[发明专利]一种面向内网的漏洞攻击检测系统

权利要求书

1.一种面向内网的漏洞攻击检测系统，其特征在于，所述检测系统包括信息搜集模块、漏洞检测模块和漏洞分析模块；

所述信息搜集模块利用爬虫技术从互联网上拉取以PoC为主的与漏洞相关的信息，再对所述信息进行格式预处理和重组，最后存入数据库；

所述漏洞检测模块使用搜集到的PoC资源，有优先级地对目标主机执行漏洞检测，生成漏洞检测报告；

所述漏洞分析模块进行漏洞信息综合和漏洞攻击签名提取，将所述漏洞攻击签名组合成IDS规则并将检测规则部署到主机上实现主动的防御；

所述检测系统的输入为与漏洞相关的网页文本、PoC文件和HTTP流量；所述检测系统的输出为漏洞检测报告以及以所述IDS规则为表现形式的防御策略；

所述面向内网的漏洞攻击检测系统的检测方法包括以下步骤：

步骤1、 数据收集和处理：获取与漏洞相关的网页数据、PoC数据、网络流量数据和靶场数据，再进行数据处理；

步骤2、 漏洞检测：执行收集到的PoC，检测目标主机是否存在对应的漏洞；

步骤3、 漏洞分析：实现漏洞攻击签名提取和基于流量的主动防御部署；

所述步骤1包括以下步骤：

步骤1.1、 数据收集：利用爬虫技术收集描述漏洞的网页数据、PoC数据、网络流量数据和靶场数据；

步骤1.2、 数据过滤：定义好数据格式模板，并对于爬虫获取的数据按照所述模板进行清洗、分类和格式化；

步骤1.3、 数据入库：将整理好的数据存入数据库，供下一步使用；

所述步骤1.2包括以下步骤：

步骤1.2.1、 网页文本的关键信息提取：利用TF-IDF算法对文本进行关键词提取，获取包括漏洞所威胁的软件系统及其版本关键词；基于所述关键词进一步进行基于语义的段落划分以及辅助漏洞签名获取；

步骤1.2.2、 PoC分类：包括爬取阶段、静态文本阶段和聚类阶段；

所述爬取阶段为：在爬取时直接为采集到的PoC添加类别标签，以设置PoC类别；

所述静态文本阶段为：PoC的基本格式、编程语言平台通过静态分析得到；

所述聚类阶段为：前两个阶段仍然无法分类的PoC，应用基于机器学习的无监督的聚类方法，聚类之后进行人工的检查和环境配置，或者添加一个新的PoC类别；

所述步骤2包括以下步骤：

步骤2.1、 选定漏洞ID后，系统首先从数据库中调出对应的PoC脚本或执行程序以及所述PoC的类别，根据所述PoC的类别再选取对应的执行环境和执行脚本；

步骤2.2、 以docker容器的形式启动执行环境，将所述PoC脚本或执行程序以挂载的形式加载入执行环境；

步骤2.3、 使用执行脚本间接启动PoC；

步骤2.4、 重组执行脚本的统一格式输出，形成漏洞检测报告；

所述步骤3包括以下步骤：

步骤3.1、 基本特征提取：提取流量方向以及网络协议两方面特征，所述流量方向包括流入目标主机和流出目标主机，所述网络协议包括传输层至应用层的网络协议栈，标识唯一的数据包格式；通过基本特征提取，得到一系列的漏洞ID和一个或多个候选子特征的配对；

步骤3.2、 关联性分析：利用关联性分析算法，计算所述漏洞ID和候选子特征之间的关联性，获取漏洞的一组候选签名；

步骤3.3、 综合排序：对关联性分析得到的所述候选签名，结合网页关键字信息进行排序；

步骤3.4、 签名提取：对每一条候选签名进行评估，并根据步骤3.3的排序结果，选择所述候选签名，作为最终的签名提取结果；

步骤3.5、 防御部署：在已经获取对应的漏洞攻击的唯一签名之后，系统将其转化为IDS规则，并部署到主机上实现基于流量的预警或过滤。

2.如权利要求1所述的面向内网的漏洞攻击检测系统，其特征在于，所述步骤2还包括执行PoC时按照状态匹配、威胁等级和发布时间指标进行执行顺序排序；

所述状态匹配指标为：将PoC的执行环境要求与目标主机状态信息进行匹配，匹配程度越高执行优先级越高；所述状态信息包括操作系统版本、指定软件是否安装及对应版本、端口配置、防火墙配置、对应的安全机制是否启用；

所述威胁等级指标为：漏洞的威胁等级越高，PoC执行优先级越高；

所述发布时间指标为：漏洞的发布时间越接近当前，PoC执行优先级越高。