CN114172721B - 恶意数据防护方法、装置、电子设备及存储介质 - Google Patents

恶意数据防护方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN114172721B
CN114172721B CN202111475920.5A CN202111475920A CN114172721B CN 114172721 B CN114172721 B CN 114172721B CN 202111475920 A CN202111475920 A CN 202111475920A CN 114172721 B CN114172721 B CN 114172721B
Authority
CN
China
Prior art keywords
data
flow data
information
characteristic
malicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111475920.5A
Other languages
English (en)
Other versions
CN114172721A (zh
Inventor
侯文博
谌颐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111475920.5A priority Critical patent/CN114172721B/zh
Publication of CN114172721A publication Critical patent/CN114172721A/zh
Application granted granted Critical
Publication of CN114172721B publication Critical patent/CN114172721B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种恶意数据防护方法、装置、电子设备及存储介质,涉及恶意数据防护技术领域,该方法包括:接收流量数据,提取流量数据的特征值并与特征库中的特征值进行比对,确定流量数据的特征值与特征库中的特征值是否匹配;在流量数据的特征值与特征库中的特征值不匹配时,基于训练完成的数据检测模型对流量数据进行检测,确定流量数据中是否带有恶意信息;在数据检测模型未检测出流量数据带有恶意信息时,将流量数据上传至云端系统;接收云端系统返回的检测结果,在检测结果表征流量数据为安全时,放行流量数据。采用本申请实施例提供的恶意数据防护方法能够提高恶意数据防护能力。

Description

恶意数据防护方法、装置、电子设备及存储介质
技术领域
本申请涉及恶意数据防护领域,具体而言,涉及一种恶意数据防护方法、装置、电子设备及存储介质。
背景技术
企业业务向着云化、虚拟化和移动化发展,拉伸了网络边界,因此传统的网络安全架构不能适应企业业务架构的变化,无法应对新的高级威胁。终端一般基于预存特征库对数据中的恶意信息进行检测,在出现新的恶意数据特征时,对数据检测存在滞后性,无法保证设备不受恶意数据威胁,因此存在恶意数据防护能力低的问题。
发明内容
有基于此,本申请实施例的目的在于提供一种恶意数据防护方法、装置、电子设备及存储介质,用以提高设备对恶意数据防护能力。
第一方面,本申请实施例提供一种恶意数据防护方法,包括:接收流量数据,提取所述流量数据的特征值并与特征库中的特征值进行比对,确定所述流量数据的特征值与所述特征库中的特征值是否匹配;
在所述流量数据的特征值与所述特征库中的特征值不匹配时,基于训练完成的数据检测模型对所述流量数据进行检测,确定所述流量数据中是否带有恶意信息;
在所述数据检测模型未检测出所述流量数据带有恶意信息时,将所述流量数据上传至云端系统;
接收所述云端系统返回的检测结果,在所述检测结果表征所述流量数据为安全时,放行所述流量数据。
在上述实现过程中,可以基于云端系统-网关-终端的一体化防护策略对带有恶意信息的流量数据进行防护,通过匹配流量数据以及特征库中的特征值提高恶意数据防护能力,加强对用户资产的保护,能够解决目前单一安全设备防护能力差的问题,通过网关中的数据检测模型检测并阻断恶意流量,能够实现对流量数据的动态检测,同时将对数据进行分析计算的过程转移到云端,能够节省网端设备的计算消耗以及防止因本地样本不足而导致的漏筛数据的情况。
可选地,所述方法还可以包括:
在所述数据检测模型检测出所述流量数据带有恶意信息时,基于网关安全策略处理所述流量数据,并将所述流量数据的特征值同步至所述云端系统的特征库中;
在接收所述云端系统返回的检测结果,所述检测结果表征所述流量数据为危险时,基于所述云端系统发送的威胁特征信息,将所述威胁特征信息存入所述特征库,并基于所述网关安全策略处理所述流量数据。
在上述实现过程中,通过云端-网关-终端一体对流量数据进行防护,在确保检测深度的基础上完善了云端检测以及网关联动,提高了威胁检测规模以及检测范围,通过网关与云端之间的双向反馈,能够提高本地设备的检测效率和准确性。
可选地,所述流量数据的特征值包括互联网协议地址、域名、网址、应用或哈希值中的至少一种,所述提取所述流量数据的特征值并与特征库中的特征值进行比对可以包括:
基于所述流量数据的第一个报文确定第一比对策略,所述第一比对策略表征选用网关中与所述流量数据的特征值对应的特征比对模块对所述流量数据进行匹配;
基于所述第一比对策略从所述流量数据中提取所述互联网协议地址、所述域名、所述网址、所述应用和所述哈希值中的至少一种,与所述特征库中的特征值进行匹配。
在检测到所述流量数据中含有邮件信息时,确定第二比对策略,所述第二比对策略表征选用所述网关中与所述邮件信息对应的比对模块对所述邮件信息进行匹配,所述邮件信息包括邮箱地址和/或附件信息;
基于所述第二比对策略将所述邮箱地址和/或附件信息与所述特征库中的特征值进行匹配。
在上述实现过程中,通过对识别流量数据,并基于多种安全威胁的标识信息对流量数据进行匹配,能够扩大威胁检测的范围,提高恶意数据防护的准确性。
可选地,在所述接收所述云端系统返回的检测结果,所述检测结果表征所述流量数据为危险之后,所述方法还可以包括:
根据用户资产信息和所述流量数据的关联情况进行评分,得到评分结果;
将所述评分结果反馈至网关,以使所述网关在再次接收到与所述评分结果相关的所述数据流量时,基于所述评分结果判断是否拦截所述流量数据。
在上述实现过程中,基于用户资产和流量数据中的恶意特征信息的关联情况进行评分,并通过评分结果使终端设备自动判断是否拦截相关数据流量或文件,在终端设备不具备访问互联网的条件下,依然可以通过网关更新的特征库来完善本地的特征库,从而保障终端安全。
可选地,所述将所述流量数据上传至云端系统包括:
基于预设协议向所述云端系统发送所述流量数据;
根据所述预设协议确定将请求指令包装成一个对象或将所述请求指令转换为二进制或十六进制,并发送所述请求指令,以使所述云端系统对所述数据流量进行检测。
在上述实现过程中,可以使用多种协议向云端系统发送请求指令以及流量数据,可以提高数据传输的灵活性。
可选地,恶意数据防护方法在应用于云端系统时,可以包括:
接收请求指令,所述请求指令表征网关中的数据检测模型未检测出流量数据带有恶意信息,基于所述请求指令将所述流量数据的特征值与所述云端系统特征库中的特征值进行比对,得到检测结果;
返回所述检测结果,以使所述网关确定放行所述流量数据或基于网关安全策略处理所述流量数据。
在上述实现过程中,可以基于云端系统-网关-终端的一体化防护策略对带有恶意信息的流量数据进行防护,在确保检测深度的基础上完善了云端检测以及网关联动,提高了威胁检测规模以及检测范围,同时将对数据进行分析计算的过程转移到云端,能够节省网端设备的计算消耗以及防止因本地样本不足而导致的漏筛数据的情况。
第二方面,本申请实施例提供一种恶意数据防护装置,可以包括:
提取模块,用于接收流量数据,提取所述流量数据的特征值并与特征库中的特征值进行比对,确定所述流量数据的特征值与所述特征库中的特征值是否匹配;
检测模块,用于在所述流量数据的特征值与所述特征库中的特征值不匹配时,基于训练完成的数据检测模型对所述流量数据进行检测,确定所述流量数据中是否带有恶意信息;
信息上传模块,用于在所述数据检测模型未检测出所述流量数据带有恶意信息时,将所述流量数据上传至云端系统;
接收模块,用于接收所述云端系统返回的检测结果,在所述检测结果表征所述流量数据为安全时,放行所述流量数据。
在上述实现过程中,可以基于云端系统-网关-终端的一体化防护策略对带有恶意信息的流量数据进行防护,通过匹配流量数据以及特征库中的特征值提高恶意数据防护能力,加强对用户资产的保护,能够解决目前单一安全设备防护能力差的问题,通过网关中的数据检测模型检测并阻断恶意流量,能够实现对流量数据的动态检测,同时将对数据进行分析计算的过程转移到云端,能够节省网端设备的计算消耗以及防止因本地样本不足而导致的漏筛数据的情况。
可选地,恶意数据防护装置还可包括数据同步模块,用于:
在所述数据检测模型检测出所述流量数据带有恶意信息时,基于网关安全策略处理所述流量数据,并将所述流量数据的特征值同步至所述云端系统的特征库中;以及在接收所述云端系统返回的检测结果,所述检测结果表征所述流量数据为危险时,基于所述云端系统发送的威胁特征信息,将所述威胁特征信息存入所述特征库,并基于所述网关安全策略处理所述流量数据。
在上述实现过程中,通过云端-网关-终端一体对流量数据进行防护,在确保检测深度的基础上完善了云端检测以及网关联动,提高了威胁检测规模以及检测范围,通过网关与云端之间的双向反馈,能够提高本地设备的检测效率和准确性。
可选地,提取模块可具体用于:基于所述流量数据的第一个报文确定第一比对策略,所述第一比对策略表征选用网关中与所述流量数据的特征值对应的特征比对模块对所述流量数据进行匹配;基于所述第一比对策略从所述流量数据中提取所述互联网协议地址、所述域名、所述网址、所述应用和所述哈希值中的至少一种,与所述特征库中的特征值进行匹配。
可选地,提取模块还可用于在检测到所述流量数据中含有邮件信息时,确定第二比对策略,所述第二比对策略表征选用所述网关中与所述邮件信息对应的比对模块对所述邮件信息进行匹配,所述邮件信息包括邮箱地址和/或附件信息;基于所述第二比对策略将所述邮箱地址和/或附件信息与所述特征库中的特征值进行匹配。
在上述实现过程中,通过对识别流量数据,并基于多种安全威胁的标识信息对流量数据进行匹配,能够扩大威胁检测的范围,提高恶意数据防护的准确性。
可选地,恶意数据防护装置还可包括评分模块,用于根据用户资产信息和所述流量数据的关联情况进行评分,得到评分结果;以及将所述评分结果反馈至网关,以使所述网关在再次接收到与所述评分结果相关的所述数据流量时,基于所述评分结果判断是否拦截所述流量数据。
在上述实现过程中,基于用户资产和流量数据中的恶意特征信息的关联情况进行评分,并通过评分结果使终端设备自动判断是否拦截相关数据流量或文件,在终端设备不具备访问互联网的条件下,依然可以通过网关更新的特征库来完善本地的特征库,从而保障终端安全。
可选地,信息上传模块可具体用于基于预设协议向所述云端系统发送所述流量数据,并发送请求指令;以及根据所述预设协议确定将所述请求指令包装成一个对象或将所述请求指令转换为二进制或十六进制,以使所述云端系统对所述数据流量进行检测。
在上述实现过程中,可以使用多种协议向云端系统发送请求指令以及流量数据,可以提高数据传输的灵活性。
可选地,恶意数据防护装置在应用于云端系统时,可以包括:
接收模块,用于接收请求指令,所述请求指令表征网关中的数据检测模型未检测出流量数据带有恶意信息,基于所述请求指令将所述流量数据的特征值与所述云端系统特征库中的特征值进行比对,得到检测结果。
返回模块,用于返回所述检测结果,以使所述网关确定放行所述流量数据或基于网关安全策略处理所述流量数据。
在上述实现过程中,可以基于云端系统-网关-终端的一体化防护策略对带有恶意信息的流量数据进行防护,在确保检测深度的基础上完善了云端检测以及网关联动,提高了威胁检测规模以及检测范围,同时将对数据进行分析计算的过程转移到云端,能够节省网端设备的计算消耗以及防止因本地样本不足而导致的漏筛数据的情况。
第三方面,本申请实施例提供一种电子设备,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行上述任一实现方式中的步骤。
第四方面,本申请实施例还提供一种计算机可读存储介质,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述任一实现方式中的步骤。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的恶意数据防护方法的步骤示意图;
图2为本申请实施例提供的一种处理带有恶意信息流量数据的步骤示意图;
图3为本申请实施例提供的一种对比流量数据的特征值和特征库中的特征值的步骤示意图;
图4为本申请实施例提供的基于流量数据的威胁程度评分对流量数据进行处理的步骤示意图;
图5为本申请实施例提供的一种与云端系统进行交互的步骤示意图;
图6为本申请实施例提供的一种应用于云端系统的恶意数据防护方法的步骤示意图;
图7为本申请实施例中提供的恶意数据防护装置的示意图;
图8为本申请实施例提供的应用于云端系统的恶意数据防护装置的示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。例如,附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
申请人在研究的过程中发现,传统的网络安全架构是基于边界的安全架构,首先寻找安全边界,将网络划分为外网、内网、隔离区(Demilitarized Zone,DMZ)等不同的区域,然后在边界上部署防火墙、入侵检测、Web应用防护系统(Web Application Firewall,WAF)等产品,但这种网络安全架构默认了内网比外网更安全,且只针对单一威胁设置网络安全防护机制,针对安全漏洞、数据泄露、网络诈骗、勒索病毒等高级威胁时,会存在应对乏力的问题。
有基于此,本申请实施例都是目的在于提供一种恶意数据防护方法,基于云端-网关-终端的一体联动防护以应对高级威胁,保护用户资产的安全。请参看图1,图1为本申请实施例提供的恶意数据防护方法的步骤示意图,恶意数据防护方法可以包括如下步骤:
在步骤S11中,接收流量数据,提取所述流量数据的特征值并与特征库中的特征值进行比对,确定所述流量数据的特征值与所述特征库中的特征值是否匹配。
其中,流量数据的特征值可以包括互联网协议地址、域名、网址、应用或哈希值,特征库可以是IOC(Inversion of Control)特征库,该IOC特征库中保存有多种安全威胁的IOC威胁标识信息,主要包括恶意IP、域名、URL网址信息、哈希值等。另外,特征库中还可存有邮件地址特征信息以及邮件附件信息,在检测到流量数据中存在邮件地址以及附件时,可以对邮件地址以及附件的特征进行比对,确定文件中是否有威胁。
比对的方式可以是首先对数量流量的特征值进行分类,然后基于分类的结果与特征库中一个类别的特征进行比对,也可以是基于特征值在特征库中进行搜索,并基于返回结果确定是否特征库中是否有匹配特征值。
在步骤S12中,在所述流量数据的特征值与所述特征库中的特征值不匹配时,基于训练完成的数据检测模型对所述流量数据进行检测,确定所述流量数据中是否带有恶意信息。
其中,数据检测模型可以是由初始数据检测模型经过训练样本训练得到的数据检测模型,其中训练样本分为黑样本和白样本,黑样本为带有威胁信息的流量数据,白样本为不带恶意信息的流量数据,初始数据检测模型从样本中提取流量数据的域名特征、时间特征或行为特征等作为判断依据,确定训练样本是否带有恶意数据并基于校验结果对数据检测模型进行训练。
在一可选的实施例中,还可以从训练样本中提取字符对初始数据检测模型进行训练,得到能够对随机性字符组合进行分析的数据检测模型,以提高模型检测恶意信息的准确性。
在步骤S13中,在所述数据检测模型未检测出所述流量数据带有恶意信息时,将所述流量数据上传至云端系统。
在步骤S14中,接收所述云端系统返回的检测结果,在所述检测结果表征所述流量数据为安全时,放行所述流量数据。
具体地,本申请实施例中的网关是一种具有转换功能的计算机系统或设备,网关可以是TCP/IP协议网关,终端可以通过所述网关与外界进行脚骨。本申请实施例中的终端可以是具有联网功能的电子设备,该电子设备可以是工程设备的配置器、手机、平板电脑、计算机、个人数字助理等。本申请实施例中的云端系统可以设置在是一台服务器中,或者设置于由若干台服务器组成的服务器集群中。终端能够与云端系统进行信息交互并向云端系统发送信息或从所述云端系统中获取信息。
示例性地,安全网关收集网络中的数据,数据可以包括DNS访问、网络连接、URL访问、文件交换和邮件信息等,通过安全网关中内置的安全模块提取数据流特征值,基于终端本地的特征库对数据流特征值进行安全检测,确定本地特征库中是否有威胁标识信息与数据流特征值匹配,从而判断该数据是否为威胁数据。
在数据流特征值没有命中本地特征库时,通过网关中的数据检测模型对数据的报文进行检测,其中数据检测模型可以为AI模型,若模型未从该数据中检测出恶意信息,则网关向云端系统发送流量数据以及对应的文件信息,请求云端系统对流量数据进行检测。
云端系统将流量数据以及从文件中提取的特征信息与云端系统的云端特征库中的恶意样本威胁标识信息进行匹配,若未命中云端特征库中的特征值,则判断该流量数据及文件信息为正常数据,放行相关流量数据以及文件信息。
由此可见,本申请实施例可以基于云端系统-网关-终端的一体化防护策略对带有恶意信息的流量数据进行防护,通过匹配流量数据以及特征库中的特征值提高恶意数据防护能力,加强对用户资产的保护,能够解决目前单一安全设备防护能力差的问题,通过网关中的数据检测模型检测并阻断恶意流量,能够实现对流量数据的动态检测,同时将对数据进行分析计算的过程转移到云端,能够节省网端设备的计算消耗以及防止因本地样本不足而导致的漏筛数据的情况。
在一可选的实施例中,本申请实施例还提供一种处理带有恶意信息流量数据的方法,请参看图2,图2为本申请实施例提供的一种处理带有恶意信息流量数据的步骤示意图,处理带有恶意信息流量数据的流程可以为:
在步骤S21中,在所述数据检测模型检测出所述流量数据带有恶意信息时,基于网关安全策略处理所述流量数据,并将所述流量数据的特征值同步至所述云端系统的特征库中。
在步骤S22中,在接收所述云端系统返回的检测结果,所述检测结果表征所述流量数据为危险时,基于所述云端系统发送的威胁特征信息,将所述威胁特征信息存入所述特征库,并基于所述网关安全策略处理所述流量数据。
其中,基于网关安全策略处理流量数据的方式可以是丢弃、有效性过滤、重新组织等,通过数据检测模型的检测结果更新云端系统的特征库以及通过云端系统的检测结果更新终端中的特征库从而实现双向反馈。
示例性地,若网关判断后确认流量数据总存在恶意信息,便按照与恶意信息所对应的安全业务模块执行安全策略,丢弃处理该流量数据或拦截对应恶意文件,还可以记录处置日志信息便于日后审计溯源。网关将数据检测模型识别的恶意样本相关信息同步至云端系统的特征库中作为补充。
由此可见,本申请实施例通过云端-网关-终端一体对流量数据进行防护,在确保检测深度的基础上完善了云端检测以及网关联动,提高了威胁检测规模以及检测范围,通过网关与云端之间的双向反馈,能够提高本地设备的检测效率和准确性。
可选地,本申请实施例提供一种对比流量数据的特征值和特征库中的特征值的实现方式,请参看图3,图3为本申请实施例提供的一种对比流量数据的特征值和特征库中的特征值的步骤示意图,其中,对比的步骤可以包括:
在步骤S31中,基于所述流量数据的第一个报文确定第一比对策略,所述第一比对策略表征选用网关中与所述流量数据的特征值对应的特征比对模块对所述流量数据进行匹配。
在步骤S32中,基于所述第一比对策略从所述流量数据中提取所述互联网协议地址、所述域名、所述网址、所述应用和所述哈希值中的至少一种,与所述特征库中的特征值进行匹配。
具体地,安全网关收集网络中的数据,对数据进行解析并从中提取数据流的第一个报文,基于第一个报文匹配网关中预设的安全策略,确定该数据流需要经过的安全模块,网关中预设有多个安全模块,分别用于检测数据中互联网协议地址、域名、网址、应用和哈希值等信息,通过多个安全模块提取数据流特征值,并与终端本地的特征库进行比对,匹配特征库中恶意样本的威胁标识信息,从而确定该数据流是否通过检测。
另外,流量数据可能是一封电子邮件,其中含有邮件信息,于是对比的步骤还可以包括,在检测到所述流量数据中含有邮箱地址和/或附件信息时,确定第二比对策略,所述第二比对策略表征选用所述网关中与所述邮件信息对应的比对模块对所述邮件信息进行匹配,所述邮件信息包括邮箱地址和/或附件信息;基于所述第二比对策略将所述邮箱地址和/或附件信息与所述特征库中的特征值进行匹配。
其中,第一比对策略和第二比对策略均为基于数据流中第一个报文确定的比对策略,表征选用网关中对应的安全模块对数据流中的特征值与终端本地的特征库中的特征值进行比对。
由此可见,本申请实施例通过对识别流量数据,并基于多种安全威胁的标识信息对流量数据进行匹配,能够扩大威胁检测的范围,提高恶意数据防护的准确性。
在一可选的实施例中,在步骤S22之后,本申请实施例还提供一种基于流量数据的威胁程度评分对流量数据进行处理的实现方式,请参看图4,图4为本申请实施例提供的基于流量数据的威胁程度评分对流量数据进行处理的步骤示意图,基于流量数据的威胁程度评分对流量数据进行处理的步骤可以包括:
在步骤S41中,根据用户资产信息和所述流量数据的关联情况进行评分,得到评分结果。
在步骤S42中,将所述评分结果反馈至网关,以使所述网关在再次接收到与所述评分结果相关的所述数据流量时,基于所述评分结果判断是否拦截所述流量数据。
其中,用户资产信息可以包括用户的客观描述性数据,如用户标识、地理位置等,也可以包括用户客观行为数据,如内容偏好、行为偏好、交易数据等。终端设备根据资产和流量数据中的恶意特征信息的关联情况进行评分,将评分结果反馈至安全网关中。在终端设备再次检测到具有相同恶意特征信息时,自行拦截阻断相关数据流量或文件。
示例性地,网关与终端设备配置联动响应,可以将网关特征库与终端本地特征库进行同步更新,网关在接收终端设备上报资产信息的同时完成认证,即可实现终端设备与安全网关的联动。在联动成功后网关接收终端发送的资产信息并基于资产信息自动生成安全防护策略,网关也可以向终端安全防护设备下发定时或定向安全策略。
终端设备检测相关恶意特征信息,判断用户资产中是否存在该恶意特征信息,若在用户资产中检测出该恶意特征信息,终端设备可对存在恶意特征信息的资产其进行警示,阻断相关威胁数据流量以及拦截文件,阻止威胁在其他用户资产中扩散。
具体地,触发终端进行检测的条件可以包括网关同步给终端设备特征库的威胁信息,资产状态为不可信;终端设备根据自身检测上报的新资产为不可信;或终端中原本可信的资产变为不可信。
终端设备根据资产的信任状态进行评分,将资产评分结果反馈至网关中。当终端设备再次检测到相同恶意特征信息,便可自行拦截阻断相关数据流量或文件,同时下调该终端设备的可信评分,当分数值低于预定阈值时主动监控并阻止该设备的访问。
由此可见,本申请实施例基于用户资产和流量数据中的恶意特征信息的关联情况进行评分,并通过评分结果使终端设备自动判断是否拦截相关数据流量或文件,在终端设备不具备访问互联网的条件下,依然可以通过网关更新的特征库来完善本地的特征库,从而保障终端安全。
可选地,针对步骤S13,本申请实施例还提供一种与云端系统进行交互的施行方式,请参看图5,图5为本申请实施例提供的一种与云端系统进行交互的步骤示意图,该步骤可以包括如下:
在步骤S51中,基于预设协议向所述云端系统发送所述流量数据。
在步骤S52中,根据所述预设协议确定将请求指令包装成一个对象或将所述请求指令转换为二进制或十六进制,并发送所述请求指令,以使所述云端系统对所述数据流量进行检测。
示例性地,若网关未检测出流量数据中具有恶意信息,可以通过HTTPS或者TCP协议向云端系统发送数据流量及文件信息,并请求云检测模块对安全防护网关上传的数据流量及文件检测。如果用HTTPS发送数据,便将指令包装为一个对象,并发送至云端系统;如果使用TCP协议通讯,便将指令转化成二进制或者十六进制传输。
由此可见,本申请实施例可以使用多种协议向云端系统发送请求指令以及流量数据,可以提高数据传输的灵活性。
示例性地,本申请中以一次数据访问为例,详细展示提供的恶意数据防护步骤,当内部信任网络的用户对非信任网络进行访问时,网关基于用户终端设备访问域名,确定流量数据需由网关进行安全检测;在网关检测此域名访问请求时,当数据流的第一个报文匹配安全策略后,确定此数据流将由URL过滤模块处理;通过网关内置的本地ULR威胁特征库进行特征值匹配,检测匹配后并未发现其存在相同的恶意域名样本威胁标识信息;网关将相关域名通过高级威胁防御中的DGA域名检测,由AI训练模型判断,识别发现此域名与模型训练后得出的恶意域名特征相符合,与之前已多次上报的恶意域名具有较高的相似性,请求域名解析后确定IP地址定位,类似域名上报次数超50万次;网关设备通过HTTPS协议将收到的恶意域名信息封装向云端系统发送;在云端系统将该封装信息解析后,与云检测模块的云端IOC特征库中恶意域名样本威胁标识信息进行匹配,未命中云端IOC特征库中恶意域名样本威胁标识信息,并将此恶意域名样本添加至云端IOC特征库之中;网关将该恶意域名样本威胁标识信息记录至URL过滤模块的本地IOC特征库中,网关记录该模块处理日志和此恶意域名安全事件信息,在记录恶意域名的安全信息中添加云检测模块的标记;内部信任网络的用户的终端设备访问域名的访问请求被拦截;网关开启与终端安全防护设备的联动后,接收用户终端资产信息并完成认证,终端安全防护设备生成安全防护策略;网关向内网终端安全防护设备同步云端IOC特征库中的恶意域名样本威胁标识信息,终端设备更新恶意域名特征库;当有其他内网用户终端访问此恶意域名时,访问域名信息触发恶意域名特征库,终端设备主动拦截相关域名访问请求,用户无法访问此域名,相关用户终端的可信分值也会相应降低。
基于同一发明构思,本申请实施例还提供一种应用于云端系统的恶意数据防护方法,请参看图6,图6为本申请实施例提供的一种应用于云端系统的恶意数据防护方法的步骤示意图,该方法可以包括如下步骤:
在步骤S61中,接收请求指令,所述请求指令表征网关中的数据检测模型未检测出流量数据带有恶意信息,基于所述请求指令将所述流量数据的特征值与所述云端系统特征库中的特征值进行比对,得到检测结果。
在步骤S62中,返回所述检测结果,以使所述网关确定放行所述流量数据或基于网关安全策略处理所述流量数据。
具体地,云系统中对流量数据进行检测判读其中是否存在恶意信息的步骤可以参见上述实施例中的步骤,此处不再赘述。
由此可见,本申请实施例可以基于云端系统-网关-终端的一体化防护策略对带有恶意信息的流量数据进行防护,在确保检测深度的基础上完善了云端检测以及网关联动,提高了威胁检测规模以及检测范围,同时将对数据进行分析计算的过程转移到云端,能够节省网端设备的计算消耗以及防止因本地样本不足而导致的漏筛数据的情况。
基于同一发明构思,本申请实施例还提供一种恶意数据防护装置70,请参看图7,图7为本申请实施例中提供的恶意数据防护装置的示意图,恶意数据防护装置70可以包括:
提取模块71,用于接收流量数据,提取所述流量数据的特征值并与特征库中的特征值进行比对,确定所述流量数据的特征值与所述特征库中的特征值是否匹配;
检测模块72,用于在所述流量数据的特征值与所述特征库中的特征值不匹配时,基于训练完成的数据检测模型对所述流量数据进行检测,确定所述流量数据中是否带有恶意信息;
信息上传模块73,用于在所述数据检测模型未检测出所述流量数据带有恶意信息时,将所述流量数据上传至云端系统;
接收模块74,用于接收所述云端系统返回的检测结果,在所述检测结果表征所述流量数据为安全时,放行所述流量数据。
可选地,恶意数据防护装置70还可包括数据同步模块,用于:
在所述数据检测模型检测出所述流量数据带有恶意信息时,基于网关安全策略处理所述流量数据,并将所述流量数据的特征值同步至所述云端系统的特征库中;以及在接收所述云端系统返回的检测结果,所述检测结果表征所述流量数据为危险时,基于所述云端系统发送的威胁特征信息,将所述威胁特征信息存入所述特征库,并基于所述网关安全策略处理所述流量数据。
可选地,提取模块71可具体用于:基于所述流量数据的第一个报文确定第一比对策略,所述第一比对策略表征选用网关中与所述流量数据的特征值对应的特征比对模块对所述流量数据进行匹配;基于所述第一比对策略从所述流量数据中提取所述互联网协议地址、所述域名、所述网址、所述应用和所述哈希值中的至少一种,与所述特征库中的特征值进行匹配。
可选地,提取模块71还可用于在检测到所述流量数据中含有邮件信息时,确定第二比对策略,所述第二比对策略表征选用所述网关中与所述邮件信息对应的比对模块对所述邮件信息进行匹配,所述邮件信息包括邮箱地址和/或附件信息;基于所述第二比对策略将所述邮箱地址和/或附件信息与所述特征库中的特征值进行匹配。
可选地,恶意数据防护装置70还可包括评分模块,用于根据用户资产信息和所述流量数据的关联情况进行评分,得到评分结果;以及将所述评分结果反馈至网关,以使所述网关在再次接收到与所述评分结果相关的所述数据流量时,基于所述评分结果判断是否拦截所述流量数据。
可选地,信息上传模块73可具体用于基于预设协议向所述云端系统发送所述流量数据,并发送请求指令;以及根据所述预设协议确定将所述请求指令包装成一个对象或将所述请求指令转换为二进制或十六进制,以使所述云端系统对所述数据流量进行检测。
基于同一发明构思,本申请实施例还提供一种应用于云端系统的恶意数据防护装置80,请参看图8,图8为本申请实施例提供的应用于云端系统的恶意数据防护装置的示意图,恶意数据防护装置80可以包括:
接收模块81,用于接收请求指令,所述请求指令表征网关中的数据检测模型未检测出流量数据带有恶意信息,基于所述请求指令将所述流量数据的特征值与所述云端系统特征库中的特征值进行比对,得到检测结果。
返回模块82,用于返回所述检测结果,以使所述网关确定放行所述流量数据或基于网关安全策略处理所述流量数据。
基于同一发明构思,本申请实施例还提供一种电子设备,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行上述任一实现方式中的步骤。
基于同一发明构思,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述任一实现方式中的步骤。
所述计算机可读存储介质可以是随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等各种可以存储程序代码的介质。其中,存储介质用于存储程序,所述处理器在接收到执行指令后,执行所述程序,本发明实施例任一实施例揭示的过程定义的电子终端所执行的方法可以应用于处理器中,或者由处理器实现。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
可以替换的,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。
所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (8)

1.一种恶意数据防护方法,其特征在于,包括:
接收流量数据,提取所述流量数据的特征值并与特征库中的特征值进行比对,确定所述流量数据的特征值与所述特征库中的特征值是否匹配;
在所述流量数据的特征值与所述特征库中的特征值不匹配时,基于训练完成的数据检测模型对所述流量数据进行检测,确定所述流量数据中是否带有恶意信息;
在所述数据检测模型未检测出所述流量数据带有恶意信息时,将所述流量数据上传至云端系统;
接收所述云端系统返回的检测结果,在所述检测结果表征所述流量数据为安全时,放行所述流量数据;
在所述数据检测模型检测出所述流量数据带有恶意信息时,基于网关安全策略处理所述流量数据,并将所述流量数据的特征值同步至所述云端系统的特征库中;
在接收所述云端系统返回的检测结果,所述检测结果表征所述流量数据为危险时,基于所述云端系统发送的威胁特征信息,将所述威胁特征信息存入所述特征库,并基于所述网关安全策略处理所述流量数据;
网关与终端设备配置联动响应,将网关特征库与终端本地特征库进行同步更新,网关在接收终端设备上报资产信息的同时完成认证,实现终端设备与安全网关的联动;
终端设备检测相关恶意特征信息,判断用户资产中是否存在该恶意特征信息,若在用户资产中检测出该恶意特征信息,终端设备可对存在恶意特征信息的资产其进行警示,阻断相关威胁数据流量以及拦截文件,阻止威胁在其他用户资产中扩散;
其中,触发终端进行检测的条件可以包括网关同步给终端设备特征库的威胁信息,资产状态为不可信;终端设备根据自身检测上报的新资产为不可信;或终端中原本可信的资产变为不可信;
终端设备根据资产的信任状态进行评分,将资产评分结果反馈至网关中;当终端设备再次检测到相同恶意特征信息,便可自行拦截阻断相关数据流量或文件,同时下调该终端设备的可信评分,当分数值低于预定阈值时主动监控并阻止该设备的访问。
2.根据权利要求1所述的方法,其特征在于,所述流量数据的特征值包括互联网协议地址、域名、网址、应用或哈希值中的至少一种,所述提取所述流量数据的特征值并与特征库中的特征值进行比对包括:
基于所述流量数据的第一个报文确定第一比对策略,所述第一比对策略表征选用网关中与所述流量数据的特征值对应的特征比对模块对所述流量数据进行匹配;
基于所述第一比对策略从所述流量数据中提取所述互联网协议地址、所述域名、所述网址、所述应用和所述哈希值中的至少一种,与所述特征库中的特征值进行匹配。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在检测到所述流量数据中含有邮件信息时,确定第二比对策略,所述第二比对策略表征选用所述网关中与所述邮件信息对应的比对模块对所述邮件信息进行匹配,所述邮件信息包括邮箱地址和/或附件信息;
基于所述第二比对策略将所述邮箱地址和/或附件信息与所述特征库中的特征值进行匹配。
4.根据权利要求1所述的方法,其特征在于,所述将所述流量数据上传至云端系统包括:
基于预设协议向所述云端系统发送所述流量数据;
根据所述预设协议确定将请求指令包装成一个对象或将所述请求指令转换为二进制或十六进制,并发送所述请求指令,以使所述云端系统对所述数据流量进行检测。
5.一种基于如权利要求1-4任一项的恶意数据防护方法,其特征在于,应用于云端系统,包括:
接收请求指令,所述请求指令表征网关中的数据检测模型未检测出流量数据带有恶意信息,基于所述请求指令将所述流量数据的特征值与所述云端系统特征库中的特征值进行比对,得到检测结果;
返回所述检测结果,以使所述网关确定放行所述流量数据或基于网关安全策略处理所述流量数据。
6.一种恶意数据防护装置,其特征在于,包括:
提取模块,用于接收流量数据,提取所述流量数据的特征值并与特征库中的特征值进行比对,确定所述流量数据的特征值与所述特征库中的特征值是否匹配;
检测模块,用于在所述流量数据的特征值与所述特征库中的特征值不匹配时,基于训练完成的数据检测模型对所述流量数据进行检测,确定所述流量数据中是否带有恶意信息;
信息上传模块,用于在所述数据检测模型未检测出所述流量数据带有恶意信息时,将所述流量数据上传至云端系统;
接收模块,用于接收所述云端系统返回的检测结果,在所述检测结果表征所述流量数据为安全时,放行所述流量数据;
所述检测模块还用于:在所述数据检测模型检测出所述流量数据带有恶意信息时,基于网关安全策略处理所述流量数据,并将所述流量数据的特征值同步至所述云端系统的特征库中;
在接收所述云端系统返回的检测结果,所述检测结果表征所述流量数据为危险时,基于所述云端系统发送的威胁特征信息,将所述威胁特征信息存入所述特征库,并基于所述网关安全策略处理所述流量数据;
网关与终端设备配置联动响应,将网关特征库与终端本地特征库进行同步更新,网关在接收终端设备上报资产信息的同时完成认证,实现终端设备与安全网关的联动;
终端设备检测相关恶意特征信息,判断用户资产中是否存在该恶意特征信息,若在用户资产中检测出该恶意特征信息,终端设备可对存在恶意特征信息的资产其进行警示,阻断相关威胁数据流量以及拦截文件,阻止威胁在其他用户资产中扩散;
其中,触发终端进行检测的条件可以包括网关同步给终端设备特征库的威胁信息,资产状态为不可信;终端设备根据自身检测上报的新资产为不可信;或终端中原本可信的资产变为不可信;
终端设备根据资产的信任状态进行评分,将资产评分结果反馈至网关中;当终端设备再次检测到相同恶意特征信息,便可自行拦截阻断相关数据流量或文件,同时下调该终端设备的可信评分,当分数值低于预定阈值时主动监控并阻止该设备的访问。
7.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器运行所述程序指令时,执行权利要求1-5中任一项所述方法中的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器运行时,执行权利要求1-5任一项所述方法中的步骤。
CN202111475920.5A 2021-12-06 2021-12-06 恶意数据防护方法、装置、电子设备及存储介质 Active CN114172721B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111475920.5A CN114172721B (zh) 2021-12-06 2021-12-06 恶意数据防护方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111475920.5A CN114172721B (zh) 2021-12-06 2021-12-06 恶意数据防护方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN114172721A CN114172721A (zh) 2022-03-11
CN114172721B true CN114172721B (zh) 2024-01-23

Family

ID=80483210

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111475920.5A Active CN114172721B (zh) 2021-12-06 2021-12-06 恶意数据防护方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN114172721B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115329331A (zh) * 2022-08-12 2022-11-11 中国电信股份有限公司 应用程序的入侵检测方法及装置、存储介质和电子设备
CN115801338B (zh) * 2022-10-28 2023-07-07 航科广软(广州)数字科技有限公司 基于加密流量控制网关的数据处理方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101527712A (zh) * 2008-03-06 2009-09-09 华为技术有限公司 网络安全联动方法、系统和检测装置
CN108573146A (zh) * 2017-03-07 2018-09-25 华为技术有限公司 一种恶意url检测方法及装置
CN110781495A (zh) * 2018-12-24 2020-02-11 哈尔滨安天科技集团股份有限公司 物联网分布式多级协同恶意代码检测方法、系统及装置
CN111737696A (zh) * 2020-06-28 2020-10-02 杭州安恒信息技术股份有限公司 一种恶意文件检测的方法、系统、设备及可读存储介质
CN111901326A (zh) * 2020-07-20 2020-11-06 杭州安恒信息技术股份有限公司 多设备入侵的检测方法、装置、系统以及存储介质
CN112583845A (zh) * 2020-12-24 2021-03-30 深信服科技股份有限公司 一种访问检测方法、装置、电子设备和计算机存储介质
CN113452794A (zh) * 2021-06-30 2021-09-28 深圳鲲鹏无限科技有限公司 智能动态添加黑名单的方法、系统、服务器和路由器
WO2021207984A1 (zh) * 2020-04-15 2021-10-21 深圳市欢太科技有限公司 流量检测方法、装置、服务器以及存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101527712A (zh) * 2008-03-06 2009-09-09 华为技术有限公司 网络安全联动方法、系统和检测装置
CN108573146A (zh) * 2017-03-07 2018-09-25 华为技术有限公司 一种恶意url检测方法及装置
CN110781495A (zh) * 2018-12-24 2020-02-11 哈尔滨安天科技集团股份有限公司 物联网分布式多级协同恶意代码检测方法、系统及装置
WO2021207984A1 (zh) * 2020-04-15 2021-10-21 深圳市欢太科技有限公司 流量检测方法、装置、服务器以及存储介质
CN111737696A (zh) * 2020-06-28 2020-10-02 杭州安恒信息技术股份有限公司 一种恶意文件检测的方法、系统、设备及可读存储介质
CN111901326A (zh) * 2020-07-20 2020-11-06 杭州安恒信息技术股份有限公司 多设备入侵的检测方法、装置、系统以及存储介质
CN112583845A (zh) * 2020-12-24 2021-03-30 深信服科技股份有限公司 一种访问检测方法、装置、电子设备和计算机存储介质
CN113452794A (zh) * 2021-06-30 2021-09-28 深圳鲲鹏无限科技有限公司 智能动态添加黑名单的方法、系统、服务器和路由器

Also Published As

Publication number Publication date
CN114172721A (zh) 2022-03-11

Similar Documents

Publication Publication Date Title
CN110730175B (zh) 一种基于威胁情报的僵尸网络检测方法及检测系统
US11399288B2 (en) Method for HTTP-based access point fingerprint and classification using machine learning
CN114172721B (zh) 恶意数据防护方法、装置、电子设备及存储介质
CN104052734B (zh) 使用全球设备指纹识别的攻击检测和防止
EP2408166B1 (en) Filtering method, system and network device therefor
CN105915532B (zh) 一种失陷主机的识别方法及装置
CN111010409B (zh) 加密攻击网络流量检测方法
CN100399750C (zh) 便于在网络上识别计算机的系统与方法
JP6408395B2 (ja) ブラックリストの管理方法
JP3618245B2 (ja) ネットワーク監視システム
CN107566420B (zh) 一种被恶意代码感染的主机的定位方法及设备
CN111147489B (zh) 一种面向链接伪装的鱼叉攻击邮件发现方法及装置
CN108156270B (zh) 域名请求处理方法和装置
CN115361235B (zh) 一种网络安全检测的方法、设备、装置、电子设备及介质
CN111783092B (zh) 面向安卓应用程序间通信机制的恶意攻击检测方法及系统
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
US11924228B2 (en) Messaging server credentials exfiltration based malware threat assessment and mitigation
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
KR101666614B1 (ko) 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법
KR101910496B1 (ko) 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법
CN113709748B (zh) 一种基于发送行为和网址特征识别病毒短信的方法
JP6955527B2 (ja) 情報処理装置、情報処理方法、及び情報処理プログラム
KR101005093B1 (ko) 클라이언트 식별 방법 및 장치
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
US11683337B2 (en) Harvesting fully qualified domain names from malicious data packets

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant