CN117118725A - 一种漏洞复现与网端关联分析的方法和装置 - Google Patents
一种漏洞复现与网端关联分析的方法和装置 Download PDFInfo
- Publication number
- CN117118725A CN117118725A CN202311160260.0A CN202311160260A CN117118725A CN 117118725 A CN117118725 A CN 117118725A CN 202311160260 A CN202311160260 A CN 202311160260A CN 117118725 A CN117118725 A CN 117118725A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- container
- target
- flow
- audit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012097 association analysis method Methods 0.000 title description 4
- 230000006399 behavior Effects 0.000 claims abstract description 110
- 238000012550 audit Methods 0.000 claims abstract description 89
- 238000001514 detection method Methods 0.000 claims abstract description 73
- 238000000034 method Methods 0.000 claims abstract description 51
- 238000012098 association analyses Methods 0.000 claims abstract description 38
- 238000004458 analytical method Methods 0.000 claims abstract description 28
- 230000008859 change Effects 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 14
- 238000004088 simulation Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 6
- 238000010606 normalization Methods 0.000 claims description 6
- 230000010076 replication Effects 0.000 claims description 4
- 230000001360 synchronised effect Effects 0.000 abstract description 5
- 230000008569 process Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000010219 correlation analysis Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012216 screening Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 3
- 230000008439 repair process Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 241000272185 Falco Species 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000013079 data visualisation Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种漏洞复现与网端关联分析的方法和装置,涉及网络安全的技术领域,包括:从漏洞容器库中拉取含有指定漏洞的目标漏洞容器,并进行目标漏洞容器中指定漏洞的利用;采集目标漏洞容器的流量数据和内核日志;基于流量检测审计规则对流量数据进行审计,得到流量检测记录;基于容器终端行为审计规则对内核日志进行审计,得到容器终端行为记录;对流量检测记录和容器终端行为记录进行关联分析,得到指定漏洞的威胁分析结果。本发明通过进行目标漏洞容器中指定漏洞的利用,同时采集目标漏洞容器的流量数据和内核日志,实现了容器终端行为和流量行为的同步审计,缓解了现有方法无法有效验证威胁事件关联的有效性的技术问题。
Description
技术领域
本发明涉及网络安全的技术领域,尤其是涉及一种漏洞复现与网端关联分析的方法和装置。
背景技术
为了快速实践高危漏洞攻击与复现,研究如何修复漏洞和防御漏洞,容器化漏洞环境成为了当前的主流方法。虽然容器化封装漏洞环境的方式简化了漏洞环境搭建的时间,但是由于现有主机入侵检测方案中所部署的代理程序无法适应容器中的环境,因此,无法实现容器内部行为的有效审计。并且,现有技术中容器网络侧、终端侧的威胁检测,通常在特定环境中分离测试,最后再进行关联,这种处理方法存在无法有效验证威胁事件关联的有效性的技术问题。
发明内容
本发明的目的在于提供一种漏洞复现与网端关联分析的方法和装置,以缓解了现有方法无法有效验证威胁事件关联的有效性的技术问题。
第一方面,本发明提供一种漏洞复现与网端关联分析的方法,包括:从漏洞容器库中拉取含有指定漏洞的目标漏洞容器,并进行所述目标漏洞容器中指定漏洞的利用;采集所述目标漏洞容器的流量数据和内核日志;基于流量检测审计规则对所述流量数据进行审计,得到流量检测记录;基于容器终端行为审计规则对所述内核日志进行审计,得到容器终端行为记录;对所述流量检测记录和所述容器终端行为记录进行关联分析,得到所述指定漏洞的威胁分析结果。
在可选的实施方式中,基于流量检测审计规则对所述流量数据进行审计,包括:基于所述流量检测审计规则确定流量审计脚本;从所述流量数据中分离出访问所述目标漏洞容器的目标流量数据;利用所述流量审计脚本对所述目标流量数据进行协议审计,得到所述流量检测记录。
在可选的实施方式中,基于容器终端行为审计规则对所述内核日志进行审计,包括:获取所述容器终端行为审计规则中所包含的容器终端行为的所有属性字段;利用所有所述属性字段在所述内核日志中匹配目标日志记录;将所述目标日志记录的集合作为所述容器终端行为记录。
在可选的实施方式中,对所述流量检测记录和所述容器终端行为记录进行关联分析,包括:对所述流量检测记录和所述容器终端行为记录分别进行字段归一化处理,得到归一化后的流量检测记录和归一化后的容器终端行为记录;基于所述归一化后的流量检测记录确定所述目标漏洞容器的网络侧数据变化图表,基于所述归一化后的容器终端行为记录确定所述目标漏洞容器的终端侧数据变化图表;将所述网络侧数据变化图表和所述终端侧数据变化图表进行融合,得到所述指定漏洞的威胁分析结果。
在可选的实施方式中,所述方法还包括:基于所述威胁分析结果确定所述指定漏洞的攻击特征;基于所述攻击特征构建攻击行为数据;利用所述攻击行为数据对所述漏洞容器库中的其他漏洞容器进行模拟攻击,得到每个漏洞容器的模拟攻击结果;确定模拟攻击结果为攻击成功的漏洞容器存在所述指定漏洞。
第二方面,本发明提供一种漏洞复现与网端关联分析的装置,包括:拉取模块,用于从漏洞容器库中拉取含有指定漏洞的目标漏洞容器,并进行所述目标漏洞容器中指定漏洞的利用;采集模块,用于采集所述目标漏洞容器的流量数据和内核日志;第一审计模块,用于基于流量检测审计规则对所述流量数据进行审计,得到流量检测记录;第二审计模块,用于基于容器终端行为审计规则对所述内核日志进行审计,得到容器终端行为记录;关联分析模块,用于对所述流量检测记录和所述容器终端行为记录进行关联分析,得到所述指定漏洞的威胁分析结果。
在可选的实施方式中,所述第一审计模块具体用于:基于所述流量检测审计规则确定流量审计脚本;从所述流量数据中分离出访问所述目标漏洞容器的目标流量数据;利用所述流量审计脚本对所述目标流量数据进行协议审计,得到所述流量检测记录。
在可选的实施方式中,所述第二审计模块具体用于:获取所述容器终端行为审计规则中所包含的容器终端行为的所有属性字段;利用所有所述属性字段在所述内核日志中匹配目标日志记录;将所述目标日志记录的集合作为所述容器终端行为记录。
第三方面,本发明提供一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现前述实施方式中任一项所述的漏洞复现与网端关联分析的方法的步骤。
第四方面,本发明提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令被处理器执行时实现前述实施方式中任一项所述的漏洞复现与网端关联分析的方法。
本发明通过容器审计技术在主机上实现对漏洞容器内部的终端行为监测,解决了无法实现容器内行为审计的问题。并且,本发明通过进行目标漏洞容器中指定漏洞的利用,同时采集目标漏洞容器的流量数据和内核日志,实现了容器终端行为和流量行为的同步审计,缓解了现有方法无法有效验证威胁事件关联的有效性的技术问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种漏洞复现与网端关联分析的方法的流程图;
图2为本发明实施例提供的另一种漏洞复现与网端关联分析方法的逻辑框图;
图3为本发明实施例提供的一种漏洞复现与网端关联分析的装置的功能模块图;
图4为本发明实施例提供的一种电子设备的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图,对本发明的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
为了快速实践高危漏洞攻击与复现,研究如何修复漏洞和防御漏洞,安全人员不得不花大量时间去搭建漏洞环境,但从高危漏洞的识别到漏洞的修复和实现漏洞防御,留给安全人员的时间十分有限和苛刻,甚至和绩效挂钩,这给安全从业人员带来极大的工作压力,针对此类痛点,需要一种新的方法能够简化搭建漏洞环境复杂度,容器化封装漏洞环境解决了这个问题,但是容器内部的异常行为宿主机常用的审计工具无法实现有效审计。并且,网络侧、终端侧的威胁检测,通常在特定环境中分离测试,最后再进行关联,这样带来的问题是无法有效验证威胁事件关联的有效性。有鉴于此,本发明实施例提供了一种漏洞复现与网端关联分析的方法,用以解决上文中所涉及的技术问题。
实施例一
图1为本发明实施例提供的一种漏洞复现与网端关联分析的方法的流程图,如图1所示,该方法具体包括如下步骤:
步骤S102,从漏洞容器库中拉取含有指定漏洞的目标漏洞容器,并进行目标漏洞容器中指定漏洞的利用。
具体的,本发明实施例中,容器主要是指Docker容器/Kubernetes容器,而漏洞容器是指部暑的容器含有漏洞或者容器内部的应用含有漏洞,可以被恶意攻击和利用的容器。通过收集整理来自开源社区和构建含有特定漏洞的漏洞容器,定期增量维护漏洞容器镜像到漏洞容器库(例如,容器管理服务器GitLab),并按照漏洞类型、开发语言、数据库、开发框架等进行分类存储。利用容器管理工具,可对漏洞容器库中的漏洞容器进行管理和维护,包括容器的启动、停止、重启、升级和删除等操作。需要说明的是,漏洞容器库中的每个漏洞容器至少包含一种漏洞。
当需要针对指定漏洞分析其攻击原理以及确定检测点做定向分析时,可以从漏洞容器库中拉取(例如,通过git从GitLab漏洞镜像仓库拉取)目标漏洞容器并进行容器漏洞的利用。如果漏洞容器库中含有指定漏洞的目标漏洞容器的数量为多个,那么在进行拉取时,从中随机选择一个即可。
步骤S104,采集目标漏洞容器的流量数据和内核日志。
目标漏洞容器运行之后,为了能够实现容器终端行为和流量行为的同步审计,需要对流量和终端进行监控,因此,本发明实施例在运行目标漏洞容器的主机上部署流量安全工具和容器安全工具,同时采集目标漏洞容器的流量数据和内核日志,其中,流量数据包括目标漏洞容器从外到内的流量和从内到外的流量,从外到内的流量表示访问目标漏洞容器的流量,从内到外的流量表示目标漏洞容器访问外部的流量。内核日志中包含目标漏洞容器内部发生的所有内部行为。本发明实施例不对流量安全工具和容器安全工具进行具体限定,用户可以根据实际需求进行选择。
步骤S106,基于流量检测审计规则对流量数据进行审计,得到流量检测记录。
采集到流量数据和内核日志之后,流量安全工具可根据流量检测审计规则对流量数据进行审计,也即,实现特定筛选条件下协议流量的识别审计,从而得到流量检测记录,并存储到本地。其中,特定筛选条件包括:源目的IP地址、源目的端口、协议、数据包payload、HTTP内容、流量方向、TLS证书等。协议流量包括:FTP、SMTP、HTTP、ICMP、DNS等,上述特定筛选条件以及协议流量类型用户应根据实际需求进行设定,从而得到相应的流量检测审计规则。
步骤S108,基于容器终端行为审计规则对内核日志进行审计,得到容器终端行为记录。
容器安全工具根据容器终端行为审计规则对内核日志进行审计,以对容器终端行为进行细粒度行为审计,得到容器终端行为记录,并存储到本地。可选地,流量检测记录和容器终端行为记录均以json格式日志写入本地文件。
图2为本发明实施例提供的另一种漏洞复现与网端关联分析方法的逻辑框图,基于图2可知,流量安全工具和容器安全工具均集成在网端审计实现模块中,该模块用于从漏洞容器库中拉取目标漏洞容器,进行目标漏洞容器中指定漏洞的利用,以生成安全审计数据,安全审计数据包括:流量检测记录和容器终端行为记录。
步骤S110,对流量检测记录和容器终端行为记录进行关联分析,得到指定漏洞的威胁分析结果。
具体的,在得到流量检测记录和容器终端行为记录之后,为了有效验证威胁事件关联的有效性,需要将上述两种记录进行关联分析,其中,关联分析包括:聚合、关联、归并和统计,以实现数据可视化和可读性,并把漏洞事件本身关注的核心字段进行展示,得到指定漏洞的威胁分析结果。例如,得到一个汇总威胁分析面板,该分析面板会随着实时数据的变化而变化。通过对审计数据的变化分析,能快速确定审计关键点和审计缺陷。
本发明通过容器审计技术在主机上实现对漏洞容器内部的终端行为监测,解决了无法实现容器内行为审计的问题。并且,本发明通过进行目标漏洞容器中指定漏洞的利用,同时采集目标漏洞容器的流量数据和内核日志,实现了容器终端行为和流量行为的同步审计,缓解了现有方法无法有效验证威胁事件关联的有效性的技术问题。
在一个可选的实施方式中,上述步骤S106,基于流量检测审计规则对流量数据进行审计,具体包括如下步骤:
步骤S1061,基于流量检测审计规则确定流量审计脚本。
可选地,流量安全工具采用Suricata,因此为了进行流量审计,首先需要根据流量检测审计规则确定流量审计脚本,例如利用lua语言编写的脚本。
步骤S1062,从流量数据中分离出访问目标漏洞容器的目标流量数据。
根据上文中的介绍可知,采集到的目标漏洞容器的流量数据包括从外到内的流量和从内到外的流量,鉴于本发明实施例主要目的是分析指定漏洞的攻击原理,因此,只需对从外到内的流量进行审计即可,也即,分离出攻击者访问目标漏洞容器的目标流量数据。
步骤S1063,利用流量审计脚本对目标流量数据进行协议审计,得到流量检测记录。
接下来,利用Suricata嵌入lua审计脚本代码即可对目标流量数据进行细粒度协议审计,从而得到流量检测记录。例如,通过Sricata编写规则进行识别审计,以检测特定的恶意软件流量:alert tcp any any->any any(msg:"检测到可疑流量";content:"|FF|SMB";sid:111111;)。
在一个可选的实施方式中,上述步骤S108,基于容器终端行为审计规则对内核日志进行审计,具体包括如下步骤:
步骤S1081,获取容器终端行为审计规则中所包含的容器终端行为的所有属性字段。
可选地,容器安全工具采用falco,本发明实施例使用falco结合编写的全字段审计配置规则,监控目标漏洞容器内部发生的所有内部行为,其中,全字段审计配置规则是根据容器终端行为审计规则中所包含的容器终端行为的所有属性字段构建的规则,容器终端行为包括:进程创建、文件创建、网络连接、域名访问等内部行为,全字段是指包含各个容器终端行为的所有属性字段,例如,进程创建的容器终端行为所对应的属性字段包括:进程ID、父进程ID、进程路径、命令行参数、时间戳等,本发明实施例不对各个容器终端行为的属性字段进行枚举,用户根据实际需求进行设定。
步骤S1082,利用所有属性字段在内核日志中匹配目标日志记录。
步骤S1083,将目标日志记录的集合作为容器终端行为记录。
已知内核日志记录了目标漏洞容器在多层面的操作行为,因此,为了筛选出分析所需的容器终端行为,本发明实施例利用上述属性字段在内核日志中进行筛选,将符合筛选条件的目标日志记录的集合作为容器终端行为记录。
在一个可选的实施方式中,上述步骤S110,对流量检测记录和容器终端行为记录进行关联分析,具体包括如下步骤:
步骤S1101,对流量检测记录和容器终端行为记录分别进行字段归一化处理,得到归一化后的流量检测记录和归一化后的容器终端行为记录。
具体的,网端审计实现模块生成流量检测记录和容器终端行为记录两种日志数据之后,可使用filebeat等日志消费工具对产生的日志文件统一读取和转发。本发明实施例采用安全审计数据处理单元对以上两种日志记录进行处理,在得到流量检测记录和容器终端行为记录之后,为了便于关联威胁行为分析,安全审计数据处理单元对二者进行标准化解码,也即,对两种日志进行事件字段归一化处理,以使归一化后的流量检测记录和归一化后的容器终端行为记录遵循ECS(Elastic Common Schema)日志标准。
因此,对于后续增加的安全审计工具(譬如sysmon、zeek等),按照ECS标准实现统一字段解析,只需新增解析规则(logstash承担)就可以实现数据审计能力扩展。
步骤S1102,基于归一化后的流量检测记录确定目标漏洞容器的网络侧数据变化图表,基于归一化后的容器终端行为记录确定目标漏洞容器的终端侧数据变化图表。
步骤S1103,将网络侧数据变化图表和终端侧数据变化图表进行融合,得到指定漏洞的威胁分析结果。
在将流量检测记录和容器终端行为记录进行字段归一化处理之后,将处理结果输出到分析平台,例如,kibana,就可以通过kibana对威胁分析结果进行分析呈现。具体的,基于kibana的自定图表面板功能,分别设计流量安全事件展示表和容器终端安全展示表,得到网络侧数据变化图表和终端侧数据变化图表,并把事件本身关注的核心字段进行展示,然后再将两个图表进行融合,得到汇总威胁分析面板,该汇总威胁分析面板可随着实时数据的变化而变化,展示指定漏洞的威胁分析结果。
基于上文中的描述可知,安全审计能力的扩展主要是依靠检测工具,而检测工具目前社区有很多选择,其中也有很多优秀的工具,本发明实施可以根据实际需求引入第三方的审计工具,整合安全审计能力,补充和完善单个组件的检测能力不足的情况,以持续扩展安全检测能力。
在一个可选的实施方式中,本发明方法还包括如下步骤:
步骤S201,基于威胁分析结果确定指定漏洞的攻击特征。
步骤S202,基于攻击特征构建攻击行为数据。
步骤S203,利用攻击行为数据对漏洞容器库中的其他漏洞容器进行模拟攻击,得到每个漏洞容器的模拟攻击结果。
步骤S204,确定模拟攻击结果为攻击成功的漏洞容器存在指定漏洞。
在完成指定漏洞的威胁关联分析之后,为了检测其它容器的安全状态,首先根据已得到的威胁分析结果确定指定漏洞的攻击特征,攻击特征例如特定的攻击字段,进而根据攻击特征构建攻击行为数据,再利用攻击行为数据对漏洞容器库中的其他漏洞容器进行模拟攻击和漏洞利用测试,以发现存在有相同漏洞并利用成功的容器。
本发明实施例能够将容器环境的已知漏洞利用的网络流量和主机行为检测来提炼攻击过程,将攻击过程转换红队攻击方法,将模拟攻击其它容器是否成功的结果汇总在威胁分析面板进行展示,也即,进行模拟攻击后,产生的多源日志数据可以同步实时展现,可以有效的分析威胁产生过程。
本发明实施例通过容器技术解决漏洞环境搭建复杂度问题,并同时兼顾容器终端行为和流量行为审计问题,将容器化漏洞和安全审计工具进行结合,实现了网络和终端联合分析检测。通过提取攻击特征作为其他容器的检测手段/方法,加快了未知容器的威胁关联分析,结合模拟攻击实现可实时动态的网络流量与终端行为的关联检测,并且通过数据标准化保证多审计组件检测能力及低成本横向扩展能力。
实施例二
本发明实施例还提供了一种漏洞复现与网端关联分析的装置,该装置主要用于执行上述实施例一所提供的漏洞复现与网端关联分析的方法,以下对本发明实施例提供的漏洞复现与网端关联分析的装置做具体介绍。
图3是本发明实施例提供的一种漏洞复现与网端关联分析的装置的功能模块图,如图3所示,该装置主要包括:拉取模块10,采集模块20,第一审计模块30,第二审计模块40,关联分析模块50,其中:
拉取模块10,用于从漏洞容器库中拉取含有指定漏洞的目标漏洞容器,并进行目标漏洞容器中指定漏洞的利用。
采集模块20,用于采集目标漏洞容器的流量数据和内核日志。
第一审计模块30,用于基于流量检测审计规则对流量数据进行审计,得到流量检测记录。
第二审计模块40,用于基于容器终端行为审计规则对内核日志进行审计,得到容器终端行为记录。
关联分析模块50,用于对流量检测记录和容器终端行为记录进行关联分析,得到指定漏洞的威胁分析结果。
本发明实施例通过容器审计技术在主机上实现对漏洞容器内部的终端行为监测,解决了无法实现容器内行为审计的问题。并且,本发明实施例通过进行目标漏洞容器中指定漏洞的利用,同时采集目标漏洞容器的流量数据和内核日志,实现了容器终端行为和流量行为的同步审计,缓解了现有方法无法有效验证威胁事件关联的有效性的技术问题。
可选地,第一审计模块30具体用于:
基于流量检测审计规则确定流量审计脚本。
从流量数据中分离出访问目标漏洞容器的目标流量数据。
利用流量审计脚本对目标流量数据进行协议审计,得到流量检测记录。
可选地,第二审计模块40具体用于:
获取容器终端行为审计规则中所包含的容器终端行为的所有属性字段。
利用所有属性字段在内核日志中匹配目标日志记录。
将目标日志记录的集合作为容器终端行为记录。
可选地,关联分析模块50具体用于:
对流量检测记录和容器终端行为记录分别进行字段归一化处理,得到归一化后的流量检测记录和归一化后的容器终端行为记录。
基于归一化后的流量检测记录确定目标漏洞容器的网络侧数据变化图表,基于归一化后的容器终端行为记录确定目标漏洞容器的终端侧数据变化图表。
将网络侧数据变化图表和终端侧数据变化图表进行融合,得到指定漏洞的威胁分析结果。
可选地,该装置还用于:
基于威胁分析结果确定指定漏洞的攻击特征。
基于攻击特征构建攻击行为数据。
利用攻击行为数据对漏洞容器库中的其他漏洞容器进行模拟攻击,得到每个漏洞容器的模拟攻击结果。
确定模拟攻击结果为攻击成功的漏洞容器存在指定漏洞。
实施例三
参见图4,本发明实施例提供了一种电子设备,该电子设备包括:处理器60,存储器61,总线62和通信接口63,所述处理器60、通信接口63和存储器61通过总线62连接;处理器60用于执行存储器61中存储的可执行模块,例如计算机程序。
其中,存储器61可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口63(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线62可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器61用于存储程序,所述处理器60在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的过程定义的装置所执行的方法可以应用于处理器60中,或者由处理器60实现。
处理器60可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器60中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器60可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器61,处理器60读取存储器61中的信息,结合其硬件完成上述方法的步骤。
本发明实施例所提供的一种漏洞复现与网端关联分析的方法和装置的计算机程序产品,包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
此外,术语“水平”、“竖直”、“悬垂”等术语并不表示要求部件绝对水平或悬垂,而是可以稍微倾斜。如“水平”仅仅是指其方向相对“竖直”而言更加水平,并不是表示该结构一定要完全水平,而是可以稍微倾斜。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种漏洞复现与网端关联分析的方法,其特征在于,包括:
从漏洞容器库中拉取含有指定漏洞的目标漏洞容器,并进行所述目标漏洞容器中指定漏洞的利用;
采集所述目标漏洞容器的流量数据和内核日志;
基于流量检测审计规则对所述流量数据进行审计,得到流量检测记录;
基于容器终端行为审计规则对所述内核日志进行审计,得到容器终端行为记录;
对所述流量检测记录和所述容器终端行为记录进行关联分析,得到所述指定漏洞的威胁分析结果。
2.根据权利要求1所述的漏洞复现与网端关联分析的方法,其特征在于,基于流量检测审计规则对所述流量数据进行审计,包括:
基于所述流量检测审计规则确定流量审计脚本;
从所述流量数据中分离出访问所述目标漏洞容器的目标流量数据;
利用所述流量审计脚本对所述目标流量数据进行协议审计,得到所述流量检测记录。
3.根据权利要求1所述的漏洞复现与网端关联分析的方法,其特征在于,基于容器终端行为审计规则对所述内核日志进行审计,包括:
获取所述容器终端行为审计规则中所包含的容器终端行为的所有属性字段;
利用所有所述属性字段在所述内核日志中匹配目标日志记录;
将所述目标日志记录的集合作为所述容器终端行为记录。
4.根据权利要求1所述的漏洞复现与网端关联分析的方法,其特征在于,对所述流量检测记录和所述容器终端行为记录进行关联分析,包括:
对所述流量检测记录和所述容器终端行为记录分别进行字段归一化处理,得到归一化后的流量检测记录和归一化后的容器终端行为记录;
基于所述归一化后的流量检测记录确定所述目标漏洞容器的网络侧数据变化图表,基于所述归一化后的容器终端行为记录确定所述目标漏洞容器的终端侧数据变化图表;
将所述网络侧数据变化图表和所述终端侧数据变化图表进行融合,得到所述指定漏洞的威胁分析结果。
5.根据权利要求1所述的漏洞复现与网端关联分析的方法,其特征在于,所述方法还包括:
基于所述威胁分析结果确定所述指定漏洞的攻击特征;
基于所述攻击特征构建攻击行为数据;
利用所述攻击行为数据对所述漏洞容器库中的其他漏洞容器进行模拟攻击,得到每个漏洞容器的模拟攻击结果;
确定模拟攻击结果为攻击成功的漏洞容器存在所述指定漏洞。
6.一种漏洞复现与网端关联分析的装置,其特征在于,包括:
拉取模块,用于从漏洞容器库中拉取含有指定漏洞的目标漏洞容器,并进行所述目标漏洞容器中指定漏洞的利用;
采集模块,用于采集所述目标漏洞容器的流量数据和内核日志;
第一审计模块,用于基于流量检测审计规则对所述流量数据进行审计,得到流量检测记录;
第二审计模块,用于基于容器终端行为审计规则对所述内核日志进行审计,得到容器终端行为记录;
关联分析模块,用于对所述流量检测记录和所述容器终端行为记录进行关联分析,得到所述指定漏洞的威胁分析结果。
7.根据权利要求6所述的漏洞复现与网端关联分析的装置,其特征在于,所述第一审计模块具体用于:
基于所述流量检测审计规则确定流量审计脚本;
从所述流量数据中分离出访问所述目标漏洞容器的目标流量数据;
利用所述流量审计脚本对所述目标流量数据进行协议审计,得到所述流量检测记录。
8.根据权利要求6所述的漏洞复现与网端关联分析的装置,其特征在于,所述第二审计模块具体用于:
获取所述容器终端行为审计规则中所包含的容器终端行为的所有属性字段;
利用所有所述属性字段在所述内核日志中匹配目标日志记录;
将所述目标日志记录的集合作为所述容器终端行为记录。
9.一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述的漏洞复现与网端关联分析的方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令被处理器执行时实现权利要求1至5中任一项所述的漏洞复现与网端关联分析的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311160260.0A CN117118725A (zh) | 2023-09-08 | 2023-09-08 | 一种漏洞复现与网端关联分析的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311160260.0A CN117118725A (zh) | 2023-09-08 | 2023-09-08 | 一种漏洞复现与网端关联分析的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117118725A true CN117118725A (zh) | 2023-11-24 |
Family
ID=88812653
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311160260.0A Pending CN117118725A (zh) | 2023-09-08 | 2023-09-08 | 一种漏洞复现与网端关联分析的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117118725A (zh) |
-
2023
- 2023-09-08 CN CN202311160260.0A patent/CN117118725A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| CN103428196B (zh) | 一种基于url白名单的web应用入侵检测方法 | |
| KR101239401B1 (ko) | 보안 시스템의 로그 분석 시스템 및 방법 | |
| CN103026345B (zh) | 用于事件监测优先级的动态多维模式 | |
| EP3726410B1 (en) | Interpretation device, interpretation method and interpretation program | |
| CN113486351A (zh) | 一种民航空管网络安全检测预警平台 | |
| US20130298254A1 (en) | Methods and systems for detecting suspected data leakage using traffic samples | |
| RU2757597C1 (ru) | Системы и способы сообщения об инцидентах компьютерной безопасности | |
| CN114584405A (zh) | 一种电力终端安全防护方法及系统 | |
| CN106101130A (zh) | 一种网络恶意数据检测方法、装置及系统 | |
| CN105812200A (zh) | 异常行为检测方法及装置 | |
| CN110535806A (zh) | 监测异常网站的方法、装置、设备和计算机存储介质 | |
| CN109144023A (zh) | 一种工业控制系统的安全检测方法和设备 | |
| CN116451215A (zh) | 关联分析方法及相关设备 | |
| Roschke et al. | Using vulnerability information and attack graphs for intrusion detection | |
| CN117201273A (zh) | 安全告警自动化分析降噪方法、装置及服务器 | |
| CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| KR101384618B1 (ko) | 노드 분석 기법을 이용한 위험요소 추출 시스템 | |
| CN115865525A (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN117118725A (zh) | 一种漏洞复现与网端关联分析的方法和装置 | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
| CN114397988A (zh) | 安全分析数据的展示方法、装置、系统、电子设备和介质 | |
| Kergl et al. | Detection of zero day exploits using real-time social media streams | |
| CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
| CN112084504A (zh) | 病毒文件的处理方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |