本发明专利技术提供了一种漏洞复现与网端关联分析的方法和装置,涉及网络安全的技术领域,包括:从漏洞容器库中拉取含有指定漏洞的目标漏洞容器,并进行目标漏洞容器中指定漏洞的利用;采集目标漏洞容器的流量数据和内核日志;基于流量检测审计规则对流量数据进行审计,得到流量检测记录;基于容器终端行为审计规则对内核日志进行审计,得到容器终端行为记录;对流量检测记录和容器终端行为记录进行关联分析,得到指定漏洞的威胁分析结果
【技术实现步骤摘要】
一种漏洞复现与网端关联分析的方法和装置
[0001]本专利技术涉及网络安全的
,尤其是涉及一种漏洞复现与网端关联分析的方法和装置
。
技术介绍
[0002]为了快速实践高危漏洞攻击与复现,研究如何修复漏洞和防御漏洞,容器化漏洞环境成为了当前的主流方法
。
虽然容器化封装漏洞环境的方式简化了漏洞环境搭建的时间,但是由于现有主机入侵检测方案中所部署的代理程序无法适应容器中的环境,因此,无法实现容器内部行为的有效审计
。
并且,现有技术中容器网络侧
、
终端侧的威胁检测,通常在特定环境中分离测试,最后再进行关联,这种处理方法存在无法有效验证威胁事件关联的有效性的技术问题
。
技术实现思路
[0003]本专利技术的目的在于提供一种漏洞复现与网端关联分析的方法和装置,以缓解了现有方法无法有效验证威胁事件关联的有效性的技术问题
。
[0004]第一方面,本专利技术提供一种漏洞复现与网端关联分析的方法,包括:从漏洞容器库中拉取含有指定漏洞的目标漏洞容器,并进行所述目标漏洞容器中指定漏洞的利用;采集所述目标漏洞容器的流量数据和内核日志;基于流量检测审计规则对所述流量数据进行审计,得到流量检测记录;基于容器终端行为审计规则对所述内核日志进行审计,得到容器终端行为记录;对所述流量检测记录和所述容器终端行为记录进行关联分析,得到所述指定漏洞的威胁分析结果
。
[0005]在可选的实施方式中,基于流量检测审计规则对所述流量数据进行审计,包括:基于所述流量检测审计规则确定流量审计脚本;从所述流量数据中分离出访问所述目标漏洞容器的目标流量数据;利用所述流量审计脚本对所述目标流量数据进行协议审计,得到所述流量检测记录
。
[0006]在可选的实施方式中,基于容器终端行为审计规则对所述内核日志进行审计,包括:获取所述容器终端行为审计规则中所包含的容器终端行为的所有属性字段;利用所有所述属性字段在所述内核日志中匹配目标日志记录;将所述目标日志记录的集合作为所述容器终端行为记录
。
[0007]在可选的实施方式中,对所述流量检测记录和所述容器终端行为记录进行关联分析,包括:对所述流量检测记录和所述容器终端行为记录分别进行字段归一化处理,得到归一化后的流量检测记录和归一化后的容器终端行为记录;基于所述归一化后的流量检测记录确定所述目标漏洞容器的网络侧数据变化图表,基于所述归一化后的容器终端行为记录确定所述目标漏洞容器的终端侧数据变化图表;将所述网络侧数据变化图表和所述终端侧数据变化图表进行融合,得到所述指定漏洞的威胁分析结果
。
[0008]在可选的实施方式中,所述方法还包括:基于所述威胁分析结果确定所述指定漏
洞的攻击特征;基于所述攻击特征构建攻击行为数据;利用所述攻击行为数据对所述漏洞容器库中的其他漏洞容器进行模拟攻击,得到每个漏洞容器的模拟攻击结果;确定模拟攻击结果为攻击成功的漏洞容器存在所述指定漏洞
。
[0009]第二方面,本专利技术提供一种漏洞复现与网端关联分析的装置,包括:拉取模块,用于从漏洞容器库中拉取含有指定漏洞的目标漏洞容器,并进行所述目标漏洞容器中指定漏洞的利用;采集模块,用于采集所述目标漏洞容器的流量数据和内核日志;第一审计模块,用于基于流量检测审计规则对所述流量数据进行审计,得到流量检测记录;第二审计模块,用于基于容器终端行为审计规则对所述内核日志进行审计,得到容器终端行为记录;关联分析模块,用于对所述流量检测记录和所述容器终端行为记录进行关联分析,得到所述指定漏洞的威胁分析结果
。
[0010]在可选的实施方式中,所述第一审计模块具体用于:基于所述流量检测审计规则确定流量审计脚本;从所述流量数据中分离出访问所述目标漏洞容器的目标流量数据;利用所述流量审计脚本对所述目标流量数据进行协议审计,得到所述流量检测记录
。
[0011]在可选的实施方式中,所述第二审计模块具体用于:获取所述容器终端行为审计规则中所包含的容器终端行为的所有属性字段;利用所有所述属性字段在所述内核日志中匹配目标日志记录;将所述目标日志记录的集合作为所述容器终端行为记录
。
[0012]第三方面,本专利技术提供一种电子设备,包括存储器
、
处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现前述实施方式中任一项所述的漏洞复现与网端关联分析的方法的步骤
。
[0013]第四方面,本专利技术提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令被处理器执行时实现前述实施方式中任一项所述的漏洞复现与网端关联分析的方法
。
[0014]本专利技术通过容器审计技术在主机上实现对漏洞容器内部的终端行为监测,解决了无法实现容器内行为审计的问题
。
并且,本专利技术通过进行目标漏洞容器中指定漏洞的利用,同时采集目标漏洞容器的流量数据和内核日志,实现了容器终端行为和流量行为的同步审计,缓解了现有方法无法有效验证威胁事件关联的有效性的技术问题
。
附图说明
[0015]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图
。
[0016]图1为本专利技术实施例提供的一种漏洞复现与网端关联分析的方法的流程图;
[0017]图2为本专利技术实施例提供的另一种漏洞复现与网端关联分析方法的逻辑框图;
[0018]图3为本专利技术实施例提供的一种漏洞复现与网端关联分析的装置的功能模块图;
[0019]图4为本专利技术实施例提供的一种电子设备的示意图
。
具体实施方式
[0020]为使本专利技术实施例的目的
、
技术方案和优点更加清楚,下面将结合本专利技术实施例
中的附图,对本专利技术实施例中的技术方案进行清楚
、
完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例
。
通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计
。
[0021]因此,以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围,而是仅仅表示本专利技术的选定实施例
。
基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围
。
[0022]下面结合附图,对本专利技术的一些实施方式作详细说明
。
在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合
。
[0023]为了快速实践高危漏洞攻击与复现本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种漏洞复现与网端关联分析的方法,其特征在于,包括:从漏洞容器库中拉取含有指定漏洞的目标漏洞容器,并进行所述目标漏洞容器中指定漏洞的利用;采集所述目标漏洞容器的流量数据和内核日志;基于流量检测审计规则对所述流量数据进行审计,得到流量检测记录;基于容器终端行为审计规则对所述内核日志进行审计,得到容器终端行为记录;对所述流量检测记录和所述容器终端行为记录进行关联分析,得到所述指定漏洞的威胁分析结果
。2.
根据权利要求1所述的漏洞复现与网端关联分析的方法,其特征在于,基于流量检测审计规则对所述流量数据进行审计,包括:基于所述流量检测审计规则确定流量审计脚本;从所述流量数据中分离出访问所述目标漏洞容器的目标流量数据;利用所述流量审计脚本对所述目标流量数据进行协议审计,得到所述流量检测记录
。3.
根据权利要求1所述的漏洞复现与网端关联分析的方法,其特征在于,基于容器终端行为审计规则对所述内核日志进行审计,包括:获取所述容器终端行为审计规则中所包含的容器终端行为的所有属性字段;利用所有所述属性字段在所述内核日志中匹配目标日志记录;将所述目标日志记录的集合作为所述容器终端行为记录
。4.
根据权利要求1所述的漏洞复现与网端关联分析的方法,其特征在于,对所述流量检测记录和所述容器终端行为记录进行关联分析,包括:对所述流量检测记录和所述容器终端行为记录分别进行字段归一化处理,得到归一化后的流量检测记录和归一化后的容器终端行为记录;基于所述归一化后的流量检测记录确定所述目标漏洞容器的网络侧数据变化图表,基于所述归一化后的容器终端行为记录确定所述目标漏洞容器的终端侧数据变化图表;将所述网络侧数据变化图表和所述终端侧数据变化图表进行融合,得到所述指定漏洞的威胁分析结果
。5.
根据权利要求1所述的漏洞复现与网端关联分析的方法,其特征在于,所述方法还包括:基于所述威胁分析结果确定所述指定漏洞的攻击特征;基于所述攻击特征构建攻击行为...
【专利技术属性】
技术研发人员:刘华,刘书航,王可圣,
申请(专利权)人:江苏安恒网络安全有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。