CN111159520B - 样本鉴定方法、装置及安全应急响应系统 - Google Patents
样本鉴定方法、装置及安全应急响应系统 Download PDFInfo
- Publication number
- CN111159520B CN111159520B CN201911416923.4A CN201911416923A CN111159520B CN 111159520 B CN111159520 B CN 111159520B CN 201911416923 A CN201911416923 A CN 201911416923A CN 111159520 B CN111159520 B CN 111159520B
- Authority
- CN
- China
- Prior art keywords
- scheduling
- platform
- sample
- event
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 155
- 230000004044 response Effects 0.000 title claims abstract description 62
- 238000012545 processing Methods 0.000 claims abstract description 38
- 230000000977 initiatory effect Effects 0.000 claims abstract description 29
- 230000008569 process Effects 0.000 claims description 107
- 230000009193 crawling Effects 0.000 claims description 12
- 241000736199 Paeonia Species 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 8
- 238000007689 inspection Methods 0.000 claims description 3
- 238000012797 qualification Methods 0.000 claims description 3
- 230000001960 triggered effect Effects 0.000 description 13
- 241000700605 Viruses Species 0.000 description 8
- 238000012986 modification Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 241000239290 Araneae Species 0.000 description 2
- 210000004556 brain Anatomy 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000011022 operating instruction Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种样本鉴定方法、装置、安全应急响应系统及可读存储介质,属于网络安全技术领域。本发明的样本鉴定方法包括:调度平台获取调度事件,调度事件携带有调度事件的类型标识信息;调度平台根据所述类型标识信息判断调度事件的类型;调度平台根据判断出的事件类型生成调度事件对应的调度任务;调度平台基于所述调度任务产生对应的调度处理流程,并执行调度处理流程,调度处理流程用于向鉴定平台发起对待鉴定样本的鉴定操作;所述调度平台接收所述鉴定平台返回的鉴定结果。本发明可以提高安全应急响应系统对网络数据的分析效率。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种样本鉴定方法、装置及安全应急响应系统。
背景技术
随着网络安全领域的快速发展,对网络数据的安全监控大大减少了用户、企业受到安全威胁的可能性。
目前,在对网络数据进行安全监控时,可以通过包括云查引擎、样本中心以及鉴定平台等的云端安全系统对网络数据进行鉴定分析,以得到鉴定结果。但是,在通过云端安全系统对来源于复杂的业务流程的网络数据进行处理时,由于现有技术中的云端安全系统中的各个模块之间的关联度不高,导致调度各个模块对网络数据进行分析的流程较复杂,进而使得系统对网络数据的分析效率较低。
发明内容
本发明实施例的目的是提供一种样本鉴定方法、装置、移动终端及安全应急响应系统,用于解决现有安全应急响应系统在对网络数据进行分析时的效率较低的问题。
本发明提供了一种样本鉴定方法,应用于包括调度平台、鉴定平台的安全应急响应系统中,包括:
所述调度平台获取调度事件,所述调度事件携带有所述调度事件的类型标识信息;
所述调度平台根据所述类型标识信息判断所述调度事件的类型;
所述调度平台根据判断出的事件类型生成所述调度事件对应的调度任务;
所述调度平台基于所述调度任务产生对应的调度处理流程,并执行所述调度处理流程,所述调度处理流程用于向所述鉴定平台发起对待鉴定样本的鉴定操作;
所述调度平台接收所述鉴定平台返回的鉴定结果。
可选地,所述调度平台基于所述调度任务产生对应的调度处理流程包括:
所述调度平台基于所述调度任务调用与所述调度任务匹配的事件模板;
所述调度平台根据所述事件模板产生所述调度处理流程。
可选地,所述安全应急响应系统还包括云查引擎,所述调度平台获取调度事件包括:
所述调度平台接收所述云查引擎基于预设的云查日志生成的所述调度事件。
可选地,所述安全应急响应系统还包括样本中心,所述调度处理流程包括第一子调度流程,第二子调度流程,所述调度平台执行所述调度处理流程,所述调度处理流程用于向所述鉴定平台发起对待鉴定样本的鉴定操作包括:
所述调度平台执行所述第一子调度流程,所述第一子调度流程用于向所述样本中心发起下载操作,所述下载操作中携带有待鉴定样本的标识信息;
所述调度平台接收所述样本中心返回的所述待鉴定样本;
所述调度平台执行所述第二子调度流程,所述第二子调度流程用于向所述鉴定平台发起对所述待鉴定样本的鉴定操作。
可选地,所述调度平台获取调度事件还包括:
所述调度平台接收所述云查引擎基于预设的网盾日志生成的所述调度事件。
可选地,所述安全应急响应系统还包括样本中心,网络爬虫,所述调度处理流程包括第三子调度流程,第四子调度流程及第五子调度流程,所述调度平台执行所述调度处理流程,所述调度处理流程用于向所述鉴定平台发起对待鉴定样本的鉴定操作包括:
所述调度平台执行所述第三子调度流程,所述第三子调度流程用于调用所述网络爬虫根据所述网盾日志中的下载链接爬取所述下载链接对应的文件:
所述调度平台执行所述第四子调度流程,所述第四子调度流程用于将所述文件上传至所述样本中心;
所述调度平台执行所述第五子调度流程,所述第五子调度流程用于生成鉴定事件,所述鉴定事件携带有待鉴定样本的标识信息;
所述调度平台基于所述调度事件产生的第六调度子流程向所述样本中心发起下载操作,以从所述样本中心中下载所述待鉴定样本;
所述调度平台接收所述样本中心返回的所述待鉴定样本;
所述调度平台基于所述调度事件产生的第七调度子流程向所述鉴定平台发起对所述待鉴定样本的鉴定操作。
可选地,所述安全应急响应系统还包括数据库,所述安所述样本鉴定方法还包括:
所述调度平台将所述鉴定结果存储至所述数据库中;
所述调度平台控制所述数据库将所述鉴定结果同步至所述云查引擎。
可选地,所述安全应急响应系统还包括庖丁平台,所述样本鉴定方法还包括:
所述调度平台接收用户基于所述庖丁平台发送的操作指令,所述操作指令用于查询所述鉴定结果或者修改所述鉴定结果;
所述调度平台基于所述操作指令调用所述数据库执行与所述操作指令对应的操作,并将操作结果返回至所述庖丁平台。
本发明还提供了一种样本鉴定装置,包括:
接收模块,用于接收调度事件,所述调度事件携带有所述调度事件的类型标识信息;
判断模块,用于根据所述类型标识信息判断所述调度事件的类型;
生成模块,用于根据判断出的事件类型生成所述调度事件对应的调度任务;
执行模块,用于基于所述调度任务产生对应的调度处理流程,并执行所述调度处理流程,所述调度处理流程用于向所述鉴定平台发起鉴定操作;
存储模块,用于接收所述鉴定平台返回的鉴定结果。
本发明还提供了一种安全应急响应系统,包括:
调度平台,用于获取调度事件,所述调度事件携带有所述调度事件的类型标识信息,根据所述类型标识信息判断所述调度事件的类型,根据判断出的事件类型生成所述调度事件对应的调度任务,基于所述调度任务产生对应的调度处理流程,并执行所述调度处理流程,所述调度处理流程用于向所述鉴定平台发起对待鉴定样本的鉴定操作;
鉴定平台,用于接收所述鉴定操作,并根据所述鉴定操作对所述待鉴定样本进行鉴定,并将鉴定结果返回给所述调度平台;
数据库,用于存储所述鉴定结果;
其中,所述调度平台还用于接收所述鉴定平台返回的鉴定结果并将所述鉴定结果存储于所述数据库。
可选地,所述安全应急响应系统还包括:
云查引擎,用于基于预设的云查日志生成的所述调度事件;及/或用于基于预设的网盾日志生成的所述调度事件;
日志中心,用于记录所述云查引擎产生的日志信息;
样本中心,用于记录所述查引擎产生的样本数据。
可选地,所述安全应急响应系统还包括:
网络爬虫,所述网络爬虫用于根据所述网盾日志中的下载链接爬取所述下载链接对应的文件。
可选地,所述安全应急响应系统还包括:
庖丁平台,所述庖丁平台用于用户触发的操作指令,所述操作指令用于查询所述鉴定结果或者修改所述鉴定结果;
其中,所述调度平台,还用于基于所述操作指令调用所述数据库执行与所述操作指令对应的操作,并将操作结果返回至所述庖丁平台。
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
上述技术方案的有益效果:
本发明实施例通过调度平台在接收到调度事件时,生成与该调度事件对应的调度任务,从而通过该调度任务对安全应急响应系统中的各个模块进行统一调度,完成对待鉴定样本的鉴定操作。通过调度平台对完成待鉴定样本鉴定操作相关的各个模板进行统一调度,从而可以提高安全应急响应系统对网络数据的分析效率。
附图说明
图1为本发明所述的样本鉴定方法的一种实施例的流程图;
图2为本发明图1中调度平台基于所述调度任务产生对应的调度处理流程的步骤的细化流程图;
图3为本发明图1中调度平台执行所述调度处理流程的步骤的细化流程图;
图4为本发明图1中调度平台执行所述调度处理流程的步骤的细化流程图;
图5为本发明所述的样本鉴定方法的另一种实施例的流程图;
图6为本发明所述的样本鉴定方法的另一种实施例的流程图;
图7为本发明实施例提供的样本鉴定装置的一种实施例的程序模块图;
图8为本发明安全应急响应系统一实施例的架构图;
图9为本发明中的样本回扫流程图;
图10为本发明中下载链接网址处理流程图。
具体实施方式
以下结合附图与具体实施例进一步阐述本发明的优点。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在本发明的描述中,需要理解的是,步骤前的数字标号并不标识执行步骤的前后顺序,仅用于方便描述本发明及区别每一步骤,因此不能理解为对本发明的限制。
本发明实施例提出了一种样本鉴定方法。该样本鉴定方法应用于包括调度平台、鉴定平台安全应急响应系统中。其中,所述调度平台为所述安全应急响应系统的“调度大脑”,用于对各种数据(比如,样本数据以及日志数据)进行统一的调度,以及对各种事件进行处理以及加工。在一实施方式中,可以在该调度平台的底层集成流式处理、大数据处理等等。所述鉴定平台用于对样本数据、日志数据等进行鉴定,以鉴别出该数据是否存在木马、病毒等。
参阅图1,其为本发明一实施例的样本鉴定方法的流程示意图,可以理解,本方法实施例中的流程图不用于对执行步骤的顺序进行限定。
如图1所示,该样本鉴定方法包括步骤S10~S14,其中:
步骤S10、所述调度平台获取调度事件,所述调度事件携带有所述调度事件的类型标识信息;
具体地,所述调度事件用于触发调度平台调度安全应急响应系统中的相应模块完成对待鉴定样本的鉴定操作,其中,所述待鉴定样本可以为样本数据、日志数据等。调度平台获取的调度事件可以是由调度平台通过定时器模块定时触发的,也可以是由外部模块触发的,比如由安全应急响应系统中的云查引擎触发的,安全应急响应系统中的庖丁平台触发的等。
所述调度事件携带有所述调度事件的类型标识信息,所述类型标识信息用于指明所述调度事件的类型。在一实施方式中,所述调度事件按照类型划分可以分为样本回扫事件,下载链接对应的文件鉴定事件等。不同的调度事件基于其类型的不同携带对应的类型标识信息,例如,当所述调度事件为样本回扫事件时,可以携带表明其身份为样本回扫事件的标识;当所述调度事件为下载链接对应的文件鉴定事件,可以携带表明其身份为文件鉴定事件的标识。在本实施例中,具体的标识内容可以预先设定,比如设定“1”代表样本回扫事件,设定“0”代表文件鉴定事件。
需要说明的是,上述标识的内容仅为示例性的,并不用于对所述类型标识信息的具体限定。
在一实施方式中,所述调度平台获取调度事件包括:所述调度平台接收所述云查引擎基于预设的云查日志生成的所述调度事件。
具体地,所述预设的云查日志为包含需要重新进行回扫的样本的云查日志,该云查日志可以通过安全应急响应系统中的云查引擎从所有的云查日志中过滤出来。该预设的云查日志中可以包含一个或者多个需要回扫的样本信息,云查引擎可以基于每一个需要回扫的样本信息生成一个调度事件,或者可以基于多个需要回扫的样本信息生成一个调度事件。在生成该调度事件之后,云查引擎将该调度事件发送给调度平台,从而使得调度平台获取到该调度事件,调度平台在接收到该调度事件之后,可以按照如图9所示的样本回扫流程图执行该调度事件,具体的执行过程,在下面实施例中会详细说明。
其中,所述云查引擎为用于对产品(比如:天眼、天擎等)提供数据安全服务(如:分析各种程序是否为病毒),以及用于收集数据并从收集数据中提取样本(如:程序脚本),及产生日志数据(日志数据会记录各种样本是否为病毒)的SaaS平台。
在另一实施方式中,该调度平台获取调度事件还包括:所述调度平台接收所述云查引擎基于预设的网盾日志生成的所述调度事件。
具体地,所述预设的网盾日志包含云查引擎为包含下载链接的网盾日志,该网盾日志可以通过云查引擎从所有的网盾日志中过滤出来。在本实施例中,通过该下载链接可以获取到对应的样本文件。该预设的网盾日志中包含有一个或者多个下载链接,云查引擎可以基于每一个下载链接生成一个调度事件,或者可以基于多个下载链接生成一个调度事件。在生成该调度事件之后,云查引擎将该调度事件发送给调度平台,从而使得调度平台获取到该调度事件。调度平台在接收到该调度事件之后,可以按照如图10所示的下载链接网址处理流程图执行该调度事件,具体的执行过程,在下面实施例中会详细说明。
步骤S11、所述调度平台根据所述类型标识信息判断所述调度事件的类型。
具体地,调度平台在获取到调度事件的类型标识信息之后,可以根据预设的调度事件与类型标识信息的映射表来确定该调度事件的类型。
步骤S12,所述调度平台根据判断出的事件类型生成所述调度事件对应的调度任务。
具体地,不同类型的调度事件对应不同的调度任务,调度平台在判定出调度事件的类型之后,即可以根据类型信息生成与该调度事件类型相对应的调度事件。
步骤S13,所述调度平台基于所述调度任务产生对应的调度处理流程,并执行所述调度处理流程,所述调度处理流程用于向所述鉴定平台发起对待鉴定样本的鉴定操作。
具体地,不同类型的调度任务具有不同的调度处理流程,通过该调度处理流程可以向鉴定平台发起对待鉴定样本的鉴定操作。在本实例中,所述调度处理流程一般由多个调度子流程组成,调度平台通过执行该调度处理流程中的各个调度子流程可以向鉴定平台发起对待鉴定样本的鉴定操作。其中,该鉴定平台为安全应急响应系统中一个模块,用于对待鉴定样本进行鉴定操作,所述鉴定操作为鉴定待鉴定样本是否为黑样本、白样本的操作,或者对该待鉴定样本的属性进行鉴定的操作,该待鉴定样本的属性包括病毒、木马,正常等。
示例性的,参照图2,所述调度平台基于所述调度任务产生对应的调度处理流程包括:
步骤S20,所述调度平台基于所述调度任务调用与所述调度任务匹配的事件模板。
步骤S21,所述调度平台根据所述事件模板产生所述调度处理流程。
具体地,不同类型的调度任务对应有不同的事件模板,该事件模板是采用自定义的方式编写好的,该事件模板中包含了执行该调度任务的需要的各个执行节点,以及每个执行节点对应的工作流。调度平台在得到所述事件模板之后,可以根据该事件模板中包含的执行节点,以及每个执行节点对应的工作流来产生调度处理流程。
在一实施方式中,参阅图3,所述调度处理流程包括第一子调度流程,第二子调度流程,所述调度平台执行所述调度处理流程,所述调度处理流程用于向所述鉴定平台发起对待鉴定样本的鉴定操作包括:
步骤S30,所述调度平台执行所述第一子调度流程,所述第一子调度流程用于向所述样本中心发起下载操作,所述下载操作中携带有待鉴定样本的标识信息。
具体地,所述第一子调度流程为向样本中心发起下载操作的一个工作流,该下载操作中携带有待鉴定样本的标识信息,该标识信息用于唯一标识该待鉴定样本,以便可以通过该标识信息从样本中心中找到与该标识信息对应的样本,即找到所述待鉴定样本。在本实施例中,调度平台在执行该第一子调度流程时,可以通过调用该调度平台中的下载节点来完成向样本中心发出包含下载指令的下载操作。
其中,所述样本中心为安全应急响应系统中的一个模块,用于记录各种样本。
步骤S31,所述调度平台接收所述样本中心返回的所述待鉴定样本。
具体地,样本中心在接收到该下载操作之后,通过该下载操作中的携带的标识信息找到与该标识信息相匹配的样本,即该待鉴定样本,然后将该待鉴定样本返回给调度平台。
步骤S32,所述调度平台执行所述第二子调度流程,所述第二子调度流程用于向所述鉴定平台发起对所述待鉴定样本的鉴定操作。
具体地,所述第二子调度流程为向鉴定平台发起鉴定操作的一个工作流,通过该工作流可以触发一个鉴定指令给鉴定平台,以使鉴定平台对所述待鉴定样本进行鉴定操作。在本实施例中,调度平台在执行该第二调度子流程时,可以通过调用调度平台中的鉴定节点来完成向鉴定平台发出包含鉴定指令的鉴定操作。
在另一实施方式中,参阅图4,所述调度处理流程包括第三子调度流程,第四子调度流程及第五子调度流程,所述调度平台执行所述调度处理流程,所述调度处理流程用于向所述鉴定平台发起对待鉴定样本的鉴定操作包括:
步骤S40,所述调度平台执行所述第三子调度流程,所述第三子调度流程用于调用所述网络爬虫根据所述网盾日志中的下载链接爬取所述下载链接对应的文件。
具体地,所述第三子调度流程为向网络爬虫发起爬取操作的一个工作流,通过该工作流可以触发一个爬取指令给网络爬虫,以便网络爬虫抓取文件。在本实施例中,调度平台在执行该第三调度子流程时,可以通过调用调度平台中的蜘蛛节点来完成向网络爬虫触发包含爬取指令的爬取操作。
其中,网络爬虫是一种按照一定的规则,自动地抓取信息的程序或者脚本,网络爬虫也可以称为蚂蚁、自动索引、模拟程序或者蠕虫。在本实施例中,网络爬虫是安全应急响应系统中的一个模块,用于爬取需要的数据。网络爬虫在爬取文件时,首先会通过网址平台从网盾日志中过滤出下载链接,然后网络爬虫根据该下载链接爬取该下载链接对应的文件。
步骤S41,所述调度平台执行所述第四子调度流程,所述第四子调度流程用于将所述文件上传至所述样本中心。
具体地,所述第四子调度流程为向样本中心发起上传操作的一个工作流。在本实施例中,当调度平台执行所述第四子调度流程时,可以通过调用调度平台中的上传节点来实现将所述文件上传至样本中心。
步骤S42,所述调度平台执行所述第五子调度流程,所述第五子调度流程用于生成鉴定事件,所述鉴定事件携带有待鉴定样本的标识信息。
具体地,所述第五子调度流程为生成鉴定事件的工作流,该鉴定事件携带有待鉴定样本的标识信息,通过该标识信息可以查找到待鉴定的文件。
步骤S43,所述调度平台基于所述调度事件产生的第六调度子流程向所述样本中心发起下载操作,以从所述样本中心中下载所述待鉴定样本。
具体地,在通过该第五调度子流程产出鉴定事件后,调度平台会基于该鉴定事件产生一个调度任务,然后会根据该调度任务生成调度流程。在本实施例中,根据该鉴定事件生成的可以调度流程包括第六调度子流程以及第七调度子流程。
其中,第六调度子流程为向样本中心发起下载操作的一个工作流,该下载操作中携带有待鉴定样本的标识信息。在本实施例中,调度平台在执行该第六子调度流程时,可以通过调用该调度平台中的下载节点来完成向样本中心发出包含下载指令的下载操作。
步骤S44,所述调度平台接收所述样本中心返回的所述待鉴定样本。
具体地,样本中心在接收到该下载操作之后,通过该下载操作中的携带的标识信息找到与该标识信息相匹配的样本,即该待鉴定样本,然后将该待鉴定样本返回给调度平台。
步骤S45,所述调度平台基于所述调度事件产生的第七调度子流程向所述鉴定平台发起对所述待鉴定样本的鉴定操作。
具体地,所述第七子调度流程为向鉴定平台发起鉴定操作的一个工作流,通过该工作流可以触发一个鉴定指令给鉴定平台,以使鉴定平台对所述待鉴定样本进行鉴定操作。在本实施例中,调度平台在执行该第七调度子流程时,可以通过调用调度平台中的鉴定节点来完成向鉴定平台发出包含鉴定指令的鉴定操作。
步骤S14,所述调度平台接收所述鉴定平台返回的鉴定结果。
具体地,鉴定平台在对待鉴定样本完成鉴定之后,会生成一个鉴定结果,然后会将该鉴定结果返回给调度平台。
,本实施例中,通过调度平台在接收到调度事件时,生成与该调度事件对应的调度任务,从而通过该调度任务对安全应急响应系统中的各个模块进行统一调度,完成对待鉴定样本的鉴定操作。通过调度平台对完成待鉴定样本鉴定操作相关的各个模板进行统一调度,从而可以提高安全应急响应系统对网络数据的分析效率。
本发明实施例提供了另一种样本鉴定方法,如图5所示,所述方法包括:
步骤S50,所述调度平台获取调度事件,所述调度事件携带有所述调度事件的类型标识信息。
步骤S51,所述调度平台根据所述类型标识信息判断所述调度事件的类型。
步骤S52,所述调度平台根据判断出的事件类型生成所述调度事件对应的调度任务;
步骤S53,所述调度平台基于所述调度任务产生对应的调度处理流程,并执行所述调度处理流程,所述调度处理流程用于向所述鉴定平台发起对待鉴定样本的鉴定操作。
步骤S54,所述调度平台接收所述鉴定平台返回的鉴定结果。
具体地,上述步骤S50-S54与图1所示的步骤S10-S14相同,在此不再赘述。
步骤S55,所述调度平台将所述鉴定结果存储至所述数据库中。
具体地,调度平台在接收到鉴定平台返回的鉴定结果之后,会将该鉴定结果存储至数据库中。
其中,所述数据库也是安全应急响应系统的一个模块,用于存储鉴定平台返回的鉴定结果。
步骤S56,所述调度平台控制所述数据库将所述鉴定结果同步至所述云查引擎。
具体地,数据库在接收到鉴定平台的鉴定结果之后,调度平台还可以控制数据库将鉴定结果同步至云查引擎,从而使得云查引擎在再次检测到该待鉴定样本时,可以根据该鉴定结果对所述待鉴定样本进行处理。
本实施例中,通过将鉴定结果同步至云查引擎,从而使得云查引擎可以对更多的网络数据进行处理。
本发明实施例提供了另一种样本鉴定方法,如图6所示,所述方法包括:
步骤S60,所述调度平台获取调度事件,所述调度事件携带有所述调度事件的类型标识信息。
步骤S61,所述调度平台根据所述类型标识信息判断所述调度事件的类型。
步骤S62,所述调度平台根据判断出的事件类型生成所述调度事件对应的调度任务;
步骤S63,所述调度平台基于所述调度任务产生对应的调度处理流程,并执行所述调度处理流程,所述调度处理流程用于向所述鉴定平台发起对待鉴定样本的鉴定操作。
步骤S64,所述调度平台接收所述鉴定平台返回的鉴定结果。
具体地,上述步骤S60-S64与图1所示的步骤S10-S14相同,在此不再赘述。
步骤S65,所述调度平台接收用户基于所述庖丁平台发送的操作指令,所述操作指令用于查询所述鉴定结果或者修改所述鉴定结果。
具体地,所述庖丁平台也是安全应急响应系统的一个模块,其是一个运营系统,主要用于连接运营人员以及调度平台,通过该庖丁平台也可以产出调度事件。
在本实施例中,用户也可以通过该庖丁平台发送操作指令,通过该操作指令可以查询所述鉴定结果,或者修改鉴定结果。
步骤S66,所述调度平台基于所述操作指令调用所述数据库执行与所述操作指令对应的操作,并将操作结果返回至所述庖丁平台。
具体地,调度平台在接收到庖丁平台发送过来的操作指令后,可以调用数据库执行该操作指令对应的操作,比如,若该操作指令为查询鉴定结果的操作指令,则数据库在接收到调度平台转发过来的鉴定结果查询指令后,会在数据库执行该执行指令,从而根据该指令查找到鉴定结果;当该操作指令为修改鉴定结果的修改指令时,数据库在接收到调度平台转发的该修改指令后,同样会在数据库执行该修改指令,以对鉴定结果进行修改。
当数据库执行完成该操作指令后,会将操作结果返回至庖丁平台。
本实施例中,用户可以通过庖丁平台对鉴定结果进行查询以及修改,从而方便用户对鉴定结果进行管理。
参阅图7所示,是本发明样本鉴定装置700一实施例的程序模块图。该样本鉴定装置700应用于包括调度平台、鉴定平台安全应急响应系统中。其中,所述调度平台为所述安全应急响应系统的“调度大脑”,用于对各种数据(比如,样本数据以及日志数据)进行统一的调度,以及对各种事件进行处理以及加工。在一实施方式中,可以在该调度平台的底层集成流式处理、大数据处理等等。所述鉴定平台用于对样本数据、日志数据等进行鉴定,以鉴别出该数据是否存在木马、病毒等。
本实施例中,所述样本鉴定装置700包括一系列的存储于存储器上的计算机程序指令,当该计算机程序指令被处理器执行时,可以实现本发明各实施例的样本鉴定功能。在一些实施例中,基于该计算机程序指令各部分所实现的特定的操作,样本鉴定装置700可以被划分为一个或多个模块。例如,在图7中,所述样本鉴定装置700可以被分割成获取模块701、判断模块702、生成模块703、执行模块704以及接收模块705。其中:
获取模块701,用于获取调度事件,所述调度事件携带有所述调度事件的类型标识信息;
具体地,所述调度事件用于触发调度平台调度安全应急响应系统中的相应模块完成对待鉴定样本的鉴定操作,其中,所述待鉴定样本可以为样本数据、日志数据等。获取模块701获取的调度事件可以是由调度平台通过定时器模块定时触发的,也可以是由外部模块触发的,比如由安全应急响应系统中的云查引擎触发的,安全应急响应系统中的庖丁平台触发的等。
所述调度事件携带有所述调度事件的类型标识信息,所述类型标识信息用于指明所述调度事件的类型。在一实施方式中,所述调度事件按照类型划分可以分为样本回扫事件,下载链接对应的文件鉴定事件等。不同的调度事件基于其类型的不同携带对应的类型标识信息,例如,当所述调度事件为样本回扫事件时,可以携带表明其身份为样本回扫事件的标识;当所述调度事件为下载链接对应的文件鉴定事件,可以携带表明其身份为文件鉴定事件的标识。在本实施例中,具体的标识内容可以预先设定,比如设定“1”代表样本回扫事件,设定“0”代表文件鉴定事件。
需要说明的是,上述标识的内容仅为示例性的,并不用于对所述类型标识信息的具体限定。
在一实施方式中,所述获取模块701还用于接收所述云查引擎基于预设的云查日志生成的所述调度事件。
具体地,所述预设的云查日志为包含需要重新进行回扫的样本的云查日志,该云查日志可以通过安全应急响应系统中的云查引擎从所有的云查日志中过滤出来。该预设的云查日志中可以包含一个或者多个需要回扫的样本信息,云查引擎可以基于每一个需要回扫的样本信息生成一个调度事件,或者可以基于多个需要回扫的样本信息生成一个调度事件。在生成该调度事件之后,云查引擎将该调度事件发送给获取模块701,从而使得获取模块701获取到该调度事件。
其中,所述云查引擎为用于对产品(比如:天眼、天擎等)提供数据安全服务(如:分析各种程序是否为病毒),以及用于收集数据并从收集数据中提取样本(如:程序脚本),及产生日志数据(日志数据会记录各种样本是否为病毒)的SaaS平台。
在另一实施方式中,该获取模块701还用于接收所述云查引擎基于预设的网盾日志生成的所述调度事件。
具体地,所述预设的网盾日志包含云查引擎为包含下载链接的网盾日志,该网盾日志可以通过云查引擎从所有的网盾日志中过滤出来。在本实施例中,通过该下载链接可以获取到对应的样本文件。该预设的网盾日志中包含有一个或者多个下载链接,云查引擎可以基于每一个下载链接生成一个调度事件,或者可以基于多个下载链接生成一个调度事件。在生成该调度事件之后,云查引擎将该调度事件发送给获取模块701,从而使得获取模块701获取到该调度事件。
判断模块702,用于根据所述类型标识信息判断所述调度事件的类型。
具体地,在获取到调度事件的类型标识信息之后,判断模块702可以根据预设的调度事件与类型标识信息的映射表来确定该调度事件的类型。
生成模块703,用于根据判断出的事件类型生成所述调度事件对应的调度任务。
具体地,不同类型的调度事件对应不同的调度任务,在判定出调度事件的类型之后,生成模块703即可以根据类型信息生成与该调度事件类型相对应的调度事件。
执行模块704,用于基于所述调度任务产生对应的调度处理流程,并执行所述调度处理流程,所述调度处理流程用于向所述鉴定平台发起对待鉴定样本的鉴定操作。
具体地,不同类型的调度任务具有不同的调度处理流程,通过该调度处理流程可以向鉴定平台发起对待鉴定样本的鉴定操作。在本实例中,所述调度处理流程一般由多个调度子流程组成,执行模块704通过执行该调度处理流程中的各个调度子流程可以向鉴定平台发起对待鉴定样本的鉴定操作。其中,该鉴定平台为安全应急响应系统中一个模块,用于对待鉴定样本进行鉴定操作,所述鉴定操作为鉴定待鉴定样本是否为黑样本、白样本的操作,或者对该待鉴定样本的属性进行鉴定的操作,该待鉴定样本的属性包括病毒、木马,正常等。
在一示例性的实施方式中,该执行模块704还用于基于所述调度任务调用与所述调度任务匹配的事件模板,以及用于根据所述事件模板产生所述调度处理流程。
具体地,不同类型的调度任务对应有不同的事件模板,该事件模板是采用自定义的方式编写好的,该事件模板中包含了执行该调度任务的需要的各个执行节点,以及每个执行节点对应的工作流。在得到所述事件模板之后,可以根据该事件模板中包含的执行节点,以及每个执行节点对应的工作流来产生调度处理流程。
在一实施方式中,所述调度处理流程包括第一子调度流程,第二子调度流程,所述调度平台执行所述调度处理流程。
所述执行模块704,还用于执行所述第一子调度流程,所述第一子调度流程用于向所述样本中心发起下载操作,所述下载操作中携带有待鉴定样本的标识信息。
具体地,所述第一子调度流程为向样本中心发起下载操作的一个工作流,该下载操作中携带有待鉴定样本的标识信息,该标识信息用于唯一标识该待鉴定样本,以便可以通过该标识信息从样本中心中找到与该标识信息对应的样本,即找到所述待鉴定样本。在本实施例中,所述执行模块704,在执行该第一子调度流程时,可以通过调用该调度平台中的下载节点来完成向样本中心发出包含下载指令的下载操作。
其中,所述样本中心为安全应急响应系统中的一个模块,用于记录各种样本。
所述执行模块704,还用于接收所述样本中心返回的所述待鉴定样本。
具体地,样本中心在接收到该下载操作之后,通过该下载操作中的携带的标识信息找到与该标识信息相匹配的样本,即该待鉴定样本,然后将该待鉴定样本返回给所述执行模块704,。
所述执行模块704,执行所述第二子调度流程,所述第二子调度流程用于向所述鉴定平台发起对所述待鉴定样本的鉴定操作。
具体地,所述第二子调度流程为向鉴定平台发起鉴定操作的一个工作流,通过该工作流可以触发一个鉴定指令给鉴定平台,以使鉴定平台对所述待鉴定样本进行鉴定操作。在本实施例中,所述执行模块704在执行该第二调度子流程时,可以通过调用调度平台中的鉴定节点来完成向鉴定平台发出包含鉴定指令的鉴定操作。
在另一实施方式中,所述调度处理流程包括第三子调度流程,第四子调度流程及第五子调度流程。
所述执行模块704,还用于执行所述第三子调度流程,所述第三子调度流程用于调用所述网络爬虫根据所述网盾日志中的下载链接爬取所述下载链接对应的文件。
具体地,所述第三子调度流程为向网络爬虫发起爬取操作的一个工作流,通过该工作流可以触发一个爬取指令给网络爬虫,以便网络爬虫抓取文件。在本实施例中,所述执行模块704在执行该第三调度子流程时,可以通过调用调度平台中的蜘蛛节点来完成向网络爬虫触发包含爬取指令的爬取操作。
其中,网络爬虫是一种按照一定的规则,自动地抓取信息的程序或者脚本,网络爬虫也可以称为蚂蚁、自动索引、模拟程序或者蠕虫。在本实施例中,网络爬虫是安全应急响应系统中的一个模块,用于爬取需要的数据。网络爬虫在爬取文件时,首先会通过网址平台从网盾日志中过滤出下载链接,然后网络爬虫根据该下载链接爬取该下载链接对应的文件。
所述执行模块704,还用于执行所述第四子调度流程,所述第四子调度流程用于将所述文件上传至所述样本中心。
具体地,所述第四子调度流程为向样本中心发起上传操作的一个工作流。在本实施例中,当执行模块704执行所述第四子调度流程时,可以通过调用调度平台中的上传节点来实现将所述文件上传至样本中心。
所述执行模块704,还用于执行所述第五子调度流程,所述第五子调度流程用于生成鉴定事件,所述鉴定事件携带有待鉴定样本的标识信息。
具体地,所述第五子调度流程为生成鉴定事件的工作流,该鉴定事件携带有待鉴定样本的标识信息,通过该标识信息可以查找到待鉴定的文件。
所述执行模块704,还用于基于所述调度事件产生的第六调度子流程向所述样本中心发起下载操作,以从所述样本中心中下载所述待鉴定样本。
具体地,在通过该第五调度子流程产出鉴定事件后,执行模块704会基于该鉴定事件产生一个调度任务,然后会根据该调度任务生成调度流程。在本实施例中,根据该鉴定事件生成的可以调度流程包括第六调度子流程以及第七调度子流程。
其中,第六调度子流程为向样本中心发起下载操作的一个工作流,该下载操作中携带有待鉴定样本的标识信息。在本实施例中,执行模块704在执行该第六子调度流程时,可以通过调用该调度平台中的下载节点来完成向样本中心发出包含下载指令的下载操作。
所述执行模块704,还用于接收所述样本中心返回的所述待鉴定样本。
具体地,样本中心在接收到该下载操作之后,通过该下载操作中的携带的标识信息找到与该标识信息相匹配的样本,即该待鉴定样本,然后将该待鉴定样本返回给执行模块704。
所述执行模块704,还用于基于所述调度事件产生的第七调度子流程向所述鉴定平台发起对所述待鉴定样本的鉴定操作。
具体地,所述第七子调度流程为向鉴定平台发起鉴定操作的一个工作流,通过该工作流可以触发一个鉴定指令给鉴定平台,以使鉴定平台对所述待鉴定样本进行鉴定操作。在本实施例中,执行模块704在执行该第七调度子流程时,可以通过调用调度平台中的鉴定节点来完成向鉴定平台发出包含鉴定指令的鉴定操作。
接收模块705,用于接收所述鉴定平台返回的鉴定结果。
具体地,在对待鉴定样本完成鉴定之后,会生成一个鉴定结果,然后会将该鉴定结果返回给接收模块705。
本实施例中,通过调度平台在接收到调度事件时,生成与该调度事件对应的调度任务,从而通过该调度任务对安全应急响应系统中的各个模块进行统一调度,完成对待鉴定样本的鉴定操作。通过调度平台对完成待鉴定样本鉴定操作相关的各个模板进行统一调度,从而可以提高安全应急响应系统对网络数据的分析效率。
在一示例性的实施例中,所述样本鉴定装置700还包括:存储模块、同步模块。
所述存储模块,用于将所述鉴定结果存储至所述数据库中。
具体地,在接收到鉴定平台返回的鉴定结果之后,存储模块会将该鉴定结果存储至数据库中。
其中,所述数据库也是安全应急响应系统的一个模块,用于存储鉴定平台返回的鉴定结果。
所述同步模块,用于控制所述数据库将所述鉴定结果同步至所述云查引擎。
具体地,数据库在接收到鉴定平台的鉴定结果之后,同步模块还可以控制数据库将鉴定结果同步至云查引擎,从而使得云查引擎在再次检测到该待鉴定样本时,可以根据该鉴定结果对所述待鉴定样本进行处理。
本实施例中,通过将鉴定结果同步至云查引擎,从而使得云查引擎可以对更多的网络数据进行处理。
在另一示例性的实施例中,所述样本鉴定装置700还包括:查询模块,返回模块。
所述查询模块,用于接收用户基于所述庖丁平台发送的操作指令,所述操作指令用于查询所述鉴定结果或者修改所述鉴定结果。
具体地,所述庖丁平台也是安全应急响应系统的一个模块,其是一个运营系统,主要用于连接运营人员以及调度平台,通过该庖丁平台也可以产出调度事件。
在本实施例中,用户也可以通过该庖丁平台发送操作指令,通过该操作指令可以查询所述鉴定结果,或者修改鉴定结果。
所述返回模块,用于基于所述操作指令调用所述数据库执行与所述操作指令对应的操作,并将操作结果返回至所述庖丁平台。
具体地,在接收到庖丁平台发送过来的操作指令后,返回模块可以调用数据库执行该操作指令对应的操作,比如,若该操作指令为查询鉴定结果的操作指令,则数据库在接收到调度平台转发过来的鉴定结果查询指令后,会在数据库执行该执行指令,从而根据该指令查找到鉴定结果;当该操作指令为修改鉴定结果的修改指令时,数据库在接收到调度平台转发的该修改指令后,同样会在数据库执行该修改指令,以对鉴定结果进行修改。
当数据库执行完成该操作指令后,会将操作结果返回至庖丁平台。
本实施例中,用户可以通过庖丁平台对鉴定结果进行查询以及修改,从而方便用户对鉴定结果进行管理。
参阅图8所示,是本发明安全应急响应系统一实施例的架构图。
如图8所示,该安全应急响应系统包括:调度平台801,鉴定平台802以及数据库803。
其中,所述述调度平台801,用于获取调度事件,所述调度事件携带有所述调度事件的类型标识信息;
所述调度平台801,用于获取调度事件,所述调度事件携带有所述调度事件的类型标识信息,根据所述类型标识信息判断所述调度事件的类型,根据判断出的事件类型生成所述调度事件对应的调度任务,基于所述调度任务产生对应的调度处理流程,并执行所述调度处理流程,所述调度处理流程用于向所述鉴定平台发起对待鉴定样本的鉴定操作,其中,所述调度平台还用于接收所述鉴定平台返回的鉴定结果并将所述鉴定结果存储于所述数据库。
所述鉴定平台802,用于接收所述鉴定操作,并根据所述鉴定操作对所述待鉴定样本进行鉴定,并将鉴定结果返回给所述调度平台.
所述数据库803,用于储所述鉴定结果。
具体地,上述实施例中已对调度平台801,鉴定平台802以及数据库803做详细的描述,故在本实施例中不再赘述。
进一步地,参阅图8所示,该安全应急响应系统还包括:云查引擎804、日志中心805及样本中心806。
所述云查引擎804,用于基于预设的云查日志生成的所述调度事件;及/或用于基于预设的网盾日志生成的所述调度事件。
所述日志中心805,用于记录所述云查引擎产生的日志信息。
所述样本中心806,用于记录所述查引擎产生的样本数据。
具体地,上述实施例中已对云查引擎804、日志中心805及样本中心806做详细的描述,故在本实施例中不再赘述。
进一步地,参阅图8所示,该安全应急响应系统还包括:网络爬虫807。
所述网络爬虫807,用于根据所述网盾日志中的下载链接爬取所述下载链接对应的文件。
具体地,上述实施例中已对网络爬虫807做详细的描述,故在本实施例中不再赘述。
更进一步地,参阅图8所示,该安全应急响应系统还包括:庖丁平台808。
所述庖丁平台808,用于用户触发的操作指令,所述操作指令用于查询所述鉴定结果或者修改所述鉴定结果;
其中,调度平台801,还用于基于所述操作指令调用所述数据库执行与所述操作指令对应的操作,并将操作结果返回至所述庖丁平台808。
具体地,上述实施例中已对庖丁平台808做详细的描述,故在本实施例中不再赘述。
在另一实施方式中,该安全应急响应系统还包括:知识图谱809。
所述知识图谱809,用于从数据库803中获得数据来源,然后根据获取到的数据建立安全知识图谱,再作用于在线的云查引擎804以及调度平台801。
本申请实施例还提供了一种非易失性计算机可读存储介质,计算机可读存储介质其上存储有计算机程序,计算机程序被处理器执行时实现实施例中的样本鉴定方法的步骤。
本实施例中,计算机可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,计算机可读存储介质可以是移动终端的内部存储单元,例如该移动终端的硬盘或内存。在另一些实施例中,计算机可读存储介质也可以是移动终端的外部存储设备,例如该移动终端上配备的插接式硬盘,智能存储卡(Smart Media Card,简称为SMC),安全数字(Secure Digital,简称为SD)卡,闪存卡(Flash Card)等。当然,计算机可读存储介质还可以既包括移动终端的内部存储单元也包括其外部存储设备。本实施例中,计算机可读存储介质通常用于存储安装于移动终端的操作系统和各类应用软件,例如实施例中的样本鉴定方法的程序代码等。此外,计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的各类数据。
显然,本领域的技术人员应该明白,上述的本发明实施例的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明实施例不限制于任何特定的硬件和软件结合。
通过以上的实施方式的描述,本领域普通技术人员可以清楚地了解到各实施方式可借助软件加通用硬件平台的方式来实现,当然也可以通过硬件。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (13)
1.一种样本鉴定方法,应用于包括调度平台、鉴定平台的安全应急响应系统中,包括:
所述调度平台获取调度事件,所述调度事件携带有所述调度事件的类型标识信息;
所述调度平台根据所述类型标识信息判断所述调度事件的类型;
所述调度平台根据判断出的事件类型生成所述调度事件对应的调度任务;
所述调度平台基于所述调度任务产生对应的调度处理流程,并执行所述调度处理流程,所述调度处理流程用于向所述鉴定平台发起对待鉴定样本的鉴定操作;
所述调度平台接收所述鉴定平台返回的鉴定结果;
其中,所述调度平台基于所述调度任务产生对应的调度处理流程包括:
所述调度平台基于所述调度任务调用与所述调度任务匹配的事件模板;
所述调度平台根据所述事件模板产生所述调度处理流程。
2.根据权利要求1所述的样本鉴定方法,其特征在于,所述安全应急响应系统还包括云查引擎,所述调度平台获取调度事件包括:
所述调度平台接收所述云查引擎基于预设的云查日志生成的所述调度事件。
3.根据权利要求2所述的样本鉴定方法,其特征在于,所述安全应急响应系统还包括样本中心,所述调度处理流程包括第一子调度流程,第二子调度流程,所述调度平台执行所述调度处理流程,所述调度处理流程用于向所述鉴定平台发起对待鉴定样本的鉴定操作包括:
所述调度平台执行所述第一子调度流程,所述第一子调度流程用于向所述样本中心发起下载操作,所述下载操作中携带有待鉴定样本的标识信息;
所述调度平台接收所述样本中心返回的所述待鉴定样本;
所述调度平台执行所述第二子调度流程,所述第二子调度流程用于向所述鉴定平台发起对所述待鉴定样本的鉴定操作。
4.根据权利要求2所述的样本鉴定方法,其特征在于,所述调度平台获取调度事件还包括:
所述调度平台接收所述云查引擎基于预设的网盾日志生成的所述调度事件。
5.根据权利要求4所述的样本鉴定方法,其特征在于,所述安全应急响应系统还包括样本中心,网络爬虫,所述调度处理流程包括第三子调度流程,第四子调度流程及第五子调度流程,所述调度平台执行所述调度处理流程,所述调度处理流程用于向所述鉴定平台发起对待鉴定样本的鉴定操作包括:
所述调度平台执行所述第三子调度流程,所述第三子调度流程用于调用所述网络爬虫根据所述网盾日志中的下载链接爬取所述下载链接对应的文件;
所述调度平台执行所述第四子调度流程,所述第四子调度流程用于将所述文件上传至所述样本中心;
所述调度平台执行所述第五子调度流程,所述第五子调度流程用于生成鉴定事件,所述鉴定事件携带有待鉴定样本的标识信息;
所述调度平台基于所述调度事件产生的第六调度子流程向所述样本中心发起下载操作,以从所述样本中心中下载所述待鉴定样本;
所述调度平台接收所述样本中心返回的所述待鉴定样本;
所述调度平台基于所述调度事件产生的第七调度子流程向所述鉴定平台发起对所述待鉴定样本的鉴定操作。
6.根据权利要求2至5任一项所述的样本鉴定方法,其特征在于,所述安全应急响应系统还包括数据库,所述安所述样本鉴定方法还包括:
所述调度平台将所述鉴定结果存储至所述数据库中;
所述调度平台控制所述数据库将所述鉴定结果同步至所述云查引擎。
7.根据权利要求6所述的样本鉴定方法,其特征在于,所述安全应急响应系统还包括庖丁平台,所述样本鉴定方法还包括:
所述调度平台接收用户基于所述庖丁平台发送的操作指令,所述操作指令用于查询所述鉴定结果或者修改所述鉴定结果;
所述调度平台基于所述操作指令调用所述数据库执行与所述操作指令对应的操作,并将操作结果返回至所述庖丁平台。
8.一种样本鉴定装置,包括:
获取模块,用于获取调度事件,所述调度事件携带有所述调度事件的类型标识信息;
判断模块,用于根据所述类型标识信息判断所述调度事件的类型;
生成模块,用于根据判断出的事件类型生成所述调度事件对应的调度任务;
执行模块,用于基于所述调度任务产生对应的调度处理流程,并执行所述调度处理流程,所述调度处理流程用于向鉴定平台发起鉴定操作;
接收模块,用于接收所述鉴定平台返回的鉴定结果;
所述执行模块还用于基于所述调度任务调用与所述调度任务匹配的事件模板,以及用于根据所述事件模板产生所述调度处理流程。
9.一种安全应急响应系统,其特征在于,包括:
调度平台,用于获取调度事件,所述调度事件携带有所述调度事件的类型标识信息,根据所述类型标识信息判断所述调度事件的类型,根据判断出的事件类型生成所述调度事件对应的调度任务,基于所述调度任务产生对应的调度处理流程,并执行所述调度处理流程,所述调度处理流程用于向鉴定平台发起对待鉴定样本的鉴定操作,其中,所述基于所述调度任务产生对应的调度处理流程包括:基于所述调度任务调用与所述调度任务匹配的事件模板;根据所述事件模板产生所述调度处理流程;
鉴定平台,用于接收所述鉴定操作,并根据所述鉴定操作对所述待鉴定样本进行鉴定,并将鉴定结果返回给所述调度平台;
数据库,用于存储所述鉴定结果;
其中,所述调度平台还用于接收所述鉴定平台返回的鉴定结果并将所述鉴定结果存储于所述数据库。
10.根据权利要求9所述的安全应急响应系统,其特征在于,所述安全应急响应系统还包括:
云查引擎,用于基于预设的云查日志生成的所述调度事件;及/或用于基于预设的网盾日志生成的所述调度事件;
日志中心,用于记录所述云查引擎产生的日志信息;
样本中心,用于记录所述查引擎产生的样本数据。
11.根据权利要求10所述的安全应急响应系统,其特征在于,所述安全应急响应系统还包括:
网络爬虫,所述网络爬虫用于根据所述网盾日志中的下载链接爬取所述下载链接对应的文件。
12.根据权利要求11所述的安全应急响应系统,其特征在于,所述安全应急响应系统还包括:
庖丁平台,所述庖丁平台用于用户触发的操作指令,所述操作指令用于查询所述鉴定结果或者修改所述鉴定结果;
其中,所述调度平台,还用于基于所述操作指令调用所述数据库执行与所述操作指令对应的操作,并将操作结果返回至所述庖丁平台。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1至7任一项所述的样本鉴定方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911416923.4A CN111159520B (zh) | 2019-12-31 | 2019-12-31 | 样本鉴定方法、装置及安全应急响应系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911416923.4A CN111159520B (zh) | 2019-12-31 | 2019-12-31 | 样本鉴定方法、装置及安全应急响应系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111159520A CN111159520A (zh) | 2020-05-15 |
CN111159520B true CN111159520B (zh) | 2023-11-10 |
Family
ID=70560252
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911416923.4A Active CN111159520B (zh) | 2019-12-31 | 2019-12-31 | 样本鉴定方法、装置及安全应急响应系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111159520B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112003835B (zh) * | 2020-08-03 | 2022-10-14 | 奇安信科技集团股份有限公司 | 安全威胁的检测方法、装置、计算机设备和存储介质 |
CN114745441A (zh) * | 2020-12-23 | 2022-07-12 | 网神信息技术(北京)股份有限公司 | 鉴定任务调度方法和调度组件 |
CN113179245B (zh) * | 2021-03-19 | 2023-01-13 | 北京双湃智安科技有限公司 | 网络安全应急响应方法、系统、计算机设备及存储介质 |
CN114240382A (zh) * | 2021-12-21 | 2022-03-25 | 中国建设银行股份有限公司 | 基于结构化流程模板的流程实例生成方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016058403A1 (zh) * | 2014-10-14 | 2016-04-21 | 百度在线网络技术(北京)有限公司 | 一种病毒文件的处理方法、系统及设备 |
CN107770125A (zh) * | 2016-08-16 | 2018-03-06 | 深圳市深信服电子科技有限公司 | 一种网络安全应急响应方法及应急响应平台 |
CN108874617A (zh) * | 2017-12-29 | 2018-11-23 | 北京安天网络安全技术有限公司 | 检测任务派发方法、装置、电子设备及存储介质 |
-
2019
- 2019-12-31 CN CN201911416923.4A patent/CN111159520B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016058403A1 (zh) * | 2014-10-14 | 2016-04-21 | 百度在线网络技术(北京)有限公司 | 一种病毒文件的处理方法、系统及设备 |
CN107770125A (zh) * | 2016-08-16 | 2018-03-06 | 深圳市深信服电子科技有限公司 | 一种网络安全应急响应方法及应急响应平台 |
CN108874617A (zh) * | 2017-12-29 | 2018-11-23 | 北京安天网络安全技术有限公司 | 检测任务派发方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
林建辉 ; .基于日志技术的网络安全应急响应处置研究.湖北警官学院学报.2009,(05),全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN111159520A (zh) | 2020-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111159520B (zh) | 样本鉴定方法、装置及安全应急响应系统 | |
CN110428127B (zh) | 自动化分析方法、用户设备、存储介质及装置 | |
CN111866016B (zh) | 日志的分析方法及系统 | |
US8291405B2 (en) | Automatic dependency resolution by identifying similar machine profiles | |
CN110096303B (zh) | 代码检测方法及装置 | |
CN109190368B (zh) | 一种sql注入检测装置及sql注入检测方法 | |
CN105426310A (zh) | 一种检测目标进程的性能的方法和装置 | |
CN112905261A (zh) | 一种api管控方法、装置及电子设备 | |
CN110059007B (zh) | 系统漏洞扫描方法、装置、计算机设备及存储介质 | |
CN112463588A (zh) | 一种自动化测试系统及方法、存储介质、计算设备 | |
CN111628927A (zh) | 邮件管理方法及装置、存储介质及电子终端 | |
CN113472787A (zh) | 一种告警信息处理方法、装置、设备及存储介质 | |
CN111831275A (zh) | 一种编排微场景剧本的方法、服务器、介质及计算机设备 | |
CN110941632A (zh) | 一种数据库审计方法、装置及设备 | |
CN110442582B (zh) | 场景检测方法、装置、设备和介质 | |
CN112835808A (zh) | 接口测试方法、装置、计算机设备及存储介质 | |
WO2019148657A1 (zh) | 关联环境测试方法、电子装置及计算机可读存储介质 | |
CN116302989A (zh) | 压力测试方法及系统、存储介质、计算机设备 | |
CN113901476A (zh) | 一种基于虚拟化环境的漏洞验证方法、系统、设备及介质 | |
CN117493188A (zh) | 接口测试方法及装置、电子设备及存储介质 | |
CN111538542B (zh) | 一种系统配置方法及相关装置 | |
CN117389655A (zh) | 云原生环境下的任务执行方法、装置、设备和存储介质 | |
CN115065510B (zh) | 登录方法、装置、系统、电子设备及可读存储介质 | |
KR100930962B1 (ko) | 알피씨 기반 소프트웨어의 원격지 보안 테스팅 장치 및방법 | |
CN111475783B (zh) | 数据检测方法、系统及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |