CN114301647B - 态势感知中漏洞信息的预测防御方法、装置及系统 - Google Patents
态势感知中漏洞信息的预测防御方法、装置及系统 Download PDFInfo
- Publication number
- CN114301647B CN114301647B CN202111561939.1A CN202111561939A CN114301647B CN 114301647 B CN114301647 B CN 114301647B CN 202111561939 A CN202111561939 A CN 202111561939A CN 114301647 B CN114301647 B CN 114301647B
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- vulnerability
- information
- steps
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种态势感知中漏洞信息的预测防御方法、装置及系统,涉及网络安全技术领域。所述方法包括步骤:对网络节点所属的网络环境进行漏洞扫描,得到网络漏洞信息;网络节点包括存在网络漏洞的目标节点;确定网络漏洞的类型;判断目标节点所属网络环境中的其它目标节点是否还存在同类型的网络漏洞;为是时,获取存在同类型网络漏洞的所有目标节点,对目标节点的安全信息一起进行分析,以预测网络漏洞对应的攻击步骤,给出相应的预测防御步骤。本发明通过漏洞扫描得到目标节点的网络漏洞信息,并对网络环境内同类型的网络漏洞进行收集和分析,以有效实现网络环境对同类型网络漏洞的全局预测防御,同时避免重复进行漏洞扫描造成网络资源浪费。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及态势感知中漏洞信息的预测防御方法。
背景技术
网络漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。它存在于计算机网络系统中,并可能对系统中的组成和数据造成损害的一切因素。
在现有技术中,能够通过漏洞扫描操作来获得网络中的网络漏洞信息,并通过态势感知系统对前述网络漏洞信息进行处理、分析、预测操作,来预测攻击者对网络漏洞进行攻击的攻击路径、攻击方式等操作,并提供对应的预测防御操作。
然而,在实际操作中,由于攻击者往往更为狡猾,因此会对多个网络设备的网络漏洞进行利用,导致网络安全遭到破坏。为此,需要应对网络攻击的防御方能够对全网的设备安全综合考虑,以实现全局的网络安全。
为此,提供一种态势感知中漏洞信息的预测防御方法、装置及系统,以解决通过漏洞扫描得到目标节点的网络漏洞信息,并对网络环境内同类型的网络漏洞进行全面收集和分析,以有效实现网络环境对同类型网络漏洞的全局预测防御,避免了重复进行漏洞扫描造成网络资源浪费,是当前亟需解决的技术问题。
发明内容
本发明的目的在于:克服现有技术的不足,提供一种态势感知中漏洞信息的预测防御方法、装置及系统,本发明能够对网络节点所属的网络环境进行漏洞扫描,得到网络漏洞信息;所述网络节点包括网络环境中存在网络漏洞的目标节点;所述网络漏洞信息包括前述目标节点的安全信息;所述安全信息中包括有网络漏洞的特征信息;提取前述网络漏洞的特征信息,与现有漏洞数据库中的网络漏洞进行匹配,确定前述网络漏洞的类型;判断前述目标节点所属网络环境中的其它目标节点是否还存在同类型的网络漏洞;判定为是时,获取存在同类型网络漏洞的所有目标节点,对前述目标节点的安全信息一起进行分析,以预测前述网络漏洞对应的攻击步骤,并对应前述攻击步骤给出相应的预测防御步骤。
为解决现有的技术问题,本发明提供了如下技术方案:
一种态势感知中漏洞信息的预测防御方法,其特征在于包括步骤,
对网络节点所属的网络环境进行漏洞扫描,得到网络漏洞信息;所述网络节点包括网络环境中存在网络漏洞的目标节点;所述网络漏洞信息包括前述目标节点的安全信息;所述安全信息中包括有网络漏洞的特征信息;
提取前述网络漏洞的特征信息,与现有漏洞数据库中的网络漏洞进行匹配,确定前述网络漏洞的类型;
判断前述目标节点所属网络环境中的其它目标节点是否还存在同类型的网络漏洞;
判定为是时,获取存在同类型网络漏洞的所有目标节点,对前述目标节点的安全信息一起进行分析,以预测前述网络漏洞对应的攻击步骤,并对应前述攻击步骤给出相应的预测防御步骤。
进一步,所述目标节点的安全信息包括操作系统类型、运行的服务及服务软件的版本。
进一步,所述网络漏洞信息包括发现时间、漏洞名称、危害级别、资产IP、扫描任务名称、数据来源、状态、处置优先级、操作。
进一步,所述网络漏洞的类型包括缓冲区溢出、跨站脚本、DOS攻击、扫描、SQL注入、木马后门、病毒蠕虫、Web攻击、僵尸网络、跨站请求伪造、文件包含、文件读取、目录遍历攻击、敏感信息泄露、暴力破解、代码执行漏洞、命令执行、弱口令、上传漏洞利用、Webshell利用、配置不当/错误、逻辑/涉及错误、非授权访问/权限绕过、URL跳转、协议异常、网络钓鱼、恶意广告、网络欺骗、间谍软件、浏览器劫持、键盘记录、窃密木马、端口扫描、黑市工具、电子邮件、电脑病毒、网络蠕虫、文件下载、权限许可和访问控制和Webshell上传。
进一步,预测得到前述网络漏洞对应的攻击步骤,具体包括:获取网络节点对前述目标节点的访问请求信息;基于前述访问请求信息判断前述目标节点可能受到攻击的网络漏洞的类型;根据前述网络漏洞的类型匹配攻击者的攻击方式。
进一步,所述攻击方式包括多个攻击步骤,所述攻击步骤与预测防御步骤的顺序对应。
进一步,基于时间轴验证前述攻击步骤的攻击顺序,对应调整前述预测防御步骤的防御顺序。
进一步,对存储在前述目标节点的数据信息进行数据完整性分析;所述存储包括对前述目标节点的数据信息进行数据备份。
一种态势感知中漏洞信息的预测防御装置,其特征在于包括结构:
漏洞扫描单元,用以对网络节点所属的网络环境进行漏洞扫描,得到网络漏洞信息;所述网络节点包括网络环境中存在网络漏洞的目标节点;所述网络漏洞信息包括前述目标节点的安全信息;所述安全信息中包括有网络漏洞的特征信息;
漏洞确定单元,用以提取前述网络漏洞的特征信息,与现有漏洞数据库中的网络漏洞进行匹配,确定前述网络漏洞的类型;
漏洞判断单元,用以判断前述目标节点所属网络环境中的其它目标节点是否还存在同类型的网络漏洞;
漏洞预测防御单元,用以判定为是时,获取存在同类型网络漏洞的所有目标节点,对前述目标节点的安全信息一起进行分析,以预测前述网络漏洞对应的攻击步骤,并对应前述攻击步骤给出相应的预测防御步骤。
一种态势感知中漏洞信息的预测防御系统,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期扫描网络环境以确定网络漏洞,对网络漏洞所属的网络节点的安全信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:对网络节点所属的网络环境进行漏洞扫描,得到网络漏洞信息;所述网络节点包括网络环境中存在网络漏洞的目标节点;所述网络漏洞信息包括前述目标节点的安全信息;所述安全信息中包括有网络漏洞的特征信息;提取前述网络漏洞的特征信息,与现有漏洞数据库中的网络漏洞进行匹配,确定前述网络漏洞的类型;判断前述目标节点所属网络环境中的其它目标节点是否还存在同类型的网络漏洞;判定为是时,获取存在同类型网络漏洞的所有目标节点,对前述目标节点的安全信息一起进行分析,以预测前述网络漏洞对应的攻击步骤,并对应前述攻击步骤给出相应的预测防御步骤。
基于上述优点和积极效果,本发明的优势在于:对网络节点所属的网络环境进行漏洞扫描,得到网络漏洞信息;所述网络节点包括网络环境中存在网络漏洞的目标节点;所述网络漏洞信息包括前述目标节点的安全信息;所述安全信息中包括有网络漏洞的特征信息;提取前述网络漏洞的特征信息,与现有漏洞数据库中的网络漏洞进行匹配,确定前述网络漏洞的类型;判断前述目标节点所属网络环境中的其它目标节点是否还存在同类型的网络漏洞;判定为是时,获取存在同类型网络漏洞的所有目标节点,对前述目标节点的安全信息一起进行分析,以预测前述网络漏洞对应的攻击步骤,并对应前述攻击步骤给出相应的预测防御步骤。
进一步,预测得到前述网络漏洞对应的攻击步骤,具体包括:获取网络节点对前述目标节点的访问请求信息;基于前述访问请求信息判断前述目标节点可能受到攻击的网络漏洞的类型;根据前述网络漏洞的类型匹配攻击者的攻击方式。
进一步,所述攻击方式包括多个攻击步骤,所述攻击步骤与预测防御步骤的顺序对应。
进一步,基于时间轴验证前述攻击步骤的攻击顺序,对应调整前述预测防御步骤的防御顺序。
附图说明
图1为本发明实施例提供的一个流程图。
图2为本发明实施例提供的另一个流程图。
图3为本发明实施例提供的装置的结构示意图。
图4为本发明实施例提供的系统的结构示意图。
附图标记说明:
装置200,漏洞扫描单元201,漏洞确定单元202,漏洞判断单元203,漏洞预测防御单元204;
系统300,网络节点301,态势感知系统302,系统服务器303。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种态势感知中漏洞信息的预测防御方法、装置及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一个流程图。所述方法的实施步骤S100如下:
S101,对网络节点所属的网络环境进行漏洞扫描,得到网络漏洞信息;所述网络节点包括网络环境中存在网络漏洞的目标节点;所述网络漏洞信息包括前述目标节点的安全信息;所述安全信息中包括有网络漏洞的特征信息。
所述网络节点,是指处于网络环境中具有独立网络地址和数据处理功能的终端,所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。
所述网络节点可以是工作站、客户、网络用户或个人计算机,也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点,这些网络节点通过通信线路连接,形成网络拓扑结构。所述通信线路可以是有线通信方式,也可以是无线通信方式。
所述漏洞扫描能够基于漏洞数据库中预设的漏洞扫描规则扫描网络环境中的网络节点和各网络节点间的数据传输协议,来确定网络漏洞。
作为举例而非限制,所述漏洞扫描可以优选通过扫描网络节点的访问操作来获取网络漏洞,即在网络节点的访问操作与系统的安全策略冲突时,视为存在网络漏洞。
所述漏洞扫描包括但不限制于网络节点漏洞扫描、Web应用漏洞扫描、和APK系统扫描等。
所述网络节点漏洞扫描可以通过评估工具以远程扫描的方式对评估范围内的系统和网络进行安全扫描,通过扫描发现网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁,并对检查出来的弱口令、高风险漏洞进行手工验证。
所述Web应用漏洞扫描,快速扫描多种网站漏洞,高效、全方位的检测网络中的各类脆弱性风险,提供专业、有效的安全分析和修补建议,结合安全管理流程对修补效果进行审计,最大程度减小受攻击面,确保结果的准确性,全面评估Web应用漏洞,提高企业Web安全防御能力。
所述APK系统扫描,利用apktool、dex2jar、jd-gui、smali2dex等静态工具对应用进行反编译扫描分析,提供Android组件检测、权限管理、dex保护、数据安全(传输、存储、输出)检测,以及对危险调试信息等常见的漏洞风险进行检测,检测在开发过程中遗漏、忽略和可被利用的漏洞。
所述网络漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。它存在于计算机网络系统中的、可能对系统中的组成和数据造成损害的一切因素。
所述网络漏洞信息包括但不限制于时间、来源区域、事件、受威胁资产、目标节点和攻击类型等信息。
所述安全信息包括但不限制于序号、归并数目、事件名称、事件摘要、事件分类、采集类型、等级、网络协议、网络应用协议、源名称、源MAC地址、源地址、源转换IP地址、源端口、源转换端口、目的名称、目的MAC、目的地址、目的转换IP地址、目的端口、目的转换端口、用户名称、程序名称、操作、对象、结果、设备名称、设备地址、设备类型、产生时间、事件接收时刻、采集器IP地址、原始等级、发送流量、接收流量、持续时间、原始类型、请求内容等信息。
所述网络漏洞的特征信息包括但不限制于目标节点的状态信息和正在运行的目标节点的端口的状态信息等信息。
S102,提取前述网络漏洞的特征信息,与现有漏洞数据库中的网络漏洞进行匹配,确定前述网络漏洞的类型。
所述网络漏洞的类型包括但不限制于缓冲区溢出、跨站脚本、DOS攻击、扫描、SQL注入、木马后门、病毒蠕虫、Web攻击、僵尸网络、跨站请求伪造、文件包含、文件读取、目录遍历攻击、敏感信息泄露、暴力破解、代码执行漏洞、命令执行、弱口令、上传漏洞利用、Webshell利用、配置不当/错误、逻辑/涉及错误、非授权访问/权限绕过、URL跳转、协议异常、网络钓鱼、恶意广告、网络欺骗、间谍软件、浏览器劫持、键盘记录、窃密木马、端口扫描、黑市工具、电子邮件、电脑病毒、网络蠕虫、文件下载、权限许可和访问控制和Webshell上传等。
S103,判断前述目标节点所属网络环境中的其它目标节点是否还存在同类型的网络漏洞。
其中,判断前述目标节点所属网络环境中是否还存在同类型的网络漏洞的操作可以是根据前述网络漏洞的特征,对网络环境中所有的网络节点进行漏洞扫描后得到。
当存在其它目标节点时,可以采集所有同类型的目标节点的安全信息,并对前述目标节点的安全信息进行分析和预测,其优势在于对网络环境内同类型的网络漏洞信息进行全面收集和分析,以有效实现网络环境对同类型网络漏洞的全局预测防御,避免了重复进行多次漏洞扫描而造成网络资源浪费。
S104,判定为是时,获取存在同类型网络漏洞的所有目标节点,对前述目标节点的安全信息一起进行分析,以预测前述网络漏洞对应的攻击步骤,并对应前述攻击步骤给出相应的预测防御步骤。
所述预测是指依据态势感知系统的预测能力,对前述网络漏洞可能受到的攻击和攻击方的攻击步骤、攻击方式、攻击路径基于前述目标节点的安全信息进行预测。
所述预测防御步骤是指基于预测得到的前述网络漏洞可能受到的攻击和攻击方的攻击步骤、攻击方式、攻击路径,以给出对应的防御步骤。
值得说明的是,所述预测防御步骤作为备份的防御方案存在于现有的漏洞数据库的防御方案中,当实际检测到前述攻击、攻击步骤、攻击方式或攻击路径时,由态势感知系统调取对应前述攻击、攻击步骤、攻击方式或攻击路径的预测防御步骤,形成适应前述攻击、攻击步骤、攻击方式或攻击路径的防御方案。
优选的,所述目标节点的安全信息包括操作系统类型、运行的服务及服务软件的版本。
优选的,所述网络漏洞信息包括发现时间、漏洞名称、危害级别、资产IP、扫描任务名称、数据来源、状态、处置优先级、操作。
优选的,所述网络漏洞的类型包括缓冲区溢出、跨站脚本、DOS攻击、扫描、SQL注入、木马后门、病毒蠕虫、Web攻击、僵尸网络、跨站请求伪造、文件包含、文件读取、目录遍历攻击、敏感信息泄露、暴力破解、代码执行漏洞、命令执行、弱口令、上传漏洞利用、Webshell利用、配置不当/错误、逻辑/涉及错误、非授权访问/权限绕过、URL跳转、协议异常、网络钓鱼、恶意广告、网络欺骗、间谍软件、浏览器劫持、键盘记录、窃密木马、端口扫描、黑市工具、电子邮件、电脑病毒、网络蠕虫、文件下载、权限许可和访问控制和Webshell上传。
所述拒绝服务(Denial of Service,简称DoS)攻击通过拒绝服务访问,破坏网络的正常运行,最终网络连接堵塞,或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。
此外,所述网络漏洞的类型还包括网络报文嗅探、IP地址欺骗、密码攻击、分布式拒绝服务等。
所述网络报文嗅探通过嗅探器,以利用计算机的网络接口,截获目的计算机数据报文的一种技术。
所述IP地址欺骗攻击是通过假冒受信主机的IP地址,对目标进行攻击。
所述密码攻击通过多种不同方法实现,包括但不限制于蛮力攻击,特洛伊木马程序等。
所述分布式拒绝服务(Distributed Denial of Service,简称DDoS)是一种基于DoS的特殊形式的分布、协作式的大规模拒绝服务攻击,通过同时实施几个,甚至十几个不同服务的拒绝攻击,从而使网络连接堵塞,或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。
值得注意的是,当在某一网络节点处监测到存在前述网络漏洞的类型时,可以优选视为存在网络攻击,或者是攻击方正在尝试利用网络漏洞对网络节点发起网络攻击。此时,将前述攻击特征对应匹配,以预测攻击方的攻击步骤。
参见图2所示,为本发明提供的一个流程图。具体包括步骤S110:
S111,获取网络节点对前述目标节点的访问请求信息。
所述访问请求信息包括但不限于请求行、请求头部、请求数据,对所述访问请求信息进行实时的关联分析和路径追踪,以实现网络安全的动态分析。
S112,基于前述访问请求信息判断前述目标节点可能受到攻击的网络漏洞的类型。
作为举例而非限制,当某一网络节点A对前述目标节点B提出访问请求时,即目标节点B对访问请求信息的反馈显示网络节点A的访问超过访问权限,此时,可以得到目标节点可能受到攻击的网络漏洞的类型为非授权访问。
S113,根据前述网络漏洞的类型匹配攻击者的攻击方式。
由于网络节点存在网络漏洞,导致网络节点的网络漏洞被攻击者利用以进行网络络攻击之间存在着一定的关联关系,所述关联关系包括但不限制于因果关系、递进关系等。因此,根据前述网络漏洞的类型可以确定前述攻击者的攻击方式。
优选的,所述攻击方式包括多个攻击步骤,所述攻击步骤与预测防御步骤的顺序对应。
作为举例而非限制,当存在网络攻击时,攻击者会将网络攻击拆分为多个步骤,以逃避网络安全的监控,此时态势感知系统预测得到的其攻击方式对应为攻击步骤1,攻击步骤2,...,攻击步骤N(N为大于等于2的正整数),对应的,将其预测防御步骤顺序设置为预测防御步骤1,预测防御步骤2,...,预测防御步骤N(N为大于等于2的正整数)。
此外,所述预测防御步骤也可以对应前述攻击步骤进行逆序排列或乱序排列。
值得注意的是,每一个目标节点由于其在网络环境中所处的位置不同,对应的作用不同,所以在进行防御时,需要考虑前述每个目标节点的综合情况进行分析。
优选的,基于时间轴验证前述攻击步骤的攻击顺序,对应调整前述预测防御步骤的防御顺序。
优选的,对存储在前述目标节点的数据信息进行数据完整性分析;所述存储包括对前述目标节点的数据信息进行数据备份。
对存储在前述目标节点的数据信息进行数据完整性分析的优势在于,能够获得目标节点的数据信息丢失或泄露的具体情况,并及时采取防御措施,以避免更大的网络安全风险。
其它技术特征参考在前实施例,在此不再赘述。
参见图3所示,本发明还给出了一个实施例,提供了一种态势感知中漏洞信息的预测防御装置200,其特征在于包括结构:
漏洞扫描单元201,用以对网络节点所属的网络环境进行漏洞扫描,得到网络漏洞信息;所述网络节点包括网络环境中存在网络漏洞的目标节点;所述网络漏洞信息包括前述目标节点的安全信息;所述安全信息中包括有网络漏洞的特征信息。
漏洞确定单元202,用以提取前述网络漏洞的特征信息,与现有漏洞数据库中的网络漏洞进行匹配,确定前述网络漏洞的类型。
漏洞判断单元203,用以判断前述目标节点所属网络环境中的其它目标节点是否还存在同类型的网络漏洞。
漏洞预测防御单元204,用以判定为是时,获取存在同类型网络漏洞的所有目标节点,对前述目标节点的安全信息一起进行分析,以预测前述网络漏洞对应的攻击步骤,并对应前述攻击步骤给出相应的预测防御步骤。
此外,参见图4所示,本发明还给出了一个实施例,提供了一种态势感知中漏洞信息的预测防御系统300,其特征在于包括:
网络节点301,用于收发数据。
态势感知系统302,定期扫描网络环境以确定网络漏洞,对网络漏洞所属的网络节点的安全信息进行安全分析。
所述态势感知系统是指整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统,以完成目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。
所述定期检测可以设置检测时间或是检测时间周期,所述定期检测包括但不限于网页防篡改,进程异常行为,异常登录,恶意进程,异常网络连接,异常账号,病毒检测,Web应用威胁检测等。
系统服务器303,所述系统服务器303连接网络节点301和态势感知系统302。
所述系统服务器303被配置为:对网络节点所属的网络环境进行漏洞扫描,得到网络漏洞信息;所述网络节点包括网络环境中存在网络漏洞的目标节点;所述网络漏洞信息包括前述目标节点的安全信息;所述安全信息中包括有网络漏洞的特征信息;提取前述网络漏洞的特征信息,与现有漏洞数据库中的网络漏洞进行匹配,确定前述网络漏洞的类型;判断前述目标节点所属网络环境中的其它目标节点是否还存在同类型的网络漏洞;判定为是时,获取存在同类型网络漏洞的所有目标节点,对前述目标节点的安全信息一起进行分析,以预测前述网络漏洞对应的攻击步骤,并对应前述攻击步骤给出相应的预测防御步骤。
其它技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (7)
1.一种态势感知中漏洞信息的预测防御方法,其特征在于包括步骤,对网络节点所属的网络环境进行漏洞扫描,得到网络漏洞信息;所述网络节点包括网络环境中存在网络漏洞的目标节点;所述网络漏洞信息包括前述目标节点的安全信息;所述安全信息中包括有网络漏洞的特征信息;
提取前述网络漏洞的特征信息,与现有漏洞数据库中的网络漏洞进行匹配,确定前述网络漏洞的类型;
判断前述目标节点所属网络环境中的其它目标节点是否还存在同类型的网络漏洞;
判定为是时,获取存在同类型网络漏洞的所有目标节点,以及前述所有目标节点的安全信息,并结合前述目标节点的安全信息一起进行分析,以预测前述网络漏洞对应的攻击步骤,并对应前述攻击步骤给出相应的预测防御步骤;其中,预测得到前述网络漏洞对应的攻击步骤,具体包括:获取网络节点对前述目标节点的访问请求信息;基于前述访问请求信息判断前述目标节点可能受到攻击的网络漏洞的类型;根据前述网络漏洞的类型匹配攻击者的攻击方式;所述攻击方式包括多个攻击步骤,所述攻击步骤与预测防御步骤的顺序对应;其中,当在某一网络节点处监测到存在前述网络漏洞的类型时,判定为存在网络攻击;存在上述网络攻击时,将攻击者的网络攻击拆分为多个步骤,通过态势感知系统预测得到攻击者实施网络攻击的多个步骤,依序为攻击步骤1,攻击步骤2,...,攻击步骤N,其中N为大于等于2的整数,对应的,将预测防御步骤顺序设置为预测防御步骤1,预测防御步骤2,...,预测防御步骤N;基于时间轴验证前述攻击步骤的攻击顺序,对应调整前述预测防御步骤的防御顺序。
2.根据权利要求1所述的方法,其特征在于,所述目标节点的安全信息包括操作系统类型、运行的服务及服务软件的版本。
3.根据权利要求1所述的方法,其特征在于,所述网络漏洞信息包括发现时间、漏洞名称、危害级别、资产IP、扫描任务名称、数据来源、状态、处置优先级、操作。
4.根据权利要求1所述的方法,其特征在于,所述网络漏洞的类型包括缓冲区溢出、跨站脚本、DOS攻击、扫描、SQL注入、木马后门、病毒蠕虫、Web攻击、僵尸网络、跨站请求伪造、文件包含、文件读取、目录遍历攻击、敏感信息泄露、暴力破解、代码执行漏洞、命令执行、弱口令、上传漏洞利用、Webshel l利用、配置不当/错误、逻辑/涉及错误、非授权访问/权限绕过、URL跳转、协议异常、网络钓鱼、恶意广告、网络欺骗、间谍软件、浏览器劫持、键盘记录、窃密木马、端口扫描、黑市工具、电子邮件、电脑病毒、网络蠕虫、文件下载、权限许可和访问控制和Webshel l上传。
5.根据权利要求1所述的方法,其特征在于,对存储在前述目标节点的数据信息进行数据完整性分析;所述存储包括对前述目标节点的数据信息进行数据备份。
6.一种态势感知中漏洞信息的预测防御装置,包括如权利要求1-5中任一项所述的方法,其特征在于包括结构:
漏洞扫描单元,用以对网络节点所属的网络环境进行漏洞扫描,得到网络漏洞信息;所述网络节点包括网络环境中存在网络漏洞的目标节点;所述网络漏洞信息包括前述目标节点的安全信息;所述安全信息中包括有网络漏洞的特征信息;
漏洞确定单元,用以提取前述网络漏洞的特征信息,与现有漏洞数据库中的网络漏洞进行匹配,确定前述网络漏洞的类型;
漏洞判断单元,用以判断前述目标节点所属网络环境中的其它目标节点是否还存在同类型的网络漏洞;
漏洞预测防御单元,用以判定为是时,获取存在同类型网络漏洞的所有目标节点,以及前述所有目标节点的安全信息,并结合前述目标节点的安全信息一起进行分析,以预测前述网络漏洞对应的攻击步骤,并对应前述攻击步骤给出相应的预测防御步骤;其中,预测得到前述网络漏洞对应的攻击步骤,具体包括:获取网络节点对前述目标节点的访问请求信息;基于前述访问请求信息判断前述目标节点可能受到攻击的网络漏洞的类型;根据前述网络漏洞的类型匹配攻击者的攻击方式;所述攻击方式包括多个攻击步骤,所述攻击步骤与预测防御步骤的顺序对应;其中,当在某一网络节点处监测到存在前述网络漏洞的类型时,判定为存在网络攻击;存在上述网络攻击时,将攻击者的网络攻击拆分为多个步骤,通过态势感知系统预测得到攻击者实施网络攻击的多个步骤,依序为攻击步骤1,攻击步骤2,...,攻击步骤N,其中N为大于等于2的整数,对应的,将预测防御步骤顺序设置为预测防御步骤1,预测防御步骤2,...,预测防御步骤N;基于时间轴验证前述攻击步骤的攻击顺序,对应调整前述预测防御步骤的防御顺序。
7.一种态势感知中漏洞信息的预测防御系统,包括如权利要求1-5中任一项所述的方法,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期扫描网络环境以确定网络漏洞,对网络漏洞所属的网络节点的安全信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:
对网络节点所属的网络环境进行漏洞扫描,得到网络漏洞信息;所述网络节点包括网络环境中存在网络漏洞的目标节点;所述网络漏洞信息包括前述目标节点的安全信息;所述安全信息中包括有网络漏洞的特征信息;提取前述网络漏洞的特征信息,与现有漏洞数据库中的网络漏洞进行匹配,确定前述网络漏洞的类型;判断前述目标节点所属网络环境中的其它目标节点是否还存在同类型的网络漏洞;判定为是时,获取存在同类型网络漏洞的所有目标节点,以及前述所有目标节点的安全信息,并结合前述目标节点的安全信息一起进行分析,以预测前述网络漏洞对应的攻击步骤,并对应前述攻击步骤给出相应的预测防御步骤;其中,预测得到前述网络漏洞对应的攻击步骤,具体包括:获取网络节点对前述目标节点的访问请求信息;基于前述访问请求信息判断前述目标节点可能受到攻击的网络漏洞的类型;根据前述网络漏洞的类型匹配攻击者的攻击方式;所述攻击方式包括多个攻击步骤,所述攻击步骤与预测防御步骤的顺序对应;其中,当在某一网络节点处监测到存在前述网络漏洞的类型时,判定为存在网络攻击;存在上述网络攻击时,将攻击者的网络攻击拆分为多个步骤,通过态势感知系统预测得到攻击者实施网络攻击的多个步骤,依序为攻击步骤1,攻击步骤2,...,攻击步骤N,其中N为大于等于2的整数,对应的,将预测防御步骤顺序设置为预测防御步骤1,预测防御步骤2,...,预测防御步骤N;基于时间轴验证前述攻击步骤的攻击顺序,对应调整前述预测防御步骤的防御顺序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111561939.1A CN114301647B (zh) | 2021-12-20 | 2021-12-20 | 态势感知中漏洞信息的预测防御方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111561939.1A CN114301647B (zh) | 2021-12-20 | 2021-12-20 | 态势感知中漏洞信息的预测防御方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114301647A CN114301647A (zh) | 2022-04-08 |
| CN114301647B true CN114301647B (zh) | 2024-05-10 |
Family
ID=80967684
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111561939.1A Active CN114301647B (zh) | 2021-12-20 | 2021-12-20 | 态势感知中漏洞信息的预测防御方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301647B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116471124B (zh) * | 2023-06-19 | 2023-11-21 | 国信金宏(成都)检验检测技术研究院有限责任公司 | 基于大数据信息进行分析的计算机网络安全预测系统 |
| CN117081864A (zh) * | 2023-10-17 | 2023-11-17 | 天津市职业大学 | 网络信息安全防御检测方法及系统 |
| CN118643505B (zh) * | 2024-08-16 | 2025-01-07 | 福建中信网安信息科技有限公司 | 一种工业数据安全防护方法及系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753562A (zh) * | 2009-12-28 | 2010-06-23 | 成都市华为赛门铁克科技有限公司 | 僵尸网络的检测方法、装置及网络安全防护设备 |
| CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
| CN108234419A (zh) * | 2016-12-21 | 2018-06-29 | 江苏神州信源系统工程有限公司 | 一种基于大数据的网络攻击监测方法和装置 |
| CN112632555A (zh) * | 2020-12-15 | 2021-04-09 | 国网河北省电力有限公司电力科学研究院 | 一种节点漏洞的扫描方法、装置及计算机设备 |
| CN112637207A (zh) * | 2020-12-23 | 2021-04-09 | 中国信息安全测评中心 | 一种网络安全态势预测方法及装置 |
| CN113312625A (zh) * | 2021-06-21 | 2021-08-27 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
| CN113326514A (zh) * | 2021-07-30 | 2021-08-31 | 紫光恒越技术有限公司 | 网络资产的风险评估方法、装置、交换机、设备及服务器 |
| CN113810406A (zh) * | 2021-09-15 | 2021-12-17 | 浙江工业大学 | 一种基于动态防御图与强化学习的网络空间安全防御方法 |
-
2021
- 2021-12-20 CN CN202111561939.1A patent/CN114301647B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753562A (zh) * | 2009-12-28 | 2010-06-23 | 成都市华为赛门铁克科技有限公司 | 僵尸网络的检测方法、装置及网络安全防护设备 |
| CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
| CN108234419A (zh) * | 2016-12-21 | 2018-06-29 | 江苏神州信源系统工程有限公司 | 一种基于大数据的网络攻击监测方法和装置 |
| CN112632555A (zh) * | 2020-12-15 | 2021-04-09 | 国网河北省电力有限公司电力科学研究院 | 一种节点漏洞的扫描方法、装置及计算机设备 |
| CN112637207A (zh) * | 2020-12-23 | 2021-04-09 | 中国信息安全测评中心 | 一种网络安全态势预测方法及装置 |
| CN113312625A (zh) * | 2021-06-21 | 2021-08-27 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
| CN113326514A (zh) * | 2021-07-30 | 2021-08-31 | 紫光恒越技术有限公司 | 网络资产的风险评估方法、装置、交换机、设备及服务器 |
| CN113810406A (zh) * | 2021-09-15 | 2021-12-17 | 浙江工业大学 | 一种基于动态防御图与强化学习的网络空间安全防御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114301647A (zh) | 2022-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107888607B (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| US20230362189A1 (en) | System and method for strategic anti-malware monitoring | |
| US10587636B1 (en) | System and method for bot detection | |
| US10230761B1 (en) | Method and system for detecting network compromise | |
| US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
| US9661017B2 (en) | System and method for malware and network reputation correlation | |
| CN114301647B (zh) | 态势感知中漏洞信息的预测防御方法、装置及系统 | |
| US8204984B1 (en) | Systems and methods for detecting encrypted bot command and control communication channels | |
| EP2008188B1 (en) | Software vulnerability exploitation shield | |
| EP2156361B1 (en) | Reduction of false positive reputations through collection of overrides from customer deployments | |
| Zarras et al. | Automated generation of models for fast and precise detection of HTTP-based malware | |
| CN111641620A (zh) | 用于检测进化DDoS攻击的新型云蜜罐方法及架构 | |
| KR102501372B1 (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
| Govil et al. | Criminology of botnets and their detection and defense methods | |
| Mirza et al. | A modular approach for implementation of honeypots in cyber security | |
| CN114189360B (zh) | 态势感知的网络漏洞防御方法、装置及系统 | |
| US20190379693A1 (en) | Detecting a Remote Exploitation Attack | |
| Ilavarasan et al. | A Survey on host-based Botnet identification | |
| Szczepanik et al. | Detecting New and Unknown Malwares Using Honeynet | |
| Sqalli et al. | Classifying malicious activities in Honeynets using entropy and volume‐based thresholds | |
| US20050262565A1 (en) | Method and systems for computer security | |
| CN118316634A (zh) | 报文检测方法、靶场系统、安全检测设备及报文检测系统 | |
| Amirshahi et al. | HF-Blocker: Detection of Distributed Denial of Service Attacks Based On Botnets | |
| Arastouie et al. | Detecting Botnets in View of an Efficient Method. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |