(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211134195.X (22)申请日 2022.09.16 (71)申请人 国网智能电网研究院有限公司 地址 102209 北京市昌平区未来科技城 滨 河大道18号 申请人 国网浙江省电力有限公司电力科 学 研究院　 国网浙江省电力有限公司 (72)发明人 魏桂臣　王文辉　孙歆　韩龙玺　 葛广凯　王文　杨征浩　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 专利代理师 陈丕光 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 漏洞利用检测方法、 装置、 计算机设备及存 储介质 (57)摘要 本发明实施例涉及一种漏洞利用检测方法、 装置、 计算机设备及存储介质， 所述方法包括： 获 取原始业务生产系统中存储的流量包； 将所述流 量包在所述原始业务生产系统对应的孪生系统 中进行流量重放； 在流量重放过程中监测异常行 为， 得到监测结果； 基于所述监测结果确定所述 异常行为是否为漏洞利用。 由此， 可以精准的发 现传统安全设备不能发现攻击或异常行为， 通过 流量重放业务孪生环境， 可以发现并验证漏洞利 用， 不占用生产环境的任何资源， 不改变原有网 络或业务结构， 避免在生产环 境中部署过多的安 全措施， 导 致系统性能下降或兼容 性差的问题。 权利要求书2页 说明书7页 附图3页 CN 115514551 A 2022.12.23 CN 115514551 A 1.一种漏洞 利用检测方法， 其特 征在于， 包括： 获取原始业务生产系统中存 储的流量包； 将所述流量包在所述原 始业务生产系统对应的孪生系统中进行流 量重放； 在流量重放过程中监测异常行为， 得到监测结果； 基于所述 监测结果确定所述异常行为是否为漏洞 利用。 2.根据权利要求1所述的方法， 其特征在于， 所述在流量重放过程中监测异常行为， 得 到监测结果， 包括： 基于预设的标准操作合 规基线对流 量重放过程中的行为进行监测； 对不符合所述标准操作合 规基线的异常行为进行追踪和再次判定， 得到监测结果。 3.根据权利要求2所述的方法， 其特征在于， 所述对不符合所述标准操作合规基线的异 常行为进行追踪和再次判定， 得到监测结果， 包括： 抽取所述异常行为对应的完整行为过程的流 量数据； 基于所述 流量数据形成漏洞 利用脚本文件； 将所述漏洞利用脚本文件在所述孪生系统中进行验证测试， 确定所述异常行为是否为 漏洞利用行为。 4.根据权利要求3所述的方法， 其特征在于， 所述基于所述监测结果确定所述异常行为 是否为漏洞 利用， 包括： 若验证测试 结果不通过， 则确定所述 监测结果 为所述异常行为是漏洞 利用行为； 若验证测试 结果通过， 则确定所述 监测结果 为所述异常行为是正常未记录行为； 将所述正常未记录行为记载到所述标准操作合 规基线中。 5.根据权利要求 4所述的方法， 其特 征在于， 所述方法还 包括： 若确定所述监测结果为所述异常行为是漏洞利用行为， 则将监测结果反馈给所述原始 业务生产系统， 以使所述原 始业务生产系统终止所述漏洞 利用行为。 6.根据权利要求1所述的方法， 其特征在于， 所述获取原始业务生产系统中存储的流量 包， 包括： 当在线检测漏洞利用时， 获取所述原始业务生产系统检测到的异常行为 时存储的异常 行为对应的流 量包； 当离线检测漏洞利用时， 获取所述原始业务生产系统接收到的全部行为对应的流量 包。 7.根据权利要求6所述的方法， 其特征在于， 所述将所述流量包在所述原始业务生产系 统对应的孪生系统中进行流 量重放， 包括： 接收所述原 始业务生产系统发送的流 量重放请求； 基于所述流量重放请求， 采用流量重放工具将所述流量包在所述孪生系统中进行流量 重放； 将流量重放结果反馈给 所述原始业务生产系统。 8.一种漏洞 利用检测装置， 其特 征在于， 包括： 获取模块， 用于获取原 始业务生产系统中存 储的流量包； 重放模块， 用于将所述流量包在所述原始业务生产系统对应的孪生系统中进行流量重 放；权　利　要　求　书 1/2 页 2 CN 115514551 A 2监测模块， 用于在流 量重放过程中监测异常行为， 得到监测结果； 确定模块， 用于基于所述 监测结果确定所述异常行为是否为漏洞 利用。 9.根据权利要求8所述的漏洞利用检测装置， 其特征在于， 所述获取模块， 具体用于当 在线检测漏洞利用时， 获取所述原始业务生产系统检测到的异常行为时存储的异常行为对 应的流量包； 当离线检测漏洞利用时， 获取所述原始业务生产系统接 收到的全部行为对应 的流量包。 10.根据权利要求8所述的漏洞利用检测装置， 其特征在于， 所述重放模块， 具体用于接 收所述原始业务生产系统发送的流量重放请求； 基于所述流量重放请求， 采用流量重放工 具将所述流量包在所述孪生系统中进 行流量重放； 将流量重放结果反馈给所述原始 业务生 产系统。 11.根据权利要求8所述的漏洞利用检测装置， 其特征在于， 所述监测模块， 具体用于基 于预设的标准操作合规基线对流量重放过程中的行为进行监测； 对不符合所述标准操作合 规基线的异常行为进行追踪和再次判定， 得到监测结果。 12.根据权利要求11所述的漏洞利用检测装置， 其特征在于， 所述监测模块， 还用于抽 取所述异常行为对应的完整行为过程的流量数据； 基于所述流量数据形成漏洞利用脚本文 件； 将所述漏洞利用脚本文件在所述孪生系统中进行验证测试， 确定所述异常行为是否为 漏洞利用行为。 13.根据权利要求12所述的漏洞利用检测装置， 其特征在于， 所述确定模块， 具体用于 若验证测试结果不通过， 则确定所述监测结果为所述异常行为是漏洞利用行为； 若验证测 试结果通过， 则确定所述监测结果为所述异常行为是正常未记录行为； 将所述正常未记录 行为记载到所述标准操作合 规基线中。 14.根据权利要求13所述的漏洞利用检测装置， 其特征在于， 所述确定模块， 还用于若 确定所述监测结果为所述异常行为是漏洞利用行为， 则将监测结果反馈给所述原始 业务生 产系统， 以使所述原 始业务生产系统终止所述漏洞 利用行为。 15.一种计算机设备， 其特征在于， 包括： 处理器和存储器， 所述处理器用于执行所述存 储器中存储的漏洞利用检测程序， 以实现权利要求1～7中任一项所述的漏洞利用检测方 法。 16.一种存储介质， 其特征在于， 所述存储介质存储有一个或者多个程序， 所述一个或 者多个程序可被一个或者多个处理器执行， 以实现权利要求 1～7中任一项所述的漏洞利用 检测方法。权　利　要　求　书 2/2 页 3 CN 115514551 A 3