CN113472788B - 一种威胁感知方法、系统、设备及计算机可读存储介质 - Google Patents
一种威胁感知方法、系统、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN113472788B CN113472788B CN202110741953.3A CN202110741953A CN113472788B CN 113472788 B CN113472788 B CN 113472788B CN 202110741953 A CN202110741953 A CN 202110741953A CN 113472788 B CN113472788 B CN 113472788B
- Authority
- CN
- China
- Prior art keywords
- threat
- preset
- black
- warning information
- sample data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Abstract
本申请公开了一种威胁感知方法、系统、设备及计算机可读存储介质,获取预设时间段内的多个黑样本数据;基于多个维度对多个黑样本数据进行分类统计,获得多个统计结果;多个维度包括黑样本数量、黑样本所属的家族分布、感染设备数、带壳样本数量中的至少两者;对多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息。本申请中,首先获取多个黑样本数据,可以借助黑样本数据准确获知设备的威胁类型,之后基于多个维度对多个黑样本数据进行分类统计,获得多个统计结果,可以借助统计结果准确获知每种威胁的相应信息,最后对多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息,可以通过威胁预警信息准确进行威胁预警。
Description
技术领域
本申请涉及互联网安全技术领域,更具体地说,涉及一种威胁感知方法、系统、设备及计算机可读存储介质。
背景技术
随着互联网技术的发展,网络已经成为人们生活、生产的一部分。但网络结构日趋复杂,网络环境交叉渗透,网络攻击纷繁多样,导致网络安全越发重要。为了保护网络安全,可以对网络进行威胁感知,比如通过设备的运行状态感知设备是否存在威胁等。所述的威胁感知(TA,Threat Awareness)是基于网络环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。
然而,上述方法仅准确性差难以保证网络环境的安全。
综上所述,如何保证网络环境的安全是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种威胁感知方法,其能在一定程度上解决如何保证客户端网络环境的安全的技术问题。本申请还提供了一种威胁感知系统、设备及计算机可读存储介质。
为了实现上述目的,第一方面,本申请提供一种威胁感知方法,包括:
获取预设时间段内的多个黑样本数据;
基于多个维度对所述多个黑样本数据进行分类统计,获得多个统计结果;所述多个维度包括黑样本数量、黑样本所属的家族分布、感染设备数、带壳样本数量中的至少两者;
对所述多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息。
优选的,所述获取预设时间段内的多个黑样本数据,包括:
获取用户端设备在预设时间段内产生的多个查杀日志;
从所述多个查杀日志中提取出所述多个黑样本数据。
优选的,所述获取用户端设备在预设时间段内产生的多个查杀日志,包括:
基于用户标识,从云端服务器获取所述用户端设备在预设时间段内产生的所述多个查杀日志。
优选的,所述预设的威胁感知规则包括所述黑样本数量大于第一预设数量阈值、所述黑样本所属的家族分布属于预设家族、所述感染设备数大于第二预设数量阈值、所述带壳样本数量大于第三预设数量阈值中的至少两者。
优选的,目标信息对应的目标预设数量阈值包括第一数值与第二数值的和值,所述第一数值为所述目标信息的历史数量均值,所述第二数值为所述目标信息的历史数量方差与预设数值的乘积值;
其中,所述目标信息包括所述黑样本数量、所述感染设备数、所述带壳样本数量,所述目标预设数量阈值包括所述第一预设数量阈值、所述第二预设数量阈值、所述第三预设数量阈值。
优选的,所述对所述多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息,包括:
在所述预设的威胁感知规则中,确定所述多个统计结果匹配的目标威胁感知规则;
确定所述目标威胁感知规则的威胁等级;
基于所述威胁等级确定所述威胁预警信息。
优选的,所述获得威胁预警信息之后,还包括:
将所述威胁预警信息发给所述用户端设备。
第二方面,本申请提供一种威胁感知系统,包括:
黑样本数据获取模块,用于获取预设时间段内的多个黑样本数据;
统计结果获取模块,用于基于多个维度对所述多个黑样本数据进行分类统计,获得多个统计结果;所述多个维度包括黑样本数量、黑样本所属的家族分布、感染设备数、带壳样本数量中的至少两者;
威胁预警信息获取模块,用于对所述多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息。
第三方面,本申请提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一所述威胁感知方法的步骤。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述威胁感知方法的步骤。
本申请提供的一种威胁感知方法,获取预设时间段内的多个黑样本数据;基于多个维度对多个黑样本数据进行分类统计,获得多个统计结果;多个维度包括黑样本数量、黑样本所属的家族分布、感染设备数、带壳样本数量中的至少两者;对多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息。本申请中,首先获取多个黑样本数据,可以借助黑样本数据准确获知设备的威胁类型,之后基于多个维度对多个黑样本数据进行分类统计,获得多个统计结果,可以借助统计结果准确获知每种威胁的相应信息,最后对多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息,可以通过威胁预警信息准确进行威胁预警。本申请提供的一种威胁感知系统、设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种威胁感知方法的第一流程图;
图2为本申请实施例提供的一种威胁感知方法的第二流程图;
图3为本申请实施例提供的一种威胁感知方法的第三流程图;
图4为本申请实施例提供的一种威胁感知方法的第四流程图;
图5为本申请实施例提供的一种威胁感知系统的结构示意图;
图6为本发明实施例电子设备的硬件组成结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,图1为本申请实施例提供的一种威胁感知方法的第一流程图。
本申请实施例提供的一种威胁感知方法,可以包括以下步骤:
步骤S101:获取预设时间段内的多个黑样本数据。
实际应用中,可以先获取预设时间段内的多个黑样本数据,预设时间段的时长可以根据实际需要确定,比如预设时间段可以以小时、天、星期等为单位确定等;且本申请所述的黑样本指的是对其所在环境产生威胁的样本,比如常见的病毒、木马蠕虫、间谍件、广告件等;使得借助黑样本数据可以准确确定设备的威胁类型。需要说明的是,黑样本数据的获取及确定可以根据实际需要确定,本申请在此不做具体限定。
步骤S102:基于多个维度对多个黑样本数据进行分类统计,获得多个统计结果;多个维度包括黑样本数量、黑样本所属的家族分布、感染设备数、带壳样本数量中的至少两者。
实际应用中,在获取预设时间段内的多个黑样本数据之后,为了对设备的威胁信息有更加准确的了解,可以基于多个维度对多个黑样本数据进行分类统计,获得多个统计结果,以借助统计结果准确获知每种威胁的相应信息;需要说明的是,多个维度的类型可以根据实际需要确定,比如多个维度可以包括黑样本数量、黑样本所属的家族分布、感染设备数、带壳样本数量中的至少两者等。其中,加壳病毒(SV,Shell viruses)指的是病毒作者通过将可执行程序文件或动态链接库文件的编码进行改变,缩小文件体积或加密程序编码,从而躲避杀毒软件的查杀;黑样本所属的家族分布可以包括勒索病毒家族、挖矿病毒家族等。
具体应用场景中,在基于多个维度对多个黑样本数据进行分类统计,获得多个统计结果的过程中,可以通过人工分析、沙箱、多引擎鉴定等方法来基于多个维度对多个黑样本数据进行分类统计,获得多个统计结果等。本申请在此不做具体限定。
步骤S103:对多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息。
实际应用中,为了对设备的威胁类型进行确定,本申请可以预先设置威胁感知规则,借助预设的威胁感知规则来确定设备的相应威胁预警信息,也即在基于多个维度对多个黑样本数据进行分类统计,获得多个统计结果之后,可以对多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息,威胁感知规则的类型及内容等可以根据具体应用场景来确定,且威胁预警信息的类型及内容等也可以根据具体应用场景来确定,比如其可以为红色字体的文字预警、特定频率的声音预警等本申请在此不做具体限定。
本申请提供的一种威胁感知方法,获取预设时间段内的多个黑样本数据;基于多个维度对多个黑样本数据进行分类统计,获得多个统计结果;多个维度包括黑样本数量、黑样本所属的家族分布、感染设备数、带壳样本数量中的至少两者;对多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息。本申请中,首先获取多个黑样本数据,可以借助黑样本数据准确获知设备的威胁类型,之后基于多个维度对多个黑样本数据进行分类统计,获得多个统计结果,可以借助统计结果准确获知每种威胁的相应信息,最后对多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息,可以通过威胁预警信息准确进行威胁预警。
请参阅图2,图2为本申请实施例提供的一种威胁感知方法的第二流程图。
本申请实施例提供的一种威胁感知方法,可以包括以下步骤:
步骤S201:获取用户端设备在预设时间段内产生的多个查杀日志。
步骤S202:从多个查杀日志中提取出多个黑样本数据。
实际应用中,因为用户端设备在运行过程中会对病毒等进行查杀并生成相应的查杀日志,所以可以借助查杀日志快速提取黑样本数据,也即在获取预设时间段内的多个黑样本数据的过程中,可以获取用户端设备在预设时间段内产生的多个查杀日志,并从多个查杀日志中提取出多个黑样本数据。用户端设备指的是用户应用的设备,其类型可以根据实际需要确定,比如可以为电脑等。
具体应用场景中,为了统一对用户端设备的查杀日志进行管理,可以将用户端设备的查杀日志存储在云端服务器进行管控,则在获取用户端设备在预设时间段内产生的多个查杀日志的过程中,可以基于用户标识,从云端服务器获取用户端设备在预设时间段内产生的多个查杀日志。需要说明的是,用户端设备的查杀日志可以由用户端设备定期主动上传到云端服务器等。
可以理解的是,在用户端设备具有黑样本分析能力的情况下,可以直接从用户端设备处获取相应的黑样本数据,也即在获取预设时间段内的黑样本数据的过程中,可以由用户端设备主动上报自身的黑样本;也可以是用户端设备本地上传病毒的MD5(MessageDigest Algorithm MD5,消息摘要算法)码,本申请所述方法的执行主体再通过Virustotal或其他样本库来根据此MD5下载得到相应的黑样本数据等。
步骤S203:基于多个维度对多个黑样本数据进行分类统计,获得多个统计结果;多个维度包括黑样本数量、黑样本所属的家族分布、感染设备数、带壳样本数量中的至少两者。
步骤S204:对多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息。
本申请实施例提供的一种威胁感知方法中,预设的威胁感知规则应当与统计结果的类型相对应,比如其可以包括黑样本数量大于第一预设数量阈值、黑样本所属的家族分布属于预设家族、感染设备数大于第二预设数量阈值、带壳样本数量大于第三预设数量阈值中的至少两者等。需要说明的是,为了保证预设的威胁感知规则能对所有类型的统计信息进行处理,预设的威胁感知规则可以包括所有的上述类型等。
实际应用场景中,预设数量阈值可以根据具体应用场景来确定,假设目标信息包括黑样本数量、感染设备数、带壳样本数量,目标预设数量阈值包括第一预设数量阈值、第二预设数量阈值、第三预设数量阈值;则目标信息对应的目标预设数量阈值可以包括第一数值与第二数值的和值,第一数值为目标信息的历史数量均值,第二数值为目标信息的历史数量方差与预设数值的乘积值。相应的,在对多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息的过程中,可以在多个统计结果中,确定相应目标信息对应的实时数量值,判断实时数量值是否大于对应的目标预设数量阈值,若实时数量值大于对应的目标预设数量阈值,则将相应的预设的威胁感知规则确定为目标威胁感知规则,再基于目标威胁感知规则确定威胁预警信息。
为了便于理解,以目标信息类型为黑样本数量为例,假设黑样本数量在过去10天内的历史数量均值为5,预设数值为6,且历史数量方差与预设数值的乘积值为10,如果多个统计结果中黑样本数量为17,那么多个统计信息便会命中表征黑样本数量大于对应的第一预设数量阈值的预设的威胁感知规则,如果多个统计结果中黑样本数量为13,那么多个统计结果便不会命中表征黑样本数量大于对应的第一预设数量阈值的预设的威胁感知规则。
实际应用场景中,黑样本所属的家族分布属于预设家族中的预设家族可以根据实际需要确定。此时,在对多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息的过程中,可以在多个统计结果中,确定黑样本所属的家族分布的目标类型,判断目标类型是否属于预设类型,若目标类型属于预设类型,则基于黑样本所属的家族分布属于预设家族的预设的威胁感知规则确定相应的威胁预警信息;为了便于理解,以预设家族为勒索病毒家族为例,若多个统计结果中存在类型为勒索病毒的黑样本所属的家族分布,则可以确定多个统计结果命中了表征黑样本所属的家族分布属于预设家族的预设的威胁感知规则。
请参阅图3,图3为本申请实施例提供的一种威胁感知方法的第三流程图。
本申请实施例提供的一种威胁感知方法,可以包括以下步骤:
步骤S301:获取预设时间段内的多个黑样本数据。
步骤S302:基于多个维度对多个黑样本数据进行分类统计,获得多个统计结果;多个维度包括黑样本数量、黑样本所属的家族分布、感染设备数、带壳样本数量中的至少两者。
步骤S303:在预设的威胁感知规则中,确定多个统计结果匹配的目标威胁感知规则。
步骤S304:确定目标威胁感知规则的威胁等级。
步骤S305:基于威胁等级确定威胁预警信息。
实际应用中,统计结果命中的威胁感知规则所表征的用户受攻击程度是不同的,为了便于了解客户端的受攻击程度,在对多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息的过程中,可以在预设的威胁感知规则中,确定多个统计结果匹配的目标威胁感知规则;确定目标威胁感知规则的威胁等级;再基于威胁等级等确定威胁预警信息。假设表征黑样本所属的家族分布的预设的威胁感知规则的威胁程度最高,则目标威胁感知规则为表征黑样本所属的家族分布的预设的威胁感知规则时,此时的威胁等级可以最高,可以确定最高级别的威胁预警信息。
请参阅图4,图4为本申请实施例提供的一种威胁感知方法的第四流程图。
本申请实施例提供的一种威胁感知方法,可以包括以下步骤:
步骤S401:获取预设时间段内的多个黑样本数据。
步骤S402:基于多个维度对多个黑样本数据进行分类统计,获得多个统计结果;多个维度包括黑样本数量、黑样本所属的家族分布、感染设备数、带壳样本数量中的至少两者。
步骤S403:对多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息。
步骤S404:将威胁预警信息发给用户的客户端。
实际应用中,为了便于用户及时获知自身设备的安全状况,在对多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息之后,还可以将威胁预警信息发送给用户的客户端,比如通过邮箱、短信等方式将威胁预警信息发送给用户的客户端等,本申请在此不做具体限定。
请参阅图5,图5为本申请实施例提供的一种威胁感知系统的结构示意图。
本申请实施例提供的一种威胁感知系统,可以包括:
黑样本数据获取模块101,用于获取预设时间段内的多个黑样本数据;
统计结果获取模块102,用于基于多个维度对所述多个黑样本数据进行分类统计,获得多个统计结果;所述多个维度包括黑样本数量、黑样本所属的家族分布、感染设备数、带壳样本数量中的至少两者;
威胁预警信息获取模块103,用于对所述多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息。
本申请实施例提供的一种威胁感知系统中,黑样本数据获取模块可以包括:
查杀日志获取单元,用于获取用户端设备在预设时间段内产生的多个查杀日志;
黑样本数据提取单元,用于从多个查杀日志中提取出多个黑样本数据。
本申请实施例提供的一种威胁感知系统中,查杀日志获取单元可以具体用于:基于用户标识,从云端服务器获取用户端设备在预设时间段内产生的多个查杀日志。
本申请实施例提供的一种威胁感知系统中,预设的威胁感知规则可以包括黑样本数量大于第一预设数量阈值、黑样本所属的家族分布属于预设家族、感染设备数大于第二预设数量阈值、带壳样本数量大于第三预设数量阈值中的至少两者。
本申请实施例提供的一种威胁感知系统中,目标信息对应的目标预设数量阈值可以包括第一数值与第二数值的和值,第一数值为目标信息的历史数量均值,第二数值为目标信息的历史数量方差与预设数值的乘积值;
其中,目标信息包括黑样本数量、感染设备数、带壳样本数量,目标预设数量阈值包括第一预设数量阈值、第二预设数量阈值、第三预设数量阈值。
本申请实施例提供的一种威胁感知系统中,威胁预警信息获取模块可以包括:
目标威胁感知规则确定单元,用于在预设的威胁感知规则中,确定多个统计结果匹配的目标威胁感知规则;
威胁等级确定单元,用于确定目标威胁感知规则的威胁等级;
威胁预警信息确定单元,用于基于威胁等级确定威胁预警信息。
本申请实施例提供的一种威胁感知系统中,还可以包括:
发送模块,用于威胁预警信息获取模块获得威胁预警信息之后,将威胁预警信息发给用户端设备。
基于上述程序模块的硬件实现,且为了实现本发明实施例的方法,本发明实施例还提供了一种电子设备,图6为本发明实施例电子设备的硬件组成结构示意图,如图6所示,电子设备包括:
通信接口1,能够与其它设备比如网络设备等进行信息交互;
处理器2,与通信接口1连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的威胁感知方法。而所述计算机程序存储在存储器3上。
当然,实际应用时,电子设备中的各个组件通过总线系统4耦合在一起。可理解,总线系统4用于实现这些组件之间的连接通信。总线系统4除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图6中将各种总线都标为总线系统4。
本发明实施例中的存储器3用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括:用于在电子设备上操作的任何计算机程序。
可以理解,存储器3可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器2旨在包括但不限于这些和任意其它适合类型的存储器。
上述本发明实施例揭示的方法可以应用于处理器2中,或者由处理器2实现。处理器2可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器3,处理器2读取存储器3中的程序,结合其硬件完成前述方法的步骤。
处理器2执行所述程序时实现本发明实施例的各个方法中的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本发明实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器3,上述计算机程序可由处理器2执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置、终端和方法,可以通过其它的方式实现。以上所描述的设备实施例仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请实施例提供的威胁感知系统、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的威胁感知方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种威胁感知方法,其特征在于,包括:
获取预设时间段内的多个黑样本数据;
基于多个维度对所述多个黑样本数据进行分类统计,获得多个统计结果;所述多个维度包括黑样本数量、黑样本所属的家族分布、感染设备数、带壳样本数量;
对所述多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息;
其中,所述对所述多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息,包括:在所述预设的威胁感知规则中,确定所述多个统计结果匹配的目标威胁感知规则;确定所述目标威胁感知规则的威胁等级;基于所述威胁等级确定所述威胁预警信息;
其中,所述目标威胁感知规则表征黑样本所属的家族分布的预设的威胁感知规则时,所述威胁等级最高,所述威胁预警信息的级别最高。
2.根据权利要求1所述的方法,其特征在于,所述获取预设时间段内的多个黑样本数据,包括:
获取用户端设备在预设时间段内产生的多个查杀日志;
从所述多个查杀日志中提取出所述多个黑样本数据。
3.根据权利要求2所述的方法,其特征在于,所述获取用户端设备在预设时间段内产生的多个查杀日志,包括:
基于用户标识,从云端服务器获取所述用户端设备在预设时间段内产生的所述多个查杀日志。
4.根据权利要求1所述的方法,其特征在于,所述预设的威胁感知规则包括所述黑样本数量大于第一预设数量阈值、所述黑样本所属的家族分布属于预设家族、所述感染设备数大于第二预设数量阈值、所述带壳样本数量大于第三预设数量阈值中的至少两者。
5.根据权利要求4所述的方法,其特征在于,目标信息对应的目标预设数量阈值包括第一数值与第二数值的和值,所述第一数值为所述目标信息的历史数量均值,所述第二数值为所述目标信息的历史数量方差与预设数值的乘积值;
其中,所述目标信息包括所述黑样本数量、所述感染设备数、所述带壳样本数量,所述目标预设数量阈值包括所述第一预设数量阈值、所述第二预设数量阈值、所述第三预设数量阈值。
6.根据权利要求1所述的方法,其特征在于,所述获得威胁预警信息之后,还包括:
将所述威胁预警信息发给用户端设备。
7.一种威胁感知系统,其特征在于,包括:
黑样本数据获取模块,用于获取预设时间段内的多个黑样本数据;
统计结果获取模块,用于基于多个维度对所述多个黑样本数据进行分类统计,获得多个统计结果;所述多个维度包括黑样本数量、黑样本所属的家族分布、感染设备数、带壳样本数量;
威胁预警信息获取模块,用于对所述多个统计结果通过预设的威胁感知规则进行处理,获得威胁预警信息;
其中,所述威胁预警信息获取模块包括:
目标威胁感知规则确定单元,用于在所述预设的威胁感知规则中,确定所述多个统计结果匹配的目标威胁感知规则;
威胁等级确定单元,用于确定所述目标威胁感知规则的威胁等级;
威胁预警信息确定单元,用于基于所述威胁等级确定所述威胁预警信息;
其中,所述目标威胁感知规则表征黑样本所属的家族分布的预设的威胁感知规则时,所述威胁等级最高,所述威胁预警信息的级别最高。
8.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述威胁感知方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述威胁感知方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110741953.3A CN113472788B (zh) | 2021-06-30 | 2021-06-30 | 一种威胁感知方法、系统、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110741953.3A CN113472788B (zh) | 2021-06-30 | 2021-06-30 | 一种威胁感知方法、系统、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113472788A CN113472788A (zh) | 2021-10-01 |
| CN113472788B true CN113472788B (zh) | 2023-09-08 |
Family
ID=77877153
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110741953.3A Active CN113472788B (zh) | 2021-06-30 | 2021-06-30 | 一种威胁感知方法、系统、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113472788B (zh) |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107368856A (zh) * | 2017-07-25 | 2017-11-21 | 深信服科技股份有限公司 | 恶意软件的聚类方法及装置、计算机装置及可读存储介质 |
| CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知系统、方法及可读存储介质 |
| CN108600212A (zh) * | 2018-04-19 | 2018-09-28 | 北京邮电大学 | 基于多维度可信特征的威胁情报可信性判别方法及装置 |
| CN109104438A (zh) * | 2018-10-22 | 2018-12-28 | 杭州安恒信息技术股份有限公司 | 一种窄带物联网中的僵尸网络预警方法及装置 |
| CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护系统 |
| CN110177114A (zh) * | 2019-06-06 | 2019-08-27 | 腾讯科技(深圳)有限公司 | 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质 |
| CN110351280A (zh) * | 2019-07-15 | 2019-10-18 | 杭州安恒信息技术股份有限公司 | 一种威胁情报提取的方法、系统、设备及可读存储介质 |
| CN110740141A (zh) * | 2019-11-15 | 2020-01-31 | 国网山东省电力公司信息通信公司 | 一体化网络安全态势感知方法、装置及计算机设备 |
| CN110955893A (zh) * | 2019-11-22 | 2020-04-03 | 杭州安恒信息技术股份有限公司 | 一种恶意文件威胁分析平台及恶意文件威胁分析方法 |
| CN111131294A (zh) * | 2019-12-30 | 2020-05-08 | 武汉英迈信息科技有限公司 | 威胁监测方法、装置、设备和存储介质 |
| CN111177720A (zh) * | 2019-08-08 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 基于大数据生成威胁情报的方法、装置及可读存储介质 |
| CN111447215A (zh) * | 2020-03-25 | 2020-07-24 | 深信服科技股份有限公司 | 数据检测方法、装置和存储介质 |
| CN112019521A (zh) * | 2020-08-07 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 一种资产评分方法、装置、计算机设备及存储介质 |
| CN112671744A (zh) * | 2020-12-17 | 2021-04-16 | 杭州安恒信息技术股份有限公司 | 一种威胁情报信息处理方法、装置、设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10140576B2 (en) * | 2014-08-10 | 2018-11-27 | Palo Alto Research Center Incorporated | Computer-implemented system and method for detecting anomalies using sample-based rule identification |
-
2021
- 2021-06-30 CN CN202110741953.3A patent/CN113472788B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107368856A (zh) * | 2017-07-25 | 2017-11-21 | 深信服科技股份有限公司 | 恶意软件的聚类方法及装置、计算机装置及可读存储介质 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知系统、方法及可读存储介质 |
| CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
| CN108600212A (zh) * | 2018-04-19 | 2018-09-28 | 北京邮电大学 | 基于多维度可信特征的威胁情报可信性判别方法及装置 |
| CN109104438A (zh) * | 2018-10-22 | 2018-12-28 | 杭州安恒信息技术股份有限公司 | 一种窄带物联网中的僵尸网络预警方法及装置 |
| CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护系统 |
| CN110177114A (zh) * | 2019-06-06 | 2019-08-27 | 腾讯科技(深圳)有限公司 | 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质 |
| CN110351280A (zh) * | 2019-07-15 | 2019-10-18 | 杭州安恒信息技术股份有限公司 | 一种威胁情报提取的方法、系统、设备及可读存储介质 |
| CN111177720A (zh) * | 2019-08-08 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 基于大数据生成威胁情报的方法、装置及可读存储介质 |
| CN110740141A (zh) * | 2019-11-15 | 2020-01-31 | 国网山东省电力公司信息通信公司 | 一体化网络安全态势感知方法、装置及计算机设备 |
| CN110955893A (zh) * | 2019-11-22 | 2020-04-03 | 杭州安恒信息技术股份有限公司 | 一种恶意文件威胁分析平台及恶意文件威胁分析方法 |
| CN111131294A (zh) * | 2019-12-30 | 2020-05-08 | 武汉英迈信息科技有限公司 | 威胁监测方法、装置、设备和存储介质 |
| CN111447215A (zh) * | 2020-03-25 | 2020-07-24 | 深信服科技股份有限公司 | 数据检测方法、装置和存储介质 |
| CN112019521A (zh) * | 2020-08-07 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 一种资产评分方法、装置、计算机设备及存储介质 |
| CN112671744A (zh) * | 2020-12-17 | 2021-04-16 | 杭州安恒信息技术股份有限公司 | 一种威胁情报信息处理方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113472788A (zh) | 2021-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10872151B1 (en) | System and method for triggering analysis of an object for malware in response to modification of that object | |
| US10817603B2 (en) | Computer security system with malicious script document identification | |
| CN107547555B (zh) | 一种网站安全监测方法及装置 | |
| CN110943961B (zh) | 数据处理方法、设备以及存储介质 | |
| CN109246064B (zh) | 安全访问控制、网络访问规则的生成方法、装置及设备 | |
| CN110677380A (zh) | 网络威胁指示符提取和响应 | |
| WO2018099206A1 (zh) | 一种apt检测方法、系统及装置 | |
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
| TW201702921A (zh) | 異常預測方法、系統及裝置 | |
| CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN101795267A (zh) | 病毒检测方法、装置和网关设备 | |
| WO2014103115A1 (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
| JP2013232716A (ja) | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム | |
| US11558401B1 (en) | Multi-vector malware detection data sharing system for improved detection | |
| Wu et al. | Detect repackaged android application based on http traffic similarity | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| CN105468975A (zh) | 恶意代码误报的追踪方法、装置及系统 | |
| US9239907B1 (en) | Techniques for identifying misleading applications | |
| CN107172033B (zh) | 一种waf误判识别方法以及装置 | |
| CN113472788B (zh) | 一种威胁感知方法、系统、设备及计算机可读存储介质 | |
| CN113595981A (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
| CN111193700B (zh) | 一种安全防护方法、安全防护装置和存储介质 | |
| CN114301696B (zh) | 恶意域名检测方法、装置、计算机设备及存储介质 | |
| CN112769739A (zh) | 数据库操作违规处理方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |