CN112398852A - 一种报文检测方法、装置、存储介质和电子设备 - Google Patents
一种报文检测方法、装置、存储介质和电子设备 Download PDFInfo
- Publication number
- CN112398852A CN112398852A CN202011274736.XA CN202011274736A CN112398852A CN 112398852 A CN112398852 A CN 112398852A CN 202011274736 A CN202011274736 A CN 202011274736A CN 112398852 A CN112398852 A CN 112398852A
- Authority
- CN
- China
- Prior art keywords
- detection result
- message
- data
- detected
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Alarm Systems (AREA)
Abstract
本申请实施例提供一种报文检测方法、装置、存储介质和电子设备,该报文检测方法包括:在本地威胁情报库中不存在与待检测的报文数据相匹配的威胁情报数据的情况下,获取待检测的报文数据的查询次数;在查询次数大于等于预设最大查询次数的情况下,从安全检测设备的缓存数据中查找待检测的报文数据的检测结果。本申请实施例通过设置预设最大查询次数的方式来减少不必要的云端服务器的威胁情报服务的请求,以及还可以通过缓存检测结果的方式来消除重复的云端服务器的威胁情报服务的请求,以保障安全检测设备的检测性能。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种报文检测方法、装置、存储介质和电子设备。
背景技术
安全检测设备旁路部署于用户网络处,通过监听网络报文数据,发现安全事件并进行报警。利用威胁情报数据检测已知威胁是一种高效的技术方法,但完整的威胁情报数据的数据量十分庞大,通常只能部署在云端服务器上,以威胁情报查询服务的方式对外提供使用。嵌入式的威胁情报库是对庞大的威胁情报数据的精简,其只保留高价值和最近活跃的数据,大幅度减少了数据量,其可以由云端服务器下发到安全检测设备上使用。
虽然通过在安全检测设备内嵌入威胁情报库能够进行安全检测,但是嵌入的威胁情报库受限于数据量的限制,其不可能包罗万象。通常安全检测设备同时提供联动云端服务器的威胁情报服务功能,对于安全检测设备未发现攻击但仍有疑虑的数据,安全检测设备可以自动请求云端服务器的威胁情报服务,以查询云端服务器中的威胁情报数据来确定检测结果,从而达到查漏补缺的效果。
在实现本发明的过程中,发明人发现现有技术中存在如下问题:由于安全检测设备可能需要频繁请求云端服务器的威胁情报服务,引起了安全检测设备的检测性能大幅度下降的问题。
发明内容
本申请实施例的目的在于提供一种报文检测方法、装置、存储介质和电子设备,以提高安全检测设备的检测性能。
第一方面,本申请实施例提供了一种报文检测方法,报文检测方法应用于安全检测设备,报文检测方法包括:在本地威胁情报库中不存在与待检测的报文数据相匹配的威胁情报数据的情况下,获取待检测的报文数据的查询次数;在查询次数大于等于预设最大查询次数的情况下,从安全检测设备的缓存数据中查找待检测的报文数据的检测结果。
因此,本申请实施例通过在待检测的报文数据的查询次数超过预设最大查询次数的情况下,从安全检测设备的缓存数据中查找待检测的报文数据的检测结果,从而可通过设置预设最大查询次数的方式来减少不必要的云端服务器的威胁情报服务的请求,以弥补安全检测设备的本地威胁情报库的数据量不足的问题,达到了查漏补缺目的,以及还可以通过缓存检测结果的方式来消除重复的云端服务器的威胁情报服务的请求,以保障安全检测设备的检测性能。
在一个可能的实施例中,从安全检测设备的缓存数据中查找待检测的报文数据的检测结果,包括:在缓存数据中存在待检测的报文数据的历史检测结果且历史检测结果的使用次数小于等于预设最大使用次数的情况下,从缓存数据中查找历史检测结果。
在一个可能的实施例中,从安全检测设备的缓存数据中查找待检测的报文数据的检测结果,包括:在缓存数据中存在待检测的报文数据的历史检测结果且历史检测结果的使用次数大于预设最大使用次数的情况下,重置历史检测结果的使用次数,并向云端服务器发送携带有待检测的报文数据的检测请求;接收云端服务器返回的最新检测结果,并利用最新检测结果对历史检测结果进行更新;从缓存数据中查找最新检测结果。
因此,本申请实施例通过在历史检测结果无效的情况下,对缓存数据进行更新。
在一个可能的实施例中,从安全检测设备的缓存数据中查找待检测的报文数据的检测结果,包括:在缓存数据中不存在待检测的报文数据的历史检测结果的情况下,向云端服务器发送携带有待检测的报文数据的检测请求;接收云端服务器返回的最新检测结果,并缓存最新检测结果;从缓存数据中查找最新检测结果。
第二方面,本申请实施例提供了一种报文检测装置,报文检测装置应用于安全检测设备,报文检测装置包括:获取模块,用于在本地威胁情报库中不存在与待检测的报文数据相匹配的威胁情报数据的情况下,获取待检测的报文数据的查询次数;查找模块,用于在查询次数大于等于预设最大查询次数的情况下,从安全检测设备的缓存数据中查找待检测的报文数据的检测结果。
在一个可能的实施例中,查找模块,具体用于在缓存数据中存在待检测的报文数据的历史检测结果且历史检测结果的使用次数小于等于预设最大使用次数的情况下,从缓存数据中查找历史检测结果。
在一个可能的实施例中,查找模块,具体用于:在缓存数据中存在待检测的报文数据的历史检测结果且历史检测结果的使用次数大于预设最大使用次数的情况下,重置历史检测结果的使用次数,并向云端服务器发送携带有待检测的报文数据的检测请求;接收云端服务器返回的最新检测结果,并利用最新检测结果对历史检测结果进行更新;从缓存数据中查找最新检测结果。
在一个可能的实施例中,查找模块,具体用于:在缓存数据中不存在待检测的报文数据的历史检测结果的情况下,向云端服务器发送携带有待检测的报文数据的检测请求;接收云端服务器返回的最新检测结果,并缓存最新检测结果;从缓存数据中查找最新检测结果。
第三方面,本申请实施例提供了一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行第一方面或第一方面的任一可选的实现方式所述的方法。
第四方面,本申请实施例提供了一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行第一方面或第一方面的任一可选的实现方式所述的方法。
第五方面,本申请提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行第一方面或第一方面的任意可能的实现方式中的方法。
为使本申请实施例所要实现的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例提供的一种报文检测方法的流程图;
图2示出了本申请实施例提供的一种报文检测方法的具体流程图;
图3示出了本申请实施例提供的一种报文检测装置的结构框图;
图4示出了本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
目前,安全检测设备联动云端服务器的威胁情报服务的方法主要有以下两种:一种是对于安全检测设备中内置的嵌入式威胁情报库没有检测出攻击的数据,安全检测设备自动请求云端服务器的威胁情报服务,以通过查询云端服务器中存储的威胁情报数据来确定检测结果;另一种是对于安全检测设备已经检测出的威胁情报数据,安全检测设备也会自动请求云端服务器的威胁情报服务,以发现深度或者关联的安全威胁。
但是,对于第一种安全检测设备联动云端服务器的威胁情报服务的方法来说,因为网络上的报文数据绝大多数都是正常的,安全事件是少数,绝大多数报文数据都不会匹配上设备内置的嵌入式威胁情报,导致绝大多数的报文数据都需要请求云端服务器的威胁情报服务。并且,联动云端服务器的威胁情报服务是需要通过互联网来访问远程系统的,从而会导致安全检测设备的检测性能会大幅度下降的问题。所以,该方法一般来说都是用于功能测试,并不会在真实的网络环境中实际使用;
对于第二种安全检测设备联动云端服务器的威胁情报服务的方法来说,对于已经检测出的安全事件再自动请求云端服务器的威胁情报服务,其只会帮助安全检测设备发现深度或者关联的安全威胁,不会发现更多的安全事件,没有达到联动的目的,即无法弥补安全检测设备内置的威胁情报库数据量不足的问题。
基于此,本申请实施例提供了一种报文检测方案,通过在本地威胁情报库中不存在与待检测的报文数据相匹配的威胁情报数据的情况下,获取待检测的报文数据的查询次数,以及在查询次数大于等于预设最大查询次数的情况下,从安全检测设备的缓存数据中查找待检测的报文数据的检测结果。
因此,本申请实施例通过在待检测的报文数据的查询次数超过预设最大查询次数的情况下,从安全检测设备的缓存数据中查找待检测的报文数据的检测结果,从而可通过设置预设最大查询次数的方式来减少不必要的云端服务器的威胁情报服务的请求,以弥补安全检测设备的本地威胁情报库的数据量不足的问题,达到了查漏补缺目的,以及还可以通过缓存检测结果的方式来消除重复的云端服务器的威胁情报服务的请求,以保障安全检测设备的检测性能。
为了便于理解本申请实施例,下面对本申请实施例中的一些术语进行解释如下:
“安全检测设备”:它可旁路部署于用户网络处,通过监听网络报文数据来发现安全事件并进行报警的设备。例如,入侵检测设备、入侵防御系统和全流量威胁检测设备等。
“威胁情报数据”:它可用于识别和检测威胁的失陷标识。例如,文件哈希值、IP地址和域名等。
“查询次数”:它是一个数值,其用来限制联动云端服务器的威胁情报服务,以及进入联动处理时,并不是真实的联动云端服务器,只是累积次数,只有在超过预设最大查询次数之后才会真正的发生联动云端威胁情报服务。
应理解,查询次数也可以称为累积次数,也可以称为总查询次数,也可以称为累积查询次数等。
对应的,预设最大查询次数也可以称为预设最大累积次数等。
“缓存数据”:在联动云端服务器的威胁情报服务后,安全检测设备可将云端服务器的返回结果存储到存储器(例如,内存)中,这样在下次进入联动处理后,可直接反馈缓存的检测结果,无需再请求云端服务器的威胁情报服务。
应理解,缓存数据也可以称为应答缓存,也可以称为检测缓存等。
“使用次数”:它是一个数值,安全检测设备的缓存数据中的检测结果是具有时效性的,会不定期更新或者修改,所以,每一次使用缓存数据中的检测结果时,需要同步增加其使用次数,当使用次数大于等于预设最大使用次数的情况下,该检测结果就无法再使用,需要重新联动云端服务器的威胁情报服务器,以对安全检测设备的缓存数据进行更新,避免使用过期的威胁情报数据。
应理解,使用次数也可以称为应答年龄,也可以称为缓存时间等。
对应的,预设最大使用次数也可以称为预设年龄,也可以称为预设有效时间等。
请参见图1,图1示出了本申请实施例提供的一种报文检测方法的流程图。如图1所示的报文检测方法可应用于安全检测设备,该报文检测方法包括:
步骤S110,安全检测设备获取待检测的报文数据。
应理解,安全检测设备可通过监听网络的报文数据的方式来获取待检测的报文数据。
步骤S120,安全检测设备判断安全检测设备的本地威胁情报库中是否存在与待检测的报文数据相匹配的威胁情报数据。
在安全检测设备确定本地威胁情报库中存在与待检测的报文数据相匹配的威胁情报数据的情况下,执行步骤S130;在安全检测设备确定本地威胁情报库中不存在与待检测的报文数据相匹配的威胁情报数据的情况下,执行步骤S140。
为了便于理解本申请实施例,下面通过具体的实施例来进行描述。
具体地,在安全检测设备获取到待检测的报文数据的情况下,安全检测设备可根据待检测的报文数据中的关键代码,确定本地威胁情报库中是否存在与关键代码相匹配的威胁情报数据。
步骤S130,安全检测设备在本地威胁情报库中不存在与待检测的报文数据相匹配的威胁情报数据的情况下,获取待检测的报文数据的查询次数。
具体地,在确定本地威胁情报库中不存在与待检测的报文数据相匹配的威胁情报数据的情况下,安全检测设备可查询用于记录历史检测报文数据的查询次数的联动记录。
其中,在安全检测设备可查询到待检测的报文数据的联动记录的情况下,安全检测设备可先将待检测的报文数据的查询次数加1,随后安全检测设备可判断待检测的报文数据的查询次数和预设最大查询次数的大小。
以及,在待检测的报文数据的查询次数大于等于预设最大查询次数的情况下,可执行步骤S140,即此时待检测的报文数据是威胁情报数据的概率是比较大的,所以后续需要进一步确认;在待检测的报文数据的查询次数小于预设最大查询次数的情况下,安全检测设备可执行步骤S150,即此时待检测的报文数据是威胁情报数据的概率是比较小的,所以这里可忽略,只有在超过预设最大查询次数的情况下,在进行后续确认。
应理解,预设最大查询次数的具体次数可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,预设最大查询次数的具体次数可以为100次。
此外,在安全检测设备无法查询到待检测的报文数据的联动记录的情况下,安全检测设备可在联动记录中添加一个待检测的报文数据的记录,并将待检测的报文数据的查询次数设置为1。
步骤S140,安全检测设备在查询次数大于等于预设最大查询次数的情况下,从安全检测设备的缓存数据中查找待检测的报文数据的检测结果。
应理解,安全检测设备从安全检测设备的缓存数据中查找待检测的报文数据的检测结果的具体过程也可根据实际需求来进行设置,本申请实施例并不局限于此。
为了便于理解本申请实施例,下面通过具体的实施例来进行描述。
具体的,安全检测设备可确定安全检测设备的缓存数据中是否存在待检测的报文数据的历史检测结果。
其中,在安全检测设备的缓存数据中存在待检测的报文数据的历史检测结果的情况下,安全检测设备可获取历史检测结果的使用次数,并比较历史检测结果的使用次数和预设最大使用次数的大小。
以及,在历史检测结果的使用次数小于等于预设最大使用次数的情况下,则安全检测设备确认历史检测结果是有效的,则安全检测设备可将历史检测结果的使用次数加1,并将历史检测结果确认为待检测的报文数据的检测结果;在历史检测结果的使用次数大于预设最大使用次数的情况下,则安全检测设备确认历史检测结果是无效的,则安全检测设备可重置历史检测结果的使用次数(例如,置零),随后安全检测设备可向云端服务器发送携带有待检测的报文数据的检测请求,以及在云端服务器对待检测的报文数据进行安全检测后,可将最新检测结果反馈给安全检测设备。对应地,安全检测设备可接收云端服务器发送的最新检测结果。以及,安全检测设备可利用最新检测结果对历史检测结果进行更新,从而使得安全检测设备的缓存数据中仅缓存有最新检测结果,即可将历史检测结果进行删除,从而避免无用数据太多导致安全检测设备的检测速度比较慢的问题,且此时最新检测结果的使用次数可以为0。随后,安全检测设备可将最新检测结果确认为待检测的报文数据的检测结果,并将最新检测结果的使用次数加1。
应理解,预设最大使用次数的具体次数可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,预设最大使用次数可以为50次。
此外,在安全检测设备的缓存数据中不存在待检测的报文数据的历史检测结果的情况下,安全检测设备可向云端服务器发送携带有待检测的报文数据的检测请求。以及,在云端服务器对待检测的报文数据进行安全检测后,可将最新检测结果反馈给安全检测设备。对应地,安全检测设备可接收云端服务器发送的最新检测结果。以及,安全检测设备可缓存最新检测结果,并将最新检测结果对应的使用次数加1。随后,安全检测设备可将最新检测结果确认为待检测的报文数据的检测结果。
这里需要说明的是,虽然图1是以检测结果的使用次数来进行描述的,但本领域的技术人员应当理解,其可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,安全检测设备还可通过比较检测结果的缓存时间和预设时间的大小,来确定检测结果是否是有效的。
应理解,预设时间的具体时间也可根据实际需求来进行设置,本申请实施例并不局限于此。
这里还需要说明的是,虽然上面是以历史检测结果和最新检测结果来进行描述的,但本领域的技术人员应当理解,这里只是为了便于描述,并非是对两个检测结果的限定,其可根据实际需求来进行设置。
例如,可将历史检测结果称成第一检测结果,并将最新检测结果称成第二检测结果。其中,第二检测结果的返回时间(即云端服务器返回检测结果的时间)晚于第一检测结果的返回时间。
步骤S150,结束。
因此,本申请实施例通过在待检测的报文数据的查询次数超过预设最大查询次数的情况下,从安全检测设备的缓存数据中查找待检测的报文数据的检测结果,从而可通过设置预设最大查询次数的方式来减少不必要的云端服务器的威胁情报服务的请求,以弥补安全检测设备的本地威胁情报库的数据量不足的问题,达到了查漏补缺目的,以及还可以通过缓存检测结果的方式来消除重复的云端服务器的威胁情报服务的请求,以保障安全检测设备的检测性能。
此外,本申请实施例还通过设置预设最大使用次数来及时更新缓存数据,从而保障了安全检测设备中缓存的检测结果的时效性。
为了便于理解本申请实施例,下面通过具体的实施例来进行描述。
请参见图2,图2示出了本申请实施例提供的一种报文检测方法的具体流程图。如图2所示的报文检测方法包括:
步骤S211,安全检测设备进入联动处理。
具体地,安全检测设备可使用内置的威胁情报库对待检测的报文数据进行检测,当没有检测出安全事件时,安全检测设备需要自动联动云端服务器的威胁情报服务,以查询云端威胁情报数据,此时可视为进入联动处理。
步骤S212,安全检测设备确定是否存在联动记录。
具体地,在进入联动处理后,安全检测设备可先确定待检测的报文数据历史上有没有联动过,即是否有联动记录。在具有联动记录的情况下,可执行步骤S213;在没有联动记录的情况下,可执行步骤S223。
步骤S213,安全检测设备将查询次数加1。
步骤S214,安全检测设备比较待检测的报文数据的查询次数和预设最大查询次数的大小。
在待检测的报文数据的查询次数小于预设最大查询次数的情况下,可执行步骤S222;在待检测的报文数据的查询次数大于等于预设最大查询次数的情况下,可执行步骤S215。
步骤S215,安全检测设备判断缓存数据中是否存在待检测的报文数据的历史检测结果。其中,历史检测结果为云端服务器返回的对待检测的报文数据的历史检测结果。
在缓存数据中存在待检测的报文数据的历史检测结果的情况下,可执行步骤S216;在缓存数据中不存在待检测的报文数据的历史检测结果的情况下,可执行步骤S218。
步骤S216,安全检测设备比较历史检测结果的使用次数和预设最大使用次数的大小。
在历史检测结果的使用次数大于预设最大使用次数的情况下,可执行步骤S217;在历史检测结果的使用次数小于等于预设最大使用次数的情况下,可执行步骤S220。
步骤S217,安全检测设备重置历史检测结果的使用次数。
步骤S218,安全检测设备联动云端服务器。
具体地,安全检测设备通过网络远程请求云端威胁情报服务,以查询云端威胁情报数据,此步骤比较耗时,对安全检测设备性能影响较大。
步骤S219,安全检测设备更新缓存数据。
具体地,安全检测设备根据云端服务器返回的检测结果,更新应答缓存的内容。
步骤S220,安全检测设备更新当前检测结果的使用次数。其中,当前检测结果可以为历史检测结果,也可以为最新检测结果。
步骤S221,应答。
具体地,安全检测设备将缓存数据中的当前检测结果返回给请求者或联动处理的调用者。
步骤S222,结束。
步骤S223,安全检测设备在联动记录中添加记录。
应理解,上述报文检测方法仅是示例性的,本领域技术人员根据上述的方法可以进行各种变形,修改或变形之后的内容也在本申请保护范围内。
请参见图3,图3示出了本申请实施例提供的一种报文检测装置300的结构框图,应理解,该报文检测装置300与上述方法实施例对应,能够执行上述方法实施例的各个步骤,该报文检测装置300具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该报文检测装置300包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在报文检测装置300的操作系统(operating system,OS)中的软件功能模块。具体地,该报文检测装置300应用于安全检测设备,该报文检测装置300包括:
获取模块310,用于在本地威胁情报库中不存在与待检测的报文数据相匹配的威胁情报数据的情况下,获取待检测的报文数据的查询次数;查找模块320,用于在查询次数大于等于预设最大查询次数的情况下,从安全检测设备的缓存数据中查找待检测的报文数据的检测结果。
在一个可能的实施例中,查找模块320,具体用于在缓存数据中存在待检测的报文数据的历史检测结果且历史检测结果的使用次数小于等于预设最大使用次数的情况下,从缓存数据中查找历史检测结果。
在一个可能的实施例中,查找模块320,具体用于:在缓存数据中存在待检测的报文数据的历史检测结果且历史检测结果的使用次数大于预设最大使用次数的情况下,重置历史检测结果的使用次数,并向云端服务器发送携带有待检测的报文数据的检测请求;接收云端服务器返回的最新检测结果,并利用最新检测结果对历史检测结果进行更新;从缓存数据中查找最新检测结果。
在一个可能的实施例中,查找模块320,具体用于:在缓存数据中不存在待检测的报文数据的历史检测结果的情况下,向云端服务器发送携带有待检测的报文数据的检测请求;接收云端服务器返回的最新检测结果,并缓存最新检测结果;从缓存数据中查找最新检测结果。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
请参见图4,图4示出了本申请实施例提供的一种电子设备400的结构框图。电子设备400可以包括处理器410、通信接口420、存储器430和至少一个通信总线440。其中,通信总线440用于实现这些组件直接的连接通信。其中,本申请实施例中的通信接口420用于与其他设备进行信令或数据的通信。处理器410可以是一种集成电路芯片,具有信号的处理能力。上述的处理器410可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器410也可以是任何常规的处理器等。
存储器430可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器430中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器410执行时,电子设备400可以执行上述方法实施例中的各个步骤。
电子设备400还可以包括存储控制器、输入输出单元、音频单元、显示单元。
所述存储器430、存储控制器、处理器410、外设接口、输入输出单元、音频单元、显示单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线440实现电性连接。所述处理器410用于执行存储器430中存储的可执行模块。并且,电子设备400用于执行下述方法:在本地威胁情报库中不存在与待检测的报文数据相匹配的威胁情报数据的情况下,获取所述待检测的报文数据的查询次数;在所述查询次数大于等于预设最大查询次数的情况下,从所述安全检测设备的缓存数据中查找所述待检测的报文数据的检测结果。
输入输出单元用于提供给用户输入数据实现用户与所述服务器(或本地终端)的交互。所述输入输出单元可以是,但不限于,鼠标和键盘等。
音频单元向用户提供音频接口,其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。
显示单元在所述电子设备与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,所述显示单元可以是液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作,并将该感应到的触控操作交由处理器进行计算和处理。
可以理解,图4所示的结构仅为示意,所述电子设备400还可包括比图4中所示更多或者更少的组件,或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。
本申请还提供一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行方法实施例所述的方法。
本申请还提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种报文检测方法,其特征在于,所述报文检测方法应用于安全检测设备,所述报文检测方法包括:
在本地威胁情报库中不存在与待检测的报文数据相匹配的威胁情报数据的情况下,获取所述待检测的报文数据的查询次数;
在所述查询次数大于等于预设最大查询次数的情况下,从所述安全检测设备的缓存数据中查找所述待检测的报文数据的检测结果。
2.根据权利要求1所述的报文检测方法,其特征在于,所述从所述安全检测设备的缓存数据中查找所述待检测的报文数据的检测结果,包括:
在所述缓存数据中存在所述待检测的报文数据的历史检测结果且所述历史检测结果的使用次数小于等于预设最大使用次数的情况下,从所述缓存数据中查找所述历史检测结果。
3.根据权利要求1所述的报文检测方法,其特征在于,所述从所述安全检测设备的缓存数据中查找所述待检测的报文数据的检测结果,包括:
在所述缓存数据中存在所述待检测的报文数据的历史检测结果且所述历史检测结果的使用次数大于预设最大使用次数的情况下,重置所述历史检测结果的使用次数,并向云端服务器发送携带有所述待检测的报文数据的检测请求;
接收所述云端服务器返回的最新检测结果,并利用所述最新检测结果对所述历史检测结果进行更新;
从所述缓存数据中查找所述最新检测结果。
4.根据权利要求1所述的报文检测方法,其特征在于,所述从所述安全检测设备的缓存数据中查找所述待检测的报文数据的检测结果,包括:
在所述缓存数据中不存在所述待检测的报文数据的历史检测结果的情况下,向云端服务器发送携带有所述待检测的报文数据的检测请求;
接收所述云端服务器返回的最新检测结果,并缓存所述最新检测结果;
从所述缓存数据中查找所述最新检测结果。
5.一种报文检测装置,其特征在于,所述报文检测装置应用于安全检测设备,所述报文检测装置包括:
获取模块,用于在本地威胁情报库中不存在与待检测的报文数据相匹配的威胁情报数据的情况下,获取所述待检测的报文数据的查询次数;
查找模块,用于在所述查询次数大于等于预设最大查询次数的情况下,从所述安全检测设备的缓存数据中查找所述待检测的报文数据的检测结果。
6.根据权利要求5所述的报文检测装置,其特征在于,所述查找模块,具体用于在所述缓存数据中存在所述待检测的报文数据的历史检测结果且所述历史检测结果的使用次数小于等于预设最大使用次数的情况下,从所述缓存数据中查找所述历史检测结果。
7.根据权利要求5所述的报文检测装置,其特征在于,所述查找模块,具体用于:在所述缓存数据中存在所述待检测的报文数据的历史检测结果且所述历史检测结果的使用次数大于预设最大使用次数的情况下,重置所述历史检测结果的使用次数,并向云端服务器发送携带有所述待检测的报文数据的检测请求;接收所述云端服务器返回的最新检测结果,并利用所述最新检测结果对所述历史检测结果进行更新;从所述缓存数据中查找所述最新检测结果。
8.根据权利要求5所述的报文检测装置,其特征在于,所述查找模块,具体用于:在所述缓存数据中不存在所述待检测的报文数据的历史检测结果的情况下,向云端服务器发送携带有所述待检测的报文数据的检测请求;接收所述云端服务器返回的最新检测结果,并缓存所述最新检测结果;从所述缓存数据中查找所述最新检测结果。
9.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1至4任一所述的报文检测方法。
10.一种电子设备,其特征在于,所述电子设备包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1至4任一所述的报文检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011274736.XA CN112398852B (zh) | 2020-11-12 | 2020-11-12 | 一种报文检测方法、装置、存储介质和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011274736.XA CN112398852B (zh) | 2020-11-12 | 2020-11-12 | 一种报文检测方法、装置、存储介质和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112398852A true CN112398852A (zh) | 2021-02-23 |
| CN112398852B CN112398852B (zh) | 2022-11-15 |
Family
ID=74599442
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011274736.XA Active CN112398852B (zh) | 2020-11-12 | 2020-11-12 | 一种报文检测方法、装置、存储介质和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112398852B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660232A (zh) * | 2021-08-06 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 基于云服务器的威胁指标查询方法、系统和电子装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106878262A (zh) * | 2016-12-19 | 2017-06-20 | 新华三技术有限公司 | 报文检测方法及装置、建立云端威胁情报库的方法及装置 |
| US20180004942A1 (en) * | 2016-06-20 | 2018-01-04 | Jask Labs Inc. | Method for detecting a cyber attack |
| CN109597915A (zh) * | 2018-09-18 | 2019-04-09 | 北京微播视界科技有限公司 | 访问请求处理方法和装置 |
| CN109857760A (zh) * | 2018-12-22 | 2019-06-07 | 中国平安人寿保险股份有限公司 | 快速响应检索方法及装置、计算机装置及存储介质 |
| CN110598138A (zh) * | 2018-06-12 | 2019-12-20 | 北京京东尚科信息技术有限公司 | 基于缓存的处理方法和装置 |
| CN111291079A (zh) * | 2020-02-20 | 2020-06-16 | 京东数字科技控股有限公司 | 一种数据的查询方法和装置 |
-
2020
- 2020-11-12 CN CN202011274736.XA patent/CN112398852B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180004942A1 (en) * | 2016-06-20 | 2018-01-04 | Jask Labs Inc. | Method for detecting a cyber attack |
| CN106878262A (zh) * | 2016-12-19 | 2017-06-20 | 新华三技术有限公司 | 报文检测方法及装置、建立云端威胁情报库的方法及装置 |
| CN110598138A (zh) * | 2018-06-12 | 2019-12-20 | 北京京东尚科信息技术有限公司 | 基于缓存的处理方法和装置 |
| CN109597915A (zh) * | 2018-09-18 | 2019-04-09 | 北京微播视界科技有限公司 | 访问请求处理方法和装置 |
| CN109857760A (zh) * | 2018-12-22 | 2019-06-07 | 中国平安人寿保险股份有限公司 | 快速响应检索方法及装置、计算机装置及存储介质 |
| CN111291079A (zh) * | 2020-02-20 | 2020-06-16 | 京东数字科技控股有限公司 | 一种数据的查询方法和装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660232A (zh) * | 2021-08-06 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 基于云服务器的威胁指标查询方法、系统和电子装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112398852B (zh) | 2022-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107835149B (zh) | 基于dns流量分析的网络窃密行为检测方法以及装置 | |
| AU2018208693B2 (en) | A system to identify machines infected by malware applying linguistic analysis to network requests from endpoints | |
| US8255365B2 (en) | Source classification for performing deduplication in a backup operation | |
| CN111858496B (zh) | 一种元数据的检索方法、装置、存储介质和电子设备 | |
| US10417416B1 (en) | Methods and systems for detecting computer security threats | |
| US11012339B2 (en) | Web site reachability management for content browsing | |
| WO2009155453A1 (en) | System and method for fast flux detection | |
| CN108156121B (zh) | 流量劫持的监控方法及装置、流量劫持的报警方法及装置 | |
| CN103139279A (zh) | 文件访问方法和系统 | |
| CN105407186A (zh) | 获取子域名的方法和装置 | |
| CN110795395A (zh) | 文件部署系统和文件部署方法 | |
| CN112398852B (zh) | 一种报文检测方法、装置、存储介质和电子设备 | |
| CN112600797A (zh) | 异常访问行为的检测方法、装置、电子设备及存储介质 | |
| CN110636056A (zh) | 一种防御网页篡改的方法与设备 | |
| US9286402B2 (en) | System for detecting link spam, a method, and an associated computer readable medium | |
| CN110995732A (zh) | 一种网页篡改检测方法及相关装置 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| US20140130165A1 (en) | Protecting a User from a Compromised Web Resource | |
| US11070609B1 (en) | System and method for downloading a file | |
| CN109194621B (zh) | 流量劫持的检测方法、装置及系统 | |
| US11962618B2 (en) | Systems and methods for protection against theft of user credentials by email phishing attacks | |
| US20230237182A1 (en) | Incident management apparatus and incident management method | |
| CN116760642B (zh) | 判定域名资源记录变动安全性的方法和装置、设备、介质 | |
| CN112637293B (zh) | 数据修复系统、方法、装置、电子设备及存储介质 | |
| CN114024937B (zh) | 一种dns缓存投毒的检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |