CN114173346B - 恶意程序监测系统的覆盖检测方法、装置、设备及介质 - Google Patents
恶意程序监测系统的覆盖检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114173346B CN114173346B CN202111452222.3A CN202111452222A CN114173346B CN 114173346 B CN114173346 B CN 114173346B CN 202111452222 A CN202111452222 A CN 202111452222A CN 114173346 B CN114173346 B CN 114173346B
- Authority
- CN
- China
- Prior art keywords
- field
- ticket
- preset
- internet protocol
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 78
- 238000006243 chemical reaction Methods 0.000 claims abstract description 105
- 238000012544 monitoring process Methods 0.000 claims abstract description 46
- 238000000034 method Methods 0.000 claims abstract description 24
- 230000002159 abnormal effect Effects 0.000 claims description 18
- 238000013519 translation Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 9
- 239000000203 mixture Substances 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 2
- 230000006399 behavior Effects 0.000 description 10
- 238000010295 mobile communication Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 238000004458 analytical method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 101100328463 Mus musculus Cmya5 gene Proteins 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012805 post-processing Methods 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 230000032258 transport Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
Abstract
本发明实施例公开了一种恶意程序监测系统的覆盖检测方法、装置、设备及介质,该方法包括:通过预先部署的移动互联网恶意程序监测系统,获取预设监控时间段的网络流量数据,并获取网络流量数据对应的多个外部数据表示话单;通过预先部署的防火墙前置机,获取预设监控时间段的网络地址转换日志,并获取网络地址转换日志对应的多个网络地址转换话单;分别对各外部数据表示话单和各网络地址转换话单进行匹配对比,以确定移动互联网恶意程序监测系统对应的未覆盖网元地址。本发明实施例的技术方案,通过利用防火墙前置机的网络地址转换日志,可以实现对移动互联网恶意程序监测系统未覆盖网元地址的高效与准确检测,可以降低人力成本的投入。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种恶意程序监测系统的覆盖检测方法、装置、设备及介质。
背景技术
移动互联网恶意程序监测系统可以有效保护用户免受手机恶意软件的危害,对提升网络安全具有重要意义。实现对移动互联网恶意程序监测系统覆盖的准确检测,对进一步提升网络安全具有重要意义。
目前,现有的移动互联网恶意程序监测系统覆盖检测方法,需要通信管理部门下驻对应的电信企业,并采用人工拨测等原始核查手段,以获取互联网恶意程序监测系统的覆盖率,易导致人力成本的严重浪费;其次,电信企业经常使用非正常或者取巧的方式应对定期考核,在这种情况下,现有技术存在考核手段单一、准确性差等问题。
发明内容
本发明实施例提供一种恶意程序监测系统的覆盖检测方法、装置、设备及介质,可以实现对移动互联网恶意程序监测系统未覆盖网元地址的高效与准确检测,可以降低人力成本的投入。
第一方面,本发明实施例提供了一种恶意程序监测系统的覆盖检测方法,包括:
通过预先部署的移动互联网恶意程序监测系统,获取预设监控时间段的网络流量数据,并获取所述网络流量数据对应的多个外部数据表示话单;
通过预先部署的防火墙前置机,获取预设监控时间段的网络地址转换日志,并获取所述网络地址转换日志对应的多个网络地址转换话单;
分别对各所述外部数据表示话单和各所述网络地址转换话单进行匹配对比,并根据匹配对比结果,确定所述移动互联网恶意程序监测系统对应的未覆盖网元地址。
第二方面,本发明实施例还提供了一种恶意程序监测系统的覆盖检测装置,包括:
外部数据表示话单获取模块,用于通过预先部署的移动互联网恶意程序监测系统,获取预设监控时间段的网络流量数据,并获取所述网络流量数据对应的多个外部数据表示话单;
网络地址转换话单获取模块,用于通过预先部署的防火墙前置机,获取预设监控时间段的网络地址转换日志,并获取所述网络地址转换日志对应的多个网络地址转换话单;
未覆盖网元地址确定模块,用于分别对各所述外部数据表示话单和各所述网络地址转换话单进行匹配对比,并根据匹配对比结果,确定所述移动互联网恶意程序监测系统对应的未覆盖网元地址。
第三方面,本发明实施例还提供了一种电子设备,该电子设备包括:
一个或多个处理器;
存储器,用于存储一个或多个计算机程序;
当所述一个或多个计算机程序被所述一个或多个处理器执行,使得所述一个或多个处理器执行所述计算机程序时实现本发明任意实施例提供的恶意程序监测系统的覆盖检测方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,该存储介质上存储有计算机程序,该程序被处理器执行时实现本发明任意实施例提供的恶意程序监测系统的覆盖检测方法。
本发明实施例提供的技术方案,通过预先部署的移动互联网恶意程序监测系统,获取预设监控时间段的网络流量数据,并获取网络流量数据对应的多个外部数据表示话单;通过预先部署的防火墙前置机,获取预设监控时间段的网络地址转换日志,并获取网络地址转换日志对应的多个网络地址转换话单;分别对各外部数据表示话单和各网络地址转换话单进行匹配对比,以确定移动互联网恶意程序监测系统对应的未覆盖网元地址;通过利用防火墙前置机的网络地址转换日志,可以实现对移动互联网恶意程序监测系统未覆盖网元地址的高效与准确检测,可以降低人力成本的投入。
附图说明
图1A是本发明一实施例中的一种恶意程序监测系统的覆盖检测方法的流程图;
图1B是本发明一实施例中的一种移动互联网恶意程序监测系统的部署示意图;
图1C是本发明一实施例中的一种恶意程序监测系统的覆盖检测系统的架构示意图;
图1D是本发明一实施例中的一种恶意程序监测系统的覆盖检测方法的流程示意图;
图2A是本发明另一实施例中的一种恶意程序监测系统的覆盖检测方法的流程图;
图2B是本发明另一实施例中的一种恶意程序监测系统的覆盖检测方法的流程示意图;
图3是本发明另一实施例中的一种恶意程序监测系统的覆盖检测装置的结构示意图;
图4是本发明另一实施例中的一种电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的实施例。虽然附图中显示了本发明的某些实施例,然而应当理解的是,本发明可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本发明。应当理解的是,本发明的附图及实施例仅用于示例性作用,并非用于限制本发明的保护范围。
应当理解,本发明的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本发明的范围在此方面不受限制。
本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
需要注意,本发明中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本发明中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本发明实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
图1A为本发明一实施例提供的一种恶意程序监测系统的覆盖检测方法的流程图,本发明实施例可适用于利用防火墙前置机的网络地址转换日志,实现对移动互联网恶意程序监测系统未覆盖网元地址的高效准确检测情况;该方法可以由恶意程序监测系统的覆盖检测装置来执行,该装置可由硬件和/或软件组成,并一般可集成在电子设备中,典型的,可以集成在计算机设备或者服务器中。如图1A所示,该方法具体包括如下步骤:
S110、通过预先部署的移动互联网恶意程序监测系统,获取预设监控时间段的网络流量数据,并获取所述网络流量数据对应的多个外部数据表示话单。
其中,移动互联网恶意程序监测系统,是指运营商或者典型企业构建且部署的,针对移动互联网恶意程序的监测与拦截处置系统;移动互联网恶意程序监测系统,可以包括监测分析设备、恶意程序监测处置设备等安全设备。移动互联网恶意程序,是指在用户不知情或未授权的情况下,在移动终端系统中安装和运行,以达到不正当目的,或具有违反国家相关法律法规行为的可执行文件、代码模块或代码片段。
在本实施例中,移动互联网恶意程序监测系统可以覆盖第二代移动通信技术(2-Generation wireless telephone technology,2G)、第三代移动通信技术(3rd-Generation Mobile Communication Technology,3G)、第四代移动通信技术(4thGeneration Mobile Communication Technology,4G)以及第五代移动通信技术(5thGeneration Mobile Communication Technology,5G)的移动分组域网络。具体的,可以将监测分析设备和恶意程序监测处置设备部署于移动分组域网络的特定节点,以获取核心网用户面和控制面对应的网络流量,进而可以基于对获取网络流量的分析,确定恶意程序生成的网络流量,实现对该网络流量的拦截,或者对该网络流量对应的网际协议地址(Internet Protocol,IP)的封禁处理。
需要说明的是,针对不同的网络架构,检测分析设备和恶意程序监测处置设备的部署节点可以不同;例如,对于2G和3G网络,上述设备的部署节点可以是GN节点;对于4G网络,对应的部署节点可以是S11或者S1-U等节点;对于5G网络,对应的部署节点可以是N11或者N3等节点。在本发明实施例,对检测分析设备和恶意程序监测处置设备的部署节点不作具体限定。
在本实施例中,可以在预先设置的监控时间区间内(例如,一个星期,一个月等),通过预先部署的监测分析设备和恶意程序监测处置设备,对当前的移动网络的网络流量进行实时监控与采集。进一步的,对采集的网络流量数据进行数据处理、数据关联、数据回填以及特定系统数据生成,以生成对应的外部数据表示(External Data Representation,xDR)话单。其中,xDR话单可以包括源IP地址、源端口、目的IP地址以及目的端口。
其中,数据处理可以包括内容检验和话单后处理等;数据关联可以包括用户身份标识关联和时间戳信息关联等;数据回填可以包括位置信息回填、公有IP信息回填、用户身份标识信息回填以及漫游信息回填等。
S120、通过预先部署的防火墙前置机,获取预设监控时间段的网络地址转换日志,并获取所述网络地址转换日志对应的多个网络地址转换话单。
其中,防火墙前置机,为防火墙的前置机设备,前置机为用于现场的中间设备。在本实施例中,防火墙可以是针对Gi接口流量的防火墙;Gi接口是通用分组无线业务(General Packet Radio service,GPRS)与外部分组数据网之间的接口,同时也是终端IP地址在外部数据网络的呈现点。由此,所有的业务均需要通过Gi防火墙进行网络地址转换(Network Address Translat1n,NAT),以将私网IP地址转换为公网IP地址,再通过公网IP地址访问互联网。因此,可以通过Gi防火墙,获取全部互联网访问行为对应的NAT日志。
需要说明的是,不同网络架构的Gi接口对应的节点不同,故Gi防火墙在不同网络架构的部署节点不同;例如,对应4G网络架构,Gi防火墙的部署节点为SGi节点,对于5G网络架构,Gi防火墙的部署节点为N6节点。
在一个具体的例子中,移动互联网恶意程序监测系统,例如,手机恶意系统统一深度报文检测(Deep Packet Inspection,DPI)设备,以及防火墙前置机的部署节点如图1B所示;其中,以4G和5G网络架构为例;在4G网络架构中,移动互联网恶意程序监测系统的部署节点为S11和S1-U等节点,防火墙前置机的部署节点为SGi节点防火墙;而在5G网络架构中,移动互联网恶意程序监测系统的部署节点为N11和N3等节点,防火墙前置机的部署节点为N6节点防火墙。进一步的,可以通过核查系统,对手机恶意系统统一DPI设备和防火墙前置机分别采集的xDR话单和NAT话单进行核查,以确定移动互联网恶意程序监测系统的覆盖情况。
在本实施例中,在预设监控时间段内,可以通过网络中预先部署的防火墙前置机进行NAT日志采集,以获取对应的NAT日志;进一步的,可以对采集得到的NAT日志进行日志分析、DPI识别以及日志转发,以获取对应固定数据格式的网络地址转换话单。其中,网络地址转换话单可以包括源IP地址、源端口、目的IP地址以及目的端口。
在一个具体的例子中,本发明实施例的技术方案的适用覆盖检测场景可以是通信管理局对运营商的移动互联网恶意程序监测系统的覆盖检测;其中,技术方案的系统架构如图1C所示。具体的,首先通过流量实时采集、恶意程序检测和GI防火墙采集以进行数据采集;然后,通过对采集数据进行数据处理、数据关联、数据回填以及特定系统数据生成,以进行日志合成;进一步的,将合成的数据发送至管理平台,以为各种应用提供分析数据。与常规系统架构不同的是,在将合成数据发送至管理平台和集团平台的同时,需要将合成的各类型话单数据发送至管局平台;管局平台在接收到各类型的话单数据后,可以根据上述话单数据进行恶意程序监测系统的覆盖检测。
在本实施例中,通过根据预先部署的防火墙前置机获取对应的NAT话单,可以实现对当前网络中全部互联网访问信息(例如,源IP地址和目的IP地址等)的自动高效获取。
S130、分别对各所述外部数据表示话单和各所述网络地址转换话单进行匹配对比,并根据匹配对比结果,确定所述移动互联网恶意程序监测系统对应的未覆盖网元地址。
需要说明的是,由于NAT话单中存储有完整的互联网访问信息;如果移动互联网恶意程序监测系统的覆盖率达到100%,此时,外部数据表示话单中应该包括NAT话单中的全部网络地址转换信息。由此,可以针对每一个NAT话单中的源IP地址与目的IP地址的对应关系,在外部数据表示话单中进行匹配查找;若每一个NAT话单都可以找到匹配的外部数据表示话单,则表示当前移动互联网恶意程序监测系统的覆盖率达到100%。而若检测到存在一个或多个NAT话单无法成功找到匹配的外部数据表示话单,则获取上述NAT话单中源IP地址对应的一个或多个网元IP地址,并将该网元IP地址确定为未覆盖网元地址。
在本实施例中,核查系统可以部署在现有系统的冗余服务器,可以充分利用已建投资设备,通过软件核查的手段实现全网核查,可以避免人员现场拨测等额外成本的持续投入;此外,采用系统核查自动化代替人工操作研判过程,可以达到7×24小时的实时监测,可以实现实时核查,且可以具有对核查结果进行分类、分级、分权限以及自动通报告警能力;进一步的,可以提升核查能力,使得针对性作弊手段失效。
本发明实施例提供的技术方案,通过预先部署的移动互联网恶意程序监测系统,获取预设监控时间段的网络流量数据,并获取网络流量数据对应的多个外部数据表示话单;通过预先部署的防火墙前置机,获取预设监控时间段的网络地址转换日志,并获取网络地址转换日志对应的多个网络地址转换话单;分别对各外部数据表示话单和各网络地址转换话单进行匹配对比,以确定移动互联网恶意程序监测系统对应的未覆盖网元地址;通过利用防火墙前置机的网络地址转换日志,可以实现对移动互联网恶意程序监测系统未覆盖网元地址的高效与准确检测,可以降低人力成本的投入。
在本实施例的一个具体的实施方式中,如图1D所示,首先,防火墙前置机和移动互联网恶意程序监测系统彼此独立建设,两个系统之间并无关联;通过防火墙前置机的NAT话单获取全部移动用户上网行为的记录,并通过移动互联网恶意程序监测系统的xDR话单,获取该系统覆盖链路流量中对移动用户上网行为的记录。其中,移动互联网恶意程序监测系统未覆盖链路流量产生的上网行为,会被防火墙前置机的NAT话单全部记录,但是在移动互联网恶意程序监测系统的xDR话单中不会被记录。
进一步的,通过核查服务器比较NAT话单和xDR话单的差异,以确定链路未覆盖的情况,并快速定位移动互联网恶意程序监测系统未覆盖的网络节点以及未覆盖网元。
图2A为本发明又一实施例提供的恶意程序监测系统的覆盖检测方法的流程图,本实施例以上述技术方案为基础,在本实施例中,对外部数据表示话单的预设字段对应的字段值与网络地址转换话单的预设字段对应的字段值进行匹配对比,以确定移动互联网恶意程序监测系统对应的未覆盖网元地址;如图2A所示,该方法包括:
S210、通过预先部署的移动互联网恶意程序监测系统,获取预设监控时间段的网络流量数据,并获取所述网络流量数据对应的多个外部数据表示话单。
S220、通过预先部署的防火墙前置机,获取预设监控时间段的网络地址转换日志,并获取所述网络地址转换日志对应的多个网络地址转换话单。
S230、对各所述外部数据表示话单进行预设字段提取,获取各所述预设字段对应的字段值;并对各所述网络地址转换话单进行预设字段提取,获取各所述预设字段对应的字段值。
其中,预设字段可以包括源网际协议地址字段、源端口字段、目的网际协议地址字段、目的端口字段以及发生时间字段。可以理解的是,预设字段还可以是其他标志性字段,例如网元IP地址字段;本实施例对预设字段的内容不作具体限定。
需要说明的是,上述一组字段对应的字段值对应一个用户的互联网访问行为;在本实施例中,通过针对每一个外部数据表示话单和网络地址转换话单,分别进行源IP地址、源端口、目的IP地址以及目的端口等字段内容的提取,可以分别获取移动互联网恶意程序监测系统覆盖链路中用户的上网行为记录,以及全部用户的上网行为记录。
在本实施例中,在生成xDR话单和NAT话单时,可以根据内容的类型对话单全部内容进行划分,并标记各部分对应的字段类型;进一步的,在获取到话单之后,可以根据预设字段和话单各部分对应的字段类型,在每一个话单中分别提取各预设字段对应的话单内容,作为各预设字段对应的字段值。
在本发明实施例的一个可选的实施方式中,对各所述外部数据表示话单进行预设字段提取,获取各所述预设字段对应的字段值;并对各所述网络地址转换话单进行预设字段提取,获取各所述预设字段对应的字段值,可以包括:
根据外部数据表示话单的组成规则,确定每个预设字段在外部数据表示话单中的字段序号,并根据各预设字段在外部数据表示话单中的字段序号,在外部数据表示话单中获取各所述预设字段对应的字段值;根据网络地址转换话单的组成规则,确定每个预设字段在网络地址转换话单中的字段序号,并根据各预设字段在网络地址转换话单中的字段序号,在网络地址转换话单中获取各所述预设字段对应的字段值。
在本实施例中,xDR话单和NAT话单均具有对应的组成规则,即xDR话单和NAT话单均具有对应的固定格式,不同的字段内容对应固定的存储顺序。由此,在确定预设字段后,可以确定每个预设字段在xDR话单和NAT话单中的字段序号;进而可以根据确定的字段序号,分别在xDR话单和NAT话单中获取字段序号对应的字段内容,作为各预设字段对应的字段值。
在一个具体的例子中,一个xDR话单的内容为“460015259503110/18595251724/867586043110055/3GNET.MNC001.MCC460.GPRS/6/21262/102881681/2152/2152/10.117.5.205/10.100.32.82/////1630024678834/0/000619339/0/08/008/1/0/0/6/0/10.122.33.150//41952/47.99.112.225//8936/816/60/3/1/0//0//0/POST/application/json/okhttp/3.12.1/http://log.71574.cn:8936///”;其中,符号“/”用于切分不同类型的内容。根据上述xDR话单的固定格式,可以确定源网际协议地址字段、源端口字段、目的网际协议地址字段、目的端口字段以及发生时间字段对应的字段序号分别为27、29、30、32和16;由此根据上述字段序号,可以在上述xDR话单中提取各预设字段对应的字段值。
在另一个具体的例子中,NAT话单的格式为“sourceAddress/sourcePort/destinationAddress/destinationPort/natSourceAddress/natSourcePort/startTime/endTime”,对应的NAT话单内容为“10.231.56.76/54161/111.1.53.147/5225/117.136.90.162/12183/2017-03-15 10:21:35/2017-03-15 10:30:58/563”;在NAT话单中,源网际协议地址字段、源端口字段、目的网际协议地址字段、目的端口字段以及发生时间字段对应的字段序号分别为1、2、3、4和7;由此,可根据当前的字段序号,在上述NAT话单中获取各预设字段对应的字段值。
可选的,可以采用表格的形式对获取的各预设字段和对应的字段值进行存储和展示,表格中可以包括各预设字段、各预设字段对应的字段值以及各预设字段在对应话单中的字段序号;通过采用表格的形式,可以统一提取字段内容的格式,提高存储效率。
例如,xDR话单对应的字段表格可以为表1的形式,NAT话单对应的字段表格可以为表2的形式;其中,ggsn(Gateway GPRS Support Node,网关GPRS支持节点)和sgw(ServingGateWay,服务网关)为移动通信中重要网元;ggsn/sgwIP表示网元IP地址。IPv4(InternetProtocol version4),为网际协议地址的第四版。
表1xDR话单对应的字段表格
字段序号 | 11 | 16 | 27 | 29 | 30 | 32 |
字段描述 | ggsn/sgw IP | 发生时间 | 源IPv4 | 源端口 | 目的IPv4 | 目的端口 |
字段值 | gw_ip | start time | src ipv4 | src port | dst ipv4 | dst port |
表2NAT话单对应的字段表格
字段序号 | 1 | 2 | 3 | 4 | 7 |
字段描述 | 源IPv4 | 源端口 | 目的IPv4 | 目的端口 | 发生时间 |
字段值 | sourceAddress | sourcePort | destinationAddress | destinationPort | startTime |
S240、分别判断各所述外部数据表示话单中各预设字段对应的字段值,与各所述网络地址转换话单中对应各预设字段对应的字段值是否满足一致性检测条件。
其中,一致性检测条件,为预先设置的用于判断外部数据表示话单与网络地址转换话单是否匹配的条件。
在本实施例中,若一个xDR话单中各预设字段对应的字段值,与一个NAT话单中分别对应的各预设字段的字段值均相同,则可以确定该xDR话单与该NAT话单满足一致性检测条件,即可以确定上述话单中包括的源IP地址对应的网元IP地址已经被移动互联网恶意程序监测系统所覆盖。而若检测到两个话单存在一个或者多个预设字段对应的字段值不相同,则确定上述两个话单不满足一致性检测条件。
在本发明实施例的一个可选的实施方式中,分别判断各所述外部数据表示话单中各预设字段对应的字段值,与各所述网络地址转换话单中对应各预设字段对应的字段值是否满足一致性检测条件,可以包括:
若检测到某个外部数据表示话单中源网际协议地址字段、源端口字段、目的网际协议地址字段以及目的端口字段对应的字段值,与目标网络地址转换话单中对应源网际协议地址字段、源端口字段、目的网际协议地址字段以及目的端口字段对应的字段值均一致,且所检测外部数据表示话单中发生时间字段对应的字段值,与所述目标网络地址转换话单中发生时间字段对应的字段值的差值小于预设时间差阈值,则确定所检测外部数据表示话单中各预设字段对应的字段值,与所述目标网络地址转换话单中对应各预设字段对应的字段值满足一致性检测条件。
在本实施例中,考虑到不同设备的时间延迟问题,故允许xDR话单与NAT话单的发生时间字段对应的字段值存在一定的时间差。具体的,可以将源IP地址字段、源端口字段、目的IP地址字段以及目的端口字段作为精确匹配因子,将发生时间作为宽松匹配因子。
在判断一个xDR话单与一个NAT话单是否满足一致性检测条件时,首先判断两个话单的源IP地址字段、源端口字段、目的IP地址字段以及目的端口字段对应的字段值是否完全相同;若确定上述预设字段对应的字段值均相同后,判断两个话单的发生时间字段对应的字段值的差值是否小于预先设置的时间差阈值;若是,则可以确定上述两个话单满足一致性检测条件。其中,预设时间差阈值可以是5秒。
S250、若检测到异常网络地址转换话单中各预设字段对应的字段值,与各所述外部数据表示话单中对应各预设字段对应的字段值均不满足一致性检测条件,则根据所述异常网络地址转换话单中源网际协议地址字段对应的字段值,确定对应的网元网际协议地址,并将所述网元网际协议地址确定为所述移动互联网恶意程序监测系统对应的未覆盖网元地址。
其中,若确定存在一个NAT话单中的各预设字段的字段值,与每个xDR话单的各预设字段的字段值都不满足一致性检测条件,则可以确定该NAT话单中的源IP地址未被移动互联网恶意程序监测系统覆盖,可以将该NAT话单确定为异常NAT话单。进而,可以获取该异常NAT话单中源IP地址对应的字段值,并将该字段值作为对应的未覆盖源IP地址,并最终根据该未覆盖源IP地址确定对应的网元IP地址作为未覆盖网元地址。
在本发明实施例的一个可选的实施方式中,根据所述异常网络地址转换话单中源网际协议地址字段对应的字段值,确定对应的网元网际协议地址,可以包括:根据所述异常网络地址转换话单中源网际协议地址字段对应的字段值,确定未覆盖源网际协议地址;根据所述未覆盖源网际协议地址,以及预先配置的网元网际协议地址与源网际协议地址的对应关系,确定所述未覆盖源网际协议地址对应的网元网际协议地址。
需要说明的是,在本地数据库中可以预先存储有各网元IP地址与对应源IP地址的对应关系;由此,在根据xDR话单和NAT话单,确定出异常NAT话单,可以将该异常NAT话单中的源IP地址作为未覆盖源IP地址;进一步的,根据该未覆盖源IP地址和各网元IP地址与对应源IP地址的对应关系,确定该未覆盖源IP地址对应的网元IP地址。
在本发明实施例的另一个可选的实施方式中,在确定所述未覆盖源网际协议地址对应的网元网际协议地址之后,还可以包括:判断所述网元网际协议地址对应的未覆盖源网际协议地址的数量是否大于或者等于预设数量阈值;若是,则将所述网元网际协议地址确定为所述移动互联网恶意程序监测系统对应的未覆盖网元地址。
需要说明的是,由于一个网元IP地址可以对应大量的源IP地址,此时,若只是网元IP地址对应的一个源IP地址被确定为未覆盖源IP地址,则考虑可能存在误判的情况,并不将该网元IP地址作为未覆盖网元地址。对应的,若一个网元IP地址对应的多个(例如,10个)源IP地址同时被确定为未覆盖源IP地址,则可以确定该网元IP地址未被移动互联网恶意程序监测系统所覆盖,将该网元IP地址确定为未覆盖网元地址。
在本实施例中,通过对未覆盖源IP地址对应的网元IP地址的未覆盖源IP地址的数量进行检测,以只有在检测到该数量大于或者等于预设数量阈值时,才将该网元IP地址确定为未覆盖网元地址,可以降低误判的概率,提升未覆盖网元地址的判断准确度。
在本实施例的另一个可选的实施方式中,在根据匹配对比结果,确定所述移动互联网恶意程序监测系统对应的未覆盖网元地址之后,还可以包括:根据所述未覆盖网元地址和所述未覆盖源网际协议地址,生成所述移动互联网恶意程序监测系统对应的覆盖检测报告。
其中,覆盖检测报告,可以为表格形式的覆盖检测结果;覆盖检测报告可以包括未覆盖源IP地址以及未覆盖网元IP地址;在本实施例中,对覆盖检测报告的内容不作具体限定。
可选的,对预设监控时间段(例如,15天)内的每一个NAT话单,与当前时间段内的全部xDR话单分别进行匹配对比,并分别记录各NAT话单对应的匹配起始时间以及失败次数;若在预设监控时间段结束时,检测到一个NAT话单仍未成功匹配到xDR话单,则可以将预设监控时间段、匹配失败次数、匹配起始日期、该NAT话单中源IP地址字段的字段值以及该字段值对应的网元IP地址进行共同输出和展示。
在一个具体的例子中,覆盖检测报告可以是表3所示的表格形式。其中,该NAT话单的匹配起始日期为2021年9月1日,匹配周期为15天,匹配失败次数为311次,该NAT话单中源IP地址字段对应的字段值为10.52.1.21,该字段值对应的网元地址为202.102.1.102。
表3覆盖检测报告
序号 | 网元地址 | 匹配失败源地址 | 失败次数 | 匹配起始日期 | 匹配周期 |
No. | ggsn/sgw IP | 源IPv4 | Failure Tims | Start Date | Period |
1 | 202.102.1.102 | 10.52.1.21 | 311 | 2021年9月1日 | 15天 |
在本实施例的一个具体的实施方式中,如图2B所示,首先,获取NAT话单和xDR话单;然后,对每个NAT话单中源IP地址字段和目的IP地址字段对应的字段值,与每个xDR话单中源IP地址字段和目的IP地址字段对应的字段值分别进行匹配对比;其中,若匹配成功,则将该源IP地址对应的网元IP地址确定为覆盖网元地址,并记录覆盖网元名称;若匹配失败,则将该IP地址对应的网元IP地址确定为未覆盖网元地址,并记录未覆盖网元名称。
本发明实施例提供的技术方案,在获取到外部数据表示话单和网络地址转换话单之后,对上述话单分别进行预设字段提取,以获取各预设字段对应的字段值;并根据各话单中各预设字段对应的字段值,以确定未成功检测到匹配外部数据表示话单的网络地址转换话单,进而确定该网络地址转换话单中,源网际协议地址字段对应的字段值匹配的网元网际协议地址,并将该网元网际协议地址确定为移动互联网恶意程序监测系统对应的未覆盖网元地址;通过对每个外部数据表示话单分别与各网络地址转换话单中各预设字段对应的字段值进行匹配对比,可以实现对未覆盖网元地址的高效准确判断,可以避免人工拨测带来的人力成本投入,可以使现有的核查作弊手段失效。
图3为本发明另一实施例提供的一种恶意程序监测系统的覆盖检测装置的结构示意图。如图3所示,该装置包括:外部数据表示话单获取模块310、网络地址转换话单获取模块320和未覆盖网元地址确定模块330。其中,
外部数据表示话单获取模块310,用于通过预先部署的移动互联网恶意程序监测系统,获取预设监控时间段的网络流量数据,并获取所述网络流量数据对应的多个外部数据表示话单;
网络地址转换话单获取模块320,用于通过预先部署的防火墙前置机,获取预设监控时间段的网络地址转换日志,并获取所述网络地址转换日志对应的多个网络地址转换话单;
未覆盖网元地址确定模块330,用于分别对各所述外部数据表示话单和各所述网络地址转换话单进行匹配对比,并根据匹配对比结果,确定所述移动互联网恶意程序监测系统对应的未覆盖网元地址。
本发明实施例提供的技术方案,通过预先部署的移动互联网恶意程序监测系统,获取预设监控时间段的网络流量数据,并获取网络流量数据对应的多个外部数据表示话单;通过预先部署的防火墙前置机,获取预设监控时间段的网络地址转换日志,并获取网络地址转换日志对应的多个网络地址转换话单;分别对各外部数据表示话单和各网络地址转换话单进行匹配对比,以确定移动互联网恶意程序监测系统对应的未覆盖网元地址;通过利用防火墙前置机的网络地址转换日志,可以实现对移动互联网恶意程序监测系统未覆盖网元地址的高效与准确检测,可以降低人力成本的投入。
可选的,在上述技术方案的基础上,未覆盖网元地址确定模块330,包括:
字段值获取单元,用于对各所述外部数据表示话单进行预设字段提取,获取各所述预设字段对应的字段值;并对各所述网络地址转换话单进行预设字段提取,获取各所述预设字段对应的字段值;
其中,所述预设字段包括源网际协议地址字段、源端口字段、目的网际协议地址字段、目的端口字段以及发生时间字段;
一致性检测条件判断单元,用于分别判断各所述外部数据表示话单中各预设字段对应的字段值,与各所述网络地址转换话单中对应各预设字段对应的字段值是否满足一致性检测条件;
未覆盖网元地址确定单元,用于若检测到异常网络地址转换话单中各预设字段对应的字段值,与各所述外部数据表示话单中对应各预设字段对应的字段值均不满足一致性检测条件,则根据所述异常网络地址转换话单中源网际协议地址字段对应的字段值,确定对应的网元网际协议地址,并将所述网元网际协议地址确定为所述移动互联网恶意程序监测系统对应的未覆盖网元地址。
可选的,在上述技术方案的基础上,字段值获取单元,包括:
外部数据表示话单对应字段值获取子单元,用于根据外部数据表示话单的组成规则,确定每个预设字段在外部数据表示话单中的字段序号,并根据各预设字段在外部数据表示话单中的字段序号,在外部数据表示话单中获取各所述预设字段对应的字段值;
网络地址转换话单对应字段值获取子单元,用于根据网络地址转换话单的组成规则,确定每个预设字段在网络地址转换话单中的字段序号,并根据各预设字段在网络地址转换话单中的字段序号,在网络地址转换话单中获取各所述预设字段对应的字段值。
可选的,在上述技术方案的基础上,未覆盖网元地址确定单元,包括:
未覆盖源网际协议地址确定子单元,用于根据所述异常网络地址转换话单中源网际协议地址字段对应的字段值,确定未覆盖源网际协议地址;
网元网际协议地址确定子单元,用于根据所述未覆盖源网际协议地址,以及预先配置的网元网际协议地址与源网际协议地址的对应关系,确定所述未覆盖源网际协议地址对应的网元网际协议地址。
可选的,在上述技术方案的基础上,未覆盖网元地址确定单元,还包括:
数量阈值判断子单元,用于判断所述网元网际协议地址对应的未覆盖源网际协议地址的数量是否大于或者等于预设数量阈值;
若是,则将所述网元网际协议地址确定为所述移动互联网恶意程序监测系统对应的未覆盖网元地址。
可选的,在上述技术方案的基础上,一致性检测条件判断单元,具体用于若检测到某个外部数据表示话单中源网际协议地址字段、源端口字段、目的网际协议地址字段以及目的端口字段对应的字段值,与目标网络地址转换话单中对应源网际协议地址字段、源端口字段、目的网际协议地址字段以及目的端口字段对应的字段值均一致,且所检测外部数据表示话单中发生时间字段对应的字段值,与所述目标网络地址转换话单中发生时间字段对应的字段值的差值小于预设时间差阈值,则确定所检测外部数据表示话单中各预设字段对应的字段值,与所述目标网络地址转换话单中对应各预设字段对应的字段值满足一致性检测条件。
可选的,在上述技术方案的基础上,所述恶意程序监测系统的覆盖检测装置,还包括:
覆盖检测报告生成模块,用于根据所述未覆盖网元地址和所述未覆盖源网际协议地址,生成所述移动互联网恶意程序监测系统对应的覆盖检测报告。
上述装置可执行本发明前述实施例所提供的恶意程序监测系统的覆盖检测方法,具备执行上述方法相应的功能模块和有益效果。未在本发明实施例中详尽描述的技术细节,可参见本发明前述实施例所提供的恶意程序监测系统的覆盖检测方法。
图4为本发明另一实施例提供的一种电子设备的结构示意图,如图4所示,该电子设备包括处理器410、存储器420、输入装置430和输出装置440;电子设备中处理器410的数量可以是一个或多个,图4中以一个处理器410为例;电子设备中的处理器410、存储器420、输入装置430和输出装置440可以通过总线或其他方式连接,图4中以通过总线连接为例。存储器420作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明任意实施例中的一种恶意程序监测系统的覆盖检测方法对应的程序指令/模块(例如,一种恶意程序监测系统的覆盖检测装置中的外部数据表示话单获取模块310、网络地址转换话单获取模块320和未覆盖网元地址确定模块330)。处理器410通过运行存储在存储器420中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现上述的一种恶意程序监测系统的覆盖检测方法。也即,该程序被处理器执行时实现:
通过预先部署的移动互联网恶意程序监测系统,获取预设监控时间段的网络流量数据,并获取所述网络流量数据对应的多个外部数据表示话单;
通过预先部署的防火墙前置机,获取预设监控时间段的网络地址转换日志,并获取所述网络地址转换日志对应的多个网络地址转换话单;
分别对各所述外部数据表示话单和各所述网络地址转换话单进行匹配对比,并根据匹配对比结果,确定所述移动互联网恶意程序监测系统对应的未覆盖网元地址。
存储器420可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器420可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器420可进一步包括相对于处理器410远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。输入装置430可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入,可以包括键盘和鼠标等。输出装置440可包括显示屏等显示设备。
可选的,该电子设备可以为服务器,服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明任意实施例所述方法。当然,本发明实施例所提供的一种计算机可读存储介质,其可以执行本发明任意实施例所提供的一种恶意程序监测系统的覆盖检测方法中的相关操作。也即,该程序被处理器执行时实现:
通过预先部署的移动互联网恶意程序监测系统,获取预设监控时间段的网络流量数据,并获取所述网络流量数据对应的多个外部数据表示话单;
通过预先部署的防火墙前置机,获取预设监控时间段的网络地址转换日志,并获取所述网络地址转换日志对应的多个网络地址转换话单;
分别对各所述外部数据表示话单和各所述网络地址转换话单进行匹配对比,并根据匹配对比结果,确定所述移动互联网恶意程序监测系统对应的未覆盖网元地址。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台电子设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述恶意程序监测系统的覆盖检测装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (8)
1.一种恶意程序监测系统的覆盖检测方法,其特征在于,包括:
通过预先部署的移动互联网恶意程序监测系统,获取预设监控时间段的网络流量数据,并获取所述网络流量数据对应的多个外部数据表示话单;
通过预先部署的防火墙前置机,获取预设监控时间段的网络地址转换日志,并获取所述网络地址转换日志对应的多个网络地址转换话单;
对各所述外部数据表示话单进行预设字段提取,获取各所述预设字段对应的字段值;并对各所述网络地址转换话单进行预设字段提取,获取各所述预设字段对应的字段值;
其中,所述预设字段包括源网际协议地址字段、源端口字段、目的网际协议地址字段、目的端口字段以及发生时间字段;
分别判断各所述外部数据表示话单中各预设字段对应的字段值,与各所述网络地址转换话单中对应各预设字段对应的字段值是否满足一致性检测条件;其中,源网际协议地址字段、源端口字段、目的网际协议地址字段以及目的端口字段作为精确匹配因子,发生时间字段作为宽松匹配因子;
若检测到异常网络地址转换话单中各预设字段对应的字段值,与各所述外部数据表示话单中对应各预设字段对应的字段值均不满足一致性检测条件,则根据所述异常网络地址转换话单中源网际协议地址字段对应的字段值,确定对应的网元网际协议地址,并将所述网元网际协议地址确定为所述移动互联网恶意程序监测系统对应的未覆盖网元地址;
其中,分别判断各所述外部数据表示话单中各预设字段对应的字段值,与各所述网络地址转换话单中对应各预设字段对应的字段值是否满足一致性检测条件,包括:
若检测到某个外部数据表示话单中源网际协议地址字段、源端口字段、目的网际协议地址字段以及目的端口字段对应的字段值,与目标网络地址转换话单中对应源网际协议地址字段、源端口字段、目的网际协议地址字段以及目的端口字段对应的字段值均一致,且所检测外部数据表示话单中发生时间字段对应的字段值,与所述目标网络地址转换话单中发生时间字段对应的字段值的差值小于预设时间差阈值,则确定所检测外部数据表示话单中各预设字段对应的字段值,与所述目标网络地址转换话单中对应各预设字段对应的字段值满足一致性检测条件。
2.根据权利要求1所述的方法,其特征在于,对各所述外部数据表示话单进行预设字段提取,获取各所述预设字段对应的字段值;并对各所述网络地址转换话单进行预设字段提取,获取各所述预设字段对应的字段值,包括:
根据外部数据表示话单的组成规则,确定每个预设字段在外部数据表示话单中的字段序号,并根据各预设字段在外部数据表示话单中的字段序号,在外部数据表示话单中获取各所述预设字段对应的字段值;
根据网络地址转换话单的组成规则,确定每个预设字段在网络地址转换话单中的字段序号,并根据各预设字段在网络地址转换话单中的字段序号,在网络地址转换话单中获取各所述预设字段对应的字段值。
3.根据权利要求1所述的方法,其特征在于,根据所述异常网络地址转换话单中源网际协议地址字段对应的字段值,确定对应的网元网际协议地址,包括:
根据所述异常网络地址转换话单中源网际协议地址字段对应的字段值,确定未覆盖源网际协议地址;
根据所述未覆盖源网际协议地址,以及预先配置的网元网际协议地址与源网际协议地址的对应关系,确定所述未覆盖源网际协议地址对应的网元网际协议地址。
4.根据权利要求3所述的方法,其特征在于,在确定所述未覆盖源网际协议地址对应的网元网际协议地址之后,还包括:
判断所述网元网际协议地址对应的未覆盖源网际协议地址的数量是否大于或者等于预设数量阈值;
若是,则将所述网元网际协议地址确定为所述移动互联网恶意程序监测系统对应的未覆盖网元地址。
5.根据权利要求3所述的方法,其特征在于,在根据匹配对比结果,确定所述移动互联网恶意程序监测系统对应的未覆盖网元地址之后,还包括:
根据所述未覆盖网元地址和所述未覆盖源网际协议地址,生成所述移动互联网恶意程序监测系统对应的覆盖检测报告。
6.一种恶意程序监测系统的覆盖检测装置,其特征在于,包括:
外部数据表示话单获取模块,用于通过预先部署的移动互联网恶意程序监测系统,获取预设监控时间段的网络流量数据,并获取所述网络流量数据对应的多个外部数据表示话单;
网络地址转换话单获取模块,用于通过预先部署的防火墙前置机,获取预设监控时间段的网络地址转换日志,并获取所述网络地址转换日志对应的多个网络地址转换话单;
未覆盖网元地址确定模块,用于对各所述外部数据表示话单进行预设字段提取,获取各所述预设字段对应的字段值;并对各所述网络地址转换话单进行预设字段提取,获取各所述预设字段对应的字段值;
其中,所述预设字段包括源网际协议地址字段、源端口字段、目的网际协议地址字段、目的端口字段以及发生时间字段;
分别判断各所述外部数据表示话单中各预设字段对应的字段值,与各所述网络地址转换话单中对应各预设字段对应的字段值是否满足一致性检测条件;其中,源网际协议地址字段、源端口字段、目的网际协议地址字段以及目的端口字段作为精确匹配因子,发生时间字段作为宽松匹配因子;
若检测到异常网络地址转换话单中各预设字段对应的字段值,与各所述外部数据表示话单中对应各预设字段对应的字段值均不满足一致性检测条件,则根据所述异常网络地址转换话单中源网际协议地址字段对应的字段值,确定对应的网元网际协议地址,并将所述网元网际协议地址确定为所述移动互联网恶意程序监测系统对应的未覆盖网元地址;
其中,分别判断各所述外部数据表示话单中各预设字段对应的字段值,与各所述网络地址转换话单中对应各预设字段对应的字段值是否满足一致性检测条件,包括:
若检测到某个外部数据表示话单中源网际协议地址字段、源端口字段、目的网际协议地址字段以及目的端口字段对应的字段值,与目标网络地址转换话单中对应源网际协议地址字段、源端口字段、目的网际协议地址字段以及目的端口字段对应的字段值均一致,且所检测外部数据表示话单中发生时间字段对应的字段值,与所述目标网络地址转换话单中发生时间字段对应的字段值的差值小于预设时间差阈值,则确定所检测外部数据表示话单中各预设字段对应的字段值,与所述目标网络地址转换话单中对应各预设字段对应的字段值满足一致性检测条件。
7.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个计算机程序;
当所述一个或多个计算机程序被所述一个或多个处理器执行,使得所述一个或多个处理器执行所述计算机程序时实现如权利要求1-5中任一所述的恶意程序监测系统的覆盖检测方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-5中任一所述的恶意程序监测系统的覆盖检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111452222.3A CN114173346B (zh) | 2021-12-01 | 2021-12-01 | 恶意程序监测系统的覆盖检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111452222.3A CN114173346B (zh) | 2021-12-01 | 2021-12-01 | 恶意程序监测系统的覆盖检测方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114173346A CN114173346A (zh) | 2022-03-11 |
CN114173346B true CN114173346B (zh) | 2024-04-12 |
Family
ID=80482065
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111452222.3A Active CN114173346B (zh) | 2021-12-01 | 2021-12-01 | 恶意程序监测系统的覆盖检测方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114173346B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101848197A (zh) * | 2009-03-23 | 2010-09-29 | 华为技术有限公司 | 检测方法、装置和具有检测功能的网络 |
US9215239B1 (en) * | 2012-09-28 | 2015-12-15 | Palo Alto Networks, Inc. | Malware detection based on traffic analysis |
CN106570394A (zh) * | 2016-11-10 | 2017-04-19 | 厦门安胜网络科技有限公司 | 一种检测恶意程序的方法 |
CN108270600A (zh) * | 2016-12-30 | 2018-07-10 | 中国移动通信集团黑龙江有限公司 | 一种对恶意攻击流量的处理方法及相关服务器 |
CN109962903A (zh) * | 2017-12-26 | 2019-07-02 | 中移(杭州)信息技术有限公司 | 一种家庭网关安全监控方法、装置、系统和介质 |
CN110401614A (zh) * | 2018-04-24 | 2019-11-01 | 中移(杭州)信息技术有限公司 | 恶意域名的溯源方法及装置 |
CN112565308A (zh) * | 2021-02-26 | 2021-03-26 | 北京邮电大学 | 基于网络流量的恶意应用检测方法、装置、设备及介质 |
CN112866005A (zh) * | 2020-12-31 | 2021-05-28 | 恒安嘉新(北京)科技股份公司 | 一种用户访问日志的处理方法、装置、设备及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8942233B2 (en) * | 2009-09-08 | 2015-01-27 | Wichorus, Inc. | Method and apparatus for performing network address translation |
-
2021
- 2021-12-01 CN CN202111452222.3A patent/CN114173346B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101848197A (zh) * | 2009-03-23 | 2010-09-29 | 华为技术有限公司 | 检测方法、装置和具有检测功能的网络 |
US9215239B1 (en) * | 2012-09-28 | 2015-12-15 | Palo Alto Networks, Inc. | Malware detection based on traffic analysis |
CN106570394A (zh) * | 2016-11-10 | 2017-04-19 | 厦门安胜网络科技有限公司 | 一种检测恶意程序的方法 |
CN108270600A (zh) * | 2016-12-30 | 2018-07-10 | 中国移动通信集团黑龙江有限公司 | 一种对恶意攻击流量的处理方法及相关服务器 |
CN109962903A (zh) * | 2017-12-26 | 2019-07-02 | 中移(杭州)信息技术有限公司 | 一种家庭网关安全监控方法、装置、系统和介质 |
CN110401614A (zh) * | 2018-04-24 | 2019-11-01 | 中移(杭州)信息技术有限公司 | 恶意域名的溯源方法及装置 |
CN112866005A (zh) * | 2020-12-31 | 2021-05-28 | 恒安嘉新(北京)科技股份公司 | 一种用户访问日志的处理方法、装置、设备及存储介质 |
CN112565308A (zh) * | 2021-02-26 | 2021-03-26 | 北京邮电大学 | 基于网络流量的恶意应用检测方法、装置、设备及介质 |
Non-Patent Citations (2)
Title |
---|
Leveraging SDN and WebRTC for Rogue Access Point Security;Jacob H. Cox等;《IEEE Transactions on Network and Service Management》;20170605;全文 * |
Mirai僵尸网络恶意程序分析和监测数据研究;陈亚亮等;《网络与信息安全学报》;20170815;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114173346A (zh) | 2022-03-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110798472B (zh) | 数据泄露检测方法与装置 | |
KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
CN108304704A (zh) | 权限控制方法、装置、计算机设备和存储介质 | |
US11568277B2 (en) | Method and apparatus for detecting anomalies in mission critical environments using word representation learning | |
CN109656792A (zh) | 基于网络调用日志的应用性能分析方法、装置、计算机设备及存储介质 | |
CN111314276A (zh) | 一种对多个攻击行为检测的方法、装置及系统 | |
CN105959290A (zh) | 攻击报文的检测方法及装置 | |
CN106778264A (zh) | 一种移动客户端的应用程序分析方法及分析系统 | |
CN114339767B (zh) | 一种信令检测方法、装置、电子设备及存储介质 | |
CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
CN110636076A (zh) | 一种主机攻击检测方法及系统 | |
CN113595981A (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
CN114173346B (zh) | 恶意程序监测系统的覆盖检测方法、装置、设备及介质 | |
CN112667875A (zh) | 一种数据获取、数据分析方法、装置、设备及存储介质 | |
CN111625837A (zh) | 识别系统漏洞的方法、装置和服务器 | |
CN115795475A (zh) | 软件系统风险的确定方法、装置及电子设备 | |
CN114168423A (zh) | 异常号码的呼叫监控方法、装置、设备及存储介质 | |
US9934543B2 (en) | Secure traveler framework | |
CN114417198A (zh) | 一种网络诈骗预警方法、装置、预警设备、系统 | |
CN114124555A (zh) | 报文回放方法、装置、电子设备及计算机可读介质 | |
CN114143088B (zh) | 网络故障诊断方法、装置、设备及计算机可读存储介质 | |
CN115914005B (zh) | 一种数据审计系统及方法 | |
Forte | The “ART” of log correlation: part 1: Tools and techniques for correlating events and log files | |
CN114024765B (zh) | 基于旁路流量与防火墙配置相结合的防火墙策略收敛方法 | |
CN112565306B (zh) | 一种app隐私数据收集的第三方服务器识别方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |