低误报率的网络攻击检测方法、系统及相关设备与流程

本发明适用于互联网安全，尤其涉及一种低误报率的网络攻击检测方法、系统及相关设备。

背景技术：

1、网络安全事件是运用互联网的现代社会亟需解决的问题之一，而部署网络攻击检测设备、及时发现网络攻击是保护网络安全的重要手段。当下用于网络攻击检测的方法虽然多种多样，各有特色，但每种方法也都存在一定局限性。

2、相关技术中，基于恶意代码特征匹配的网络攻击检测方法虽然误报率低、速度快、占用资源少，但只能识别特征库中已知的攻击，容易被攻击者绕过，并且对未知的攻击无能为力；以污点分析为代表的动态执行网络攻击检测方法虽然能够发现未知攻击，但计算资源消耗大、运行速度慢，并且对捕获到的样本行为是否为恶意行为缺乏准确的判别规则，容易产生误报；而基于人工智能的网络攻击检测方法虽然也能够发现未知攻击，且运行速度较动态执行方法快，但会由于模型的训练不足或样本过少，使得识别过程容易产生大量误报，给后续分析工作带来很大压力。

3、因此，如何在特定场景或通用场景中快速、准确地进行网络攻击检测是网络安全研究中的热点内容。

技术实现思路

1、本发明提供一种低误报率的网络攻击检测方法、系统及相关设备，旨在解决现有技术对网络攻击检测的方法资源消耗大、误报率高的技术问题。

2、为解决上述技术问题，第一方面，本发明提供一种低误报率的网络攻击检测方法，所述网络攻击检测方法包括以下步骤：

3、s101、获取网络流量，采用预设分析方法对所述网络流量进行预处理分析，得到威胁报文；

4、s102、对所述威胁报文进行解析，并将预设可感知命令插入所述威胁报文，得到弱化威胁报文；

5、s103、将所述弱化威胁报文注入仿真虚拟固件并执行，以获取所述弱化威胁报文的执行状态；

6、s104、根据所述执行状态生成所述威胁报文的网络攻击检测结果。

7、更进一步地，步骤s102包括以下子步骤：

8、对所述威胁报文进行语法构成分析，并记录所述威胁报文中疑似攻击命令的语句所在报文数据包的命令位置；

9、在所述命令位置中插入所述预设可感知命令；

10、根据所述仿真虚拟固件的信息，对插入了所述预设可感知命令的所述威胁报文进行封装，得到所述弱化威胁报文。

11、更进一步地，步骤s103包括以下子步骤：

12、将所述弱化威胁报文注入仿真虚拟固件并执行，并监测所述弱化威胁报文的所述执行状态；

13、根据所述执行状态判断是否在所述仿真虚拟固件中生成了对应所述预设可感知命令的事件：

14、若否，则标记所述威胁报文为误报事件，并返回步骤s101；

15、若是，则标记所述威胁报文为攻击事件，并将所述执行状态进行保存。

16、更进一步地，步骤s104具体为：

17、将标记为所述攻击事件的所述威胁报文、以及对应所述威胁报文的所述执行状态输出作为所述网络攻击检测结果。

18、更进一步地，所述网络攻击检测方法还包括步骤：

19、s105，将所述仿真虚拟固件还原为所述弱化威胁报文注入前的状态，并返回步骤s101。

20、更进一步地，所述预设可感知命令为以下可执行命令中的至少一种：

21、在指定位置创建、更改、删除文件夹；

22、在指定文件中创建、更改、删除字符。

23、更进一步地，所述仿真虚拟固件的信息包括以下信息中的至少一种：

24、通信地址和固件地址。

25、第二方面，本发明还提供一种低误报率的网络攻击检测系统，包括：

26、过滤模块，用于获取网络流量，采用预设分析方法对所述网络流量进行预处理分析，得到威胁报文；

27、弱化模块，用于对所述威胁报文进行解析，并将预设可感知命令插入所述威胁报文，得到弱化威胁报文；

28、监控模块，用于将所述弱化威胁报文注入仿真虚拟固件并执行，以获取所述弱化威胁报文的执行状态；

29、输出模块，用于根据所述执行状态生成所述威胁报文的网络攻击检测结果。

30、第三方面，本发明还提供一种计算机设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述实施例中任意一项所述的低误报率的网络攻击检测方法中的步骤。

31、第四方面，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述实施例中任意一项所述的低误报率的网络攻击检测方法中的步骤。

32、本发明所达到的有益效果，在于提出了一种基于预检测和仿真固件分析的网络攻击检测方法，该方法通过对网络流量中的威胁报文进行分析，并通过代码弱化手段将威胁报文中难于判定的攻击行为转化为了易于感知和判定的可监测行为，并根据实际的报文行为得到网络攻击检测结果，相较于现有技术，本发明不根据预设特征库来识别威胁报文，提高了未知网络攻击的识别率；并且基于可感知的报文封装方式，能够减少网络攻击检测流程对系统资源的占用，并降低了网络攻击检测的误报率。

技术特征：

1.一种低误报率的网络攻击检测方法，其特征在于，所述网络攻击检测方法包括以下步骤：

2.如权利要求1所述的低误报率的网络攻击检测方法，其特征在于，步骤s102包括以下子步骤：

3.如权利要求1所述的低误报率的网络攻击检测方法，其特征在于，步骤s103包括以下子步骤：

4.如权利要求3所述的低误报率的网络攻击检测方法，其特征在于，步骤s104具体为：

5.如权利要求1所述的低误报率的网络攻击检测方法，其特征在于，所述网络攻击检测方法还包括步骤：

6.如权利要求1所述的低误报率的网络攻击检测方法，其特征在于，所述预设可感知命令为以下可执行命令中的至少一种：

7.如权利要求2所述的低误报率的网络攻击检测方法，其特征在于，所述仿真虚拟固件的信息包括以下信息中的至少一种：

8.一种低误报率的网络攻击检测系统，其特征在于，包括：

9.一种计算机设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1-7中任意一项所述的低误报率的网络攻击检测方法中的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1-7中任意一项所述的低误报率的网络攻击检测方法中的步骤。

技术总结
本发明适用于互联网安全技术领域，尤其涉及一种低误报率的网络攻击检测方法、系统及相关设备。本发明提出了一种基于预检测和仿真固件分析的网络攻击检测方法，该方法通过对网络流量中的威胁报文进行分析，并通过代码弱化手段将威胁报文中难于判定的攻击行为转化为了易于感知和判定的可监测行为，并根据实际的报文行为得到网络攻击检测结果，相较于现有技术，本发明不根据预设特征库来识别威胁报文，提高了未知网络攻击的识别率；并且基于可感知的报文封装方式，能够减少网络攻击检测流程对系统资源的占用，并降低了网络攻击检测的误报率。

技术研发人员：秦冲,杨莉,罗禹铭,黄铄琳
受保护的技术使用者：网御安全技术（深圳）有限公司
技术研发日：
技术公布日：2024/1/16