intrusion Detection System for Cybersecurity
CN116991680B (zh) 一种日志降噪方法及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant