CN113055395A - 一种安全检测方法、装置、设备及存储介质 - Google Patents
一种安全检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113055395A CN113055395A CN202110327189.5A CN202110327189A CN113055395A CN 113055395 A CN113055395 A CN 113055395A CN 202110327189 A CN202110327189 A CN 202110327189A CN 113055395 A CN113055395 A CN 113055395A
- Authority
- CN
- China
- Prior art keywords
- detection
- information
- security
- safety
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
Abstract
本申请公开了一种安全检测方法,应用于安全检测平台,安全检测平台包括多种安全检测引擎,该安全检测方法包括以下步骤:任意一种安全检测引擎基于检测元素对接收到的待检测信息进行安全检测得到检测结果;根据检测结果更新信息库,以使安全检测平台中的任意一种安全检测引擎基于更新后的信息库和检测元素对接收到的待检测信息进行安全检测。应用本申请所提供的技术方案,可以保证较高的检测效率,有效避免网络拥塞,可以减少漏报误报情况的发生,保障用户业务的正常进行。本申请还公开了一种安全检测装置、设备及存储介质,具有相应技术效果。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种安全检测方法、装置、设备及存储介质。
背景技术
随着计算机技术和网络技术的快速发展,网络的应用范围越来越广泛,网络安全问题受到的关注越来越多。
网络安全问题主要体现在网络流量等信息的安全性上,对网络流量等信息进行安全检测,保证网络流量等信息的安全性,可以在较大程度上保障用户业务的正常进行。
所以,如何对网络流量等信息进行有效的安全检测,是目前本领域技术人员急需解决的技术问题。
发明内容
本申请的目的是提供一种安全检测方法、装置、设备及存储介质,以有效进行网络流量等信息的安全检测,提高检测效率和准确率,保障用户业务的正常进行。
为解决上述技术问题,本申请提供如下技术方案:
一种安全检测方法,应用于安全检测平台,所述安全检测平台包括多种安全检测引擎,所述安全检测方法包括:
任意一种安全检测引擎基于检测元素对接收到的待检测信息进行安全检测得到检测结果;
根据所述检测结果更新信息库,以使所述安全检测平台中的任意一种安全检测引擎基于更新后的所述信息库和检测元素对接收到的待检测信息进行安全检测。
在本申请的一种具体实施方式中,所述待检测信息包括多种检测元素,所述根据所述检测结果更新信息库,包括:
将各种检测元素对应的检测结果下的多种网络元素作为组合元素;
基于所述组合元素更新信息库。
在本申请的一种具体实施方式中,所述基于检测元素对接收到的待检测信息进行安全检测,包括:
基于接收到的待检测信息的检测元素的可疑度确定对应的检测级别;
基于所述检测级别对所述待检测信息进行安全检测。
在本申请的一种具体实施方式中,所述基于检测元素对接收到的待检测信息进行安全检测,包括:
在信息库中查找接收到的待检测信息包括的检测元素对应的信息组,所述信息库包括多个信息组,不同信息组包含不同网络元素,网络元素与检测元素一一对应;
基于查找到的信息组对所述待检测信息进行安全检测。
在本申请的一种具体实施方式中,所述检测结果为:所述待检测信息为安全信息,所述根据所述检测结果更新信息库,包括:
确定在设定时间段内包括所述待检测信息的检测元素的信息是否均为安全信息;
如果是,则将所述待检测信息的检测元素对应的网络元素加入到信息库包括的白信息库中。
在本申请的一种具体实施方式中,所述安全检测平台中包括对机器学习模型训练获得的安全检测引擎,所述安全检测方法还包括:
基于所述信息库对应的历史数据建立基线;
基于所述基线获得训练数据;
使用所述训练数据对所述机器学习模型进行训练得到安全检测引擎。
在本申请的一种具体实施方式中,所述网络元素包括域名、链接地址或网络地址。
一种安全检测装置,应用于安全检测平台,所述安全检测平台包括多种安全检测引擎,所述安全检测装置包括:
信息安全检测模块,用于触发任意一种安全检测引擎基于检测元素对接收到的待检测信息进行安全检测得到检测结果;
信息库更新模块,用于根据所述检测结果更新信息库,以使所述安全检测平台中的任意一种安全检测引擎基于更新后的所述信息库和检测元素对接收到的待检测信息进行安全检测。
一种安全检测设备,其特征在于,运行于安全检测平台,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一项所述安全检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述安全检测方法的步骤。
应用本申请实施例所提供的技术方案,安全检测平台中的任意一种安全检测引擎都可以基于检测元素对接收到的待检测信息进行安全检测得到检测结果,然后根据检测结果更新信息库,这样安全检测平台中的任意一种安全检测引擎都可以基于更新后的信息库和检测元素对接收到的待检测信息进行安全检测。安全检测平台中的每种安全检测引擎都可以发挥检测作用,在网络流量较大的场景中,也可以保证较高的检测效率,可以有效避免网络拥塞,而且,每种安全检测引擎都可以对信息库进行更新,共同维护信息库,使得基于信息库和检测元素对待检测信息的安全检测更加准确,减少漏报误报情况的发生,可以保障用户业务的正常进行。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中一种安全检测平台的结构示意图;
图2为本申请实施例中一种安全检测方法的实施流程图;
图3为本申请实施例中一种安全检测装置的结构示意图;
图4为本申请实施例中一种安全检测设备的结构示意图。
具体实施方式
本申请的核心是提供一种安全检测方法,该方法可以应用于安全检测平台。安全检测平台可以包括多种安全检测引擎,如UEBA(User and entity behavior analytics,用户和实体行为分析)引擎、规则引擎等。
在实际应用中,可以在网络的出口、入口等位置部署安全检测平台。安全检测平台包括多种安全检测引擎,每种安全检测引擎可以对网络流量等待检测信息进行安全检测,不同种安全检测引擎所针对的待检测信息的类型可以不同。在网络***正常运行,用户业务正常进行过程中,产生的各种信息可以通过信息采集设备进行采集后作为待检测信息传递到安全检测平台。安全检测平台中包含多种安全检测引擎,可以根据待检测信息的类型,确定通过哪种安全检测引擎对其进行安全检测。
如图1所示,安全检测平台包括安全检测引擎A、安全检测引擎B、安全检测引擎C等,多种安全检测引擎共同维护信息库。
安全检测平台中的任意一种安全检测引擎都可以基于检测元素对接收到的待检测信息进行安全检测得到检测结果,然后根据检测结果更新信息库,这样安全检测平台中的任意一种安全检测引擎都可以基于更新后的信息库和检测元素对接收到的待检测信息进行安全检测。安全检测平台中的每种安全检测引擎都可以发挥检测作用,在网络流量较大的场景中,也可以保证较高的检测效率,可以有效避免网络拥塞,而且,每种安全检测引擎都可以对信息库进行更新,共同维护信息库,使得基于信息库和检测元素对待检测信息的安全检测更加准确,减少漏报误报情况的发生,可以保障用户业务的正常进行。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图2所示,为本申请实施例所提供的一种安全检测方法的实施流程图,该方法可以包括以下步骤:
S210:任意一种安全检测引擎基于检测元素对接收到的待检测信息进行安全检测得到检测结果。
在实际应用中,不同种安全检测引擎所针对的待检测信息的类型不同。在有待检测信息到达安全检测平台后,可以基于待检测信息的类型确定具体通过哪种安全检测引擎对其进行安全检测。
安全检测平台中的任意一种安全检测引擎在接收到待检测信息后,可以基于检测元素对待检测信息进行安全检测得到检测结果。检测元素可以包括域名、链接地址或网络地址。
S220:根据检测结果更新信息库,以使安全检测平台中的任意一种安全检测引擎基于更新后的信息库和检测元素对接收到的待检测信息进行安全检测。
在本申请实施例中,信息库可以记录网络流量等信息的网络元素、是否安全、可疑度等信息。
网络元素可以包括域名、链接地址或网络地址。网络元素与检测元素一一对应。其中,链接地址可以是URL(uniform resource locator,统一资源定位)地址,网络地址可以是IP(Internet Protocol,网际互连协议)地址。
安全检测平台包括的多种安全检测引擎可以共同维护信息库。任意一种安全检测引擎基于检测元素对接收到的待检测信息进行安全检测得到检测结果后,可以根据该检测结果更新信息库。具体的,可以对信息库中记录的各种信息进行更新。这样安全检测平台中的任意一种安全检测引擎可以基于更新后的信息库和检测元素对接收到的待检测信息进行安全检测。
多种安全检测引擎共同维护信息库。对于任意一种安全检测引擎来说,该安全检测引擎在对待检测信息进行安全检测时,通过信息库可以知晓其他安全检测引擎对该待检测信息的相关联信息的检测情况,根据信息库中记录的相关信息,可以快速地确定是否还需要对该待检测信息进行安全检测,或者进行何种程度的安全检测,可以提高检测效率。而且,不同安全检测引擎的检测能力不同,通过信息库可以共享各种安全检测引擎对于相关联一些信息的检测结果,可以提高每种安全检测引擎的检测准确率,减少误报漏报情况的发生。
应用本申请实施例所提供的方法,安全检测平台中的任意一种安全检测引擎都可以基于检测元素对接收到的待检测信息进行安全检测得到检测结果,然后根据检测结果更新信息库,这样安全检测平台中的任意一种安全检测引擎都可以基于更新后的信息库和检测元素对接收到的待检测信息进行安全检测。安全检测平台中的每种安全检测引擎都可以发挥检测作用,在网络流量较大的场景中,也可以保证较高的检测效率,可以有效避免网络拥塞,而且,每种安全检测引擎都可以对信息库进行更新,共同维护信息库,使得基于信息库和检测元素对待检测信息的安全检测更加准确,减少漏报误报情况的发生,可以保障用户业务的正常进行。
在本申请的一个实施例中,待检测信息可以包括多种检测元素,根据检测结果更新信息库,可以包括以下步骤:
步骤一:将各种检测元素对应的检测结果下的多种网络元素作为组合元素;
步骤二:基于组合元素更新信息库。
在本申请实施例中,对于安全检测平台中的任意一种安全检测引擎而言,其基于检测元素对接收到的待检测信息进行安全检测得到检测结果,如果待检测信息包括多种检测元素,则可以分别基于每种检测元素对待检测信息进行安全检测,得到每种检测元素对应的检测结果。
检测元素与网络元素一一对应,得到的每种检测元素对应的检测结果中包含多种网络元素,可以将各种检测元素对应的检测结果下的多种网络元素作为组合元素,然后基于组合元素更新信息库。
举例而言,组合元素可以为域名、链接地址和网络地址,基于组合元素更新信息库,可以在信息库中记录具有该域名、链接地址和网络地址的信息。
在本申请的一个实施例中,对于安全检测平台中的任意一种安全检测引擎而言,该安全检测引擎接收到待检测信息后,可以提取待检测信息的检测元素,在信息库中对该检测元素对应的网络元素进行查询,确定信息库中是否存在相应的网络元素。
如果确定信息库中存在相应的网络元素,则表明之前已经有对待检测信息相关联信息的安全性判定。可以基于信息库确定是否对该待检测信息进行安全检测。
具体的,可以根据信息库中记录的待检测信息对应的网络元素的安全信息,确定是否对该待检测信息进行安全检测。
如果信息库中记录的待检测信息对应的网络元素的安全信息表明该网络元素是安全的,则可以认为没有必要对待检测信息进行安全检测,可以忽略对该待检测信息的安全检测,以节省检测时间,提高检测效率。
如果信息库中记录的待检测信息对应的网络元素的安全信息表明该网络元素是不安全的,则可以认为该待检测信息可能存在威胁,可以对该待检测信息进行进一步的检测。
安全检测平台包括的多种安全检测引擎共同维护信息库,对接收到的待检测信息是否进行安全检测进行判定,而不是直接对接收到的每个待检测信息均进行安全检测,可以提高检测效率。
在本申请的一个实施例中,信息库可以包括白信息库,白信息库中记录有已确认为安全的网络元素,如果待检测信息对应的网络元素存在于白信息库中,则可以忽略对待检测信息的安全检测。
也就是说,如果待检测信息对应的网络元素存在于白信息库中,则表明待检测信息相关联信息之前已被确认为是安全的信息,在这种情况下,可以直接确认待检测信息为安全信息,可以忽略对待检测信息的安全检测。这样可以节省检测时间,提高检测效率。
举例而言,一种安全检测引擎,如UEBA引擎,检测到域名www.xxx.com访问周期正常,且在实际环境是合理的域名访问,则可以将www.xxx.com加入到白信息库中;另一种安全检测引擎在进行DGA(Domain Generate Algorithm,域名生成算法)域名检测时,查询到www.xxx.com已经存在于白信息库中,则忽略对其进行后续复杂的安全检测。
在本申请的一个实施例中,信息库可以包括黑信息库,黑信息库中记录有已确认为存在威胁的网络元素,如果待检测信息对应的网络元素存在于黑信息库中,则可以确定要对待检测信息进行安全检测。
也就是说,如果待检测信息对应的网络元素存在于黑信息库中,则表明待检测信息相关联信息之前已被确认为存在威胁的信息,在这种情况下,可以确定对待检测信息进行安全检测。即对于网络元素存在于黑信息库中的待检测信息,对其进行进一步安全检测,可以减少漏报误报的情况的发生,提高检测准确率,保障网络***的安全性。
举例而言,一种安全检测引擎,如UEBA引擎检测到http://k.k.k.k/download是异常访问,将其记录到黑信息库中;另一安全检测引擎在进行webshell检测时,查询到http://k.k.k.k/download已经存在于黑信息库中,可以对其进行全量的复杂分析。
在本申请的一种具体实施方式中,基于检测元素对接收到的待检测信息进行安全检测,可以包括以下步骤:
步骤一:基于接收到的待检测信息的检测元素的可疑度确定对应的检测级别;
步骤二:基于检测级别对待检测信息进行安全检测。
为便于描述,将上述两个步骤结合起来进行说明。
在本申请实施例中,信息库中记录的网络元素,可以对应有相应的可疑度。可疑度的计算规则可以根据实际情况进行设定和调整。如对于一个网络元素而言,在设定时间段内该网络元素被确定为存在威胁的次数越多,则该网络元素的可疑度越高,反之,越低。或者,确定该网络元素存在威胁的安全检测引擎越多,则该网络元素的可疑度越高,反之,越低。
任意一种安全检测引擎在接收到待检测信息后,可以确定待检测信息的检测元素的可疑度。检测元素与网络元素一一对应,可以通过信息库中网络元素的可疑度得到相应的检测元素的可疑度。不同可疑度可以对应不同检测级别。如果检测元素的可疑度较低,则可以使用较低的检测级别对待检测信息进行安全检测,如果检测元素的可疑度较高,则可以使用较高的检测级别对待检测信息进行安全检测。
举例而言,如果安全检测引擎通过特征分析对待检测信息进行安全检测,在确定使用较低的检测级别的情况下,可以使用较少的特征对待检测信息进行安全检测,在确定使用较高的检测级别的情况下,可以使用较多的特征对待检测信息进行安全检测。
这样在提高检测准确率的同时可以提高检测效率。
在实际应用中,信息库可以包括黑信息库和白信息库,对于不同种安全检测引擎,可以基于实际使用场景加载相应的黑信息库和/或白信息库。另外,对于不同使用场景,也可以维护不同的黑信息库和/或白信息库。安全检测平台中的任意一种安全检测引擎可以根据实际的检测目的,加载黑信息库,以快速命中黑数据,进行重点检测,提高检测准确率,同时,可以根据实际的检测目的,加载白信息库,以快速排除白数据,提高检测性能。
在本申请的一个实施例中,任意一种安全检测引擎接收到待检测信息后,如果确定信息库中不存在待检测信息对应的网络元素,则表明之前自身或者其他安全检测引擎没有对待检测信息相关联信息进行过安全检测。在这种情况下,该安全检测引擎可以对待检测信息进行安全检测得到检测结果。
该安全检测引擎对待检测信息进行安全检测后,如果确定待检测信息为安全信息,则可以不对其进行任何限制操作,如果确定待检测信息存在威胁,则可以将待检测信息上报给防御***,以使防御***对待检测信息进行拦截等操作。
获得待检测信息的检测结果后,可以在信息库中记录待检测信息对应的网络元素及相关安全状态信息,对信息库进行更新。这样后续安全检测平台中的任意一种安全检测引擎在接收到新的待检测信息后,可以基于信息库确定是否对相应的待检测信息进行安全检测,以提高检测准确率和检测效率。
在实际应用中,在信息库包括黑信息库和白信息库的情况下,如果确定待检测信息为安全信息,则可以将待检测信息对应的网络元素加入到白信息库中,如果确定待检测信息存在威胁,则可以将待检测信息对应的网络元素加入到黑信息库中,同时记录相应的安全状态信息。
在本申请的一个实施例中,基于检测元素对接收到的待检测信息进行安全检测,可以包括以下步骤:
第一个步骤:在信息库中查找接收到的待检测信息包括的检测元素对应的信息组,信息库包括多个信息组,不同信息组包含不同网络元素,网络元素与检测元素一一对应;
第二个步骤:基于查找到的信息组对待检测信息进行安全检测。
为便于描述,将上述两个步骤结合起来进行说明。
在本申请实施例中,信息库包括多个信息组,不同信息组包含不同网络元素,网络元素与检测元素一一对应。如,信息库包括信息组1、信息组2,信息组1包括的网络元素为域名,信息组2包括的网络元素为链接地址。
安全检测平台中的任意中安全检测引擎在接收到待检测信息后,可以在信息库中查找接收到的待检测信息包括的检测元素对应的信息组,然后基于查找到的信息组对待检测信息进行安全检测,这样更有针对性,可以提高检测效率。
在本申请的一个实施例中,检测结果为:待检测信息为安全信息,根据检测结果更新信息库,可以包括以下步骤:
确定在设定时间段内包括待检测信息的检测元素的信息是否均为安全信息;
如果是,则将待检测信息的检测元素对应的网络元素加入到信息库包括的白信息库中。
在本申请实施例中,安全检测平台中的任意一种安全检测引擎对接收到的待检测信息进行安全检测得到检测结果,如果检测结果为:待检测信息为安全信息,则可以进一步确定在设定时间段内包括待检测信息的检测元素的信息是否均为安全信息。设定时间段可以根据实际情况进行设定和调整。如果在设定时间段内包括待检测信息的检测元素的信息均为安全信息,则可以认为待检测信息是绝对安全的,可以将待检测信息的检测元素对应的网络元素加入到信息库包括的白信息库中。后续任意一种安全检测引擎接收到待检测信息相关联的信息时,通过白信息库可以直接确定其安全性,不需要再进行进一步的安全检测。
比如,某一种安全检测引擎检测到具有网络元素http://x.x.x.x/download的网络流量在过去7天一直都没有任何威胁,则可以将该网络元素记录到白信息库中。
在本申请的一个实施例中,安全检测平台中包括为对机器学习模型训练获得的安全检测引擎,该方法还可以包括以下步骤:
步骤一:基于信息库对应的历史数据建立基线;
步骤二:基于基线获得训练数据;
步骤三:使用训练数据对机器学习模型进行训练得到安全检测引擎。
为便于描述,将上述三个步骤结合起来进行说明。
在本申请实施例中,安全检测平台中可以包括对机器学习模型训练获得的安全检测引擎。
安全检测平台包括的多种安全检测引擎共同维护信息库,信息库不断更新。可以基于信息库对应的历史数据建立基线。通过基线可以知道哪个IP总是访问哪个网址,或者总是在什么时间访问等信息。基于基线可以获得训练数据。然后使用训练数据对机器学习模型进行训练,如重新训练或者增量训练等,得到安全检测模型。以使得机器学习模型进行自改进,提升目标安全检测引擎的检测准确性,提升检测效果,最大化适配实际流量环境。
举例而言,UEBA引擎在进行历史访问建模时,因为该网络元素存在于白信息库中,可以充分信任http://x.x.x.x/download的访问,可以基于其7天流量数据建立基线,再基于基线获得训练数据,对其所基于的机器学习模型进行训练。
相应于上面的方法实施例,本申请实施例还提供了一种安全检测装置,应用于安全检测平台,安全检测平台包括多种安全检测引擎,下文描述的安全检测装置与上文描述的安全检测方法可相互对应参照。
参见图3所示,该装置包括以下模块:
信息安全检测模块310,用于触发任意一种安全检测引擎基于检测元素对接收到的待检测信息进行安全检测得到检测结果;
信息库更新模块320,用于根据检测结果更新信息库,以使安全检测平台中的任意一种安全检测引擎基于更新后的信息库和检测元素对接收到的待检测信息进行安全检测。
应用本申请实施例所提供的装置,安全检测平台中的任意一种安全检测引擎都可以基于检测元素对接收到的待检测信息进行安全检测得到检测结果,然后根据检测结果更新信息库,这样安全检测平台中的任意一种安全检测引擎都可以基于更新后的信息库和检测元素对接收到的待检测信息进行安全检测。安全检测平台中的每种安全检测引擎都可以发挥检测作用,在网络流量较大的场景中,也可以保证较高的检测效率,可以有效避免网络拥塞,而且,每种安全检测引擎都可以对信息库进行更新,共同维护信息库,使得基于信息库和检测元素对待检测信息的安全检测更加准确,减少漏报误报情况的发生,可以保障用户业务的正常进行。
在本申请的一种具体实施方式中,待检测信息包括多种检测元素,信息库更新模块320,用于:
将各种检测元素对应的检测结果下的多种网络元素作为组合元素;
基于组合元素更新信息库。
在本申请的一种具体实施方式中,信息安全检测模块310,用于:
基于接收到的待检测信息的检测元素的可疑度确定对应的检测级别;
基于检测级别对待检测信息进行安全检测。
在本申请的一种具体实施方式中,信息安全检测模块310,用于:
在信息库中查找接收到的待检测信息包括的检测元素对应的信息组,信息库包括多个信息组,不同信息组包含不同网络元素,网络元素与检测元素一一对应;
基于查找到的信息组对待检测信息进行安全检测。
在本申请的一种具体实施方式中,检测结果为:待检测信息为安全信息,信息库更新模块320,用于:
确定在设定时间段内包括待检测信息的检测元素的信息是否均为安全信息;
如果是,则将待检测信息的检测元素对应的网络元素加入到信息库包括的白信息库中。
在本申请的一种具体实施方式中,安全检测平台中包括对机器学习模型训练获得的安全检测引擎,安全检测装置还包括模型训练模块,用于:
基于信息库对应的历史数据建立基线;
基于基线获得训练数据;
使用训练数据对机器学习模型进行训练得到安全检测引擎。
在本申请的一种具体实施方式中,网络元素包括域名、链接地址或网络地址。
相应于上面的方法实施例,本申请实施例还提供了一种安全检测设备,运行于安全检测平台,安全检测设备包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现上述安全检测方法的步骤。
如图4所示,为安全检测设备的组成结构示意图,安全检测设备可以包括:处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
在本申请实施例中,处理器10可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执行安全检测方法的实施例中的操作。
存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器11中至少存储有用于实现以下功能的程序:
任意一种安全检测引擎基于检测元素对接收到的待检测信息进行安全检测得到检测结果;
根据检测结果更新信息库,以使安全检测平台中的任意一种安全检测引擎基于更新后的信息库和检测元素对接收到的待检测信息进行安全检测。
在一种可能的实现方式中,存储器11可包括存储程序区和存储数据区,其中,存储程序区可存储操作***,以及至少一个功能(比如信息交互功能、安全检测功能)所需的应用程序等;存储数据区可存储使用过程中所创建的数据,如待检测信息数据、安全信息数据等。
此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
通信接口12可以为通信模块的接口,用于与其他设备或者***连接。
当然,需要说明的是,图4所示的结构并不构成对本申请实施例中安全检测设备的限定,在实际应用中安全检测设备可以包括比图4所示的更多或更少的部件,或者组合某些部件。
相应于上面的方法实施例,本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述安全检测方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (10)
1.一种安全检测方法,其特征在于,应用于安全检测平台,所述安全检测平台包括多种安全检测引擎,所述安全检测方法包括:
任意一种安全检测引擎基于检测元素对接收到的待检测信息进行安全检测得到检测结果;
根据所述检测结果更新信息库,以使所述安全检测平台中的任意一种安全检测引擎基于更新后的所述信息库和检测元素对接收到的待检测信息进行安全检测。
2.根据权利要求1所述的安全检测方法,其特征在于,所述待检测信息包括多种检测元素,所述根据所述检测结果更新信息库,包括:
将各种检测元素对应的检测结果下的多种网络元素作为组合元素;
基于所述组合元素更新信息库。
3.根据权利要求1所述的安全检测方法,其特征在于,所述基于检测元素对接收到的待检测信息进行安全检测,包括:
基于接收到的待检测信息的检测元素的可疑度确定对应的检测级别;
基于所述检测级别对所述待检测信息进行安全检测。
4.根据权利要求1所述的安全检测方法,其特征在于,所述基于检测元素对接收到的待检测信息进行安全检测,包括:
在信息库中查找接收到的待检测信息包括的检测元素对应的信息组,所述信息库包括多个信息组,不同信息组包含不同网络元素,网络元素与检测元素一一对应;
基于查找到的信息组对所述待检测信息进行安全检测。
5.根据权利要求1所述的安全检测方法,其特征在于,所述检测结果为:所述待检测信息为安全信息,所述根据所述检测结果更新信息库,包括:
确定在设定时间段内包括所述待检测信息的检测元素的信息是否均为安全信息;
如果是,则将所述待检测信息的检测元素对应的网络元素加入到信息库包括的白信息库中。
6.根据权利要求5所述的安全检测方法,其特征在于,所述安全检测平台中包括对机器学习模型训练获得的安全检测引擎,所述安全检测方法还包括:
基于所述信息库对应的历史数据建立基线;
基于所述基线获得训练数据;
使用所述训练数据对所述机器学习模型进行训练得到安全检测引擎。
7.根据权利要求2至8之中任一项所述的安全检测方法,其特征在于,所述网络元素包括域名、链接地址或网络地址。
8.一种安全检测装置,其特征在于,应用于安全检测平台,所述安全检测平台包括多种安全检测引擎,所述安全检测装置包括:
信息安全检测模块,用于触发任意一种安全检测引擎基于检测元素对接收到的待检测信息进行安全检测得到检测结果;
信息库更新模块,用于根据所述检测结果更新信息库,以使所述安全检测平台中的任意一种安全检测引擎基于更新后的所述信息库和检测元素对接收到的待检测信息进行安全检测。
9.一种安全检测设备,其特征在于,运行于安全检测平台,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的安全检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的安全检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110327189.5A CN113055395B (zh) | 2021-03-26 | 2021-03-26 | 一种安全检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110327189.5A CN113055395B (zh) | 2021-03-26 | 2021-03-26 | 一种安全检测方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113055395A true CN113055395A (zh) | 2021-06-29 |
| CN113055395B CN113055395B (zh) | 2023-09-05 |
Family
ID=76515618
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110327189.5A Active CN113055395B (zh) | 2021-03-26 | 2021-03-26 | 一种安全检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113055395B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103235914A (zh) * | 2013-04-27 | 2013-08-07 | 上海海事大学 | 一种云端恶意检测引擎识别方法 |
| CN105099821A (zh) * | 2015-07-30 | 2015-11-25 | 北京奇虎科技有限公司 | 基于云的虚拟环境下流量监控的方法和装置 |
| CN106657019A (zh) * | 2016-11-24 | 2017-05-10 | 华为技术有限公司 | 网络安全防护方法和装置 |
| CN107563201A (zh) * | 2017-09-08 | 2018-01-09 | 北京奇虎科技有限公司 | 基于机器学习的关联样本查找方法、装置及服务器 |
| CN109413016A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种基于规则的报文检测方法和装置 |
| US10320813B1 (en) * | 2015-04-30 | 2019-06-11 | Amazon Technologies, Inc. | Threat detection and mitigation in a virtualized computing environment |
| US20190340353A1 (en) * | 2018-05-07 | 2019-11-07 | Entit Software Llc | Machine learning-based security threat investigation guidance |
| CN110602029A (zh) * | 2019-05-15 | 2019-12-20 | 上海云盾信息技术有限公司 | 一种用于识别网络攻击的方法和*** |
| CN111988265A (zh) * | 2019-05-23 | 2020-11-24 | 深信服科技股份有限公司 | 一种网络流量攻击识别方法、防火墙***及相关组件 |
-
2021
- 2021-03-26 CN CN202110327189.5A patent/CN113055395B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103235914A (zh) * | 2013-04-27 | 2013-08-07 | 上海海事大学 | 一种云端恶意检测引擎识别方法 |
| US10320813B1 (en) * | 2015-04-30 | 2019-06-11 | Amazon Technologies, Inc. | Threat detection and mitigation in a virtualized computing environment |
| CN105099821A (zh) * | 2015-07-30 | 2015-11-25 | 北京奇虎科技有限公司 | 基于云的虚拟环境下流量监控的方法和装置 |
| CN106657019A (zh) * | 2016-11-24 | 2017-05-10 | 华为技术有限公司 | 网络安全防护方法和装置 |
| CN107563201A (zh) * | 2017-09-08 | 2018-01-09 | 北京奇虎科技有限公司 | 基于机器学习的关联样本查找方法、装置及服务器 |
| CN109413016A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种基于规则的报文检测方法和装置 |
| US20190340353A1 (en) * | 2018-05-07 | 2019-11-07 | Entit Software Llc | Machine learning-based security threat investigation guidance |
| CN110602029A (zh) * | 2019-05-15 | 2019-12-20 | 上海云盾信息技术有限公司 | 一种用于识别网络攻击的方法和*** |
| CN111988265A (zh) * | 2019-05-23 | 2020-11-24 | 深信服科技股份有限公司 | 一种网络流量攻击识别方法、防火墙***及相关组件 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113055395B (zh) | 2023-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11863587B2 (en) | Webshell detection method and apparatus | |
| CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| CN105553917B (zh) | 一种网页漏洞的检测方法和*** | |
| KR100732689B1 (ko) | 웹 보안방법 및 그 장치 | |
| CN110677438A (zh) | 一种攻击链构建方法、装置、设备、介质 | |
| CN103918222A (zh) | 用于检测拒绝服务攻击的***和方法 | |
| CN103379099A (zh) | 恶意攻击识别方法及*** | |
| CN103685294A (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| CN114363036B (zh) | 一种网络攻击路径获取方法、装置及电子设备 | |
| CN110719299A (zh) | 防御网络攻击的蜜罐构建方法、装置、设备及介质 | |
| CN113259392B (zh) | 一种网络安全攻防方法、装置及存储介质 | |
| CN101901232A (zh) | 用于处理网页数据的方法和装置 | |
| CN111628990A (zh) | 识别攻击的方法、装置和服务器 | |
| CN109428857B (zh) | 一种恶意探测行为的检测方法和装置 | |
| CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
| CN114244564B (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
| CN113810381B (zh) | 一种爬虫检测方法、web应用云防火墙、装置和存储介质 | |
| CN114257403A (zh) | 误报检测方法、设备及可读存储介质 | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| CN111885088A (zh) | 基于区块链的日志监测方法及装置 | |
| CN115001789B (zh) | 一种失陷设备检测方法、装置、设备及介质 | |
| CN113055395B (zh) | 一种安全检测方法、装置、设备及存储介质 | |
| CN113032787A (zh) | 一种***漏洞检测方法及装置 | |
| CN113806732B (zh) | 一种网页篡改检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |