CN111143387A - 黑白样本库动态维护方法、设备、存储介质及装置 - Google Patents
黑白样本库动态维护方法、设备、存储介质及装置 Download PDFInfo
- Publication number
- CN111143387A CN111143387A CN201911373504.7A CN201911373504A CN111143387A CN 111143387 A CN111143387 A CN 111143387A CN 201911373504 A CN201911373504 A CN 201911373504A CN 111143387 A CN111143387 A CN 111143387A
- Authority
- CN
- China
- Prior art keywords
- sample library
- black
- white sample
- white
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012423 maintenance Methods 0.000 title claims abstract description 70
- 238000000034 method Methods 0.000 title claims abstract description 61
- 230000007246 mechanism Effects 0.000 claims abstract description 69
- 230000003213 activating effect Effects 0.000 claims abstract description 17
- 230000003044 adaptive effect Effects 0.000 claims description 41
- 238000001914 filtration Methods 0.000 claims description 21
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000001514 detection method Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 238000002474 experimental method Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种黑白样本库动态维护方法、设备、存储介质及装置,该方法包括:获取初始黑白样本库的当前状态参数,并根据所述当前状态参数判断是否需要激活样本库自适应机制,若需要,则激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新,获得目标黑白样本库;本发明通过获取初始黑白样本库的当前状态参数,判断是否需要激活预先设置的样本库自适应机制对黑白样本库中的数据进行更新,从而能够定期更新黑白样本库,保证黑白样本库适应于最新的数据分布,提升用户体验。
Description
技术领域
本发明涉及网络传输协议技术领域,尤其涉及一种黑白样本库动态维护方法、设备、存储介质及装置。
背景技术
目前,根据http报文进行异常检测的方法和系统,通常是基于简单的逻辑判断:恶意字符匹配、频率、web邮件上传行为、文件传输协议(File Transfer Protocal,FTP)数据外传行为、ip过滤。是常用的检测方案的汇总,安全性较低,对于攻击者,通过降低频率,更换ip池这些简单的操作可以很容易的绕过检测,而且现有异常检测的方法和系统没有更新机制,无法自动化适应不断变化的数据情况。因此,1、如何通过检测请求报文头的相关信息构建黑白样本库;2、如何对黑白样本库进行更新是亟待解决的技术问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种黑白样本库动态维护方法、设备、存储介质及装置,旨在解决现有技术中1、如何通过检测请求报文头的相关信息构建黑白样本库;2、如何对黑白样本库进行更新的技术问题。
为实现上述目的,本发明提供一种黑白样本库动态维护方法,所述黑白样本库动态维护方法包括以下步骤:
获取初始黑白样本库的当前状态参数,并根据所述当前状态参数判断是否需要激活样本库自适应机制;
若需要,则激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新,获得目标黑白样本库。
优选地,所述若需要,则激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新,获得目标黑白样本库,包括:
若需要,则激活所述样本库自适应机制,并获取所述样本库自适应机制对应的预设样本库更新模型;
根据所述预设样本库更新模型对所述初始黑白样本库进行更新,获得目标黑白样本库。
优选地,所述若需要,则激活所述样本库自适应机制,并获取所述样本库自适应机制对应的预设样本库更新模型之前,所述黑白样本库动态维护方法还包括:
获取预设样本阈值;
对所述预设样本阈值进行遍历,将遍历到的预设样本阈值作为当前预设样本阈值;
根据所述当前预设样本阈值确定当前黑白样本库,并判断所述当前黑白样本库是否满足预设条件;
若是,则建立所述当前预设样本阈值与所述当前黑白样本库之间的对应关系,并根据所述对应关系建立所述预设样本库更新模型。
优选地,所述获取初始黑白样本库的当前状态参数,并根据所述当前状态参数判断是否需要激活样本库自适应机制之前,所述黑白样本库动态维护方法还包括:
获取请求报文头Header信息、用户代理UA信息以及过滤数据;
根据所述过滤数据对所述请求报文头Header信息以及所述用户代理UA信息进行过滤,获得目标请求报文头Header信息以及目标用户代理UA信息;
提取目标服务器中同时包含有所述目标请求报文头Header信息以及所述目标用户代理UA信息的访问信息量;
判断所述访问信息量是否大于预设阈值,获得判断结果,并根据所述判断结果确定初始黑白样本库。
优选地,所述判断所述访问信息量是否大于预设阈值,获得判断结果,并根据所述判断结果确定初始黑白样本库,包括:
判断所述访问信息量是否大于预设阈值,获得判断结果;
若所述判断结果为所述访问信息量大于所述预设阈值,则获取目标请求报文头Header信息对应的互联网协议地址,并将所述互联网协议地址作为白样本库;
若所述判断结果为所述访问信息量不大于所述预设阈值,则判断所述访问信息量是否为异常;
若是,则将所述互联网协议地址作为黑样本库,并根据所述白样本库以及黑样本库确定初始黑白样本库。
优选地,所述若需要,则激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新,获得目标黑白样本库之后,所述黑白样本库动态维护方法还包括:
获取目标服务器中的互联网协议地址,并根据所述目标黑白样本库判断所述互联网协议地址是否为非法地址;
若是,则统计所述非法地址的数量,并将所述非法地址以及所述数量发送至预设客户端。
优选地,所述若是,则统计所述非法地址的数量,并将所述非法地址以及所述数量发送至预设客户端之后,所述黑白样本库动态维护方法还包括:
获取初始黑白样本库以及目标黑白样本库;
将所述初始黑白样本库以及目标黑白样本库进行组合,获得历史黑白样本库;
将所述历史黑白样本库发送至所述预设客户端。
此外,为实现上述目的,本发明还提出一种黑白样本库动态维护设备,所述黑白样本库动态维护设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的黑白样本库动态维护程序,所述黑白样本库动态维护程序配置为实现如上文所述的黑白样本库动态维护方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有黑白样本库动态维护程序,所述黑白样本库动态维护程序被处理器执行时实现如上文所述的黑白样本库动态维护方法的步骤。
此外,为实现上述目的,本发明还提出一种黑白样本库动态维护装置,所述黑白样本库动态维护装置包括:判断模块和更新模块;
所述判断模块,用于获取初始黑白样本库的当前状态参数,并根据所述当前状态参数判断是否需要激活样本库自适应机制;
所述更新模块,用于若需要,则激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新,获得目标黑白样本库。
本发明中,获取初始黑白样本库的当前状态参数,并根据所述当前状态参数判断是否需要激活样本库自适应机制,若需要,则激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新,获得目标黑白样本库;本发明通过获取初始黑白样本库的当前状态参数,判断是否需要激活预先设置的样本库自适应机制对黑白样本库中的数据进行更新,从而能够定期更新黑白样本库,保证黑白样本库适应于最新的数据分布,提升用户体验。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的黑白样本库动态维护设备的结构示意图;
图2为本发明黑白样本库动态维护方法第一实施例的流程示意图;
图3为本发明黑白样本库动态维护方法第二实施例的流程示意图;
图4为本发明黑白样本库动态维护方法第三实施例的流程示意图;
图5为本发明黑白样本库动态维护装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的黑白样本库动态维护设备结构示意图。
如图1所示,该黑白样本库动态维护设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display),可选用户接口1003还可以包括标准的有线接口、无线接口,对于用户接口1003的有线接口在本发明中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的存储器(Non-volatileMemory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对黑白样本库动态维护设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,认定为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及黑白样本库动态维护程序。
在图1所示的黑白样本库动态维护设备中,网络接口1004主要用于连接后台服务器,与所述后台服务器进行数据通信;用户接口1003主要用于连接用户设备;所述黑白样本库动态维护设备通过处理器1001调用存储器1005中存储的黑白样本库动态维护程序,并执行本发明实施例提供的黑白样本库动态维护方法。
基于上述硬件结构,提出本发明黑白样本库动态维护方法的实施例。
参照图2,图2为本发明黑白样本库动态维护方法第一实施例的流程示意图,提出本发明黑白样本库动态维护方法第一实施例。
在第一实施例中,所述黑白样本库动态维护方法包括以下步骤:
步骤S10:获取初始黑白样本库的当前状态参数,并根据所述当前状态参数判断是否需要激活样本库自适应机制。
应理解的是,本实施例的执行主体是所述黑白样本库动态维护设备,其中,所述黑白样本库动态维护设备可为个人电脑或服务器等具有存储功能的电子设备。
需要说明的是,当前状态参数可以是初始黑白样本库的运行周期以及样本库版本等可以表示黑白样本库运行状态的参数,当前黑白样本库的运行周期可以通过在建立黑白样本库的同时设置计时器计时获得,样本库版本可以通过读取样本库信息直接获得。
应理解的是,黑白样本库动态维护设备根据所述当前状态参数判断是否需要激活样本库自适应机制可以是判断初始黑白样本库的运行周期是否大于预设阈值,所述预设阈值可以由黑白样本库的维护商根据实验获得的数据设置,也可以由用户根据实际使用情况自行设置,本实施不加以限制。
步骤S20:若需要,则激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新,获得目标黑白样本库。
可理解的是,黑白样本库动态维护设备激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新可以是先对可信/不可信id进行维护,目的在于过滤生成黑白样本库的输入数据;然后再对初始黑白样本库中的黑白名单进行分析,判断所述黑白名单是否是日常分析过程中可以确定的黑白样本,根据判断结果对初始黑白样本库进行更新;再对生成黑白样本库的预设阈值进行更新,更新方式可以是获取预设样本阈值,对所述预设样本阈值进行遍历,将遍历到的预设样本阈值作为当前预设样本阈值,根据所述当前预设样本阈值确定当前黑白样本库,并判断所述当前黑白样本库是否满足预设条件,若是,则建立所述当前预设样本阈值与所述当前黑白样本库之间的对应关系,并根据所述对应关系建立所述预设样本库更新模型,所述预设条件可以是用户根据实际需求设置的判断条件。
在第一实施例中,获取初始黑白样本库的当前状态参数,并根据所述当前状态参数判断是否需要激活样本库自适应机制,若需要,则激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新,获得目标黑白样本库;本实施例通过获取初始黑白样本库的当前状态参数,判断是否需要激活预先设置的样本库自适应机制对黑白样本库中的数据进行更新,从而能够定期更新黑白样本库,保证黑白样本库适应于最新的数据分布,提升用户体验。
参照图3,图3为本发明黑白样本库动态维护方法第二实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明黑白样本库动态维护方法的第二实施例。
在第二实施例中,所述步骤S20,包括:
步骤S201:若需要,则激活所述样本库自适应机制,并获取所述样本库自适应机制对应的预设样本库更新模型。
需要说明的是,预设样本库更新模型可以是对用于生成黑白样本库的预设阈值进行更新的更新模型,更新方式可以是对预设阈值进行逐一试验直至获取满足用户需求的阈值。
步骤S202:根据所述预设样本库更新模型对所述初始黑白样本库进行更新,获得目标黑白样本库。
应理解的是,黑白样本库动态维护设备根据所述预设样本库更新模型对所述初始黑白样本库进行更新,获得目标黑白样本库可以是获取预设样本阈值,对所述预设样本阈值进行遍历,将遍历到的预设样本阈值作为当前预设样本阈值,根据所述当前预设样本阈值确定当前黑白样本库,并判断所述当前黑白样本库是否满足预设条件,若是,则建立所述当前预设样本阈值与所述当前黑白样本库之间的对应关系,并根据所述对应关系建立所述预设样本库更新模型,所述预设条件可以是用户根据实际需求设置的判断条件。
进一步地,所述步骤S202之前,还包括:
步骤S2021:获取预设样本阈值。
需要说明的是,预设样本阈值可以是根据试验获得的若干用来区分网站流量大小的数值。
步骤S2022:对所述预设样本阈值进行遍历,将遍历到的预设样本阈值作为当前预设样本阈值。
应理解的是,预设样本阈值通常存在多个,需要逐一进行测试才能获得满足条件的预设样本阈值,所以需要进行遍历,并将遍历到的预设样本阈值作为当前预设样本阈值。
步骤S2023:根据所述当前预设样本阈值确定当前黑白样本库,并判断所述当前黑白样本库是否满足预设条件。
可理解的是,黑白样本库动态维护设备根据所述当前预设样本阈值确定当前黑白样本库可以是获取请求报文头Header信息、用户代理UA信息以及过滤数据,根据所述过滤数据对所述请求报文头Header信息以及所述用户代理UA信息进行过滤,获得目标请求报文头Header信息以及目标用户代理UA信息,提取目标服务器中同时包含有所述目标请求报文头Header信息以及所述目标用户代理UA信息的访问信息量,判断所述访问信息量是否大于预设阈值,获得判断结果,并根据所述判断结果确定初始黑白样本库。
需要说明的是,预设条件可以是用户根据实际情况设置的关于黑白样本库的限制条件,例如,黑白样本数量等条件。
步骤S2024:若是,则建立所述当前预设样本阈值与所述当前黑白样本库之间的对应关系,并根据所述对应关系建立所述预设样本库更新模型。
应理解的是,黑白样本库动态维护设备在确定符合条件的预设样本阈值后需要建立当前预设样本阈值与所述当前黑白样本库之间的对应关系,并根据所述对应关系建立所述预设样本库更新模型。
在第二实施例中,获取初始黑白样本库的当前状态参数,并根据所述当前状态参数判断是否需要激活样本库自适应机制,若需要,则激活所述样本库自适应机制,并获取所述样本库自适应机制对应的预设样本库更新模型,获取预设样本阈值,对所述预设样本阈值进行遍历,将遍历到的预设样本阈值作为当前预设样本阈值,根据所述当前预设样本阈值确定当前黑白样本库,并判断所述当前黑白样本库是否满足预设条件,若是,则建立所述当前预设样本阈值与所述当前黑白样本库之间的对应关系,并根据所述对应关系建立所述预设样本库更新模型,根据所述预设样本库更新模型对所述初始黑白样本库进行更新,获得目标黑白样本库;本实施例通过对预设样本阈值进行多次测试,获得符合用户需求的黑白样本库,从而能够快速准确的根据用户需求更新黑白样本库,提高用户体验。
参照图4,图4为本发明黑白样本库动态维护方法第三实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明黑白样本库动态维护方法的第三实施例。
在第三实施例中,所述步骤S10之前,还包括:
步骤S01:获取请求报文头Header信息、用户代理UA信息以及过滤数据。
需要说明的是,过滤数据可以是可信/不可信网站id,所述可信/不可信网站id可以由用户输入,也可以由黑白样本数据库动态维护设备从网络上获取,本实施例不加以限制。
步骤S02:根据所述过滤数据对所述请求报文头Header信息以及所述用户代理UA信息进行过滤,获得目标请求报文头Header信息以及目标用户代理UA信息。
应理解的是,黑白样本库动态维护设备根据所述过滤数据对所述请求报文头Header信息以及所述用户代理UA信息进行过滤,获得目标请求报文头Header信息以及目标用户代理UA信息可以是将包含有可信/不可信网站id的所述请求报文头Header信息以及所述用户代理UA信息进行过滤,获得目标请求报文头Header信息以及目标用户代理UA信息。
步骤S03:提取目标服务器中同时包含有所述目标请求报文头Header信息以及所述目标用户代理UA信息的访问信息量。
需要说明的是,访问信息量可以是同时包含有所述目标请求报文头Header信息以及所述目标用户代理UA信息的网站数量以及整体数据量等。
步骤S04:判断所述访问信息量是否大于预设阈值,获得判断结果,并根据所述判断结果确定初始黑白样本库。
需要说明的是,预设阈值可以是用户根据实际需求自行设置,也可以是由预设样本库更新模型更新获得。
进一步地,步骤S04包括:
判断所述访问信息量是否大于预设阈值,获得判断结果;
若所述判断结果为所述访问信息量大于所述预设阈值,则获取目标请求报文头Header信息对应的互联网协议地址,并将所述互联网协议地址作为白样本库;
若所述判断结果为所述访问信息量不大于所述预设阈值,则判断所述访问信息量是否为异常;
若是,则将所述互联网协议地址作为黑样本库,并根据所述白样本库以及黑样本库确定初始黑白样本库。
在第三实施例中,步骤S20之后,还包括:
步骤S30:获取目标服务器中的互联网协议地址,并根据所述目标黑白样本库判断所述互联网协议地址是否为非法地址。
应理解的是,黑白样本库动态维护设备根据所述目标黑白样本库判断所述互联网协议地址是否为非法地址可以是判断所述互联网协议地址是否位于黑样本,若是,则将所述互联网协议地址作为非法地址。
步骤S40:若是,则统计所述非法地址的数量,并将所述非法地址以及所述数量发送至预设客户端。
需要说明的是,预设客户端可以是用户端,也可以是负责维护所述黑白样本库的管理端。
进一步地,步骤S40之后,还包括:
获取初始黑白样本库以及目标黑白样本库;
将所述初始黑白样本库以及目标黑白样本库进行组合,获得历史黑白样本库;
将所述历史黑白样本库发送至所述预设客户端。
需要说明的是,初始黑白样本库可以是更新前的黑白样本库,目标黑白样本库可以是更新后的黑白样本库;
可理解的是,黑白样本库动态维护设备将所述初始黑白样本库以及目标黑白样本库进行组合可以是将初始黑白样本库以及目标黑白样本库进行对比,获得历史黑白样本库;
应理解的是,黑白样本库动态维护设备将所述历史黑白样本库发送至所述预设客户端可以是以图表的形式输出历史黑白样本库的波动,所述历史黑白样本库的波动可以是黑白样本库的条目数、覆盖率以及异常检出率等数据。
在第三实施例中,获取请求报文头Header信息、用户代理UA信息以及过滤数据,根据所述过滤数据对所述请求报文头Header信息以及所述用户代理UA信息进行过滤,获得目标请求报文头Header信息以及目标用户代理UA信息,提取目标服务器中同时包含有所述目标请求报文头Header信息以及所述目标用户代理UA信息的访问信息量,判断所述访问信息量是否大于预设阈值,获得判断结果,并根据所述判断结果确定初始黑白样本库,获取初始黑白样本库的当前状态参数,并根据所述当前状态参数判断是否需要激活样本库自适应机制,若需要,则激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新,获得目标黑白样本库,获取目标服务器中的互联网协议地址,并根据所述目标黑白样本库判断所述互联网协议地址是否为非法地址,若是,则统计所述非法地址的数量,并将所述非法地址以及所述数量发送至预设客户端;本实施例通过请求报文头Header信息以及用户代理UA信息确定黑白样本库,并根据黑白样本库检测互联网协议地址是否为非法地址,并将检测结果发送至客户端,从而能够对非法地址作出及时警告。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有黑白样本库动态维护程序,所述黑白样本库动态维护程序被处理器执行时实现如上文所述的黑白样本库动态维护方法的步骤。
此外,参照图5,本发明实施例还提出一种黑白样本库动态维护装置,所述黑白样本库动态维护装置包括:判断模块10和更新模块20;
所述判断模块10,用于获取初始黑白样本库的当前状态参数,并根据所述当前状态参数判断是否需要激活样本库自适应机制。
应理解的是,本实施例的执行主体是所述黑白样本库动态维护设备,其中,所述黑白样本库动态维护设备可为个人电脑或服务器等具有存储功能的电子设备。
需要说明的是,当前状态参数可以是初始黑白样本库的运行周期以及样本库版本等可以表示黑白样本库运行状态的参数,当前黑白样本库的运行周期可以通过在建立黑白样本库的同时设置计时器计时获得,样本库版本可以通过读取样本库信息直接获得。
应理解的是,黑白样本库动态维护设备根据所述当前状态参数判断是否需要激活样本库自适应机制可以是判断初始黑白样本库的运行周期是否大于预设阈值,所述预设阈值可以由黑白样本库的维护商根据实验获得的数据设置,也可以由用户根据实际使用情况自行设置,本实施不加以限制。
所述更新模块20,用于若需要,则激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新,获得目标黑白样本库。
可理解的是,黑白样本库动态维护设备激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新可以是先对可信/不可信id进行维护,目的在于过滤生成黑白样本库的输入数据;然后再对初始黑白样本库中的黑白名单进行分析,判断所述黑白名单是否是日常分析过程中可以确定的黑白样本,根据判断结果对初始黑白样本库进行更新;再对生成黑白样本库的预设阈值进行更新,更新方式可以是获取预设样本阈值,对所述预设样本阈值进行遍历,将遍历到的预设样本阈值作为当前预设样本阈值,根据所述当前预设样本阈值确定当前黑白样本库,并判断所述当前黑白样本库是否满足预设条件,若是,则建立所述当前预设样本阈值与所述当前黑白样本库之间的对应关系,并根据所述对应关系建立所述预设样本库更新模型,所述预设条件可以是用户根据实际需求设置的判断条件。
在本实施例中,获取初始黑白样本库的当前状态参数,并根据所述当前状态参数判断是否需要激活样本库自适应机制,若需要,则激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新,获得目标黑白样本库;本实施例通过获取初始黑白样本库的当前状态参数,判断是否需要激活预先设置的样本库自适应机制对黑白样本库中的数据进行更新,从而能够定期更新黑白样本库,保证黑白样本库适应于最新的数据分布,提升用户体验。
在一实施例中,所述更新模块,还用于若需要,则激活所述样本库自适应机制,并获取所述样本库自适应机制对应的预设样本库更新模型,根据所述预设样本库更新模型对所述初始黑白样本库进行更新,获得目标黑白样本库;
在一实施例中,所述黑白样本库动态维护装置还包括:预设样本库更新模型建立模块;
所述预设样本库更新模型建立模块,用于获取预设样本阈值,对所述预设样本阈值进行遍历,将遍历到的预设样本阈值作为当前预设样本阈值,根据所述当前预设样本阈值确定当前黑白样本库,并判断所述当前黑白样本库是否满足预设条件,若是,则建立所述当前预设样本阈值与所述当前黑白样本库之间的对应关系,并根据所述对应关系建立所述预设样本库更新模型;
在一实施例中,所述黑白样本库动态维护装置还包括:初始黑白样本库建立模块;
所述初始黑白样本库建立模块,用于获取请求报文头Header信息、用户代理UA信息以及过滤数据,根据所述过滤数据对所述请求报文头Header信息以及所述用户代理UA信息进行过滤,获得目标请求报文头Header信息以及目标用户代理UA信息,提取目标服务器中同时包含有所述目标请求报文头Header信息以及所述目标用户代理UA信息的访问信息量,判断所述访问信息量是否大于预设阈值,获得判断结果,并根据所述判断结果确定初始黑白样本库;
在一实施例中,所述初始黑白样本库建立模块,还用于判断所述访问信息量是否大于预设阈值,获得判断结果,若所述判断结果为所述访问信息量大于所述预设阈值,则获取目标请求报文头Header信息对应的互联网协议地址,并将所述互联网协议地址作为白样本库,若所述判断结果为所述访问信息量不大于所述预设阈值,则判断所述访问信息量是否为异常,若是,则将所述互联网协议地址作为黑样本库,并根据所述白样本库以及黑样本库确定初始黑白样本库;
在一实施例中,所述黑白样本库动态维护装置还包括:非法地址统计模块;
所述非法地址统计模块,用于获取目标服务器中的互联网协议地址,并根据所述目标黑白样本库判断所述互联网协议地址是否为非法地址,若是,则统计所述非法地址的数量,并将所述非法地址以及所述数量发送至预设客户端;
在一实施例中,所述黑白样本库动态维护装置还包括:历史黑白样本库发送模块,所述历史黑白样本库发送模块,用于获取初始黑白样本库以及目标黑白样本库,将所述初始黑白样本库以及目标黑白样本库进行组合,获得历史黑白样本库,将所述历史黑白样本库发送至所述预设客户端。
本发明所述黑白样本库动态维护装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序,可将这些词语解释为名称。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器镜像(Read Only Memory image,ROM)/随机存取存储器(Random AccessMemory,RAM)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种黑白样本库动态维护方法,其特征在于,所述黑白样本库动态维护方法包括以下步骤:
获取初始黑白样本库的当前状态参数,并根据所述当前状态参数判断是否需要激活样本库自适应机制;
若需要,则激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新,获得目标黑白样本库。
2.如权利要求1所述的黑白样本库动态维护方法,其特征在于,所述若需要,则激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新,获得目标黑白样本库的步骤,具体包括:
若需要,则激活所述样本库自适应机制,并获取所述样本库自适应机制对应的预设样本库更新模型;
根据所述预设样本库更新模型对所述初始黑白样本库进行更新,获得目标黑白样本库。
3.如权利要求2所述的黑白样本库动态维护方法,其特征在于,所述若需要,则激活所述样本库自适应机制,并获取所述样本库自适应机制对应的预设样本库更新模型的步骤之前,所述黑白样本库动态维护方法还包括:
获取预设样本阈值;
对所述预设样本阈值进行遍历,将遍历到的预设样本阈值作为当前预设样本阈值;
根据所述当前预设样本阈值确定当前黑白样本库,并判断所述当前黑白样本库是否满足预设条件;
若是,则建立所述当前预设样本阈值与所述当前黑白样本库之间的对应关系,并根据所述对应关系建立所述预设样本库更新模型。
4.如权利要求1所述的黑白样本库动态维护方法,其特征在于,所述获取初始黑白样本库的当前状态参数,并根据所述当前状态参数判断是否需要激活样本库自适应机制的步骤之前,所述黑白样本库动态维护方法还包括:
获取请求报文头Header信息、用户代理UA信息以及过滤数据;
根据所述过滤数据对所述请求报文头Header信息以及所述用户代理UA信息进行过滤,获得目标请求报文头Header信息以及目标用户代理UA信息;
提取目标服务器中同时包含有所述目标请求报文头Header信息以及所述目标用户代理UA信息的访问信息量;
判断所述访问信息量是否大于预设阈值,获得判断结果,并根据所述判断结果确定初始黑白样本库。
5.如权利要求4所述的黑白样本库动态维护方法,其特征在于,所述判断所述访问信息量是否大于预设阈值,获得判断结果,并根据所述判断结果确定初始黑白样本库的步骤,具体包括:
判断所述访问信息量是否大于预设阈值,获得判断结果;
若所述判断结果为所述访问信息量大于所述预设阈值,则获取目标请求报文头Header信息对应的互联网协议地址,并将所述互联网协议地址作为白样本库;
若所述判断结果为所述访问信息量不大于所述预设阈值,则判断所述访问信息量是否为异常;
若是,则将所述互联网协议地址作为黑样本库,并根据所述白样本库以及黑样本库确定初始黑白样本库。
6.如权利要求1所述的黑白样本库动态维护方法,其特征在于,所述若需要,则激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新,获得目标黑白样本库的步骤之后,所述黑白样本库动态维护方法还包括:
获取目标服务器中的互联网协议地址,并根据所述目标黑白样本库判断所述互联网协议地址是否为非法地址;
若是,则统计所述非法地址的数量,并将所述非法地址以及所述数量发送至预设客户端。
7.如权利要求6所述的黑白样本库动态维护方法,其特征在于,所述若是,则统计所述非法地址的数量,并将所述非法地址以及所述数量发送至预设客户端的步骤之后,所述黑白样本库动态维护方法还包括:
获取初始黑白样本库以及目标黑白样本库;
将所述初始黑白样本库以及目标黑白样本库进行组合,获得历史黑白样本库;
将所述历史黑白样本库发送至所述预设客户端。
8.一种黑白样本库动态维护设备,其特征在于,所述黑白样本库动态维护设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的黑白样本库动态维护程序,所述黑白样本库动态维护程序被所述处理器执行时实现如权利要求1至7中任一项所述的黑白样本库动态维护方法的步骤。
9.一种存储介质,其特征在于,所述存储介质上存储有黑白样本库动态维护程序,所述黑白样本库动态维护程序被处理器执行时实现如权利要求1至7中任一项所述的黑白样本库动态维护方法的步骤。
10.一种黑白样本库动态维护装置,其特征在于,所述黑白样本库动态维护装置包括:判断模块和更新模块;
所述判断模块,用于获取初始黑白样本库的当前状态参数,并根据所述当前状态参数判断是否需要激活样本库自适应机制;
所述更新模块,用于若需要,则激活所述样本库自适应机制,并根据所述样本库自适应机制对所述初始黑白样本库进行更新,获得目标黑白样本库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911373504.7A CN111143387A (zh) | 2019-12-26 | 2019-12-26 | 黑白样本库动态维护方法、设备、存储介质及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911373504.7A CN111143387A (zh) | 2019-12-26 | 2019-12-26 | 黑白样本库动态维护方法、设备、存储介质及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111143387A true CN111143387A (zh) | 2020-05-12 |
Family
ID=70521235
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911373504.7A Pending CN111143387A (zh) | 2019-12-26 | 2019-12-26 | 黑白样本库动态维护方法、设备、存储介质及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111143387A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113037779A (zh) * | 2021-04-19 | 2021-06-25 | 清华大学 | 一种积极防御系统中的智能自学习白名单方法和系统 |
-
2019
- 2019-12-26 CN CN201911373504.7A patent/CN111143387A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113037779A (zh) * | 2021-04-19 | 2021-06-25 | 清华大学 | 一种积极防御系统中的智能自学习白名单方法和系统 |
CN113037779B (zh) * | 2021-04-19 | 2022-02-11 | 清华大学 | 一种积极防御系统中的智能自学习白名单方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110417778B (zh) | 访问请求的处理方法和装置 | |
US11861006B2 (en) | High-confidence malware severity classification of reference file set | |
CN110636075A (zh) | 一种运维管控、运维分析方法及装置 | |
US9251367B2 (en) | Device, method and program for preventing information leakage | |
CN109459995B (zh) | 一种面向多种工业以太网协议的状态监测系统及监测方法 | |
CN113259392B (zh) | 一种网络安全攻防方法、装置及存储介质 | |
CN109547426B (zh) | 业务响应方法及服务器 | |
CN114553523A (zh) | 基于攻击检测模型的攻击检测方法及装置、介质、设备 | |
CN113595967A (zh) | 数据识别方法、设备、存储介质及装置 | |
CN109347785A (zh) | 一种终端类型识别方法及装置 | |
CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
CN111143387A (zh) | 黑白样本库动态维护方法、设备、存储介质及装置 | |
JP4512083B2 (ja) | ネットワークを介して通信端末に提供されるプログラムに対する伝送経路上でのセキュリティの確保 | |
CN111786898A (zh) | 一种监控设备信息获取方法、装置、设备及介质 | |
CN110457900B (zh) | 一种网站监测方法、装置、设备及可读存储介质 | |
CN113765850A (zh) | 物联网异常检测方法、装置、计算设备及计算机存储介质 | |
CN108322418A (zh) | 非法访问的检测方法和装置 | |
CN116015800A (zh) | 一种扫描器识别方法、装置、电子设备及存储介质 | |
CN113691561B (zh) | 一种通信数据的审计方法和装置 | |
CN113660257B (zh) | 请求拦截方法、装置、电子设备和计算机可读存储介质 | |
CN111949363A (zh) | 业务访问的管理方法、计算机设备、存储介质及系统 | |
EP3799367B1 (en) | Generation device, generation method, and generation program | |
CN109714371B (zh) | 一种工控网络安全检测系统 | |
KR102001814B1 (ko) | 모바일 장치 기반의 악성 스크립트 탐지 방법 및 그 장치 | |
CN111859385B (zh) | 应用程序的测试方法、系统及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200512 |
|
RJ01 | Rejection of invention patent application after publication |