[发明专利]漏洞攻击状态检测方法、装置、计算机设备和存储介质

说明书

本申请涉及网络安全领域，特别是涉及一种漏洞攻击状态检测方法、装置、计算机设备和存储介质，包括：将待检测流量解析，获得第一解析数据，确定所述第一解析数据所对应的资产，将所述第一解析数据与基础漏洞特征库中的基础漏洞特征进行匹配，若匹配到基础漏洞特征，则基于匹配到的基础漏洞特征以及所述第一解析数据所对应的资产生成漏洞攻击告警信息。本发明通过将生成的漏洞攻击告警信息与资产相关联，从而整体提升漏洞攻击告警信息的可信度。

技术领域

本申请涉及网络安全领域，特别是涉及一种漏洞攻击状态检测方法、装置、计算机设备和存储介质。

背景技术

目前在网络安全领域，主流的漏洞攻击检测方法为将所检测的流量通过旁路镜像的方式输入到攻击检测引擎，攻击检测引擎对所检测流量进行解析，并与攻击特征库进行匹配，对于匹配上的流量产生漏洞攻击告警信息，其中涉及到对于漏洞攻击结果判定的问题，一般情况，将待检测流量中的应答数据与攻击特征进行匹配，如果匹配上则说明此次漏洞攻击成功，未匹配上则说明此次攻击结果未成功。

对于目前的漏洞攻击结果判定方式，存在产生的漏洞攻击告警信息与被监测资产存在不相关的情况，导致产生的漏洞攻击结果可信度降低。

发明内容

基于此，有必要针对上述技术问题，提供一种漏洞攻击状态检测方法、装置、计算机设备和存储介质。

第一方面，本发明实施例提出一种漏洞攻击状态检测方法，包括：

将待检测流量解析，获得第一解析数据；

确定所述第一解析数据所对应的资产；

将所述第一解析数据与基础漏洞特征库中的基础漏洞特征进行匹配，若匹配到基础漏洞特征，则基于匹配到的基础漏洞特征以及所述第一解析数据所对应的资产生成漏洞攻击告警信息。

在一实施例中，还包括：

将待检测流量解析，获得第二解析数据；

确定所述第二解析数据所对应的资产；

根据所述第二解析数据所对应的资产获取指纹信息，将所述指纹信息与资产指纹识别特征库中的资产指纹特征进行匹配，若匹配到资产指纹特征，则标记第二解析数据所对应的资产；

基于所述漏洞攻击告警信息所对应的资产与所述标记的资产，确定漏洞攻击告警是否成功。

在一实施例中，所述基于所述漏洞攻击告警信息所对应的资产与所述标记的资产，确定漏洞攻击告警是否成功包括：

若所述漏洞攻击告警信息所对应的资产与所述标记的资产匹配，则将所述漏洞攻击告警信息所包含的报文信息与攻击结果检测特征库中的攻击结果特征进行匹配，若匹配到攻击结果特征，则标记漏洞攻击告警成功，若未匹配到攻击结果特征，则标记漏洞攻击告警不成功。

在一实施例中，还包括:

若所述漏洞攻击告警信息所对应的资产与所述标记的资产匹配不匹配，则提取出漏洞攻击告警信息所包含的目的IP地址，并对该目的IP地址所对应的资产进行漏洞探测，若探测出该资产不存在所述漏洞攻击告警信息相关的漏洞信息，则标记漏洞攻击结果为失败。

在一实施例中，还包括：

若探测出该资产存在所述漏洞攻击告警信息相关的漏洞信息，则将所述漏洞攻击告警信息所包含的报文信息，与攻击结果检测特征库进行匹配，若匹配到攻击结果特征，则标记漏洞攻击告警成功，若未匹配到攻击结果特征，则标记漏洞攻击告警失败。

第二方面，本发明实施例提出一种漏洞攻击状态检测装置，包括：

第一解析模块，用于将待检测流量解析，获得第一解析数据；

第一确定模块，用于确定所述第一解析数据所对应的资产；