本发明专利技术提供一种基于攻击面的漏洞检测方法及系统,通过改造现有的攻击面分析方法,整合不同网络切片的流量,根据标识信息提取多维特征集合,送入机器学习模型检测,并根据异常特征集的类型,有针对性的溯源,解决现有攻击面分析中网络切片化的问题;溯源得到漏洞点,对漏洞传染面进行改造的形态分析,实现可在关键节点上动态部署防御策略,解决漏洞的形态分析不同于网络攻击的形态分析的问题。
【技术实现步骤摘要】
一种基于攻击面的漏洞检测方法及系统
本申请涉及网络安全
,尤其涉及一种基于攻击面的漏洞检测的方法及系统。
技术介绍
随着网络技术的飞速发展,安全漏洞层出不穷,越来越多的网络节点,使得对漏洞的检测变得越发困难,而想要根据常规的传播路径溯源漏洞的发展,则更是极其困难的事情。现有的攻击面分析方法可以在一定程度上解决隐蔽性、碎片化、关联性的问题,但是仍然存在网络切片化、漏洞的形态分析不同于网络攻击的形态分析等问题。急需一种针对性的基于攻击面的漏洞检测的方法及系统。
技术实现思路
本专利技术的目的在于提供一种基于攻击面的漏洞检测的方法及系统,通过改造现有的攻击面分析方法,整合不同网络切片的流量,根据标识信息提取多维特征集合,送入机器学习模型检测,并根据异常特征集的类型,有针对性的溯源,解决现有攻击面分析中网络切片化的问题;溯源得到漏洞点,对漏洞传染面进行改造的形态分析,实现可在关键节点上动态部署防御策略,解决漏洞的形态分析不同于网络攻击的形态分析的问题。第一方面,本申请提供一种基于攻击面的漏洞检测方法,所述方法包括:静态检测基于网络功能虚拟化的通信网络的多个第一流量,所述第一流量为属于不同网络切片的流量;接收携带有网络切片标识的多个接入请求,根据所述网络切片标识确定待接入的网络切片对应的源节点,从所述源节点获取所述多个第一流量的前后关联信息,分别提取所述多个第一流量中携带的全部标识信息,将所述多个第一流量按照前后关联信息整合为所述第二流量;使用不同的聚类算法,分别对应用户标识信息、业务标识信息、设备标识信息三类标识,得到多维特征集合,并根据标识类型占比的多少,动态确定所述多维特征集合对应的检测参数和规则,对特征向量加权形成多维检测样本,将所述多维检测样本送入第一机器学习模型,检测是否包括第一攻击向量;获取数据库的历史异常数据,模拟出指定类型的网络攻击流量,所述指定类型的网络攻击流量是指携带预先构造的第二攻击向量;将模拟的所述网络攻击流量送入第一机器学习模型,此时的第一机器学习模块作为判别器,判别所述网络攻击流量与当前网络流量之间的相似度,当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时,则认定所述第一机器学习模型能够正确识别出所模拟的网络攻击,完成训练;当所述第一机器学习模型检测出所述多维检测样本中包括第一攻击向量时,标记所述第一攻击向量所在的特征集为异常,根据特征集的类型开始对第一攻击向量进行针对性溯源;当所述异常的特征集是用户类型时,获取数据库的用户关系链,所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系中的一种或若干种,每一种关系下每一个人为所述用户关系链的一个节点,根据所述用户关系链扩展检测每一个节点涉及的终端、邮箱、文件、即时通信中的一种或若干种,判断是否存在安全漏洞,如果是,则标记该节点为漏洞点;当所述异常的特征集是业务类型时,根据业务流程规定的前后关系、具体业务动作的经办人,得到业务关系链,每一个经办人、经办人名下的终端、设备、文件、即时通信为所述业务关系链的一个节点,检测每一个节点是否包括安全漏洞,如果是,则标记该节点为漏洞点;当所述异常的特征集是设备类型时,获取设备上传输的数据流、用户使用情况、业务办理情况,得到设备关系链,每一个数据包、用户账号、业务动作作为所述设备关系链的一个节点,检测每一个节点是否包括安全漏洞,如果是,则标记该节点为漏洞点;连接所有的漏洞点,形成完整的传染轨迹,溯源得到传染的源点,判断并行存在的多条传染轨迹之间是否存在逻辑关联,如果存在,则将并行存在的多条传染轨迹中邻近的漏洞点串联起来,形成一幅漏洞传染面;将所述漏洞传染面的图形数据送入第二机器学习模型,对所述漏洞传染面进行形态分析,根据图形的树形结构,找出其中传染轨迹上的关键节点,所述关键节点为源点、分裂出并行的传染轨迹的节点、分裂出分支的节点、或者跨网的节点,比较所述漏洞传染面的形状和覆盖范围与数据库中历史漏洞传染面的形态数据的相似度,当相似度数值落入预设的区间内时,则认定当前所述漏洞传染面与历史某一次漏洞传染形态吻合,根据所述历史某一次漏洞传染的广度和深度,在关键节点上动态部署防御策略。结合第一方面,在第一方面第一种可能的实现方式中,所述防御策略包括:完全隔离单个设备或用户、完全禁止单项业务、仅拒绝单个设备或用户开展指定的单项业务、仅拒绝单个设备或用户修改数据中的一种或若干种;根据网络节点的负载情况自动部署防御策略,若关键节点负载小于预设的阈值,则直接在关键节点部署,否则,为关键节点选择负载小于阈值的邻近网络节点部署,切断关键节点向外传输的路径;当所述邻近网络节点的负载上升大于阈值时,先判断关键节点负载是否还大于阈值,如果是,为关键节点切换到第二邻近网络节点部署策略,所述第二邻近网络节点是在关键节点潜在的传播路径上;定期检测关键节点的负载情况,当负载稳定小于阈值时,则将部署切换回关键节点。结合第一方面,在第一方面第二种可能的实现方式中,所述逻辑关联包括:分析所属业务是否存在关联、或业务是否相同,分析相关节点是否在潜在传播路径上,分析所属用户是否相同、或用户之间是否存在关系链。结合第一方面,在第一方面第三种可能的实现方式中,所述机器学习模型包括神经网络模型。第二方面,本申请提供一种基于攻击面的漏洞检测系统,所述系统包括处理器以及存储器:所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;所述处理器用于根据所述程序代码中的指令执行第一方面四种可能中任一项所述的基于攻击面的漏洞检测方法。第三方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行第一方面四种可能中任一项所述的基于攻击面的漏洞检测方法。第四方面,本申请提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得所述计算机执行第一方面四种可能中任一项所述的基于攻击面的漏洞检测方法。本专利技术提供一种基于攻击面的漏洞检测的方法及系统,通过改造现有的攻击面分析方法,整合不同网络切片的流量,根据标识信息提取多维特征集合,送入机器学习模型检测,并根据异常特征集的类型,有针对性的溯源,解决现有攻击面分析中网络切片化的问题;溯源得到漏洞点,对漏洞传染面进行改造的形态分析,实现可在关键节点上动态部署防御策略,解决漏洞的形态分析不同于网络攻击的形态分析的问题。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术基于攻击面的漏洞检测方法的大致流程图。具体实施方式下面结合附图对本专利技术的优选实施例进行详细阐述,以使本专利技术的优点和特征能更易于被本领域技术人员理解,从而对本专利技术的保护范围做出更为清楚明确本文档来自技高网...
【技术保护点】
1.一种基于攻击面的漏洞检测方法,其特征在于,所述方法包括:/n静态检测基于网络功能虚拟化的通信网络的多个第一流量,所述第一流量为属于不同网络切片的流量;/n接收携带有网络切片标识的多个接入请求,根据所述网络切片标识确定待接入的网络切片对应的源节点,从所述源节点获取所述多个第一流量的前后关联信息,分别提取所述多个第一流量中携带的全部标识信息,将所述多个第一流量按照前后关联信息整合为所述第二流量;/n使用不同的聚类算法,分别对应用户标识信息、业务标识信息、设备标识信息三类标识,得到多维特征集合,并根据标识类型占比的多少,动态确定所述多维特征集合对应的检测参数和规则,对特征向量加权形成多维检测样本,将所述多维检测样本送入第一机器学习模型,检测是否包括第一攻击向量;/n获取数据库的历史异常数据,模拟出指定类型的网络攻击流量,所述指定类型的网络攻击流量是指携带预先构造的第二攻击向量;/n将模拟的所述网络攻击流量送入第一机器学习模型,此时的第一机器学习模块作为判别器,判别所述网络攻击流量与当前网络流量之间的相似度,当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时,则认定所述第一机器学习模型能够正确识别出所模拟的网络攻击,完成训练;/n当所述第一机器学习模型检测出所述多维检测样本中包括第一攻击向量时,标记所述第一攻击向量所在的特征集为异常,根据特征集的类型开始对第一攻击向量进行针对性溯源;/n当所述异常的特征集是用户类型时,获取数据库的用户关系链,所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系中的一种或若干种,每一种关系下每一个人为所述用户关系链的一个节点,根据所述用户关系链扩展检测每一个节点涉及的终端、邮箱、文件、即时通信中的一种或若干种,判断是否存在安全漏洞,如果是,则标记该节点为漏洞点;/n当所述异常的特征集是业务类型时,根据业务流程规定的前后关系、具体业务动作的经办人,得到业务关系链,每一个经办人、经办人名下的终端、设备、文件、即时通信为所述业务关系链的一个节点,检测每一个节点是否包括安全漏洞,如果是,则标记该节点为漏洞点;/n当所述异常的特征集是设备类型时,获取设备上传输的数据流、用户使用情况、业务办理情况,得到设备关系链,每一个数据包、用户账号、业务动作作为所述设备关系链的一个节点,检测每一个节点是否包括安全漏洞,如果是,则标记该节点为漏洞点;/n连接所有的漏洞点,形成完整的传染轨迹,溯源得到传染的源点,判断并行存在的多条传染轨迹之间是否存在逻辑关联,如果存在,则将并行存在的多条传染轨迹中邻近的漏洞点串联起来,形成一幅漏洞传染面;/n将所述漏洞传染面的图形数据送入第二机器学习模型,对所述漏洞传染面进行形态分析,根据图形的树形结构,找出其中传染轨迹上的关键节点,所述关键节点为源点、分裂出并行的传染轨迹的节点、分裂出分支的节点、或者跨网的节点,比较所述漏洞传染面的形状和覆盖范围与数据库中历史漏洞传染面的形态数据的相似度,当相似度数值落入预设的区间内时,则认定当前所述漏洞传染面与历史某一次漏洞传染形态吻合,根据所述历史某一次漏洞传染的广度和深度,在关键节点上动态部署防御策略。/n...
【技术特征摘要】
1.一种基于攻击面的漏洞检测方法,其特征在于,所述方法包括:
静态检测基于网络功能虚拟化的通信网络的多个第一流量,所述第一流量为属于不同网络切片的流量;
接收携带有网络切片标识的多个接入请求,根据所述网络切片标识确定待接入的网络切片对应的源节点,从所述源节点获取所述多个第一流量的前后关联信息,分别提取所述多个第一流量中携带的全部标识信息,将所述多个第一流量按照前后关联信息整合为所述第二流量;
使用不同的聚类算法,分别对应用户标识信息、业务标识信息、设备标识信息三类标识,得到多维特征集合,并根据标识类型占比的多少,动态确定所述多维特征集合对应的检测参数和规则,对特征向量加权形成多维检测样本,将所述多维检测样本送入第一机器学习模型,检测是否包括第一攻击向量;
获取数据库的历史异常数据,模拟出指定类型的网络攻击流量,所述指定类型的网络攻击流量是指携带预先构造的第二攻击向量;
将模拟的所述网络攻击流量送入第一机器学习模型,此时的第一机器学习模块作为判别器,判别所述网络攻击流量与当前网络流量之间的相似度,当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时,则认定所述第一机器学习模型能够正确识别出所模拟的网络攻击,完成训练;
当所述第一机器学习模型检测出所述多维检测样本中包括第一攻击向量时,标记所述第一攻击向量所在的特征集为异常,根据特征集的类型开始对第一攻击向量进行针对性溯源;
当所述异常的特征集是用户类型时,获取数据库的用户关系链,所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系中的一种或若干种,每一种关系下每一个人为所述用户关系链的一个节点,根据所述用户关系链扩展检测每一个节点涉及的终端、邮箱、文件、即时通信中的一种或若干种,判断是否存在安全漏洞,如果是,则标记该节点为漏洞点;
当所述异常的特征集是业务类型时,根据业务流程规定的前后关系、具体业务动作的经办人,得到业务关系链,每一个经办人、经办人名下的终端、设备、文件、即时通信为所述业务关系链的一个节点,检测每一个节点是否包括安全漏洞,如果是,则标记该节点为漏洞点;
当所述异常的特征集是设备类型时,获取设备上传输的数据流、用户使用情况、业务办理情况,得到设备关系链,每一个数据包、用户账号、业务动作作为所述设备关系链的一个节点,检测每一个节点是否包括安全漏洞,如果是,则标记该节点为漏洞点;
连接所有的漏洞点,形成完整的传染轨迹,溯源得到传染的源点,判断并行存在的多条传染轨迹之间是否存在逻辑关联,如果存在,则将并行存在的多条传染轨迹...
【专利技术属性】
技术研发人员:段彬,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。