CN114553525A - 基于人工智能的网络安全漏洞挖掘方法及系统 - Google Patents
基于人工智能的网络安全漏洞挖掘方法及系统 Download PDFInfo
- Publication number
- CN114553525A CN114553525A CN202210160490.6A CN202210160490A CN114553525A CN 114553525 A CN114553525 A CN 114553525A CN 202210160490 A CN202210160490 A CN 202210160490A CN 114553525 A CN114553525 A CN 114553525A
- Authority
- CN
- China
- Prior art keywords
- monitoring terminal
- vulnerability
- information
- monitoring
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及信息安全技术领域,提出了基于人工智能的网络安全漏洞挖掘方法及系统,网络安全漏洞挖掘方法包括:获得多个攻击成功的恶意文件样本;基于深度学习方法,根据恶意文件样本的攻击行为数据训练分类模型,对所述多个恶意样本进行分类;根据分类结果,构建漏洞数据库;调用漏洞数据库,分别向多个所述监测终端发送漏洞检测数据包;分析所述监测终端发送的反馈数据,得到漏洞检测结果。通过上述技术方案,解决了现有技术中网络安全漏洞挖掘方法使用效果差的问题。
Description
技术领域
本发明涉及信息安全技术领域,具体的,涉及基于人工智能的网络安全漏洞挖掘方法及系统。
背景技术
随着物联网和电子技术的发展,电力系统实现了智能管理,从底层的监测终端到管理,再到全面运维流程管理,运用数据挖掘、处理、运算等多种手段,对各种工作进行高效协调、调度、指引实现数据中心基础设施高效、安全的维护工作。同时,由于监测终端的开发通常采用开源框架,不可避免的会存在程序漏洞,导致电力监控网络存在安全漏洞。
为避免恶意攻击,通常采用的方法是采用多种漏洞检测软件进行漏洞挖掘,再进行漏洞的修复,目前现有的漏洞检测软件功能有限,不能覆盖所有的漏洞。
发明内容
本发明提出基于人工智能的网络安全漏洞挖掘方法及系统,解决了相关技术中网络安全漏洞挖掘方法使用效果差的问题。
本发明的技术方案如下:包括:
获得多个攻击成功的恶意文件样本;
基于深度学习方法,根据恶意文件样本的攻击行为数据训练分类模型,对所述多个恶意样本进行分类;
根据分类结果,构建漏洞数据库;
调用漏洞数据库,分别向多个所述监测终端发送漏洞检测数据包;
分析所述监测终端发送的反馈数据,得到漏洞检测结果。
进一步,所述监测终端内设置有GPS定位模块,调用漏洞数据库,分别向多个所述监测终端发送漏洞检测数据包的步骤具体包括:
获得多个所述监测终端的GPS定位信息,根据所述GPS定位信息构建监测终端分布图;
获得目标区段,向目标区段内所有监控终端发布广播指令;
接收所述目标区段内监测终端的应答信息,发送应答信息的监测终端为在线监测终端,所述应答信息包括在线监测终端ID;
调用漏洞数据库,向所述在线监测终端发送漏洞检测数据包。
进一步,分析所述监测终端发送的反馈数据,得到漏洞检测结果,具体包括:
接收所述在线监测终端的反馈信息,所述反馈信息包括在线监测终端ID和执行结果信息,根据所述反馈信息,得到存在安全漏洞的在线监测终端ID;
在监测终端分布图上展示所述在线监测终端ID。
进一步,还包括:
根据目标区段内所有监控终端ID列表和在线监测终端ID,得到离线监测终端ID;
在监测终端分布图上展示所述离线监测终端ID。
进一步,获得目标区段具体包括:
接收用户输入的选择信息;
在所述选择信息为监测终端分布图上的主节点时,目标区段为与所述主节点相关的所有主节点和分支节点;在所述选择信息为监测终端分布图上的分支节点时,目标区段为该分支节点所在的分支线路上的所有分支节点。
基于人工智能的网络安全漏洞挖掘系统,应用于一电力监控网络的服务器,所述服务器与多个监测终端通信连接,包括:
第一获得单元,用于获得多个攻击成功的恶意文件样本;
分类单元,用于基于深度学习方法,根据恶意文件样本的攻击行为数据训练分类模型,对所述多个恶意样本进行分类;
第一处理单元,用于根据分类结果,构建漏洞数据库;
第二处理单元,用于调用漏洞数据库,分别向多个所述监测终端发送漏洞检测数据包;
第三处理单元,用于分析所述监测终端发送的反馈数据,得到漏洞检测结果。
进一步,所述监测终端内设置有GPS定位模块,所述第二处理单元具体用于:
获得多个所述监测终端的GPS定位信息,根据所述GPS定位信息构建监测终端分布图;
获得目标区段,向目标区段内所有监控终端发布广播指令;
接收所述目标区段内监测终端的应答信息,发送应答信息的监测终端为在线监测终端,所述应答信息包括在线监测终端ID;
调用漏洞数据库,向所述在线监测终端发送漏洞检测数据包。
进一步,所述第三处理单元具体用于:
接收所述在线监测终端的反馈信息,所述反馈信息包括在线监测终端ID和执行结果信息,根据所述反馈信息,得到存在安全漏洞的在线监测终端ID;
在监测终端分布图上展示所述在线监测终端ID。
进一步,还包括
第四处理单元,用于根据目标区段内所有监控终端ID列表和在线监测终端ID,得到离线监测终端ID;
展示单元,用于在监测终端分布图上展示所述离线监测终端ID。
基于人工智能的网络安全漏洞挖掘系统,包括:
存储器,用于存储计算机程序;
处理器,用于调用所述计算机程序实现上述的基于人工智能的网络安全漏洞挖掘方法。
本发明的工作原理及有益效果为:
本发明提供的基于人工智能的网络安全漏洞检测方法,通过获得多个攻击成功的恶意文件样本,分析恶意文件样本的攻击行为数据,恶意文件样本的攻击行为数据包括注册表操作、文件操作、漏洞利用方式、API调用序列、网络行为、进程线程操作;并基于深度学习方法,对多个恶意样本数据进行分类;恶意样本通常会针对电力监控网络的漏洞进行攻击,通过分析恶意样本的类型,得到电力监控网络的漏洞类型;根据漏洞类型调用相应的漏洞数据库,进行针对性的漏洞检测,有利于提高漏洞检测的速度和效果。
附图说明
下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1为本发明漏洞检测方法流程图;
图2为本发明中线路拓扑图示意图;
图3为本发明中漏洞检测系统结构示意图;
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都涉及本发明保护的范围。
如图1所示,为本实施例网络安全漏洞挖掘方法流程图,包括:
获得多个攻击成功的恶意文件样本;
基于深度学习方法,根据恶意文件样本的攻击行为数据训练分类模型,对所述多个恶意样本进行分类;
根据分类结果,构建漏洞数据库;
调用漏洞数据库,分别向多个所述监测终端发送漏洞检测数据包;
分析所述监测终端发送的反馈数据,得到漏洞检测结果。
本发明提供的基于人工智能的网络安全漏洞检测方法,通过获得多个攻击成功的恶意文件样本,分析恶意文件样本的攻击行为数据,恶意文件样本的攻击行为数据包括注册表操作、文件操作、漏洞利用方式、API调用序列、网络行为、进程线程操作;并基于深度学习方法,对多个恶意样本数据进行分类;恶意样本通常会针对电力监控网络的漏洞进行攻击,通过分析恶意样本的类型,得到电力监控网络的漏洞类型;根据漏洞类型调用相应的漏洞数据库,进行针对性的漏洞检测,有利于提高漏洞检测的速度和效果。
进一步,所述监测终端内设置有GPS定位模块,调用漏洞数据库,分别向多个所述监测终端发送漏洞检测数据包的步骤具体包括:
获得多个所述监测终端的GPS定位信息,根据所述GPS定位信息构建监测终端分布图;
获得目标区段,向目标区段内所有监控终端发布广播指令;
接收所述目标区段内监测终端的应答信息,发送应答信息的监测终端为在线监测终端,所述应答信息包括在线监测终端ID;
调用漏洞数据库,向所述在线监测终端发送漏洞检测数据包。
进一步,分析所述监测终端发送的反馈数据,得到漏洞检测结果,具体包括:
接收所述在线监测终端的反馈信息,所述反馈信息包括在线监测终端ID和执行结果信息,根据所述反馈信息,得到存在安全漏洞的在线监测终端ID;
在监测终端分布图上展示所述在线监测终端ID。
本实施例通过读取GPS定位信息,形成监测终端分布图,对电力监控网络中的监测终端进行整体展示。用户(即电网管理人员)通过点选监测终端分布图上的目标区段,可以进行该目标区段内监测终端的漏洞检测,漏洞检测的结果展示在监测终端分布图上,便于管理人员直观的了解存在安全漏洞的监测终端,及时进行检修。
进一步,还包括:
根据目标区段内所有监控终端ID列表和在线监测终端ID,得到离线监测终端ID;
在监测终端分布图上展示所述离线监测终端ID。
通过向目标区段内的所有监测终端发布广播指令,检测出没有应答信息的离线监测终端,离线监测终端被认为是存在通信故障、断电故障或其他故障,同样的,离线检测终端也在监测终端分布图上进行展示,便于及时进行检修,从而保证了电力监控网络的可靠性。
进一步,所述漏洞数据库至少包括远程执行漏洞、弱口令、堆栈溢出和/或未授权访问。
远程执行漏洞、弱口令、堆栈溢出和/或未授权访问,是电力监控网络的常见漏洞,因此,本实施例重点对这四种漏洞进行检测。
其中,对于远程执行漏洞,由于用户通过互联网提交执行命令,服务器没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变$PATH或程序执行环境的其他方面来执行一个恶意构造的代码。
由于开发人员编写源码,没有针对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造语句提交,并交由服务器端执行。命令注入攻击中WEB服务器没有过滤类似system(),eval(),exec()等函数是该漏洞攻击成功的最主要原因。
弱口令(weak password)通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。
栈溢出(stack-based buffer overflows)一方面因为程序员的疏忽,使用了strcpy、sprintf等不安全的函数,增加了栈溢出漏洞的可能。另一方面,因为栈上保存了函数的返回地址等信息,因此如果攻击者能任意覆盖栈上的数据,通常情况下就意味着他能修改程序的执行流程,从而造成更大的破坏。这种攻击方法就是栈溢出攻击(stacksmashing attacks)。栈溢出攻击的原因是由于程序中缺少错误检测,另外对缓冲区的潜在操作(比如字符串的复制)都是从内存低址到高址,而函数调用的返回地址往往就在缓冲区的上方(当前栈底),这为我们覆盖返回地址提供了条件。
未授权访问漏洞,为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。本实施例包括常见的未授权访问漏洞,如下:
(1)Jboss未授权访问
(2)Jenkins未授权访问
(3)ldap未授权访问
(4)Redis未授权访问
(5)elasticsearch未授权访问
(6)MenCache未授权访问
(7)Mongodb未授权访问
(8)Rsync未授权访问
(9)Zookeeper未授权访问
(10)Docker未授权访问
进一步,获得目标区段具体包括:
接收用户输入的选择模式信息;
在选择模式信息为第一选项时,获得用户输入的中点坐标和半径;
以所述中点坐标和半径作圆,所述目标区段包括位于所述圆形区域内的任一监测终端。
本实施例中,用户可以某一监测终端为中心,对其周围的多个监测终端进行漏洞检测。
进一步,获得目标区段具体包括:
接收用户输入的选择模式信息;
在选择模式信息为第二选项时,获得用户输入的起点坐标和终点坐标;
以所述起点坐标和终点坐标的连线为直径作圆,所述目标区段包括位于所述圆形区域内的任一监测终端。
本实施例中,根据实际需要,用户可以选择两个监测终端之间的多个监测终端进行漏铜检测。
进一步,获得目标区段具体包括:
接收用户输入的选择模式信息;
在选择模式信息为第三选项时,所述监测终端分布图还包括线路拓扑信息;所述线路拓扑信息用于表征多个监测终端的线路连接关系;监测终端为所述监测终端分布图上的主节点或分支节点;
获取用户输入的目标节点;
在所述目标节点为监测终端分布图上的主节点时,目标区段为与所述主节点相关的所有主节点和分支节点;在所述目标节点为监测终端分布图上的分支节点时,目标区段为该分支节点所在的分支线路上的所有分支节点。
线路拓扑图如图2所示,包括主线路和分支线路,本实施例中,在线路拓扑图的基础上,加入每个监测终端的GPS定位信息,得到监测终端分布图。每个监测终端相当于一个节点,主线路为主节点构成的线路,用加粗线标识,分支线路为分支节点构成的线路。
当电网管理人员点选某一个主节点时,其所在的主线路被选中,该主线路上的所有主节点被选中;当电网管理人员点选某一个分支节点时,其所在的分支线路被选中,该分支线路上的所有分支节点被选中,便于电网管理人员灵活选择漏洞检测区段。
本实施例中,线路拓扑图的绘制采用现有方法均可实现,现有方法包括:
1.基于工频过零信号及SNR(信噪比)大数据分析的线路拓扑关系识别
1.1信噪比分析
信噪比是信号强度和噪声的比值,主要受信道里面的衰减和噪声的影响。而电力线里面,影响信号传输的主要两个因素就是衰减和噪声。在同一条线上,信号传输距离越短,经过的衰减和噪声就越小,信噪比就比较大。而且,信号通过空间耦合时,衰减也是比较大的。现场环境特点,一般地,单个台区的线路是相通且距离较近的,与邻台区是不相通或者距离较远的。因此站点评估本台区的信噪比会比邻台区大一些。
1.2工频过零信号分析
由于所有站点都具备网络ID属性,STA站点收集邻居站点(SNR)按网络ID分组,同时通过STA过零电路获得STA站点工频过零信号偏差进行相关性分析,信号检测是一个判断过零点处有无畸变的问题,一般采用数字差分技术(Digital Differential Technique)进行检测,即前一次的采样值与当前的采样值进行做差运算。
d(t1)=F(t1)-F(t1-T)
本方案CCO结合被识别STA的NTB时钟过零偏差、通信拓扑信息、信道参数、等特性因素,加入站点的电气特征量(电压、相角)进行数字滤波和建模分析;相关系数根据站点拓扑层级和通信成功率动态综合判断,进行台区属性区分(本台区、非本台区、未识别台区)。
2.基于工频畸变信号分析的线路拓扑关系识别
基于研究工频畸变信号分析技术,能够实现准确可靠的识别台区中的所有用户和相位,不会发生误判,识别率高。
模块内置基于工频通信(TWACS)的台区识别技术封装成专用芯片,采用电流脉冲法原理(工频畸变技术)和电力线载波信号法实现,确保台区和相位识别信号不跨台区,台区内点对点通信无死角,保证台区识别准确率优于99.99%;先由智能计量管理主终端发出带有台区标识,通过电力线上数据电流脉冲的方式,由于脉冲电流信号不会受共高压穿线、共地串线、共电缆沟串线等情况的干扰而传输到其他线路上,保证信号不会跨越台区,并且传输距离较远,使整个台区的电力线上无死角的都会接收到识别信号,可以准确可靠的识别台区中的所有用户和相位,不会发生误判;此时,针对整个台区的分支箱和表箱侧的子终端都会收集到台区发出的脉冲电流信号,此时计量管理终端子终端检测到此脉冲电流信号后,信号中的台区编号和相序数据经过电力载波耦合到末端的通讯信道,经过调制解调后以数据形式保存到计量管理终端子终端的存储区域中,主终端通过宽带载波读取各个节点计量终端的台区和相位标记,从而实现对台区内的台区和相位的识别,实现对档案信息的梳理。
脉冲电流也叫脉动电流,就是指方向不变而强度不断变化的电流。严格说来,直流发电机所输出的电流,就是脉动电流。只不过这种电流强度变化的程度很小。脉冲电流也可以说是单向(阴极)电流周期性地被一系列开路(无电流通过)所中断的电流。它与换向电流所不同的是不把镀件作阳极,而是间歇地停止供电,由于间歇中断电流,阴极电位随时间周期性地变化。其波形有方波、正弦波、三角波和锯齿波等。
脉冲电流信号检测是针对反应偏差问题的一种系统研究测试方法。信号检测并不严格地关注感觉过程,而是强调刺激事件出现与否的决策判断过程。
3.掉电数据识别分析方法
利用低压台区智能诊断仪批量读取电表停电记录,与电力系统历史停电记录进行数据比对,可以快速确定户变关系。
根据《Q_GDW_1354-2013智能电能表功能规范》,电表会记录停电的总次数和累计停电时间,最近10次停电发生及结束的时刻。
用设备读取目标台区及周边相邻台区下所有电表的历史停电记录,与电力系统历史停电记录进行数据比对,找出目标台区的独立停电记录(目标台区有停电,而周边相邻台区没有停电),就可以确定有这次停电记录的用户属于目标台区。为防止电表对时不准导致误判,数据比对应同时比对停电发生结束时刻及停电时长。
实际运维中,单独台区停电的情况很少,因此,可以在平时运维中,需要拉闸停电的时候,对台区依次相隔5秒到10秒拉闸停电,复电时则各台区同时进行,以使各电表产生不同停电时长的停电记录。
台区依照计划掉电后,主机路由模块采集台区下所有户表数据,提取所有户表的掉电记录以及信号特征等,通过表计掉电记录和不同台区终端掉电记录做对比分析,分别对掉电开始时间、结束时间、时段分析,实现掉电台区识别。
进一步,还包括:
在所述目标节点为两个以上时,输出放大窗口,对多个所述目标节点进行放大显示。
本实施例中,监测终端分布图借助电子地图实现,当多个目标节点距离较近时,在地图上的显示会出现重叠,因此,需要对地图进行缩放操作,以区分重叠的目标节点。缩放步骤如下:
(1)确定地图缩放级别为n=7;
(2)确定第0层瓦片。将地图缩放级别调到最小,此时地图比例尺达到最大级别,当前级别的栅格图片即第0层瓦片;
(3)对确定好的第0层瓦片进行切图。从第2步中获取的最底层栅格图片的左上角开始,按照从左向右,从上向下的规则进行切图,切分成长宽相同的正方形瓦片图,本平台中选取width=256像素,length=256像素,进而得到第0层瓦片图片阵列;
(4)在得到第0层瓦片阵列后,将2*2像素进行合并来得到一个像素,进而生成第1层级地图图片,按照第3步中相同的规则对其进行切分,进而得到第1层瓦片图片阵列;
(5)根据第3步的方法生成第2层级阵列。按照以上方法,直到第n-1层(本实施例中为第6层),最终形成多级瓦片阵列;
(6)对多级瓦片阵列进行存储。通过以多级文件夹目录形式来组织多层级下的地图瓦片阵列,按照瓦片图所在的层级将其存储在对应层级的文件夹下。每一级的文件夹目录名称由当前层数,地图缩放级别,地图经纬度范围等参数决定。例如第1层的目录名称是“1_500__6__7”,数字1表示第1层金字塔图片,500表示1:500万比例尺的地图数据,6和7表示经纬度区域范围,进一步表明第一层金字塔瓦片阵列由6行7列共42张地图瓦片构成。
(7)当用户发出地图瓦片数据请求时,服务器对请求信息进行解析,分析得到地图当前缩放级别、瓦片数据范围等信息,根据这些信息能够精确的定位到具体文件夹下的瓦片文件。地图瓦片数据采取这种方式进行组织和维护时,能够保证服务有高效的访问效率,同时保证了平台的稳定性和可扩展性。
如图3所示,为基于人工智能的网络安全漏洞挖掘系统结构示意图,应用于一电力监控网络的服务器,所述服务器与多个监测终端通信连接,包括:
第一获得单元,用于获得多个攻击成功的恶意文件样本;
分类单元,用于基于深度学习方法,根据恶意文件样本的攻击行为数据训练分类模型,对所述多个恶意样本进行分类;
第一处理单元,用于根据分类结果,构建漏洞数据库;
第二处理单元,用于调用漏洞数据库,分别向多个所述监测终端发送漏洞检测数据包;
第三处理单元,用于分析所述监测终端发送的反馈数据,得到漏洞检测结果。
进一步,所述监测终端内设置有GPS定位模块,所述第二处理单元具体用于:
获得多个所述监测终端的GPS定位信息,根据所述GPS定位信息构建监测终端分布图;
获得目标区段,向目标区段内所有监控终端发布广播指令;
接收所述目标区段内监测终端的应答信息,发送应答信息的监测终端为在线监测终端,所述应答信息包括在线监测终端ID;
调用漏洞数据库,向所述在线监测终端发送漏洞检测数据包。
进一步,所述第三处理单元具体用于:
接收所述在线监测终端的反馈信息,所述反馈信息包括在线监测终端ID和执行结果信息,根据所述反馈信息,得到存在安全漏洞的在线监测终端ID;
在监测终端分布图上展示所述在线监测终端ID。
进一步,还包括
第四处理单元,用于根据目标区段内所有监控终端ID列表和在线监测终端ID,得到离线监测终端ID;
展示单元,用于在监测终端分布图上展示所述离线监测终端ID。
基于与上述实施例相同的发明构思,本实施例提出了基于人工智能的网络安全漏洞挖掘系统,包括:
存储器,用于存储计算机程序;
处理器,用于调用所述计算机程序实现上述的基于人工智能的网络安全漏洞挖掘方法。
基于人工智能的网络安全漏洞挖掘系统的工作原理在方法实施例中已有详细的描述,在此不再赘述。
以上仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.基于人工智能的网络安全漏洞挖掘方法,应用于一电力监控网络的服务器,所述服务器与多个监测终端通信连接,包括:
获得多个攻击成功的恶意文件样本;
基于深度学习方法,根据恶意文件样本的攻击行为数据训练分类模型,对所述多个恶意样本进行分类;
根据分类结果,构建漏洞数据库;
调用漏洞数据库,分别向多个所述监测终端发送漏洞检测数据包;
分析所述监测终端发送的反馈数据,得到漏洞检测结果。
2.根据权利要求1所述的基于人工智能的网络安全漏洞挖掘方法,其特征在于,所述监测终端内设置有GPS定位模块,调用漏洞数据库,分别向多个所述监测终端发送漏洞检测数据包的步骤具体包括:
获得多个所述监测终端的GPS定位信息,根据所述GPS定位信息构建监测终端分布图;
获得目标区段,向目标区段内所有监控终端发布广播指令;
接收所述目标区段内监测终端的应答信息,发送应答信息的监测终端为在线监测终端,所述应答信息包括在线监测终端ID;
调用漏洞数据库,向所述在线监测终端发送漏洞检测数据包。
3.根据权利要求2所述的基于人工智能的网络安全漏洞挖掘方法,其特征在于,分析所述监测终端发送的反馈数据,得到漏洞检测结果,具体包括:
接收所述在线监测终端的反馈信息,所述反馈信息包括在线监测终端ID和执行结果信息,根据所述反馈信息,得到存在安全漏洞的在线监测终端ID;
在监测终端分布图上展示所述在线监测终端ID。
4.根据权利要求3所述的基于人工智能的网络安全漏洞挖掘方法,其特征在于,还包括:
根据目标区段内所有监控终端ID列表和在线监测终端ID,得到离线监测终端ID;
在监测终端分布图上展示所述离线监测终端ID。
5.根据权利要求2所述的基于人工智能的网络安全漏洞挖掘方法,其特征在于,获得目标区段具体包括:
接收用户输入的选择信息;
在所述选择信息为监测终端分布图上的主节点时,目标区段为与所述主节点相关的所有主节点和分支节点;在所述选择信息为监测终端分布图上的分支节点时,目标区段为该分支节点所在的分支线路上的所有分支节点。
6.基于人工智能的网络安全漏洞挖掘系统,应用于一电力监控网络的服务器,所述服务器与多个监测终端通信连接,其特征在于,包括:
第一获得单元,用于获得多个攻击成功的恶意文件样本;
分类单元,用于基于深度学习方法,根据恶意文件样本的攻击行为数据训练分类模型,对所述多个恶意样本进行分类;
第一处理单元,用于根据分类结果,构建漏洞数据库;
第二处理单元,用于调用漏洞数据库,分别向多个所述监测终端发送漏洞检测数据包;
第三处理单元,用于分析所述监测终端发送的反馈数据,得到漏洞检测结果。
7.根据权利要求6所述的基于人工智能的网络安全漏洞挖掘系统,其特征在于,所述监测终端内设置有GPS定位模块,所述第二处理单元具体用于:
获得多个所述监测终端的GPS定位信息,根据所述GPS定位信息构建监测终端分布图;
获得目标区段,向目标区段内所有监控终端发布广播指令;
接收所述目标区段内监测终端的应答信息,发送应答信息的监测终端为在线监测终端,所述应答信息包括在线监测终端ID;
调用漏洞数据库,向所述在线监测终端发送漏洞检测数据包。
8.根据权利要求7所述的基于人工智能的网络安全漏洞挖掘系统,其特征在于,所述第三处理单元具体用于:
接收所述在线监测终端的反馈信息,所述反馈信息包括在线监测终端ID和执行结果信息,根据所述反馈信息,得到存在安全漏洞的在线监测终端ID;
在监测终端分布图上展示所述在线监测终端ID。
9.根据权利要求8所述的基于人工智能的网络安全漏洞挖掘系统,其特征在于,还包括:
第四处理单元,用于根据目标区段内所有监控终端ID列表和在线监测终端ID,得到离线监测终端ID;
展示单元,用于在监测终端分布图上展示所述离线监测终端ID。
10.基于人工智能的网络安全漏洞挖掘系统,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于调用所述计算机程序实现如权利要求1-5任一项所述的基于人工智能的网络安全漏洞挖掘方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210160490.6A CN114553525A (zh) | 2022-02-22 | 2022-02-22 | 基于人工智能的网络安全漏洞挖掘方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210160490.6A CN114553525A (zh) | 2022-02-22 | 2022-02-22 | 基于人工智能的网络安全漏洞挖掘方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114553525A true CN114553525A (zh) | 2022-05-27 |
Family
ID=81677514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210160490.6A Pending CN114553525A (zh) | 2022-02-22 | 2022-02-22 | 基于人工智能的网络安全漏洞挖掘方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114553525A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI801293B (zh) * | 2022-07-21 | 2023-05-01 | 中華電信股份有限公司 | 用於監控端點設備的系統及其方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
| CN108667854A (zh) * | 2018-06-29 | 2018-10-16 | 北京奇虎科技有限公司 | 网络漏洞检测方法及装置、网络漏洞自动发布系统 |
| US20190014133A1 (en) * | 2017-07-05 | 2019-01-10 | Eli David | Methods and systems for detecting malicious webpages |
| US20190018960A1 (en) * | 2017-07-17 | 2019-01-17 | AO Kaspersky Lab | System and method of machine learning of malware detection model |
| US20190171984A1 (en) * | 2017-12-01 | 2019-06-06 | KnowBe4, Inc. | Systems and methods for using artificial intelligence driven agent to automate assessment of organizational vulnerabilities |
| CN111814155A (zh) * | 2020-08-31 | 2020-10-23 | 北京安帝科技有限公司 | 漏洞检测方法、平台及装置以及计算机可读介质 |
| US20210034753A1 (en) * | 2019-07-29 | 2021-02-04 | Ventech Solutions, Inc. | Method and system for neural network based data analytics in software security vulnerability testing |
| US20210392153A1 (en) * | 2020-06-10 | 2021-12-16 | Saudi Arabian Oil Company | System and method for vulnerability remediation prioritization |
-
2022
- 2022-02-22 CN CN202210160490.6A patent/CN114553525A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190014133A1 (en) * | 2017-07-05 | 2019-01-10 | Eli David | Methods and systems for detecting malicious webpages |
| US20190018960A1 (en) * | 2017-07-17 | 2019-01-17 | AO Kaspersky Lab | System and method of machine learning of malware detection model |
| US20190171984A1 (en) * | 2017-12-01 | 2019-06-06 | KnowBe4, Inc. | Systems and methods for using artificial intelligence driven agent to automate assessment of organizational vulnerabilities |
| CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
| CN108667854A (zh) * | 2018-06-29 | 2018-10-16 | 北京奇虎科技有限公司 | 网络漏洞检测方法及装置、网络漏洞自动发布系统 |
| US20210034753A1 (en) * | 2019-07-29 | 2021-02-04 | Ventech Solutions, Inc. | Method and system for neural network based data analytics in software security vulnerability testing |
| US20210392153A1 (en) * | 2020-06-10 | 2021-12-16 | Saudi Arabian Oil Company | System and method for vulnerability remediation prioritization |
| CN111814155A (zh) * | 2020-08-31 | 2020-10-23 | 北京安帝科技有限公司 | 漏洞检测方法、平台及装置以及计算机可读介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI801293B (zh) * | 2022-07-21 | 2023-05-01 | 中華電信股份有限公司 | 用於監控端點設備的系統及其方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11902322B2 (en) | Method, apparatus, and system to map network reachability | |
| US11336669B2 (en) | Artificial intelligence cyber security analyst | |
| US20210273961A1 (en) | Apparatus and method for a cyber-threat defense system | |
| Islam et al. | A multi-vocal review of security orchestration | |
| Hurley et al. | HMM-based intrusion detection system for software defined networking | |
| Jajodia et al. | Topological vulnerability analysis: A powerful new approach for network attack prevention, detection, and response | |
| US20020138755A1 (en) | Automatically generating valid behavior specifications for intrusion detection | |
| CN108712396A (zh) | 网络资产管理与漏洞治理系统 | |
| CN109962891A (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
| US11663500B2 (en) | Visualizing cybersecurity incidents using knowledge graph data | |
| CN108183916A (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
| CN106982194A (zh) | 漏洞扫描方法及装置 | |
| Matoušek et al. | Efficient modelling of ICS communication for anomaly detection using probabilistic automata | |
| CN107085549A (zh) | 故障信息生成的方法和装置 | |
| CN109029573A (zh) | 一种管道巡检方法及系统 | |
| CN114553525A (zh) | 基于人工智能的网络安全漏洞挖掘方法及系统 | |
| CN114553526A (zh) | 网络安全漏洞位置检测方法及系统 | |
| Bayat et al. | Down for failure: Active power status monitoring | |
| Lupia et al. | ICS Honeypot Interactions: A Latitudinal Study | |
| CN112367340B (zh) | 一种内网资产风险评估方法、装置、设备及介质 | |
| Pan et al. | Anomaly behavior analysis for building automation systems | |
| Sen et al. | On holistic multi-step cyberattack detection via a graph-based correlation approach | |
| CN115037561B (zh) | 一种网络安全检测方法和系统 | |
| Li et al. | SRAM: A state-aware risk assessment model for intrusion response | |
| Babu | Design, implementation, and field-testing of distributed intrusion detection system for smart grid SCADA network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |