【技术实现步骤摘要】
一种面向内网的新型漏洞攻击检测系统
本专利技术涉及系统漏洞检测和防御
,尤其涉及一种面向内网的新型漏洞攻击检测系统及方法。
技术介绍
随着互联网规模的迅猛发展,大量的公司、团队或个人将网络服务部署在服务器上。尤其是云服务的发展,使得网络资源的分配更加快捷方便,个人用户即便不精通计算机网络应用技术,也可以迅速简便地搭建个人网络服务。定义上,网络服务(Web服务)代指一种软件系统,借助网络相互连接,通过网络间不同机器的交互实现特定的服务。现实生活中,最常见的形式即通过远端服务器实现用户请求。目前各种形式的网络服务规模已经成长到庞大的规模。网络服务的大规模部署同时也吸引了频繁的网络攻击。攻击者试图通过网络漏洞等方式窃取服务器中的信息或者破坏网络服务的正常进行。网络漏洞一般由网络服务软件或者网络协议的自身不足造成,严重增加了网络攻击威胁的范围、频率及严重性。常见的针对漏洞的攻击包括应用漏洞,反序列化漏洞,数据库漏洞,web漏洞等等,他们都可能获取主机权限,进而窃取数据或造成更严重的破坏。具体的攻击方式有比如拒绝服务攻击...
【技术保护点】
1.一种面向内网的新型漏洞攻击检测系统,其特征在于,所述检测系统包括信息搜集模块、漏洞检测模块和漏洞分析模块;/n所述信息搜集模块利用爬虫技术从互联网上拉取以PoC为主的与漏洞相关的信息,再对这些信息进行格式预处理和重组,最后存入数据库;/n所述漏洞检测模块使用搜集到的PoC资源,有优先级地对目标主机执行漏洞检测,生成检测结果报告;/n所述漏洞分析模块进行漏洞信息综合和漏洞攻击签名提取,同时筛选最高效的签名组合成IDS规则并将检测规则部署到主机上实现主动的防御。/n
【技术特征摘要】
1.一种面向内网的新型漏洞攻击检测系统,其特征在于,所述检测系统包括信息搜集模块、漏洞检测模块和漏洞分析模块;
所述信息搜集模块利用爬虫技术从互联网上拉取以PoC为主的与漏洞相关的信息,再对这些信息进行格式预处理和重组,最后存入数据库;
所述漏洞检测模块使用搜集到的PoC资源,有优先级地对目标主机执行漏洞检测,生成检测结果报告;
所述漏洞分析模块进行漏洞信息综合和漏洞攻击签名提取,同时筛选最高效的签名组合成IDS规则并将检测规则部署到主机上实现主动的防御。
2.如权利要求1所述的面向内网的新型漏洞攻击检测系统,其特征在于,所述检测系统的输入为与漏洞相关的网页文本、PoC文件和HTTP流量;所述检测系统的输出为漏洞报告以及以所述IDS规则为表现形式的防御策略。
3.如权利要求1所述的面向内网的新型漏洞攻击检测系统的检测方法,其特征在于,所述检测方法包括以下步骤:
步骤1、数据收集和处理:获取与漏洞相关的网页数据、PoC数据、网络流量数据和靶场数据,再进行数据处理;
步骤2、漏洞检测:执行收集到的PoC,检测目标主机是否存在对应的漏洞;
步骤3、漏洞分析:实现漏洞攻击签名提取和基于流量的主动防御部署。
4.如权利要求3所述的面向内网的新型漏洞攻击检测系统的检测方法,其特征在于,所述步骤1包括以下步骤:
步骤1.1、数据收集:利用爬虫技术收集描述漏洞的网页数据、PoC数据、网络流量数据和靶场数据;
步骤1.2、数据过滤:定义好数据格式模板,并对于爬虫获取的数据按照所述模板进行清洗、分类和格式化;
步骤1.3、数据入库:将整理好的数据存入数据库,供下一步使用。
5.如权利要求3所述的面向内网的新型漏洞攻击检测系统的检测方法,其特征在于,所述步骤2包括以下步骤:
步骤2.1、选定漏洞ID后,系统首先从数据库中调出对应的PoC脚本或执行程序以及其类别,根据其类别再选取对应的执行环境和执行脚本;
步骤2.2、以docker容器的形式启动执行环境,将所述PoC脚本或执行程序以挂载的形式加载入环境;
步骤2.3、使用执行脚本间接启动PoC;
步骤2.4、重组执行脚本的统一格式输出,形成漏洞检测报告。
6.如权利要求3所述的面向内网的新型漏洞攻击检测系统的检测方法,其特征在于,所述步骤3包括以下步骤:
步骤3.1、基本特征提取:提取流量方向以及网络协议两方面特征,所述流量方向包括流入目标主机和流出目标主机,所述网络协议包括传输层至应用层的网络协议栈,标识唯一的数据包格式;通过基本特征提取,得到一系...
【专利技术属性】
技术研发人员:邹福泰,沈倩颖,张晴钊,薛广涛,齐开悦,
申请(专利权)人:上海交通大学,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。