CN112491917A - 一种物联网设备未知漏洞识别方法及装置 - Google Patents

一种物联网设备未知漏洞识别方法及装置 Download PDF

Info

Publication number
CN112491917A
CN112491917A CN202011418259.XA CN202011418259A CN112491917A CN 112491917 A CN112491917 A CN 112491917A CN 202011418259 A CN202011418259 A CN 202011418259A CN 112491917 A CN112491917 A CN 112491917A
Authority
CN
China
Prior art keywords
data
attack
vulnerability
nday
flow characteristic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011418259.XA
Other languages
English (en)
Other versions
CN112491917B (zh
Inventor
杜雄杰
姜栋
杨清百
王大浩
夏天
刘波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuding Safety Technology Wuhan Co ltd
Original Assignee
Wuding Safety Technology Wuhan Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuding Safety Technology Wuhan Co ltd filed Critical Wuding Safety Technology Wuhan Co ltd
Priority to CN202011418259.XA priority Critical patent/CN112491917B/zh
Publication of CN112491917A publication Critical patent/CN112491917A/zh
Application granted granted Critical
Publication of CN112491917B publication Critical patent/CN112491917B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/40Transformation of program code
    • G06F8/41Compilation
    • G06F8/42Syntactic analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/40Transformation of program code
    • G06F8/41Compilation
    • G06F8/42Syntactic analysis
    • G06F8/425Lexical analysis
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出一种物联网设备未知漏洞识别方法及装置,包括:在流量监测服务器端捕获网络流量,并对流量数据进行HTTP协议解析并保存原始数据包;将所述流量特征数据与已知的IoT设备漏洞特征进行匹配,如果跟所有已知漏洞特征匹配均不成功,则对所述流量特征数据进行语法分析,转换成语法树;检测生成的语法树是否合法,如果语法检测合法,则对符合语法规则的数据进行威胁程度分析;获取所述记号流数据对应的原始数据包,利用数据重放的方式对所述原始数据包进行攻击验证;按照流量特征数据中的URL前缀进行分类,通过搜索引擎接口在互联网上搜索所述URL前缀,最后将捕获到的0day漏洞的相关数据信息进行保存显示。

Description

一种物联网设备未知漏洞识别方法及装置
技术领域
本发明涉及信息安全技术领域,尤其涉及一种物联网设备未知漏洞识别方法及装置。
背景技术
物联网(Internet of Things,简称IoT)是一个基于互联网、传统电信网等信息承载体,让所有能够被独立寻址的普通物理对象实现互联互通的网络。随着5G时代的到来,越来越多的设备会连接网络,物联网设备数量将迎来井喷式增长,物联网设备的安全性正在面临前所未有的安全威胁。
未知漏洞,也称0day漏洞或零日漏洞,泛指那些在互联网中客观存在的,并且已经被部分黑客发现,目前还没有公开过的漏洞。未知漏洞常常被用于高级持续渗透攻击,由于未知漏洞尚处于未被公开的状态,因而也没有相应的第三方或官方补丁程序去修补漏洞,往往会给系统安全带来很大的风险。
因此,市场急需一种能够主动识别出物联网系统中的设备未知漏洞的方法,从而在一定程度上降低系统安全的风险。
发明内容
本发明的主要目的在于提出一种物联网设备未知漏洞识别方法,旨在一定程度上识别出物联网系统中设备位置漏洞,提高系统安全性。
为实现上述目的,本发明提供的一种物联网设备未知漏洞识别方法,该方法包括以下步骤:
步骤S1. 在流量监测服务器端捕获网络流量,并对流量数据进行HTTP协议解析,提取HTTP头部字段、Body体内容和URL前缀,从而得到流量特征数据,并保存原始数据包;
其中,所述URL前缀包括去除域名的资源路径和参数名。
步骤S2. 将所述流量特征数据与已知的IoT设备漏洞特征进行匹配,如果匹配成功,说明该数据为Nday漏洞攻击,因而不符合未知漏洞攻击特点;如果跟所有已知漏洞特征匹配均不成功,则进入S3。
步骤S3. 对所述流量特征数据进行语法分析,输入SHELL词法分析器flex,将流量特征数据转变成记号流数据。其中,所述记号流数据包括流量特征数据中的多个记号,并且每个记号都有对应的值和类型。
S4. 对记号流数据开展语法分析,将记号流数据转换成语法树:
S5.根据shell语法规则,检测生成的语法树是否合法,如果不符合语法规则的数据,则跳过该条数据,如果语法检测合法,则进入S6。
S6. 对符合语法规则的数据进行威胁程度分析,将捕获的数据与攻击模板数据库中的攻击模板进行匹配,根据匹配到的模板计算得到当前记号流数据的威胁值,将当前记号流数据的威胁值与预设阈值进行比较,如果所述威胁值低于预设阈值,则对当前记号流数据进行舍弃,如果所述预设值不低于预设阈值,则进入步骤S7。
S7. 获取所述记号流数据对应的原始数据包,利用数据重放的方式对所述原始数据包进行攻击验证,将所述原始数据包的注入命令中的攻击目的地址替换成系统内验证服务器的地址,并重放该数据,通过在所述验证服务器上查看连接请求来判断重放是否成功,如果有连接则说明重放成功,则进入S8。
S8. 按照流量特征数据中的URL前缀进行分类,通过搜索引擎接口在互联网上搜索所述URL前缀,如果能搜索到对应的Nday漏洞,则可以判定所述流量特征数据属于Nday漏洞的攻击数据,此时,将该流量特征数据更新存入Nday规则库,如果检索不到,则表明成功捕获到0day漏洞的攻击数据,最后将该0day漏洞的相关数据信息进行保存显示。
其中,在步骤S1前,还包括构建Nday规则库和攻击模板数据库;
其中,Nday规则库中的数据包括来自爬虫程序从互联网上采集得到的Nday漏洞的特征信息和系统运行过程中不断学习得到的已知漏洞的特征信息;
其中,攻击模板数据库中的数据来自通过用户界面由系统专家成员录入得到的攻击模板和对应的威胁值,所述攻击模板数据库中的攻击模板和威胁值实时更新调整。
本发明还包括一种物联网设备未知漏洞识别装置,该装置包括以下模块:
流量捕获模块,用于在流量监测服务器端捕获网络流量,并对流量数据进行HTTP协议解析,提取HTTP头部字段、Body体内容和URL前缀,从而得到流量特征数据,并保存原始数据包;
特征匹配模块:用于将所述流量特征数据与已知的IoT设备漏洞特征进行匹配,如果匹配成功,说明该数据为Nday漏洞攻击,因而不符合未知漏洞攻击特点;如果跟所有已知漏洞特征匹配均不成功,发送至语法分析模块;
语法分析模块:用于对所述流量特征数据进行语法分析,输入SHELL词法分析器flex,将流量特征数据转变成记号流数据;其中,所述记号流数据包括流量特征数据中的多个记号,并且每个记号都有对应的值和类型;对记号流数据开展语法分析,将记号流数据转换成语法树:根据shell语法规则,检测生成的语法树是否合法,如果不符合语法规则的数据,则跳过这条数据,如果语法检测合法,则将其发送至威胁分析模块;
威胁分析模块:用于对符合语法规则的数据进行威胁程度分析,将捕获的数据与攻击模板数据库中的攻击模板进行匹配,根据匹配到的模板计算得到当前记号流数据的威胁值,将当前记号流数据的威胁值与预设阈值进行比较,如果所述威胁值低于预设阈值,则对当前记号流数据进行舍弃,如果所述预设值不低于预设阈值,则发送至攻击验证模块;
攻击验证模块:用于获取所述记号流数据对应的原始数据包,利用数据重放的方式对所述原始数据包进行攻击验证,将所述原始数据包的注入命令中的攻击目的地址替换成系统内验证服务器的地址,并重放该数据,通过在所述验证服务器上查看连接请求来判断重放是否成功,如果有连接则说明重放成功,发送至漏洞捕获模块;
漏洞捕获模块:用于按照流量特征数据中的URL前缀进行分类,通过搜索引擎接口在互联网上搜索所述URL前缀,如果能搜索到对应的Nday漏洞,则可以判定所述流量特征数据属于Nday漏洞的攻击数据,此时,将该流量特征数据更新存入Nday规则库,如果检索不到,则表明成功捕获到0day漏洞的攻击数据,最后将该0day漏洞的相关数据信息进行保存显示。
还包括Nday规则库和攻击模板数据库。
其中,Nday规则库中的数据包括来自爬虫程序从互联网上采集得到的Nday漏洞的特征信息和系统运行过程中不断学习得到的已知漏洞的特征信息;攻击模板数据库中的数据来自通过用户界面由系统专家成员录入得到的攻击模板和对应的威胁值,所述攻击模板数据库中的攻击模板和威胁值实时更新调整。
所述URL前缀包括去除域名的资源路径和参数名。
所述记号流数据包括流量特征数据中的多个记号,并且每个记号都有对应的值和类型。
本发明的有益效果包括:(1)通过采取数据重放的方式对所述原始数据包进行攻击验证,有效识别出系统内存在的攻击行为,并将本地Nday规则库未识别出的流量特征在互联网上检索,可以有效识别出未知漏洞。(2)为了减少服务器工作量,通过构建Nday规则库和攻击模板数据库,以及对流量数据进行语法分析,可以过滤掉已知漏洞的流量特征数据、无效数据和不具有攻击威胁的流量特征数据,从而有效减少服务器负担,提高识别效率。
附图说明
图1为本发明的方法流程图。
具体实施方式
本发明提供一种物联网设备未知漏洞识别方法,该方法包括以下步骤:
步骤S1. 在流量监测服务器端捕获网络流量,并对流量数据进行HTTP协议解析,提取HTTP头部字段、Body体内容和URL前缀,从而得到流量特征数据,并保存原始数据包;
其中,所述URL前缀包括去除域名的资源路径和参数名。
在步骤S1前,还包括构建Nday规则库和攻击模板数据库;其中,Nday规则库中的数据包括来自爬虫程序从互联网上采集得到的Nday漏洞的特征信息和系统运行过程中不断学习得到的已知漏洞的特征信息;
步骤S2. 将所述流量特征数据与已知的IoT设备漏洞特征进行匹配,如果匹配成功,说明该数据为Nday漏洞攻击,因而不符合未知漏洞攻击特点;如果跟所有已知漏洞特征匹配均不成功,则进入S3。
步骤S3. 对所述流量特征数据进行语法分析,输入SHELL词法分析器flex,将流量特征数据转变成记号流数据。其中,所述记号流数据包括流量特征数据中的多个记号,并且每个记号都有对应的值和类型。
例如,对于命令“ls | cat -e”,做如下转换:ls -> WORD;| -> PIPE;cat ->WORD;-e -> WORD
S4. 对记号流数据开展语法分析,将记号流数据转换成语法树:
例如,上述命令解析后,得到如下语法树:
pipe_sequence
/ \
simple_command simple_command
| / \
cmd_name cmd_name cmd_suffix
| | |
'ls' 'cat' cmd_word
|
'-e'
S5.根据shell语法规则,检测生成的语法树是否合法,如果不符合语法规则的数据,则跳过该条数据,如果语法检测合法,则进入S6。
其中,shell语法规则可以包括:(1)pipe_sequence作为根节点,simple_command为pipe_sequence的子节点,其节点数量为一个或多个;(2)simple_command节点由一个或多个cmd_name节点和cmd_suffix 节点组成;(3)cmd_word表示WORD符号,cmd_suffix 节点由一个或多个cmd_word节点组成。
S6. 对符合语法规则的数据进行威胁程度分析,将捕获的数据与攻击模板数据库中的攻击模板进行匹配,根据匹配到的模板计算得到当前记号流数据的威胁值,将当前记号流数据的威胁值与预设阈值进行比较,如果所述威胁值低于预设阈值,则对当前记号流数据进行舍弃,如果所述预设值不低于预设阈值,则进入步骤S7。
其中,攻击模板数据库中的数据来自通过用户界面由系统专家成员录入得到的攻击模板和对应的威胁值,所述攻击模板数据库中的攻击模板和威胁值实时更新调整。例如,系统专家成员登录系统后,通过预设的界面输入或上传攻击模板,该攻击模板可以是系统专家成员根据当前信息安全研究成果分析得到的模板,不同的模板可以对应一个威胁值,该威胁值表示了该攻击模板所对应的攻击行为的潜在威胁程度的高低,该威胁值可通过采用统计学手段或机器学习算法训练得到。预设阈值用于区分威胁程度,系统专家成员或系统管理员可以根据系统运行情况进行设定。
S7. 获取所述记号流数据对应的原始数据包,利用数据重放的方式对所述原始数据包进行攻击验证,将所述原始数据包的注入命令中的攻击目的地址替换成系统内验证服务器的地址,并重放该数据,通过在所述验证服务器上查看连接请求来判断重放是否成功,如果有连接则说明重放成功,则进入S8。
在实际的系统运营中,并非所有有威胁的记号流数据都代表了攻击行为一定成功,系统流量数据中会存在大量机器人发出的尝试攻击的流量数据,通过对原始数据包中的数据进行攻击验证,可以识别出攻击成功的流量数据,从而提高识别攻击数据的效率。
S8. 按照流量特征数据中的URL前缀进行分类,通过搜索引擎接口在互联网上搜索所述URL前缀,如果能搜索到对应的Nday漏洞,则可以判定所述流量特征数据属于Nday漏洞的攻击数据,此时,将该流量特征数据更新存入Nday规则库,如果检索不到,则表明成功捕获到0day漏洞的攻击数据,最后将该0day漏洞的相关数据信息进行保存显示。
其中,URL前缀由去除域名的资源路径和参数名组成,例如,Nday漏洞CVE-2010-1586的相关URL为“http://www.example.com/red2301.htmlRedirectUrl=evil()”;则可以提取 “red2301.htmlRedirectUrl=”作为URL前缀。
捕获到的0day漏洞相关数据可以标识出漏洞发生的位置、攻击方式等信息,通过分析该数据可以有效提高对系统中的设备未知漏洞的识别,并为下一步修复漏洞打下基础。
本发明还包括一种物联网设备未知漏洞识别装置,该装置包括以下模块:
流量捕获模块,用于在流量监测服务器端捕获网络流量,并对流量数据进行HTTP协议解析,提取HTTP头部字段、Body体内容和URL前缀,从而得到流量特征数据,并保存原始数据包;
特征匹配模块:用于将所述流量特征数据与已知的IoT设备漏洞特征进行匹配,如果匹配成功,说明该数据为Nday漏洞攻击,因而不符合未知漏洞攻击特点;如果跟所有已知漏洞特征匹配均不成功,发送至语法分析模块;
语法分析模块:用于对所述流量特征数据进行语法分析,输入SHELL词法分析器flex,将流量特征数据转变成记号流数据;其中,所述记号流数据包括流量特征数据中的多个记号,并且每个记号都有对应的值和类型;对记号流数据开展语法分析,将记号流数据转换成语法树:根据shell语法规则,检测生成的语法树是否合法,如果不符合语法规则的数据,则跳过这条数据,如果语法检测合法,则将其发送至威胁分析模块;
威胁分析模块:用于对符合语法规则的数据进行威胁程度分析,将捕获的数据与攻击模板数据库中的攻击模板进行匹配,根据匹配到的模板计算得到当前记号流数据的威胁值,将当前记号流数据的威胁值与预设阈值进行比较,如果所述威胁值低于预设阈值,则对当前记号流数据进行舍弃,如果所述预设值不低于预设阈值,则发送至攻击验证模块;
攻击验证模块:用于获取所述记号流数据对应的原始数据包,利用数据重放的方式对所述原始数据包进行攻击验证,将所述原始数据包的注入命令中的攻击目的地址替换成系统内验证服务器的地址,并重放该数据,通过在所述验证服务器上查看连接请求来判断重放是否成功,如果有连接则说明重放成功,发送至漏洞捕获模块;
漏洞捕获模块:用于按照流量特征数据中的URL前缀进行分类,通过搜索引擎接口在互联网上搜索所述URL前缀,如果能搜索到对应的Nday漏洞,则可以判定所述流量特征数据属于Nday漏洞的攻击数据,此时,将该流量特征数据更新存入Nday规则库,如果检索不到,则表明成功捕获到0day漏洞的攻击数据,最后将该0day漏洞的相关数据信息进行保存显示。
还包括Nday规则库和攻击模板数据库。
其中,Nday规则库中的数据包括来自爬虫程序从互联网上采集得到的Nday漏洞的特征信息和系统运行过程中不断学习得到的已知漏洞的特征信息;攻击模板数据库中的数据来自通过用户界面由系统专家成员录入得到的攻击模板和对应的威胁值,所述攻击模板数据库中的攻击模板和威胁值实时更新调整。
所述URL前缀包括去除域名的资源路径和参数名。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。

Claims (10)

1.一种物联网设备未知漏洞识别方法,该方法包括以下步骤:
步骤S1:在流量监测服务器端捕获网络流量,并对流量数据进行HTTP协议解析,提取HTTP头部字段、Body体内容和URL前缀,从而得到流量特征数据,并保存原始数据包;
步骤S2:将所述流量特征数据与已知的IoT设备漏洞特征进行匹配,如果匹配成功,说明该数据为Nday漏洞攻击,因而不符合未知漏洞攻击特点;如果跟所有已知漏洞特征匹配均不成功,则进入步骤S3;
步骤S3:对所述流量特征数据进行语法分析,输入SHELL词法分析器flex,将流量特征数据转变成记号流数据;其中,所述记号流数据包括流量特征数据中的多个记号,并且每个记号都有对应的值和类型;
步骤S4:对记号流数据开展语法分析,将记号流数据转换成语法树:
步骤S5:根据shell语法规则,检测生成的语法树是否合法,如果不符合语法规则的数据,则跳过这条数据,如果语法检测合法,则进入步骤S6;
步骤S6:对符合语法规则的数据进行威胁程度分析,将捕获的数据与攻击模板数据库中的攻击模板进行匹配,根据匹配到的模板计算得到当前记号流数据的威胁值,将当前记号流数据的威胁值与预设阈值进行比较,如果所述威胁值低于预设阈值,则对当前记号流数据进行舍弃,如果所述预设值不低于预设阈值,则进入步骤S7;
步骤S7:获取所述记号流数据对应的原始数据包,利用数据重放的方式对所述原始数据包进行攻击验证,将所述原始数据包的注入命令中的攻击目的地址替换成系统内验证服务器的地址,并重放该数据,通过在所述验证服务器上查看连接请求来判断重放是否成功,如果有连接则说明重放成功,则进入步骤S8;
步骤S8:按照流量特征数据中的URL前缀进行分类,通过搜索引擎接口在互联网上搜索所述URL前缀,如果能搜索到对应的Nday漏洞,则可以判定所述流量特征数据属于Nday漏洞的攻击数据,此时,将该流量特征数据更新存入Nday规则库,如果检索不到,则表明成功捕获到0day漏洞的攻击数据,最后将该0day漏洞的相关数据信息进行保存显示。
2.根据权利要求1所述的方法,其特征在于:其中,在步骤S1前,还包括构建Nday规则库和攻击模板数据库。
3.根据权利要求2所述的方法,其特征在于:其中,Nday规则库中的数据包括来自爬虫程序从互联网上采集得到的Nday漏洞的特征信息和系统运行过程中不断学习得到的已知漏洞的特征信息;攻击模板数据库中的数据来自通过用户界面由系统专家成员录入得到的攻击模板和对应的威胁值,所述攻击模板数据库中的攻击模板和威胁值实时更新调整。
4.根据权利要求1所述的方法,其特征在于:所述URL前缀包括去除域名的资源路径和参数名。
5.根据权利要求1所述的方法,其特征在于:所述记号流数据包括流量特征数据中的多个记号,并且每个记号都有对应的值和类型。
6.一种物联网设备未知漏洞识别装置,该装置包括以下模块:
流量捕获模块,用于在流量监测服务器端捕获网络流量,并对流量数据进行HTTP协议解析,提取HTTP头部字段、Body体内容和URL前缀,从而得到流量特征数据,并保存原始数据包;
特征匹配模块:用于将所述流量特征数据与已知的IoT设备漏洞特征进行匹配,如果匹配成功,说明该数据为Nday漏洞攻击,因而不符合未知漏洞攻击特点;如果跟所有已知漏洞特征匹配均不成功,发送至语法分析模块;
语法分析模块:用于对所述流量特征数据进行语法分析,输入SHELL词法分析器flex,将流量特征数据转变成记号流数据;其中,所述记号流数据包括流量特征数据中的多个记号,并且每个记号都有对应的值和类型;对记号流数据开展语法分析,将记号流数据转换成语法树:根据shell语法规则,检测生成的语法树是否合法,如果不符合语法规则的数据,则跳过这条数据,如果语法检测合法,则将其发送至威胁分析模块;
威胁分析模块:用于对符合语法规则的数据进行威胁程度分析,将捕获的数据与攻击模板数据库中的攻击模板进行匹配,根据匹配到的模板计算得到当前记号流数据的威胁值,将当前记号流数据的威胁值与预设阈值进行比较,如果所述威胁值低于预设阈值,则对当前记号流数据进行舍弃,如果所述预设值不低于预设阈值,则发送至攻击验证模块;
攻击验证模块:用于获取所述记号流数据对应的原始数据包,利用数据重放的方式对所述原始数据包进行攻击验证,将所述原始数据包的注入命令中的攻击目的地址替换成系统内验证服务器的地址,并重放该数据,通过在所述验证服务器上查看连接请求来判断重放是否成功,如果有连接则说明重放成功,发送至漏洞捕获模块;
漏洞捕获模块:用于按照流量特征数据中的URL前缀进行分类,通过搜索引擎接口在互联网上搜索所述URL前缀,如果能搜索到对应的Nday漏洞,则可以判定所述流量特征数据属于Nday漏洞的攻击数据,此时,将该流量特征数据更新存入Nday规则库,如果检索不到,则表明成功捕获到0day漏洞的攻击数据,最后将该0day漏洞的相关数据信息进行保存显示。
7.根据权利要求6所述的装置,其特征在于:还包括Nday规则库和攻击模板数据库。
8.根据权利要求7所述的装置,其特征在于:其中,Nday规则库中的数据包括来自爬虫程序从互联网上采集得到的Nday漏洞的特征信息和系统运行过程中不断学习得到的已知漏洞的特征信息;攻击模板数据库中的数据来自通过用户界面由系统专家成员录入得到的攻击模板和对应的威胁值,所述攻击模板数据库中的攻击模板和威胁值实时更新调整。
9.根据权利要求6所述的装置,其特征在于:所述URL前缀包括去除域名的资源路径和参数名。
10.根据权利要求6所述的装置,其特征在于:所述记号流数据包括流量特征数据中的多个记号,并且每个记号都有对应的值和类型。
CN202011418259.XA 2020-12-08 2020-12-08 一种物联网设备未知漏洞识别方法及装置 Active CN112491917B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011418259.XA CN112491917B (zh) 2020-12-08 2020-12-08 一种物联网设备未知漏洞识别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011418259.XA CN112491917B (zh) 2020-12-08 2020-12-08 一种物联网设备未知漏洞识别方法及装置

Publications (2)

Publication Number Publication Date
CN112491917A true CN112491917A (zh) 2021-03-12
CN112491917B CN112491917B (zh) 2021-05-28

Family

ID=74940265

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011418259.XA Active CN112491917B (zh) 2020-12-08 2020-12-08 一种物联网设备未知漏洞识别方法及装置

Country Status (1)

Country Link
CN (1) CN112491917B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024761A (zh) * 2021-11-10 2022-02-08 中国工商银行股份有限公司 网络威胁数据的检测方法、装置、存储介质及电子设备
CN114884686A (zh) * 2022-03-17 2022-08-09 新华三信息安全技术有限公司 一种php威胁识别方法及装置
CN115102734A (zh) * 2022-06-14 2022-09-23 北京网藤科技有限公司 一种基于数据流量的漏洞识别系统及其识别方法
WO2023184303A1 (zh) * 2022-03-31 2023-10-05 华为技术有限公司 一种安全检测方法、装置和车辆
CN117725597A (zh) * 2024-02-06 2024-03-19 南京众智维信息科技有限公司 一种基于时空记忆网络的漏洞威胁预测方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014026220A1 (en) * 2012-08-13 2014-02-20 Mts Consulting Pty Limited Analysis of time series data
CN103986706A (zh) * 2014-05-14 2014-08-13 浪潮电子信息产业股份有限公司 一种应对apt攻击的安全架构设计方法
CN105141604A (zh) * 2015-08-19 2015-12-09 国家电网公司 一种基于可信业务流的网络安全威胁检测方法及系统
CN106341407A (zh) * 2016-09-19 2017-01-18 成都知道创宇信息技术有限公司 基于网站画像的异常访问日志挖掘方法及装置
CN106487813A (zh) * 2016-12-13 2017-03-08 北京匡恩网络科技有限责任公司 工控网络安全检测系统及检测方法
US10015194B1 (en) * 2017-01-05 2018-07-03 Votiro Cybersec Ltd. System and method for protecting systems from malicious attacks
CN109088772A (zh) * 2018-08-23 2018-12-25 国网重庆市电力公司电力科学研究院 一种基于工控协议的配电网设备未知漏洞挖掘方法
US20190199747A1 (en) * 2013-09-11 2019-06-27 NSS Labs, Inc. Malware and exploit campaign detection system and method
CN110659494A (zh) * 2019-09-27 2020-01-07 重庆邮电大学 一种可扩展的智能合约漏洞检测方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014026220A1 (en) * 2012-08-13 2014-02-20 Mts Consulting Pty Limited Analysis of time series data
US20190199747A1 (en) * 2013-09-11 2019-06-27 NSS Labs, Inc. Malware and exploit campaign detection system and method
CN103986706A (zh) * 2014-05-14 2014-08-13 浪潮电子信息产业股份有限公司 一种应对apt攻击的安全架构设计方法
CN105141604A (zh) * 2015-08-19 2015-12-09 国家电网公司 一种基于可信业务流的网络安全威胁检测方法及系统
CN106341407A (zh) * 2016-09-19 2017-01-18 成都知道创宇信息技术有限公司 基于网站画像的异常访问日志挖掘方法及装置
CN106487813A (zh) * 2016-12-13 2017-03-08 北京匡恩网络科技有限责任公司 工控网络安全检测系统及检测方法
US10015194B1 (en) * 2017-01-05 2018-07-03 Votiro Cybersec Ltd. System and method for protecting systems from malicious attacks
CN109088772A (zh) * 2018-08-23 2018-12-25 国网重庆市电力公司电力科学研究院 一种基于工控协议的配电网设备未知漏洞挖掘方法
CN110659494A (zh) * 2019-09-27 2020-01-07 重庆邮电大学 一种可扩展的智能合约漏洞检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王东: "基于模糊测试的IoT设备漏洞挖掘方法研究", 《中国博士学位论文全文数据库 信息科技辑(2020)》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024761A (zh) * 2021-11-10 2022-02-08 中国工商银行股份有限公司 网络威胁数据的检测方法、装置、存储介质及电子设备
CN114024761B (zh) * 2021-11-10 2023-11-03 中国工商银行股份有限公司 网络威胁数据的检测方法、装置、存储介质及电子设备
CN114884686A (zh) * 2022-03-17 2022-08-09 新华三信息安全技术有限公司 一种php威胁识别方法及装置
CN114884686B (zh) * 2022-03-17 2024-03-08 新华三信息安全技术有限公司 一种php威胁识别方法及装置
WO2023184303A1 (zh) * 2022-03-31 2023-10-05 华为技术有限公司 一种安全检测方法、装置和车辆
CN115102734A (zh) * 2022-06-14 2022-09-23 北京网藤科技有限公司 一种基于数据流量的漏洞识别系统及其识别方法
CN115102734B (zh) * 2022-06-14 2024-02-20 北京网藤科技有限公司 一种基于数据流量的漏洞识别系统及其识别方法
CN117725597A (zh) * 2024-02-06 2024-03-19 南京众智维信息科技有限公司 一种基于时空记忆网络的漏洞威胁预测方法
CN117725597B (zh) * 2024-02-06 2024-04-26 南京众智维信息科技有限公司 一种基于时空记忆网络的漏洞威胁预测方法

Also Published As

Publication number Publication date
CN112491917B (zh) 2021-05-28

Similar Documents

Publication Publication Date Title
CN112491917B (zh) 一种物联网设备未知漏洞识别方法及装置
CN106357618B (zh) 一种Web异常检测方法和装置
CN107665191B (zh) 一种基于扩展前缀树的私有协议报文格式推断方法
CN109063745B (zh) 一种基于决策树的网络设备类型识别方法及系统
Antunes et al. Reverse engineering of protocols from network traces
CN112437016B (zh) 网络流量识别方法、装置、设备及计算机存储介质
CN104618132B (zh) 一种应用程序识别规则生成方法和装置
CN109194677A (zh) 一种sql注入攻击检测方法、装置及设备
CN113452672B (zh) 基于协议逆向分析的电力物联网终端流量异常分析方法
CN110868409A (zh) 一种基于tcp/ip协议栈指纹的操作系统被动识别方法及系统
CN112989348B (zh) 攻击检测方法、模型训练方法、装置、服务器及存储介质
CN113949582B (zh) 一种网络资产的识别方法、装置、电子设备及存储介质
CN114826671B (zh) 一种基于指纹的分层匹配的网络资产识别方法及装置
CN103324886B (zh) 一种网络攻击检测中指纹库的提取方法和系统
CN111245784A (zh) 多维度检测恶意域名的方法
CN110020161B (zh) 数据处理方法、日志处理方法和终端
CN113923003A (zh) 一种攻击者画像生成方法、系统、设备以及介质
CN114168968A (zh) 一种基于物联网设备指纹的漏洞挖掘方法
CN115080756A (zh) 一种面向威胁情报图谱的攻防行为和时空信息抽取方法
CN107209834A (zh) 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序
CN111291078B (zh) 一种域名匹配检测方法及装置
CN117332095A (zh) 一种基于资产探测的网络空间知识图谱构建方法
CN116192527A (zh) 攻击流量检测规则生成方法、装置、设备及存储介质
CN106982147B (zh) 一种Web通讯应用的通讯监控方法和装置
CN111447169B (zh) 一种在网关上的实时恶意网页识别方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant