【技术实现步骤摘要】
本专利技术涉及网络安全,特别是涉及一种越权访问漏洞智能分析方法及系统。
技术介绍
1、本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息,不必然构成在先技术。
2、互联网业务系统在运行过程中规定了用户的访问权限,用户在业务系统中只能访问权限内的数据,不能越权访问无权访问的数据,但业务系统的服务器端往往过分信任客户端的数据操作请求,忽略对用户权限的判断,因此可能会产生越权访问。
3、越权漏洞是互联网业务系统中常见的逻辑漏洞,指攻击者试图访问更高级别用户资源的垂直越权,以及访问相同级别其他用户资源的水平越权。越权访问的产生是由于业务系统存在逻辑漏洞,对越权访问的判定和检测主要依赖业务逻辑,垂直越权的不同级别用户拥有不同的权限组织结构,不能使用相同的检测依据;而水平越权的用户权限相同的情况下所拥有的资源也不同,不能统一资源判断标准,对越权访问资源的检测存在困难。
4、越权访问具备典型特征:一是可修改参数得到差异性网页响应,常见于水平越权;二是普通用户可访问管理页面,常见于垂直越权和未授权访问。由于越权访问漏洞和业务逻辑的联系密切,因此越权访问情况较复杂,检测难度大。
5、传统的目录扫描、sql注入、命令执行等具有显著特征的攻击行为可被监测设备轻易发现,相对于这些能发现的攻击,越权访问因为类似正常访问,安全监测设备难以发现,而一旦被攻击者找到网络安全漏洞,将利用攻击脚本在一瞬间获取权限。
技术实现思路
1、为了解决上述问题,本专利技术提出
2、为了实现上述目的,本专利技术采用如下技术方案:
3、第一方面,本专利技术提供一种越权访问漏洞智能分析方法,包括:
4、获取历史正常访问流量,提取对应的访问终端、访问接口及页面响应;
5、对任一访问接口,通过对访问终端的访问请求参数进行修改,以对该访问接口进行越权接口重放,从而获取越权模拟页面响应;
6、以历史正常访问流量和越权模拟页面响应作为训练集构建语义模型;
7、对待分析终端访问的实时流量,采用语义模型对待分析终端从当前访问接口获取到的页面响应进行语义分析,从而得到越权判定结果。
8、作为可选择的实施方式,对历史正常访问流量或待分析终端访问的实时流量的获取过程包括:通过对访问流量进行镜像备份的方式,从与终端连接的交换机端口获取镜像流量;或利用爬虫技术获取访问流量;或通过浏览器插件获取访问流量。
9、作为可选择的实施方式,利用爬虫技术获取访问流量的过程包括:采用动态和静态爬虫相结合的方式,识别网页元素,进行账号密码和动态验证码的模拟登陆,模拟对页面菜单的点击操作,实现自动网页元素时触发响应内容。
10、作为可选择的实施方式,利用爬虫技术获取访问流量的过程具体包括:获取登录页面内容,识别网页元素及验证码,进行模拟登录;
11、获取页面静态代码,分析代码中的链接,对页面静态链接进行访问;
12、识别页面菜单元素,模拟点击页面菜单元素;
13、获取页面后端请求数据并保存。
14、作为可选择的实施方式,对获取的流量进行报文拼接、报文解析和流量文件采集,经kafka、flink、hbase和mysql组件,对流量文件进行过滤、用户访问端口的匹配、密码破译和接口基线生成的操作,建立流量接口基线,提取对应的访问终端、访问接口及页面响应的相关特征。
15、作为可选择的实施方式,越权模拟过程包括:提取访问请求参数内容,自动修改访问请求参数,进行越权接口重放,使用不同终端访问同一访问接口并获取不同越权模拟页面响应,根据关键字识别、相似度比较的算法对比差异性内容。
16、作为可选择的实施方式,构建语义模型的过程还包括通过安全设备告警日志分析存在真正越权攻击行为的告警事件,结合分析攻击url附近页面的特征,训练语义模型。
17、第二方面,本专利技术提供一种越权访问漏洞智能分析系统,包括:
18、获取模块,被配置为获取历史正常访问流量,提取对应的访问终端、访问接口及页面响应;
19、模拟模块,被配置为对任一访问接口,通过对访问终端的访问请求参数进行修改,以对该访问接口进行越权接口重放,从而获取越权模拟页面响应;
20、模型构建模块,被配置为以历史正常访问流量和越权模拟页面响应作为训练集构建语义模型;
21、智能分析模块,被配置为对待分析终端访问的实时流量,采用语义模型对待分析终端从当前访问接口获取到的页面响应进行语义分析,从而得到越权判定结果。
22、第三方面,本专利技术提供一种电子设备,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成第一方面所述的方法。
23、第四方面,本专利技术提供一种计算机可读存储介质,用于存储计算机指令,所述计算机指令被处理器执行时,完成第一方面所述的方法。
24、与现有技术相比,本专利技术的有益效果为:
25、本专利技术针对越权访问漏洞与正常业务访问有偏差的攻击特性,研究基于自然语言处理的越权访问漏洞智能分析技术,跟踪页面内容,从语义角度理解用户行为及场景,智能分析越权访问行为,相较于传统方式能够更准确、更迅速地发现越权访问问题,能够自动研判潜在的越权访问漏洞,提升网络安全防护效率和安全防护质量,避免被攻击者利用。
26、本专利技术提出了一种越权访问漏洞智能分析方法及系统,通过模拟探测漏洞,模拟人工行为自动探测系统接口,对比差异性响应内容,自动探测异常逻辑访问页面,避免反爬虫机制的影响。
27、本专利技术附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。
本文档来自技高网...【技术保护点】
1.一种越权访问漏洞智能分析方法,其特征在于,包括:
2.如权利要求1所述的一种越权访问漏洞智能分析方法,其特征在于,对历史正常访问流量或待分析终端访问的实时流量的获取过程包括:通过对访问流量进行镜像备份的方式,从与终端连接的交换机端口获取镜像流量;或利用爬虫技术获取访问流量;或通过浏览器插件获取访问流量。
3.如权利要求2所述的一种越权访问漏洞智能分析方法,其特征在于,利用爬虫技术获取访问流量的过程包括:采用动态和静态爬虫相结合的方式,识别网页元素,进行账号密码和动态验证码的模拟登陆,模拟对页面菜单的点击操作,实现自动网页元素时触发响应内容。
4.如权利要求3所述的一种越权访问漏洞智能分析方法,其特征在于,利用爬虫技术获取访问流量的过程具体包括:获取登录页面内容,识别网页元素及验证码,进行模拟登录;
5.如权利要求1所述的一种越权访问漏洞智能分析方法,其特征在于,对获取的流量进行报文拼接、报文解析和流量文件采集,经Kafka、Flink、HBase和MySql组件,对流量文件进行过滤、用户访问端口的匹配、密码破译和接口基线生成的操
6.如权利要求1所述的一种越权访问漏洞智能分析方法,其特征在于,越权模拟过程包括:提取访问请求参数内容,自动修改访问请求参数,进行越权接口重放,使用不同终端访问同一访问接口并获取不同越权模拟页面响应,根据关键字识别、相似度比较的算法对比差异性内容。
7.如权利要求1所述的一种越权访问漏洞智能分析方法,其特征在于,构建语义模型的过程还包括通过安全设备告警日志分析存在真正越权攻击行为的告警事件,结合分析攻击URL附近页面的特征,训练语义模型。
8.一种越权访问漏洞智能分析系统,其特征在于,包括:
9.一种电子设备,其特征在于,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,用于存储计算机指令,所述计算机指令被处理器执行时,完成权利要求1-7任一项所述的方法。
...【技术特征摘要】
1.一种越权访问漏洞智能分析方法,其特征在于,包括:
2.如权利要求1所述的一种越权访问漏洞智能分析方法,其特征在于,对历史正常访问流量或待分析终端访问的实时流量的获取过程包括:通过对访问流量进行镜像备份的方式,从与终端连接的交换机端口获取镜像流量;或利用爬虫技术获取访问流量;或通过浏览器插件获取访问流量。
3.如权利要求2所述的一种越权访问漏洞智能分析方法,其特征在于,利用爬虫技术获取访问流量的过程包括:采用动态和静态爬虫相结合的方式,识别网页元素,进行账号密码和动态验证码的模拟登陆,模拟对页面菜单的点击操作,实现自动网页元素时触发响应内容。
4.如权利要求3所述的一种越权访问漏洞智能分析方法,其特征在于,利用爬虫技术获取访问流量的过程具体包括:获取登录页面内容,识别网页元素及验证码,进行模拟登录;
5.如权利要求1所述的一种越权访问漏洞智能分析方法,其特征在于,对获取的流量进行报文拼接、报文解析和流量文件采集,经kafka、flink、hbase和mysql组件,对流量文件进行过滤、用户访问端口...
【专利技术属性】
技术研发人员:王云霄,李贺贺,刘子函,黄华,程兴防,赵丽娜,
申请(专利权)人:国网山东省电力公司信息通信公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。