本发明专利技术提供的一种识别黑灰产数据的方法、装置及介质,适用于互联网技术领域。获取当前的流量数据和恶意网址数据库;根据预设字段比较当前的流量数据与恶意网址数据库的恶意网址数据;将与恶意网址数据匹配的当前的流量数据作为流量数据包;分析流量数据包以提取对应的流量特征;根据流量特征对当前的流量数据筛选得到黑灰产数据。该方法通过将当前的流量数据与恶意网址数据库的恶意网址数据匹配得到流量数据包,进一步提取流量特征,进而根据流量特征全面筛选当前的流量数据得到黑灰产数据。避免现有的根据人工经验筛选导致的不精准全面问题,提高筛选速度。提高筛选速度。提高筛选速度。
A method, device and medium for identifying black ash production data
【技术实现步骤摘要】
一种识别黑灰产数据的方法、装置及介质
[0001]本专利技术涉及互联网
,特别是涉及一种识别黑灰产数据的方法、装置及介质。
技术介绍
[0002]近年来,新型涉网犯罪搭乘互联网与物联网技术飞速发展的快车,逐渐变得隐蔽,在内容分发网络(Content Delivery Network,CDN)技术、代理技术、云计算等技术的发展领域使得黑灰产数据伪装自己,对于相关人员打击与治理网络环境造成不利的影响,因此,如何从海量的互联网数据中发现关键的黑灰产数据成为难题。
[0003]现阶段,黑灰产数据的发现主要基于网络空间搜索引擎以及互联网等公开资源获取,在筛选过程中只能根据人工经验进行筛选,且获取不全面精准,导致筛选速度较慢。
[0004]因此,寻求一种识别黑灰产数据的方法是本领域技术人员亟需要解决的。
技术实现思路
[0005]本专利技术的目的是提供一种识别黑灰产数据的方法、装置及介质,提高筛选效率。
[0006]为解决上述技术问题,本专利技术提供一种识别黑灰产数据的方法,包括:
[0007]获取当前的流量数据和恶意网址数据库;
[0008]根据预设字段比较当前的流量数据与恶意网址数据库的恶意网址数据;
[0009]将与恶意网址数据匹配的当前的流量数据作为流量数据包;
[0010]分析流量数据包以提取对应的流量特征;
[0011]根据流量特征对当前的流量数据筛选得到黑灰产数据。
[0012]优选地,获取当前的流量数据,包括:
[0013]获取当前的出口流量数据;
[0014]将当前的出口流量数据输入至流量分光器进行分光得到分光流量数据;
[0015]将分光流量数据存储为镜像得到当前的流量数据。
[0016]优选地,获取恶意网址数据库,包括:
[0017]获取历史报案数据;
[0018]将历史报案数据进行清洗以获取恶意网址数据;
[0019]将恶意网址数据存储并建立恶意网址数据库。
[0020]优选地,根据预设字段比较当前的流量数据与恶意网址数据库的恶意网址数据,包括:
[0021]获取当前的流量数据对应的请求头和当前的目标字段,其中预设字段包括多个目标字段;
[0022]根据当前的目标字段比较请求头与恶意网址数据。
[0023]优选地,将与恶意网址数据匹配的当前的流量数据作为流量数据包,包括:
[0024]根据当前的目标字段判断当前的流量数据是否匹配成功;
[0025]若是,则将匹配成功的当前的流量数据作为流量数据包,并将当前的目标字段标记;
[0026]若否,则获取预设字段内除当前的目标字段之外的其他目标字段作为下一个当前的目标字段返回至根据当前的目标字段比较当前的流量数据与恶意网址数据的步骤。
[0027]优选地,分析流量数据包以提取对应的流量特征,包括:
[0028]获取流量数据包的请求头和请求体;
[0029]将请求头的路径数据作为第一特征;
[0030]将请求体的变量名数据作为第二特征;
[0031]将第一特征和第二特征进行合并得到流量特征。
[0032]优选地,根据流量特征对当前的流量数据筛选得到黑灰产数据,包括:
[0033]根据流量特征对当前的流量数据进行提取得到恶意数据包;
[0034]获取恶意数据包对应的请求头;
[0035]根据预设字段对恶意数据包对应的请求头提取预设字段对应的字段值作为目标恶意网址数据;
[0036]将目标恶意网址数据进行去重处理得到黑灰产数据。
[0037]为解决上述技术问题,本专利技术还提供一种识别黑灰产数据的装置,包括:
[0038]获取模块,用于获取当前的流量数据和恶意网址数据库;
[0039]比较模块,用于根据预设字段比较当前的流量数据与恶意网址数据库的恶意网址数据;
[0040]匹配模块,用于将与恶意网址数据匹配的当前的流量数据作为流量数据包;
[0041]分析模块,用于分析流量数据包以提取对应的流量特征;
[0042]筛选模块,用于根据流量特征对当前的流量数据筛选得到黑灰产数据。
[0043]为解决上述技术问题,本专利技术还提供一种识别黑灰产数据的装置,包括:
[0044]存储器,用于存储计算机程序;
[0045]处理器,用于执行计算机程序时实现如上述识别黑灰产数据的方法的步骤。
[0046]为解决上述技术问题,本专利技术还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述识别黑灰产数据的方法的步骤。
[0047]本专利技术提供的一种识别黑灰产数据的方法,获取当前的流量数据和恶意网址数据库;根据预设字段比较当前的流量数据与恶意网址数据库的恶意网址数据;将与恶意网址数据匹配的当前的流量数据作为流量数据包;分析流量数据包以提取对应的流量特征;根据流量特征对当前的流量数据筛选得到黑灰产数据。该方法通过将当前的流量数据与恶意网址数据库的恶意网址数据匹配得到流量数据包,进一步提取流量特征,进而根据流量特征全面筛选当前的流量数据得到黑灰产数据。避免现有的根据人工经验筛选导致的不精准全面问题,提高筛选速度。
[0048]另外,本专利技术还提供了一种识别黑灰产数据的装置及介质,具有如上述识别黑灰产数据的方法相同的有益效果。
附图说明
[0049]为了更清楚地说明本专利技术实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0050]图1为本专利技术实施例提供的一种识别黑灰产数据的方法的流程图;
[0051]图2为本专利技术实施例提供的一种流量数据包的格式结构图;
[0052]图3为本专利技术实施例提供的一种识别黑灰产数据的装置的结构图;
[0053]图4为本专利技术实施例提供的另一种识别黑灰产数据的装置的结构图。
具体实施方式
[0054]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本专利技术保护范围。
[0055]本专利技术的核心是提供一种识别黑灰产数据的方法、装置及介质,提高筛选效率。
[0056]为了使本
的人员更好地理解本专利技术方案,下面结合附图和具体实施方式对本专利技术作进一步的详细说明。
[0057]需要说明的是,本专利技术提供的识别黑灰产数据的方法,可以适用于网络空间搜索引擎的数据的互联网协议(Internet Protocol,IP)端识别,也可以适用于CDN技术中对于域名端的数据识别,对公开网络资源进行互联网搜索识本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种识别黑灰产数据的方法,其特征在于,包括:获取当前的流量数据和恶意网址数据库;根据预设字段比较所述当前的流量数据与所述恶意网址数据库的恶意网址数据;将与所述恶意网址数据匹配的所述当前的流量数据作为流量数据包;分析所述流量数据包以提取对应的流量特征;根据所述流量特征对所述当前的流量数据筛选得到所述黑灰产数据。2.根据权利要求1所述的识别黑灰产数据的方法,其特征在于,获取所述当前的流量数据,包括:获取当前的出口流量数据;将所述当前的出口流量数据输入至流量分光器进行分光得到分光流量数据;将所述分光流量数据存储为镜像得到所述当前的流量数据。3.根据权利要求1所述的识别黑灰产数据的方法,其特征在于,获取所述恶意网址数据库,包括:获取历史报案数据;将所述历史报案数据进行清洗以获取所述恶意网址数据;将所述恶意网址数据存储并建立所述恶意网址数据库。4.根据权利要求3所述的识别黑灰产数据的方法,其特征在于,所述根据预设字段比较所述当前的流量数据与所述恶意网址数据库的恶意网址数据,包括:获取所述当前的流量数据对应的请求头和当前的目标字段,其中所述预设字段包括多个目标字段;根据所述当前的目标字段比较所述请求头与所述恶意网址数据。5.根据权利要求4所述的识别黑灰产数据的方法,其特征在于,所述将与所述恶意网址数据匹配的所述当前的流量数据作为流量数据包,包括:根据所述当前的目标字段判断所述当前的流量数据是否匹配成功;若是,则将匹配成功的所述当前的流量数据作为所述流量数据包,并将所述当前的目标字段标记;若否,则获取所述预设字段内除所述当前的目标字段之外的其他目标字段作为下一个所述当前的目标字段返回至所述根据所述当前的目标字段比较所述...
【专利技术属性】
技术研发人员:宓晨希,王欣,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。