(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211229440.5 (22)申请日 2022.10.09 (71)申请人 安徽华云安科技有限公司 地址 231200 安徽省合肥市高新区华佗巷 469号国科智安 ·智慧安全谷4号楼 301室 (72)发明人 陈勇　沈传宝　吴璇　刘加瑞　 (74)专利代理 机构 北京华专卓 海知识产权代理 事务所(普通 合伙) 11664 专利代理师 王一 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于流量的漏洞检测确认方法、 装置、 设备 以及存储介质 (57)摘要 本发明的实施例提供了一种基于流量的漏 洞检测确认方法、 装置、 设备以及存储介质。 该方 法包括采集目标服务器的网络接口流量； 对网络 接口流量中的请求报文和响应报文进行解析， 得 到请求报文对应的流量特征以及响应报文对应 的流量特征； 基于请求报文对应的流量特征以及 响应报文对应的流量特征， 在预设的漏洞利用攻 击特征库和漏洞利用响应特征库中进行匹配识 别， 生成漏洞利用攻击告警和漏洞利用响应告 警， 并写入告警表； 当告警表中包括同一个漏洞 对应的漏洞利用攻击告警和漏洞利用响应告警 时， 确定目标服务器存在对应漏洞且漏洞被利 用。 以此方式， 可 以准确确定目标服务器存在漏 洞以及漏洞被利用成功的情况。 权利要求书2页 说明书7页 附图2页 CN 115314322 A 2022.11.08 CN 115314322 A 1.一种基于流 量的漏洞检测 确认方法， 其特 征在于， 所述方法包括： 采集目标服 务器的网络 接口流量， 其中， 所述网络 接口流量包括请求报文和响应报文； 对所述网络接口流量中的请求报文和响应报文进行解析， 得到请求报文对应的流量特 征以及响应报文对应的流 量特征； 基于所述请求报文对应的流量特征以及响应报文对应的流量特征， 在预设的漏洞利用 攻击特征库和漏洞利用响应特征库中进行匹配识别， 生成漏洞利用攻击告警和漏洞利用响 应告警， 并写入告警表； 当所述告警表中包括同一个漏洞对应的漏洞利用攻击告警和漏洞利用响应告警时， 确 定所述目标服 务器存在对应漏洞且所述漏洞被利用。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 当解析得到的响应报文对应的流量特征中存在与所述漏洞利用攻击告警对应的同一 通道的数据流时， 确定所述目标服 务器存在对应漏洞且所述漏洞被利用。 3.根据权利要求1所述的方法， 其特征在于， 所述当所述告警表中包括同一个漏洞对应 的漏洞利用攻击告警和漏洞利用响应告警时， 确定所述目标服务器存在对应漏洞且所述漏 洞被利用， 包括： 当所述告警表中存在漏洞利用攻击告警的标识与漏洞利用响应告警的标识对应同一 个漏洞时， 确定所述目标服 务器存在对应漏洞且所述漏洞被利用。 4.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 根据所述告警表中漏洞利用攻击告警和漏洞利用响应告警对应的漏洞， 基于预设的漏 洞评分系统， 确定漏洞的严重等级； 根据所述告警表中同一漏洞对应的漏洞利用攻击告警次数、 漏洞利用响应告警次数， 以及漏洞的严重等级生成对应漏洞的告警提 示信息， 并对所述告警提 示信息进行展示。 5.根据权利要求4所述的方法， 其特征在于， 所述根据所述告警表中同一漏洞对应的漏 洞利用攻击告警次数、 漏洞利用响应告警次数， 以及漏洞的严重等级生成对应漏洞的告警 提示信息， 包括： 根据所述告警表中同一漏洞对应的漏洞利用攻击告警次数、 漏洞利用响应告警次数与 预设的等级次数关系表， 确定漏洞的告警等级； 根据所述漏洞的告警等级以及严重等级生成对应漏洞的告警提 示信息。 6.根据权利要求1所述的方法， 其特征在于， 对所述网络接口流量中的请求报文和响应 报文进行解析， 包括： 对所述网络 接口流量中的请求报文和响应报文 进行深度报文检测D PI。 7.一种基于流 量的漏洞检测 确认装置， 其特 征在于， 所述装置包括： 采集模块， 用于采集目标服务器的网络接口流量， 其中， 所述网络接口流量包括请求报 文和响应报文； 解析模块， 用于对所述网络接口流量中的请求报文和响应报文进行解析， 得到请求报 文对应的流 量特征以及响应报文对应的流 量特征； 告警生成模块， 用于基于所述请求报文对应的流量特征以及响应报文对应的流量特 征， 在预设的漏洞利用攻击特征库和漏洞利用响应特征库中进行匹配识别， 生成漏洞利用 攻击告警和漏洞 利用响应告警， 并写入告警表；权　利　要　求　书 1/2 页 2 CN 115314322 A 2确定模块， 用于当所述告警表中包括同一个漏洞对应的漏洞利用攻击告警和漏洞利用 响应告警时， 确定所述目标服 务器存在对应漏洞且所述漏洞被利用。 8.根据权利要求7所述的装置， 其特征在于， 所述确定模块， 还用于当解析得到的响应 报文对应的流量特征中存在与所述漏洞利用攻击告警对应的同一通道的数据流时， 确定所 述目标服 务器存在对应漏洞且所述漏洞被利用。 9.一种电子设备， 其特 征在于， 所述电子设备包括： 至少一个处 理器； 以及 与所述至少一个处 理器通信连接的存 储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述指令被所述至少一个处 理器执行， 以使所述至少一个处 理器能够执 行权利要求1 ‑6中任意一项所述的方法。 10.一种存储有计算机指令的非瞬时计算机可读存储介质， 其特征在于， 所述计算机指 令用于使所述计算机执 行根据权利要求1 ‑6中任意一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115314322 A 3