CN114579978A - 一种数据分析方法、装置及电子设备 - Google Patents
一种数据分析方法、装置及电子设备 Download PDFInfo
- Publication number
- CN114579978A CN114579978A CN202210190072.1A CN202210190072A CN114579978A CN 114579978 A CN114579978 A CN 114579978A CN 202210190072 A CN202210190072 A CN 202210190072A CN 114579978 A CN114579978 A CN 114579978A
- Authority
- CN
- China
- Prior art keywords
- data
- target
- target data
- threat
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种数据分析方法、装置及电子设备,该方法包括:获得主机的I P地址以及I P地址对应的第一目标数据库,并将第一目标数据库中的各个第一目标数据在预设威胁数据库中进行匹配,确定第一目标数据与预设威胁数据库中的预设威胁数据一致时,按照预设规则将第一目标数据中的威胁程序进行替换,生成第二目标数据,将第二目标数据发送至I P地址对应的主机,并接收主机基于第二目标数据生成的分析结果,基于分析结果确定是否显示告警信息。通过上述方法,将第一目标数据中的威胁程序用安全程序进行替换,避免主机在对第二目标数据进行检测时造成安全漏洞,并且,确保了发出告警信息的数据为对网络平台造成损害的数据,使得告警信息为有效告警信息。
Description
技术领域
本申请涉及数据分析技术领域,尤其涉及一种数据分析方法、装置及电子设备。
背景技术
随着网络技术的发展,网络平台产生的安全漏洞越来越多,为了防止安全漏洞威胁到网络运行或者网络平台中存储的网络数据,引入了安全分析平台对网络中产生的网络数据进行分析,安全分析平台将会分析出对网络平台造成影响的威胁数据,由于安全分析平台对网络数据的分析依赖于安全分析平台中提前设置的报警规则,当安全分析平台中出现的网络数据触发报警规则时,安全分析平台会将该网络数据判定为威胁数据。
采用上述描述的方法,根据报警规则对安全分析平台中的网络数据进行分析,网络数据是在复杂的网络环境中产生的,网络数据的构成往往也越来越复杂,当网络数据不会对网络平台造成影响时,存在网络数据中带有触发报警规则的字段或者程序的情况,安全分析平台会将触发报警规则的网络数据判定为威胁数据,安全分析平台对于分析出的威胁数据进行处理将浪费大量的资源,并且,由于分析出的威胁数据中包含大量对网络平台不会造成影响的威胁数据,因此,将会导致安全分析平台基于报警规则分析出的威胁数据的错误率较高。
发明内容
本申请提供了一种数据分析方法、装置及电子设备,通过确定对网络平台造成威胁的第一目标数据,并将第一目标数据中的威胁程序用安全程序进行替换,确保了主机在对第二目标数据进行检测时的网络安全,从而避免运行威胁程序造成新的安全漏洞,同时,安全分析平台对主机的检测结果进行进一步的分析,再确定是否发出告警信息,确保了发出告警信息的数据为对网络平台造成损害的数据,从而提高了报警信息的有消息。
通过上述的步骤,将第一目标数据中的威胁程序进行替换,使得第一目标数据中对网络平台造成损害的数据失效,生成第二目标数据,确保了第二目标数据中没有对网络平台造成实际损害的数据,确保了网络平台的安全。
第一方面,本申请提供了一种数据分析方法,所述方法包括:
获得主机的IP地址以及所述IP地址对应的第一目标数据库,并将所述第一目标数据库中的各个第一目标数据在预设威胁数据库中进行匹配;
确定第一目标数据与所述预设威胁数据库中的预设威胁数据一致时,按照预设规则将所述第一目标数据中的威胁程序进行替换,生成第二目标数据;
将所述第二目标数据发送至所述IP地址对应的主机,并接收所述主机基于所述第二目标数据生成的分析结果;
基于所述分析结果确定是否显示告警信息。
在一种可能的设计中,获得主机的IP地址以及所述IP地址对应的第一目标数据库之前,包括:
获得主机对应的初始目标数据库,提取出所述初始目标数据库中的非威胁数据;
将所述非威胁数据从所述初始目标数据库中删除,生成初始目标数据库对应的第一目标数据库。
在一种可能的设计中,提取出所述初始目标数据库中的非威胁数据,包括:
将所述初始目标数据库中的各个初始目标数据与预设数据进行匹配;
确定所述初始目标数据与所述预设数据一致时,将所述初始目标数据作为非威胁数据;
提取出所有初始目标数据对应的非威胁数据。
在一种可能的设计中,按照预设规则将所述第一目标数据中的威胁程序进行替换,包括:
提取出所述第一目标数据中的威胁程序,读取出所述威胁程序的类型;
基于所述威胁程序的类型从预设替换程序库中确定出替换程序,其中,所述预设替换程序库用于存储安全程序;
将所述替换程序替换所述第一目标数据中的威胁程序。
在一种可能的设计中,基于所述分析结果确定是否显示告警信息,包括:
当所述分析结果为数据运行成功或者为所述第二目标数据存在路径信息时,显示告警信息,其中,所述路径信息为第二目标数据所属的文件名称以及存储位置名称;或
当所述分析结果为数据运行失败或者所述第二目标数据不存在路径信息时,隐藏告警信息。
第二方面,本申请提供了一种数据分析装置,所述装置包括:
获得模块,用于获得主机的IP地址以及所述IP地址对应的第一目标数据库,并将所述第一目标数据库中的各个第一目标数据在预设威胁数据库中进行匹配;
替换模块,用于确定第一目标数据与所述预设威胁数据库中的预设威胁数据一致时,按照预设规则将所述第一目标数据中的威胁程序进行替换,生成第二目标数据;
发送模块,用于将所述第二目标数据发送至所述IP地址对应的主机,并接收所述主机基于所述第二目标数据生成的分析结果;
确定模块,用于基于所述分析结果确定是否显示告警信息。
在一种可能的设计中,所述获得模块,具体用于获得主机对应的初始目标数据库,提取出所述初始目标数据库中的非威胁数据,将所述非威胁数据从所述初始目标数据库中删除,生成初始目标数据库对应的第一目标数据库。
在一种可能的设计中,所述获得模块,还用于将所述初始目标数据库中的各个初始目标数据与预设数据进行匹配,确定所述初始目标数据与所述预设数据一致时,将所述初始目标数据作为非威胁数据,提取出所有初始目标数据对应的非威胁数据。
在一种可能的设计中,所述替换模块,具体用于提取出所述第一目标数据中的威胁程序,读取出所述威胁程序的类型,基于所述威胁程序的类型从预设替换程序库中确定出替换程序,将所述替换程序替换所述第一目标数据中的威胁程序。
在一种可能的设计中,所述确定模块,具体用于当所述分析结果为数据运行成功或者为所述第二目标数据存在路径信息时,显示告警信息,当所述分析结果为数据运行失败或者所述第二目标数据不存在路径信息时,隐藏告警信息。
第三方面,本申请还提供了一种数据检测方法,所述方法包括:
接收目标数据,提取出所述目标数据中的目标程序,其中,所述目标数据为已经将威胁程序替换过的数据;
控制所述目标程序运行,获得所述目标程序对应的运行结果;
基于所述运行结果生成所述目标数据对应的检测结果,并将所述检测结果发送至安全分析平台。
通过上述的描述,对安全分析平台发送的目标数据进行分析,运行目标数据中的目标程序,根据目标程序的运行结果,确定出该目标数据的检测结果,由于该目标数据为已经替换过威胁程序的数据,因此,在确定检测出对网络平台具有损害的数据的同时,能够确保主机的网络安全,避免制造出新的安全漏洞。
在一种可能的设计中,基于所述运行结果生成所述目标数据对应的检测结果,并将所述检测结果发送至安全分析平台,包括:
将数据运行成功或者所述目标数据存在路径信息作为检测结果发送至安全分析平台;或
将数据运行失败或者所述目标数据不存在路径信息作为检测结果发送至安全分析平台。
第四方面,本申请提供了一种数据检测装置,所述装置包括:
接收模块,用于接收目标数据,提取出所述目标数据中的目标程序;
控制模块,用于控制所述目标程序运行,获得所述目标程序对应的运行结果;
检测模块,用于基于所述运行结果生成所述目标数据对应的检测结果,并将所述检测结果发送至安全分析平台。
在一种可能的设计中,所述检测模块,具体用于将数据运行成功或者所述目标数据存在路径信息作为检测结果发送至安全分析平台,将数据运行失败或者所述目标数据不存在路径信息作为检测结果发送至安全分析平台。
第五方面,本申请提供了一种电子设备,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现上述的一种数据分析方法步骤。
第六方面,本申请提供了一种电子设备,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现上述的一种数据检测方法步骤。
第七方面,一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的一种数据分析方法步骤以及一种数据检测方法步骤。
上述第一方面至第七方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明以及上述针对第三方面或第三方面中的各种可能方案可以达到的技术效果说明,这里不再重复赘述。
附图说明
图1为本申请提供的一种数据分析方法步骤的流程图;
图2为本申请提供的一种数据检测方法步骤的流程图;
图3为本申请提供的一种数据分析装置的结构示意图;
图4为本申请提供的一种数据检测装置的结构示意图;
图5为本申请提供的一种电子设备的结构示意图;
图6为本申请提供的一种电子设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。需要说明的是,在本申请的描述中“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。A与B连接,可以表示:A与B直接连接和A与B通过C连接这两种情况。另外,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
在以往的技术中,安全分析平台对网络平台中的网络数据进行检测时,采用的方法是将网络数据与静态的报警规则进行匹配,当网络数据中包含触发报警规则的程序或者字段时,则判定该网络数据为威胁数据,并触发报警,但是,该威胁数据中包含大量对网络平台不会造成影响的威胁数据,导致安全分析平台确定出的威胁数据的错误率较高。
为了解决上述描述的问题,本申请实施例采用了一种数据分析方法,用以确保发出报警信息对应的第二目标数据为对网络平台有实际损害的数据,进而确保发出的告警信息都为有效的告警信息,提高了告警信息的准确率。
下面结合附图,对本申请实施例进行详细描述。
实施例一
参照图1,本申请提供了一种数据分析方法,该方法可以提高安全分析平台发出的告警信息的准确率,该方法的实现流程如下:
步骤S1:获得主机的IP地址以及所述IP地址对应的第一目标数据库,并将所述第一目标数据库中的各个第一目标数据在预设威胁数据库中进行匹配。
在网络安全中,网络数据的安全是基于安全分析平台实现的,安全分析平台与多个主机相连,用于防护多个主机的网络安全,由于安全分析平台防护多个主机的安全的过程与安全分析平台防护一个主机的安全的过程是一致的,因此,在本申请实施例中将以安全分析平台防护一个主机的安全为例进行说明,具体说明如下:
安全分析平台为了能够区分多个主机,需要获得主机的IP地址,对该主机进行安全防护的过程中,为了检测主机的网络数据中是否包含对主机造成实际损害的数据,需要获得该IP地址关联的第一目标数据库,第一目标数据库为初始目标数据库经过筛选得到的。
需要进行说明的是,安全分析平台为了提高对主机的网络数据的分析效率,需要对主机的初始目标数据库进行筛选,删除大量的无效网络数据,进而确定出第一目标数据库,避免由于无效数据过多造成分析时间过长的问题,本申请实施例中,确定出主机的第一目标数据库的具体过程如下:
首先,获得主机的初始目标数据库,第一目标数据库可以为主机对应的所有网络数据,也可以为主机中的部分数据库,由于主机中的数据库不是本申请的重点,因此,这里不作过多阐述。
在获得主机的初始目标数据库后,由于初始目标数据库中包含对网络平台不会造成实际损害的数据以及会对网络平台造成实际损害的数据,为了能够更加准确的检测出会对网络平台造成实际损害的数据,避免由于不会对网络平台造成实际损害的数据的影响,降低报警信息的准确率,需要提取出初始目标数据中的非威胁数据,该非威胁数据为不会对网络平台造成影响的数据。
非威胁数据需要由初始目标数据与预设数据库中的预设数据进行匹配确定,当匹配出与初始目标数据一致的预设数据时,则能够确定该初始目标数据为非威胁数据,采用上述描述的方法,从初始数据库中提取出所有的非威胁数据,并将该非威胁数据从初始目标数据库中进行删除,从而得到初始目标数据库对应的第一目标数据库。
通过上述描述的方法,从初始目标数据库中删除非威胁数据,得到第一目标数据库,确保了第一目标数据库中都为威胁数据,有利于从第一目标数据库中分析出对网络平台具有实际损害的数据,从而能够提高报警信息的准确度。
步骤S2:确定第一目标数据与所述预设威胁数据库中的预设威胁数据一致时,按照预设规则将所述第一目标数据中的威胁程序进行替换,生成第二目标数据。
经过上述的描述,能够获知第一目标数据库中为威胁数据,但是,第一目标数据库中还包含对网络平台会造成实际损害的威胁数据,安全分析平台为了在对第一目标数据进行分析的过程中不造成新的安全漏洞以及为了避免该威胁数据对安全分析平台进行攻击,安全分析平台会将第一目标数据与预设威胁数据库中的预设威胁数据进行匹配,预设威胁数据库中为会对网络平台造成实际损害的数据。
当第一目标数据与预设威胁数据一致时,代表该第一目标数据中具有对网络平台造成实际损害的数据,需要提取出第一目标数据中的威胁程序,并且读取出该威胁程序的类型,该威胁程序的类型包括:删除指令、增加指令、外网IP地址等,确定出该威胁程序的类型之后,从预设替换程序库中确定一个替换程序,用于替换掉该威胁程序,并生成第一目标数据对应的第二目标数据,需要说明的是,该预设替换程序库用于存储安全程序,安全程序可以实现显示、替换外网IP地址的功能。
通过上述描述的方法,将第一目标数据中的威胁程序进行替换,从而确保了第二目标数据中没有对网络平台造成实际损害的数据,避免了由于第二目标数据中带有威胁程序,从而造成该威胁程序对网络平台发起攻击。
步骤S3:将所述第二目标数据发送至所述IP地址对应的主机,并接收所述主机基于所述第二目标数据生成的分析结果。
当安全分析平台获得第二目标数据之后,为了进一步确定该第二目标数据会对主机造成的影响,从而获得更加准确的分析结果,需要将第二目标数据发送至上述描述的IP地址对应的主机。
当主机接收到安全分析平台发送的第二目标数据后,会将对第二目标数据的分析结果返回至安全分析平台。
通过上述描述的方法,能够更加准确的确定出第二目标数据对主机造成的影响,进而能够提高检测出威胁程序的准确度,最终提高有效报警的准确度。
步骤S4:基于所述分析结果确定是否显示告警信息。
安全分析平台获得主机返回的分析结果之后,解析出分析结果中的内容,分析结果的具体内容包括:数据运行成功、数据运行失败、第二目标数据不存在路径信息、第二目标数据存在路径信息,该路径信息为第二目标数据所属的文件名称以及存储位置名称。
安全分析平台若解析出数据运行成功或者第二目标数据存在路径信息,安全分析平台将显示告警信息,若解析出数据运行失败或者第二目标数据不存在路径信息,安全分析平台将隐藏告警信息。
基于上述描述的步骤,安全分析平台将预设替换程序替换掉第一目标数据中的威胁程序,避免了该威胁程序对网络平台发起攻击,确保了网络平台的安全,并将第二目标数据发送至主机,基于主机的分析结果再对第二目标数据进行研判,确保了确定出威胁数据的准确度,进而能够提高报警信息的准确率。
实施例二
实施例一描述了安全分析平台对第一目标数据进行分析的具体过程,为了能够提高报警信息的准确度,还需要主机采用一种数据检测方法对安全分析平台发送的数据进行检测,具体参考图2所示,本申请实施例还提供了一种数据检测方法,用以实现对安全分析平台发送的数据进行检测,具体的检测步骤如下:
步骤S21:接收目标数据,提取出所述目标数据中的目标程序,其中,所述目标数据为已经将威胁程序替换过的数据。
主机接收到安全分析平台发送的目标数据之后,为了确定目标数据会主机造成的影响,需要从目标数据中提取出目标程序,该目标数据为已经将威胁程序用上述预设替换程序进行替换过的数据。
步骤S22:控制所述目标程序运行,获得所述目标程序对应的运行结果。
获得目标数据对应的目标程序之后,为了确定出该目标程序会对主机造成的影响,需要控制该目标程序运行,该目标程序运行结束之后,获得该目标程序对应的运行结果,运行结果包括:数据运行成功、数据运行失败、目标数据存在路径信息、目标数据不存在路径信息。
步骤S23:基于所述运行结果生成所述目标数据对应的检测结果,并将所述检测结果发送至安全分析平台。
上述描述中获得了目标程序运行之后的所有运行结果,当运行结果为数据运行成功或者目标数据存在路径信息时,将数据运行成功或者目标数据存在路径信息作为检测结果发送至安全分析平台,当运行结果为数据运行失败或者目标数据不存在路径信息时,将数据运行失败或者目标数据不存在路径信息作为检测结果发送至安全分析平台。
基于上述的描述,主机对安全分析平台发送的目标数据进行检测,通过对目标数据中的目标程序进行运行,从而获得该目标程序对应的运行结果,确保了该目标数据对主机的影响,有利于提高安全分析平台确定出的报警信息的准确度。
实施例三
对应实施例一所提供的方法,本申请实施例中还提供了一种数据分析装置,该发现消息的发送装置用于实现了一种数据分析方法的功能,参照图3,所述装置包括:
获得模块301,用于获得主机的IP地址以及所述IP地址对应的第一目标数据库,并将所述第一目标数据库中的各个第一目标数据在预设威胁数据库中进行匹配;
替换模块302,用于确定第一目标数据与所述预设威胁数据库中的预设威胁数据一致时,按照预设规则将所述第一目标数据中的威胁程序进行替换,生成第二目标数据;
发送模块303,用于将所述第二目标数据发送至所述IP地址对应的主机,并接收所述主机基于所述第二目标数据生成的分析结果;
确定模块304,用于基于所述分析结果确定是否显示告警信息。
在一种可能的设计中,所述获得模块301,具体用于获得主机对应的初始目标数据库,提取出所述初始目标数据库中的非威胁数据,将所述非威胁数据从所述初始目标数据库中删除,生成初始目标数据库对应的第一目标数据库。
在一种可能的设计中,所述获得模块301,还用于将所述初始目标数据库中的各个初始目标数据与预设数据进行匹配,确定所述初始目标数据与所述预设数据一致时,将所述初始目标数据作为非威胁数据,提取出所有初始目标数据对应的非威胁数据。
在一种可能的设计中,所述替换模块302,具体用于提取出所述第一目标数据中的威胁程序,读取出所述威胁程序的类型,基于所述威胁程序的类型从预设替换程序库中确定出替换程序,将所述替换程序替换所述第一目标数据中的威胁程序。
在一种可能的设计中,所述确定模块304,具体用于当所述分析结果为数据运行成功或者为所述第二目标数据存在路径信息时,显示告警信息,当所述分析结果为数据运行失败或者所述第二目标数据不存在路径信息时,隐藏告警信息。
实施例四
对应实施例二所提供的方法,本申请实施例中还提供了一种数据检测装置,该发现消息的发送装置用于实现了一种数据检测方法的功能,参照图4,所述装置包括:
接收模块401,用于接收目标数据,提取出所述目标数据中的目标程序;
控制模块402,用于控制所述目标程序运行,获得所述目标程序对应的运行结果;
检测模块403,用于基于所述运行结果生成所述目标数据对应的检测结果,并将所述检测结果发送至安全分析平台。
在一种可能的设计中,所述检测模块403,具体用于将数据运行成功或者所述目标数据存在路径信息作为检测结果发送至安全分析平台,将数据运行失败或者所述目标数据不存在路径信息作为检测结果发送至安全分析平台。
实施例五
对应实施例一所提供的方法,本申请实施例中还提供了一种电子设备,所述电子设备可以实现前述一种数据分析装置的功能,参考图5,所述电子设备包括:
至少一个处理器501,以及与至少一个处理器501连接的存储器502,本申请实施例中不限定处理器501与存储器502之间的具体连接介质,图5中是以处理器501和存储器502之间通过总线500连接为例。总线500在图5中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线500可以分为地址总线、数据总线、控制总线等,为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。或者,处理器501也可以称为控制器,对于名称不做限制。
在本申请实施例中,存储器502存储有可被至少一个处理器501执行的指令,至少一个处理器501通过执行存储器502存储的指令,可以执行前文论述的一种数据分析的方法。处理器501可以实现图3所示的装置中各个模块的功能。
其中,处理器501是该装置的控制中心,可以利用各种接口和线路连接整个该控制设备的各个部分,通过运行或执行存储在存储器502内的指令以及调用存储在存储器502内的数据,该装置的各种功能和处理数据,从而对该装置进行整体监控。
在一种可能的设计中,处理器501可包括一个或多个处理单元,处理器501可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器501中。在一些实施例中,处理器501和存储器502可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器501可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的一种数据分析方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器502作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器502可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器502是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器502还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对处理器501进行设计编程,可以将前述实施例中介绍的一种数据分析方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行图1所示的实施例的一种数据分析的步骤。如何对处理器501进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
实施例六
对应实施例二所提供的方法,本申请实施例中还提供了一种电子设备,所述电子设备可以实现前述一种数据检测装置的功能,参考图6,所述电子设备包括:
至少一个处理器601,以及与至少一个处理器601连接的存储器602,本申请实施例中不限定处理器601与存储器602之间的具体连接介质,图6中是以处理器601和存储器602之间通过总线600连接为例。总线600在图6中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线600可以分为地址总线、数据总线、控制总线等,为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。或者,处理器601也可以称为控制器,对于名称不做限制。
在本申请实施例中,存储器602存储有可被至少一个处理器601执行的指令,至少一个处理器601通过执行存储器602存储的指令,可以执行前文论述的一种数据检测的方法。处理器601可以实现图4所示的装置中各个模块的功能。
其中,处理器601是该装置的控制中心,可以利用各种接口和线路连接整个该控制设备的各个部分,通过运行或执行存储在存储器602内的指令以及调用存储在存储器602内的数据,该装置的各种功能和处理数据,从而对该装置进行整体监控。
在一种可能的设计中,处理器601可包括一个或多个处理单元,处理器601可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器601中。在一些实施例中,处理器601和存储器602可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器601可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的一种数据检测方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器602作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器602可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器602是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器602还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对处理器601进行设计编程,可以将前述实施例中介绍的一种数据检测方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行图1所示的实施例的一种数据检测的步骤。如何对处理器601进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
基于同一发明构思,本申请实施例还提供一种存储介质,该存储介质存储有计算机指令,当该计算机指令在计算机上运行时,使得计算机执行前文论述的一种数据分析方法以及一种数据检测方法。
在一些可能的实施方式中,本申请提供一种数据分析方法以及一种数据检测方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在装置上运行时,程序代码用于使该控制设备执行本说明书上述描述的根据本申请各种示例性实施方式的一种数据分析方法中的步骤以及一种数据检测方法中的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (16)
1.一种数据分析方法,其特征在于,包括:
获得主机的IP地址以及所述IP地址对应的第一目标数据库,并将所述第一目标数据库中的各个第一目标数据在预设威胁数据库中进行匹配;
确定第一目标数据与所述预设威胁数据库中的预设威胁数据一致时,按照预设规则将所述第一目标数据中的威胁程序进行替换,生成第二目标数据;
将所述第二目标数据发送至所述IP地址对应的主机,并接收所述主机基于所述第二目标数据生成的分析结果;
基于所述分析结果确定是否显示告警信息。
2.如权利要求1所述的方法,其特征在于,获得主机的IP地址以及所述IP地址对应的第一目标数据库之前,包括:
获得主机对应的初始目标数据库,提取出所述初始目标数据库中的非威胁数据;
将所述非威胁数据从所述初始目标数据库中删除,生成初始目标数据库对应的第一目标数据库。
3.如权利要求2所述的方法,其特征在于,提取出所述初始目标数据库中的非威胁数据,包括:
将所述初始目标数据库中的各个初始目标数据与预设数据进行匹配;
确定所述初始目标数据与所述预设数据一致时,将所述初始目标数据作为非威胁数据;
提取出所有初始目标数据对应的非威胁数据。
4.如权利要求1所述的方法,其特征在于,按照预设规则将所述第一目标数据中的威胁程序进行替换,包括:
提取出所述第一目标数据中的威胁程序,读取出所述威胁程序的类型;
基于所述威胁程序的类型从预设替换程序库中确定出替换程序,其中,所述预设替换程序库用于存储安全程序;
将所述替换程序替换所述第一目标数据中的威胁程序。
5.如权利要求1所述的方法,其特征在于,基于所述分析结果确定是否显示告警信息,包括:
当所述分析结果为数据运行成功或者为所述第二目标数据存在路径信息时,显示告警信息,其中,所述路径信息为第二目标数据所属的文件名称以及存储位置名称;或
当所述分析结果为数据运行失败或者所述第二目标数据不存在路径信息时,隐藏告警信息。
6.一种数据检测方法,其特征在于,包括:
接收目标数据,提取出所述目标数据中的目标程序,其中,所述目标数据为已经将威胁程序替换过的数据;
控制所述目标程序运行,获得所述目标程序对应的运行结果;
基于所述运行结果生成所述目标数据对应的检测结果,并将所述检测结果发送至安全分析平台。
7.如权利要求6所述的方法,其特征在于,基于所述运行结果生成所述目标数据对应的检测结果,并将所述检测结果发送至安全分析平台,包括:
将数据运行成功或者所述目标数据存在路径信息作为检测结果发送至安全分析平台;或
将数据运行失败或者所述目标数据不存在路径信息作为检测结果发送至安全分析平台。
8.一种数据分析装置,其特征在于,该装置包括:
获得模块,用于获得主机的IP地址以及所述IP地址对应的第一目标数据库,并将所述第一目标数据库中的各个第一目标数据在预设威胁数据库中进行匹配;
替换模块,用于确定第一目标数据与所述预设威胁数据库中的预设威胁数据一致时,按照预设规则将所述第一目标数据中的威胁程序进行替换,生成第二目标数据;
发送模块,用于将所述第二目标数据发送至所述IP地址对应的主机,并接收所述主机基于所述第二目标数据生成的分析结果;
确定模块,用于基于所述分析结果确定是否显示告警信息。
9.如权利要求8所述的装置,其特征在于,所述获得模块,具体用于获得主机对应的初始目标数据库,提取出所述初始目标数据库中的非威胁数据,将所述非威胁数据从所述初始目标数据库中删除,生成初始目标数据库对应的第一目标数据库。
10.如权利要求8所述的装置,其特征在于,所述获得模块,还用于将所述初始目标数据库中的各个初始目标数据与预设数据进行匹配,确定所述初始目标数据与所述预设数据一致时,将所述初始目标数据作为非威胁数据,提取出所有初始目标数据对应的非威胁数据。
11.如权利要求8所述的装置,其特征在于,所述替换模块,具体用于提取出所述第一目标数据中的威胁程序,读取出所述威胁程序的类型,基于所述威胁程序的类型从预设替换程序库中确定出替换程序,将所述替换程序替换所述第一目标数据中的威胁程序。
12.如权利要求8所述的装置,其特征在于,所述确定模块,具体用于当所述分析结果为数据运行成功或者为所述第二目标数据存在路径信息时,显示告警信息,当所述分析结果为数据运行失败或者所述第二目标数据不存在路径信息时,隐藏告警信息。
13.一种数据检测装置,其特征在于,该装置包括:
接收模块,用于接收目标数据,提取出所述目标数据中的目标程序;
控制模块,用于控制所述目标程序运行,获得所述目标程序对应的运行结果;
检测模块,用于基于所述运行结果生成所述目标数据对应的检测结果,并将所述检测结果发送至安全分析平台。
14.一种数据检测装置,其特征在于,所述检测模块,具体用于将数据运行成功或者所述目标数据存在路径信息作为检测结果发送至安全分析平台,将数据运行失败或者所述目标数据不存在路径信息作为检测结果发送至安全分析平台。
15.一种电子设备,其特征在于,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现权利要求1-5以及权利要求6-7任一项所述的方法步骤。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-5以及权利要求6-7任一项所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210190072.1A CN114579978A (zh) | 2022-02-28 | 2022-02-28 | 一种数据分析方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210190072.1A CN114579978A (zh) | 2022-02-28 | 2022-02-28 | 一种数据分析方法、装置及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114579978A true CN114579978A (zh) | 2022-06-03 |
Family
ID=81776224
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210190072.1A Pending CN114579978A (zh) | 2022-02-28 | 2022-02-28 | 一种数据分析方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114579978A (zh) |
-
2022
- 2022-02-28 CN CN202210190072.1A patent/CN114579978A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107315961B (zh) | 程序漏洞检测方法及装置、计算设备、存储介质 | |
CN106991324B (zh) | 一种基于内存保护类型监控的恶意代码跟踪识别方法 | |
JP2009129451A (ja) | 悪性コードによって挿入されたダイナミックリンクライブラリ検出装置及び方法 | |
CN113672913B (zh) | 一种安全事件处理方法、装置及电子设备 | |
CN109815697B (zh) | 误报行为处理方法及装置 | |
CN110737892B (zh) | 一种针对apc注入的检测方法和相关装置 | |
CN110688658B (zh) | 未知病毒感染追溯方法、装置及系统 | |
CN109933986B (zh) | 恶意代码检测方法及装置 | |
JP2006330864A (ja) | サーバ計算機システムの制御方法 | |
CN108090352B (zh) | 检测系统及检测方法 | |
CN115688106A (zh) | 一种Java agent无文件注入内存马的检测方法及装置 | |
CN114153759A (zh) | 一种内存取证方法、装置及电子设备 | |
CN114579978A (zh) | 一种数据分析方法、装置及电子设备 | |
CN108763053B (zh) | 埋点名称的生成方法及终端设备 | |
JP6425865B1 (ja) | リスク分析装置、リスク分析方法及びリスク分析プログラム | |
CN114610577A (zh) | 一种目标资源的锁定方法、装置、设备和介质 | |
CN114567482A (zh) | 一种告警分类方法、装置、电子设备及存储介质 | |
CN106446687B (zh) | 恶意样本的检测方法及装置 | |
CN110674501B (zh) | 恶意驱动检测方法、装置、设备及介质 | |
CN109472153B (zh) | 一种权限审核方法 | |
CN110543759A (zh) | 恶意文件检测方法、装置、计算机设备和存储介质 | |
CN114640529B (zh) | 攻击防护方法、装置、设备、存储介质和计算机程序产品 | |
CN111221628A (zh) | 虚拟化平台上对虚拟机文件的安全检测方法及装置 | |
CN111353155B (zh) | 一种进程注入的检测方法、装置、设备及介质 | |
CN113836528B (zh) | 安卓应用查壳方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |