CN111881460B - 一种漏洞利用检测方法、***、设备及计算机存储介质 - Google Patents
一种漏洞利用检测方法、***、设备及计算机存储介质 Download PDFInfo
- Publication number
- CN111881460B CN111881460B CN202010783766.7A CN202010783766A CN111881460B CN 111881460 B CN111881460 B CN 111881460B CN 202010783766 A CN202010783766 A CN 202010783766A CN 111881460 B CN111881460 B CN 111881460B
- Authority
- CN
- China
- Prior art keywords
- log
- exploit
- attack
- dangerous
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 172
- 230000002159 abnormal effect Effects 0.000 claims abstract description 90
- 238000000034 method Methods 0.000 claims abstract description 66
- 230000006399 behavior Effects 0.000 claims description 54
- 230000008569 process Effects 0.000 claims description 43
- 238000004590 computer program Methods 0.000 claims description 38
- 230000004931 aggregating effect Effects 0.000 claims description 7
- 230000000875 corresponding effect Effects 0.000 description 45
- 230000005856 abnormality Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种漏洞利用检测方法、***、设备及计算机可读存储介质,获取目标设备记录的***日志,***日志包括***安全防护日志和/或***危险操作日志;在***日志中,检测出满足异常规则的异常日志;对异常日志进行漏洞利用检测,得到漏洞利用检测结果。本申请中,可以根据异常规则检测出***日志中的异常日志,并对异常日志进行漏洞利用检测,得到相应的漏洞利用检测结果,由于***日志准确记载了目标设备中的操作信息,所以异常日志能够准确反映目标设备中发生的所有漏洞利用,因此根据异常日志得到的漏洞利用检测结果一定为目标设备中准确发生的全部漏洞利用,对漏洞利用的检测准确性高。
Description
技术领域
本申请涉及网络安全技术领域,更具体地说,涉及一种漏洞利用检测方法、***、设备及计算机存储介质。
背景技术
漏洞是在硬件、软件、协议的具体实现或操作***安全策略上存在的缺陷,从而使攻击者能够在未经授权的情况下访问或者破外***;漏洞利用便指的是利用程序中的某些漏洞,来得到计算机的控制权。为了保证计算机等的网络安全,需要进行漏洞利用检测,比如通过特征匹配或者指纹识别来进行漏洞利用检测等。
然而,在特征识别过程中,由于漏洞利用特征的多样性,可能出现遗漏漏洞利用的情况;而在指纹识别过程中,由于漏洞利用的多变性,难以第一时间检测出漏洞利用。
综上所述,如何提高漏洞利用检测的准确性是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种漏洞利用检测方法,其能在一定程度上解决如何提高漏洞利用检测的准确性的技术问题。本申请还提供了一种漏洞利用检测***、设备及计算机可读存储介质。
为了实现上述目的,本申请提供如下技术方案:
一种漏洞利用检测方法,包括:
获取目标设备记录的***日志;所述***日志包括***安全防护日志和/或***危险操作日志;
在所述***日志中,检测出满足异常规则的异常日志;
对所述异常日志进行漏洞利用检测,得到漏洞利用检测结果。
优选的,所述对所述异常日志进行漏洞利用检测,得到漏洞利用检测结果,包括:
获取与所述异常日志对应的操作结果;
判断所述操作结果是否安全;
若所述操作结果不安全,则将不安全的所述操作结果对应的所述异常日志作为危险日志;
基于所述危险日志、和所述危险日志对应的所述操作结果、和所述危险日志满足的所述异常规则,确定所述漏洞利用检测结果。
优选的,所述基于所述危险日志、和所述危险日志对应的所述操作结果、和所述危险日志满足的所述异常规则,确定所述漏洞利用检测结果,包括:
基于所述危险日志确定对应的漏洞利用的攻击时间;
基于所述危险日志对应的所述操作结果,确定所述漏洞利用的攻击方式;
基于所述危险日志满足的所述异常规则,确定所述漏洞利用的攻击类型;
将所述攻击时间、和所述攻击方式、和所述攻击类型作为所述漏洞利用检测结果。
优选的,所述将所述攻击时间、和所述攻击方式、和所述攻击类型作为所述漏洞利用检测结果,包括:
基于所述***日志间的关联,对所述漏洞利用的攻击过程进行追溯,得到所述漏洞利用的攻击行为;
基于所述攻击时间和所述攻击方式和所述攻击类型及所述攻击行为生成攻击行为画像,将所述攻击行为画像作为所述漏洞利用检测结果。
优选的,所述对所述异常日志进行漏洞利用检测,得到漏洞利用检测结果之后,还包括:
显示所述漏洞利用检测结果。
优选的,所述判断所述操作结果是否安全,包括:
判断所述操作结果的操作类型是否为危险操作类型;
若所述操作结果的操作类型为所述危险操作类型,则判定所述操作结果不安全;
若所述操作结果的操作类型并非所述危险操作类型,则判定所述操作结果安全;
其中,所述危险操作包括远程下载文件和/或执行高权限命令。
优选的,所述对所述异常日志进行漏洞利用检测,得到漏洞利用检测结果之后,还包括:
对网络中所有的漏洞利用检测结果进行聚合,得到相同漏洞利用的攻击者或单个攻击事件的攻击者行为画像。
优选的,所述得到相同漏洞利用的攻击者或单个攻击事件的攻击者行为画像之后,还包括:
显示所述相同漏洞利用的攻击者或单个漏洞利用攻击事件的攻击者行为画像。
优选的,所述异常规则包括进程异常调用规则和/或网络异常连接规则和/或文件异常操作规则。
一种漏洞利用检测***,包括:
第一获取模块,用于获取目标设备记录的***日志;所述***日志包括***安全防护日志和/或***危险操作日志;
第一检测模块,用于在所述***日志中,检测出满足异常规则的异常日志;
第二检测模块,用于对所述异常日志进行漏洞利用检测,得到漏洞利用检测结果。
一种漏洞利用检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一所述漏洞利用检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述漏洞利用检测方法的步骤。
本申请提供的一种漏洞利用检测方法,获取目标设备记录的***日志,***日志包括***安全防护日志和/或***危险操作日志;在***日志中,检测出满足异常规则的异常日志;对异常日志进行漏洞利用检测,得到漏洞利用检测结果。本申请中,可以根据异常规则检测出***日志中的异常日志,并对异常日志进行漏洞利用检测,得到相应的漏洞利用检测结果,由于***日志准确记载了目标设备中的操作信息,所以异常日志能够准确反映目标设备中发生的所有漏洞利用,因此根据异常日志得到的漏洞利用检测结果一定为目标设备中准确发生的全部漏洞利用,对漏洞利用的检测准确性高。本申请提供的一种漏洞利用检测***、设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种漏洞利用检测方法的第一流程图;
图2为本申请实施例提供的一种漏洞利用检测方法的第二流程图;
图3为实际应用中漏洞利用检测方法的流程图;
图4为本申请实施例提供的一种漏洞利用检测***的结构示意图;
图5为本申请实施例提供的一种漏洞利用检测设备的结构示意图;
图6为本申请实施例提供的一种漏洞利用检测设备的另一结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,图1为本申请实施例提供的一种漏洞利用检测方法的第一流程图。
本申请实施例提供的一种漏洞利用检测方法,可以包括以下步骤:
步骤S101:获取目标设备记录的***日志;***日志包括***安全防护日志和/或***危险操作日志。
实际应用中,由于漏洞利用涉及***的安全防护和危险操作,所以可以先获取目标设备记录的***日志,以便后续根据***日志对目标设备中的漏洞利用进行检测,且***日志可以包括***安全防护日志和/或***危险操作日志。
应当指出,具体应用场景中,设备可能未开启采集***安全防护日志及***危险操作日志的功能,此时可以预先为设备开启采集***安全防护日志及***危险操作日志的功能,以便能够获取目标设备记录的***日志。此外,***安全防护日志指的是设备进行安全防护过程中生成的日志,***危险操作日志指的设备发现自身的危险操作后生成的日志,***安全防护日志及***危险操作日志的内容均可以根据实际需要确定。
步骤S102:在***日志中,检测出满足异常规则的异常日志。
实际应用中,因为漏洞利用属于对设备的攻击,所以存在漏洞利用的设备本身会存在异常,因此在获取目标设备记录的***日志之后,可以在***日志中,检测出满足异常规则的异常日志,以便后续根据异常日志来对目标设备进行漏洞利用检测。
应当指出,异常规则可以根据实际需要来确定,只要能够检测出***日志中的异常日志即可。且在检测异常日志时,可以将***日志的特征与异常规则的特征相比对,判断***日志的特征是否命中异常规则的特征,并根据特征命中的情况来决定***日志是否为异常日志,比如可以将全部命中异常规则特征的***日志作为异常日志等。
步骤S103:对异常日志进行漏洞利用检测,得到漏洞利用检测结果。
实际应用中,目标设备中存在异常日志的话,并不能代表目标设备一定发生了漏洞利用,为了准确识别出目标设备中的漏洞利用,在***日志中,检测出满足异常规则的异常日志之后,还需要对异常日志进行漏洞利用检测,得到准确的漏洞利用检测结果。
应当指出,因为漏洞利用指的是利用程序中的某些漏洞,来得到计算机的控制权,所以漏洞利用会对设备的控制权进行攻击,因此在对异常日志进行漏洞利用检测,得到漏洞利用检测结果的过程中,可以判断异常日志所反映的异常情况是否为对设备的控制权进行了攻击,若异常日志所反映的异常情况为对设备的控制权进行了攻击,则可以判定异常日志反映了漏洞利用的相关信息,后续便可以根据异常日志来得到相应的漏洞利用检测结果,且漏洞利用检测结果的信息类型可以根据实际需要确定,比如可以包括漏洞利用的攻击方式、攻击时间等。
本申请提供的一种漏洞利用检测方法,获取目标设备记录的***日志;在***日志中,检测出满足异常规则的异常日志;对异常日志进行漏洞利用检测,得到漏洞利用检测结果;其中,***日志的类型包括***安全防护日志、***危险操作日志。本申请中,可以根据异常规则检测出***日志中的异常日志,并对异常日志进行漏洞利用检测,得到相应的漏洞利用检测结果,由于***日志准确记载了目标设备中的操作信息,所以异常日志能够准确反映目标设备中发生的所有漏洞利用,因此根据异常日志得到的漏洞利用检测结果一定为目标设备中准确发生的全部漏洞利用,对漏洞利用的检测准确性高。
请参阅图2,图2为本申请实施例提供的一种漏洞利用检测方法的第二流程图。
本申请实施例提供的一种漏洞利用检测方法,可以包括以下步骤:
步骤S201:获取目标设备记录的***日志;***日志包括***安全防护日志和/或***危险操作日志。
步骤S202:在***日志中,检测出满足异常规则的异常日志。
步骤S203:获取与异常日志对应的操作结果。
实际应用中,由于漏洞利用会对设备带来危害,该危害在设备中的表现形式是设备执行相应操作后的操作结果不安全,所以根据日志的操作结果来对异常日志进行漏洞利用检测,得到漏洞利用检测结果的过程中,可以先获取与异常日志对应的操作结果,后续根据操作结果是否安全来判定异常日志是否存在漏洞利用。
应当指出,异常日志对应的操作结果也即目标设备执行异常日志记载的操作后得到的结果,操作结果可以为新增文件、变动文件、发送文件等。
步骤S204:判断操作结果是否安全;若操作结果不安全,则执行步骤S205。
步骤S205:将不安全的操作结果对应的异常日志作为危险日志,执行步骤S206。
步骤S206:基于危险日志、和危险日志对应的操作结果、和危险日志满足的异常规则,确定漏洞利用检测结果。
实际应用中,在获取与异常日志对应的操作结果之后,便可以判断操作结果是否安全,若操作结果不安全,则表示不安全操作结果对应的日志中携带有漏洞利用,此时可以将不安全的操作结果对应的异常日志作为危险日志;基于危险日志、和危险日志对应的操作结果、和危险日志满足的异常规则,确定出漏洞利用检测结果。
本申请实施例提供的一种漏洞利用检测方法中,为了便于了解设备中发生的漏洞利用,在基于危险日志、和危险日志对应的操作结果、和危险日志满足的异常规则,确定漏洞利用检测结果的过程中,可以基于危险日志确定对应的漏洞利用的攻击时间;基于危险日志对应的操作结果,确定漏洞利用的攻击方式;基于危险日志满足的异常规则,确定漏洞利用的攻击类型;将攻击时间和攻击方式和攻击类型作为漏洞利用检测结果。使得用户等根据漏洞利用检测结果可以获知该漏洞利用的攻击时间、攻击方式、攻击类型等信息。
应当指出,漏洞利用检测结果中包含的信息可以根据实际需要灵活确定,本申请在此不做具体限定。
本申请实施例提供的一种漏洞利用检测方法中,虽然危险日志能够反映漏洞利用的攻击信息,但漏洞利用发生的源头信息等可能并不能从危险日志中获取,而日志记录的是设备中发生的事件信息,设备发生的事件信息间存在先后顺序、因果顺序等关联,所以设备记录的***日志间也存在关联,因此可以基于***日志间的关联,对漏洞利用的攻击过程进行追溯,得到漏洞利用的攻击行为,以便用户等根据攻击行为获知漏洞利用的攻击过程;也即在将攻击时间和攻击方式和攻击类型作为漏洞利用检测结果的过程中,可以基于***日志间的关联,对漏洞利用的攻击过程进行追溯,得到漏洞利用的攻击行为;基于攻击时间和攻击方式和攻击类型和攻击行为生成攻击行为画像,并将攻击行为画像作为漏洞利用检测结果。
应当指出,攻击行为携带的信息可以为与漏洞利用相关的日志信息,也可以为与漏洞利用相关的操作信息等,攻击行为携带的信息类型可以根据实际需要确定。且为了便于用户等查看漏洞利用检测结果,在得到漏洞利用检测结果之后,还可以显示漏洞利用检测结果。
本申请实施例提供的一种漏洞利用检测方法中,在判断操作结果是否安全的过程中,为了便于确定操作结果是否安全,可以将操作结果的操作类型与预设的危险操作类型进行比较,以此确定操作结果的安全与否,也即可以判断操作结果的操作类型是否为危险操作类型;若操作结果的操作类型为危险操作类型,则判定操作结果不安全;若操作结果的操作类型并非危险操作类型,则判定操作结果安全;其中,危险操作包括远程下载文件和/或执行高权限命令。
应当指出,本申请列出的远程下载文件、执行高权限命令等只是可能的危险操作类型,危险操作类型的具体类型可以根据实际需要灵活确定,本申请对其不做具体限定。
本申请实施例提供的一种漏洞利用检测方法中,对目标设备进行漏洞利用检测后,得到的只是该目标设备中的漏洞利用检测结果,其只能反映目标设备中发生的漏洞类型,但是实际应用中,存在某个攻击者发布了很多相似的漏洞利用的情况,比如攻击者在攻击局域网的过程中,向局域网中的各个设备发送了漏洞利用,在此过程中,虽然各个设备上的漏洞利用不会完全相同,但各个设备上的漏洞利用间会存在共性,该共性能够反映攻击者在设计漏洞利用时的相关信息,比如反映攻击者的漏洞利用设计原理等,也即可以根据多个设备的漏洞利用检测结果来反推攻击者的漏洞利用设计信息,或者反推某类漏洞利用攻击事件的攻击共性,也即对异常日志进行漏洞利用检测,得到漏洞利用检测结果之后,还可以对网络中所有的漏洞利用检测结果进行聚合,得到相同漏洞利用的攻击者或单个攻击事件的攻击者行为画像。
应当指出,本申请中对所有的漏洞利用检测结果进行聚合的过程,也即对所有的漏洞利用检测结果的共性进行提炼的过程,因此得到的攻击者的行为信息能够反映攻击者在设计同类型漏洞利用时的设计信息,或者反映某类漏洞利用攻击事件的攻击共性。此外,网络中所有的漏洞利用检测结果包括本设备及其他设备检测出的漏洞利用检测结果。且具体应用场景中,为了便于用户等了解攻击者行为画像,在得到相同漏洞利用的攻击者或单个攻击事件的攻击者行为画像之后,还可以显示相同漏洞利用的攻击者或单个攻击事件的攻击者行为画像。
本申请实施例提供的一种漏洞利用检测方法中,异常规则可以包括进程异常调用规则和/或网络异常连接规则和/或文件异常操作规则等。
请参阅图3,图3为实际应用中漏洞利用检测方法的流程图。
为了便于理解本申请提供的漏洞利用检测方法,现以windows操作***为例,对进程相关的漏洞利用进行检测的过程进行描述,该过程中可以包括以下步骤:
步骤S301:为windows操作***开启采集***安全防护日志及***危险操作日志等的功能。
步骤S302:获取当前windows操作***记录的***日志。
步骤S303:解析出***日志中的进程调用关系。
步骤S304:判断进程调用关系是否为预设调用关系之外的关系,若是,则执行步骤S305。
应当指出,判断进程调用关系是否为预设调用关系之外的关系的过程,也即在***日志中,检测出满足异常规则的异常日志的过程,比如视频播放进程调用了视频转发进程,该调用关系并不是设备本身设置的调用关系,那么便可以将视频播放进程调用视频转发进程的相关***日志确定为异常日志。
步骤S305:将进程调用关系对应的***日志确定为异常日志。
步骤S306:获取与异常日志对应的操作结果。
步骤S307:判断操作结果的操作类型是否为危险操作类型;若操作结果的操作类型为危险操作类型,则执行步骤S308。
步骤S308:将不安全的操作结果对应的异常日志作为危险日志,执行步骤S309。
步骤S309:基于危险日志对应的操作结果,确定漏洞利用的攻击方式;基于危险日志满足的异常规则,确定漏洞利用的攻击类型;基于***日志间的关联,对漏洞利用的攻击过程进行追溯,得到漏洞利用的攻击行为;基于攻击时间和攻击方式和攻击类型和攻击行为生成攻击行为画像,将攻击行为画像作为漏洞利用检测结果。
步骤S310:对网络中所有的漏洞利用检测结果进行关联聚合,得到漏洞利用的攻击者或单个攻击事件的攻击者行为画像。
请参阅图4,图4为本申请实施例提供的一种漏洞利用检测***的结构示意图。
本申请实施例提供的一种漏洞利用检测***,可以包括:
第一获取模块101,用于获取目标设备记录的***日志;***日志包括***安全防护日志和/或***危险操作日志;
第一检测模块102,用于在***日志中,检测出满足异常规则的异常日志;
第二检测模块103,用于对异常日志进行漏洞利用检测,得到漏洞利用检测结果。
本申请实施例提供的一种漏洞利用检测***,第二检测模块可以包括:
第一获取子模块,用于获取与异常日志对应的操作结果;
第一判断子模块,用于判断操作结果是否安全;若操作结果不安全,则将不安全的操作结果对应的异常日志作为危险日志;
第一检测子模块,用于基于危险日志、和危险日志对应的操作结果、和危险日志满足的异常规则,确定漏洞利用检测结果。
本申请实施例提供的一种漏洞利用检测***,第一检测子模块可以包括:
第一确定子模块,用于基于危险日志确定对应的漏洞利用的攻击时间;
第二确定子模块,用于基于危险日志对应的操作结果,确定漏洞利用的攻击方式;
第三确定子模块,用于基于危险日志满足的异常规则,确定漏洞利用的攻击类型;
第一设置子模块,用于将攻击时间和攻击方式和攻击类型作为漏洞利用检测结果。
本申请实施例提供的一种漏洞利用检测***,第一设置子模块可以包括:
第一追溯单元,用于基于***日志间的关联,对漏洞利用的攻击过程进行追溯,得到漏洞利用的攻击行为;
第一设置单元,用于基于攻击时间和攻击方式和攻击类型和攻击行为生成攻击行为画像,将攻击行为画像作为漏洞利用检测结果。
本申请实施例提供的一种漏洞利用检测***,还可以包括:
第一显示模块,用于第一检测模块得到漏洞利用检测结果之后,显示漏洞利用检测结果。
本申请实施例提供的一种漏洞利用检测***,第一判断子模块可以包括:
第一判断单元,用于判断操作结果的操作类型是否为危险操作类型;若操作结果的操作类型为危险操作类型,则判定操作结果不安全;若操作结果的操作类型并非危险操作类型,则判定操作结果安全;其中,危险操作包括远程下载文件和/或执行高权限命令。
本申请实施例提供的一种漏洞利用检测***,还可以包括:
第一聚合模块,用于对网络中所有的漏洞利用检测结果进行聚合,得到相同漏洞利用的攻击者或单个攻击事件的攻击者行为画像。
本申请实施例提供的一种漏洞利用检测***,异常规则可以包括进程异常调用规则和/或网络异常连接规则和/或文件异常操作规则。
本申请实施例提供的一种漏洞利用检测***,还可以包括:
第二显示模块,用于第一聚类模块得到相同漏洞利用的攻击者或单个漏洞利用攻击事件的攻击者行为画像之后,显示相同漏洞利用的攻击者或单个攻击事件的攻击者行为画像。
本申请还提供了一种漏洞利用检测设备及计算机可读存储介质,其均具有本申请实施例提供的一种漏洞利用检测方法具有的对应效果。请参阅图5,图5为本申请实施例提供的一种漏洞利用检测设备的结构示意图。
本申请实施例提供的一种漏洞利用检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:
获取目标设备记录的***日志;***日志包括***安全防护日志和/或***危险操作日志;
在***日志中,检测出满足异常规则的异常日志;
对异常日志进行漏洞利用检测,得到漏洞利用检测结果。
本申请实施例提供的一种漏洞利用检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:获取与异常日志对应的操作结果;判断操作结果是否安全;若操作结果不安全,则将不安全的操作结果对应的异常日志作为危险日志;基于危险日志、和危险日志对应的操作结果、和危险日志满足的异常规则,确定漏洞利用检测结果。
本申请实施例提供的一种漏洞利用检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:基于危险日志确定对应的漏洞利用的攻击时间;基于危险日志对应的操作结果,确定漏洞利用的攻击方式;基于危险日志满足的异常规则,确定漏洞利用的攻击类型;将攻击时间和攻击方式和攻击类型作为漏洞利用检测结果。
本申请实施例提供的一种漏洞利用检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:基于***日志间的关联,对漏洞利用的攻击过程进行追溯,得到漏洞利用的攻击行为;基于攻击时间和攻击方式和攻击类型和攻击行为生成攻击行为画像,将攻击行为画像作为漏洞利用检测结果。
本申请实施例提供的一种漏洞利用检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:对异常日志进行漏洞利用检测,得到漏洞利用检测结果之后,显示漏洞利用检测结果。
本申请实施例提供的一种漏洞利用检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:判断操作结果的操作类型是否为危险操作类型;若操作结果的操作类型为危险操作类型,则判定操作结果不安全;若操作结果的操作类型并非危险操作类型,则判定操作结果安全;其中,危险操作包括远程下载文件和/或执行高权限命令。
本申请实施例提供的一种漏洞利用检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:对异常日志进行漏洞利用检测,得到漏洞利用检测结果之后,对网络中所有的漏洞利用检测结果进行聚合,得到相同漏洞利用的攻击者或单个攻击事件的攻击者行为画像。
本申请实施例提供的一种漏洞利用检测设备,异常规则包括进程异常调用规则和/或网络异常连接规则和/或文件异常操作规则。
本申请实施例提供的一种漏洞利用检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:得到相同漏洞利用的攻击者或单个攻击事件的攻击者行为画像之后,显示相同漏洞利用的攻击者或单个攻击事件的攻击者行为画像。
请参阅图6,本申请实施例提供的另一种漏洞利用检测设备中还可以包括:与处理器202连接的输入端口203,用于传输外界输入的命令至处理器202;与处理器202连接的显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用于实现漏洞利用检测设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线连接:无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:
获取目标设备记录的***日志;***日志包括***安全防护日志和/或***危险操作日志;
在***日志中,检测出满足异常规则的异常日志;
对异常日志进行漏洞利用检测,得到漏洞利用检测结果。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:获取与异常日志对应的操作结果;判断操作结果是否安全;若操作结果不安全,则将不安全的操作结果对应的异常日志作为危险日志;基于危险日志、和危险日志对应的操作结果、和危险日志满足的异常规则,确定漏洞利用检测结果。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:基于危险日志确定对应的漏洞利用的攻击时间;基于危险日志对应的操作结果,确定漏洞利用的攻击方式;基于危险日志满足的异常规则,确定漏洞利用的攻击类型;将攻击时间和攻击方式和攻击类型作为漏洞利用检测结果。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:基于***日志间的关联,对漏洞利用的攻击过程进行追溯,得到漏洞利用的攻击行为;基于攻击时间和攻击方式和攻击类型和攻击行为生成攻击行为画像,将攻击行为画像作为漏洞利用检测结果。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:对异常日志进行漏洞利用检测,得到漏洞利用检测结果之后,显示漏洞利用检测结果。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:判断操作结果的操作类型是否为危险操作类型;若操作结果的操作类型为危险操作类型,则判定操作结果不安全;若操作结果的操作类型并非危险操作类型,则判定操作结果安全;其中,危险操作包括远程下载文件和/或执行高权限命令。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:对异常日志进行漏洞利用检测,得到漏洞利用检测结果之后,对网络中所有的漏洞利用检测结果进行聚合,得到相同漏洞利用的攻击者或单个攻击事件的攻击者行为画像。
本申请实施例提供的一种计算机可读存储介质,异常规则包括进程异常调用规则和/或网络异常连接规则和/或文件异常操作规则。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:得到相同漏洞利用的攻击者或单个攻击事件的攻击者行为画像之后,显示相同漏洞利用的攻击者或单个攻击事件的攻击者行为画像。
本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
本申请实施例提供的漏洞利用检测***、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的漏洞利用检测方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种漏洞利用检测方法,其特征在于,包括:
获取目标设备记录的***日志;所述***日志包括***安全防护日志和***危险操作日志;
在所述***日志中,将所述***日志的特征与异常规则的特征相比对检测出满足所述异常规则的异常日志;
获取与所述异常日志对应的操作结果;其中,所述操作结果为目标设备执行异常日志记载的操作后得到的结果;
判断所述操作结果是否安全;
若所述操作结果不安全,则将不安全的所述操作结果对应的所述异常日志作为危险日志;
基于所述危险日志确定对应的漏洞利用的攻击时间;
基于所述危险日志对应的所述操作结果,确定所述漏洞利用的攻击方式;
基于所述危险日志满足的所述异常规则,确定所述漏洞利用的攻击类型;
将所述攻击时间、和所述攻击方式、和所述攻击类型作为漏洞利用检测结果。
2.根据权利要求1所述的方法,其特征在于,所述将所述攻击时间、和所述攻击方式、和所述攻击类型作为漏洞利用检测结果,包括:
基于所述***日志间的关联,对所述漏洞利用的攻击过程进行追溯,得到所述漏洞利用的攻击行为;
基于所述攻击时间和所述攻击方式和所述攻击类型和所述攻击行为生成攻击行为画像,将所述攻击行为画像作为所述漏洞利用检测结果。
3.根据权利要求1至2任一项所述的方法,其特征在于,对所述异常日志进行漏洞利用检测,得到漏洞利用检测结果之后,还包括:
显示所述漏洞利用检测结果。
4.根据权利要求1所述的方法,其特征在于,所述判断所述操作结果是否安全,包括:
判断所述操作结果的操作类型是否为危险操作类型;
若所述操作结果的操作类型为所述危险操作类型,则判定所述操作结果不安全;
若所述操作结果的操作类型并非所述危险操作类型,则判定所述操作结果安全;
其中,所述危险操作包括远程下载文件和/或执行高权限命令。
5.根据权利要求1所述的方法,其特征在于,对所述异常日志进行漏洞利用检测,得到漏洞利用检测结果之后,还包括:
对网络中所有的漏洞利用检测结果进行聚合,得到相同漏洞利用的攻击者或单个攻击事件的攻击者行为画像。
6.根据权利要求5所述的方法,其特征在于,所述对网络中所有的漏洞利用检测结果进行聚合,得到相同漏洞利用的攻击者或单个攻击事件的攻击者行为画像之后,还包括:
显示所述相同漏洞利用的攻击者或单个漏洞利用攻击事件的攻击者行为画像。
7.根据权利要求1所述的方法,其特征在于,所述异常规则包括进程异常调用规则和/或网络异常连接规则和/或文件异常操作规则。
8.一种漏洞利用检测***,其特征在于,包括:
第一获取模块,用于获取目标设备记录的***日志;所述***日志包括***安全防护日志和***危险操作日志;
第一检测模块,用于在所述***日志中,将所述***日志的特征与异常规则的特征相比对检测出满足所述异常规则的异常日志;
操作结果获取模块,用于获取与所述异常日志对应的操作结果;其中,所述操作结果为目标设备执行异常日志记载的操作后得到的结果;
判断模块,用于判断所述操作结果是否安全;
危险日志确定模块,用于若所述操作结果不安全,则将不安全的所述操作结果对应的所述异常日志作为危险日志;
攻击时间确定模块,用于基于所述危险日志确定对应的漏洞利用的攻击时间;
攻击方式确定模块,用于基于所述危险日志对应的所述操作结果,确定所述漏洞利用的攻击方式;
攻击类型确定模块,用于基于所述危险日志满足的所述异常规则,确定所述漏洞利用的攻击类型;
漏洞利用检测结果确定模块,用于将所述攻击时间、和所述攻击方式、和所述攻击类型作为漏洞利用检测结果。
9.一种漏洞利用检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述漏洞利用检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述漏洞利用检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010783766.7A CN111881460B (zh) | 2020-08-06 | 2020-08-06 | 一种漏洞利用检测方法、***、设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010783766.7A CN111881460B (zh) | 2020-08-06 | 2020-08-06 | 一种漏洞利用检测方法、***、设备及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111881460A CN111881460A (zh) | 2020-11-03 |
| CN111881460B true CN111881460B (zh) | 2024-04-09 |
Family
ID=73210263
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010783766.7A Active CN111881460B (zh) | 2020-08-06 | 2020-08-06 | 一种漏洞利用检测方法、***、设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111881460B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112565226A (zh) * | 2020-11-27 | 2021-03-26 | 深信服科技股份有限公司 | 请求处理方法、装置、设备及***和用户画像生成方法 |
| CN113779561B (zh) * | 2021-09-09 | 2024-03-01 | 安天科技集团股份有限公司 | 内核漏洞处理方法、装置、存储介质及电子设备 |
| CN114003903B (zh) * | 2021-12-28 | 2022-03-08 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
| CN116628694B (zh) * | 2023-07-25 | 2023-11-21 | 杭州海康威视数字技术股份有限公司 | 反序列化0day安全风险防御方法、装置与设备 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109255240A (zh) * | 2018-07-18 | 2019-01-22 | 北京明朝万达科技股份有限公司 | 一种漏洞处理方法和装置 |
| CN110135166A (zh) * | 2019-05-08 | 2019-08-16 | 北京国舜科技股份有限公司 | 一种针对业务逻辑漏洞攻击的检测方法及*** |
| CN110188013A (zh) * | 2019-05-30 | 2019-08-30 | 苏州浪潮智能科技有限公司 | 一种日志读写功能测试方法、装置及电子设备和存储介质 |
| US10454963B1 (en) * | 2015-07-31 | 2019-10-22 | Tripwire, Inc. | Historical exploit and vulnerability detection |
| CN110472414A (zh) * | 2019-07-23 | 2019-11-19 | 中国平安人寿保险股份有限公司 | ***漏洞的检测方法、装置、终端设备及介质 |
| CN110636076A (zh) * | 2019-10-12 | 2019-12-31 | 北京安信天行科技有限公司 | 一种主机攻击检测方法及*** |
| CN110674508A (zh) * | 2019-09-23 | 2020-01-10 | 北京智游网安科技有限公司 | Android组件检测处理方法、检测终端及存储介质 |
| CN110912945A (zh) * | 2019-12-31 | 2020-03-24 | 深信服科技股份有限公司 | 网络攻击入口点的检测方法、装置、电子设备及存储介质 |
| CN111367807A (zh) * | 2020-03-08 | 2020-07-03 | 苏州浪潮智能科技有限公司 | 一种日志分析的方法、***、设备及介质 |
| CN111435393A (zh) * | 2019-01-14 | 2020-07-21 | 北京京东尚科信息技术有限公司 | 对象漏洞的检测方法、装置、介质及电子设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9876813B2 (en) * | 2015-02-11 | 2018-01-23 | Qualys, Inc. | System and method for web-based log analysis |
-
2020
- 2020-08-06 CN CN202010783766.7A patent/CN111881460B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10454963B1 (en) * | 2015-07-31 | 2019-10-22 | Tripwire, Inc. | Historical exploit and vulnerability detection |
| CN109255240A (zh) * | 2018-07-18 | 2019-01-22 | 北京明朝万达科技股份有限公司 | 一种漏洞处理方法和装置 |
| CN111435393A (zh) * | 2019-01-14 | 2020-07-21 | 北京京东尚科信息技术有限公司 | 对象漏洞的检测方法、装置、介质及电子设备 |
| CN110135166A (zh) * | 2019-05-08 | 2019-08-16 | 北京国舜科技股份有限公司 | 一种针对业务逻辑漏洞攻击的检测方法及*** |
| CN110188013A (zh) * | 2019-05-30 | 2019-08-30 | 苏州浪潮智能科技有限公司 | 一种日志读写功能测试方法、装置及电子设备和存储介质 |
| CN110472414A (zh) * | 2019-07-23 | 2019-11-19 | 中国平安人寿保险股份有限公司 | ***漏洞的检测方法、装置、终端设备及介质 |
| CN110674508A (zh) * | 2019-09-23 | 2020-01-10 | 北京智游网安科技有限公司 | Android组件检测处理方法、检测终端及存储介质 |
| CN110636076A (zh) * | 2019-10-12 | 2019-12-31 | 北京安信天行科技有限公司 | 一种主机攻击检测方法及*** |
| CN110912945A (zh) * | 2019-12-31 | 2020-03-24 | 深信服科技股份有限公司 | 网络攻击入口点的检测方法、装置、电子设备及存储介质 |
| CN111367807A (zh) * | 2020-03-08 | 2020-07-03 | 苏州浪潮智能科技有限公司 | 一种日志分析的方法、***、设备及介质 |
Non-Patent Citations (2)
| Title |
|---|
| Web应用***信息安全漏洞利用技术研究;万紫骞;吴波;;电子产品可靠性与环境试验(第06期);全文 * |
| 针对未知PHP反序列化漏洞利用的检测拦截***研究;陈震杭;王张宜;彭国军;夏志坚;;信息网络安全(第04期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111881460A (zh) | 2020-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111881460B (zh) | 一种漏洞利用检测方法、***、设备及计算机存储介质 | |
| US11785040B2 (en) | Systems and methods for cyber security alert triage | |
| US9183383B1 (en) | System and method of limiting the operation of trusted applications in presence of suspicious programs | |
| CN109376078B (zh) | 移动应用的测试方法、终端设备及介质 | |
| US11328056B2 (en) | Suspicious event analysis device and related computer program product for generating suspicious event sequence diagram | |
| US20140380478A1 (en) | User centric fraud detection | |
| US8640233B2 (en) | Environmental imaging | |
| US11777961B2 (en) | Asset remediation trend map generation and utilization for threat mitigation | |
| CN108932428B (zh) | 一种勒索软件的处理方法、装置、设备及可读存储介质 | |
| CN114124552B (zh) | 一种网络攻击的威胁等级获取方法、装置和存储介质 | |
| KR101964148B1 (ko) | 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법 | |
| CN111460445A (zh) | 样本程序恶意程度自动识别方法及装置 | |
| US10372907B2 (en) | System and method of detecting malicious computer systems | |
| US20230418938A1 (en) | Attack kill chain generation and utilization for threat analysis | |
| CN112541181A (zh) | 一种检测服务器安全性的方法和装置 | |
| CN113987509A (zh) | 一种信息***安全漏洞的风险评级方法、装置、设备及存储介质 | |
| CN107070845B (zh) | 用于检测网络钓鱼脚本的***和方法 | |
| CN112087455B (zh) | 一种waf站点防护规则生成方法、***、设备及介质 | |
| EP3252645A1 (en) | System and method of detecting malicious computer systems | |
| CN113364766A (zh) | 一种apt攻击的检测方法及装置 | |
| CN112580038A (zh) | 反病毒数据的处理方法、装置及设备 | |
| Al-Zadjali | Penetration testing of vulnerability in android Linux kernel layer via an open network (Wi-Fi) | |
| Teufl et al. | Android-On-device detection of SMS catchers and sniffers | |
| US11637862B1 (en) | System and method for surfacing cyber-security threats with a self-learning recommendation engine | |
| CN118114254A (zh) | 一种漏洞风险评估方法、***及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |