CN115102734A - 一种基于数据流量的漏洞识别系统及其识别方法 - Google Patents
一种基于数据流量的漏洞识别系统及其识别方法 Download PDFInfo
- Publication number
- CN115102734A CN115102734A CN202210667777.8A CN202210667777A CN115102734A CN 115102734 A CN115102734 A CN 115102734A CN 202210667777 A CN202210667777 A CN 202210667777A CN 115102734 A CN115102734 A CN 115102734A
- Authority
- CN
- China
- Prior art keywords
- data
- vulnerability
- identification
- flow
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 18
- 238000012795 verification Methods 0.000 claims abstract description 10
- 238000004891 communication Methods 0.000 claims abstract description 9
- 238000000605 extraction Methods 0.000 claims abstract description 9
- 230000002159 abnormal effect Effects 0.000 claims description 24
- 239000011159 matrix material Substances 0.000 claims description 23
- 239000013598 vector Substances 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 8
- 238000004088 simulation Methods 0.000 claims description 5
- 238000007621 cluster analysis Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 claims description 3
- 239000000284 extract Substances 0.000 claims description 3
- 230000007547 defect Effects 0.000 abstract description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于数据流量的漏洞识别系统,包括数据流量提取模块,用于提取通讯链路中的数据流量;数据流量识别模块,用于对数据流量进行特征识别;漏洞识别模块,用于使用流量数据特征对漏洞进行识别;漏洞验证模块,用于对识别出的漏洞进行验证。本发明能够改进现有技术的不足,在保证漏洞识别的准确性的同时,提高了识别过程的速度,实现了漏洞的快速识别。
Description
技术领域
本发明涉及信息安全技术领域,尤其是一种基于数据流量的漏洞识别系统及其识别方法。
背景技术
随着计算机和网络技术的快速发展,物联网、工业控制网等各类通讯控制网络逐渐进入到生产生活的各个领域。为了保证信息通讯安全,需要对网络中的漏洞进行不断的识别和修复。现有技术中对于漏洞的识别一般是基于某些成熟的算法,例如神经网络、决策树,等等,这类识别方法虽然能取得较为准确的识别结果,但是由于算法本身原理的限制,整个识别过程的速度较慢,这就导致对于漏洞识别的实时性和准确性之间产生了冲突。
发明内容
本发明要解决的技术问题是提供一种基于数据流量的漏洞识别系统及其识别方法,能够解决现有技术的不足,在保证漏洞识别的准确性的同时,提高了识别过程的速度,实现了漏洞的快速识别。
为解决上述技术问题,本发明所采取的技术方案如下。
一种基于数据流量的漏洞识别系统,包括:
数据流量提取模块,用于提取通讯链路中的数据流量;
数据流量识别模块,用于对数据流量进行特征识别;
漏洞识别模块,用于使用流量数据特征对漏洞进行识别;
漏洞验证模块,用于对识别出的漏洞进行验证。
一种上述的基于数据流量的漏洞识别系统的识别方法,包括以下步骤:
A、数据流量提取模块提取通讯链路中的数据流量;
B、数据流量识别模块对数据流量进行特征识别;
C、漏洞识别模块使用流量数据特征对漏洞进行识别;
D、漏洞验证模块对识别出的漏洞进行验证。
作为优选,步骤B中,对数据流量进行特征识别包括以下步骤,B1、读取数据流量的端口信息和内容信息;
B2、使用端口信息和内容信息进行检测和匹配,根据检测匹配结果对数据流量中的正常数据和异常数据进行区分;
B3、分别对正常数据和异常数据进行特征识别,得到对应的特征向量集合。
作为优选,步骤B2中,使用读取的端口信息对端口的历史数据进行检查,若历史数据出现异常,则将此端口判定为异常端口,经过此端口的数据判定为异常数据;然后对于经过正常端口发送的数据流量,提取其报文头信息,分对每个正常端口所发送的报文头信息进行聚类分析,若出现报文头信息数量小于该正常端口中报文头信息总量5%的聚类类别,则判定该聚类类别中报文头信息所对应的数据流量为异常数据。
作为优选,步骤B3中,提取每个聚类类别的报文头信息的特征数据,然后依次获取每个正常数据和异常数据所涉及的端口信息,特征向量包括对应正常数据或异常数据的报文头信息特征数据和端口信息。
作为优选,步骤C中,使用流量数据特征对漏洞进行识别包括以下步骤,
C1、使用流量数据特征生成特征矩阵,同时设定判定矩阵;
C2、对特征矩阵进行中心化处理,然后使用判定矩阵对中心化处理后的特征矩阵进行降维;
C3、提取降维后的特征矩阵的特征向量,使用特征矩阵的特征向量与预设的识别向量进行比对,若相似度超过50%,则判定为漏洞。
作为优选,步骤D中,将识别出的漏洞在漏洞验证模块中进行模拟运行,根据模拟运行的结果验证漏洞的真实性,若验证为虚假漏洞,则将步骤C3中所使用的识别向量进行更新。
采用上述技术方案所带来的有益效果在于:本发明摒弃使用现有技术中的成熟算法对漏洞进行识别。而是通过改变数据流量特征的提取方式,简化了数据流量特征的复杂度,然后通过对含有数据流量特征的特征矩阵进行中心化和降维处理,直接使用特征矩阵的特征向量与识别向量进行对比,实现漏洞的识别。整个处理识别过程运算量小,可以有效的提高漏洞识别的速度。最后通过对漏洞进行模拟运行,在不影响正常识别过程的同时,对识别向量进行实时更新,以保证识别准确度。
附图说明
图1是本发明一个具体实施方式的原理图。
具体实施方式
参照图1,本发明一个具体实施方式包括:
数据流量提取模块1,用于提取通讯链路中的数据流量;
数据流量识别模块2,用于对数据流量进行特征识别;
漏洞识别模块3,用于使用流量数据特征对漏洞进行识别;
漏洞验证模块4,用于对识别出的漏洞进行验证。
一种上述的基于数据流量的漏洞识别系统的识别方法,包括以下步骤:
A、数据流量提取模块1提取通讯链路中的数据流量;
B、数据流量识别模块2对数据流量进行特征识别;
C、漏洞识别模块3使用流量数据特征对漏洞进行识别;
D、漏洞验证模块4对识别出的漏洞进行验证。
步骤B中,对数据流量进行特征识别包括以下步骤,
B1、读取数据流量的端口信息和内容信息;
B2、使用端口信息和内容信息进行检测和匹配,根据检测匹配结果对数据流量中的正常数据和异常数据进行区分;
B3、分别对正常数据和异常数据进行特征识别,得到对应的特征向量集合。
步骤B2中,使用读取的端口信息对端口的历史数据进行检查,若历史数据出现异常,则将此端口判定为异常端口,经过此端口的数据判定为异常数据;然后对于经过正常端口发送的数据流量,提取其报文头信息,分对每个正常端口所发送的报文头信息进行聚类分析,若出现报文头信息数量小于该正常端口中报文头信息总量5%的聚类类别,则判定该聚类类别中报文头信息所对应的数据流量为异常数据。
步骤B3中,提取每个聚类类别的报文头信息的特征数据,然后依次获取每个正常数据和异常数据所涉及的端口信息,特征向量包括对应正常数据或异常数据的报文头信息特征数据和端口信息。
步骤C中,使用流量数据特征对漏洞进行识别包括以下步骤,
C1、使用流量数据特征生成特征矩阵,同时设定判定矩阵;
C2、对特征矩阵进行中心化处理,然后使用判定矩阵对中心化处理后的特征矩阵进行降维;
C3、提取降维后的特征矩阵的特征向量,使用特征矩阵的特征向量与预设的识别向量进行比对,若相似度超过50%,则判定为漏洞。
步骤D中,将识别出的漏洞在漏洞验证模块4中进行模拟运行,根据模拟运行的结果验证漏洞的真实性,若验证为虚假漏洞,则将步骤C3中所使用的识别向量进行更新。
本发明开拓了一种全新的漏洞识别方式,有效的解决了现有识别方式识别速度较慢的问题,具有广阔的应用前景。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (7)
1.一种基于数据流量的漏洞识别系统,其特征在于包括:
数据流量提取模块(1),用于提取通讯链路中的数据流量;
数据流量识别模块(2),用于对数据流量进行特征识别;
漏洞识别模块(3),用于使用流量数据特征对漏洞进行识别;
漏洞验证模块(4),用于对识别出的漏洞进行验证。
2.一种权利要求1所述的基于数据流量的漏洞识别系统的识别方法,其特征在于包括以下步骤:
A、数据流量提取模块(1)提取通讯链路中的数据流量;
B、数据流量识别模块(2)对数据流量进行特征识别;
C、漏洞识别模块(3)使用流量数据特征对漏洞进行识别;
D、漏洞验证模块(4)对识别出的漏洞进行验证。
3.根据权利要求2所述的基于数据流量的漏洞识别系统的识别方法,其特征在于:步骤B中,对数据流量进行特征识别包括以下步骤,
B1、读取数据流量的端口信息和内容信息;
B2、使用端口信息和内容信息进行检测和匹配,根据检测匹配结果对数据流量中的正常数据和异常数据进行区分;
B3、分别对正常数据和异常数据进行特征识别,得到对应的特征向量集合。
4.根据权利要求3所述的基于数据流量的漏洞识别系统的识别方法,其特征在于:步骤B2中,使用读取的端口信息对端口的历史数据进行检查,若历史数据出现异常,则将此端口判定为异常端口,经过此端口的数据判定为异常数据;然后对于经过正常端口发送的数据流量,提取其报文头信息,分对每个正常端口所发送的报文头信息进行聚类分析,若出现报文头信息数量小于该正常端口中报文头信息总量5%的聚类类别,则判定该聚类类别中报文头信息所对应的数据流量为异常数据。
5.根据权利要求4所述的基于数据流量的漏洞识别系统的识别方法,其特征在于:步骤B3中,提取每个聚类类别的报文头信息的特征数据,然后依次获取每个正常数据和异常数据所涉及的端口信息,特征向量包括对应正常数据或异常数据的报文头信息特征数据和端口信息。
6.根据权利要求5所述的基于数据流量的漏洞识别系统的识别方法,其特征在于:步骤C中,使用流量数据特征对漏洞进行识别包括以下步骤,
C1、使用流量数据特征生成特征矩阵,同时设定判定矩阵;
C2、对特征矩阵进行中心化处理,然后使用判定矩阵对中心化处理后的特征矩阵进行降维;
C3、提取降维后的特征矩阵的特征向量,使用特征矩阵的特征向量与预设的识别向量进行比对,若相似度超过50%,则判定为漏洞。
7.根据权利要求6所述的基于数据流量的漏洞识别系统的识别方法,其特征在于:步骤D中,将识别出的漏洞在漏洞验证模块(4)中进行模拟运行,根据模拟运行的结果验证漏洞的真实性,若验证为虚假漏洞,则将步骤C3中所使用的识别向量进行更新。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210667777.8A CN115102734B (zh) | 2022-06-14 | 2022-06-14 | 一种基于数据流量的漏洞识别系统及其识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210667777.8A CN115102734B (zh) | 2022-06-14 | 2022-06-14 | 一种基于数据流量的漏洞识别系统及其识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115102734A true CN115102734A (zh) | 2022-09-23 |
| CN115102734B CN115102734B (zh) | 2024-02-20 |
Family
ID=83291554
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210667777.8A Active CN115102734B (zh) | 2022-06-14 | 2022-06-14 | 一种基于数据流量的漏洞识别系统及其识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115102734B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103384213A (zh) * | 2011-12-31 | 2013-11-06 | 华为数字技术(成都)有限公司 | 一种检测规则优化配置方法及设备 |
| CN105245403A (zh) * | 2015-10-27 | 2016-01-13 | 国网智能电网研究院 | 一种基于模糊测试的电网工控协议漏洞挖掘系统和方法 |
| CN105376255A (zh) * | 2015-12-08 | 2016-03-02 | 国网福建省电力有限公司 | 一种基于K-means聚类的Android平台入侵检测方法 |
| CN108322433A (zh) * | 2017-12-18 | 2018-07-24 | 中国软件与技术服务股份有限公司 | 一种基于流检测的网络安全检测方法 |
| CN108600003A (zh) * | 2018-04-19 | 2018-09-28 | 中国科学院信息工程研究所 | 一种面向视频监控网络的入侵检测方法、装置及系统 |
| CN110881034A (zh) * | 2019-11-11 | 2020-03-13 | 重庆工业职业技术学院 | 一种基于虚拟化技术的计算机网络安全系统 |
| CN112003869A (zh) * | 2020-08-28 | 2020-11-27 | 国网重庆市电力公司电力科学研究院 | 一种基于流量的漏洞识别方法 |
| US20210021630A1 (en) * | 2019-07-19 | 2021-01-21 | Jpmorgan Chase Bank, N.A. | System and method for implementing a vulnerability management module |
| CN112491917A (zh) * | 2020-12-08 | 2021-03-12 | 物鼎安全科技(武汉)有限公司 | 一种物联网设备未知漏洞识别方法及装置 |
| WO2021061396A1 (en) * | 2019-09-26 | 2021-04-01 | Forescout Technologies, Inc. | Anomaly detection including property changes |
| US20210168165A1 (en) * | 2019-12-02 | 2021-06-03 | Saudi Arabian Oil Company | Predicting false positives from vulnerability scanners using data analytics and machine learning |
| CN113238536A (zh) * | 2021-06-04 | 2021-08-10 | 西安热工研究院有限公司 | 一种工业控制系统网络漏洞识别方法、装置及其相关设备 |
| CN113468537A (zh) * | 2021-06-15 | 2021-10-01 | 江苏大学 | 一种基于改进自编码器的特征提取及漏洞利用攻击检测方法 |
-
2022
- 2022-06-14 CN CN202210667777.8A patent/CN115102734B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103384213A (zh) * | 2011-12-31 | 2013-11-06 | 华为数字技术(成都)有限公司 | 一种检测规则优化配置方法及设备 |
| CN105245403A (zh) * | 2015-10-27 | 2016-01-13 | 国网智能电网研究院 | 一种基于模糊测试的电网工控协议漏洞挖掘系统和方法 |
| CN105376255A (zh) * | 2015-12-08 | 2016-03-02 | 国网福建省电力有限公司 | 一种基于K-means聚类的Android平台入侵检测方法 |
| CN108322433A (zh) * | 2017-12-18 | 2018-07-24 | 中国软件与技术服务股份有限公司 | 一种基于流检测的网络安全检测方法 |
| CN108600003A (zh) * | 2018-04-19 | 2018-09-28 | 中国科学院信息工程研究所 | 一种面向视频监控网络的入侵检测方法、装置及系统 |
| US20210021630A1 (en) * | 2019-07-19 | 2021-01-21 | Jpmorgan Chase Bank, N.A. | System and method for implementing a vulnerability management module |
| WO2021061396A1 (en) * | 2019-09-26 | 2021-04-01 | Forescout Technologies, Inc. | Anomaly detection including property changes |
| CN110881034A (zh) * | 2019-11-11 | 2020-03-13 | 重庆工业职业技术学院 | 一种基于虚拟化技术的计算机网络安全系统 |
| US20210168165A1 (en) * | 2019-12-02 | 2021-06-03 | Saudi Arabian Oil Company | Predicting false positives from vulnerability scanners using data analytics and machine learning |
| CN112003869A (zh) * | 2020-08-28 | 2020-11-27 | 国网重庆市电力公司电力科学研究院 | 一种基于流量的漏洞识别方法 |
| CN112491917A (zh) * | 2020-12-08 | 2021-03-12 | 物鼎安全科技(武汉)有限公司 | 一种物联网设备未知漏洞识别方法及装置 |
| CN113238536A (zh) * | 2021-06-04 | 2021-08-10 | 西安热工研究院有限公司 | 一种工业控制系统网络漏洞识别方法、装置及其相关设备 |
| CN113468537A (zh) * | 2021-06-15 | 2021-10-01 | 江苏大学 | 一种基于改进自编码器的特征提取及漏洞利用攻击检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| ZHENGUANG LIU; PENG QIAN; XIAOYANG WANG; YUAN ZHUANG; LIN QIU; XUN WANG: "Combining Graph Neural Networks With Expert Knowledge for Smart Contract Vulnerability Detection", 《IEEE TRANSACTIONS ON KNOWLEDGE AND DATA ENGINEERING》, vol. 35, no. 2, pages 1296 - 1310 * |
| 刘兴春: "基于网络流量异常分析的物联网入侵检测算法研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》, pages 136 - 448 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115102734B (zh) | 2024-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112491796B (zh) | 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法 | |
| CN111798312A (zh) | 一种基于孤立森林算法的金融交易系统异常识别方法 | |
| CN111314331A (zh) | 一种基于条件变分自编码器的未知网络攻击检测方法 | |
| CN111881722B (zh) | 一种跨年龄人脸识别方法、系统、装置及存储介质 | |
| CN111598179B (zh) | 电力监控系统用户异常行为分析方法、存储介质和设备 | |
| CN109951462B (zh) | 一种基于全息建模的应用软件流量异常检测系统及方法 | |
| CN111191767A (zh) | 一种基于向量化的恶意流量攻击类型的判断方法 | |
| CN112738014A (zh) | 一种基于卷积时序网络的工控流量异常检测方法及系统 | |
| CN113556319B (zh) | 物联网下基于长短期记忆自编码分类器的入侵检测方法 | |
| CN114399029A (zh) | 一种基于gan样本增强的恶意流量检测方法 | |
| CN111177731A (zh) | 一种基于人工神经网络的软件源代码漏洞检测方法 | |
| CN115622806A (zh) | 一种基于bert-cgan的网络入侵检测方法 | |
| CN115242441A (zh) | 一种基于特征选择和深度神经网络的网络入侵检测方法 | |
| CN113822377B (zh) | 基于对比自学习的伪造人脸检测方法 | |
| CN114826681A (zh) | 一种dga域名检测方法、系统、介质、设备及终端 | |
| CN114218998A (zh) | 一种基于隐马尔可夫模型的电力系统异常行为分析方法 | |
| CN115102734B (zh) | 一种基于数据流量的漏洞识别系统及其识别方法 | |
| CN111369339A (zh) | 一种基于过采样改进svdd的银行客户交易行为异常识别方法 | |
| CN110705638A (zh) | 一种利用深度网络学习模糊信息特征技术的信用评级预测分类方法 | |
| CN116070137A (zh) | 一种针对恶意流量检测的开集识别装置及方法 | |
| CN116467720A (zh) | 一种基于图神经网络的智能合约漏洞检测方法及电子设备 | |
| CN112270548B (zh) | 一种基于深度学习的信用卡欺诈检测方法 | |
| CN114553468A (zh) | 一种基于特征交叉与集成学习的三级网络入侵检测方法 | |
| CN114095268A (zh) | 用于网络入侵检测的方法、终端及存储介质 | |
| CN111274894A (zh) | 一种基于改进YOLOv3的人员在岗状态检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |