CN109088859A - 识别可疑目标对象的方法、装置、服务器及可读存储介质 - Google Patents
识别可疑目标对象的方法、装置、服务器及可读存储介质 Download PDFInfo
- Publication number
- CN109088859A CN109088859A CN201810780197.3A CN201810780197A CN109088859A CN 109088859 A CN109088859 A CN 109088859A CN 201810780197 A CN201810780197 A CN 201810780197A CN 109088859 A CN109088859 A CN 109088859A
- Authority
- CN
- China
- Prior art keywords
- file information
- target object
- filename
- suspicious
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种识别可疑目标对象的方法、装置、服务器及可读存储介质,从访问日志中提取出访问目标对象的至少一个文件信息;利用过滤特征词表对所述至少一个文件信息中包含的所有文件名进行过滤,得到未过滤的文件名对应的文件信息;根据所述未过滤的文件名对应的文件信息,将所述未过滤的文件名对应的目标对象作为可疑目标对象。本发明公开的识别可疑目标对象的方法、装置、服务器及可读存储介质,能够提高识别可疑目标对象的准确性,实现提前进行预警处理的效果。
Description
技术领域
本发明涉及计算机技术领域,特别是涉及一种识别可疑目标对象的方法、装置、服务器及可读存储介质。
背景技术
随着互联网技术的飞速发展,在互联网中出现的钓鱼程序也越来越多,现有技术中,通常是通过IP或域名等目标对象向终端发送包含钓鱼程序的链接,当终端点打开所述链接之后,会将钓鱼程序植入所述终端中,然后通过钓鱼程序来盗取qq、微信账号密码、银行或信用卡账号密码等私人资料的网络欺诈行为。
现有技术中在识别目标对象是否为钓鱼目标对象时,通常是以通过人工方式来识别,例如通过采集多个终端用户的反馈信息来识别出钓鱼目标对象,只能在事后进行识别,而不能提前进行预警处理。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种识别可疑目标对象的方法、装置、服务器及可读存储介质。
依据本发明的第一方面,提供了一种识别可疑目标对象的方法,所述方法包括:
从访问日志中提取出访问目标对象的至少一个文件信息,其中,所述目标对象包括IP和/或域名;
利用过滤特征词表对所述至少一个文件信息中包含的所有文件名进行过滤,得到未过滤的文件名对应的文件信息,所述过滤特征词表是根据已识别的多个钓鱼目标对象对应的文件信息所包含的文件名而生成的;
根据所述未过滤的文件名对应的文件信息,将所述未过滤的文件名对应的目标对象作为可疑目标对象。
可选地,所述从访问日志中提取出访问目标对象的至少一个文件信息,具体包括:
从云端日志或网络日志中提取出访问所述目标对象的文件信息。
可选地,所述利用过滤特征词表对所述至少一个文件信息中包含的所有文件名进行过滤,具有包括:
利用所述过滤特征词表生成对应的正则表达式;
利用所述正则表达式对所述至少一个文件信息中包含的所有文件名进行过滤。
可选地,所述过滤特征词表的生成方法,包括:
获取已识别的多个钓鱼目标对象;
对已识别的所述多个钓鱼目标对象的文件信息包含的所有文件名进行数据挖掘,挖掘出具有共性的特征词;
根据挖掘出的所述共性的特征词,生成所述过滤特征词表。
可选地,在将所述未过滤的文件名对应的目标对象作为可疑目标对象之后所述方法还包括:
获取所述可疑目标对象的相关信息,其中,所述相关信息包括所述可疑目标对象的归属地;
通过所述相关信息,确定出所述可疑目标对象是否为钓鱼目标对象。
依据本发明的第二方面,提供了一种识别可疑目标对象的装置,包括:
信息提取单元,用于从访问日志中提取出访问目标对象的至少一个文件信息,其中,所述目标对象包括IP和/或域名;
特征词过滤单元,用于利用过滤特征词表对所述至少一个文件信息中包含的所有文件名进行过滤,得到未过滤的文件名对应的文件信息,所述过滤特征词表是根据已识别的多个钓鱼目标对象对应的文件信息所包含的文件名而生成的;
可疑目标确定单元,用于根据所述未过滤的文件名对应的文件信息,将所述未过滤的文件名对应的目标对象作为可疑目标对象。
可选地,所述信息提取单元,具体用于从云端日志或网络日志中提取出访问所述目标对象的文件信息。
可选地,所述特征词过滤单元,还用于利用所述过滤特征词表生成对应的正则表达式,利用所述正则表达式对所述至少一个文件信息中包含的所有文件名进行过滤。
可选地,还包括:
特征词表生成单元,用于获取已识别的多个钓鱼目标对象;对已识别的所述多个钓鱼目标对象的文件信息包含的所有文件名进行数据挖掘,挖掘出具有共性的特征词;根据挖掘出的所述共性的特征词,生成所述过滤特征词表。
可选地,还包括:
相关信息获取单元,用于在将所述未过滤的文件名对应的目标对象作为可疑目标对象之后,获取所述可疑目标对象的相关信息,其中,所述相关信息包括所述可疑目标对象的归属地;
钓鱼目标对象确定单元,用于通过所述相关信息,确定出所述可疑目标对象是否为钓鱼目标对象。
依据本发明第三方面,提供了一种服务器,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述识别可疑目标对象的方法的步骤。
依据本发明第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述识别可疑目标对象的方法的步骤。
根据本发明实施例通过过滤特征词表对文件名进行过滤,获取到与过滤特征词表匹配的所述未过滤的文件名,并将所述未过滤的文件名对应的目标对象作为可疑目标对象,而过滤特征词表是根据已识别的多个钓鱼目标对象所包含的文件名而生成的,如此,使得通过过滤得到的所述未过滤的文件名对应的目标对象是钓鱼目标对象的概率较高,即使得识别出的可疑目标对象是钓鱼目标对象的概率较高,从而能够提前对目标对象是否为钓鱼目标对象进行预警。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文可选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出可选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例中识别可疑目标对象的方法的方法流程图;
图2为本发明实施例中过滤特征词表的生成方法的方法流程图;
图3为本说明书实施例中识别可疑目标对象的装置的结构示意图;
图4为本说明书实施例中服务器的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
参见图1,根据本发明第一方面供了一种识别可疑目标对象的方法,具体可以包括如下步骤:
S101、从访问日志中提取出访问目标对象的至少一个文件信息,其中,所述目标对象包括IP和/或域名;
S102、利用过滤特征词表对所述至少一个文件信息中包含的所有文件名进行过滤,得到未过滤的文件名对应的文件信息,所述过滤特征词表是根据已识别的多个钓鱼目标对象对应的文件信息所包含的文件名而生成的;
S103、根据所述未过滤的文件名对应的文件信息,将所述未过滤的文件名对应的目标对象作为可疑目标对象。
其中,在步骤S101中,由于在对所述目标对象进行访问时,会自动生成访问日志,生成的所述访问日志可以存储在网络日志和/或云端日志中,如此,可以从云端日志或网络日志中提取出访问所述目标对象的文件信息,当然,也可以从云端日志和网络日志中提取出所述文件信息。下面具体以云端日志为例。
本说明书实施例中,所述目标对象包括IP和/或域名,即所述目标对象可以仅包括IP,也可以仅包括域名,还可以包括IP和域名;在所述目标对象仅包括IP时,所述目标对象可以为至少一个IP,通常为多个,例如所述目标对象包括IP1和IP2;在所述目标对象仅包括域名时,所述目标对象可以为至少一个域名,通常为多个,例如所述目标对象包括域名A1和A2;在所述目标对象包括IP和域名时,所述目标对象可以包括至少一个IP和至少一个域名,通常包括多个IP和多个域名,例如所述目标对象可以包括域名A1和A2,以及IP1和IP2。
本说明书实施例中,由于访问所述目标对象的文件数量可以为一个或多个,如此,使得提取出的所述至少一个文件信息包括访问所述目标对象的一个或多个文件包含的所有文件信息。
本说明书实施例中,所述至少一个文件信息至少包括文件名,还可以包括文件内容,本申请不作具体限制。
例如,若所述目标对象为域名A1为例,若访问域名A1的访问日志R1存储云端日志服务器中,则从云端日志服务器中读取R1,然后从R1中提取出访问A1的至少一个文件信息;若访问A1的文件为b1,则从R1中提取出b1文件的文件信息,此时,访问A1的至少一个文件信息为b1的文件信息;若访问A1的文件为b1、b2、b3和b4,则从R1中提取出b1的文件信息,b2的文件信息、b3的文件信息和b4的文件信息,此时,访问A1的至少一个文件信息包括b1、b2、b3和b4的文件信息。
当然,若所述目标对象为域名A1和A2为例,在从R1中提取出访问A1的至少一个文件信息包括b1、b2、b3和b4的文件信息,以及从R1中提取出访问A2的至少一个文件信息包括b5和b6的文件信息。
在通过步骤S101获取到所述至少一个文件信息之后,执行步骤S102,以及在执行步骤S102之前,还需生成所述过滤特征词表,所述过滤特征词表的生成方法,如图2所示,具体包括以下步骤:
S201、获取已识别的多个钓鱼目标对象;
具体来讲,在获取所述多个钓鱼目标对象时,可以根据采集的多个终端用户的反馈信息,获取到已识别的多个钓鱼目标对象,其中,所述反馈信息包含终端用户访问目标对象之后出现的问题,例如所述反馈信息可以是访问域名A1之后账号被盗等信息。
本说明书实施例中,采集的多个终端用户的反馈信息越多,使得获取到所述多个钓鱼目标对象的数量越多,而所述多个钓鱼目标对象的数量越多,使得生成的所述过滤特征词表的准确性也越高,如此,通过所述过滤特征词表过滤出的所述未过滤的文件名对应的目标对象为钓鱼目标对象的概率也会提高,其预警的准确性也会随之提高。
本说明书实施例中,随着时间的推移,识别出的钓鱼目标对象越来越多,将识别出的钓鱼目标对象添加到步骤201中的所述多个钓鱼目标对象中,使得获取到的所述多个钓鱼目标对象的数量也会越来越多。
例如,采集到1000个终端用户的反馈信息,从1000个终端用户的反馈信息中提取出在访问域名A1和A2之后出现被骗情况的次数大于预设次数,则确定A1和A2为钓鱼目标对象,则获取到所述多个钓鱼目标对象为A1和A2。
S202、对已识别的所述多个钓鱼目标对象的文件信息包含的所有文件名进行数据挖掘,挖掘出具有共性的特征词;
具体来讲,在通过步骤S201获取到所述多个钓鱼目标对象之后,获取所有访问所述多个钓鱼目标对象的文件信息,然后对获取的所述多个钓鱼目标对象的文件信息包含的所有文件名进行数据挖掘,得到所述共性的特征词,所述共性的特征词例如是与金融相关的特征词和与用户账号相关的特征词等。
S203、根据挖掘出的所述共性的特征词,生成所述过滤特征词表。
具体来讲,可以将所述共性的特征词中的所有特征词添加到所述过滤特征词表中,为了提高所述过滤特征词表的过滤准确性,还可以获取所述共性的特征词中出现次数大于预设次数的候选特征词,将所述候选特征词添加到所述过滤特征词表中。
本说明书实施例中,所述预设次数通过人工或实际情况进行设定,所述预设次数通常设置为不小于100的值,当然,也可以为2-99中的任意一个整数,本申请不作具体限制。
例如,以所述多个钓鱼目标对象为D1和D2为例,对访问D1和D2的文件信息所包含的文件名进行数据挖掘,挖掘出特征词的共性为金融,并将挖掘出的访问D1和D2的文件信息所包含的文件名中包含金融的特征词为付款、支付、银行卡和信用卡,若付款、支付、银行卡和信用卡依次出现的次数为240、350、50和20,以及所述预设次数为100,由于350>240>100>50>20,则确定所述候选特征词为350对应的付款和240对应的支付,如此,将付款和支付添加到所述过滤特征词中。
其中,在执行步骤S102中,可以利用所述过滤特征词表生成对应的正则表达式,再利用所述正则表达式对所述至少一个文件信息中包含的所有文件名进行过滤。当然,也可以直接使用所述过滤特征词表对所述至少一个文件信息中包含的所有文件名进行过滤,本申请不作具体限制。
本说明书实施例中,由于所述至少一个文件信息中的文件数量为一个或多个,而由于每个文件均有一个文件名,如此,使得所述至少一个文件信息中包含的文件名的数量为一个或多个;在获取到所述至少一个文件信息之后,利用所述过滤特征词表对所述至少一个文件信息中包含的所有文件名进行过滤,得到所有未过滤的文件名对应的文件信息作为所述未过滤文件名对应的文件信息。
例如,若所述过滤特征词表包括付款、支付、银行卡和信用卡,则生成的正则表达式可以为付款or支付or银行卡or信用卡,付款and支付or银行卡or信用卡,付款and支付and银行卡and信用卡等表达式中的任意一种,下面具体以正则表达式可以为付款or支付or银行卡or信用卡为例。
其中,在使用所述正则表达式对所述至少一个文件信息中包含的所有文件名进行过滤时,若所述至少一个文件信息中包括文件b1的文件信息,且b1的文件名中包含有付款、支付、银行卡和信用卡中任意一个特征词时,将b1的文件名作为未过滤的文件名,并将b1的文件信息作为所述未过滤的文件名对应的文件信息。
其次,若所述至少一个文件信息中包括文件b1、b2、b3和b4的文件信息,则依次检测b1、b2、b3和b4的文件名中是否包含有付款、支付、银行卡和信用卡中任意一个特征词;若检测到b1的文件名中包含有支付和b4的文件名中包含有付款,而b2和b3的文件名中未包含有正则表达式中的任意一个特征词,则过滤得到的所述未过滤的文件名为b1和b4的文件名,如此,将b1和b4的文件信息作为所述未过滤的文件名对应的文件信息。
由此可知,通过所述过滤特征词表进行过滤,从日志中提取出所述未过滤的文件名对应的文件信息,而所述过滤特征词表是对已识别的多个钓鱼目标对象的文件信息包含的所有文件名进行数据挖掘,挖掘出具有共性的特征词而生成的,使得所述过滤特征词表与钓鱼目标对象的匹配高,如此,通过所述过滤特征词表过滤出的所述未过滤的文件名对应的目标对象为钓鱼目标对象的准确性也随之提高。
在通过步骤S102获取到所述未过滤的文件名对应的文件信息之后,执行步骤S103,利用文件名、文件信息和目标对象之间的对应关系,获取到所述未过滤的文件名对应的目标对象,然后将所述未过滤的文件名对应的目标对象作为可疑目标对象。
例如,以目标对象为域名A1和A2为例,A1中的文件名、文件信息和目标对象之间的对应关系具体如下表1所示,
表1
其中,访问A1的至少一个文件信息包括文件信息X1、X2、X3和X4,其中,X1包含的文件名为b1,X2包含的文件名为b2,X3包含的文件名为b3,以及X4包括的文件名为b4;同理,访问A2的至少一个文件信息包括文件信息X5和X6,其中,X5包含的文件名为b5,以及X6包括的文件名为b6。
若通过步骤S102获取到所述未过滤的文件名为b2和b3,则根据表1中的映射关系,确定出b2和b3对应的目标对象为A1,则将A1作为可疑目标对象。若通过步骤S102获取到所述未过滤的文件名为b2和b5,则根据表1中的映射关系,确定出b2对应的目标对象为A1和b5对应的目标对象为A2,则将A1和A2均作为可疑目标对象。
本说明书的另一实施例中,在将所述未过滤的文件名对应的目标对象作为可疑目标对象之后,所述方法还包括:
S301、获取所述可疑目标对象的相关信息,其中,所述相关信息包括所述可疑目标对象的归属地;
本说明书实施例中,所述可疑目标对象可以包括至少一个IP和/或至少一个域名,如此,使得所述相关信息可以包括至少一个IP的归属地,和/或,至少一个域名的归属地。当然,所述相关信息还可以包括所述可疑目标对象对应的安全风险等级等信息,本申请不作具体限制。
例如,若所述可疑目标对象为域名A1时,通过域名地址查找得到A1的归属地,并将A1的归属地添加到A1的相关信息中;若所述相关信息还包括安全风险等级时,还可以通过分析访问A1的文件信息所包含的内容,得到A1的安全风险等级为40,如此,A1的相关信息包括A1的归属地和安全风险等级40。
S301、通过所述相关信息,确定出所述可疑目标对象是否为钓鱼目标对象。
本说明书实施例中,可以获取已识别的多个钓鱼目标对象对应的相关信息的分布参数,利用所述分布参数对所述可疑目标对象的相关信息进行判定,确定出所述可疑目标对象是否为钓鱼目标对象。
具体来讲,在所述相关信息为归属地时,可以利用已识别的多个钓鱼目标对象对应的归属地分布参数,对所述相关信息包含的归属地进行检测,若检测到所述可疑目标对象的归属地位于所述归属地分布参数中分布概率大于预设概率的区域中,则确定出所述可疑目标对象为钓鱼目标对象。例如,A1的相关信息包括A1的归属地为C省C1市,若所述归属地分布参数中C省C1市的分布概率大于15%且所述预设概率为5%,由于15%>5%,则确定A1为钓鱼目标对象。
本说明书实施例中,所述预设概率可以根据实际情况进行设定,也可以通过人工或系统自行设定,所述预设概率例如可以在5%-95%之间取值,当然,所述预设概率也可以设置为大于0且小于5%的值,或者,大于95%且小于1的值,本申请不作具体限制。
当然,在所述相关信息还包括安全风险等级等信息时,则对所述相关信息包含的所有信息组合在一起进行组合判定,以确定出所述可疑目标对象是否为钓鱼目标对象。
例如,A1的相关信息包括A1的归属地为C省C1市,以及A1的安全风险等级为40,利用已识别的多个钓鱼目标对象对应的相关信息的分布参数,判断C省C1市和安全风险等级为40对应的目标对象为钓鱼目标对象的概率,若概率大于所述预设概率,则确定所述可疑目标对象为钓鱼目标对象;否则,则确定所述可疑目标对象为非钓鱼目标对象。
如此,在确定出所述可疑目标对象之后,还通过所述可疑目标对象的相关信息,确定出所述可疑目标对象是否为钓鱼目标对象,而且在确定是否为钓鱼目标对象过程中,还利用已识别的多个钓鱼目标对象对应的相关信息的分布参数进行概率判断,使得确定出是否为钓鱼目标对象的准确度进一步提高,使得识别钓鱼目标对象的准确度也随之提高。
根据本发明实施例通过过滤特征词表对文件名进行过滤,获取到与过滤特征词表匹配的所述未过滤的文件名,并将所述未过滤的文件名对应的目标对象作为可疑目标对象,而过滤特征词表是根据已识别的多个钓鱼目标对象所包含的文件名而生成的,如此,使得通过过滤得到的所述未过滤的文件名对应的目标对象是钓鱼目标对象的概率较高,即使得识别出的可疑目标对象是钓鱼目标对象的概率较高,从而能够提前对目标对象是否为钓鱼目标对象进行预警
基于与上述方法相同的技术构思,本发明第二方面提供了一种识别可疑目标对象的装置,如图3所示,包括:
信息提取单元301,用于从访问日志中提取出访问目标对象的至少一个文件信息,其中,所述目标对象包括IP和/或域名;
特征词过滤单元302,用于利用过滤特征词表对所述至少一个文件信息中包含的所有文件名进行过滤,得到未过滤的文件名对应的文件信息,所述过滤特征词表是根据已识别的多个钓鱼目标对象对应的文件信息所包含的文件名而生成的;
可疑目标确定单元303,用于根据所述未过滤的文件名对应的文件信息,将所述未过滤的文件名对应的目标对象作为可疑目标对象。
本说明书实施例的一种可选方式中,信息提取单元301,具体用于从云端日志或网络日志中提取出访问所述目标对象的文件信息。
本说明书实施例的一种可选方式中,特征词过滤单元302,还用于利用所述过滤特征词表生成对应的正则表达式,利用所述正则表达式对所述至少一个文件信息中包含的所有文件名进行过滤。
本说明书实施例的一种可选方式中,所述装置还包括:
特征词表生成单元,用于获取已识别的多个钓鱼目标对象;对已识别的所述多个钓鱼目标对象的文件信息包含的所有文件名进行数据挖掘,挖掘出具有共性的特征词;根据挖掘出的所述共性的特征词,生成所述过滤特征词表。
本说明书实施例的一种可选方式中,所述装置还包括:
相关信息获取单元,用于在将所述未过滤的文件名对应的目标对象作为可疑目标对象之后,获取所述可疑目标对象的相关信息,其中,所述相关信息包括所述可疑目标对象的归属地;
钓鱼目标对象确定单元,用于通过所述相关信息,确定出所述可疑目标对象是否为钓鱼目标对象。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
依据本发明第三方面,提供了一种服务器,如图4所示,包括存储器404、处理器402及存储在存储器404上并可在处理器402上运行的计算机程序,所述处理器402执行所述程序时实现前文所述识别可疑目标对象的方法的任一方法的步骤。
其中,在图4中,总线架构(用总线400来代表),总线400可以包括任意数量的互联的总线和桥,总线400将包括由处理器402代表的一个或多个处理器和存储器404代表的存储器的各种电路链接在一起。总线400还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口405在总线400和接收器401和发送器403之间提供接口。接收器401和发送器403可以是同一个元件,即收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器402负责管理总线400和通常的处理,而存储器404可以被用于存储处理器402在执行操作时所使用的数据。
依据本发明第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前文所述识别可疑目标对象的方法的任一方法的步骤。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的进程清理的方法和装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网平台上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开A1、一种识别可疑目标对象的方法,其特征在于,所述方法包括:
从访问日志中提取出访问目标对象的至少一个文件信息,其中,所述目标对象包括IP和域名中的至少一种;
利用过滤特征词表对所述至少一个文件信息中包含的所有文件名进行过滤,得到未过滤的文件名对应的文件信息,所述过滤特征词表是根据已识别的多个钓鱼目标对象对应的文件信息所包含的文件名而生成的;
根据所述未过滤的文件名对应的文件信息,将所述未过滤的文件名对应的目标对象作为可疑目标对象。
A2、如权利要求A1所述的方法,其特征在于,所述从访问日志中提取出访问目标对象的至少一个文件信息,具体包括:
从云端日志或网络日志中提取出访问所述目标对象的文件信息。
A3、如权利要求A1所述的方法,其特征在于,所述利用过滤特征词表对所述至少一个文件信息中包含的所有文件名进行过滤,具有包括:
利用所述过滤特征词表生成对应的正则表达式;
利用所述正则表达式对所述至少一个文件信息中包含的所有文件名进行过滤。
A4、如权利要求A1所述的方法,其特征在于,所述过滤特征词表的生成方法,包括:
获取已识别的多个钓鱼目标对象;
对已识别的所述多个钓鱼目标对象的文件信息包含的所有文件名进行数据挖掘,挖掘出具有共性的特征词;
根据挖掘出的所述共性的特征词,生成所述过滤特征词表。
A5、如权利要求A1-A4任一项所述的方法,其特征在于,在将所述未过滤的文件名对应的目标对象作为可疑目标对象之后,所述方法还包括:
获取所述可疑目标对象的相关信息,其中,所述相关信息包括所述可疑目标对象的归属地;
通过所述相关信息,确定出所述可疑目标对象是否为钓鱼目标对象。
B1、一种识别可疑目标对象的装置,其特征在于,包括:
信息提取单元,用于从访问日志中提取出访问目标对象的至少一个文件信息,其中,所述目标对象包括IP和/或域名;
特征词过滤单元,用于利用过滤特征词表对所述至少一个文件信息中包含的所有文件名进行过滤,得到未过滤的文件名对应的文件信息,所述过滤特征词表是根据已识别的多个钓鱼目标对象对应的文件信息所包含的文件名而生成的;
可疑目标确定单元,用于根据所述未过滤的文件名对应的文件信息,将所述未过滤的文件名对应的目标对象作为可疑目标对象。
B2、如权利要求B1所述的装置,其特征在于,所述信息提取单元,具体用于从云端日志或网络日志中提取出访问所述目标对象的文件信息。
B3、如权利要求B1所述的装置,其特征在于,所述特征词过滤单元,还用于利用所述过滤特征词表生成对应的正则表达式,利用所述正则表达式对所述至少一个文件信息中包含的所有文件名进行过滤。
B4、如权利要求B1所述的装置,其特征在于,还包括:
特征词表生成单元,用于获取已识别的多个钓鱼目标对象;对已识别的所述多个钓鱼目标对象的文件信息包含的所有文件名进行数据挖掘,挖掘出具有共性的特征词;根据挖掘出的所述共性的特征词,生成所述过滤特征词表。
B5、如权利要求B1-B4任一项所述的装置,其特征在于,还包括:
相关信息获取单元,用于在将所述未过滤的文件名对应的目标对象作为可疑目标对象之后,获取所述可疑目标对象的相关信息,其中,所述相关信息包括所述可疑目标对象的归属地;
钓鱼目标对象确定单元,用于通过所述相关信息,确定出所述可疑目标对象是否为钓鱼目标对象。
C1、一种服务器,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求A1-A5任一项所述方法的步骤。
D1、一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求A1-A5任一项所述方法的步骤。
Claims (10)
1.一种识别可疑目标对象的方法,其特征在于,所述方法包括:
从访问日志中提取出访问目标对象的至少一个文件信息,其中,所述目标对象包括IP和/或域名;
利用过滤特征词表对所述至少一个文件信息中包含的所有文件名进行过滤,得到未过滤的文件名对应的文件信息,所述过滤特征词表是根据已识别的多个钓鱼目标对象对应的文件信息所包含的文件名而生成的;
根据所述未过滤的文件名对应的文件信息,将所述未过滤的文件名对应的目标对象作为可疑目标对象。
2.如权利要求1所述的方法,其特征在于,所述从访问日志中提取出访问目标对象的至少一个文件信息,具体包括:
从云端日志或网络日志中提取出访问所述目标对象的文件信息。
3.如权利要求1所述的方法,其特征在于,所述利用过滤特征词表对所述至少一个文件信息中包含的所有文件名进行过滤,具有包括:
利用所述过滤特征词表生成对应的正则表达式;
利用所述正则表达式对所述至少一个文件信息中包含的所有文件名进行过滤。
4.如权利要求1所述的方法,其特征在于,所述过滤特征词表的生成方法,包括:
获取已识别的多个钓鱼目标对象;
对已识别的所述多个钓鱼目标对象的文件信息包含的所有文件名进行数据挖掘,挖掘出具有共性的特征词;
根据挖掘出的所述共性的特征词,生成所述过滤特征词表。
5.如权利要求1-4任一项所述的方法,其特征在于,在将所述未过滤的文件名对应的目标对象作为可疑目标对象之后,所述方法还包括:
获取所述可疑目标对象的相关信息,其中,所述相关信息包括所述可疑目标对象的归属地;
通过所述相关信息,确定出所述可疑目标对象是否为钓鱼目标对象。
6.一种识别可疑目标对象的装置,其特征在于,包括:
信息提取单元,用于从访问日志中提取出访问目标对象的至少一个文件信息,其中,所述目标对象包括IP和/或域名;
特征词过滤单元,用于利用过滤特征词表对所述至少一个文件信息中包含的所有文件名进行过滤,得到未过滤的文件名对应的文件信息,所述过滤特征词表是根据已识别的多个钓鱼目标对象对应的文件信息所包含的文件名而生成的;
可疑目标确定单元,用于根据所述未过滤的文件名对应的文件信息,将所述未过滤的文件名对应的目标对象作为可疑目标对象。
7.如权利要求6所述的装置,其特征在于,所述信息提取单元,具体用于从云端日志或网络日志中提取出访问所述目标对象的文件信息。
8.如权利要求6所述的装置,其特征在于,所述特征词过滤单元,还用于利用所述过滤特征词表生成对应的正则表达式,利用所述正则表达式对所述至少一个文件信息中包含的所有文件名进行过滤。
9.一种服务器,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1-5任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-5任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810780197.3A CN109088859B (zh) | 2018-07-16 | 2018-07-16 | 识别可疑目标对象的方法、装置、服务器及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810780197.3A CN109088859B (zh) | 2018-07-16 | 2018-07-16 | 识别可疑目标对象的方法、装置、服务器及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109088859A true CN109088859A (zh) | 2018-12-25 |
| CN109088859B CN109088859B (zh) | 2021-07-20 |
Family
ID=64838027
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810780197.3A Active CN109088859B (zh) | 2018-07-16 | 2018-07-16 | 识别可疑目标对象的方法、装置、服务器及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109088859B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112084495A (zh) * | 2019-06-14 | 2020-12-15 | 北京奇虎科技有限公司 | 进程链的分析方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103324615A (zh) * | 2012-03-19 | 2013-09-25 | 哈尔滨安天科技股份有限公司 | 基于搜索引擎优化的钓鱼网站探测方法及系统 |
| CN103944761A (zh) * | 2014-04-18 | 2014-07-23 | 深圳芯智汇科技有限公司 | Android日志信息过滤方法及系统 |
| CN105138912A (zh) * | 2015-09-25 | 2015-12-09 | 北京奇虎科技有限公司 | 钓鱼网站检测规则的自动生成方法及装置 |
| CN105187439A (zh) * | 2015-09-25 | 2015-12-23 | 北京奇虎科技有限公司 | 钓鱼网站检测方法及装置 |
| CN105357221A (zh) * | 2015-12-04 | 2016-02-24 | 北京奇虎科技有限公司 | 识别钓鱼网站的方法及装置 |
| US20170126730A1 (en) * | 2015-10-29 | 2017-05-04 | Duo Security, Inc. | Methods and systems for implementing a phishing assesment |
| CN106850562A (zh) * | 2016-12-28 | 2017-06-13 | 北京安天网络安全技术有限公司 | 一种恶意外设检测系统及方法 |
| US20170359220A1 (en) * | 2016-06-02 | 2017-12-14 | Zscaler, Inc. | Cloud based systems and methods for determining and visualizing security risks of companies, users, and groups |
| US20180063190A1 (en) * | 2016-08-23 | 2018-03-01 | Duo Security, Inc. | Method for identifying phishing websites and hindering associated activity |
-
2018
- 2018-07-16 CN CN201810780197.3A patent/CN109088859B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103324615A (zh) * | 2012-03-19 | 2013-09-25 | 哈尔滨安天科技股份有限公司 | 基于搜索引擎优化的钓鱼网站探测方法及系统 |
| CN103944761A (zh) * | 2014-04-18 | 2014-07-23 | 深圳芯智汇科技有限公司 | Android日志信息过滤方法及系统 |
| CN105138912A (zh) * | 2015-09-25 | 2015-12-09 | 北京奇虎科技有限公司 | 钓鱼网站检测规则的自动生成方法及装置 |
| CN105187439A (zh) * | 2015-09-25 | 2015-12-23 | 北京奇虎科技有限公司 | 钓鱼网站检测方法及装置 |
| US20170126730A1 (en) * | 2015-10-29 | 2017-05-04 | Duo Security, Inc. | Methods and systems for implementing a phishing assesment |
| CN105357221A (zh) * | 2015-12-04 | 2016-02-24 | 北京奇虎科技有限公司 | 识别钓鱼网站的方法及装置 |
| US20170359220A1 (en) * | 2016-06-02 | 2017-12-14 | Zscaler, Inc. | Cloud based systems and methods for determining and visualizing security risks of companies, users, and groups |
| US20180063190A1 (en) * | 2016-08-23 | 2018-03-01 | Duo Security, Inc. | Method for identifying phishing websites and hindering associated activity |
| CN106850562A (zh) * | 2016-12-28 | 2017-06-13 | 北京安天网络安全技术有限公司 | 一种恶意外设检测系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 池阳: ""基于ISAPI过滤器的Web防护系统"", 《技术研究》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112084495A (zh) * | 2019-06-14 | 2020-12-15 | 北京奇虎科技有限公司 | 进程链的分析方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109088859B (zh) | 2021-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106503053B (zh) | Utxo查询方法及装置 | |
| CN106339875B (zh) | 基于公有区块链的操作记录审查方法及装置 | |
| CN106357612B (zh) | 基于公有区块链的认证记录审查方法及装置 | |
| CN106506454B (zh) | 欺诈业务识别方法及装置 | |
| JP2021515427A (ja) | ブロックチェーンベースのデータ検証方法および装置、ならびに電子デバイス | |
| CN109816397A (zh) | 一种欺诈判别方法、装置及存储介质 | |
| Alenezi et al. | A framework for cloud forensic readiness in organizations | |
| CN110177114A (zh) | 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质 | |
| CN112926699A (zh) | 异常对象识别方法、装置、设备及存储介质 | |
| CN106415576A (zh) | 用于离散网络风险的测量和自动化累积的系统以及其对应的方法 | |
| CN110099059A (zh) | 一种域名识别方法、装置及存储介质 | |
| CN107679872A (zh) | 基于区块链的艺术品鉴别方法及装置、电子设备 | |
| CN112330459B (zh) | 一种基于工商数据挖掘企业投融资事件的方法及装置 | |
| CN110634223A (zh) | 票据校验方法及装置 | |
| CN110032859A (zh) | 异常帐户鉴别方法与装置及介质 | |
| CN108537668A (zh) | 基于智能合约的数字货币交易方法及装置、计算设备 | |
| CN109658109A (zh) | 医保异常刷卡的检测方法、装置、终端及存储介质 | |
| CN110247857A (zh) | 限流方法及装置 | |
| CN110457332A (zh) | 一种信息处理方法及相关设备 | |
| CN109344173A (zh) | 数据管理方法和装置、数据结构 | |
| CN109582560A (zh) | 测试文件编辑方法、装置、设备及计算机可读存储介质 | |
| CN112287039A (zh) | 一种团伙识别方法及相关装置 | |
| CN107623693A (zh) | 域名解析防护方法及装置、系统、计算设备、存储介质 | |
| CN109088859A (zh) | 识别可疑目标对象的方法、装置、服务器及可读存储介质 | |
| CN110502443A (zh) | 冗余代码检测方法、检测模块、电子设备及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |