CN115514551A - 漏洞利用检测方法、装置、计算机设备及存储介质 - Google Patents
漏洞利用检测方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN115514551A CN115514551A CN202211134195.XA CN202211134195A CN115514551A CN 115514551 A CN115514551 A CN 115514551A CN 202211134195 A CN202211134195 A CN 202211134195A CN 115514551 A CN115514551 A CN 115514551A
- Authority
- CN
- China
- Prior art keywords
- behavior
- exploit
- production system
- traffic
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims description 41
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 74
- 238000004519 manufacturing process Methods 0.000 claims abstract description 70
- 238000012544 monitoring process Methods 0.000 claims abstract description 69
- 238000000034 method Methods 0.000 claims abstract description 67
- 230000008569 process Effects 0.000 claims abstract description 32
- 230000006399 behavior Effects 0.000 claims description 54
- 238000012795 verification Methods 0.000 claims description 23
- 238000012360 testing method Methods 0.000 claims description 18
- 230000015654 memory Effects 0.000 claims description 17
- 230000009471 action Effects 0.000 description 15
- 238000004891 communication Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 235000014510 cooky Nutrition 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012512 characterization method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000011273 social behavior Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及一种漏洞利用检测方法、装置、计算机设备及存储介质,所述方法包括:获取原始业务生产***中存储的流量包;将所述流量包在所述原始业务生产***对应的孪生***中进行流量重放;在流量重放过程中监测异常行为,得到监测结果;基于所述监测结果确定所述异常行为是否为漏洞利用。由此,可以精准的发现传统安全设备不能发现攻击或异常行为,通过流量重放业务孪生环境,可以发现并验证漏洞利用,不占用生产环境的任何资源,不改变原有网络或业务结构,避免在生产环境中部署过多的安全措施,导致***性能下降或兼容性差的问题。
Description
技术领域
本发明实施例涉及漏洞发现与验证领域,尤其涉及一种漏洞利用检测方法、装置、计算机设备及存储介质。
背景技术
漏洞发现与验证技术,经过多年的发展,不论是漏洞扫描检测,还是漏洞攻击发现或APT攻击监测,技术已趋向于成熟,但这些检测、监测技术都是基于已知漏洞、恶意代码或威胁情报数据判定,无法对异常行为、动作指令、流量变化、内生变化、白名单异常等进行有效辨识,如何发现类似0DAY攻击、1DAY攻击或内部协同行为攻击成为亟待解决的问题。
发明内容
鉴于此,为解决上述技术问题或部分技术问题,本发明实施例提供一种漏洞利用检测方法、装置、计算机设备及存储介质。
第一方面,本发明实施例提供一种漏洞利用检测方法,包括:
获取原始业务生产***中存储的流量包;
将所述流量包在所述原始业务生产***对应的孪生***中进行流量重放;
在流量重放过程中监测异常行为,得到监测结果;
基于所述监测结果确定所述异常行为是否为漏洞利用。
在一个可能的实施方式中,所述方法还包括:
基于预设的标准操作合规基线对流量重放过程中的行为进行监测;
对不符合所述标准操作合规基线的异常行为进行追踪和再次判定,得到监测结果。
在一个可能的实施方式中,所述方法还包括:
抽取所述异常行为对应的完整行为过程的流量数据;
基于所述流量数据形成漏洞利用脚本文件;
将所述漏洞利用脚本文件在所述孪生***中进行验证测试,确定所述异常行为是否为漏洞利用行为。
在一个可能的实施方式中,所述方法还包括:
若验证测试结果不通过,则确定所述监测结果为所述异常行为是漏洞利用行为;
若验证测试结果通过,则确定所述监测结果为所述异常行为是正常未记录行为;
将所述正常未记录行为记载到所述标准操作合规基线中。
在一个可能的实施方式中,所述方法还包括:
若确定所述监测结果为所述异常行为是漏洞利用行为,则将监测结果反馈给所述原始业务生产***,以使所述原始业务生产***终止所述漏洞利用行为。
在一个可能的实施方式中,所述方法还包括:
当在线检测漏洞利用时,获取所述原始业务生产***检测到的异常行为时存储的异常行为对应的流量包;
当离线检测漏洞利用时,获取所述原始业务生产***接收到的全部行为对应的流量包。
在一个可能的实施方式中,所述方法还包括:
接收所述原始业务生产***发送的流量重放请求;
基于所述流量重放请求,采用流量重放工具将所述流量包在所述孪生***中进行流量重放;
将流量重放结果反馈给所述原始业务生产***。
第二方面,本发明实施例提供一种漏洞利用检测装置,包括:
获取模块,用于获取原始业务生产***中存储的流量包;
重放模块,用于将所述流量包在所述原始业务生产***对应的孪生***中进行流量重放;
监测模块,用于在流量重放过程中监测异常行为,得到监测结果;
确定模块,用于基于所述监测结果确定所述异常行为是否为漏洞利用。
可选的,所述获取模块,具体用于当在线检测漏洞利用时,获取所述原始业务生产***检测到的异常行为时存储的异常行为对应的流量包;当离线检测漏洞利用时,获取所述原始业务生产***接收到的全部行为对应的流量包。
可选的,所述重放模块,具体用于接收所述原始业务生产***发送的流量重放请求;基于所述流量重放请求,采用流量重放工具将所述流量包在所述孪生***中进行流量重放;将流量重放结果反馈给所述原始业务生产***。
可选的,所述监测模块,具体用于基于预设的标准操作合规基线对流量重放过程中的行为进行监测;对不符合所述标准操作合规基线的异常行为进行追踪和再次判定,得到监测结果。
可选的,所述监测模块,还用于抽取所述异常行为对应的完整行为过程的流量数据;基于所述流量数据形成漏洞利用脚本文件;将所述漏洞利用脚本文件在所述孪生***中进行验证测试,确定所述异常行为是否为漏洞利用行为。
可选的,所述确定模块,具体用于若验证测试结果不通过,则确定所述监测结果为所述异常行为是漏洞利用行为;若验证测试结果通过,则确定所述监测结果为所述异常行为是正常未记录行为;将所述正常未记录行为记载到所述标准操作合规基线中。
可选的,所述确定模块,还用于若确定所述监测结果为所述异常行为是漏洞利用行为,则将监测结果反馈给所述原始业务生产***,以使所述原始业务生产***终止所述漏洞利用行为。
第三方面,本发明实施例提供一种计算机设备,包括:处理器和存储器,所述处理器用于执行所述存储器中存储的漏洞利用检测程序,以实现上述第一方面中所述的漏洞利用检测方法。
第四方面,本发明实施例提供一种存储介质,包括:所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述第一方面中所述的漏洞利用检测方法。
本发明实施例提供的漏洞利用检测方案,通过获取原始业务生产***中存储的流量包;将所述流量包在所述原始业务生产***对应的孪生***中进行流量重放;在流量重放过程中监测异常行为,得到监测结果;基于所述监测结果确定所述异常行为是否为漏洞利用。相比于现有的漏洞扫描检测或漏洞攻击发现技术,都是基于已知漏洞、恶意代码或威胁情报数据判定,无法对异常行为、动作指令、流量变化、内生变化、白名单异常等进行有效辨识的问题,由本方案,可以精准的发现传统安全设备不能发现攻击或异常行为,通过流量重放业务孪生环境,可以发现并验证漏洞利用,不占用生产环境的任何资源,不改变原有网络或业务结构,避免在生产环境中部署过多的安全措施,导致***性能下降或兼容性差的问题。
附图说明
图1为本发明实施例提供的一种漏洞利用检测方法的流程示意图;
图2为本发明实施例提供的另一种漏洞利用检测方法的流程示意图;
图3为本发明实施例提供的一种漏洞利用检测装置的结构示意图;
图4为本发明实施例提供的一种计算机设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本发明实施例的理解,下面将结合附图以具体实施例做进一步的解释说明,实施例并不构成对本发明实施例的限定。
图1为本发明实施例提供的一种漏洞利用检测方法的流程示意图,如图1所示,该方法具体包括:
本发明实施例的漏洞利用检测方法,是通过对生产中的真实流量进行重放至业务孪生环境中,重放工具采用改造过的goreplay,主要是修改IP、cookie与session等信息,确保重放流量正常三次握手通信,搭建与实际业务生产***1比1的孪生环境,对孪生环境中各组成模块(不限硬件资源、***、业务、中间件、数据库、虚拟化等)进行底层全方位监测,确保在孪生环境中的全量动作行为均被记录,同时结合自定义的安全合规规则,及时发现异常行为告警,并对全过程动作、流量进行记录,为后续分析与验证提供支撑数据。
S11、获取原始业务生产***中存储的流量包。
本发明实施例的漏洞利用检测方法是基于流量重放的漏洞发现和验证方法,可以包括在线检测和离线检测两种方式。其中,在线检测指实时将原始业务生产***中的流量可以全量或将原始业务生产***自身检测到的异常行为的流量打包同步到孪生***中进行检测;离线检测指将原始业务生产***自身检测到的异常行为的流量打包离线同步到孪生***中进行检测。孪生***是与原始业务生产***1:1比例的孪生环境,确保***、应用、中间件、数据库、组件等版本一致。
首先,搭建业务孪生环境,搭建与原始业务生产***1:1比例的孪生环境,确保***、应用、中间件、数据库、组件等版本一致,较传统的仿真***不同的是搭建业务孪生***是从操作***层、业务层、流量层分别进行接管管控,所有在业务孪生环境下的流量、行为、动作、各种文件、性能、进程等,变化或操作均被记录在指定的图数据库中,相当于业务应用运行在透明可视的盒子中,可以直观的看到***、业务***、数据库、硬件资源性能等实时发生的变化。
然后,定制化流量包重放工具与场景流量确认,从生产中存储下来的流量包内的数据都是生产***的实际信息,为了数据安全考虑,可以对goreplay开源重放工具进行修改,更改重放过程中的IP、cookie与session等信息,保证流量重放至业务孪生***可以通信正常,网络通信流量都遵从三次握手通信,还要再重放主机构造请求、接收响应数据,接受到的响应主机数据同时具备业务孪生所有功能,确保响应数据为安全合规检测基线规则提供重要支撑依据。
S12、将所述流量包在所述原始业务生产***对应的孪生***中进行流量重放。
S13、在流量重放过程中监测异常行为,得到监测结果。
S14、基于所述监测结果确定所述异常行为是否为漏洞利用。
以下对S12~S14进行统一说明:
在业务孪生***中预先建设符合安全标准操作的标准操作合规基线,同时依据操作***安全合规要求、业务应用安全合规要求和安全经验转化的安全知识,形成业务孪生***的标准操作合规基线。
在流量重放过程中,当业务孪生***中发生超出标准操作合规基线的动作或产生不确定的数据行为时,进行持续跟踪与二次研判,同时对整个行为过程链条进行记录,通过事件和流量数据对整个行为过程进行抽取提炼还原,提炼完成后形成漏洞利用脚本文件,将利用漏洞利用脚本文件在孪生***中进行验证测试,如违反标准操作合规基线,证明是漏洞利用行为并验证成功。
本发明实施例提供的漏洞利用检测方法,通过获取原始业务生产***中存储的流量包;将所述流量包在所述原始业务生产***对应的孪生***中进行流量重放;在流量重放过程中监测异常行为,得到监测结果;基于所述监测结果确定所述异常行为是否为漏洞利用。相比于现有的漏洞扫描检测或漏洞攻击发现技术,都是基于已知漏洞、恶意代码或威胁情报数据判定,无法对异常行为、动作指令、流量变化、内生变化、白名单异常等进行有效辨识的问题,由本方法,可以精准的发现传统安全设备不能发现攻击或异常行为,通过流量重放业务孪生环境,可以发现并验证漏洞利用,不占用生产环境的任何资源,不改变原有网络或业务结构,避免在生产环境中部署过多的安全措施,导致***性能下降或兼容性差的问题。
图2为本发明实施例提供的另一种漏洞利用检测方法的流程示意图,如图2所示,该方法具体包括:
本发明实施例中,需要预先搭建业务孪生***,并配置流量重放工具。具体的,搭建与原始业务生产***1:1比例的孪生环境,确保***、应用、中间件、数据库、组件等版本一致,较传统的仿真***不同的是搭建业务孪生***是从操作***层、业务层、流量层分别进行接管管控,所有在业务孪生环境下的流量、行为、动作、各种文件、性能、进程等,变化或操作均被记录在指定的图数据库中,相当于业务应用运行在透明可视的盒子中,可以直观的看到***、业务***、数据库、硬件资源性能等实时发生的变化。
然后,为了数据安全考虑,可以对goreplay开源重放工具进行修改,更改重放过程中的IP、cookie与session等信息,保证流量重放至业务孪生***可以通信正常,网络通信流量都遵从三次握手通信。
S21、获取原始业务生产***中存储的流量包。
本发明实施例中,原始业务生产***将生产中存储下来的流量包发送到业务孪生***,流量包内的数据都是生产***的实际流量信息。该流量包可以是原始业务生产***自身检测到的异常行为对应的流量数据包。
S22、接收所述原始业务生产***发送的流量重放请求。
原始生产***在检测到异常行为时,向业务孪生***发送流量重放请求,该流量重放请求可以携带有流量包。
S23、基于所述流量重放请求,采用流量重放工具将所述流量包在所述孪生***中进行流量重放。
本发明实施例中的流量重放工具可以是开源的goreplay重放工具,采用流量重放工具将流量包在业务孪生***中进行流量重放。
S24、基于预设的标准操作合规基线对流量重放过程中的行为进行监测。
在业务孪生***中预先建设符合安全标准操作的标准操作合规基线,同时依据操作***安全合规要求、业务应用安全合规要求和安全经验转化的安全知识,形成业务孪生***的标准操作合规基线。基于该标准操作合规基线对流量重放过程中的行为进行监测。
S25、抽取所述异常行为对应的完整行为过程的流量数据。
S26、基于所述流量数据形成漏洞利用脚本文件。
S27、将所述漏洞利用脚本文件在所述孪生***中进行验证测试,确定所述异常行为是否为漏洞利用行为。
在流量重放过程中,当业务孪生***中发生超出标准操作合规基线的动作或产生不确定的数据行为时,进行持续跟踪与二次研判,对整个行为过程链条进行记录,通过事件和流量数据对整个行为过程进行抽取提炼还原,提炼完成后形成漏洞利用脚本文件,将利用漏洞利用脚本文件在孪生***中进行验证测试。
S28、若验证测试结果不通过,则确定所述监测结果为所述异常行为是漏洞利用行为。
如果违反标准操作合规基线,表征验证测试结果不通过,确定异常行为是漏洞利用行为
可选的,如果未违反标准操作合规基线,且该异常行为过程链条并未对***造成影响,表征验证测试结果通过,确定异常行为是正常未记录行为;将正常未记录行为可以记载到标准操作合规基线中。需要说明的是,标准操作合规基线中未记录的行为是否是异常行为,还可以通过技术人员进行二次判定,提高检测准确度。
S29、若确定所述监测结果为所述异常行为是漏洞利用行为,则将监测结果反馈给所述原始业务生产***,以使所述原始业务生产***终止所述漏洞利用行为。
若确定监测结果为异常行为是漏洞利用行为,将监测结果反馈到原始业务生产***,使得原始业务生产***终止该漏洞利用行为,还可以同步进行告警提示,以提示开发人员对***漏洞进行修复。
本发明实施例提供的漏洞利用检测方法,通过获取原始业务生产***中存储的流量包;将所述流量包在所述原始业务生产***对应的孪生***中进行流量重放;在流量重放过程中监测异常行为,得到监测结果;基于所述监测结果确定所述异常行为是否为漏洞利用。由本方法,可以精准的发现传统安全设备不能发现攻击或异常行为,通过流量重放业务孪生环境,可以发现并验证漏洞利用,不占用生产环境的任何资源,不改变原有网络或业务结构,避免在生产环境中部署过多的安全措施,导致***性能下降或兼容性差的问题。
图3示出了本发明实施例的一种漏洞利用检测装置的结构示意图。如图3所示,该装置包括:
获取模块301,用于获取原始业务生产***中存储的流量包。详细说明参见上述方法实施例对应的相关描述,此处不再赘述。
重放模块302,用于将所述流量包在所述原始业务生产***对应的孪生***中进行流量重放。详细说明参见上述方法实施例对应的相关描述,此处不再赘述。
监测模块303,用于在流量重放过程中监测异常行为,得到监测结果。详细说明参见上述方法实施例对应的相关描述,此处不再赘述。
确定模块304,用于基于所述监测结果确定所述异常行为是否为漏洞利用。详细说明参见上述方法实施例对应的相关描述,此处不再赘述。
本发明实施例提供的漏洞利用检测装置,用于执行上述实施例提供的漏洞利用检测方法,其实现方式与原理相同,详细内容参见上述方法实施例的相关描述,不再赘述。
图4示出了本发明实施例的一种计算机设备,如图4所示,该计算机设备可以包括处理器901和存储器902,其中处理器901和存储器902可以通过总线或者其他方式连接,图4中以通过总线连接为例。
处理器901可以为中央处理器(Central Processing Unit,CPU)。处理器901还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器902作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中所提供方法所对应的程序指令/模块。处理器901通过运行存储在存储器902中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的方法。
存储器902可以包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需要的应用程序;存储数据区可存储处理器901所创建的数据等。此外,存储器902可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器902可选包括相对于处理器901远程设置的存储器,这些远程存储器可以通过网络连接至处理器901。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个模块存储在存储器902中,当被处理器901执行时,执行上述方法实施例中的方法。
上述计算机设备具体细节可以对应参阅上述方法实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-StateDrive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (16)
1.一种漏洞利用检测方法,其特征在于,包括:
获取原始业务生产***中存储的流量包;
将所述流量包在所述原始业务生产***对应的孪生***中进行流量重放;
在流量重放过程中监测异常行为,得到监测结果;
基于所述监测结果确定所述异常行为是否为漏洞利用。
2.根据权利要求1所述的方法,其特征在于,所述在流量重放过程中监测异常行为,得到监测结果,包括:
基于预设的标准操作合规基线对流量重放过程中的行为进行监测;
对不符合所述标准操作合规基线的异常行为进行追踪和再次判定,得到监测结果。
3.根据权利要求2所述的方法,其特征在于,所述对不符合所述标准操作合规基线的异常行为进行追踪和再次判定,得到监测结果,包括:
抽取所述异常行为对应的完整行为过程的流量数据;
基于所述流量数据形成漏洞利用脚本文件;
将所述漏洞利用脚本文件在所述孪生***中进行验证测试,确定所述异常行为是否为漏洞利用行为。
4.根据权利要求3所述的方法,其特征在于,所述基于所述监测结果确定所述异常行为是否为漏洞利用,包括:
若验证测试结果不通过,则确定所述监测结果为所述异常行为是漏洞利用行为;
若验证测试结果通过,则确定所述监测结果为所述异常行为是正常未记录行为;
将所述正常未记录行为记载到所述标准操作合规基线中。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
若确定所述监测结果为所述异常行为是漏洞利用行为,则将监测结果反馈给所述原始业务生产***,以使所述原始业务生产***终止所述漏洞利用行为。
6.根据权利要求1所述的方法,其特征在于,所述获取原始业务生产***中存储的流量包,包括:
当在线检测漏洞利用时,获取所述原始业务生产***检测到的异常行为时存储的异常行为对应的流量包;
当离线检测漏洞利用时,获取所述原始业务生产***接收到的全部行为对应的流量包。
7.根据权利要求6所述的方法,其特征在于,所述将所述流量包在所述原始业务生产***对应的孪生***中进行流量重放,包括:
接收所述原始业务生产***发送的流量重放请求;
基于所述流量重放请求,采用流量重放工具将所述流量包在所述孪生***中进行流量重放;
将流量重放结果反馈给所述原始业务生产***。
8.一种漏洞利用检测装置,其特征在于,包括:
获取模块,用于获取原始业务生产***中存储的流量包;
重放模块,用于将所述流量包在所述原始业务生产***对应的孪生***中进行流量重放;
监测模块,用于在流量重放过程中监测异常行为,得到监测结果;
确定模块,用于基于所述监测结果确定所述异常行为是否为漏洞利用。
9.根据权利要求8所述的漏洞利用检测装置,其特征在于,所述获取模块,具体用于当在线检测漏洞利用时,获取所述原始业务生产***检测到的异常行为时存储的异常行为对应的流量包;当离线检测漏洞利用时,获取所述原始业务生产***接收到的全部行为对应的流量包。
10.根据权利要求8所述的漏洞利用检测装置,其特征在于,所述重放模块,具体用于接收所述原始业务生产***发送的流量重放请求;基于所述流量重放请求,采用流量重放工具将所述流量包在所述孪生***中进行流量重放;将流量重放结果反馈给所述原始业务生产***。
11.根据权利要求8所述的漏洞利用检测装置,其特征在于,所述监测模块,具体用于基于预设的标准操作合规基线对流量重放过程中的行为进行监测;对不符合所述标准操作合规基线的异常行为进行追踪和再次判定,得到监测结果。
12.根据权利要求11所述的漏洞利用检测装置,其特征在于,所述监测模块,还用于抽取所述异常行为对应的完整行为过程的流量数据;基于所述流量数据形成漏洞利用脚本文件;将所述漏洞利用脚本文件在所述孪生***中进行验证测试,确定所述异常行为是否为漏洞利用行为。
13.根据权利要求12所述的漏洞利用检测装置,其特征在于,所述确定模块,具体用于若验证测试结果不通过,则确定所述监测结果为所述异常行为是漏洞利用行为;若验证测试结果通过,则确定所述监测结果为所述异常行为是正常未记录行为;将所述正常未记录行为记载到所述标准操作合规基线中。
14.根据权利要求13所述的漏洞利用检测装置,其特征在于,所述确定模块,还用于若确定所述监测结果为所述异常行为是漏洞利用行为,则将监测结果反馈给所述原始业务生产***,以使所述原始业务生产***终止所述漏洞利用行为。
15.一种计算机设备,其特征在于,包括:处理器和存储器,所述处理器用于执行所述存储器中存储的漏洞利用检测程序,以实现权利要求1~7中任一项所述的漏洞利用检测方法。
16.一种存储介质,其特征在于,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现权利要求1~7中任一项所述的漏洞利用检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211134195.XA CN115514551A (zh) | 2022-09-16 | 2022-09-16 | 漏洞利用检测方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211134195.XA CN115514551A (zh) | 2022-09-16 | 2022-09-16 | 漏洞利用检测方法、装置、计算机设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115514551A true CN115514551A (zh) | 2022-12-23 |
Family
ID=84504945
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211134195.XA Pending CN115514551A (zh) | 2022-09-16 | 2022-09-16 | 漏洞利用检测方法、装置、计算机设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115514551A (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9727738B1 (en) * | 2016-06-08 | 2017-08-08 | Synack, Inc. | Patch validation via replay and remediation verification |
CN110472414A (zh) * | 2019-07-23 | 2019-11-19 | 中国平安人寿保险股份有限公司 | ***漏洞的检测方法、装置、终端设备及介质 |
CN110674506A (zh) * | 2019-09-10 | 2020-01-10 | 深圳开源互联网安全技术有限公司 | 快速验证应用程序漏洞状态的方法及*** |
-
2022
- 2022-09-16 CN CN202211134195.XA patent/CN115514551A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9727738B1 (en) * | 2016-06-08 | 2017-08-08 | Synack, Inc. | Patch validation via replay and remediation verification |
CN110472414A (zh) * | 2019-07-23 | 2019-11-19 | 中国平安人寿保险股份有限公司 | ***漏洞的检测方法、装置、终端设备及介质 |
CN110674506A (zh) * | 2019-09-10 | 2020-01-10 | 深圳开源互联网安全技术有限公司 | 快速验证应用程序漏洞状态的方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7495460B2 (ja) | セッションセキュリティ分割およびアプリケーションプロファイラ | |
CN108183916B (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
US20190258805A1 (en) | Computer-implemented method and data processing system for testing device security | |
US9215245B1 (en) | Exploration system and method for analyzing behavior of binary executable programs | |
US10135862B1 (en) | Testing security incident response through automated injection of known indicators of compromise | |
CN109495520B (zh) | 一体化网络攻击取证溯源方法、***、设备及存储介质 | |
CN108965037B (zh) | 安全测试数据的获取和审计分析方法及装置 | |
US20160321167A1 (en) | Developer Channel Compliance | |
US11444785B2 (en) | Establishment of trusted communication with container-based services | |
CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
CN112738095A (zh) | 一种检测非法外联的方法、装置、***、存储介质及设备 | |
FR3025964A3 (fr) | Audit d'applications mobiles | |
CA3216355C (en) | Generating synthetic transactions with packets | |
CN104735069A (zh) | 一种基于安全可信的高可用性计算机集群 | |
CN112565232B (zh) | 一种基于模板和流量状态的日志解析方法及*** | |
CN110784364B (zh) | 一种数据监测方法、装置、存储介质及终端 | |
FR2964280A1 (fr) | Procede de centralisation d’evenements pour systeme d’information hierarchique multi-niveaux | |
CN115514551A (zh) | 漏洞利用检测方法、装置、计算机设备及存储介质 | |
CN110351274B (zh) | 一种网络攻击面追踪的方法、服务器和*** | |
CN115051867B (zh) | 一种非法外联行为的检测方法、装置、电子设备及介质 | |
CN108566380A (zh) | 一种代理上网行为识别与检测方法 | |
Banas | Cloud forensic framework for iaas with support for volatile memory | |
CN113032255A (zh) | 响应噪音的识别方法、模型、电子设备及计算机存储介质 | |
CN112995648B (zh) | 互联网电视全流程故障诊断方法、装置及计算设备 | |
CN111259400B (zh) | 一种漏洞检测方法、装置及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |