CN113472803A - 漏洞攻击状态检测方法、装置、计算机设备和存储介质 - Google Patents
漏洞攻击状态检测方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN113472803A CN113472803A CN202110790782.3A CN202110790782A CN113472803A CN 113472803 A CN113472803 A CN 113472803A CN 202110790782 A CN202110790782 A CN 202110790782A CN 113472803 A CN113472803 A CN 113472803A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- attack
- matched
- asset
- assets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及网络安全领域,特别是涉及一种漏洞攻击状态检测方法、装置、计算机设备和存储介质,包括:将待检测流量解析,获得第一解析数据,确定所述第一解析数据所对应的资产,将所述第一解析数据与基础漏洞特征库中的基础漏洞特征进行匹配,若匹配到基础漏洞特征,则基于匹配到的基础漏洞特征以及所述第一解析数据所对应的资产生成漏洞攻击告警信息。本发明通过将生成的漏洞攻击告警信息与资产相关联,从而整体提升漏洞攻击告警信息的可信度。
Description
技术领域
本申请涉及网络安全领域,特别是涉及一种漏洞攻击状态检测方法、装置、计算机设备和存储介质。
背景技术
目前在网络安全领域,主流的漏洞攻击检测方法为将所检测的流量通过旁路镜像的方式输入到攻击检测引擎,攻击检测引擎对所检测流量进行解析,并与攻击特征库进行匹配,对于匹配上的流量产生漏洞攻击告警信息,其中涉及到对于漏洞攻击结果判定的问题,一般情况,将待检测流量中的应答数据与攻击特征进行匹配,如果匹配上则说明此次漏洞攻击成功,未匹配上则说明此次攻击结果未成功。
对于目前的漏洞攻击结果判定方式,存在产生的漏洞攻击告警信息与被监测资产存在不相关的情况,导致产生的漏洞攻击结果可信度降低。
发明内容
基于此,有必要针对上述技术问题,提供一种漏洞攻击状态检测方法、装置、计算机设备和存储介质。
第一方面,本发明实施例提出一种漏洞攻击状态检测方法,包括:
将待检测流量解析,获得第一解析数据;
确定所述第一解析数据所对应的资产;
将所述第一解析数据与基础漏洞特征库中的基础漏洞特征进行匹配,若匹配到基础漏洞特征,则基于匹配到的基础漏洞特征以及所述第一解析数据所对应的资产生成漏洞攻击告警信息。
在一实施例中,还包括:
将待检测流量解析,获得第二解析数据;
确定所述第二解析数据所对应的资产;
根据所述第二解析数据所对应的资产获取指纹信息,将所述指纹信息与资产指纹识别特征库中的资产指纹特征进行匹配,若匹配到资产指纹特征,则标记第二解析数据所对应的资产;
基于所述漏洞攻击告警信息所对应的资产与所述标记的资产,确定漏洞攻击告警是否成功。
在一实施例中,所述基于所述漏洞攻击告警信息所对应的资产与所述标记的资产,确定漏洞攻击告警是否成功包括:
若所述漏洞攻击告警信息所对应的资产与所述标记的资产匹配,则将所述漏洞攻击告警信息所包含的报文信息与攻击结果检测特征库中的攻击结果特征进行匹配,若匹配到攻击结果特征,则标记漏洞攻击告警成功,若未匹配到攻击结果特征,则标记漏洞攻击告警不成功。
在一实施例中,还包括:
若所述漏洞攻击告警信息所对应的资产与所述标记的资产匹配不匹配,则提取出漏洞攻击告警信息所包含的目的IP地址,并对该目的IP地址所对应的资产进行漏洞探测,若探测出该资产不存在所述漏洞攻击告警信息相关的漏洞信息,则标记漏洞攻击结果为失败。
在一实施例中,还包括:
若探测出该资产存在所述漏洞攻击告警信息相关的漏洞信息,则将所述漏洞攻击告警信息所包含的报文信息,与攻击结果检测特征库进行匹配,若匹配到攻击结果特征,则标记漏洞攻击告警成功,若未匹配到攻击结果特征,则标记漏洞攻击告警失败。
第二方面,本发明实施例提出一种漏洞攻击状态检测装置,包括:
第一解析模块,用于将待检测流量解析,获得第一解析数据;
第一确定模块,用于确定所述第一解析数据所对应的资产;
第一检测模块,用于将所述第一解析数据与基础漏洞特征库中的基础漏洞特征进行匹配,若匹配到基础漏洞特征,则基于匹配到的基础漏洞特征以及所述第一解析数据所对应的资产生成漏洞攻击告警信息。
在一实施例中,还包括:
第二解析模块,用于将待检测流量解析,获得第二解析数据;
第二确定模块,用于确定所述第二解析数据所对应的资产;
第二检测模块,用于根据所述第二解析数据所对应的资产获取指纹信息,将所述指纹信息与资产指纹识别特征库中的资产指纹特征进行匹配,若匹配到资产指纹特征,则标记第二解析数据所对应的资产;
第四检测模块,用于基于所述漏洞攻击告警信息所对应的资产与所述标记的资产,确定漏洞攻击告警是否成功。
在一实施例中,所述第一确定模块具体用于:
若所述漏洞攻击告警信息所对应的资产与所述标记的资产匹配,则将所述漏洞攻击告警信息所包含的报文信息与攻击结果检测特征库中的攻击结果特征进行匹配,若匹配到攻击结果特征,则标记漏洞攻击告警成功,若未匹配到攻击结果特征,则标记漏洞攻击告警不成功。
第三方面,本发明实施例提出一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
将待检测流量解析,获得第一解析数据;
确定所述第一解析数据所对应的资产;
将所述第一解析数据与基础漏洞特征库中的基础漏洞特征进行匹配,若匹配到基础漏洞特征,则基于匹配到的基础漏洞特征以及所述第一解析数据所对应的资产生成漏洞攻击告警信息。
第四方面,本发明实施例提出一种计算机可读存储介质,其上存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
将待检测流量解析,获得第一解析数据;
确定所述第一解析数据所对应的资产;
将所述第一解析数据与基础漏洞特征库中的基础漏洞特征进行匹配,若匹配到基础漏洞特征,则基于匹配到的基础漏洞特征以及所述第一解析数据所对应的资产生成漏洞攻击告警信息。
上述动作方法、装置、计算机设备和存储介质,将待检测流量解析,获得第一解析数据,确定所述第一解析数据所对应的资产,将所述第一解析数据与基础漏洞特征库中的基础漏洞特征进行匹配,若匹配到基础漏洞特征,则基于匹配到的基础漏洞特征以及所述第一解析数据所对应的资产生成漏洞攻击告警信息,通过将生成的漏洞攻击告警信息与资产相关联,从而整体提升漏洞攻击告警信息的可信度。
附图说明
图1为一个实施例中漏洞攻击状态检测方法的应用环境图;
图2为一个实施例中漏洞攻击状态检测方法的流程示意图;
图3为一个实施例中漏洞攻击告警检测方法的流程示意图;
图4为一个实施例中漏洞攻击状态检测方法的整体流程示意图;
图5为一个实施例中漏洞攻击状态检测装置的结构示意图;
图6为一个实施例中一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的一种漏洞攻击状态检测方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。终端102首先将待检测流量解析,获得第一解析数据,确定所述第一解析数据所对应的资产将待检测流量解析,获得第一解析数据;确定所述第一解析数据所对应的资产;将所述第一解析数据与基础漏洞特征库中的基础漏洞特征进行匹配,若匹配到基础漏洞特征,则基于匹配到的基础漏洞特征以及所述第一解析数据所对应的资产生成漏洞攻击告警信息,终端102再将漏洞攻击告警信息发送到服务器104。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种漏洞攻击状态检测方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
S201:将待检测流量解析,获得第一解析数据。
在本实施例中,通过旁路镜像的方式将待检测流量输入到攻击检测引擎,攻击检测引擎按照协议格式将待检测流量进行解析获得第一解析数据。第一解析数据包含攻击相关的流量字符串、待检测流量的目的IP地址等。
S202:确定所述第一解析数据所对应的资产。
第一解析数据包含待检测流量的目的IP地址,根据待检测流量的目的IP地址可以确定对应的资产。
S203:将所述第一解析数据与基础漏洞特征库中的基础漏洞特征进行匹配,若匹配到基础漏洞特征,则基于匹配到的基础漏洞特征以及所述第一解析数据所对应的资产生成漏洞攻击告警信息。
基础漏洞通过搭建受影响系统并对其进行网络攻击,对攻击过程中存在的网络流量进行记录。接着通过网络流量分析工具获取到其中可以导致系统遭受攻击的字符以及字符在该协议的位置,将此类信息存储到数据库中,并附加对应的描述信息得到基础漏洞特征库。
将第一解析数据包含攻击相关的流量字符与基础漏洞特征库中的基础漏洞特征进行匹配,若匹配成功则生成漏洞攻击告警信息,若匹配不成功,则不予告警。其中,漏洞攻击告警信息中包括源IP地址、源端口、目的IP地址、目的端口、通讯协议、攻击名称、以及资产信息,报文信息等。
在本实施例中,通过将生成的漏洞攻击告警信息与资产相关联,从而整体提升漏洞攻击告警信息的可信度。
在一实施例中,如图3所示,一种漏洞攻击状态检测方法,还包括以下步骤:
S204:将待检测流量解析,获得第二解析数据。
在本实施例中,通过旁路镜像的方式将待检测流量输入到资产指纹识别模块,资产指纹识别模块通过待检测的流量进行解析获得第二解析数据。
S205:确定所述第二解析数据所对应的资产。
第二解析数据包含待检测流量的目的IP地址,根据待检测流量的目的IP地址可以确定对应的资产。
S206:根据所述第二解析数据所对应的资产获取指纹信息,将所述指纹信息与资产指纹识别特征库中的资产指纹特征进行匹配,若匹配到资产指纹特征,则标记第二解析数据所对应的资产。
根据目的IP地址可以确定其对应的资产,从而确定对应资产的指纹信息。
通过人工搭建相关系统并使用流量抓取工具分析其访问过程中存在可以确定其资产的指纹特征。获取到的指纹特征进行简单的字符编码或者将图片计算的哈希值存储到数据库中,得到资产指纹识别特征库。
将所述对应资产的指纹信息与资产指纹识别特征库中的资产指纹特征进行匹配,若匹配到资产指纹特征,则标记第二解析数据所对应的资产的名称。例如,资产指纹识别识别出目的IP地址存在weblogic Web服务系统,则标记目的IP所标识的资产名称为weblogicWeb服务系统。
S207:基于所述漏洞攻击告警信息所对应的资产与所述标记的资产,确定漏洞攻击告警是否成功。
在本实施例中,根据漏洞攻击告警信息所包含的资产名称与所述标记的对应资产的名称来判断漏洞攻击告警是否成功,从而实现漏洞攻击告警是否成功的检测。
在一实施例中,基于所述漏洞攻击告警信息所对应的资产与所述标记的资产,确定漏洞攻击告警是否成功包括以下步骤:
S301:若所述漏洞攻击告警信息所对应的资产与所述标记的资产匹配,则将所述漏洞攻击告警信息所包含的报文信息与攻击结果检测特征库中的攻击结果特征进行匹配,若匹配到攻击结果特征,则标记漏洞攻击告警成功,若未匹配到攻击结果特征,则标记漏洞攻击告警不成功。
在本实施例中,通过将所述漏洞攻击告警信息所包含的报文信息与攻击结果检测特征库中的攻击结果特征进行匹配,实现漏洞攻击告警是否成功的检测。
在一实施例中,一种漏洞攻击状态检测方法,还包括以下步骤:
S302:若所述漏洞攻击告警信息所对应的资产与所述标记的资产匹配不匹配,则提取出漏洞攻击告警信息所包含的目的IP地址,并对该目的IP地址所对应的资产进行漏洞探测,若探测出该资产不存在所述漏洞攻击告警信息相关的漏洞信息,则标记漏洞攻击结果为失败。
在本实施例中,通过对目的IP地址所对应的资产进行漏洞探测,实现漏洞攻击结果的检测。
在一实施例中,一种漏洞攻击状态检测方法,还包括以下步骤:
S303:若探测出该资产存在所述漏洞攻击告警信息相关的漏洞信息,则将所述漏洞攻击告警信息所包含的报文信息,与攻击结果检测特征库进行匹配,若匹配到攻击结果特征,则标记漏洞攻击告警成功,若未匹配到攻击结果特征,则标记漏洞攻击告警失败。
在本实施例中,通过将所述漏洞攻击告警信息所包含的报文信息,与攻击结果检测特征库进行匹配,实现漏洞攻击告警结果的检测。
结合上述实施例,一种漏洞攻击状态检测方法的整体流程如图4所示,待检测流量分别通过攻击检测引擎、资产指纹识别模块解析,并将解析结果分别经过与基础漏洞数据库和资产指纹识别数据库的匹配,生成漏洞攻击高级信息和标记资产,若所述漏洞攻击告警信息所对应的资产与所述标记的资产匹配,则将所述漏洞攻击告警信息所包含的报文信息与攻击结果检测特征库中的攻击结果特征进行匹配,若匹配到攻击结果特征,则标记漏洞攻击告警成功,若未匹配到攻击结果特征,则标记漏洞攻击告警不成功。若所述漏洞攻击告警信息所对应的资产与所述标记的资产不匹配,则提取出漏洞攻击告警信息所包含的目的IP地址,并对该目的IP地址所对应的资产进行漏洞探测,若探测出该资产不存在所述漏洞攻击告警信息相关的漏洞信息,则标记漏洞攻击结果为失败若探测出该资产存在所述漏洞攻击告警信息相关的漏洞信息,则将所述漏洞攻击告警信息所包含的报文信息,与攻击结果检测特征库进行匹配,若匹配到攻击结果特征,则标记漏洞攻击告警成功,若未匹配到攻击结果特征,则标记漏洞攻击告警失败。
在一示例实施例中,以检测shiro反序化漏洞(CVE-2016-4437)为例,方法如下:
步骤一,待检测流量中存在shiro反序列化漏洞攻击,攻击检测引擎通过解析待检测流量与基础漏洞攻击特证库进行比对,产生shiro漏洞告警信息;
步骤二,资产指纹识别模块根据流量中存在rememberme_me信息,可根据此信息识别出目的IP资产存在shiro应用,将步骤一中的告警信息与资产指纹识别模块识别出的进行比对,发现存在匹配,则进入攻击结果检测模块;
步骤三,攻击检测模块将漏洞攻击结果成功后的执行的命令回显信息例如打印网卡信息等进行比对,如匹配成功,则可标记为该漏洞攻击成功。
应该理解的是,虽然图1-4的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1-4中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图5所示,本发明提供了一种漏洞攻击状态检测装置,包括:
第一解析模块401,用于将待检测流量解析,获得第一解析数据;
第一确定模块402,用于确定所述第一解析数据所对应的资产;
第一检测模块403,用于将所述第一解析数据与基础漏洞特征库中的基础漏洞特征进行匹配,若匹配到基础漏洞特征,则基于匹配到的基础漏洞特征以及所述第一解析数据所对应的资产生成漏洞攻击告警信息。
在一实施例中,还包括:
第二解析模块,用于将待检测流量解析,获得第二解析数据;
第二确定模块,用于确定所述第二解析数据所对应的资产;
第二检测模块,用于根据所述第二解析数据所对应的资产获取指纹信息,将所述指纹信息与资产指纹识别特征库中的资产指纹特征进行匹配,若匹配到资产指纹特征,则标记第二解析数据所对应的资产;
第四检测模块,用于基于所述漏洞攻击告警信息所对应的资产与所述标记的资产,确定漏洞攻击告警是否成功。
在一实施例中,所述第一确定模块具体用于:
若所述漏洞攻击告警信息所对应的资产与所述标记的资产匹配,则将所述漏洞攻击告警信息所包含的报文信息与攻击结果检测特征库中的攻击结果特征进行匹配,若匹配到攻击结果特征,则标记漏洞攻击告警成功,若未匹配到攻击结果特征,则标记漏洞攻击告警不成功。
在一实施例中,还包括:
第四检测模块,用于若所述漏洞攻击告警信息所对应的资产与所述标记的资产不匹配,则提取出漏洞攻击告警信息所包含的目的IP地址,并对该目的IP地址所对应的资产进行漏洞探测,若探测出该资产不存在所述漏洞攻击告警信息相关的漏洞信息,则标记漏洞攻击结果为失败。
在一实施例中,还包括:
第五检测模块,用于若探测出该资产存在所述漏洞攻击告警信息相关的漏洞信息,则将所述漏洞攻击告警信息所包含的报文信息,与攻击结果检测特征库进行匹配,若匹配到攻击结果特征,则标记漏洞攻击告警成功,若未匹配到攻击结果特征,则标记漏洞攻击告警失败
关于漏洞攻击状态检测装置的具体限定可以参见上文中对于漏洞攻击状态检测方法的限定,在此不再赘述。上述漏洞攻击状态检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储动作检测数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现上述任一项漏洞攻击状态检测方法实施例中的步骤。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述任一项漏洞攻击状态检测方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任一项漏洞攻击状态检测方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种漏洞攻击状态检测方法,其特征在于,包括:
将待检测流量解析,获得第一解析数据;
确定所述第一解析数据所对应的资产;
将所述第一解析数据与基础漏洞特征库中的基础漏洞特征进行匹配,若匹配到基础漏洞特征,则基于匹配到的基础漏洞特征以及所述第一解析数据所对应的资产生成漏洞攻击告警信息。
2.根据权利要求1所述的方法,其特征在于,还包括:
将待检测流量解析,获得第二解析数据;
确定所述第二解析数据所对应的资产;
根据所述第二解析数据所对应的资产获取指纹信息,将所述指纹信息与资产指纹识别特征库中的资产指纹特征进行匹配,若匹配到资产指纹特征,则标记第二解析数据所对应的资产;
基于所述漏洞攻击告警信息所对应的资产与所述标记的资产,确定漏洞攻击告警是否成功。
3.根据权利要求2所述的方法,其特征在于,所述基于所述漏洞攻击告警信息所对应的资产与所述标记的资产,确定漏洞攻击告警是否成功包括:
若所述漏洞攻击告警信息所对应的资产与所述标记的资产匹配,则将所述漏洞攻击告警信息所包含的报文信息与攻击结果检测特征库中的攻击结果特征进行匹配,若匹配到攻击结果特征,则标记漏洞攻击告警成功,若未匹配到攻击结果特征,则标记漏洞攻击告警不成功。
4.根据权利要求2所述的方法,其特征在于,还包括:
若所述漏洞攻击告警信息所对应的资产与所述标记的资产匹配不匹配,则提取出漏洞攻击告警信息所包含的目的IP地址,并对该目的IP地址所对应的资产进行漏洞探测,若探测出该资产不存在所述漏洞攻击告警信息相关的漏洞信息,则标记漏洞攻击结果为失败。
5.根据权利要求4所述的方法,其特征在于,还包括:
若探测出该资产存在所述漏洞攻击告警信息相关的漏洞信息,则将所述漏洞攻击告警信息所包含的报文信息,与攻击结果检测特征库进行匹配,若匹配到攻击结果特征,则标记漏洞攻击告警成功,若未匹配到攻击结果特征,则标记漏洞攻击告警失败。
6.一种漏洞攻击状态检测装置,其特征在于,包括:
第一解析模块,用于将待检测流量解析,获得第一解析数据;
第一确定模块,用于确定所述第一解析数据所对应的资产;
第一检测模块,用于将所述第一解析数据与基础漏洞特征库中的基础漏洞特征进行匹配,若匹配到基础漏洞特征,则基于匹配到的基础漏洞特征以及所述第一解析数据所对应的资产生成漏洞攻击告警信息。
7.根据权利要求6所述的装置,其特征在于,还包括:
第二解析模块,用于将待检测流量解析,获得第二解析数据;
第二确定模块,用于确定所述第二解析数据所对应的资产;
第二检测模块,用于根据所述第二解析数据所对应的资产获取指纹信息,将所述指纹信息与资产指纹识别特征库中的资产指纹特征进行匹配,若匹配到资产指纹特征,则标记第二解析数据所对应的资产;
第四检测模块,用于基于所述漏洞攻击告警信息所对应的资产与所述标记的资产,确定漏洞攻击告警是否成功。
8.根据权利要求7所述的装置,其特征在于,所述第一确定模块具体用于:
若所述漏洞攻击告警信息所对应的资产与所述标记的资产匹配,则将所述漏洞攻击告警信息所包含的报文信息与攻击结果检测特征库中的攻击结果特征进行匹配,若匹配到攻击结果特征,则标记漏洞攻击告警成功,若未匹配到攻击结果特征,则标记漏洞攻击告警不成功。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时,实现权利要求1至5中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至5中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110790782.3A CN113472803A (zh) | 2021-07-13 | 2021-07-13 | 漏洞攻击状态检测方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110790782.3A CN113472803A (zh) | 2021-07-13 | 2021-07-13 | 漏洞攻击状态检测方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113472803A true CN113472803A (zh) | 2021-10-01 |
Family
ID=77880081
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110790782.3A Withdrawn CN113472803A (zh) | 2021-07-13 | 2021-07-13 | 漏洞攻击状态检测方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113472803A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114157494A (zh) * | 2021-12-06 | 2022-03-08 | 杭州安恒信息技术股份有限公司 | 一种ip资源状态确定方法及相关装置 |
| CN114760189A (zh) * | 2022-03-30 | 2022-07-15 | 深信服科技股份有限公司 | 一种信息确定方法、设备和计算机可读存储介质 |
| CN115314322A (zh) * | 2022-10-09 | 2022-11-08 | 安徽华云安科技有限公司 | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 |
| CN115361240A (zh) * | 2022-10-21 | 2022-11-18 | 北京星阑科技有限公司 | 一种漏洞确定方法、装置、计算机设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107577947A (zh) * | 2017-08-14 | 2018-01-12 | 携程旅游信息技术(上海)有限公司 | 信息系统的漏洞检测方法、系统、存储介质和电子设备 |
| US10454963B1 (en) * | 2015-07-31 | 2019-10-22 | Tripwire, Inc. | Historical exploit and vulnerability detection |
| CN112131577A (zh) * | 2020-09-25 | 2020-12-25 | 杭州安恒信息技术股份有限公司 | 一种漏洞检测方法、装置、设备及计算机可读存储介质 |
| CN112134877A (zh) * | 2020-09-22 | 2020-12-25 | 北京华赛在线科技有限公司 | 网络威胁检测方法、装置、设备及存储介质 |
| CN112600852A (zh) * | 2020-12-23 | 2021-04-02 | 苏州三六零智能安全科技有限公司 | 漏洞攻击处理方法、装置、设备及存储介质 |
-
2021
- 2021-07-13 CN CN202110790782.3A patent/CN113472803A/zh not_active Withdrawn
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10454963B1 (en) * | 2015-07-31 | 2019-10-22 | Tripwire, Inc. | Historical exploit and vulnerability detection |
| CN107577947A (zh) * | 2017-08-14 | 2018-01-12 | 携程旅游信息技术(上海)有限公司 | 信息系统的漏洞检测方法、系统、存储介质和电子设备 |
| CN112134877A (zh) * | 2020-09-22 | 2020-12-25 | 北京华赛在线科技有限公司 | 网络威胁检测方法、装置、设备及存储介质 |
| CN112131577A (zh) * | 2020-09-25 | 2020-12-25 | 杭州安恒信息技术股份有限公司 | 一种漏洞检测方法、装置、设备及计算机可读存储介质 |
| CN112600852A (zh) * | 2020-12-23 | 2021-04-02 | 苏州三六零智能安全科技有限公司 | 漏洞攻击处理方法、装置、设备及存储介质 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114157494A (zh) * | 2021-12-06 | 2022-03-08 | 杭州安恒信息技术股份有限公司 | 一种ip资源状态确定方法及相关装置 |
| CN114157494B (zh) * | 2021-12-06 | 2024-04-26 | 杭州安恒信息技术股份有限公司 | 一种ip资源状态确定方法及相关装置 |
| CN114760189A (zh) * | 2022-03-30 | 2022-07-15 | 深信服科技股份有限公司 | 一种信息确定方法、设备和计算机可读存储介质 |
| CN115314322A (zh) * | 2022-10-09 | 2022-11-08 | 安徽华云安科技有限公司 | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 |
| CN115361240A (zh) * | 2022-10-21 | 2022-11-18 | 北京星阑科技有限公司 | 一种漏洞确定方法、装置、计算机设备及存储介质 |
| CN115361240B (zh) * | 2022-10-21 | 2022-12-27 | 北京星阑科技有限公司 | 一种漏洞确定方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113472803A (zh) | 漏洞攻击状态检测方法、装置、计算机设备和存储介质 | |
| CN108932426B (zh) | 越权漏洞检测方法和装置 | |
| KR101337874B1 (ko) | 파일 유전자 지도를 이용하여 파일의 악성코드 포함 여부를 판단하는 방법 및 시스템 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| WO2019144549A1 (zh) | 漏洞测试方法、装置、计算机设备和存储介质 | |
| CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| WO2020000743A1 (zh) | 一种webshell检测方法及相关设备 | |
| CN111917740A (zh) | 一种异常流量告警日志检测方法、装置、设备及介质 | |
| CN111835737B (zh) | 基于自动学习的web攻击防护方法、及其相关设备 | |
| US11270001B2 (en) | Classification apparatus, classification method, and classification program | |
| CN108924258B (zh) | 后台信息推送方法、装置、计算机设备和存储介质 | |
| KR20080044145A (ko) | 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 | |
| CN114531259B (zh) | 攻击结果检测方法、装置、系统、计算机设备和介质 | |
| CN110912908A (zh) | 网络协议异常检测方法、装置、计算机设备和存储介质 | |
| CN112738018A (zh) | Arp欺骗攻击检测方法、装置、计算机设备和存储介质 | |
| CN108156127B (zh) | 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体 | |
| CN111125748A (zh) | 越权查询的判断方法、装置、计算机设备和存储介质 | |
| CN110674500A (zh) | 存储介质病毒查杀方法、装置、计算机设备和存储介质 | |
| CN110955890A (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
| CN110457900B (zh) | 一种网站监测方法、装置、设备及可读存储介质 | |
| CN112287340A (zh) | 用于终端攻击的取证溯源方法、装置、计算机设备 | |
| CN107995167B (zh) | 一种设备识别方法及服务器 | |
| CN116015861A (zh) | 一种数据检测方法、装置、电子设备及存储介质 | |
| CN112351008B (zh) | 网络攻击分析方法、装置、可读存储介质及计算机设备 | |
| CN114363039A (zh) | 一种诈骗网站的识别方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20211001 |