CN111931187A - 一种组件漏洞检测方法、装置、设备及可读存储介质 - Google Patents
一种组件漏洞检测方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN111931187A CN111931187A CN202010812246.4A CN202010812246A CN111931187A CN 111931187 A CN111931187 A CN 111931187A CN 202010812246 A CN202010812246 A CN 202010812246A CN 111931187 A CN111931187 A CN 111931187A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- detection
- component
- target component
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 285
- 230000006399 behavior Effects 0.000 claims abstract description 133
- 238000011176 pooling Methods 0.000 claims description 20
- 239000011159 matrix material Substances 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 12
- 230000003542 behavioural effect Effects 0.000 claims description 7
- 238000012216 screening Methods 0.000 claims description 4
- 238000000034 method Methods 0.000 abstract description 30
- 230000000694 effects Effects 0.000 abstract description 2
- 238000013527 convolutional neural network Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 9
- 239000013598 vector Substances 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 238000011112 process operation Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000012549 training Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种组件漏洞检测方法、装置、设备及可读存储介质。本申请公开的方法包括:获取待检测的目标组件;利用漏洞特征库检测目标组件,若漏洞特征库中存在与目标组件匹配的漏洞行为特征,则根据漏洞行为特征确定中间检测结果;将中间检测结果和目标组件的内存操作信息组合为检测信息,将检测信息输入检测模型,以输出目标组件对应的漏洞检测结果。本申请可扩大漏洞检测范围,提高检测精度,从而有效提升主机对于组件的漏洞检测能力以及主机的安全防护能力。相应地,本申请提供的一种组件漏洞检测装置、设备及可读存储介质,也同样具有上述技术效果。
Description
技术领域
本申请涉及计算机安全技术领域,特别涉及一种组件漏洞检测方法、装置、设备及可读存储介质。
背景技术
目前,主机中组件漏洞的检测依赖于漏洞库,而漏洞库中记录的漏洞有限,无法检测所有漏洞行为。也就是漏洞库仅能检测已知漏洞,对于未知漏洞无法检测,故漏洞库的检测范围和能力较为局限。虽然技术人员可以对漏洞库进行人工更新,但人工更新效率和实时性较差,因此无法有效提升主机对于组件的漏洞检测能力,从而导致主机的安全防护能力较低。
因此,如何提高主机对于组件的漏洞检测能力,是本领域技术人员需要解决的问题。
发明内容
有鉴于此,本申请的目的在于提供一种组件漏洞检测方法、装置、设备及可读存储介质,以提高主机对于组件的漏洞检测能力。其具体方案如下:
第一方面,本申请提供了一种组件漏洞检测方法,包括:
获取待检测的目标组件;
利用漏洞特征库检测所述目标组件,若所述漏洞特征库中存在与所述目标组件匹配的漏洞行为特征,则根据所述漏洞行为特征确定中间检测结果;
将所述中间检测结果和所述目标组件的内存操作信息组合为检测信息,将所述检测信息输入检测模型,以输出所述目标组件对应的漏洞检测结果。
优选地,所述目标组件包括利用漏洞特征码未检测到漏洞利用行为的组件。优选地,所述根据所述漏洞行为特征确定中间检测结果,包括:
查询所述漏洞行为特征的特征权值,并基于所述特征权值和所述漏洞行为特征确定所述中间检测结果。
优选地,所述将所述中间检测结果和所述目标组件的内存操作信息组合为检测信息,包括:
获取所述内存操作信息,并筛选所述内存操作信息中的可疑操作信息;
将所述可疑操作信息添加至所述中间检测结果的尾部,获得所述检测信息。
优选地,所述将所述检测信息输入检测模型,以输出所述目标组件对应的漏洞检测结果,包括:
将所述检测信息输入所述检测模型,以使所述检测模型将所述检测信息转换为特征矩阵;对所述特征矩阵进行卷积操作,获得多个卷积结果;对所述多个卷积结果分别进行池化操作,以得到多个池化结果;对所述多个池化结果进行分类,获得所述漏洞检测结果。
优选地,得到所述漏洞检测结果之后,还包括:
生成所述目标组件的漏洞检测报告,所述漏洞检测报告包括所述漏洞检测结果和所述漏洞行为特征。
优选地,还包括:
若所述漏洞检测结果表明目标组件存在漏洞利用行为,则将所述目标组件的组件行为特征添加至所述漏洞特征库。
优选地,若所述漏洞检测结果表明目标组件存在漏洞利用行为,则检测模型还输出所述目标组件的组件信息。
第二方面,本申请提供了一种组件漏洞检测装置,包括:
获取模块,用于获取待检测的目标组件;
特征匹配模块,用于利用漏洞特征库检测所述目标组件,若所述漏洞特征库中存在与所述目标组件匹配的漏洞行为特征,则根据所述漏洞行为特征确定中间检测结果;
模型检测模块,用于将所述中间检测结果和所述目标组件的内存操作信息组合为检测信息,将所述检测信息输入检测模型,以输出所述目标组件对应的漏洞检测结果。
第三方面,本申请提供了一种组件漏洞检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的组件漏洞检测方法。
第四方面,本申请提供了一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的组件漏洞检测方法。
通过以上方案可知,本申请提供了一种组件漏洞检测方法,包括:获取待检测的目标组件;利用漏洞特征库检测所述目标组件,若所述漏洞特征库中存在与所述目标组件匹配的漏洞行为特征,则根据所述漏洞行为特征确定中间检测结果;将所述中间检测结果和所述目标组件的内存操作信息组合为检测信息,将所述检测信息输入检测模型,以输出所述目标组件对应的漏洞检测结果。
可见,本申请首先利用漏洞特征库检测目标组件,然后基于获得的漏洞行为特征确定了中间检测结果,之后利用检测模型处理中间检测结果和目标组件的内存操作信息,从而输出了目标组件对应的漏洞检测结果。可见,本申请利用漏洞特征库和检测模型对目标组件进行了重复检测,从而提升了检测准确率,并且,检测模型的输入数据中包括漏洞特征库的输出数据,因此可进一步提高检测精度;同时,检测模型不仅可以检测已知漏洞,还可以检测未知漏洞,从而可扩大漏洞检测范围。因此本申请可以有效提升主机对于组件的漏洞检测能力以及主机的安全防护能力。
相应地,本申请提供的一种组件漏洞检测装置、设备及可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的第一种组件漏洞检测方法流程图;
图2为本申请公开的第二种组件漏洞检测方法流程图;
图3为本申请公开的第三种组件漏洞检测方法流程图;
图4为本申请公开的一种卷积神经网络结构示意图;
图5为本申请公开的第四种组件漏洞检测方法流程图;
图6为本申请公开的一种利用CNN对***组件进行检测的流程示意图;
图7为本申请公开的一种组件漏洞检测装置示意图;
图8为本申请公开的一种组件漏洞检测设备示意图;
图9为本申请公开的另一种组件漏洞检测设备示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,主机中组件漏洞的检测依赖于漏洞库,而漏洞库中记录的漏洞有限,无法检测所有漏洞利用行为。也就是漏洞库仅能检测已知漏洞,对于未知漏洞无法检测,故漏洞库的检测范围和能力较为局限。虽然技术人员可以对漏洞库进行人工更新,但人工更新效率和实时性较差,因此无法有效提升主机对于组件的漏洞检测能力,从而导致主机的安全防护能力较低。为此,本申请提供了一种组件漏洞检测方案,能够提高主机对于组件的漏洞检测能力。
参见图1所示,本申请实施例公开了第一种组件漏洞检测方法,包括:
S101、获取待检测的目标组件。
需要说明的是,目标组件可以是主机所安装操作***中的***组件(如:Windows操作***中的***组件),也可以是主机上安装的其他软件中的应用组件。相应的,漏洞特征库中可以仅包括***组件对应的漏洞行为特征,可以仅包括应用组件对应的漏洞行为特征,也可以同时包括***组件和应用组件对应的漏洞行为特征。其中,目标组件包括利用漏洞特征码未检测到漏洞利用行为的组件。
S102、利用漏洞特征库检测目标组件,若漏洞特征库中存在与目标组件匹配的漏洞行为特征,则根据漏洞行为特征确定中间检测结果。
漏洞特征库中记录有众多已知漏洞的漏洞行为特征。漏洞行为特征一般包括:进程操作、线程操作、注册表操作、内存操作、文件操作、权限操作、调用的API(ApplicationProgramming Interface,应用程序接口)函数集合等。相应的,目标组件的组件行为特征一般也包括:进程操作、线程操作、注册表操作、内存操作、文件操作、权限操作、调用的API(应用程序编程接口)函数集合等。当然,这些特征中有些可能没有,对于没有的特征可以用默认字符(如Nou)表示。
与目标组件匹配的漏洞行为特征即为:与目标组件的组件行为特征匹配的漏洞行为特征。具体的,将目标组件的组件行为特征与漏洞特征库中的各个漏洞行为特征进行逐一对比,可确定与组件行为特征匹配的至少一个漏洞行为特征。其中,与组件行为特征匹配的漏洞行为特征即指:与组件行为特征最为相似的漏洞行为特征。具体的,对比组件行为特征与任一个漏洞行为特征即:依次对比组件行为特征中的进程操作与漏洞行为特征中的进程操作、组件行为特征中的线程操作与漏洞行为特征中的线程操作……,从而可获得各个操作分别对应的相似度,基于这些相似度可确定组件行为特征与当前漏洞行为特征的匹配度。据此可计算获得多个匹配度,然后选择最大匹配度对应的漏洞行为特征作为:与目标组件匹配的漏洞行为特征。
在一种具体实施方式中,根据漏洞行为特征确定中间检测结果,包括:查询漏洞行为特征的特征权值,并基于特征权值和漏洞行为特征确定中间检测结果。其中,以文本方式记录中间检测结果。特征权值可以由技术人员针对每个已知漏洞,然后基于当前漏洞的出现频率、利用难度、影响范围以及能否对漏洞成功利用等维度进行预先设定,并提前存储在主机中。与目标组件匹配的漏洞行为特征的特征权值越大,表明目标组件存在漏洞利用行为的概率越大。
S103、将中间检测结果和目标组件的内存操作信息组合为检测信息,将检测信息输入检测模型,以输出目标组件对应的漏洞检测结果。
需要说明的是,目标组件的内存操作信息是目标组件在运行过程中记录于主机底层内存中的相关操作信息,这些操作信息一般以文本方式记录,其中会存在一些可疑操作信息,如:API Inline Hooks记录、Callback(回调函数)记录等。Inline Hooks是一种拦截对函数调用的方法,主要用于防病毒、沙箱和恶意软件。
在一种具体实施方式中,将中间检测结果和目标组件的内存操作信息组合为检测信息,包括:获取内存操作信息,并筛选内存操作信息中的可疑操作信息;将可疑操作信息添加至中间检测结果的尾部,获得检测信息。也就是将漏洞特征库的输出数据(即中间检测结果)与可疑操作信息融合为检测信息(即检测模型的输入数据),从而使中间检测结果为检测模型的输出提供补充信息。
需要说明的是,检测模型可以是卷积神经网络,也可以基于决策树、随机森林、朴素贝叶斯等算法训练得到。
在一种具体实施方式中,将检测信息输入检测模型,以输出目标组件对应的漏洞检测结果,包括:将检测信息输入检测模型,以使检测模型将检测信息转换为特征矩阵;对特征矩阵进行卷积操作,获得多个卷积结果;对多个卷积结果分别进行池化操作,以得到多个池化结果;对多个池化结果进行分类,获得漏洞检测结果。
若漏洞检测结果表明目标组件存在漏洞利用行为,则检测模型还输出用于所述目标组件的组件信息。组件信息如:组件名称、组件行为的详细信息(先后执行的操作、使用的Windows API函数等)以及其他信息。这些组件信息能够给漏洞定位提供依据。漏洞检测结果中还记录有目标组件是否存在漏洞利用行为的鉴别信息。
可见,本实施例首先利用漏洞特征库检测目标组件,然后基于获得的漏洞行为特征确定了中间检测结果,之后利用检测模型处理中间检测结果和目标组件的内存操作信息,从而输出了目标组件对应的漏洞检测结果。可见,本实施例利用漏洞特征库和检测模型对目标组件进行了重复检测,从而提升了检测准确率,并且,检测模型的输入数据中包括漏洞特征库的输出数据,因此可进一步提高检测精度;同时,检测模型不仅可以检测已知漏洞,还可以检测未知漏洞,从而可扩大漏洞检测范围。因此本申请可以有效提升主机对于组件的漏洞检测能力以及主机的安全防护能力。
参见图2所示,本申请实施例公开了第二种组件漏洞检测方法,包括:
S201、利用漏洞特征码检测组件集合中的任一个组件。
其中,组件集合中包括至少一个组件。
S202、若利用漏洞特征码检测到组件存在漏洞利用行为,则生成该组件对应的漏洞检测报告,该漏洞检测报告包括漏洞特征码。
S203、若利用漏洞特征码检测到组件不存在漏洞利用行为,则将该组件确定为待检测的目标组件。
需要说明的是,本实施例中的目标组件为***组件,例如:Windows操作***中的***组件。当然,也可以是其他操作***中的***组件。
***组件的数量和类型较少,且具有固定的漏洞特征码。因此若目标组件为***组件,那么可以直接用漏洞特征码检测目标组件是否有利用漏洞的行为,从而提升漏洞检测效率。其中,漏洞特征码是某些***组件对于漏洞的固有利用行为,该行为能够以特定不变的特征码表示。
例如:某个***组件对于AAAA处理时,必然会存在某种特定的漏洞利用行为,因此AAAA可作为一个漏洞特征码。故而可以先利用漏洞特征码检测目标组件,从而可直接确定目标组件是否有漏洞利用行为;若利用漏洞特征码检测到目标组件不存在漏洞利用行为,那么可以执行S204-S205,以对目标组件进行进一步检测。
当然,漏洞特征码和漏洞特征库也可以并行对目标组件进行检测,若并行检测后,基于漏洞特征码确定目标组件不存在漏洞利用行为,那么可以进一步利用检测模型对目标组件进行检测。
S204、利用漏洞特征库检测目标组件,若漏洞特征库中存在与目标组件匹配的漏洞行为特征,则根据漏洞行为特征确定中间检测结果。
S205、将中间检测结果和目标组件的内存操作信息组合为检测信息,将检测信息输入检测模型,以输出目标组件对应的漏洞检测结果。
需要说明的是,本实施例中的其他步骤可以参照上述实施例的相关介绍,本实施例在此不再赘述。
可见,本实施例首先利用漏洞特征码检测目标组件,若利用漏洞特征码检测到目标组件存在漏洞利用行为,则生成包括漏洞特征码的漏洞检测报告,即可以直接得到检测结果,提高了检测效率。若利用漏洞特征码检测到目标组件不存在漏洞利用行为,则利用漏洞特征库和检测模型进行进一步检测。在利用漏洞特征库和检测模型进行检测的过程中对目标组件进行了重复检测,从而提升了检测准确率,并且,检测模型的输入数据中包括漏洞特征库的输出数据,因此可进一步提高检测精度;同时,检测模型不仅可以检测已知漏洞,还可以检测未知漏洞,从而可扩大漏洞检测范围。因此本申请可以有效提升主机对于组件的漏洞检测能力以及主机的安全防护能力。
参见图3所示,本申请实施例公开了第三种组件漏洞检测方法,包括:
S301、获取待检测的目标组件。
S302、利用漏洞特征库检测目标组件,若漏洞特征库中存在与目标组件匹配的漏洞行为特征,则根据漏洞行为特征确定中间检测结果。
S303、将中间检测结果和目标组件的内存操作信息组合为检测信息,将检测信息输入检测模型,以输出目标组件对应的漏洞检测结果。
若检测模型为卷积神经网络,那么卷积神经网络可以包括:具有不同长度卷积核的多个卷积层、与各个卷积层连接的池化层、全连接层以及输出层。卷积神经网络的结构可参见图4。图4中包括3个卷积层,各个卷积层的卷积核长度分别为8、9、10。
具体的,卷积神经网络处理检测信息的过程包括:将检测信息转换为特征矩阵;利用各个卷积层并行处理特征矩阵,获得多个卷积结果;将多个卷积结果分别对应输入与各个卷积层连接的池化层,以输出多个池化结果;利用全连接层处理多个池化结果,获得全连接结果;利用输出层中的Softmax函数处理全连接结果,获得漏洞检测结果。
其中,将检测信息转换为特征矩阵,包括:将检测信息中的各个条目分别转换为预设长度(如300)的向量,获得多个向量;按照各个条目的标识信息将多个向量排列为特征矩阵。其中,各个条目即API Inline Hooks记录、Callback记录等,每个条目对应一个向量。各个条目的标识信息可以为1、2、3等,因此可按照从小到大的顺序排列多个向量,从而获得特征矩阵。特征矩阵可以是二维矩阵。
S304、生成目标组件的漏洞检测报告,漏洞检测报告包括漏洞检测结果和漏洞行为特征。
S305、若漏洞检测结果表明目标组件存在漏洞利用行为,则将目标组件的组件行为特征添加至漏洞特征库。
将组件行为特征添加至漏洞特征库之前,可以先确定漏洞特征库中是否记录有与组件行为特征一样的漏洞利用行为,若存在,便不必执行将组件行为特征添加至漏洞特征库的步骤;若不存在,再执行将组件行为特征添加至漏洞特征库的步骤。当然,在漏洞检测结果表明目标组件存在漏洞利用行为时,可以直接将组件行为特征添加至漏洞特征库,之后再对漏洞特征库进行查重操作。如此可及时对漏洞特征库进行更新,以便提高其检测范围和能力。
需要说明的是,本实施例中的其他步骤可以参照上述任意实施例的相关介绍,本实施例在此不再赘述。
可见,本实施例利用漏洞特征库和检测模型对目标组件进行了重复检测,从而提升了检测准确率,并且,检测模型的输入数据中包括漏洞特征库的输出数据,因此可进一步提高检测精度;同时,检测模型不仅可以检测已知漏洞,还可以检测未知漏洞,从而可扩大漏洞检测范围。因此本实施例可以有效提升主机对于组件的漏洞检测能力以及主机的安全防护能力。
参见图5所示,本申请实施例公开了第四种组件漏洞检测方法,包括:
1、***组件类别识别。
本实施例的检测对象是操作***中的***组件,具体为:Windows操作***中的***组件。可以提前将Windows操作***中的所有***组件存入***组件类别库,然后利用该库进行识别。
2、漏洞利用行为特征匹配。漏洞利用行为即:程序利用***漏洞执行危险操作的行为。
利用漏洞特征库检测步骤1确定的***组件的进程操作、线程操作、注册表操作、内存操作、文件操作、权限操作、调用的API函数集合等,获得各个操作对应的相似度匹配结果,从而确定与***组件匹配的漏洞行为特征,并基于这些内容进行第一次行为判定。
3、漏洞利用行为特征码识别。步骤2和3并行执行。
利用漏洞利用行为特征码库检测步骤1确定的***组件是否存在漏洞利用行为,并输出相应的检测结果。若确定***组件中存在漏洞利用行为特征码对应的漏洞利用行为,则直接生成已知漏洞利用报告(即包括漏洞特征码的漏洞检测报告),流程结束。否则,进行第一次行为判定。
4、第一次行为判定。
基于步骤2获得的匹配结果,以及该匹配结果对应的特征权值,确定***组件中存在漏洞利用行为的概率值。可以以匹配结果、特征权值、概率值作为第一次行为判定的结果(中间检测结果)。其中,以特征权值作为第一次行为判定的主要参考,特征权值越大,说明***组件存在漏洞利用行为的概率越大,据第一次行为判定的结果可以输出一个最终得分。
5、综合动态内存监控信息和第一次行为判定的结果,利用CNN(ConvolutionalNeural Network,卷积神经网络)对***组件进行检测。该过程可参见图6。
(1)抽取动态内存监控信息中的可疑操作记录,如:API Inline Hooks记录、Callback记录等,将这些可疑操作记录整理成文本条目,并添加在第一次行为判定的结果后面,以组成新的特征文本记录(即检测信息)。
(2)将新的特征文本记录传入CNN,以输出分类结果(即新的特征文本记录所属的漏洞检测结果)。其中,用众多已知漏洞作为CNN的训练数据,CNN的训练过程可参考现有技术以及下述检测过程。该分类结果包括:当前检测的组件所属的组件类别、名称,是否存在漏洞利用行为等信息。
具体的,CNN首先对新的特征文本记录进行文本格式化,将其中的每个条目作为一个动态行为,然后将所有条目组成词库,并用1、2、3等对词库中的各个条目进行标号,确定各个动态行为与标号的映射关系。将各个条目转换为长度为300的向量,并按照标号排列各个条目,以获得二维矩阵。此过程由CNN中的输入层完成。CNN结构可参见图4。
将二维矩阵分别输入不同卷积层,经过卷积后,再对每一个卷积结果使Max-Pooling(池化层)取列向量中的最大值,获得池化结果。这样每一个列向量就转变成了一个1×1的值。将所有池化结果输入全连接层,最后用输出层中的Softmax函数进行处理,从而获得分类结果。分类结果的记录格式以漏洞特征库中的特征记录格式为准。
6、第二次行为判定。
将与***组件匹配的漏洞行为特征与上述分类结果进行对比,可获得相似度大小。具体的,可以设置相似度为15%时,危险性为“一般”;30%时,危险性为“敏感”;50%时,确定有漏洞“危险”。相似度的分层标准可以根据大数据量的CNN训练结果进行设置。“一般”表示属于***组件共性操作,“敏感”表示检测到的行为涉及到一些类似漏洞利用行为的操作,“危险”表示检测到的行为与漏洞利用过于相似,需要高度重视,此时可确定***组成存在漏洞利用行为。
7、生成评估报告。
根据与***组件匹配的漏洞行为特征与上述分类结果,生成评估报告,报告中可以包括当前检测的***组件的名称、组件行为的详细信息(先后执行的操作、使用的Windows API函数等)、与***组件匹配的漏洞行为特征等信息。
若第二次行为判定结果为“危险”,则可以将当前***组件的组件行为特征放入漏洞特征库,从而不断丰富特征库,使其尽可能全面覆盖漏洞利用行为。
可见,本申请能够弥补漏洞特征库的不足,即使出现未知漏洞利用行为,也可以进行风险评估,提升了Windows主机对未知漏洞的防御能力,扩大了Windows主机的检测范围和检测能力。
下面对本申请实施例提供的一种组件漏洞检测装置进行介绍,下文描述的一种组件漏洞检测装置与上文描述的一种组件漏洞检测方法可以相互参照。
参见图7所示,本申请实施例公开了一种组件漏洞检测装置,包括:
获取模块701,用于获取待检测的目标组件;
特征匹配模块702,用于利用漏洞特征库检测目标组件,若漏洞特征库中存在与目标组件匹配的漏洞行为特征,则根据漏洞行为特征确定中间检测结果;
模型检测模块703,用于将中间检测结果和目标组件的内存操作信息组合为检测信息,将检测信息输入检测模型,以输出目标组件对应的漏洞检测结果。
在一种具体实施方式中,还包括:
特征码检测模块,用于利用漏洞特征码检测目标组件;若利用漏洞特征码检测到目标组件存在漏洞利用行为,则生成包括漏洞特征码的漏洞检测报告;否则,执行特征匹配模块、模型检测模块中的步骤。
在一种具体实施方式中,所述目标组件为利用漏洞特征码未检测到漏洞利用行为的组件。
在一种具体实施方式中,特征匹配模块具体用于:
查询漏洞行为特征的特征权值,并基于特征权值和漏洞行为特征确定中间检测结果。
在一种具体实施方式中,模型检测模块具体用于:
获取内存操作信息,并筛选内存操作信息中的可疑操作信息;
将可疑操作信息添加至中间检测结果的尾部,获得检测信息。
在一种具体实施方式中,模型检测模块具体用于:
将检测信息输入检测模型,以使检测模型将检测信息转换为特征矩阵;对特征矩阵进行卷积操作,获得多个卷积结果;对多个卷积结果分别进行池化操作,以得到多个池化结果;对多个池化结果进行分类,获得漏洞检测结果。
在一种具体实施方式中,还包括:
生成模块,用于生成目标组件的漏洞检测报告,漏洞检测报告包括漏洞检测结果和漏洞行为特征。
在一种具体实施方式中,还包括:
更新模块,用于若漏洞检测结果表明目标组件存在漏洞利用行为,则将目标组件的组件行为特征添加至漏洞特征库。
在一种具体实施方式中,若所述漏洞检测结果表明目标组件存在漏洞利用行为,则检测模型还输出所述目标组件的组件信息。
其中,关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
可见,本实施例提供了一种组件漏洞检测装置,该装置可以提高检测精度,扩大漏洞检测范围。因此可以有效提升主机对于组件的漏洞检测能力以及主机的安全防护能力。
下面对本申请实施例提供的一种组件漏洞检测设备进行介绍,下文描述的一种组件漏洞检测设备与上文描述的一种组件漏洞检测方法及装置可以相互参照。
参见图8所示,本申请实施例公开了一种组件漏洞检测设备,包括:
存储器801,用于保存计算机程序;
处理器802,用于执行所述计算机程序,以实现上述任意实施例公开的方法。
请参考图9,图9为本实施例提供的另一种组件漏洞检测设备示意图,该组件漏洞检测设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在组件漏洞检测设备301上执行存储介质330中的一系列指令操作。
组件漏洞检测设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作***341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
在图9中,应用程序342可以是执行组件漏洞检测方法的程序,数据344可以是执行组件漏洞检测方法所需的或产生的数据。
上文所描述的组件漏洞检测方法中的步骤可以由组件漏洞检测设备的结构实现。
下面对本申请实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种组件漏洞检测方法、装置及设备可以相互参照。
一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的组件漏洞检测方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本申请涉及的“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法或设备固有的其它步骤或单元。
需要说明的是,在本申请中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的可读存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (11)
1.一种组件漏洞检测方法,其特征在于,包括:
获取待检测的目标组件;
利用漏洞特征库检测所述目标组件,若所述漏洞特征库中存在与所述目标组件匹配的漏洞行为特征,则根据所述漏洞行为特征确定中间检测结果;
将所述中间检测结果和所述目标组件的内存操作信息组合为检测信息,将所述检测信息输入检测模型,以输出所述目标组件对应的漏洞检测结果。
2.根据权利要求1所述的组件漏洞检测方法,其特征在于,所述目标组件包括利用漏洞特征码未检测到漏洞利用行为的组件。
3.根据权利要求1所述的组件漏洞检测方法,其特征在于,所述根据所述漏洞行为特征确定中间检测结果,包括:
查询所述漏洞行为特征的特征权值,并基于所述特征权值和所述漏洞行为特征确定所述中间检测结果。
4.根据权利要求1所述的组件漏洞检测方法,其特征在于,所述将所述中间检测结果和所述目标组件的内存操作信息组合为检测信息,包括:
获取所述内存操作信息,并筛选所述内存操作信息中的可疑操作信息;
将所述可疑操作信息添加至所述中间检测结果的尾部,获得所述检测信息。
5.根据权利要求1所述的组件漏洞检测方法,其特征在于,所述将所述检测信息输入检测模型,以输出所述目标组件对应的漏洞检测结果,包括:
将所述检测信息输入所述检测模型,以使所述检测模型将所述检测信息转换为特征矩阵;对所述特征矩阵进行卷积操作,获得多个卷积结果;对所述多个卷积结果分别进行池化操作,以得到多个池化结果;对所述多个池化结果进行分类,获得所述漏洞检测结果。
6.根据权利要求1至5任一项所述的组件漏洞检测方法,其特征在于,得到所述漏洞检测结果之后,还包括:
生成所述目标组件的漏洞检测报告,所述漏洞检测报告包括所述漏洞检测结果和所述漏洞行为特征。
7.根据权利要求1至5任一项所述的组件漏洞检测方法,其特征在于,还包括:
若所述漏洞检测结果表明目标组件存在漏洞利用行为,则将所述目标组件的组件行为特征添加至所述漏洞特征库。
8.根据权利要求1至5任一项所述的组件漏洞检测方法,其特征在于,若所述漏洞检测结果表明目标组件存在漏洞利用行为,则所述检测模型还输出所述目标组件的组件信息。
9.一种组件漏洞检测装置,其特征在于,包括:
获取模块,用于获取待检测的目标组件;
特征匹配模块,用于利用漏洞特征库检测所述目标组件,若所述漏洞特征库中存在与所述目标组件匹配的漏洞行为特征,则根据所述漏洞行为特征确定中间检测结果;
模型检测模块,用于将所述中间检测结果和所述目标组件的内存操作信息组合为检测信息,将所述检测信息输入检测模型,以输出所述目标组件对应的漏洞检测结果。
10.一种组件漏洞检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至8任一项所述的组件漏洞检测方法。
11.一种可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的组件漏洞检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010812246.4A CN111931187A (zh) | 2020-08-13 | 2020-08-13 | 一种组件漏洞检测方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010812246.4A CN111931187A (zh) | 2020-08-13 | 2020-08-13 | 一种组件漏洞检测方法、装置、设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111931187A true CN111931187A (zh) | 2020-11-13 |
Family
ID=73311223
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010812246.4A Pending CN111931187A (zh) | 2020-08-13 | 2020-08-13 | 一种组件漏洞检测方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111931187A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112615848A (zh) * | 2020-12-14 | 2021-04-06 | 北京达佳互联信息技术有限公司 | 漏洞修复状态检测方法及*** |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103971054A (zh) * | 2014-04-25 | 2014-08-06 | 天津大学 | 一种基于行为序列的浏览器扩展漏洞的检测方法 |
CN105260662A (zh) * | 2014-07-17 | 2016-01-20 | 南京曼安信息科技有限公司 | 一种未知应用漏洞威胁检测装置及方法 |
CN105426760A (zh) * | 2015-11-05 | 2016-03-23 | 工业和信息化部电信研究院 | 一种安卓恶意应用的检测方法及装置 |
CN107659570A (zh) * | 2017-09-29 | 2018-02-02 | 杭州安恒信息技术有限公司 | 基于机器学习与动静态分析的Webshell检测方法及*** |
CN108304720A (zh) * | 2018-02-06 | 2018-07-20 | 恒安嘉新(北京)科技股份公司 | 一种基于机器学习的安卓恶意程序检测方法 |
CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
CN108520180A (zh) * | 2018-03-01 | 2018-09-11 | 中国科学院信息工程研究所 | 一种基于多维度的固件Web漏洞检测方法及*** |
CN109617910A (zh) * | 2019-01-08 | 2019-04-12 | 平安科技(深圳)有限公司 | 漏洞风险评估方法、装置及存储介质、服务器 |
CN110909358A (zh) * | 2019-10-22 | 2020-03-24 | 上海安智信息科技有限公司 | 一种基于动静态分析的整形漏洞检测方法 |
-
2020
- 2020-08-13 CN CN202010812246.4A patent/CN111931187A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103971054A (zh) * | 2014-04-25 | 2014-08-06 | 天津大学 | 一种基于行为序列的浏览器扩展漏洞的检测方法 |
CN105260662A (zh) * | 2014-07-17 | 2016-01-20 | 南京曼安信息科技有限公司 | 一种未知应用漏洞威胁检测装置及方法 |
CN105426760A (zh) * | 2015-11-05 | 2016-03-23 | 工业和信息化部电信研究院 | 一种安卓恶意应用的检测方法及装置 |
CN107659570A (zh) * | 2017-09-29 | 2018-02-02 | 杭州安恒信息技术有限公司 | 基于机器学习与动静态分析的Webshell检测方法及*** |
CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
CN108304720A (zh) * | 2018-02-06 | 2018-07-20 | 恒安嘉新(北京)科技股份公司 | 一种基于机器学习的安卓恶意程序检测方法 |
CN108520180A (zh) * | 2018-03-01 | 2018-09-11 | 中国科学院信息工程研究所 | 一种基于多维度的固件Web漏洞检测方法及*** |
CN109617910A (zh) * | 2019-01-08 | 2019-04-12 | 平安科技(深圳)有限公司 | 漏洞风险评估方法、装置及存储介质、服务器 |
CN110909358A (zh) * | 2019-10-22 | 2020-03-24 | 上海安智信息科技有限公司 | 一种基于动静态分析的整形漏洞检测方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112615848A (zh) * | 2020-12-14 | 2021-04-06 | 北京达佳互联信息技术有限公司 | 漏洞修复状态检测方法及*** |
CN112615848B (zh) * | 2020-12-14 | 2023-03-14 | 北京达佳互联信息技术有限公司 | 漏洞修复状态检测方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210256127A1 (en) | System and method for automated machine-learning, zero-day malware detection | |
EP3899770B1 (en) | System and method for detecting data anomalies by analysing morphologies of known and/or unknown cybersecurity threats | |
US9876812B1 (en) | Automatic malware signature extraction from runtime information | |
Mosli et al. | Automated malware detection using artifacts in forensic memory images | |
CN109359439B (zh) | 软件检测方法、装置、设备及存储介质 | |
US9292688B2 (en) | System and method for automated machine-learning, zero-day malware detection | |
EP1986120B1 (en) | Systems, apparatus, and methods for detecting malware | |
CN112148305A (zh) | 一种应用检测方法、装置、计算机设备和可读存储介质 | |
CN116015703A (zh) | 模型训练方法、攻击检测方法及相关装置 | |
CN112817877B (zh) | 异常脚本检测方法、装置、计算机设备和存储介质 | |
CN111931187A (zh) | 一种组件漏洞检测方法、装置、设备及可读存储介质 | |
KR20200073822A (ko) | 악성코드 분류 방법 및 그 장치 | |
US11487876B1 (en) | Robust whitelisting of legitimate files using similarity score and suspiciousness score | |
Suhuan et al. | Android malware detection based on logistic regression and XGBoost | |
CA3125101A1 (en) | System and method for detecting data anomalies by analysing morphologies of known and/or unknown cybersecurity threats | |
US20240054210A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
CN106446687B (zh) | 恶意样本的检测方法及装置 | |
CN114266045A (zh) | 网络病毒的识别方法、装置、计算机设备及存储介质 | |
CN112367336A (zh) | webshell拦截检测方法、装置、设备及可读存储介质 | |
CN106372508A (zh) | 恶意文档的处理方法及装置 | |
CN112887328A (zh) | 一种样本检测方法、装置、设备及计算机可读存储介质 | |
Ferrand et al. | Combinatorial detection of malware by IAT discrimination | |
CN117093996B (zh) | 嵌入式操作***的安全防护方法及*** | |
NZ767245A (en) | System and method for detecting data anomalies by analysing morphologies of known and/or unknown cybersecurity threats | |
NZ767245B2 (en) | System and method for detecting data anomalies by analysing morphologies of known and/or unknown cybersecurity threats |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |