CN110730193B - 保障网络安全的方法、装置、服务器和存储介质 - Google Patents

保障网络安全的方法、装置、服务器和存储介质 Download PDF

Info

Publication number
CN110730193B
CN110730193B CN201911039225.7A CN201911039225A CN110730193B CN 110730193 B CN110730193 B CN 110730193B CN 201911039225 A CN201911039225 A CN 201911039225A CN 110730193 B CN110730193 B CN 110730193B
Authority
CN
China
Prior art keywords
tool
determining
network black
terminals
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911039225.7A
Other languages
English (en)
Other versions
CN110730193A (zh
Inventor
彭宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201911039225.7A priority Critical patent/CN110730193B/zh
Publication of CN110730193A publication Critical patent/CN110730193A/zh
Application granted granted Critical
Publication of CN110730193B publication Critical patent/CN110730193B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本公开是关于一种保障网络安全的方法、装置、服务器和存储介质,属于电子技术领域。所述方法包括:在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的多个活跃终端;确定当前的第二预设时长内多个活跃终端中新出现的文件;对于每个新出现的文件,确定新出现的文件和已知网络黑产工具之间的关联度;基于各新出现的文件和已知网络黑产工具之间的关联度,在各新出现的文件中确定强关联工具;在强关联工具中确定不在预设的工具白名单内的疑似网络黑产工具。采用本公开可以大大提高网络的安全性。

Description

保障网络安全的方法、装置、服务器和存储介质
技术领域
本公开是关于电子技术领域,尤其是关于一种保障网络安全的方法、装置、服务器和存储介质。
背景技术
随着互联网技术的发展,网络应用到越来越广泛的领域。然而有些网络黑产用户会从网络黑产工具的发布网站中下载一些网络黑产工具,他们会利用这些网络黑产工具去攻击网络设备(如服务器、个人计算机等),这种非法行为会威胁到社会的治安和稳定。
为了防止网络黑产用户利用网络黑产工具去攻击网络设备,相关技术中提出以下方案:首先安全技术人员需要对发布网站中已发布的网络黑产工具进行技术分析,同时还需要对发布网站进行进一步的监控,一旦发现发布网站中又发布了新的网络黑产工具,就对新发布的网络黑产工具进行技术分析。在对这些网络黑产工具进行技术分析之后,就能够获知其攻击网络设备的攻击原理,进而安全技术人员可以针对获知的攻击原理采取相应的防备措施。
在实现本公开的过程中,发明人发现至少存在以下问题:
网络黑产工具的制作者为了防止安全技术人员从发布网站中获取网络黑产工具,会通过私有途径发布新的网络黑产工具,例如通过私有加密群、暗网等私有途径发布新的网络黑产工具。当网络黑产工具的制作者通过私有途径发布新的网络黑产工具时,安全技术人员就难以有效地对发布网站进行监控,以从中获取新发布的网络黑产工具,进而会导致无法通过技术分析的手段来采取相应的防备措施防止网络黑产用户利用网络黑产工具去攻击网络设备,网络的安全性大大降低。
发明内容
为了克服相关技术中存在的问题,本公开提供了以下技术方案:
根据本公开实施例的第一方面,提供一种保障网络安全的方法,所述方法包括:
在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的多个活跃终端;
确定当前的第二预设时长内所述多个活跃终端中新出现的文件;
对于每个新出现的文件,确定所述新出现的文件和所述已知网络黑产工具之间的关联度;
基于各新出现的文件和所述已知网络黑产工具之间的关联度,在所述各新出现的文件中确定强关联工具;
在所述强关联工具中确定不在预设的工具白名单内的疑似网络黑产工具。
可选地,所述在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的多个活跃终端,包括:
在多个终端中确定当前的第一预设时长内,应用所述已知网络黑产工具的应用次数大于预设次数阈值的多个活跃终端。
可选地,所述在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的多个活跃终端,包括:
在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的终端;
如果确定出的终端的数目大于预设数目阈值,则在所述确定出的终端中随机选择所述预设数目阈值个活跃终端。
可选地,所述确定所述新出现的文件和所述已知网络黑产工具之间的关联度,包括:
确定所述新出现的文件在所有活跃终端中的出现次数;
确定所述出现次数占所述所有活跃终端的总数目的比值,作为所述新出现的文件和所述已知网络黑产工具之间的关联度。
可选地,所述基于各新出现的文件和所述已知网络黑产工具之间的关联度,在所述各新出现的文件中确定强关联工具,包括:
基于各新出现的文件和所述已知网络黑产工具之间的关联度,在所述各新出现的文件中确定关联度大于或等于预设关联度阈值的强关联工具。
可选地,在所述强关联工具中确定不在预设的工具白名单内的疑似网络黑产工具之后,所述方法还包括:
向下载有所述疑似网络黑产工具的终端分别发送指示信息,其中,所述指示信息用于指示接收到指示信息的终端上传本地下载的疑似网络黑产工具。
根据本公开实施例的第二方面,提供一种保障网络安全的装置,所述装置包括:
确定模块,用于在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的多个活跃终端;
所述确定模块,用于确定当前的第二预设时长内所述多个活跃终端中新出现的文件;
所述确定模块,用于对于每个新出现的文件,确定所述新出现的文件和所述已知网络黑产工具之间的关联度;
所述确定模块,用于基于各新出现的文件和所述已知网络黑产工具之间的关联度,在所述各新出现的文件中确定强关联工具;
所述确定模块,用于在所述强关联工具中确定不在预设的工具白名单内的疑似网络黑产工具。
可选地,所述确定模块,用于:
在多个终端中确定当前的第一预设时长内,应用所述已知网络黑产工具的应用次数大于预设次数阈值的多个活跃终端。
可选地,确定模块,用于:
在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的终端;
如果确定出的终端的数目大于预设数目阈值,则在所述确定出的终端中随机选择所述预设数目阈值个活跃终端。
可选地,所述确定模块,用于:
确定所述新出现的文件在所有活跃终端中的出现次数;
确定所述出现次数占所述所有活跃终端的总数目的比值,作为所述新出现的文件和所述已知网络黑产工具之间的关联度。
可选地,所述确定模块,用于:
基于各新出现的文件和所述已知网络黑产工具之间的关联度,在所述各新出现的文件中确定关联度大于或等于预设关联度阈值的强关联工具。
可选地,所述装置还包括:
发送模块,用于向下载有所述疑似网络黑产工具的终端分别发送指示信息,其中,所述指示信息用于指示接收到指示信息的终端上传本地下载的疑似网络黑产工具。
根据本公开实施例的第三方面,提供一种服务器,所述服务器包括处理器、通信接口、存储器和通信总线,其中:
所述处理器、所述通信接口和所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存放的程序,以实现上述保障网络安全的方法。
根据本公开实施例的第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述保障网络安全的方法。
本公开的实施例提供的技术方案可以包括以下有益效果:
采用本公开实施例提供的方法,即使网络黑产工具的制作者通过私有途径发布新的网络黑产工具,服务器也能在安装有已知网络黑产工具的终端中检测到新发布的疑似网络黑产工具,安全技术人员通过后续对疑似网络黑产工具的分析,可以确定疑似网络黑产工具是否确实是网络黑产工具。这样,当疑似网络黑产工具确实是网络黑产工具时,安全技术人员能够通过技术分析的手段采取相应的防备措施防止网络黑产用户利用新发布的去攻击网络设备。采用本公开可以大大提高网络的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。在附图中:
图1是根据一示例性实施例示出的一种保障网络安全的系统的结构示意图;
图2是根据一示例性实施例示出的一种保障网络安全的方法的流程示意图;
图3是根据一示例性实施例示出的一种保障网络安全的装置的结构示意图;
图4是根据一示例性实施例示出的一种保障网络安全的方法的流程示意图;
图5是根据一示例性实施例示出的一种保障网络安全的方法的流程示意图;
图6是根据一示例性实施例示出的一种保障网络安全的装置的结构示意图;
图7是根据一示例性实施例示出的一种服务器的结构示意图。
通过上述附图,已示出本公开明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围,而是通过参考特定实施例为本领域技术人员说明本公开的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
本公开实施例提供了一种保障网络安全的方法,本公开实施例提供的方法可以由服务器实现,并由多个终端(如个人计算机)配合实现。如图1所示,是本公开实施例提供的一种保障网络安全的系统的结构示意图,该系统可以包括服务器和多个终端。
本公开一示例性实施例提供了一种保障网络安全的方法,如图2所示,该方法的处理流程可以包括如下的步骤:
步骤S201,在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的多个活跃终端。
在实施中,本公开实施例中提到的文件、工具,也都可以称作应用程序。服务器可以在当前的第一预设时长内,监测大量的终端中应用到已知网络黑产工具的多个活跃终端。服务器可以通过多种方式监测应用已知网络黑产工具的活跃终端,对此本公开实施例不作限定。可选地,可以基于多个终端的日志数据,在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的多个活跃终端。各用户可以在终端中安装安全工具,如病毒查杀工具等。安全工具可以监控当前的终端中已下载的工具和新下载的工具,对这些工具进行病毒检测处理,并向安全工具对应的服务器上传采集的日志数据,日志数据可以包括工具相关信息、工具应用情况信息、病毒检测相关信息等。
有些网络黑产用户会从网络黑产工具的发布网站中下载一些网络黑产工具,他们会利用这些网络黑产工具去攻击网络设备。这些网络黑产用户的终端中除了会安装网络黑产工具之外,还可能会安装安全工具。在安全工具对网络黑产用户的终端进行病毒检测处理或者其他类型的处理的过程中,可以采集日志数据,将日志数据上报到服务器。服务器可以接收到不同终端上报的日志数据。
在服务器中可以建立有一个已知网络黑产工具样本库,在该已知网络黑产工具样本库中存储有多个已知网络黑产工具。安全技术人员可以通过不同渠道,在网络黑产工具的制作者更换私有途径发布新的网络黑产工具之前,收集多个已知网络黑产工具,并把收集的多个已知网络黑产工具存储到已知网络黑产工具样本库中。服务器可以从已知网络黑产工具样本库中获取一个已知网络黑产工具,随后基于当前获取的已知网络黑产工具进行后续处理。例如,从已知网络黑产工具样本库S中获取一个已知网络黑产工具A,该已知网络黑产工具A为当前的周期还未处理过的工具。
服务器可以接收到不同终端上报的日志数据,可以从不同终端上报的日志数据中获取不同终端分别对应的工具应用情况信息,基于不同终端分别对应的工具应用情况信息,确定不同终端中近期应用过已知网络黑产工具的活跃终端。这样,服务器就可以统计到已知网络黑产工具的应用广度,即当前的第一预设时长内应用过已知网络黑产工具的活跃终端的数目。其中,第一预设时长可以是N天,N大于或者等于1。应用广度的最小值根据经验可以设置为10,这样保证已知网络黑产工具存在一定广度的应用,对后续计算新出现的文件和已知网络黑产工具之间的关联度有一定的辅助作用。通过上述方式,可以确定出近期应用过已知网络黑产工具的活跃终端,每个活跃终端都对应有一个终端标识信息(Globally Unique Identifier,GUID),可以获取各活跃终端分别对应的GUID,将各活跃终端分别对应的GUID存储到一个活跃终端GUID列表中。
可选地,步骤S201可以包括:在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的应用次数大于预设次数阈值的多个活跃终端。
在实施中,如果任一终端X近期应用过已知网络黑产工具,则可以将该终端X确定为活跃终端。或者,如果任一终端X近期应用过已知网络黑产工具、且应用已知网络黑产工具的应用次数大于预设次数阈值,则可以将该终端X确定为活跃终端,否则将该终端X确定为非活跃终端。如果检测到在终端X中,用户近期在频繁地应用一个已知网络黑产工具,则终端X中除了上述已知网络黑产工具之外,还安装有其他网络黑产工具的可能性就比较大,可以对这种终端上安装的工具进行排查,以找出可能是网络黑产工具的工具。
步骤S202,确定当前的第二预设时长内多个活跃终端中新出现的文件。
在实施中,服务器可以获取到一个活跃终端GUID列表,在活跃终端GUID列表中存储有多个近期应用过已知网络黑产工具的活跃终端的GUID。对于任一活跃终端Yi,可以获取活跃终端Yi对应的日志数据,基于活跃终端Yi对应的日志数据,确定近期内活跃终端Yi中新出现的文件。如果活跃终端Yi中存储有新工具的安装包,则该新工具可以作为近期内活跃终端Yi中新出现的文件。或者,如果活跃终端Yi中在下载了新工具的安装包之后,还基于安装包安装了该新工具,则该新工具可以作为近期内活跃终端Yi中新出现的文件。再或者,如果活跃终端Yi中已安装了一个工具,且近期还对该工具进行了更新处理,在对工具进行更新处理的过程中下载了工具的更新安装包,则该工具可以作为近期内活跃终端Yi中新出现的文件。
由于有多个活跃终端,每个活跃终端中近期都可能新下载了一些文件,可以对这些新出现的文件进行统计,排除掉其中产生重复的工具。
步骤S203,对于每个新出现的文件,确定当前新出现的文件和已知网络黑产工具之间的关联度。
在实施中,服务器可以获取到多个活跃终端近期内新出现的文件,可以对多个活跃终端近期内新出现的所有文件和已知网络黑产工具进行聚类处理,如果任一新出现的文件和已知网络黑产工具之间的关联度较高,则可以将新出现的文件和已知网络黑产工具初步划分为同一类,即网络黑产类型的工具。
服务器可以逐一确定每个新出现的文件和已知网络黑产工具之间的关联度。对于任一新出现的文件Wi,可以确定所有活跃终端中出现或者下载过文件Wi的终端的数目,作为文件Wi对应的出现次数,基于文件Wi对应的出现次数,确定文件Wi和已知网络黑产工具之间的关联度。
步骤S204,基于各新出现的文件和已知网络黑产工具之间的关联度,在各新出现的文件中确定强关联工具。
在实施中,可以基于各新出现的文件和已知网络黑产工具之间的关联度,在各新出现的文件中确定关联度大于或等于预设关联度阈值的强关联工具。例如,预设关联度阈值为60%,新出现的文件B和已知网络黑产工具A之间的关联度为80%,新出现的文件B和已知网络黑产工具A之间的关联度大于预设关联度阈值,因此工具B是强关联工具。需要说明的是,可以根据实际需求对预设关联度阈值进行调整。
步骤S205,在强关联工具中确定不在预设的工具白名单内的疑似网络黑产工具。
在实施中,服务器可以预先建立一个工具白名单,在该工具白名单中可以存储有一些常用的工具。当确定出强关联工具之后,可以逐一将强关联工具和工具白名单中的工具进行匹配比对,如果当前的强关联工具和工具白名单中的任一工具相匹配,则当前的强关联工具不属于网络黑产工具,如果当前的强关联工具和工具白名单中的所有工具都不匹配,则当前的强关联工具为疑似网络黑产工具。
通过设置工具白名单,可以帮助从强关联工具中过滤掉不属于网络黑产工具的常用工具(如即时通信工具、下载提速工具等),以避免将常用工具误判为疑似网络黑产工具。因为任何用户的终端中都可以安装常用工具,并经常对常用工具进行更新,由于常用工具的这种性质,导致常用工具也可能会被确认为是强关联工具。
可选地,在步骤S205之后,本公开实施例提供的方法还可以包括:向下载有疑似网络黑产工具的终端分别发送指示信息。其中,指示信息用于指示接收到指示信息的终端上传本地下载的疑似网络黑产工具。
在实施中,在通过工具白名单从强关联工具中过滤掉不属于网络黑产工具的常用工具之后,可以获取到强关联工具中的疑似网络黑产工具。对于任一疑似网络黑产工具Hi,服务器可以基于多个终端的日志数据,确定下载有疑似网络黑产工具Hi的目标终端,在目标终端中随机选择一个终端作为工具上传终端,指示工具上传终端将本地下载的疑似网络黑产工具Hi上传到服务器。后续安全技术人员可以从服务器获取疑似网络黑产工具,对疑似网络黑产工具进行技术分析。
如图3所示,可以从已知网络黑产工具样本库中选择当前未处理的已知网络黑产工具,将当前未处理的已知网络黑产工具输入到数据抽取模块。数据抽取模块同时还可以获取多个终端的日志数据,数据抽取模块可以基于当前未处理的已知网络黑产工具和多个终端的日志数据,建立活跃终端GUID列表,确定活跃终端GUID列表中各活跃终端在当前的第二预设时长内新出现的文件。数据抽取模块可以将各活跃终端在当前的第二预设时长内新出现的文件输入到聚类模块,由聚类模块对新出现的文件和当前获取的已知网络黑产工具进行聚类处理,确定出与当前获取的已知网络黑产工具之间的关联度较高的强关联工具。聚类模块可以将强关联工具输入到白过滤模块,由白过滤模块通过工具白名单对强关联工具进行过滤,得到疑似网络黑产工具。最终可以通过分析确定疑似网络黑产工具是否确实是网络黑产工具。
采用本公开实施例提供的方法,即使网络黑产工具的制作者通过私有途径发布新的网络黑产工具,服务器也能在安装有已知网络黑产工具的终端中检测到新发布的疑似网络黑产工具,安全技术人员通过后续对疑似网络黑产工具的分析,可以确定疑似网络黑产工具是否确实是网络黑产工具。这样,当疑似网络黑产工具确实是网络黑产工具时,安全技术人员能够通过技术分析的手段采取相应的防备措施防止网络黑产用户利用新发布的去攻击网络设备。采用本公开可以大大提高网络的安全性。
基于相同的发明构思,本公开一示例性实施例提供了一种保障网络安全的方法,如图4所示,该方法的处理流程可以包括如下的步骤:
步骤S401,在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的终端。
在实施中,服务器可以接收到不同终端上报的日志数据,可以从不同终端上报的日志数据中获取不同终端分别对应的工具应用情况信息,基于不同终端分别对应的工具应用情况信息,确定不同终端中近期应用过已知网络黑产工具的终端。这样,服务器就可以统计到已知网络黑产工具的应用广度,即当前的第一预设时长内应用过已知网络黑产工具的终端的数目。
在确定出近期应用过已知网络黑产工具的终端之后,每个活跃终端都对应有一个终端标识信息(GUID),服务器可以获取各活跃终端分别对应的GUID,将各活跃终端分别对应的GUID存储到一个活跃终端GUID列表中。
步骤S402,如果确定出的终端的数目大于预设数目阈值,则在确定出的终端中随机选择预设数目阈值个活跃终端。
在实施中,如果活跃终端GUID列表包含的数据项过多,即近期应用过已知网络黑产工具的终端过多,可以在其中随机选择预设数目阈值个活跃终端。假设活跃终端GUID列表包含的所有终端的数目为W,预设数目阈值为M,如果W大于M,则可以在活跃终端GUID列表中随机选择M个活跃终端,这样可以达到减少计算量的目的。如果活跃终端GUID列表包含的所有终端的数目W还不到预设数目阈值为M,则选择活跃终端GUID列表包含的所有活跃终端。
步骤S403,确定当前的第二预设时长内多个活跃终端中新出现的文件。
在实施中,对于任一活跃终端Yi,可以获取活跃终端Yi对应的日志数据,基于活跃终端Yi对应的日志数据,确定近期内活跃终端Yi中新出现的文件。
步骤S404,对于每个新出现的文件,确定当前新出现的文件在所有活跃终端中的出现次数,确定出现次数占所有活跃终端的总数目的比值,作为当前新出现的文件和已知网络黑产工具之间的关联度。
在实施中,服务器可以获取到多个活跃终端近期内新出现的所有文件,可以逐一确定每个新出现的文件和已知网络黑产工具之间的关联度。
对于任一新出现的文件Wi,可以确定所有活跃终端中出现或者下载过文件Wi的终端的数目,作为文件Wi对应的出现次数,确定文件Wi对应的出现次数占所有活跃终端的总数目的比值,作为工具Wi和已知网络黑产工具之间的关联度,可以记为[文件Wi,关联度],最终可以得到关于[文件Wi,关联度]的集合。例如,已知网络黑产工具A为“XXX爆破工具.exe”,有100个活跃终端近期都应用过该已知网络黑产工具A,且100个活跃终端中的80个终端近期都新出现了文件B,则文件B和已知网络黑产工具A之间的关联度为80%。
步骤S405,基于各新出现的文件和已知网络黑产工具之间的关联度,在各新出现的文件中确定关联度大于或等于预设关联度阈值的强关联工具。
在实施中,接上例,预设关联度阈值为60%,新出现的文件B和已知网络黑产工具A之间的关联度为80%,新出现的文件B和已知网络黑产工具A之间的关联度大于预设关联度阈值,因此工具B是强关联工具。
通过上述方式可以在近期应用过已知网络黑产工具的活跃终端中,发现这些终端中的大多数近期又新出现了哪些文件,大多数活跃终端中近期如果都新出现了同一文件,则该新出现的文件与已知网络黑产工具之间的关联度较高(关联度越接近100%),该新出现的文件很有可能是新发布的网络黑产工具。
步骤S406,在强关联工具中确定不在预设的工具白名单内的疑似网络黑产工具,向下载有疑似网络黑产工具的终端分别发送指示信息。
其中,指示信息用于指示接收到指示信息的终端上传本地下载的疑似网络黑产工具。
在实施中,服务器可以预先建立一个工具白名单,在该工具白名单中可以存储有一些常用的工具。当确定出强关联工具之后,可以逐一将强关联工具和工具白名单中的工具进行匹配比对,如果当前的强关联工具和工具白名单中的任一工具相匹配,则当前的强关联工具不属于网络黑产工具,如果当前的强关联工具和工具白名单中的所有工具都不匹配,则当前的强关联工具为疑似网络黑产工具。服务器可以指示下载有疑似网络黑产工具的终端上传其本地下载的疑似网络黑产工具。
采用本公开实施例提供的方法,即使网络黑产工具的制作者通过私有途径发布新的网络黑产工具,服务器也能在安装有已知网络黑产工具的终端中检测到新发布的疑似网络黑产工具,安全技术人员通过后续对疑似网络黑产工具的分析,可以确定疑似网络黑产工具是否确实是网络黑产工具。这样,当疑似网络黑产工具确实是网络黑产工具时,安全技术人员能够通过技术分析的手段采取相应的防备措施防止网络黑产用户利用新发布的去攻击网络设备。采用本公开可以大大提高网络的安全性。
基于相同的发明构思,本公开一示例性实施例提供了一种保障网络安全的方法,如图5所示,该方法的处理流程可以包括如下的步骤:
步骤S501,按照预设周期,从预先建立的已知网络黑产工具样本库中逐个获取当前未处理的已知网络黑产工具。
在实施中,在服务器中可以建立有一个已知网络黑产工具样本库,在该已知网络黑产工具样本库中存储有多个已知网络黑产工具。安全技术人员可以通过不同渠道,在网络黑产工具的制作者更换私有途径发布新的网络黑产工具之前,收集多个已知网络黑产工具,并把收集的多个已知网络黑产工具存储到已知网络黑产工具样本库中。服务器可以从已知网络黑产工具样本库中获取一个已知网络黑产工具,随后基于当前获取的已知网络黑产工具进行后续处理。
步骤S502,判断是否获取成功。
在实施中,如果当前已知网络黑产工具样本库中还存在未处理过的已知网络黑产工具,则能够获取成功一个未处理的已知网络黑产工具。
步骤S503,如果获取成功,每获取一个当前未处理的已知网络黑产工具,基于多个终端的日志数据,在多个终端中确定当前的第一预设时长内,应用当前获取的已知网络黑产工具的多个终端。
在实施中,服务器可以接收到不同终端上报的日志数据,可以从不同终端上报的日志数据中获取不同终端分别对应的工具应用情况信息,基于不同终端分别对应的工具应用情况信息,确定不同终端中近期应用过已知网络黑产工具的终端。这样,服务器就可以统计到已知网络黑产工具的应用广度,即当前的第一预设时长内应用过已知网络黑产工具的终端的数目。
步骤S504,基于确定出的多个终端的数目,判断当前获取的已知网络黑产工具是否活跃。
其中,应用广度的最小值根据经验可以设置为10,这样保证已知网络黑产工具存在一定广度的应用,对后续计算新出现的文件和已知网络黑产工具之间的关联度有一定的辅助作用。
步骤S505,如果当前获取的已知网络黑产工具活跃且确定出的多个终端的数目大于预设数目阈值M,则在确定出的多个终端中选取M个活跃终端,在M个活跃终端中分别确定当前的第二预设时长内新出现的文件。
在实施中,如果近期应用过已知网络黑产工具的终端过多,可以在其中随机选择预M个活跃终端,这样可以达到减少计算量的目的。
步骤S506,判断是否能够在M个活跃终端中分别找到当前的第二预设时长内新出现的文件。
步骤S507,如果能够在M个活跃终端中分别找到当前的第二预设时长内新出现的文件,则对新出现的文件和当前获取的已知网络黑产工具进行聚类处理,确定出与当前获取的已知网络黑产工具之间的关联度较高的强关联工具。
在实施中,通过上述方式可以在近期应用过已知网络黑产工具的活跃终端中,发现这些终端中的大多数近期又新出现了哪些文件,大多数活跃终端中近期如果都新出现了同一文件,则该新出现的文件与已知网络黑产工具之间的关联度较高(关联度越接近100%),该新出现的文件很有可能是新发布的网络黑产工具。
步骤S508,判断是否能够找到与当前获取的已知网络黑产工具之间的关联度较高的强关联工具。
步骤S509,如果能够找到与当前获取的已知网络黑产工具之间的关联度较高的强关联工具,则通过工具白名单对强关联工具进行过滤,得到疑似网络黑产工具。
在实施中,服务器可以预先建立一个工具白名单,在该工具白名单中可以存储有一些常用的工具。当确定出强关联工具之后,可以逐一将强关联工具和工具白名单中的工具进行匹配比对,如果当前的强关联工具和工具白名单中的任一工具相匹配,则当前的强关联工具不属于网络黑产工具,如果当前的强关联工具和工具白名单中的所有工具都不匹配,则当前的强关联工具为疑似网络黑产工具。服务器可以指示下载有疑似网络黑产工具的终端上传其本地下载的疑似网络黑产工具。
步骤S510,判断已知网络黑产工具样本库中是否还存在未处理的已知网络黑产工具。
如果存在,则跳转至步骤S503,如果不存在,则结束流程。
采用本公开实施例提供的方法,即使网络黑产工具的制作者通过私有途径发布新的网络黑产工具,服务器也能在安装有已知网络黑产工具的终端中检测到新发布的疑似网络黑产工具,安全技术人员通过后续对疑似网络黑产工具的分析,可以确定疑似网络黑产工具是否确实是网络黑产工具。这样,当疑似网络黑产工具确实是网络黑产工具时,安全技术人员能够通过技术分析的手段采取相应的防备措施防止网络黑产用户利用新发布的去攻击网络设备。采用本公开可以大大提高网络的安全性。
本公开又一示例性实施例提供了一种保障网络安全的装置,如图6所示,该装置包括:
确定模块601,用于在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的多个活跃终端;
所述确定模块601,用于确定当前的第二预设时长内所述多个活跃终端中新出现的文件;
所述确定模块601,用于对于每个新出现的文件,确定所述新出现的文件和所述已知网络黑产工具之间的关联度;
所述确定模块601,用于基于各新出现的文件和所述已知网络黑产工具之间的关联度,在所述各新出现的文件中确定强关联工具;
所述确定模块601,用于在所述强关联工具中确定不在预设的工具白名单内的疑似网络黑产工具。
可选地,所述确定模块601,用于:
在多个终端中确定当前的第一预设时长内,应用所述已知网络黑产工具的应用次数大于预设次数阈值的多个活跃终端。
可选地,确定模块601,用于:
在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的终端;
如果确定出的终端的数目大于预设数目阈值,则在所述确定出的终端中随机选择所述预设数目阈值个活跃终端。
可选地,所述确定模块601,用于:
确定所述新出现的文件在所有活跃终端中的出现次数;
确定所述出现次数占所述所有活跃终端的总数目的比值,作为所述新出现的文件和所述已知网络黑产工具之间的关联度。
可选地,所述确定模块601,用于:
基于各新出现的文件和所述已知网络黑产工具之间的关联度,在所述各新出现的文件中确定关联度大于或等于预设关联度阈值的强关联工具。
可选地,所述装置还包括:
发送模块,用于向下载有所述疑似网络黑产工具的终端分别发送指示信息,其中,所述指示信息用于指示接收到指示信息的终端上传本地下载的疑似网络黑产工具。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
采用本公开实施例提供的装置,即使网络黑产工具的制作者通过私有途径发布新的网络黑产工具,服务器也能在安装有已知网络黑产工具的终端中检测到新发布的疑似网络黑产工具,安全技术人员通过后续对疑似网络黑产工具的分析,可以确定疑似网络黑产工具是否确实是网络黑产工具。这样,当疑似网络黑产工具确实是网络黑产工具时,安全技术人员能够通过技术分析的手段采取相应的防备措施防止网络黑产用户利用新发布的去攻击网络设备。采用本公开可以大大提高网络的安全性。
需要说明的是:上述实施例提供的保障网络安全的装置在保障网络安全时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将服务器的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的保障网络安全的装置与保障网络安全的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图7示出了本公开一个示例性实施例提供的服务器1900的结构示意图。该服务器1900可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(centralprocessing units,CPU)1910和一个或一个以上的存储器1920。其中,所述存储器1920中存储有至少一条指令,所述至少一条指令由所述处理器1910加载并执行以实现上述实施例所述的保障网络安全的方法。
本领域技术人员在考虑说明书及实践这里公开的公开后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

Claims (10)

1.一种保障网络安全的方法,其特征在于,所述方法包括:
在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的多个活跃终端,其中,所述活跃终端是网络黑产用户使用的终端;
确定当前的第二预设时长内所述多个活跃终端中新出现的文件;
对于每个新出现的文件,确定所述新出现的文件和所述已知网络黑产工具之间的关联度;
基于各新出现的文件和所述已知网络黑产工具之间的关联度,在所述各新出现的文件中确定强关联工具;
在所述强关联工具中确定不在预设的工具白名单内的疑似网络黑产工具。
2.根据权利要求1所述的方法,其特征在于,所述在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的多个活跃终端,包括:
在多个终端中确定当前的第一预设时长内,应用所述已知网络黑产工具的应用次数大于预设次数阈值的多个活跃终端。
3.根据权利要求1所述的方法,其特征在于,所述在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的多个活跃终端,包括:
在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的终端;
如果确定出的终端的数目大于预设数目阈值,则在所述确定出的终端中随机选择所述预设数目阈值个活跃终端。
4.根据权利要求1所述的方法,其特征在于,所述确定所述新出现的文件和所述已知网络黑产工具之间的关联度,包括:
确定所述新出现的文件在所有活跃终端中的出现次数;
确定所述出现次数占所述所有活跃终端的总数目的比值,作为所述新出现的文件和所述已知网络黑产工具之间的关联度。
5.根据权利要求1所述的方法,其特征在于,所述基于各新出现的文件和所述已知网络黑产工具之间的关联度,在所述各新出现的文件中确定强关联工具,包括:
基于各新出现的文件和所述已知网络黑产工具之间的关联度,在所述各新出现的文件中确定关联度大于或等于预设关联度阈值的强关联工具。
6.根据权利要求1-5中任一项所述的方法,其特征在于,在所述强关联工具中确定不在预设的工具白名单内的疑似网络黑产工具之后,所述方法还包括:
向下载有所述疑似网络黑产工具的终端分别发送指示信息,其中,所述指示信息用于指示接收到指示信息的终端上传本地下载的疑似网络黑产工具。
7.一种保障网络安全的装置,其特征在于,所述装置包括:
确定模块,用于在多个终端中确定当前的第一预设时长内,应用已知网络黑产工具的多个活跃终端,其中,所述活跃终端是网络黑产用户使用的终端;
所述确定模块,用于确定当前的第二预设时长内所述多个活跃终端中新出现的文件;
所述确定模块,用于对于每个新出现的文件,确定所述新出现的文件和所述已知网络黑产工具之间的关联度;
所述确定模块,用于基于各新出现的文件和所述已知网络黑产工具之间的关联度,在所述各新出现的文件中确定强关联工具;
所述确定模块,用于在所述强关联工具中确定不在预设的工具白名单内的疑似网络黑产工具。
8.根据权利要求7所述的装置,其特征在于,所述确定模块,用于:
在多个终端中确定当前的第一预设时长内,应用所述已知网络黑产工具的应用次数大于预设次数阈值的多个活跃终端。
9.一种服务器,其特征在于,所述服务器包括处理器、通信接口、存储器和通信总线,其中:
所述处理器、所述通信接口和所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存放的程序,以实现权利要求1-6任一所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法步骤。
CN201911039225.7A 2019-10-29 2019-10-29 保障网络安全的方法、装置、服务器和存储介质 Active CN110730193B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911039225.7A CN110730193B (zh) 2019-10-29 2019-10-29 保障网络安全的方法、装置、服务器和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911039225.7A CN110730193B (zh) 2019-10-29 2019-10-29 保障网络安全的方法、装置、服务器和存储介质

Publications (2)

Publication Number Publication Date
CN110730193A CN110730193A (zh) 2020-01-24
CN110730193B true CN110730193B (zh) 2021-12-31

Family

ID=69222503

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911039225.7A Active CN110730193B (zh) 2019-10-29 2019-10-29 保障网络安全的方法、装置、服务器和存储介质

Country Status (1)

Country Link
CN (1) CN110730193B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112968875B (zh) * 2021-01-29 2022-11-01 上海安恒时代信息技术有限公司 网络关系构建方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全系统及实现方法
CN106452955A (zh) * 2016-09-29 2017-02-22 北京赛博兴安科技有限公司 一种异常网络连接的检测方法及系统
CN106685803A (zh) * 2016-12-29 2017-05-17 北京安天网络安全技术有限公司 一种基于钓鱼邮件溯源apt攻击事件的方法及系统
CN108363921A (zh) * 2017-07-05 2018-08-03 北京安天网络安全技术有限公司 一种基于进程行为特征发现窃密木马的方法及系统
CN108875364A (zh) * 2017-12-29 2018-11-23 北京安天网络安全技术有限公司 未知文件的威胁性判定方法、装置、电子设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全系统及实现方法
CN106452955A (zh) * 2016-09-29 2017-02-22 北京赛博兴安科技有限公司 一种异常网络连接的检测方法及系统
CN106685803A (zh) * 2016-12-29 2017-05-17 北京安天网络安全技术有限公司 一种基于钓鱼邮件溯源apt攻击事件的方法及系统
CN108363921A (zh) * 2017-07-05 2018-08-03 北京安天网络安全技术有限公司 一种基于进程行为特征发现窃密木马的方法及系统
CN108875364A (zh) * 2017-12-29 2018-11-23 北京安天网络安全技术有限公司 未知文件的威胁性判定方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN110730193A (zh) 2020-01-24

Similar Documents

Publication Publication Date Title
CN108768943B (zh) 一种检测异常账号的方法、装置及服务器
CN109743315B (zh) 针对网站的行为识别方法、装置、设备及可读存储介质
CN108183916B (zh) 一种基于日志分析的网络攻击检测方法及装置
CN110099059B (zh) 一种域名识别方法、装置及存储介质
CN101582887B (zh) 安全防护方法、网关设备及安全防护系统
CN107241296B (zh) 一种Webshell的检测方法及装置
CN103595732B (zh) 一种网络攻击取证的方法及装置
US20120311562A1 (en) Extendable event processing
CN114363036B (zh) 一种网络攻击路径获取方法、装置及电子设备
CN103379099A (zh) 恶意攻击识别方法及系统
US9992216B2 (en) Identifying malicious executables by analyzing proxy logs
CN110959158A (zh) 信息处理装置、信息处理方法和信息处理程序
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
CN110351237B (zh) 用于数控机床的蜜罐方法及装置
CN109428857B (zh) 一种恶意探测行为的检测方法和装置
CN113810408B (zh) 网络攻击组织的探测方法、装置、设备及可读存储介质
CN114465741B (zh) 一种异常检测方法、装置、计算机设备及存储介质
CN111092900A (zh) 服务器异常连接和扫描行为的监控方法和装置
CN106453320A (zh) 恶意样本的识别方法及装置
CN110730193B (zh) 保障网络安全的方法、装置、服务器和存储介质
CN110048905B (zh) 物联网设备通信模式识别方法及装置
JP2015132942A (ja) 接続先情報判定装置、接続先情報判定方法、及びプログラム
CN110868382A (zh) 一种基于决策树的网络威胁评估方法、装置及存储介质
CN106411951A (zh) 网络攻击行为检测方法及装置
WO2017036042A1 (zh) 信息采集方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40020823

Country of ref document: HK

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant