用于检测命令执行漏洞的方法和检测设备技术

本公开提供了一种用于检测命令执行漏洞的方法，包括：获取网络设备的网络环境数据；利用情景数据模型，基于本体知识库对网络环境数据进行处理以生成第一情景数据；以及利用预定规则从第一情景数据导出第二情景数据，第二情景数据用于判断网络设备是否存在命令执行漏洞。本公开还提供了一种用于检测命令执行漏洞的检测设备、一种电子设备以及一种计算机可读存储介质。

Methods and devices for detecting command execution vulnerabilities

The disclosure provides a method for detecting command execution vulnerability, including: obtaining network environment data of network equipment; processing network environment data based on ontology knowledge base to generate first scenario data by using scenario data model; and exporting second scenario data from first scenario data by using predetermined rules, and the second scenario data is used to judge whether network equipment is or not There is a command execution vulnerability. The present disclosure also provides a detection device for detecting command execution vulnerability, an electronic device and a computer-readable storage medium.

【技术实现步骤摘要】
用于检测命令执行漏洞的方法和检测设备
本公开涉及网络安全人工智能领域，尤其涉及一种用于检测命令执行漏洞的方法和检测设备。
技术介绍
随着计算机网络技术的发展，传统的安全防护体系已远远不足以应对黑客不断变化和改进的攻击。随着各个行业科技资产的种类和数量急剧增加，资产的管理会不可避免地出现一系列的漏洞。现有资产安全防护体系需要较大的人员投入且时效性差，防护覆盖不够全面、准确率低下、且无法有效防护0Day漏洞，与当前攻击手段存在较大的技术代差。如何利用机器进行实时采集网络安全数据，并取代安全专家智能地对数据进行理解、分析和处理来提高资产安全防护的时效性、全面性和精确性成为一个技术问题。
技术实现思路
本公开的一个方面提供了一种用于检测命令执行漏洞的方法，包括：获取网络设备的网络环境数据；利用情景数据模型，基于本体知识库对所述网络环境数据进行处理以生成第一情景数据；以及利用预定规则从所述第一情景数据导出第二情景数据，所述第二情景数据用于判断所述网络设备是否存在命令执行漏洞。本公开的一个方面提供了一种用于检测命令执行漏洞的检测设备，包括：获取装置，用于获取网络设备的网络环境数据；情景建模装置，用于利用情景数据模型，基于本体知识库对所述网络环境数据进行处理以生成第一情景数据；以及情景推理装置，用于利用预定规则从所述第一情景数据导出第二情景数据，所述第二情景数据用于判断所述网络设备是否存在命令执行漏洞。本公开的一个方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现根据本公开所述的用于检测命令执行漏洞的方法。本公开的一个方面提供了一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现根据本公开所述的用于检测命令执行漏洞的方法。根据本公开实施例的技术方案，结合本体知识库来对采集的数据进行分析处理，并根据分析处理的判断结果来自动控制网络设备，从而本公开通过利用本体知识库中的知识，可以降低漏洞攻击的误报率，并降低网络的阻塞的风险。此外，通过本公开用于检测命令执行漏洞的方法或检测设备可以实时检测网络设备的安全状况，并且可以对命令执行漏洞进行实时评估，从而无需消耗大量的人工。此外，在使用本公开用于检测命令执行漏洞的方法或检测设备检测到存在漏洞攻击时，可以在发生大规模攻击事件之前，及时阻断网络设备对其他网络设备的响应，由此提高了网络设备的安全程度。附图说明为了更完整地理解本公开及其优势，现在将参考结合附图的以下描述，其中：图1示意性示出了根据本公开实施例的基于本体知识库的用于检测命令执行漏洞的设备检测命令执行漏洞的示意图；图2示意性示出了根据本公开实施例的基于本体知识库的用于检测命令执行漏洞的检测设备的框图；图3示意性示出了根据本公开实施例的基于专家经验和机器学习的用于构建网络安全本体知识库的示意图。图4示意性示出了根据本公开实施例的安全本体知识库的一个示例；图5示意性示出了根据本公开实施例的命令执行漏洞本体知识库的一个示例；图6示意性示出了根据本公开实施例的基于本体知识库的用于检测命令执行漏洞的方法的流程图；图7示意性示出了根据本公开实施例的响应报文的有限状态机的一个示例；图8示意性示出了根据本公开实施例的命令执行漏洞有限状态机的一个示例；以及图9示意性示出了根据本公开实施例的电子设备的框图。具体实施方式以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。在使用类似于“A、B和C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。附图中示出了一些方框图和/或流程图。应理解，方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外，本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式，该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。本公开涉及网络安全人工智能领域。人工智能领域的一个核心研究问题是知识表示。知识表示即知识的形式化表示，其目的不仅仅是解决知识在计算机中的存储问题，更重要的是要使这种表示方法在计算机中可以方便地运用知识和管理知识，并且能够按照某种规则推理演绎得到新的知识，使机器具有智能行为。在大数据时代，科技资产中含有大量的价值和个人隐私，黑客会利用一切手段攻击漏洞，掠夺资产信息，攻击手段不断变化和改进，外部态势愈发严峻。此外，传统的安全防护技术主要是由安全专家对采集的数据进行分析，制定人工预设规则等安全防护策略进行防护。这种人工防护手段已不足以应对攻击过程复杂、速度快、持续时间长、单点隐藏能力强，没有明显的特征被实时检测到的攻击比如APT攻击。此外，对于一些漏洞，例如，0Day漏洞，通过人工预设规则已无法进行防护，亟需一项新兴的技术使得资产安全防护体系更加智能化。此外，如何让计算机设备“感知”科技资产的命令执行漏洞，并且能够“认知”其感知到的事物或情景是一个核心的问题。目前业界安全防护体系采用的技术主要是由安全专家对采集的数据进行分析，制定人工预设规则等安全防护策略进行防护。这种传统的防护手段不足以应对攻击过程复杂、速度快、持续时间长、单点隐藏能力强，没有明显的特征被实时检测到的针对命令执行漏洞的攻击比如针对0day漏洞的攻击。有鉴于此，本公开利用了本体知识库对采集的数据进行分析处理。“本体论”是一种哲学概念，它是研究存在的本质的哲学问题。本体论被人工智能界赋予了新的定义。一个本体是“共享概念模型的明确的形式化规范说明”。本体论将知识表示为一个领域内的一组概念及其这些概念之间的关系，其本质是给机器建立一个结构化的本体知识库，该本体知识库是人类对某一领域知识的抽象总结，用机器可理解的方式实现。机器利用该本体知识库可以对采集的数据进行系统化的整本文档来自技高网...

【技术保护点】
1.一种用于检测命令执行漏洞的方法，包括：获取网络设备的网络环境数据；利用情景数据模型，基于本体知识库对所述网络环境数据进行处理以生成第一情景数据；以及利用预定规则从所述第一情景数据导出第二情景数据，所述第二情景数据用于判断所述网络设备是否存在命令执行漏洞。

【技术特征摘要】
1.一种用于检测命令执行漏洞的方法，包括：获取网络设备的网络环境数据；利用情景数据模型，基于本体知识库对所述网络环境数据进行处理以生成第一情景数据；以及利用预定规则从所述第一情景数据导出第二情景数据，所述第二情景数据用于判断所述网络设备是否存在命令执行漏洞。2.根据权利要求1所述的方法，其中，所述网络环境数据包括所述网络设备对从至少一个其他网络设备进行响应的响应报文。3.根据权利要求2所述的方法，还包括：利用所述第二情景数据判断所述网络设备是否存在命令执行漏洞；以及响应于判断所述网络设备存在命令执行漏洞，对所述网络设备进行控制，以便阻止所述网络设备针对从所述至少一个其他网络设备发出的请求报文发送响应报文。4.根据权利要求1所述的方法，其中，所述本体知识库包括网络安全本体知识库，所述网络安全本体知识库包括基于网络本体语言OWL构建的命令执行漏洞本体知识库。5.根据权利要求4所述的方法，其中，利用情景数据模型，基于本体知识库对所述网络环境数据进行处理以生成第一情景数据包括：将所述网络环境数据变换为预定格式的数据；利用本体知识库建立所述预定格式的数据彼此之间的关联关系；以及基于所述关联关系，利用本体知识库为所述网络环境数据添加机器可理解的语义描述，以生成所述第一情景数据。6.根据权利要求1或5所述的方法，其中利用预定规则从所述第一情景数据导出与判断所述网络设备是否存在命令执行漏洞有关的第二情景数据包括：利用包括jess引擎的推理规则，从所述第一情景数据导出所述第二情景数据。7.根据权...

【专利技术属性】
技术研发人员：孙杰，王金希，郭运雷，黄寅，
申请(专利权)人：中国工商银行股份有限公司，
类型：发明
国别省市：北京,11