一种漏洞复现与网端关联分析的方法和装置与流程

本发明涉及网络安全的，尤其是涉及一种漏洞复现与网端关联分析的方法和装置。

背景技术：

1、为了快速实践高危漏洞攻击与复现，研究如何修复漏洞和防御漏洞，容器化漏洞环境成为了当前的主流方法。虽然容器化封装漏洞环境的方式简化了漏洞环境搭建的时间，但是由于现有主机入侵检测方案中所部署的代理程序无法适应容器中的环境，因此，无法实现容器内部行为的有效审计。并且，现有技术中容器网络侧、终端侧的威胁检测，通常在特定环境中分离测试，最后再进行关联，这种处理方法存在无法有效验证威胁事件关联的有效性的技术问题。

技术实现思路

1、本发明的目的在于提供一种漏洞复现与网端关联分析的方法和装置，以缓解了现有方法无法有效验证威胁事件关联的有效性的技术问题。

2、第一方面，本发明提供一种漏洞复现与网端关联分析的方法，包括：从漏洞容器库中拉取含有指定漏洞的目标漏洞容器，并进行所述目标漏洞容器中指定漏洞的利用；采集所述目标漏洞容器的流量数据和内核日志；基于流量检测审计规则对所述流量数据进行审计，得到流量检测记录；基于容器终端行为审计规则对所述内核日志进行审计，得到容器终端行为记录；对所述流量检测记录和所述容器终端行为记录进行关联分析，得到所述指定漏洞的威胁分析结果。

3、在可选的实施方式中，基于流量检测审计规则对所述流量数据进行审计，包括：基于所述流量检测审计规则确定流量审计脚本；从所述流量数据中分离出访问所述目标漏洞容器的目标流量数据；利用所述流量审计脚本对所述目标流量数据进行协议审计，得到所述流量检测记录。

4、在可选的实施方式中，基于容器终端行为审计规则对所述内核日志进行审计，包括：获取所述容器终端行为审计规则中所包含的容器终端行为的所有属性字段；利用所有所述属性字段在所述内核日志中匹配目标日志记录；将所述目标日志记录的集合作为所述容器终端行为记录。

5、在可选的实施方式中，对所述流量检测记录和所述容器终端行为记录进行关联分析，包括：对所述流量检测记录和所述容器终端行为记录分别进行字段归一化处理，得到归一化后的流量检测记录和归一化后的容器终端行为记录；基于所述归一化后的流量检测记录确定所述目标漏洞容器的网络侧数据变化图表，基于所述归一化后的容器终端行为记录确定所述目标漏洞容器的终端侧数据变化图表；将所述网络侧数据变化图表和所述终端侧数据变化图表进行融合，得到所述指定漏洞的威胁分析结果。

6、在可选的实施方式中，所述方法还包括：基于所述威胁分析结果确定所述指定漏洞的攻击特征；基于所述攻击特征构建攻击行为数据；利用所述攻击行为数据对所述漏洞容器库中的其他漏洞容器进行模拟攻击，得到每个漏洞容器的模拟攻击结果；确定模拟攻击结果为攻击成功的漏洞容器存在所述指定漏洞。

7、第二方面，本发明提供一种漏洞复现与网端关联分析的装置，包括：拉取模块，用于从漏洞容器库中拉取含有指定漏洞的目标漏洞容器，并进行所述目标漏洞容器中指定漏洞的利用；采集模块，用于采集所述目标漏洞容器的流量数据和内核日志；第一审计模块，用于基于流量检测审计规则对所述流量数据进行审计，得到流量检测记录；第二审计模块，用于基于容器终端行为审计规则对所述内核日志进行审计，得到容器终端行为记录；关联分析模块，用于对所述流量检测记录和所述容器终端行为记录进行关联分析，得到所述指定漏洞的威胁分析结果。

8、在可选的实施方式中，所述第一审计模块具体用于：基于所述流量检测审计规则确定流量审计脚本；从所述流量数据中分离出访问所述目标漏洞容器的目标流量数据；利用所述流量审计脚本对所述目标流量数据进行协议审计，得到所述流量检测记录。

9、在可选的实施方式中，所述第二审计模块具体用于：获取所述容器终端行为审计规则中所包含的容器终端行为的所有属性字段；利用所有所述属性字段在所述内核日志中匹配目标日志记录；将所述目标日志记录的集合作为所述容器终端行为记录。

10、第三方面，本发明提供一种电子设备，包括存储器、处理器，所述存储器上存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现前述实施方式中任一项所述的漏洞复现与网端关联分析的方法的步骤。

11、第四方面，本发明提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令被处理器执行时实现前述实施方式中任一项所述的漏洞复现与网端关联分析的方法。

12、本发明通过容器审计技术在主机上实现对漏洞容器内部的终端行为监测，解决了无法实现容器内行为审计的问题。并且，本发明通过进行目标漏洞容器中指定漏洞的利用，同时采集目标漏洞容器的流量数据和内核日志，实现了容器终端行为和流量行为的同步审计，缓解了现有方法无法有效验证威胁事件关联的有效性的技术问题。

技术特征：

1.一种漏洞复现与网端关联分析的方法，其特征在于，包括：

2.根据权利要求1所述的漏洞复现与网端关联分析的方法，其特征在于，基于流量检测审计规则对所述流量数据进行审计，包括：

3.根据权利要求1所述的漏洞复现与网端关联分析的方法，其特征在于，基于容器终端行为审计规则对所述内核日志进行审计，包括：

4.根据权利要求1所述的漏洞复现与网端关联分析的方法，其特征在于，对所述流量检测记录和所述容器终端行为记录进行关联分析，包括：

5.根据权利要求1所述的漏洞复现与网端关联分析的方法，其特征在于，所述方法还包括：

6.一种漏洞复现与网端关联分析的装置，其特征在于，包括：

7.根据权利要求6所述的漏洞复现与网端关联分析的装置，其特征在于，所述第一审计模块具体用于：

8.根据权利要求6所述的漏洞复现与网端关联分析的装置，其特征在于，所述第二审计模块具体用于：

9.一种电子设备，包括存储器、处理器，所述存储器上存储有可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述的漏洞复现与网端关联分析的方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令被处理器执行时实现权利要求1至5中任一项所述的漏洞复现与网端关联分析的方法。

技术总结
本发明提供了一种漏洞复现与网端关联分析的方法和装置，涉及网络安全的技术领域，包括：从漏洞容器库中拉取含有指定漏洞的目标漏洞容器，并进行目标漏洞容器中指定漏洞的利用；采集目标漏洞容器的流量数据和内核日志；基于流量检测审计规则对流量数据进行审计，得到流量检测记录；基于容器终端行为审计规则对内核日志进行审计，得到容器终端行为记录；对流量检测记录和容器终端行为记录进行关联分析，得到指定漏洞的威胁分析结果。本发明通过进行目标漏洞容器中指定漏洞的利用，同时采集目标漏洞容器的流量数据和内核日志，实现了容器终端行为和流量行为的同步审计，缓解了现有方法无法有效验证威胁事件关联的有效性的技术问题。

技术研发人员：刘华,刘书航,王可圣
受保护的技术使用者：江苏安恒网络安全有限公司
技术研发日：
技术公布日：2024/1/16