[发明专利]一种基于攻击面的漏洞检测方法及系统

说明书

本发明提供一种基于攻击面的漏洞检测方法及系统，通过改造现有的攻击面分析方法，整合不同网络切片的流量，根据标识信息提取多维特征集合，送入机器学习模型检测，并根据异常特征集的类型，有针对性的溯源，解决现有攻击面分析中网络切片化的问题；溯源得到漏洞点，对漏洞传染面进行改造的形态分析，实现可在关键节点上动态部署防御策略，解决漏洞的形态分析不同于网络攻击的形态分析的问题。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种基于攻击面的漏洞检测的方法及系统。

背景技术

随着网络技术的飞速发展，安全漏洞层出不穷，越来越多的网络节点，使得对漏洞的检测变得越发困难，而想要根据常规的传播路径溯源漏洞的发展，则更是极其困难的事情。

现有的攻击面分析方法可以在一定程度上解决隐蔽性、碎片化、关联性的问题，但是仍然存在网络切片化、漏洞的形态分析不同于网络攻击的形态分析等问题。急需一种针对性的基于攻击面的漏洞检测的方法及系统。

发明内容

本发明的目的在于提供一种基于攻击面的漏洞检测的方法及系统，通过改造现有的攻击面分析方法，整合不同网络切片的流量，根据标识信息提取多维特征集合，送入机器学习模型检测，并根据异常特征集的类型，有针对性的溯源，解决现有攻击面分析中网络切片化的问题；溯源得到漏洞点，对漏洞传染面进行改造的形态分析，实现可在关键节点上动态部署防御策略，解决漏洞的形态分析不同于网络攻击的形态分析的问题。

第一方面，本申请提供一种基于攻击面的漏洞检测方法，所述方法包括：

静态检测基于网络功能虚拟化的通信网络的多个第一流量，所述第一流量为属于不同网络切片的流量；

接收携带有网络切片标识的多个接入请求，根据所述网络切片标识确定待接入的网络切片对应的源节点，从所述源节点获取所述多个第一流量的前后关联信息，分别提取所述多个第一流量中携带的全部标识信息，将所述多个第一流量按照前后关联信息整合为所述第二流量；

使用不同的聚类算法，分别对应用户标识信息、业务标识信息、设备标识信息三类标识，得到多维特征集合，并根据标识类型占比的多少，动态确定所述多维特征集合对应的检测参数和规则，对特征向量加权形成多维检测样本，将所述多维检测样本送入第一机器学习模型，检测是否包括第一攻击向量；

获取数据库的历史异常数据，模拟出指定类型的网络攻击流量，所述指定类型的网络攻击流量是指携带预先构造的第二攻击向量；

将模拟的所述网络攻击流量送入第一机器学习模型，此时的第一机器学习模块作为判别器，判别所述网络攻击流量与当前网络流量之间的相似度，当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时，则认定所述第一机器学习模型能够正确识别出所模拟的网络攻击，完成训练；

当所述第一机器学习模型检测出所述多维检测样本中包括第一攻击向量时，标记所述第一攻击向量所在的特征集为异常，根据特征集的类型开始对第一攻击向量进行针对性溯源；

当所述异常的特征集是用户类型时，获取数据库的用户关系链，所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系中的一种或若干种，每一种关系下每一个人为所述用户关系链的一个节点，根据所述用户关系链扩展检测每一个节点涉及的终端、邮箱、文件、即时通信中的一种或若干种，判断是否存在安全漏洞，如果是，则标记该节点为漏洞点；

当所述异常的特征集是业务类型时，根据业务流程规定的前后关系、具体业务动作的经办人，得到业务关系链，每一个经办人、经办人名下的终端、设备、文件、即时通信为所述业务关系链的一个节点，检测每一个节点是否包括安全漏洞，如果是，则标记该节点为漏洞点；