漏洞利用检测方法、装置、计算机设备及存储介质制造方法及图纸

本发明专利技术实施例涉及一种漏洞利用检测方法、装置、计算机设备及存储介质，所述方法包括：获取原始业务生产系统中存储的流量包；将所述流量包在所述原始业务生产系统对应的孪生系统中进行流量重放；在流量重放过程中监测异常行为，得到监测结果；基于所述监测结果确定所述异常行为是否为漏洞利用。由此，可以精准的发现传统安全设备不能发现攻击或异常行为，通过流量重放业务孪生环境，可以发现并验证漏洞利用，不占用生产环境的任何资源，不改变原有网络或业务结构，避免在生产环境中部署过多的安全措施，导致系统性能下降或兼容性差的问题。导致系统性能下降或兼容性差的问题。导致系统性能下降或兼容性差的问题。

【技术实现步骤摘要】
漏洞利用检测方法、装置、计算机设备及存储介质


[0001]本专利技术实施例涉及漏洞发现与验证领域，尤其涉及一种漏洞利用检测方法、装置、计算机设备及存储介质。

技术介绍

[0002]漏洞发现与验证技术，经过多年的发展，不论是漏洞扫描检测，还是漏洞攻击发现或APT攻击监测，技术已趋向于成熟，但这些检测、监测技术都是基于已知漏洞、恶意代码或威胁情报数据判定，无法对异常行为、动作指令、流量变化、内生变化、白名单异常等进行有效辨识，如何发现类似0DAY攻击、1DAY攻击或内部协同行为攻击成为亟待解决的问题。

技术实现思路

[0003]鉴于此，为解决上述技术问题或部分技术问题，本专利技术实施例提供一种漏洞利用检测方法、装置、计算机设备及存储介质。
[0004]第一方面，本专利技术实施例提供一种漏洞利用检测方法，包括：
[0005]获取原始业务生产系统中存储的流量包；
[0006]将所述流量包在所述原始业务生产系统对应的孪生系统中进行流量重放；
[0007]在流量重放过程中监测异常行为，得到监测结果；
[0008]基于所述监测结果确定所述异常行为是否为漏洞利用。
[0009]在一个可能的实施方式中，所述方法还包括：
[0010]基于预设的标准操作合规基线对流量重放过程中的行为进行监测；
[0011]对不符合所述标准操作合规基线的异常行为进行追踪和再次判定，得到监测结果。
[0012]在一个可能的实施方式中，所述方法还包括：
[0013]抽取所述异常行为对应的完整行为过程的流量数据；
[0014]基于所述流量数据形成漏洞利用脚本文件；
[0015]将所述漏洞利用脚本文件在所述孪生系统中进行验证测试，确定所述异常行为是否为漏洞利用行为。
[0016]在一个可能的实施方式中，所述方法还包括：
[0017]若验证测试结果不通过，则确定所述监测结果为所述异常行为是漏洞利用行为；
[0018]若验证测试结果通过，则确定所述监测结果为所述异常行为是正常未记录行为；
[0019]将所述正常未记录行为记载到所述标准操作合规基线中。
[0020]在一个可能的实施方式中，所述方法还包括：
[0021]若确定所述监测结果为所述异常行为是漏洞利用行为，则将监测结果反馈给所述原始业务生产系统，以使所述原始业务生产系统终止所述漏洞利用行为。
[0022]在一个可能的实施方式中，所述方法还包括：
[0023]当在线检测漏洞利用时，获取所述原始业务生产系统检测到的异常行为时存储的
异常行为对应的流量包；
[0024]当离线检测漏洞利用时，获取所述原始业务生产系统接收到的全部行为对应的流量包。
[0025]在一个可能的实施方式中，所述方法还包括：
[0026]接收所述原始业务生产系统发送的流量重放请求；
[0027]基于所述流量重放请求，采用流量重放工具将所述流量包在所述孪生系统中进行流量重放；
[0028]将流量重放结果反馈给所述原始业务生产系统。
[0029]第二方面，本专利技术实施例提供一种漏洞利用检测装置，包括：
[0030]获取模块，用于获取原始业务生产系统中存储的流量包；
[0031]重放模块，用于将所述流量包在所述原始业务生产系统对应的孪生系统中进行流量重放；
[0032]监测模块，用于在流量重放过程中监测异常行为，得到监测结果；
[0033]确定模块，用于基于所述监测结果确定所述异常行为是否为漏洞利用。
[0034]可选的，所述获取模块，具体用于当在线检测漏洞利用时，获取所述原始业务生产系统检测到的异常行为时存储的异常行为对应的流量包；当离线检测漏洞利用时，获取所述原始业务生产系统接收到的全部行为对应的流量包。
[0035]可选的，所述重放模块，具体用于接收所述原始业务生产系统发送的流量重放请求；基于所述流量重放请求，采用流量重放工具将所述流量包在所述孪生系统中进行流量重放；将流量重放结果反馈给所述原始业务生产系统。
[0036]可选的，所述监测模块，具体用于基于预设的标准操作合规基线对流量重放过程中的行为进行监测；对不符合所述标准操作合规基线的异常行为进行追踪和再次判定，得到监测结果。
[0037]可选的，所述监测模块，还用于抽取所述异常行为对应的完整行为过程的流量数据；基于所述流量数据形成漏洞利用脚本文件；将所述漏洞利用脚本文件在所述孪生系统中进行验证测试，确定所述异常行为是否为漏洞利用行为。
[0038]可选的，所述确定模块，具体用于若验证测试结果不通过，则确定所述监测结果为所述异常行为是漏洞利用行为；若验证测试结果通过，则确定所述监测结果为所述异常行为是正常未记录行为；将所述正常未记录行为记载到所述标准操作合规基线中。
[0039]可选的，所述确定模块，还用于若确定所述监测结果为所述异常行为是漏洞利用行为，则将监测结果反馈给所述原始业务生产系统，以使所述原始业务生产系统终止所述漏洞利用行为。
[0040]第三方面，本专利技术实施例提供一种计算机设备，包括：处理器和存储器，所述处理器用于执行所述存储器中存储的漏洞利用检测程序，以实现上述第一方面中所述的漏洞利用检测方法。
[0041]第四方面，本专利技术实施例提供一种存储介质，包括：所述存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现上述第一方面中所述的漏洞利用检测方法。
[0042]本专利技术实施例提供的漏洞利用检测方案，通过获取原始业务生产系统中存储的流
量包；将所述流量包在所述原始业务生产系统对应的孪生系统中进行流量重放；在流量重放过程中监测异常行为，得到监测结果；基于所述监测结果确定所述异常行为是否为漏洞利用。相比于现有的漏洞扫描检测或漏洞攻击发现技术，都是基于已知漏洞、恶意代码或威胁情报数据判定，无法对异常行为、动作指令、流量变化、内生变化、白名单异常等进行有效辨识的问题，由本方案，可以精准的发现传统安全设备不能发现攻击或异常行为，通过流量重放业务孪生环境，可以发现并验证漏洞利用，不占用生产环境的任何资源，不改变原有网络或业务结构，避免在生产环境中部署过多的安全措施，导致系统性能下降或兼容性差的问题。
附图说明
[0043]图1为本专利技术实施例提供的一种漏洞利用检测方法的流程示意图；
[0044]图2为本专利技术实施例提供的另一种漏洞利用检测方法的流程示意图；
[0045]图3为本专利技术实施例提供的一种漏洞利用检测装置的结构示意图；
[0046]图4为本专利技术实施例提供的一种计算机设备的结构示意图。
具体实施方式
[0047]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种漏洞利用检测方法，其特征在于，包括：获取原始业务生产系统中存储的流量包；将所述流量包在所述原始业务生产系统对应的孪生系统中进行流量重放；在流量重放过程中监测异常行为，得到监测结果；基于所述监测结果确定所述异常行为是否为漏洞利用。2.根据权利要求1所述的方法，其特征在于，所述在流量重放过程中监测异常行为，得到监测结果，包括：基于预设的标准操作合规基线对流量重放过程中的行为进行监测；对不符合所述标准操作合规基线的异常行为进行追踪和再次判定，得到监测结果。3.根据权利要求2所述的方法，其特征在于，所述对不符合所述标准操作合规基线的异常行为进行追踪和再次判定，得到监测结果，包括：抽取所述异常行为对应的完整行为过程的流量数据；基于所述流量数据形成漏洞利用脚本文件；将所述漏洞利用脚本文件在所述孪生系统中进行验证测试，确定所述异常行为是否为漏洞利用行为。4.根据权利要求3所述的方法，其特征在于，所述基于所述监测结果确定所述异常行为是否为漏洞利用，包括：若验证测试结果不通过，则确定所述监测结果为所述异常行为是漏洞利用行为；若验证测试结果通过，则确定所述监测结果为所述异常行为是正常未记录行为；将所述正常未记录行为记载到所述标准操作合规基线中。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：若确定所述监测结果为所述异常行为是漏洞利用行为，则将监测结果反馈给所述原始业务生产系统，以使所述原始业务生产系统终止所述漏洞利用行为。6.根据权利要求1所述的方法，其特征在于，所述获取原始业务生产系统中存储的流量包，包括：当在线检测漏洞利用时，获取所述原始业务生产系统检测到的异常行为时存储的异常行为对应的流量包；当离线检测漏洞利用时，获取所述原始业务生产系统接收到的全部行为对应的流量包。7.根据权利要求6所述的方法，其特征在于，所述将所述流量包在所述原始业务生产系统对应的孪生系统中进行流量重放，包括：接收所述原始业务生产系统发送的流量重放请求；基于所述流量重放请求，采用流量重放工具将所述流量包在所述孪生系统中进行流量重放；将流量重放结果反馈给所述原始业务生产系统。8.一种漏洞利用检测装置，其特征在于，包括：获取模块，用于获取原始业务生产系统中存储的流量包；重放模块，用于将所述流量包在所述原始业务生产系统对应的孪...

【专利技术属性】
技术研发人员：魏桂臣，王文辉，孙歆，韩龙玺，葛广凯，王文，杨征浩，
申请(专利权)人：国网浙江省电力有限公司电力科学研究院国网浙江省电力有限公司，
类型：发明
国别省市：