CN112003840A - 一种基于攻击面的漏洞检测方法及系统 - Google Patents

Abstract

本发明提供一种基于攻击面的漏洞检测方法及系统，通过改造现有的攻击面分析方法，整合不同网络切片的流量，根据标识信息提取多维特征集合，送入机器学习模型检测，并根据异常特征集的类型，有针对性的溯源，解决现有攻击面分析中网络切片化的问题；溯源得到漏洞点，对漏洞传染面进行改造的形态分析，实现可在关键节点上动态部署防御策略，解决漏洞的形态分析不同于网络攻击的形态分析的问题。

Description

一种基于攻击面的漏洞检测方法及系统

技术领域

本申请涉及网络安全技术领域，尤其涉及一种基于攻击面的漏洞检测的方法及系统。

背景技术

随着网络技术的飞速发展，安全漏洞层出不穷，越来越多的网络节点，使得对漏洞的检测变得越发困难，而想要根据常规的传播路径溯源漏洞的发展，则更是极其困难的事情。

现有的攻击面分析方法可以在一定程度上解决隐蔽性、碎片化、关联性的问题，但是仍然存在网络切片化、漏洞的形态分析不同于网络攻击的形态分析等问题。急需一种针对性的基于攻击面的漏洞检测的方法及系统。

发明内容

本发明的目的在于提供一种基于攻击面的漏洞检测的方法及系统，通过改造现有的攻击面分析方法，整合不同网络切片的流量，根据标识信息提取多维特征集合，送入机器学习模型检测，并根据异常特征集的类型，有针对性的溯源，解决现有攻击面分析中网络切片化的问题；溯源得到漏洞点，对漏洞传染面进行改造的形态分析，实现可在关键节点上动态部署防御策略，解决漏洞的形态分析不同于网络攻击的形态分析的问题。

第一方面，本申请提供一种基于攻击面的漏洞检测方法，所述方法包括：

静态检测基于网络功能虚拟化的通信网络的多个第一流量，所述第一流量为属于不同网络切片的流量；

接收携带有网络切片标识的多个接入请求，根据所述网络切片标识确定待接入的网络切片对应的源节点，从所述源节点获取所述多个第一流量的前后关联信息，分别提取所述多个第一流量中携带的全部标识信息，将所述多个第一流量按照前后关联信息整合为所述第二流量；

使用不同的聚类算法，分别对应用户标识信息、业务标识信息、设备标识信息三类标识，得到多维特征集合，并根据标识类型占比的多少，动态确定所述多维特征集合对应的检测参数和规则，对特征向量加权形成多维检测样本，将所述多维检测样本送入第一机器学习模型，检测是否包括第一攻击向量；

获取数据库的历史异常数据，模拟出指定类型的网络攻击流量，所述指定类型的网络攻击流量是指携带预先构造的第二攻击向量；

将模拟的所述网络攻击流量送入第一机器学习模型，此时的第一机器学习模块作为判别器，判别所述网络攻击流量与当前网络流量之间的相似度，当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时，则认定所述第一机器学习模型能够正确识别出所模拟的网络攻击，完成训练；

当所述第一机器学习模型检测出所述多维检测样本中包括第一攻击向量时，标记所述第一攻击向量所在的特征集为异常，根据特征集的类型开始对第一攻击向量进行针对性溯源；

当所述异常的特征集是用户类型时，获取数据库的用户关系链，所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系中的一种或若干种，每一种关系下每一个人为所述用户关系链的一个节点，根据所述用户关系链扩展检测每一个节点涉及的终端、邮箱、文件、即时通信中的一种或若干种，判断是否存在安全漏洞，如果是，则标记该节点为漏洞点；

当所述异常的特征集是业务类型时，根据业务流程规定的前后关系、具体业务动作的经办人，得到业务关系链，每一个经办人、经办人名下的终端、设备、文件、即时通信为所述业务关系链的一个节点，检测每一个节点是否包括安全漏洞，如果是，则标记该节点为漏洞点；

当所述异常的特征集是设备类型时，获取设备上传输的数据流、用户使用情况、业务办理情况，得到设备关系链，每一个数据包、用户账号、业务动作作为所述设备关系链的一个节点，检测每一个节点是否包括安全漏洞，如果是，则标记该节点为漏洞点；

连接所有的漏洞点，形成完整的传染轨迹，溯源得到传染的源点，判断并行存在的多条传染轨迹之间是否存在逻辑关联，如果存在，则将并行存在的多条传染轨迹中邻近的漏洞点串联起来，形成一幅漏洞传染面；

将所述漏洞传染面的图形数据送入第二机器学习模型，对所述漏洞传染面进行形态分析，根据图形的树形结构，找出其中传染轨迹上的关键节点，所述关键节点为源点、分裂出并行的传染轨迹的节点、分裂出分支的节点、或者跨网的节点，比较所述漏洞传染面的形状和覆盖范围与数据库中历史漏洞传染面的形态数据的相似度，当相似度数值落入预设的区间内时，则认定当前所述漏洞传染面与历史某一次漏洞传染形态吻合，根据所述历史某一次漏洞传染的广度和深度，在关键节点上动态部署防御策略。

结合第一方面，在第一方面第一种可能的实现方式中，所述防御策略包括：完全隔离单个设备或用户、完全禁止单项业务、仅拒绝单个设备或用户开展指定的单项业务、仅拒绝单个设备或用户修改数据中的一种或若干种；

根据网络节点的负载情况自动部署防御策略，若关键节点负载小于预设的阈值，则直接在关键节点部署，否则，为关键节点选择负载小于阈值的邻近网络节点部署，切断关键节点向外传输的路径；

当所述邻近网络节点的负载上升大于阈值时，先判断关键节点负载是否还大于阈值，如果是，为关键节点切换到第二邻近网络节点部署策略，所述第二邻近网络节点是在关键节点潜在的传播路径上；

定期检测关键节点的负载情况，当负载稳定小于阈值时，则将部署切换回关键节点。

结合第一方面，在第一方面第二种可能的实现方式中，所述逻辑关联包括：分析所属业务是否存在关联、或业务是否相同，分析相关节点是否在潜在传播路径上，分析所属用户是否相同、或用户之间是否存在关系链。

结合第一方面，在第一方面第三种可能的实现方式中，所述机器学习模型包括神经网络模型。

第二方面，本申请提供一种基于攻击面的漏洞检测系统，所述系统包括处理器以及存储器：

所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器用于根据所述程序代码中的指令执行第一方面四种可能中任一项所述的基于攻击面的漏洞检测方法。

第三方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行第一方面四种可能中任一项所述的基于攻击面的漏洞检测方法。

第四方面，本申请提供一种包括指令的计算机程序产品，当其在计算机上运行时，使得所述计算机执行第一方面四种可能中任一项所述的基于攻击面的漏洞检测方法。

本发明提供一种基于攻击面的漏洞检测的方法及系统，通过改造现有的攻击面分析方法，整合不同网络切片的流量，根据标识信息提取多维特征集合，送入机器学习模型检测，并根据异常特征集的类型，有针对性的溯源，解决现有攻击面分析中网络切片化的问题；溯源得到漏洞点，对漏洞传染面进行改造的形态分析，实现可在关键节点上动态部署防御策略，解决漏洞的形态分析不同于网络攻击的形态分析的问题。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明基于攻击面的漏洞检测方法的大致流程图。

具体实施方式

下面结合附图对本发明的优选实施例进行详细阐述，以使本发明的优点和特征能更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。

图1为本申请提供的基于攻击面的漏洞检测方法的大致流程图，所述方法包括：

静态检测基于网络功能虚拟化的通信网络的多个第一流量，所述第一流量为属于不同网络切片的流量；

接收携带有网络切片标识的多个接入请求，根据所述网络切片标识确定待接入的网络切片对应的源节点，从所述源节点获取所述多个第一流量的前后关联信息，分别提取所述多个第一流量中携带的全部标识信息，将所述多个第一流量按照前后关联信息整合为所述第二流量；

使用不同的聚类算法，分别对应用户标识信息、业务标识信息、设备标识信息三类标识，得到多维特征集合，并根据标识类型占比的多少，动态确定所述多维特征集合对应的检测参数和规则，对特征向量加权形成多维检测样本，将所述多维检测样本送入第一机器学习模型，检测是否包括第一攻击向量；

获取数据库的历史异常数据，模拟出指定类型的网络攻击流量，所述指定类型的网络攻击流量是指携带预先构造的第二攻击向量；

将模拟的所述网络攻击流量送入第一机器学习模型，此时的第一机器学习模块作为判别器，判别所述网络攻击流量与当前网络流量之间的相似度，当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时，则认定所述第一机器学习模型能够正确识别出所模拟的网络攻击，完成训练；

当所述第一机器学习模型检测出所述多维检测样本中包括第一攻击向量时，标记所述第一攻击向量所在的特征集为异常，根据特征集的类型开始对第一攻击向量进行针对性溯源；

当所述异常的特征集是用户类型时，获取数据库的用户关系链，所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系中的一种或若干种，每一种关系下每一个人为所述用户关系链的一个节点，根据所述用户关系链扩展检测每一个节点涉及的终端、邮箱、文件、即时通信中的一种或若干种，判断是否存在安全漏洞，如果是，则标记该节点为漏洞点；

当所述异常的特征集是业务类型时，根据业务流程规定的前后关系、具体业务动作的经办人，得到业务关系链，每一个经办人、经办人名下的终端、设备、文件、即时通信为所述业务关系链的一个节点，检测每一个节点是否包括安全漏洞，如果是，则标记该节点为漏洞点；

当所述异常的特征集是设备类型时，获取设备上传输的数据流、用户使用情况、业务办理情况，得到设备关系链，每一个数据包、用户账号、业务动作作为所述设备关系链的一个节点，检测每一个节点是否包括安全漏洞，如果是，则标记该节点为漏洞点；

连接所有的漏洞点，形成完整的传染轨迹，溯源得到传染的源点，判断并行存在的多条传染轨迹之间是否存在逻辑关联，如果存在，则将并行存在的多条传染轨迹中邻近的漏洞点串联起来，形成一幅漏洞传染面；

将所述漏洞传染面的图形数据送入第二机器学习模型，对所述漏洞传染面进行形态分析，根据图形的树形结构，找出其中传染轨迹上的关键节点，所述关键节点为源点、分裂出并行的传染轨迹的节点、分裂出分支的节点、或者跨网的节点，比较所述漏洞传染面的形状和覆盖范围与数据库中历史漏洞传染面的形态数据的相似度，当相似度数值落入预设的区间内时，则认定当前所述漏洞传染面与历史某一次漏洞传染形态吻合，根据所述历史某一次漏洞传染的广度和深度，在关键节点上动态部署防御策略。

所述可视化的防御策略还包括可视化管控操作，可基于OMNet提供的事件信息和图形化结构，提供相关的实时展示接口和界面，管理员可以通过接口和界面，触控选择部署节点和部署范围，不同的防御策略可以作为某一个节点的部署选项，管理员可以选择部署选项中的某一个。

在一些优选实施例中，所述防御策略包括：完全隔离单个设备或用户、完全禁止单项业务、仅拒绝单个设备或用户开展指定的单项业务、仅拒绝单个设备或用户修改数据中的一种或若干种；

根据网络节点的负载情况自动部署防御策略，若关键节点负载小于预设的阈值，则直接在关键节点部署，否则，为关键节点选择负载小于阈值的邻近网络节点部署，切断关键节点向外传输的路径；

当所述邻近网络节点的负载上升大于阈值时，先判断关键节点负载是否还大于阈值，如果是，为关键节点切换到第二邻近网络节点部署策略，所述第二邻近网络节点是在关键节点潜在的传播路径上；

定期检测关键节点的负载情况，当负载稳定小于阈值时，则将部署切换回关键节点。

在一些优选实施例中，所述逻辑关联包括：分析所属业务是否存在关联、或业务是否相同，分析相关节点是否在潜在传播路径上，分析所属用户是否相同、或用户之间是否存在关系链。

在一些优选实施例中，所述机器学习模型包括神经网络模型。

在一些优选实施例中，形成攻击溯源图之后，还可以包括：梳理出攻击事件的发生脉络和攻击路径，具体为：

对采集的所述日志信息从时间、空间多重维度进行深度关联分析和数据挖掘，建立规则库；

将疑似攻击的溯源信息与规则库中的信息进行对比，通过传播查询和追溯查询构建溯源图，根据所述溯源图获取攻击事件的发生脉络和攻击路径。

本申请提供一种基于攻击面的漏洞检测系统，所述系统包括：所述系统包括处理器以及存储器：

所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器用于根据所述程序代码中的指令执行第一方面所有实施例中任一项所述的基于攻击面的漏洞检测方法。

本申请提供一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行第一方面所有实施例中任一项所述的基于攻击面的漏洞检测方法。

本申请提供一种包括指令的计算机程序产品，当其在计算机上运行时，使得所述计算机执行第一方面所有实施例中任一项所述的基于攻击面的漏洞检测方法

具体实现中，本发明还提供一种计算机存储介质，其中，该计算机存储介质可以存储有程序，该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称：ROM)或随机存储记忆体(简称：RAM)等。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书各个实施例之间相同相似的部分互相参见即可。尤其，对于实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (7)

1.一种基于攻击面的漏洞检测方法，其特征在于，所述方法包括：

静态检测基于网络功能虚拟化的通信网络的多个第一流量，所述第一流量为属于不同网络切片的流量；

接收携带有网络切片标识的多个接入请求，根据所述网络切片标识确定待接入的网络切片对应的源节点，从所述源节点获取所述多个第一流量的前后关联信息，分别提取所述多个第一流量中携带的全部标识信息，将所述多个第一流量按照前后关联信息整合为所述第二流量；

使用不同的聚类算法，分别对应用户标识信息、业务标识信息、设备标识信息三类标识，得到多维特征集合，并根据标识类型占比的多少，动态确定所述多维特征集合对应的检测参数和规则，对特征向量加权形成多维检测样本，将所述多维检测样本送入第一机器学习模型，检测是否包括第一攻击向量；

获取数据库的历史异常数据，模拟出指定类型的网络攻击流量，所述指定类型的网络攻击流量是指携带预先构造的第二攻击向量；

将模拟的所述网络攻击流量送入第一机器学习模型，此时的第一机器学习模块作为判别器，判别所述网络攻击流量与当前网络流量之间的相似度，当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时，则认定所述第一机器学习模型能够正确识别出所模拟的网络攻击，完成训练；

当所述第一机器学习模型检测出所述多维检测样本中包括第一攻击向量时，标记所述第一攻击向量所在的特征集为异常，根据特征集的类型开始对第一攻击向量进行针对性溯源；

当所述异常的特征集是用户类型时，获取数据库的用户关系链，所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系中的一种或若干种，每一种关系下每一个人为所述用户关系链的一个节点，根据所述用户关系链扩展检测每一个节点涉及的终端、邮箱、文件、即时通信中的一种或若干种，判断是否存在安全漏洞，如果是，则标记该节点为漏洞点；

当所述异常的特征集是业务类型时，根据业务流程规定的前后关系、具体业务动作的经办人，得到业务关系链，每一个经办人、经办人名下的终端、设备、文件、即时通信为所述业务关系链的一个节点，检测每一个节点是否包括安全漏洞，如果是，则标记该节点为漏洞点；

当所述异常的特征集是设备类型时，获取设备上传输的数据流、用户使用情况、业务办理情况，得到设备关系链，每一个数据包、用户账号、业务动作作为所述设备关系链的一个节点，检测每一个节点是否包括安全漏洞，如果是，则标记该节点为漏洞点；

连接所有的漏洞点，形成完整的传染轨迹，溯源得到传染的源点，判断并行存在的多条传染轨迹之间是否存在逻辑关联，如果存在，则将并行存在的多条传染轨迹中邻近的漏洞点串联起来，形成一幅漏洞传染面；

将所述漏洞传染面的图形数据送入第二机器学习模型，对所述漏洞传染面进行形态分析，根据图形的树形结构，找出其中传染轨迹上的关键节点，所述关键节点为源点、分裂出并行的传染轨迹的节点、分裂出分支的节点、或者跨网的节点，比较所述漏洞传染面的形状和覆盖范围与数据库中历史漏洞传染面的形态数据的相似度，当相似度数值落入预设的区间内时，则认定当前所述漏洞传染面与历史某一次漏洞传染形态吻合，根据所述历史某一次漏洞传染的广度和深度，在关键节点上动态部署防御策略。

2.根据权利要求1所述的方法，其特征在于：所述防御策略包括：完全隔离单个设备或用户、完全禁止单项业务、仅拒绝单个设备或用户开展指定的单项业务、仅拒绝单个设备或用户修改数据中的一种或若干种；

根据网络节点的负载情况自动部署防御策略，若关键节点负载小于预设的阈值，则直接在关键节点部署，否则，为关键节点选择负载小于阈值的邻近网络节点部署，切断关键节点向外传输的路径；

当所述邻近网络节点的负载上升大于阈值时，先判断关键节点负载是否还大于阈值，如果是，为关键节点切换到第二邻近网络节点部署策略，所述第二邻近网络节点是在关键节点潜在的传播路径上；

定期检测关键节点的负载情况，当负载稳定小于阈值时，则将部署切换回关键节点。

3.根据权利要求1-2任一项所述的方法，其特征在于：所述逻辑关联包括：分析所属业务是否存在关联、或业务是否相同，分析相关节点是否在潜在传播路径上，分析所属用户是否相同、或用户之间是否存在关系链。

4.根据权利要求1-3任一项所述的方法，其特征在于：其中，所述整合包括：根据按照不同的源节点将多个第一流量整合为若干个第二流量，每个第二流量对应一个源节点；或者，按照指令要求，将指定源节点的第一流量整合为一个第二流量。

5.一种基于攻击面的漏洞检测系统，其特征在于，所述系统包括处理器以及存储器：

所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器用于根据所述程序代码中的指令执行权利要求1-4任一项所述的基于攻击面的漏洞检测方法。

6.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行权利要求1-4任一项所述的基于攻击面的漏洞检测方法。

7.一种包括指令的计算机程序产品，其特征在于，当其在计算机上运行时，使得所述计算机执行权利要求1-4任一项所述的基于攻击面的漏洞检测方法。

Images