基于大数据的网络安全防护方法和网络安全防护平台转让专利
申请号 : CN202011126005.0
文献号 : CN112333157B
文献日 : 2021-07-09
发明人 : 陈赛花
申请人 : 深圳格隆汇信息科技有限公司
摘要 :
权利要求 :
1.一种基于大数据的网络安全防护方法,其特征在于,应用于网络安全防护平台,该网络安全防护平台部属有目标第一虚拟计算机和目标第二虚拟计算机,该目标第一虚拟计算机用于运行目标虚拟应用程序,该目标第二虚拟计算机用于在检测到目标攻击设备对该目标虚拟应用程序进行攻击时对该目标攻击设备进行信息采集,所述方法包括:在所述目标攻击设备对所述目标虚拟应用程序进行攻击的过程中,检测该目标攻击设备是否识别出该目标虚拟应用程序运行于虚拟计算机,其中,该目标虚拟应用程序基于模拟目标应用程序的业务逻辑生成;
若检测到所述目标攻击设备识别出所述目标虚拟应用程序运行于虚拟计算机,则从第一目标数据库中获取目标历史数据,其中,该目标历史数据在每一次判定该目标虚拟应用程序被识别出运行于虚拟计算机时生成;
基于所述目标历史数据,确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机;
若确定所述目标虚拟应用程序会被识别出运行于虚拟计算机,则通过目标物理计算机运行该目标虚拟应用程序,其中,该目标物理计算机为所述网络安全防护平台或与该网络安全防护平台关联的其它网络设备。
2.根据权利要求1所述的基于大数据的网络安全防护方法,其特征在于,所述检测该目标攻击设备是否识别出该目标虚拟应用程序运行于虚拟计算机的步骤,包括:检测所述目标攻击设备是否停止对所述目标虚拟应用程序进行攻击;
若检测到所述目标攻击设备已经停止对所述目标虚拟应用程序进行攻击,则获取该目标攻击设备的目标攻击行为数据,其中,该目标攻击行为数据基于该目标攻击设备对该目标虚拟应用程序的全部网络攻击行为产生;
通过第一目标线程对所述目标攻击行为数据进行解析处理,得到第一解析结果,其中,该第一解析结果包括所述目标攻击设备对所述目标虚拟应用程序进行的网络攻击行为的至少一个目标攻击行为类型信息;
通过第二目标线程基于第一个所述目标攻击行为类型信息生成攻击事件请求信息,并基于该攻击事件请求信息在第二目标数据库中查找到至少一个目标攻击事件信息,其中,每一个所述目标攻击事件信息对应的攻击事件至少基于该第一个目标攻击行为类型信息对应的网络攻击行为构成,且该第二目标数据库中包括多个攻击事件信息,每一个所述攻击事件信息对应的攻击事件至少基于一个网络攻击行为构成;
针对每一个所述目标攻击事件信息,获取构成该目标攻击事件信息对应的攻击事件的全部网络攻击行为对应的全部攻击行为类型信息,形成该目标攻击事件信息对应的攻击行为类型信息集合;
确定每一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间的关系;
若每一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间都属于第一目标关系,则在所述网络安全防护平台的目标缓存中查找历史攻击数据,其中,该第一目标关系为所述攻击行为类型信息集合包括的全部攻击行为类型信息属于多个所述目标攻击行为类型信息中的部分,且该历史攻击数据基于历史上所述目标攻击设备或其它设备对所述目标虚拟应用程序进行的网络攻击行为产生;
通过所述第一目标线程对所述历史攻击数据得到第二解析结果,其中,该第二解析结果包括历史上所述目标攻击设备或其它设备至少一次对所述目标虚拟应用程序进行的网络攻击行为的历史攻击行为类型信息;
确定每一次对所述目标虚拟应用程序进行的网络攻击行为的所述历史攻击行为类型信息与所述目标攻击行为类型信息之间的关系;
若多个所述目标攻击行为类型信息属于一次对所述目标虚拟应用程序进行的网络攻击行为的所述历史攻击行为类型信息的部分,则确定所述目标攻击设备已经识别出该目标虚拟应用程序运行于虚拟计算机。
3.根据权利要求2所述的基于大数据的网络安全防护方法,其特征在于,所述所述检测该目标攻击设备是否识别出该目标虚拟应用程序运行于虚拟计算机的步骤,还包括:若至少存在一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间不属于所述第一目标关系,则确定存在的一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间是否属于第二目标关系,其中,该第二目标关系为所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息相同;
若存在的一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间属于所述第二目标关系,则确定所述目标攻击设备未识别出所述目标虚拟应用程序运行于虚拟计算机;
若存在的一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间不属于所述第二目标关系,则确定所述目标攻击设备已经识别出所述目标虚拟应用程序运行于虚拟计算机。
4.根据权利要求2所述的基于大数据的网络安全防护方法,其特征在于,所述所述检测该目标攻击设备是否识别出该目标虚拟应用程序运行于虚拟计算机的步骤,还包括:若多个所述目标攻击行为类型信息不属于任一次对所述目标虚拟应用程序进行的网络攻击行为的所述历史攻击行为类型信息的部分,则确定所述目标攻击设备未识别出所述目标虚拟应用程序运行于虚拟计算机。
5.根据权利要求4所述的基于大数据的网络安全防护方法,其特征在于,所述检测该目标攻击设备是否识别出该目标虚拟应用程序运行于虚拟计算机的步骤,还包括:若多个所述目标攻击行为类型信息不属于任一次对所述目标虚拟应用程序进行的网络攻击行为的所述历史攻击行为类型信息的部分,则基于多个所述目标攻击行为类型信息生成新的攻击事件信息;
将所述新的攻击事件信息存储至所述第二目标数据库。
6.根据权利要求1‑5任意一项所述的基于大数据的网络安全防护方法,其特征在于,所述基于所述目标历史数据,确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机的步骤,包括:
针对所述目标历史数据中的每一个历史数据片段,将该历史数据片段和该历史数据片段的后一个历史数据片段,作为相邻的两个历史数据片段,其中,一个所述历史数据片段基于一次判定所述目标虚拟应用程序被识别出运行于虚拟计算机时生成;
针对每两个相邻的所述历史数据片段,计算该两个相邻的所述历史数据片段之间在多个不同维度上的多个数据差值;
针对每两个相邻的所述历史数据片段,将该两个相邻的所述历史数据片段之间的多个数据差值进行归一化处理之后,进行累加计算,得到该两个相邻的所述历史数据片段中后一个所述历史数据片段的目标差异值;
根据每一个所述历史数据片段的目标差异值,在所述目标历史数据包括的多个历史数据片段中,确定出多个目标历史数据片段;
基于所述多个目标历史数据片段,形成所述目标历史数据的一个目标数据片段集合;
针对所述目标数据片段集合包括的每一个所述目标历史数据片段,将该目标历史数据片段和该目标历史数据片段的后一个目标历史数据片段,作为相邻的两个目标历史数据片段;
针对每两个相邻的所述目标历史数据片段,根据该两个相邻的所述目标历史数据片段基于在多个不同维度上的综合相似度,得到该两个相邻的所述目标历史数据片段之间的相似性关系;
基于每一个所述相似性关系,确定该相似性关系对应的两个相邻的所述目标历史数据片段是否属于重复数据片段;
将所述目标数据片段集合划分为多个目标数据片段子集合,其中,属于同一个所述目标数据片段子集合的不同目标历史数据片段属于所述重复数据片段,属于不同所述目标数据片段子集合的不同目标历史数据片段属不于所述重复数据片段;
基于所述多个目标数据片段子集合中每一个目标数据片段子集合的第一个目标历史数据片段和最后一个目标历史数据片段,将所述目标历史数据分割为多个目标历史子数据,其中,每一个所述目标历史子数据包括至少一个所述历史数据片段;
针对每一个所述目标历史子数据,计算该目标历史子数据包括的至少一个历史数据片段在多个维度上的数据的归一化后的平均值;
基于每一个所述目标历史子数据的平均值在时间上的变化趋势信息,确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机。
7.根据权利要求6所述的基于大数据的网络安全防护方法,其特征在于,所述基于每一个所述目标历史子数据的平均值在时间上的变化趋势信息,确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机的步骤,包括:基于每一个所述目标历史子数据的平均值在时间上变化趋势,得到对应的变化趋势信息;
基于所述变化趋势信息,得到所述目标虚拟应用程序在下一次被攻击时形成的目标预测数据;
基于预设的目标阈值数据和所述目标预测数据,确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机;
其中,在所述目标预测数据大于所述目标阈值数据时,确定所述目标虚拟应用程序在下一次被攻击时不会被识别出运行于虚拟计算机,在所述目标预测数据小于或等于所述目标阈值数据时,确定所述目标虚拟应用程序在下一次被攻击时会被识别出运行于虚拟计算机。
8.根据权利要求1‑5任意一项所述的基于大数据的网络安全防护方法,其特征在于,所述若确定所述目标虚拟应用程序会被识别出运行于虚拟计算机,则通过目标物理计算机运行该目标虚拟应用程序的步骤,包括:若确定所述目标虚拟应用程序在下一次被攻击时会被识别出运行于虚拟计算机,则停止所述目标第一虚拟计算机运行该目标虚拟应用程序;
将所述目标虚拟应用程序部署于目标物理计算机,其中,该目标物理计算机为所述网络安全防护平台;
在所述目标物理计算机上运行所述目标虚拟应用程序。
9.根据权利要求1‑5任意一项所述的基于大数据的网络安全防护方法,其特征在于,所述若确定所述目标虚拟应用程序会被识别出运行于虚拟计算机,则通过目标物理计算机运行该目标虚拟应用程序的步骤,包括:若确定所述目标虚拟应用程序在下一次被攻击时会被识别出运行于虚拟计算机,则停止所述目标第一虚拟计算机运行该目标虚拟应用程序,并对该目标虚拟应用程序进行销毁处理;
生成激活通知信息,并将该激活通知信息发送给其它部署有所述目标虚拟应用程序的目标物理计算机,其中,该目标物理计算机为与所述网络安全防护平台关联的其它网络设备,且该目标物理计算机用于基于该激活通知信息运行部署的目标虚拟应用程序;
在接收到攻击通知信息时,基于该攻击通知信息运行所述目标第二虚拟计算机,以基于该目标第二虚拟计算机与其它攻击设备建立连接,并基于该连接对该其它攻击设备进行信息采集,其中,该攻击通知信息基于所述目标物理计算机在检测到该其它攻击设备对部属的目标虚拟应用程序进行攻击时生成,并发送给所述网络安全防护平台。
10.一种网络安全防护平台,其特征在于,包括:存储器,用于存储计算机程序;
与所述存储器连接的处理器,用于执行该存储器存储的计算机程序,以实现权利要求
1‑9任意一项所述的基于大数据的网络安全防护方法。
说明书 :
基于大数据的网络安全防护方法和网络安全防护平台
技术领域
背景技术
进行欺骗的技术,例如,通过布置一些作为诱饵的网络服务或信息,诱使攻击者对它们实施
攻击,从而对攻击行为进行捕获和分析,以便于对攻击者进行追踪和标记等。
发明内容
行目标虚拟应用程序,该目标第二虚拟计算机用于在检测到目标攻击设备对该目标虚拟应
用程序进行攻击时对该目标攻击设备进行信息采集,所述方法包括:
于模拟目标应用程序生成;
应用程序被识别出运行于虚拟计算机时生成;
网络安全防护平台关联的其它网络设备。
确定目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机,以在确定目
标虚拟应用程序会被识别出运行于虚拟计算机时,通过目标物理计算机运行目标虚拟应用
程序。如此,由于在确定目标虚拟应用程序会被识别出运行于虚拟计算机时,可以通过目标
物理计算机运行目标虚拟应用程序,提高了目标虚拟应用程序被识别出的难度,可以改善
由于将目标虚拟应用程序一直通过虚拟计算机运行而导致容易被识别出的问题,从而改善
现有的网络安全技术中存在的防护效果较差的问题,并且,还可以避免直接通过目标物理
计算机运行目标虚拟应用程序而存在成本较高的问题,具有较高的实用价值。
附图说明
具体实施方式
是本申请的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请
实施例的组件可以以各种不同的配置来布置和设计。
技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范
围。
以存储有至少一个可以以软件或固件(firmware)的形式,存在的软件功能模块。所述处理
器可以用于执行所述存储器中存储的可执行的计算机程序,如所述软件功能模块,从而实
现本申请实施例(如后文所述)提供的基于大数据的网络安全防护方法。
Memory,PROM),可擦除只读存储器(Erasable Programmable Read‑Only Memory,EPROM),
电可擦除只读存储器(Electric Erasable Programmable Read‑Only Memory,EEPROM)等。
可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可
编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
行信息交互的通信单元。
步骤,可以由所述网络安全防护平台实现。
算机用于在检测到目标攻击设备对该目标虚拟应用程序进行攻击时对该目标攻击设备进
行信息采集。
于虚拟计算机。
攻击设备识别出该目标虚拟应用程序为部署的虚拟应用程序,并不是真实的应用程序,如
此,便不会进行继续攻击。
S120,以进行进一步的处理。
取目标历史数据。
络安全防护平台的本地数据库,也可以是该网络安全防护平台的远端数据库,基于实际需
求进行配置即可)。
网络安全防护平台可以基于该目标历史数据,确定所述目标虚拟应用程序在下一次被攻击
时是否会被识别出运行于虚拟计算机,即确定该目标虚拟应用程序在下一次被攻击时是否
会被识别出属于虚拟应用程序,而不是真实应用程序。
虚拟应用程序,以提高该目标虚拟应用程序被识别出属于虚拟应用程序的难度。
度,可以改善由于将目标虚拟应用程序一直通过虚拟计算机运行而导致容易被识别出的问
题,从而改善现有的网络安全技术中存在的防护效果较差的问题。并且,还可以避免直接通
过目标物理计算机运行目标虚拟应用程序而存在成本较高的问题。
择。
目标攻击设备是否识别出所述目标虚拟应用程序运行于虚拟计算机。
骤S110可以包括子步骤10‑子步骤19。
标攻击设备有可能已经识别出目标虚拟应用程序运行于虚拟计算机,因而,可以执行子步
骤11)。
标攻击设备仅进行了一次网络攻击行为就停止了攻击,则获取的目标攻击行为数据为一次
网络攻击行为产生的数据;若当前所述目标攻击设备进行了多次网络攻击行为才停止了攻
击,则获取的目标攻击行为数据为多次网络攻击行为产生的数据)。
网络攻击行为的至少一个目标攻击行为类型信息(其中,若当前所述目标攻击设备仅进行
了一次网络攻击行为就停止了攻击,则所述第一解析结果包括一个目标攻击行为类型信
息;若当前所述目标攻击设备进行了多次网络攻击行为才停止了攻击,则所述第一解析结
果包括多个目标攻击行为类型信息)。
息,并基于该攻击事件请求信息在第二目标数据库中查找到至少一个目标攻击事件信息,
其中,每一个所述目标攻击事件信息对应的攻击事件至少基于该第一个目标攻击行为类型
信息对应的网络攻击行为构成(即每一个所述目标攻击时间信息至少包括所述第一个目标
攻击行为类型信息),且该第二目标数据库中包括多个攻击事件信息,每一个所述攻击事件
信息对应的攻击事件至少基于一个网络攻击行为构成(也就是说,一般一个攻击事件至少
会基于至少一个网络攻击行为构成,即攻击事件是指在时间上具有先后关系且具有紧密关
系的一系列网络攻击行为,示例性的,一种攻击事件可以为“基于外部远程服务(External
Remote Services)的网络攻击行为、基于访问令牌操作(Access Token Manipulation)的
网络攻击行为、基于强制认证(Forced Authentication)的网络攻击行为、基于采集系统本
地数据(Data from Local System)的网络攻击行为”,例外的是,有一些攻击事件也可以仅
包括一个网络攻击行为)。
息对应的攻击行为类型信息集合。
缓存中查找历史攻击数据,其中,该第一目标关系为所述攻击行为类型信息集合包括的全
部攻击行为类型信息属于多个所述目标攻击行为类型信息中的部分(例如,一个所述攻击
行为类型信息集合对应的目标攻击事件为“基于外部远程服务的网络攻击行为、基于访问
令牌操作的网络攻击行为、基于强制认证的网络攻击行为、基于采集系统本地数据的网络
攻击行为”,但是,多个所述目标攻击行为类型信息对应的多个网络攻击行为包括,基于外
部远程服务的网络攻击行为、基于访问令牌操作的网络攻击行为、基于强制认证的网络攻
击行为、基于采集系统本地数据的网络攻击行为、基于其它方式的网络攻击行为),且该历
史攻击数据基于历史上所述目标设备或其它设备对所述目标虚拟应用程序进行的网络攻
击行为产生。
进行的网络攻击行为的历史攻击行为类型信息(即每一次对目标虚拟应用程序进行攻击,
会有至少一个网络攻击行为,并基于该至少一个网络攻击行为形成历史攻击行为类型信
息)。
类型信息对应的多个网络攻击行为分别为,网络攻击行为A、网络攻击行为B、网络攻击行为
C、网络攻击行为D,但是有一个历史攻击行为类型信息对应的多个网络攻击行为分别为网
络攻击行为A、网络攻击行为B、网络攻击行为C、网络攻击行为D、网络攻击E,如此,可以认为
多个所述目标攻击行为类型信息为该历史攻击行为类型信息的部分,说明所述目标攻击设
备本次的攻击不能形成一个完成的攻击事件,表明可能是由于已经识别出目标虚拟应用程
序运行于虚拟计算机,因而,主动停止了后续的网络攻击行为),则确定所述目标攻击设备
已经识别出该目标虚拟应用程序运行于虚拟计算机。
述第一目标关系,为了能够进一步确定所述目标攻击设备是否识别出所述目标虚拟应用程
序运行于虚拟计算机,在本实施例中,步骤S110还可以包括以下子步骤:
行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间是否
属于第二目标关系,其中,该第二目标关系为所述攻击行为类型信息集合包括的全部攻击
行为类型信息与所述目标攻击行为类型信息相同;
息集合包括的全部攻击行为类型信息对应的多个网络攻击行为分别为,网络攻击行为A、网
络攻击行为B、网络攻击行为C、网络攻击行为D,所述目标攻击行为类型信息对应的多个网
络攻击行为分别为,网络攻击行为A、网络攻击行为B、网络攻击行为C、网络攻击行为D,说明
所述目标攻击行为类型信息对应的多个网络攻击行为属于一个完成的攻击事件,表明所述
目标攻击设备是因为攻击完成之后才停止),则确定所述目标攻击设备未识别出所述目标
虚拟应用程序运行于虚拟计算机;
信息集合包括的全部攻击行为类型信息对应的多个网络攻击行为分别为,网络攻击行为A、
网络攻击行为B、网络攻击行为C、网络攻击行为D,所述目标攻击行为类型信息对应的多个
网络攻击行为分别为,网络攻击行为A、网络攻击行为B,说明所述目标攻击行为类型信息对
应的多个网络攻击行为不属于一个完成的攻击事件,表明所述目标攻击设备不是因为攻击
完成之后才停止),则确定所述目标攻击设备已经识别出所述目标虚拟应用程序运行于虚
拟计算机。
型信息的部分,为了能够进一步确定所述目标攻击设备是否识别出所述目标虚拟应用程序
运行于虚拟计算机,在本实施例中,步骤S110还可以包括以下子步骤:
信息对应的多个网络攻击行为分别为,网络攻击行为A、网络攻击行为B、网络攻击行为C、网
络攻击行为D,但是,每一次对所述目标虚拟应用程序进行的网络攻击行为,即所述历史攻
击行为类型信息包括的多个网络攻击行为,不包括网络攻击行为A、网络攻击行为B、网络攻
击行为C或网络攻击行为D),则确定所述目标攻击设备未识别出所述目标虚拟应用程序运
行于虚拟计算机。
型信息的部分,还可以认为所述目标攻击设备的网络攻击行为属于新的攻击事件,因而,在
本实施例中,步骤S110还可以包括以下子步骤:
类型信息生成新的攻击事件信息;
目标历史数据。
行选择。
30‑子步骤41。
历史数据片段,可以得到N‑1组相邻的两个历史数据片段),其中,一个所述历史数据片段基
于一次判定所述目标虚拟应用程序被识别出运行于虚拟计算机时生成(可以理解的是,在
一些示例中,所述目标历史数据可以包括基于所述目标攻击设备本次识别出所述目标虚拟
应用程序运行于虚拟计算机时生成的数据,即所述目标历史数据中的最后一个历史数据片
段为该数据)。
际应用需求进行配置,例如,在一种可以替代的示例中,该维度可以包括,但不限于,一次判
定所述目标虚拟应用程序被识别出运行于虚拟计算机时,本次对该目标虚拟应用程序进行
攻击的持续时长(即从攻击开始到攻击停止的时长)、本次对该目标虚拟应用程序进行攻击
的网络攻击行为的行为数量等)。
表征的内容不同,因而,需要先进行归一化处理,然后,再将多个数据差值进行累加,例如,
不能将上述的持续时长的差值与上述的行为数量的差值直接进行相加,如将持续时长的差
值除以根据经验设置的一个最大时长(如历史上最长的一次攻击的持续时长),将行为数量
的差值除以根据经验设置的一个最大数量(如历史上包括最多网络攻击行为的攻击事件的
网络攻击行为的数量)),得到该两个相邻的所述历史数据片段中后一个所述历史数据片段
的目标差异值。
值的全部历史数据片段,都作为目标历史数据片段,或者,将目标差异值最大的预定数量个
历史数据片段,都作为目标历史数据片段)。
目标历史数据片段。
差值或比例值,然后,再计算每一个维度上的差值(可以先进行归一化处理)或比例值的加
权平均值,其中,持续时长维度对应的权重系数可以大于行为数量对应的权重系数),得到
该两个相邻的所述目标历史数据片段之间的相似性关系。
阈值的两个相邻的所述目标历史数据片段认为是相似数据片段,从而认为该两个相邻的所
述目标历史数据片段属于重复数据片段;可以将综合相似度小于相似度阈值的两个相邻的
所述目标历史数据片段认为是非相似数据片段,从而认为该两个相邻的所述目标历史数据
片段不属于重复数据片段)。
同所述目标数据片段子集合的不同目标历史数据片段属不于所述重复数据片段(例如,所
述目标数据片段集合包括目标历史数据片段A、目标历史数据片段B、目标历史数据片段C、
目标历史数据片段D、目标历史数据片段E,其中,目标历史数据片段A和目标历史数据片段B
属于重复数据片段,目标历史数据片段B和目标历史数据片段C属于重复数据片段,目标历
史数据片段C和目标历史数据片段D不属于重复数据片段,目标历史数据片段D和目标历史
数据片段E不属于重复数据片段,可以形成第一个目标数据片段子集合“目标历史数据片段
A、目标历史数据片段B、目标历史数据片段C”,第二个目标数据片段子集合“目标历史数据
片段D”,第三个目标数据片段子集合“目标历史数据片段E”)。
标历史子数据,其中,每一个所述目标历史子数据包括至少一个所述历史数据片段(例如,
所述目标历史数据包括历史数据片段1、历史数据片段2、目标历史数据片段A、历史数据片
段3、目标历史数据片段B、历史数据片段4、目标历史数据片段C、历史数据片段5、历史数据
片段6、目标历史数据片段D、历史数据片段7、目标历史数据片段E、历史数据片段8,形成的
多个目标历史子数据包括“历史数据片段1、历史数据片段2”、“目标历史数据片段A、历史数
据片段3、目标历史数据片段B、历史数据片段4”、“目标历史数据片段C、历史数据片段5、历
史数据片段6”、“目标历史数据片段D、历史数据片段7”、“目标历史数据片段E、历史数据片
段8”)。
数据包括的每一个历史数据片段在每一个维度上的数据进行归一化处理,然后,计算每一
个历史数据片段的多个维度上的归一化数据的平均值,然后,将该目标历史子数据包括的
至少一个历史数据片段的平均值进行均值计算,得到最后的平均值)。
可以根据实际应用需求进行选择。
被攻击时是否会被识别出运行于虚拟计算机。
所述目标阈值数据时,确定所述目标虚拟应用程序在下一次被攻击时不会被识别出运行于
虚拟计算机,在所述目标预测数据小于或等于所述目标阈值数据时,确定所述目标虚拟应
用程序在下一次被攻击时会被识别出运行于虚拟计算机。
率,步骤S130可以包括子步骤42‑子步骤55。
均值(例如,所述目标历史数据包括100个历史数据片段,所述预设数量为40,可以计算前40
个历史数据片段在每一个维度的均值,如此,多个维度,可以得到多个第一维度均值;可以
计算后40个历史数据片段在每一个维度的均值,如此,多个维度,可以得到多个第二维度均
值;可以理解的是,在一些示例中,基于所述目标历史数据包括的历史数据片段的数量和所
述预设数量的不同配置,前预设数量个历史数据片段与后预设数量个历史数据片段可以存
在交集,只要不是全部相同即可,即所述目标历史数据包括的历史数据片段的数量大于所
述预设数量),其中,一个所述历史数据片段基于一次判定所述目标虚拟应用程序被识别出
运行于虚拟计算机时生成。
维度,对应一个均值差值)。
度均值的所有均值差值中,该目标均值差值的数据最大(也就是说,首先,需要在多个均值
差值中,查找出对应的第一维度均值大于对应的第二维度均值的所有均值差值,然后,在该
所有均值差值中确定数据最大的均值差值,作为目标均值差值)。
两个历史数据片段。
目标历史数据片段。
据片段之间的相似性关系。
同所述目标数据片段子集合的不同目标历史数据片段属不于所述重复数据片段。
标历史子数据,其中,每一个所述目标历史子数据包括至少一个所述历史数据片段。
S130可以包括子步骤56‑子步骤63。
的片段数量大于所述预设数量,可以在所述历史数据序列中选择最后的预设数量个历史数
据片段)。
据片段,作为候选历史数据片段,其中,所述解析结果满足所述预设条件的所述历史数据片
段,在每一个维度上的数据大于前一个历史数据片段的数据,且大于后一个历史数据片段
的数据。
值(即对该候选历史数据片段在每一个维度上的数据进行归一化处理,然后,计算多个维度
的归一化值的平均值),得到每一个所述候选历史数据片段的第一维度平均值。
段1、片段2、目标历史数据片段1、片段3、目标历史数据片段2、片段4、片段5,如此,形成的目
标历史数据子序列包括,“片段1、片段2、目标历史数据片段1”、“片段3、目标历史数据片段
2”、“片段4、片段5”)。
说,将一个目标历史数据子序列中的每一个历史数据片段在每一个维度上的数据都进行归
一化处理,然后,对该目标历史数据子序列包括的全部归一化值进行平均值计算),得到每
一个所述目标历史数据子序列的第二维度平均值。
算机(例如,在一种可以替代的示例中,若所述变化趋势信息表明所述第二维度平均值会继
续下降或者在最近的一段较长的时间内在一直下降,可以确定所述目标虚拟应用程序在下
一次被攻击时是否会被识别出运行于虚拟计算机)。
所述目标虚拟应用程序在下一次被攻击时会被识别出运行于虚拟计算机,因而,已经没有
必要继续运行,通过停止运行,可以在一定程度上降低所述网络安全防护平台的资源消
耗);
防护平台;
序进行销毁处理(如此,通过停止运行和销毁处理,可以在一定程度上降低所述网络安全防
护平台的计算资源消耗和存储资源消耗,充分改善资源浪费的问题);
其它网络设备,且该目标物理计算机用于基于该激活通知信息运行部署的目标虚拟应用程
序(也就是说,可以预先在其它网络设备部署所述目标虚拟应用程序,但并不运行,只有在
确定所述目标虚拟应用程序在下一次被攻击时会被识别出运行于虚拟计算机时,才会通知
该其它网络设备,运行该目标虚拟应用程序);
备进行信息采集(也就是说,通过其它网络设备运行所述目标虚拟应用程序,但是,仍然基
于所述网络防护设备上的目标第二虚拟计算机对攻击设备进行信息采集,在一种实现方式
中,所述其它网络设备可以通过所述目标虚拟应用程序将一脚本程序运行于攻击设备,以
获取该攻击设备的端口信息,然后,将该端口信息发送给所述网络安全防护平台,使得该网
络安全防护平台可以基于运行的目标第二虚拟计算机,通过该端口信息与该攻击设备建立
连接,从而进行信息采集),其中,该攻击通知信息基于所述目标物理计算机在检测到该其
它攻击设备对部属的目标虚拟应用程序进行攻击时生成,并发送给所述网络安全防护平
台。
标历史数据确定目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机,
以在确定目标虚拟应用程序会被识别出运行于虚拟计算机时,通过目标物理计算机运行目
标虚拟应用程序。如此,由于在确定目标虚拟应用程序会被识别出运行于虚拟计算机时,可
以通过目标物理计算机运行目标虚拟应用程序,提高了目标虚拟应用程序被识别出的难
度,可以改善由于将目标虚拟应用程序一直通过虚拟计算机运行而导致容易被识别出的问
题,从而改善现有的网络安全技术中存在的防护效果较差的问题,并且,还可以避免直接通
过目标物理计算机运行目标虚拟应用程序而存在成本较高的问题,具有较高的实用价值。
改、等同替换、改进等,均应包含在本申请的保护范围之内。