CN114491533A - 数据处理方法、装置、服务器及存储介质 - Google Patents

数据处理方法、装置、服务器及存储介质 Download PDF

Info

Publication number
CN114491533A
CN114491533A CN202210080311.8A CN202210080311A CN114491533A CN 114491533 A CN114491533 A CN 114491533A CN 202210080311 A CN202210080311 A CN 202210080311A CN 114491533 A CN114491533 A CN 114491533A
Authority
CN
China
Prior art keywords
organization
target
information
network
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210080311.8A
Other languages
English (en)
Other versions
CN114491533B (zh
Inventor
方永成
赵重浩
胡浩
龚亮华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fengtai Technology Beijing Co ltd
Original Assignee
Fengtai Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fengtai Technology Beijing Co ltd filed Critical Fengtai Technology Beijing Co ltd
Priority to CN202210080311.8A priority Critical patent/CN114491533B/zh
Priority claimed from CN202210080311.8A external-priority patent/CN114491533B/zh
Publication of CN114491533A publication Critical patent/CN114491533A/zh
Application granted granted Critical
Publication of CN114491533B publication Critical patent/CN114491533B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请适用于计算机技术领域,提供了一种数据处理方法、装置、服务器及存储介质,其中,方法包括:在检测到目标蜜罐设备被访问时,获取访问目标蜜罐设备的网络组织的目标访问信息;从预先存储的组织信息集中,查找与目标访问地址相匹配的组织信息,将查找到的组织信息记作目标组织信息;从当前显示的多个可视图中,确定与目标组织信息所包括的组织类型相对应的可视图,记作目标可视图,以及根据目标访问信息对目标可视图进行更新。本申请中,通过及时获取对访问目标蜜罐设备的各种组织类型的网络组织的访问信息,可以实现及时掌握各网络组织的动态,有助于实现对各网络组织进行及时准确地监管。

Description

数据处理方法、装置、服务器及存储介质
技术领域
本申请属于计算机技术领域,尤其涉及数据处理方法、装置、服务器及存储介质。
背景技术
随着互联网技术的发展,互联网上活跃的网络组织也越来越多,不同的网络组织的目的通常不一样,例如,搜索引擎组织的目的通常是搜索信息,恶意组织的目的通常是传播病毒。
相关技术中,若对各网络组织监管不到位,容易出现网络安全问题,造成网络安全隐患。
发明内容
本申请实施例提供了一种数据处理方法、装置、服务器及存储介质,可以解决相关技术中,对各网络组织监管不到位,造成网络安全隐患的问题。
本申请实施例的第一方面提供了一种数据处理方法,包括:
在检测到目标蜜罐设备被访问时,获取访问目标蜜罐设备的网络组织的目标访问信息,其中,目标访问信息包括目标访问地址;
从预先存储的组织信息集中,查找与目标访问地址相匹配的组织信息,将查找到的组织信息记作目标组织信息,其中,组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址;
从当前显示的多个可视图中,确定与目标组织信息所包括的组织类型相对应的可视图,记作目标可视图,以及根据目标访问信息对目标可视图进行更新。
进一步地,方法还包括:
若目标访问信息还包括访问协议信息,则在组织信息集中不存在与目标访问地址相匹配的组织信息时,从访问协议信息中提取组织标识信息;
根据组织标识信息生成目标组织名称,根据目标组织名称在组织信息集中的存在状态,将目标访问地址存入组织信息集。
进一步地,根据目标组织名称在组织信息集中的存储状态,将目标访问地址存入组织信息集,包括:
若存在状态指示组织信息集中存在与目标组织名称相匹配的组织信息,则将目标访问地址存入相匹配的组织信息中的访问地址位置;
若存在状态指示组织信息集中不存在与目标组织名称相匹配的组织信息,则根据目标组织名称和目标访问地址生成组织信息,以及将所生成的组织信息存入组织信息集。
进一步地,方法还包括:
在检测到网络组织向目标蜜罐设备发送网络文件时,将网络组织的组织类型确定为恶意组织类型,以及将网络文件确定为目标病毒文件;
获取目标病毒文件,以及根据目标病毒文件,确定目标病毒文件对应的目标源头组织地址;
根据目标病毒文件,给网络组织生成组织名称,根据所生成的组织名称、网络组织的组织类型和目标源头组织地址,生成组织信息存入组织信息集。
进一步地,若组织信息集中的组织信息还包括源头组织地址,则根据所生成的组织名称、网络组织的组织类型和目标源头组织地址,生成组织信息存入组织信息集,包括:
在组织信息集中存在与所生成的组织名称相匹配的组织信息时,将目标源头组织地址存入相匹配的组织信息中的源头组织地址位置;
在组织信息集中不存在与所生成的组织名称相匹配的组织信息时,将所生成的组织名称、网络组织的组织类型和目标源头组织地址,组合生成组织信息存入组织信息集。
进一步地,方法还包括:
根据目标病毒文件的文件信息,确定目标病毒文件与预先存储的病毒文件集中各病毒文件的相似程度,得到目标相似程度,其中,文件信息包括以下至少一项:文件内容,文件标题,文件特征值;
在目标相似程度满足预设相似条件时,将目标病毒文件存入病毒文件集。
进一步地,方法还包括:
向目标网络组织中的管理服务器发送信息获取请求,以及接收目标网络组织通过目标节点返回的查询结果信息,其中,信息获取请求用于获取目标网络组织访问目标蜜罐设备所得到的访问结果信息,查询结果信息包括访问结果信息和目标节点的节点地址;
在组织信息集中不存在与节点地址相匹配的组织信息时,将节点地址存入对应于目标网络组织的组织信息中的访问地址位置。
本申请实施例的第二方面提供了一种数据处理的装置,包括:
地址获取单元,用于在检测到目标蜜罐设备被访问时,获取访问目标蜜罐设备的网络组织的目标访问信息,其中,目标访问信息包括目标访问地址;
信息匹配单元,用于从预先存储的组织信息集中,查找与目标访问地址相匹配的组织信息,将查找到的组织信息记作目标组织信息,其中,组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址;
信息呈现单元,用于从当前显示的多个可视图中,确定与目标组织信息所包括的组织类型相对应的可视图,记作目标可视图,以及根据目标访问信息对目标可视图进行更新。
本申请实施例的第三方面提供了一种服务器,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现第一方面提供的数据处理方法的各步骤。
本申请实施例的第四方面提供了一种存储介质,存储介质存储有计算机程序,计算机程序被处理器执行时实现第一方面提供的数据处理方法的各步骤。
实施本申请实施例提供的数据处理方法、装置、服务器及存储介质具有以下有益效果:首先,在检测到目标蜜罐设备被访问时,获取访问目标蜜罐设备的网络组织的目标访问信息,其中,目标访问信息包括目标访问地址。然后,从预先存储的组织信息集中,查找与目标访问地址相匹配的组织信息,将查找到的组织信息记作目标组织信息,其中,组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址。最后,从当前显示的多个可视图中,确定与目标组织信息所包括的组织类型相对应的可视图,记作目标可视图,以及根据目标访问信息对目标可视图进行更新。通过及时获取对访问目标蜜罐设备的各种组织类型的网络组织的访问信息,可以实现及时掌握各网络组织的动态,有助于实现对各网络组织进行及时准确地监管。另外,对访问目标蜜罐设备的各种组织类型的网络组织的访问信息以组织类型为区分,进行分类呈现,可以将各种组织类型的网络组织的访问情况进行直观呈现,有助于提高对网络组织进行监管的效率和准确率,从而提高网络安全。另外,对各组织类型对应的可视图进行及时更新,可以实现更加准确地将各种组织类型的网络组织的访问情况进行直观呈现。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的一种数据处理方法的实现流程图;
图2是本申请一实施例提供的一种确定目标源头组织地址的实现流程图;
图3是本申请一实施例提供的一种更新病毒文件集的实现流程图;
图4是本申请一实施例提供的一种更新组织信息的实现流程图;
图5是本申请一实施例提供的数据处理装置的结构框图;
图6是本申请一实施例提供的服务器的结构框图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定***结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的***、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
为了说明本申请的技术方案,下面通过以下实施例来进行说明。
请参阅图1,图1示出了本申请一实施例提供的一种数据处理方法的实现流程图,包括:
步骤101,在检测到目标蜜罐设备被访问时,获取访问目标蜜罐设备的网络组织的目标访问信息。
其中,上述目标蜜罐设备通常是预先设定的蜜罐设备,蜜罐设备通常是指作为诱饵的主机、服务器等设备。
其中,网络组织通常是指入侵目标蜜罐设备的互联网组织。
其中,上述目标访问信息包括目标访问地址。目标访问地址可以是网络组织对应的IP地址,也可以是网络组织对应的域名,还可以是网络组织对应的IP地址和域名的组合。目标访问信息通常是指当前获取的访问信息,访问信息通常是网络组织的相关信息,如网络组织的端口,目标访问地址通常是目标访问信息中所包括的访问地址,访问地址通常是网络组织对应的地址,如网络组织的IP地址。
在本实施例中,上述数据处理方法的执行主体通常是服务器。需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。
实践中,蜜罐设备通常会设置开放端口供网络组织进行连接或者扫描,若存在网络流量通过开放的端口流入或者流出蜜罐设备,则表示蜜罐设备被网络组织访问。上述执行主体可以通过检测目标蜜罐设备中的网络流量来检测目标蜜罐被访问,也可以通过检测到目标蜜罐设备的开放端口被连接来检测目标蜜罐设备被访问。
在目标蜜罐设备被访问后,目标蜜罐设备可以生成访问目标蜜罐设备的网络组织对应的目标访问信息,上述执行主体可以通过向目标蜜罐设备发送指令的方式,获取访问目标蜜罐设备的网络组织对应的目标访问信息,也可以通过目标蜜罐设备被访问后,自动将访问的网络组织对应的目标访问信息发送到上述执行主体的方式,获取访问目标蜜罐设备的网络组织对应的目标访问信息。
作为一个示例,可以将目标访问信息中的目标访问地址设置成网络组织对应的IP地址,当IP地址为1.2.3.4的网络组织通过目标蜜罐设备的21端口访问目标蜜罐设备时,目标蜜罐设备可以生成“IP地址为1.2.3.4”的目标访问信息,将目标访问信息发送到上述执行主体。
步骤102,从预先存储的组织信息集中,查找与目标访问地址相匹配的组织信息,将查找到的组织信息记作目标组织信息。
其中,组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址。组织类型通常为搜索引擎组织类型、网络测绘组织类型、恶意组织类型中的一种。
实践中,上述执行主体在获取到访问目标蜜罐设备的网络组织对应的目标访问地址后,可以将获取到的目标网络地址与预先存储的组织信息集中各个组织信息相对应的访问地址进行比较查找,将与目标访问地址相同的访问地址对应的组织信息记作目标组织信息。作为一个示例,访问目标蜜罐设备的网络组织对应的目标访问地址为1.2.3.4,将目标访问地址1.2.3.4与组织信息集中的组织信息对应的访问地址进行比较查找,找到组织信息1:(组织类型:搜索引擎组织类型;组织名称:AA;访问地址:1.2.3.4,1.2.3.5)对应的访问地址中包括与目标访问地址相同,将组织信息1记作目标组织信息。
步骤103,从当前显示的多个可视图中,确定与目标组织信息所包括的组织类型相对应的可视图,记作目标可视图,以及根据目标访问信息对目标可视图进行更新。
这里,每个组织类型通常对应一个可视图,例如,搜索引擎组织对应搜索引擎组织可视图,网络测绘组织对应网络测绘组织可视图。上述执行主体找到目标组织信息后,可以将目标组织信息中的组织类型作为网络组织的组织类型,通过组织类型确定相应的可视图,对可视图进行更新。实践中,上述执行主体可以将网络组织的目标访问信息输入预先设定的信息呈现模板,生成网络组织的目标访问信息对应的子可视图,将生成的子可视图与网络组织的组织类型对应的主可视图进行拼接,也可以通过网络组织的目标访问信息对可视图的内容进行更新。作为一个示例,若网络组织的组织类型确定为搜索引擎组织类型,则采用网络组织对应的目标访问信息,对搜索引擎组织可视图进行更新,例如,对搜索引擎组织可视图中的目标访问地址的访问次数进行更新,目标访问信息还可以包括访问时间,通过访问时间对搜索引擎组织可视图中的最新访问时间进行更新。
本实施例提供的数据处理方法,首先,在检测到目标蜜罐设备被访问时,获取访问目标蜜罐设备的网络组织的目标访问信息,其中,目标访问信息包括目标访问地址。然后,从预先存储的组织信息集中,查找与目标访问地址相匹配的组织信息,将查找到的组织信息记作目标组织信息,其中,组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址。最后,从当前显示的多个可视图中,确定与目标组织信息所包括的组织类型相对应的可视图,记作目标可视图,以及根据目标访问信息对目标可视图进行更新。通过及时获取对访问目标蜜罐设备的各种组织类型的网络组织的访问信息,可以实现及时掌握各网络组织的动态,有助于实现对各网络组织进行及时准确地监管。另外,对访问目标蜜罐设备的各种组织类型的网络组织的访问信息以组织类型为区分,进行分类呈现,可以将各种组织类型的网络组织的访问情况进行直观呈现,有助于提高对网络组织进行监管的效率和准确率,从而提高网络安全。另外,对各组织类型对应的可视图进行及时更新,可以实现更加准确地将各种组织类型的网络组织的访问情况进行直观呈现。
在本实施例的一些可选的实现方式中,上述执行主体可以将组织信息集通过可视图的方式呈现,在获取到网络组织的目标访问信息后,可以通过目标访问信息对组织信息集的可视图进行更新显示,可视图中可以包括网络组织的活跃趋势图,通过网络组织的活动趋势图了解网络组织的活动趋势,评估网络组织的威胁,提高***的安全防护能力。
在本实施例的一些可选的实现方式中,数据处理方法还可以包括如下步骤一至步骤二。
步骤一,若目标访问信息还包括访问协议信息,则在组织信息集中不存在与目标访问地址相匹配的组织信息时,从访问协议信息中提取组织标识信息。
其中,访问协议信息通常是指网络组织的网络通信协议信息,例如,超文本传输协议(Hyper Text Transfer Protocol,HTTP)信息,基于安全套接字协议的超文本传输协议(Hyper Text Transfer Protocol over SecureSocket Layer,HTTPS)信息。
其中,组织标识信息通常是用于指示网络组织的名称的信息,例如,组织标识信息为XXspider对应的网络组织的名称为XX搜索引擎组织。
其中,上述从访问协议信息中提取组织标识信息,可以是上述执行主体通过预设的关键字与访问协议信息进行关键字匹配,将访问协议信息中与关键字相匹配的片段作为组织标识信息提取出来,也可以是上述执行主体通过预设的提取规则,例如,提取协议信息中的预设位置的片段,从访问协议信息中提取组织标识信息。实践中,若提取到搜索引擎组织对应的组织标识信息,则确定网络组织是搜索引擎组织。这里,在不存在与目标访问地址相匹配的组织信息时,通过对访问协议信息与预设关键字进行匹配的方式,可以提高确定网络组织的组织类型的效率。
作为一个示例,上述执行主体在获取到的目标访问信息还包括网络组织的HTTPS协议信息,组织信息集中不存在与目标问地址相匹配的组织信息时,可以对HTTPS协议信息中的用户代理信息进行关键字匹配,若匹配到用户代理信息中心包括预设的关键字如,spider,bot,则将含有关键字的片段提取出来作为网络组织的组织标识信息。进一步举例来说,预设关键字为spider,bot,若上述执行主体在对用户代理信息进行关键字匹配,匹配到包括spider的单词XXspider,则将XXspider提取出来作为网络组织的组织标识信息。
步骤二,根据组织标识信息生成目标组织名称,根据目标组织名称在组织信息集中的存在状态,将目标访问地址存入组织信息集。
实践中,上述执行主体在提取到网络组织的组织标识信息后,可以通过预设的命名规则生成目标组织名称,例如,将组织标识信息为XXspider的搜索引擎组织命名为XX搜索引擎,上述执行主体也可以直接将组织标识信息作为目标组织名称,例如,将组织标识信息为XXspider的搜索引擎组织命名为XXspider。
在确定目标组织名称后,上述执行主体可以将生成的目标组织名称与组织信息集中的组织信息包括的组织名称进行匹配,得到目标组织名称在组织信息集中的存在状态,将目标访问地址存入组织信息集。这里,目标组组名称在组织信息集中的存在状态通常可以包括指示组织信息集中存在与目标组织名称相匹配的组织信息的状态,和指示组织信息集中不存在与目标组织名称相匹配的组织信息的状态。
本实施例提供的数据处理方法,在组织信息集中不存在与目标访问地址相匹配的组织信息时,可以从访问协议信息中提取组织标识信息,通过组织标识信息生成组织名称,将目标访问地址存入组织信息集,提高数据处理的效率。
在本实施例的一些可选的实现方式中,根据目标组织名称在组织信息集中的存储状态,将目标访问地址存入组织信息集,可以包括:
若存在状态指示组织信息集中存在与目标组织名称相匹配的组织信息,则将目标访问地址存入相匹配的组织信息中的访问地址位置。
这里,若存在状态指示组织信息集中存在与目标组织名称相匹配的组织信息,即组织信息集中包括与目标组织名称相同的组织信息,则表示目标组织名称对应的网络组织访问过目标蜜罐设备,上述执行主体可以将目标访问地址存入到相匹配的组织信息中的访问地址位置,即,将目标访问地址新增至组织信息中的访问地址位置。作为一个示例,预先存储的组织信息集中包括组织信息1:(组织类型:搜索引擎组织类型;组织名称:X搜索引擎;访问地址:1.2.3.0),组织信息2:(组织类型:搜索引擎组织类型;组织名称:Y搜索引擎;访问地址:1.2.3.1)。若网络组织对应的目标组织名称为X搜索引擎,目标组织地址为1.2.3.6,在预设的组织信息集中,存在与目标组织名称X搜索引擎相匹配的组织信息1,将网络组织对应的目标组织地址1.2.3.6存入组织信息1的访问地址位置,得到存入信息后的组织信息1:(组织类型:搜索引擎组织类型;组织名称:X搜索引擎;访问地址:1.2.3.0,1.2.3.6)。
若存在状态指示组织信息集中不存在与目标组织名称相匹配的组织信息,则根据目标组织名称和目标访问地址生成组织信息,以及将所生成的组织信息存入组织信息集。
这里,若存在状态指示组织信息集中不存在与目标组织名称相匹配的组织信息,即组织信息集中不包括与目标组织名称相同的组织信息,则表示目标组织名称对应的网络组织没有访问过目标蜜罐设备,上述执行主体可以根据目标组织名称和目标访问地址生成组织信息,以及将所生成的组织信息存入组织信息集。作为一个示例,预先存储的组织信息集中包括组织信息1:(组织类型:搜索引擎组织类型;组织名称:X搜索引擎;访问地址:1.2.3.0),组织信息2:(组织类型:搜索引擎组织类型;组织名称:Y搜索引擎;访问地址:1.2.3.1)。若网络组织对应的目标组织名称为Z搜索引擎,目标组织地址为1.2.3.7,在预设的组织信息集中,不存在与目标组织名称Z搜索引擎相匹配的组织信息,则将目标组织名称Z搜索引擎作为组织信息的组织名称,目标组织地址1.2.3.7作为组织信息的访问地址,生成组织信息3:(组织类型:搜索引擎组织类型;组织名称:Z搜索引擎;访问地址:1.2.3.7),将生成的组织信息3存入组织信息集。
本实施例提供的数据处理方法,通过目标组织名称在组织信息集中的存储状态,将目标访问地址存入组织信息集,对组织信息集的组织信息进行更新,有利于获取各个网络组织的活动程度与活跃趋势,针对活跃程度与趋势,制定相应的防范措施,有助于针对性的提高***的安全防护能力。
请参阅图2,图2示出了本申请一实施例提供的一种确定目标源头组织地址的实现流程图,包括:
步骤201,在检测到网络组织向目标蜜罐设备发送网络文件时,将网络组织的组织类型确定为恶意组织类型,以及将网络文件确定为目标病毒文件。
实践中,恶意组织往往以病毒文件为载体进行病毒传播,上述执行主体可以通过实时或者按照预设周期对目标蜜罐设备中的文件进行扫描,若检测到目标蜜罐设备中新增了网络文件或者目标蜜罐设备中原有的文件被改动,则视为检测到网络组织向目标蜜罐设备发送网络文件,将网络组织的组织类型确定为恶意组织类型,网络文件确定为目标病毒文件。
步骤202,获取目标病毒文件,以及根据目标病毒文件,确定目标病毒文件对应的目标源头组织地址。
其中,目标源头组织地址通常是指传播目标病毒文件的网络组织的地址。
这里,上述执行主体可以通过向目标蜜罐设备发送获取病毒文件指令的方式,获取目标病毒文件,也可以直接获取目标蜜罐设备在接收到网络组织发送的网络文件后,主动向上述执行主体发送网络文件的方式,获取目标病毒文件。
实践中,对于恶意组织的病毒文件,往往会通过多级传播,最终传播至目标蜜罐设备,目标蜜罐设备采集到的访问地址往往都是传播给目标蜜罐设备的传播设备的访问地址,不是恶意组织的源头组织地址。上述执行主体可以将目标病毒文件上传至预设的安全组件如沙箱中,对目标病毒文件进行分析确定目标病毒文件对应的目标源头组织地址。
实践中,上述执行主体还可以通过沙箱对目标病毒文件进行静态分析和动态分析。其中,沙箱对目标病毒文件的静态分析可以包括分析目标病毒文件的静态基础信息如,目标病毒文件大小,目标病毒文件的运行环境。沙箱对目标病毒文件的动态分析可以包括,在沙箱环境中运行目标病毒文件,获取运行目标病毒文件产生的主机行为如,调用了a***命令,进行了b程序安装,关闭了防火墙操作,以及获取运行目标病毒文件产生的网络行为如,访问了c网站,访问d网站下载了e资源。
步骤203,根据目标病毒文件,给网络组织生成组织名称,根据所生成的组织名称、网络组织的组织类型和目标源头组织地址,生成组织信息存入组织信息集。
其中,上述根据目标病毒文件,给网络组织生成组织名称,可以是上述执行通过预设的命名规则和目标病毒文件的名称,生成网络组织的组织名称,如,将目标病毒文件的文件名作为网络组织的组织名称,也可以是上述执行主体通过目标病毒文件的文件内容,确定目标病毒文件的特征值,将目标病毒文件对应的特征值作为网络组织的组织名称。
这里,上述执行主体在生成网络组织的组织名称后,可以结合网络组织的组织类型和目标源头组织地址,采用组织信息的格式排列生成组织信息,存入组织信息集。其中,生成的组织名称对应组织信息中的组织名称,网络组织的组织类型对应组织信息中的组织类型,目标源头组织地址对应组织信息中的访问地址。
本实施例提供的确定目标源头组织地址的方法,通过目标病毒文件,确定目标病毒文件对应的目标源头组织地址,对组织信息集中的恶意组织的组织信息进行更新,一方面有助于得到恶意组织的活动趋势,通过恶意组织的活动趋势可以制定更具有针对性的安全措施,另一方面也可以通过目标源头组织地址对恶意组织进行反击,提高***的安全防护能力。
在本实施例的一些可选的实现方式中,若组织信息集中的组织信息还包括源头组织地址,则根据所生成的组织名称、网络组织的组织类型和目标源头组织地址,生成组织信息存入组织信息集可以包括如下情况一和情况二:
情况一,在组织信息集中存在与所生成的组织名称相匹配的组织信息时,将目标源头组织地址存入相匹配的组织信息中的源头组织地址位置。
实践中,上述执行主体在生成网络组织的组织名称后,可以将生成的组织名称与组织信息集的组织信息对应的组织名称进行匹配,当组织信息集中匹配到与所生成的组织名称相同的组织信息时,将目标源头组织地址作为组织信息中的源头组织地址,存入相匹配的组织信息中的源头组织地址位置。作为一个示例,对于组织名称为病毒文件1、目标源头组织地址为1.2.2.2的网络组织,通过组织名称“病毒文件1”与组织信息集的组织信息对应的组织名称进行匹配,匹配到存在组织名称为“病毒文件1”的组织信息4:(组织类型:恶意组织;组织名称:病毒文件1;源头组织地址:1.2.2.1),将目标源头组织地址1.2.2.2存入到组织信息4中的源头组织地址位置,得到组织信息4:(组织类型:恶意组织;组织名称:病毒文件1;源头组织地址:1.2.2.1,1.2.2.2)。
情况二,在组织信息集中不存在与所生成的组织名称相匹配的组织信息时,将所生成的组织名称、网络组织的组织类型和目标源头组织地址,组合生成组织信息存入组织信息集。
实践中,在组织信息集中不存在与所生成的组织名称相匹配的组织信息时,上述执行主体可以采用所生成的组织名称、网络组织的组织类型和目标源头组织地址,组合生成组织信息存入组织信息集。作为一个示例,对于组织名称为病毒文件2、目标源头组织地址为1.2.2.3的网络组织,通过组织名称“病毒文件2”与组织信息集的组织信息对应的组织名称进行匹配,不存在组织名称为“病毒文件2”的组织信息,将生成的组织名称对应组织信息中的组织名称,网络组织的组织类型对应组织信息中的组织类型,目标源头组织地址对应组织信息中的源头组织地址,组合生成如下组织信息:(组织类型:恶意组织;组织名称:病毒文件2;源头组织地址:1.2.2.3)。
请参阅图3,图3示出了本申请一实施例提供的一种更新病毒文件集的实现流程图,包括:
步骤301,根据目标病毒文件的文件信息,确定目标病毒文件与预先存储的病毒文件集中各病毒文件的相似程度,得到目标相似程度。
其中,文件信息包括以下至少一项:文件内容,文件标题,文件特征值。上述文件特征值通常是用于描述文件特征的信息。实践中,文件特征值可以实现为一个数值,也可以实现为一个向量,还可以实现为其它数据形式。作为一个示例,上述执行主体可以通过预设的文件特征值算法,如哈希算法,计算得到目标病毒文件的文件特征值。其中,哈希算法可以是md5,sha-1,sha-256中的至少一种。作为另一个示例,上述执行主体也可以通过词嵌入方法,如Word2vec将目标病毒文件转换成相应的向量,将转换后的向量作为目标病毒文件的文件特征值。
实践中,在得到目标病毒文件对应的文件特征值后,上述执行主体可以通过目标病毒文件与预先存储的病毒文件集中各病毒文件的哈希值的差值大小来确定二者之间的相似程度,通常哈希值越接近,表示目标病毒文件与相应的病毒文件越相似。上述执行主体也可以通过计算目标病毒文件对应的向量与病毒文件对应的向量之间的相似度,如两个向量之间的余弦相似度来确定二者之间的相似程度。
步骤302,在目标相似程度满足预设相似条件时,将目标病毒文件存入病毒文件集。
其中,预设相似条件通常是指预先设定的相似条件,例如,目标相似程度对应的相似度数值小于预设的相似度阈值,在通过文件的哈希值来确定病毒文件之间的相似度时,预设相似条件可以设置成哈希值不相等。
实践中,上述执行主体在检测到目标相似程度满足预设相似条件时,通常表示目标病毒文件是首次出现在目标蜜罐设备中,可以将目标病毒文件存入病毒文件集。
请参阅图4,图4示出了本申请一实施例提供的一种更新组织信息的实现流程图,包括:
步骤401,向目标网络组织中的管理服务器发送信息获取请求,以及接收目标网络组织通过目标节点返回的查询结果信息。
其中,目标网络组织通常是指网络空间普查与网络测绘组织,如,shodan,fofa、ZoomEye、Censys。
其中,信息获取请求用于获取目标网络组织访问目标蜜罐设备所得到的访问结果信息,查询结果信息包括访问结果信息和目标节点的节点地址。
这里,目标网络组织通过目标节点对目标蜜罐设备进行扫描时,目标蜜罐设备会将访问结果信息和加密的特殊指纹片段作为查询结果信息返回给目标节点,目标节点将查询结果信息保存。其中,特殊指纹片段包括目标蜜罐设备的标识信息和扫描目标蜜罐设备的目标节点的节点地址。当目标网络组织中的管理服务器接收到信息获取请求时,将目标节点保存的查询结果信息进行展示。
实践中,上述执行主体可以实时或者按照预设周期通过预设的查询规则向目标网络组织的管理服务器发送信息获取请求,查询到包括特殊指纹片段的查询结果信息,采用预设的解密方式对特殊指纹片段进行解密,得到目标节点的节点地址。
作为一个示例,当目标网络组织X通过节点地址为1.1.1.1的目标节点扫描网页仿真目标蜜罐设备A时,目标蜜罐设备A将包含加密的特殊指纹片段“目标蜜罐设备A-1.1.1.1”的查询结果信息返回给目标节点1.1.1.1,目标节点1.1.1.1将查询结果信息保存。上述执行主体通过预设的查询规则向目标网络组织X的管理服务器发送信息获取请求,得到目标节点1.1.1.1保存的包含特殊指纹片段的查询结果信息,上述执行主体采用预设的解密方式对特殊指纹片段进行解密,得到目标节点的节点地址1.1.1.1。
步骤402,在组织信息集中不存在与节点地址相匹配的组织信息时,将节点地址存入对应于目标网络组织的组织信息中的访问地址位置。
这里,上述执行主体在得到目标节点的节点地址后,可以将节点地址与组织信息中的访问地址进行匹配,在组织信息集中不存在与节点地址相匹配的组织信息时,表示目标节点是首次扫描目标蜜罐设备的节点,将节点地址存入对应于目标网络组织的组织信息中的访问地址位置。作为一个示例,若目标节点的节点地址为1.3.3.3,组织信息集中不存在访问地址为1.3.3.3的组织信息,则将节点地址1.3.3.3存入到对应于目标网络组织的组织信息中的访问地址位置。
本实施例提供的更新组织信息的方法,通过预设查询规则和解密方式,获取目标网络组织中目标节点的节点地址,并对相应的组织信息进行更新,有助于获取目标网络组织对目标蜜罐设备的活跃程度。
在本实施例的一些可选的实现方式中,目标可视图呈现一下信息中的至少一项:
搜索引擎组织总数,网络空间普查与网络测绘组织总数,恶意组织总数,网络组织的访问地址,目标蜜罐设备采集到的目标病毒样本,网络组织的发现时间,网络组织的最新活跃时间,网络组织的被采集次数。
请参阅图5,图5是本申请一实施例提供的数据处理装置的结构框图,包括:
地址获取单元501,用于在检测到目标蜜罐设备被访问时,获取访问目标蜜罐设备的网络组织的目标访问信息,其中,目标访问信息包括目标访问地址;
信息匹配单元502,用于从预先存储的组织信息集中,查找与目标访问地址相匹配的组织信息,将查找到的组织信息记作目标组织信息,其中,组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址;
信息呈现单元503,用于从当前显示的多个可视图中,确定与目标组织信息所包括的组织类型相对应的可视图,记作目标可视图,以及根据目标访问信息对目标可视图进行更新。
作为本申请一实施例,装置还包括地址存入单元(图中未示出)。其中,地址存入单元,用于:
若目标访问信息还包括访问协议信息,则在组织信息集中不存在与目标访问地址相匹配的组织信息时,从访问协议信息中提取组织标识信息;
根据组织标识信息生成目标组织名称,根据目标组织名称在组织信息集中的存在状态,将目标访问地址存入组织信息集。
作为本申请一实施例,地址存入单元中,根据目标组织名称在组织信息集中的存储状态,将目标访问地址存入组织信息集,包括:
若存在状态指示组织信息集中存在与目标组织名称相匹配的组织信息,则将目标访问地址存入相匹配的组织信息中的访问地址位置;
若存在状态指示组织信息集中不存在与目标组织名称相匹配的组织信息,则根据目标组织名称和目标访问地址生成组织信息,以及将所生成的组织信息存入组织信息集。
作为本申请一实施例,装置还包括信息存入单元(图中未示出)。其中,信息存入单元,用于:
在检测到网络组织向目标蜜罐设备发送网络文件时,将网络组织的组织类型确定为恶意组织类型,以及将网络文件确定为目标病毒文件;
获取目标病毒文件,以及根据目标病毒文件,确定目标病毒文件对应的目标源头组织地址;
根据目标病毒文件,给网络组织生成组织名称,根据所生成的组织名称、网络组织的组织类型和目标源头组织地址,生成组织信息存入组织信息集。
作为本申请一实施例,信息存入单元中,若组织信息集中的组织信息还包括源头组织地址,则根据所生成的组织名称、网络组织的组织类型和目标源头组织地址,生成组织信息存入组织信息集,包括:
在组织信息集中存在与所生成的组织名称相匹配的组织信息时,将目标源头组织地址存入相匹配的组织信息中的源头组织地址位置;
在组织信息集中不存在与所生成的组织名称相匹配的组织信息时,将所生成的组织名称、网络组织的组织类型和目标源头组织地址,组合生成组织信息存入组织信息集。
作为本申请一实施例,装置还包括文件存入单元(图中未示出)。其中,文件存入单元,用于:
根据目标病毒文件的文件信息,确定目标病毒文件与预先存储的病毒文件集中各病毒文件的相似程度,得到目标相似程度,其中,文件信息包括以下至少一项:文件内容,文件标题,文件特征值;
在目标相似程度满足预设相似条件时,将目标病毒文件存入病毒文件集。
作为本申请一实施例,装置还包括节点存入单元(图中未示出)。其中,节点存入单元,用于:
向目标网络组织中的管理服务器发送信息获取请求,以及接收目标网络组织通过目标节点返回的查询结果信息,其中,信息获取请求用于获取目标网络组织访问目标蜜罐设备所得到的访问结果信息,查询结果信息包括访问结果信息和目标节点的节点地址;
在组织信息集中不存在与节点地址相匹配的组织信息时,将节点地址存入对应于目标网络组织的组织信息中的访问地址位置。
本实施例提供的装置,首先,在检测到目标蜜罐设备被访问时,获取访问目标蜜罐设备的网络组织的目标访问信息,其中,目标访问信息包括目标访问地址。然后,从预先存储的组织信息集中,查找与目标访问地址相匹配的组织信息,将查找到的组织信息记作目标组织信息,其中,组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址。最后,从当前显示的多个可视图中,确定与目标组织信息所包括的组织类型相对应的可视图,记作目标可视图,以及根据目标访问信息对目标可视图进行更新。通过及时获取对访问目标蜜罐设备的各种组织类型的网络组织的访问信息,可以实现及时掌握各网络组织的动态,有助于实现对各网络组织进行及时准确地监管。另外,对访问目标蜜罐设备的各种组织类型的网络组织的访问信息以组织类型为区分,进行分类呈现,可以将各种组织类型的网络组织的访问情况进行直观呈现,有助于提高对网络组织进行监管的效率和准确率,从而提高网络安全。另外,对各组织类型对应的可视图进行及时更新,可以实现更加准确地将各种组织类型的网络组织的访问情况进行直观呈现。
应当理解的是,图5示出的数据处理装置的结构框图中,各单元用于执行图1至图4对应的实施例中的各步骤,而对于图1至图4对应的实施例中的各步骤已在上述实施例中进行详细解释,具体请参阅图1至图4以及图1至图4所对应的实施例中的相关描述,此处不再赘述。
请参阅图6,图6是本申请一实施例提供的服务器的结构框图,该实施例的服务器600包括:处理器601、存储器602以及存储在存储器602中并可在处理器601上运行的计算机程序603,例如数据处理的程序。处理器601执行计算机程序603时实现上述各个数据处理各实施例中的步骤,例如图1所示的步骤101至步骤103,图2所示的步骤201至步骤203,图3所示的步骤301至步骤302,或者图4所示的步骤401至步骤402。或者,处理器601执行计算机程序603时实现上述图5对应的实施例中各单元的功能,例如,图5所示的单元501至503的功能,具体请参阅图5对应的实施例中的相关描述,此处不赘述。
示例性的,计算机程序603可以被分割成一个或多个单元,一个或者多个单元被存储在存储器602中,并由处理器601执行,以完成本申请。一个或多个单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序603在服务器600中的执行过程。例如,计算机程序603可以被分割成地址获取单元,信息匹配单元,信息呈现单元,各单元具体功能如上。
服务器可包括,但不仅限于,处理器601、存储器602。本领域技术人员可以理解,图6仅仅是服务器600的示例,并不构成对服务器600的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如转台设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器601可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器602可以是服务器600的内部存储单元,例如服务器600的硬盘或内存。存储器602也可以是服务器600的外部存储设备,例如服务器600上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器602还可以既包括服务器600的内部存储单元也包括外部存储设备。存储器602用于存储计算机程序以及转台设备所需的其他程序和数据。存储器602还可以用于暂时地存储已经输出或者将要输出的数据。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,计算机程序包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括:能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。

Claims (10)

1.一种数据处理方法,其特征在于,包括:
在检测到目标蜜罐设备被访问时,获取访问所述目标蜜罐设备的网络组织的目标访问信息,其中,所述目标访问信息包括目标访问地址;
从预先存储的组织信息集中,查找与所述目标访问地址相匹配的组织信息,将查找到的组织信息记作目标组织信息,其中,所述组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址;
从当前显示的多个可视图中,确定与所述目标组织信息所包括的组织类型相对应的可视图,记作目标可视图,以及根据所述目标访问信息对所述目标可视图进行更新。
2.根据权利要求1所述的数据处理方法,其特征在于,所述方法还包括:
若所述目标访问信息还包括访问协议信息,则在所述组织信息集中不存在与所述目标访问地址相匹配的组织信息时,从所述访问协议信息中提取组织标识信息;
根据所述组织标识信息生成目标组织名称,根据所述目标组织名称在所述组织信息集中的存在状态,将所述目标访问地址存入所述组织信息集。
3.根据权利要求2所述的数据处理方法,其特征在于,所述根据所述目标组织名称在所述组织信息集中的存储状态,将所述目标访问地址存入所述组织信息集,包括:
若所述存在状态指示所述组织信息集中存在与所述目标组织名称相匹配的组织信息,则将所述目标访问地址存入相匹配的组织信息中的访问地址位置;
若所述存在状态指示所述组织信息集中不存在与所述目标组织名称相匹配的组织信息,则根据所述目标组织名称和所述目标访问地址生成组织信息,以及将所生成的组织信息存入所述组织信息集。
4.根据权利要求1所述的数据处理方法,其特征在于,所述方法还包括:
在检测到所述网络组织向所述目标蜜罐设备发送网络文件时,将所述网络组织的组织类型确定为恶意组织类型,以及将所述网络文件确定为目标病毒文件;
获取所述目标病毒文件,以及根据所述目标病毒文件,确定所述目标病毒文件对应的目标源头组织地址;
根据所述目标病毒文件,给所述网络组织生成组织名称,根据所生成的组织名称、所述网络组织的组织类型和所述目标源头组织地址,生成组织信息存入所述组织信息集。
5.根据权利要求4所述的数据处理方法,其特征在于,若所述组织信息集中的组织信息还包括源头组织地址,则所述根据所生成的组织名称、所述网络组织的组织类型和所述目标源头组织地址,生成组织信息存入所述组织信息集,包括:
在所述组织信息集中存在与所生成的组织名称相匹配的组织信息时,将所述目标源头组织地址存入相匹配的组织信息中的源头组织地址位置;
在所述组织信息集中不存在与所生成的组织名称相匹配的组织信息时,将所生成的组织名称、所述网络组织的组织类型和所述目标源头组织地址,组合生成组织信息存入所述组织信息集。
6.根据权利要求4所述的数据处理方法,其特征在于,所述方法还包括:
根据所述目标病毒文件的文件信息,确定所述目标病毒文件与预先存储的病毒文件集中各病毒文件的相似程度,得到目标相似程度,其中,所述文件信息包括以下至少一项:文件内容,文件标题,文件特征值;
在所述目标相似程度满足预设相似条件时,将所述目标病毒文件存入所述病毒文件集。
7.根据权利要求1-6中任一项所述的数据处理方法,其特征在于,所述方法还包括:
向目标网络组织中的管理服务器发送信息获取请求,以及接收所述目标网络组织通过目标节点返回的查询结果信息,其中,所述信息获取请求用于获取所述目标网络组织访问所述目标蜜罐设备所得到的访问结果信息,所述查询结果信息包括所述访问结果信息和所述目标节点的节点地址;
在所述组织信息集中不存在与所述节点地址相匹配的组织信息时,将所述节点地址存入对应于所述目标网络组织的组织信息中的访问地址位置。
8.一种数据处理的装置,其特征在于,包括:
地址获取单元,用于在检测到目标蜜罐设备被访问时,获取访问所述目标蜜罐设备的网络组织的目标访问信息,其中,所述目标访问信息包括目标访问地址;
信息匹配单元,用于从预先存储的组织信息集中,查找与所述目标访问地址相匹配的组织信息,将查找到的组织信息记作目标组织信息,其中,所述组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址;
信息呈现单元,用于从当前显示的多个可视图中,确定与所述目标组织信息所包括的组织类型相对应的可视图,记作目标可视图,以及根据所述目标访问信息对所述目标可视图进行更新。
9.一种服务器,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的数据处理方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的数据处理方法。
CN202210080311.8A 2022-01-24 数据处理方法、装置、服务器及存储介质 Active CN114491533B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210080311.8A CN114491533B (zh) 2022-01-24 数据处理方法、装置、服务器及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210080311.8A CN114491533B (zh) 2022-01-24 数据处理方法、装置、服务器及存储介质

Publications (2)

Publication Number Publication Date
CN114491533A true CN114491533A (zh) 2022-05-13
CN114491533B CN114491533B (zh) 2024-07-26

Family

ID=

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116389411A (zh) * 2023-06-07 2023-07-04 阿里巴巴(中国)有限公司 域名数据处理方法、装置及设备

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109150848A (zh) * 2018-07-27 2019-01-04 众安信息技术服务有限公司 一种基于Nginx的蜜罐的实现方法及***
US20190238589A1 (en) * 2016-01-29 2019-08-01 Sophos Limited Honeypot network services
CN110351115A (zh) * 2019-05-23 2019-10-18 中国平安财产保险股份有限公司 降低网络访问时延的方法、装置、计算机设备及存储介质
CN110955890A (zh) * 2018-09-26 2020-04-03 瑞数信息技术(上海)有限公司 恶意批量访问行为的检测方法、装置和计算机存储介质
CN111177281A (zh) * 2019-12-27 2020-05-19 山东英信计算机技术有限公司 一种访问管控方法、装置、设备及存储介质
WO2021033506A1 (ja) * 2019-08-21 2021-02-25 株式会社日立製作所 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラムが記録された記憶媒体
CN112688933A (zh) * 2020-12-21 2021-04-20 赛尔网络有限公司 用于IPv6的攻击类型分析方法、装置、设备及介质
US20210160283A1 (en) * 2019-11-21 2021-05-27 Arbor Networks, Inc. Management of botnet attacks to a computer network
CN113079157A (zh) * 2021-03-31 2021-07-06 广州锦行网络科技有限公司 获取网络攻击者位置的方法、装置、电子设备
CN113132293A (zh) * 2019-12-30 2021-07-16 ***通信集团湖南有限公司 攻击检测方法、设备及公共蜜罐***
US20210344714A1 (en) * 2019-08-22 2021-11-04 Huawei Technologies Co., Ltd. Cyber threat deception method and system, and forwarding device
US20210360028A1 (en) * 2020-05-15 2021-11-18 Paypal, Inc. Protecting from directory enumeration using honeypot pages within a network directory
CN113810408A (zh) * 2021-09-16 2021-12-17 杭州安恒信息技术股份有限公司 网络攻击组织的探测方法、装置、设备及可读存储介质

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190238589A1 (en) * 2016-01-29 2019-08-01 Sophos Limited Honeypot network services
CN109150848A (zh) * 2018-07-27 2019-01-04 众安信息技术服务有限公司 一种基于Nginx的蜜罐的实现方法及***
CN110955890A (zh) * 2018-09-26 2020-04-03 瑞数信息技术(上海)有限公司 恶意批量访问行为的检测方法、装置和计算机存储介质
CN110351115A (zh) * 2019-05-23 2019-10-18 中国平安财产保险股份有限公司 降低网络访问时延的方法、装置、计算机设备及存储介质
WO2021033506A1 (ja) * 2019-08-21 2021-02-25 株式会社日立製作所 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラムが記録された記憶媒体
US20210344714A1 (en) * 2019-08-22 2021-11-04 Huawei Technologies Co., Ltd. Cyber threat deception method and system, and forwarding device
US20210160283A1 (en) * 2019-11-21 2021-05-27 Arbor Networks, Inc. Management of botnet attacks to a computer network
CN111177281A (zh) * 2019-12-27 2020-05-19 山东英信计算机技术有限公司 一种访问管控方法、装置、设备及存储介质
CN113132293A (zh) * 2019-12-30 2021-07-16 ***通信集团湖南有限公司 攻击检测方法、设备及公共蜜罐***
US20210360028A1 (en) * 2020-05-15 2021-11-18 Paypal, Inc. Protecting from directory enumeration using honeypot pages within a network directory
CN112688933A (zh) * 2020-12-21 2021-04-20 赛尔网络有限公司 用于IPv6的攻击类型分析方法、装置、设备及介质
CN113079157A (zh) * 2021-03-31 2021-07-06 广州锦行网络科技有限公司 获取网络攻击者位置的方法、装置、电子设备
CN113810408A (zh) * 2021-09-16 2021-12-17 杭州安恒信息技术股份有限公司 网络攻击组织的探测方法、装置、设备及可读存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
李磊;: "一种用于大规模网络安全监控的大数据架构", 警察技术, no. 05, 7 September 2018 (2018-09-07) *
陈阳;: "基于蜜罐的网站安全防御***的设计", 价值工程, no. 01, 8 January 2016 (2016-01-08) *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116389411A (zh) * 2023-06-07 2023-07-04 阿里巴巴(中国)有限公司 域名数据处理方法、装置及设备
CN116389411B (zh) * 2023-06-07 2023-08-18 阿里巴巴(中国)有限公司 域名数据处理方法、装置及设备

Similar Documents

Publication Publication Date Title
US11277423B2 (en) Anomaly-based malicious-behavior detection
AU2015380394B2 (en) Methods and systems for identifying potential enterprise software threats based on visual and non-visual data
US9300682B2 (en) Composite analysis of executable content across enterprise network
US9953162B2 (en) Rapid malware inspection of mobile applications
CN109074454B (zh) 基于赝象对恶意软件自动分组
US9584541B1 (en) Cyber threat identification and analytics apparatuses, methods and systems
US8627469B1 (en) Systems and methods for using acquisitional contexts to prevent false-positive malware classifications
EP3794487B1 (en) Obfuscation and deletion of personal data in a loosely-coupled distributed system
CN108353083B (zh) 用于检测域产生算法(dga)恶意软件的***及方法
TW201642135A (zh) 文件檢測方法、裝置及系統
CN102985928A (zh) 识别多态性恶意软件
US20180082061A1 (en) Scanning device, cloud management device, method and system for checking and killing malicious programs
CN111163095B (zh) 网络攻击分析方法、网络攻击分析装置、计算设备和介质
CN111460445A (zh) 样本程序恶意程度自动识别方法及装置
US20200389483A1 (en) Computer security vulnerability assessment
US11601443B2 (en) System and method for generating and storing forensics-specific metadata
CN113190838A (zh) 一种基于表达式的web攻击行为检测方法及***
Fu et al. Data correlation‐based analysis methods for automatic memory forensic
CN111783140A (zh) 请求响应方法及装置、电子设备及计算机可读存储介质
US11423099B2 (en) Classification apparatus, classification method, and classification program
US11095666B1 (en) Systems and methods for detecting covert channels structured in internet protocol transactions
CN112084501B (zh) 一种恶意程序的检测方法、装置、电子设备及存储介质
CN113010268A (zh) 恶意程序识别方法及装置、存储介质、电子设备
JP2015132942A (ja) 接続先情報判定装置、接続先情報判定方法、及びプログラム
CN114491533B (zh) 数据处理方法、装置、服务器及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant