一种用于网络信标篡改检测的数据处理方法及装置转让专利
申请号 : CN202210266542.8
文献号 : CN114448724B
文献日 : 2022-10-14
发明人 : 任传伦 , 俞赛赛 , 刘晓影 , 任秋洁 , 张先国 , 谭震 , 乌吉斯古愣 , 孟祥頔 , 王明琛
申请人 : 中国电子科技集团公司第十五研究所 , 中国电子科技集团公司第三十研究所 , 中电科网络空间安全研究院有限公司
摘要 :
本发明公开了一种用于网络信标篡改检测的数据处理方法及装置,该方法包括:获取信标检测节点的节点信标信息;对节点信标信息进行摘要值计算,得到第一摘要值信息;对第一摘要值信息进行对比分析,得到对比结果信息;对比结果信息用于指示判别网络信标的篡改情况。可见,本发明能够通过对节点信标信息进行摘要值计算和对比分析得到用于指示判别网络信标的篡改情况的对比结果信息,有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
权利要求 :
1.一种用于网络信标篡改检测的数据处理方法,其特征在于,所述方法包括:获取信标检测节点的节点信标信息;
对所述节点信标信息进行摘要值计算,得到第一摘要值信息;
其中,所述对所述节点信标信息进行摘要值计算,得到第一摘要值信息,包括:对所述节点信标信息进行信息填充,得到第一中间摘要值信息;
对所述第一中间摘要值信息进行初始化设置,得到第二中间摘要值信息;所述第二中间摘要值信息包括L个链接变量;所述L为大于等于4的正整数;
对所述第二中间摘要值信息进行循环计算处理,得到第一摘要值信息;
其中,所述对所述节点信标信息进行信息填充,得到第一中间摘要值信息,包括:对所述节点信标信息进行二进制填充,得到填充信标信息;
对所述填充信标信息与预设的数据位长度阈值进行余数计算,得到余数结果信息;
判断所述余数结果信息是否与预设的余数阈值相匹配,得到第一匹配判断结果;
当所述第一匹配判断结果为否时,利用所述填充信标信息对所述节点信标信息进行更新,并触发执行所述对所述节点信标信息进行二进制填充,得到填充信标信息;
当所述第一匹配判断结果为是时,确定所述填充信标信息为第一中间摘要值信息;
对所述第一摘要值信息进行对比分析,得到对比结果信息;所述对比结果信息用于指示判别网络信标的篡改情况。
2.根据权利要求1所述的用于网络信标篡改检测的数据处理方法,其特征在于,所述第二中间摘要值信息包括若干个中间子摘要值信息;
所述对所述第二中间摘要值信息进行循环计算处理,得到第一摘要值信息,包括:对于任一所述中间子摘要值信息,对该中间子摘要值信息进行迁移处理,得到该中间子摘要值信息对应的第一循环值信息;
对所述第一循环值信息进行非线性计算和迁移处理,得到该中间子摘要值信息对应的第二循环值信息;
对所有的所述第二循环值信息进行顺序整合处理,得到第一摘要值信息。
3.根据权利要求1所述的用于网络信标篡改检测的数据处理方法,其特征在于,在所述获取信标检测节点的节点信标信息之前,所述方法还包括:获取目标检测网络的网络基础信息;
根据所述网络基础信息,确定出信标植入节点;
获取所述信标植入节点对应的植入信标信息;所述植入信标信息与所述节点信标信息是相关联的;
对所述植入信标信息进行摘要值计算,得到第二摘要值信息;所述第二摘要值信息用于与所述第一摘要值信息的对比分析。
4.根据权利要求3所述的用于网络信标篡改检测的数据处理方法,其特征在于,所述对比结果信息包括网络信标未篡改,或,网络信标已篡改;
所述对所述第一摘要值信息进行对比分析,得到对比结果信息,包括:判断所述第一摘要值信息与所述第二摘要值信息是否相匹配,得到第二匹配判断结果;
当所述第二匹配判断结果为是时,确定对比结果信息为所述网络信标未篡改;所述网络信标未篡改用于指示触发执行所述获取信标检测节点的节点信标信息;
当所述第二匹配判断结果为否时,确定所述对比结果信息为所述网络信标已篡改;所述网络信标已篡改用于指示发出网络告警。
5.根据权利要求1所述的用于网络信标篡改检测的数据处理方法,其特征在于,所述节点信标信息包括L个节点标识信息;所述L为大于等于5的正整数;任一所述节点标识信息在所述信标检测节点对应的目标检测网络中是唯一的。
6.一种用于网络信标篡改检测的数据处理装置,其特征在于,所述装置包括:第一获取模块,用于获取信标检测节点的节点信标信息;
计算模块,用于对所述节点信标信息进行摘要值计算,得到第一摘要值信息;
其中,所述对所述节点信标信息进行摘要值计算,得到第一摘要值信息,包括:对所述节点信标信息进行信息填充,得到第一中间摘要值信息;
对所述第一中间摘要值信息进行初始化设置,得到第二中间摘要值信息;所述第二中间摘要值信息包括L个链接变量;所述L为大于等于4的正整数;
对所述第二中间摘要值信息进行循环计算处理,得到第一摘要值信息;
其中,所述对所述节点信标信息进行信息填充,得到第一中间摘要值信息,包括:对所述节点信标信息进行二进制填充,得到填充信标信息;
对所述填充信标信息与预设的数据位长度阈值进行余数计算,得到余数结果信息;
判断所述余数结果信息是否与预设的余数阈值相匹配,得到第一匹配判断结果;
当所述第一匹配判断结果为否时,利用所述填充信标信息对所述节点信标信息进行更新,并触发执行所述对所述节点信标信息进行二进制填充,得到填充信标信息;
当所述第一匹配判断结果为是时,确定所述填充信标信息为第一中间摘要值信息;
对比分析模块,用于对所述第一摘要值信息进行对比分析,得到对比结果信息;所述对比结果信息用于指示判别网络信标的篡改情况。
7.一种用于网络信标篡改检测的数据处理装置,其特征在于,所述装置包括:存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1‑5任一项所述的用于网络信标篡改检测的数据处理方法。
8.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行如权利要求1‑5任一项所述的用于网络信标篡改检测的数据处理方法。
说明书 :
一种用于网络信标篡改检测的数据处理方法及装置
技术领域
[0001] 本发明涉及网络安全技术领域,尤其涉及一种用于网络信标篡改检测的数据处理方法及装置。
背景技术
[0002] 随着互联网技术的发展,网络攻击者对省网、电信网等关键业务网构成了巨大的威胁。攻击者为隐藏流量信息及身份,通过多级跳板转发等方式规避攻击路径的追踪溯源,增大追踪溯源的难度。现有基于网络信标的攻击路径主动追踪溯源方法通常需要在检测节点恢复出具体植入的信标才可判断网络信标是否遭到篡改,难以实时判别网络信标是否遭到篡改。因此,提供一种用于网络信标篡改检测的数据处理方法及装置,以实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率显得尤为重要。
发明内容
[0003] 本发明所要解决的技术问题在于,提供一种用于网络信标篡改检测的数据处理方法及装置,能够通过对节点信标信息进行摘要值计算和对比分析得到用于指示判别网络信标的篡改情况的对比结果信息,有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
[0004] 为了解决上述技术问题,本发明实施例第一方面公开了一种用于网络信标篡改检测的数据处理方法,所述方法包括:
[0005] 获取信标检测节点的节点信标信息;
[0006] 对所述节点信标信息进行摘要值计算,得到第一摘要值信息;
[0007] 对所述第一摘要值信息进行对比分析,得到对比结果信息;所述对比结果信息用于指示判别网络信标的篡改情况。
[0008] 作为一种可选的实施方式,在本发明实施例第一方面中,所述对所述节点信标信息进行摘要值计算,得到第一摘要值信息,包括:
[0009] 对所述节点信标信息进行信息填充,得到第一中间摘要值信息;
[0010] 对所述第一中间摘要值信息进行初始化设置,得到第二中间摘要值信息;所述第二中间摘要值信息包括L个链接变量;所述L为大于等于4的正整数;
[0011] 对所述第二中间摘要值信息进行循环计算处理,得到第一摘要值信息。
[0012] 作为一种可选的实施方式,在本发明实施例第一方面中,所述对所述节点信标信息进行信息填充,得到第一中间摘要值信息,包括:
[0013] 对所述节点信标信息进行二进制填充,得到填充信标信息;
[0014] 对所述填充信标信息与预设的数据位长度阈值进行余数计算,得到余数结果信息;
[0015] 判断所述余数结果信息是否与预设的余数阈值相匹配,得到第一匹配判断结果;
[0016] 当所述第一匹配判断结果为否时,利用所述填充信标信息对所述节点信标信息进行更新,并触发执行所述对所述节点信标信息进行二进制填充,得到填充信标信息;
[0017] 当所述第一匹配判断结果为是时,确定所述填充信标信息为第一中间摘要值信息。
[0018] 作为一种可选的实施方式,在本发明实施例第一方面中,所述第二中间摘要值信息包括若干个中间子摘要值信息;
[0019] 所述对所述第二中间摘要值信息进行循环计算处理,得到第一摘要值信息,包括:
[0020] 对于任一所述中间子摘要值信息,对该中间子摘要值信息进行迁移处理,得到该中间子摘要值信息对应的第一循环值信息;
[0021] 对所述第一循环值信息进行非线性计算和迁移处理,得到该中间子摘要值信息对应的第二循环值信息;
[0022] 对所有的所述第二循环值信息进行顺序整合处理,得到第一摘要值信息。
[0023] 作为一种可选的实施方式,在本发明实施例第一方面中,在所述获取信标检测节点的节点信标信息之前,所述方法还包括:
[0024] 获取目标检测网络的网络基础信息;
[0025] 根据所述网络基础信息,确定出信标植入节点;
[0026] 获取所述信标植入节点对应的植入信标信息;所述植入信标信息与所述节点信标信息是相关联的;
[0027] 对所述植入信标信息进行摘要值计算,得到第二摘要值信息;所述第二摘要值信息用于与所述第一摘要值信息的对比分析。
[0028] 作为一种可选的实施方式,在本发明实施例第一方面中,所述对比结果信息包括网络信标未篡改,或,网络信标已篡改;
[0029] 所述对所述第一摘要值信息进行对比分析,得到对比结果信息,包括:
[0030] 判断所述第一摘要值信息与所述第二摘要值信息是否相匹配,得到第二匹配判断结果;
[0031] 当所述第二匹配判断结果为是时,确定对比结果信息为所述网络信标未篡改;所述网络信标未篡改用于指示触发执行所述获取信标检测节点的节点信标信息;
[0032] 当所述第二匹配判断结果为否时,确定所述对比结果信息为所述网络信标已篡改;所述网络信标已篡改用于指示发出网络告警。
[0033] 作为一种可选的实施方式,在本发明实施例第一方面中,所述节点信标信息包括L个节点标识信息;所述L为大于等于5的正整数;任一所述节点标识信息在所述信标检测节点对应的目标检测网络中是唯一的。
[0034] 本发明实施例第二方面公开了一种用于网络信标篡改检测的数据处理装置,装置包括:
[0035] 第一获取模块,用于获取信标检测节点的节点信标信息;
[0036] 计算模块,用于对所述节点信标信息进行摘要值计算,得到第一摘要值信息;
[0037] 对比分析模块,用于对所述第一摘要值信息进行对比分析,得到对比结果信息;所述对比结果信息用于指示判别网络信标的篡改情况。
[0038] 作为一种可选的实施方式,在本发明实施例第二方面中,所述计算模块对所述节点信标信息进行摘要值计算,得到第一摘要值信息的具体方式为:
[0039] 对所述节点信标信息进行信息填充,得到第一中间摘要值信息;
[0040] 对所述第一中间摘要值信息进行初始化设置,得到第二中间摘要值信息;所述第二中间摘要值信息包括L个链接变量;所述L为大于等于4的正整数;
[0041] 对所述第二中间摘要值信息进行循环计算处理,得到第一摘要值信息。
[0042] 作为一种可选的实施方式,在本发明实施例第二方面中,所述计算模块对所述节点信标信息进行信息填充,得到第一中间摘要值信息的具体方式为:
[0043] 对所述节点信标信息进行二进制填充,得到填充信标信息;
[0044] 对所述填充信标信息与预设的数据位长度阈值进行余数计算,得到余数结果信息;
[0045] 判断所述余数结果信息是否与预设的余数阈值相匹配,得到第一匹配判断结果;
[0046] 当所述第一匹配判断结果为否时,利用所述填充信标信息对所述节点信标信息进行更新,并触发执行所述对所述节点信标信息进行二进制填充,得到填充信标信息;
[0047] 当所述第一匹配判断结果为是时,确定所述填充信标信息为第一中间摘要值信息。
[0048] 作为一种可选的实施方式,在本发明实施例第二方面中,所述第二中间摘要值信息包括若干个中间子摘要值信息;
[0049] 所述计算模块对所述第二中间摘要值信息进行循环计算处理,得到第一摘要值信息的具体方式为:
[0050] 对于任一所述中间子摘要值信息,对该中间子摘要值信息进行迁移处理,得到该中间子摘要值信息对应的第一循环值信息;
[0051] 对所述第一循环值信息进行非线性计算和迁移处理,得到该中间子摘要值信息对应的第二循环值信息;
[0052] 对所有的所述第二循环值信息进行顺序整合处理,得到第一摘要值信息。
[0053] 作为一种可选的实施方式,在本发明实施例第二方面中,在所述第一获取模块获取信标检测节点的节点信标信息之前,所述装置还包括:
[0054] 第二获取模块,用于获取目标检测网络的网络基础信息;
[0055] 确定模块,用于根据所述网络基础信息,确定出信标植入节点;
[0056] 所述第二获取模块,还用于获取所述信标植入节点对应的植入信标信息;所述植入信标信息与所述节点信标信息是相关联的;
[0057] 得到模块,用于对所述植入信标信息进行摘要值计算,得到第二摘要值信息;所述第二摘要值信息用于与所述第一摘要值信息的对比分析。
[0058] 作为一种可选的实施方式,在本发明实施例第二方面中,所述对比结果信息包括网络信标未篡改,或,网络信标已篡改;
[0059] 所述对比结果信息包括网络信标未篡改,或,网络信标已篡改;
[0060] 所述对比分析模块对所述第一摘要值信息进行对比分析,得到对比结果信息的具体方式为:
[0061] 判断所述第一摘要值信息与所述第二摘要值信息是否相匹配,得到第二匹配判断结果;
[0062] 当所述第二匹配判断结果为是时,确定对比结果信息为所述网络信标未篡改;所述网络信标未篡改用于指示触发执行所述获取信标检测节点的节点信标信息;
[0063] 当所述第二匹配判断结果为否时,确定所述对比结果信息为所述网络信标已篡改;所述网络信标已篡改用于指示发出网络告警。
[0064] 作为一种可选的实施方式,在本发明实施例第二方面中,所述节点信标信息包括L个节点标识信息;所述L为大于等于5的正整数;任一所述节点标识信息在所述信标检测节点对应的目标检测网络中是唯一的。
[0065] 本发明第三方面公开了另一种用于网络信标篡改检测的数据处理装置,所述装置包括:
[0066] 存储有可执行程序代码的存储器;
[0067] 与所述存储器耦合的处理器;
[0068] 所述处理器调用所述存储器中存储的所述可执行程序代码,执行本发明实施例第一方面公开的用于网络信标篡改检测的数据处理方法中的部分或全部步骤。
[0069] 本发明第四方面公开了一种计算机存储介质,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行本发明实施例第一方面公开的用于网络信标篡改检测的数据处理方法中的部分或全部步骤。
[0070] 与现有技术相比,本发明实施例具有以下有益效果:
[0071] 本发明实施例中,获取信标检测节点的节点信标信息;对节点信标信息进行摘要值计算,得到第一摘要值信息;对第一摘要值信息进行对比分析,得到对比结果信息;对比结果信息用于指示判别网络信标的篡改情况。可见,本发明能够通过对节点信标信息进行摘要值计算和对比分析得到用于指示判别网络信标的篡改情况的对比结果信息,有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
附图说明
[0072] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0073] 图1是本发明实施例公开的一种用于网络信标篡改检测的数据处理方法的流程示意图;
[0074] 图2是本发明实施例公开的另一种用于网络信标篡改检测的数据处理方法的流程示意图;
[0075] 图3是本发明实施例公开的一种用于网络信标篡改检测的数据处理装置的结构示意图;
[0076] 图4是本发明实施例公开的另一种用于网络信标篡改检测的数据处理装置的结构示意图;
[0077] 图5本发明实施例公开的又一种用于网络信标篡改检测的数据处理装置的结构示意图。
具体实施方式
[0078] 为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0079] 本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
[0080] 在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
[0081] 本发明公开了一种用于网络信标篡改检测的数据处理方法及装置,能够通过对节点信标信息进行摘要值计算和对比分析得到用于指示判别网络信标的篡改情况的对比结果信息,有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。以下分别进行详细说明。
[0082] 实施例一
[0083] 请参阅图1,图1是本发明实施例公开的一种用于网络信标篡改检测的数据处理方法的流程示意图。其中,图1所描述的用于网络信标篡改检测的数据处理方法应用于网络安全管理系统中,如用于网络信标篡改检测的数据处理管理的本地服务器或云端服务器等,本发明实施例不做限定。如图1所示,该用于网络信标篡改检测的数据处理方法可以包括以下操作:
[0084] 101、获取信标检测节点的节点信标信息。
[0085] 102、根对节点信标信息进行摘要值计算,得到第一摘要值信息。
[0086] 103、对第一摘要值信息进行对比分析,得到对比结果信息。
[0087] 本发明实施例中,上述对比结果信息用于指示判别网络信标的篡改情况。
[0088] 可选的,在计算得到第一摘要值信息之后,将上述第一摘要值信息上传到全局监测点,在全局监测点对第一摘要值信息进行对比分析。
[0089] 可见,实施本发明实施例所描述的用于网络信标篡改检测的数据处理方法能够通过对节点信标信息进行摘要值计算和对比分析得到用于指示判别网络信标的篡改情况的对比结果信息,有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
[0090] 在一个可选的实施例中,上述步骤102中对节点信标信息进行摘要值计算,得到第一摘要值信息,包括:
[0091] 对节点信标信息进行信息填充,得到第一中间摘要值信息;
[0092] 对第一中间摘要值信息进行初始化设置,得到第二中间摘要值信息;第二中间摘要值信息包括L个链接变量;L为大于等于4的正整数;
[0093] 对第二中间摘要值信息进行循环计算处理,得到第一摘要值信息。
[0094] 可选的,上述链接变量的位数为32。
[0095] 可选的,上述链接变量包括第一链接变量,和/或,第二链接变量,和/或,第三链接变量,和/或,第四链接变量,本发明实施例不做限定。
[0096] 可选的,上述第一链接变量为0x01234567。
[0097] 可选的,上述第二链接变量为0x89abcdef。
[0098] 可选的,上述第三链接变量为0xfedcba98。
[0099] 可选的,上述第四链接变量为0x76543210。
[0100] 可见,实施本发明实施例所描述的用于网络信标篡改检测的数据处理方法能够通过对节点信标信息进行信息填充、初始化设置和循环计算处理,得到第一摘要值信息,有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
[0101] 在另一个可选的实施例中,上述对节点信标信息进行信息填充,得到第一中间摘要值信息,包括:
[0102] 对节点信标信息进行二进制填充,得到填充信标信息;
[0103] 对填充信标信息与预设的数据位长度阈值进行余数计算,得到余数结果信息;
[0104] 判断余数结果信息是否与预设的余数阈值相匹配,得到第一匹配判断结果;
[0105] 当第一匹配判断结果为否时,利用填充信标信息对节点信标信息进行更新,并触发执行对节点信标信息进行二进制填充,得到填充信标信息;
[0106] 当第一匹配判断结果为是时,确定填充信标信息为第一中间摘要值信息。
[0107] 在该可选的实施例中,作为一种可选的实施方式,上述对节点信标信息进行二进制填充,得到填充信标信息的具体方式为:
[0108] 在节点信标信息的末尾填充一个1和若干个0,得到填充信标信息。
[0109] 优选的,上述数据位长度阈值为512。
[0110] 优选的,上述余数阈值为448。
[0111] 可见,实施本发明实施例所描述的用于网络信标篡改检测的数据处理方法能够通过对节点信标信息进行二进制填充、余数计算和匹配判断处理得到第一中间摘要值信息,有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
[0112] 在又一个可选的实施例中,上述第二中间摘要值信息包括若干个中间子摘要值信息;
[0113] 对第二中间摘要值信息进行循环计算处理,得到第一摘要值信息,包括:
[0114] 对于任一中间子摘要值信息,对该中间子摘要值信息进行迁移处理,得到该中间子摘要值信息对应的第一循环值信息;
[0115] 对第一循环值信息进行非线性计算和迁移处理,得到该中间子摘要值信息对应的第二循环值信息;
[0116] 对所有的第二循环值信息进行顺序整合处理,得到第一摘要值信息。
[0117] 在该可选的实施例中,作为一种可选的实施方式,上述对该中间子摘要值信息进行迁移处理,得到该中间子摘要值信息对应的第一循环值信息的具体方式为:
[0118] 利用该中间子摘要值信息对第一循环变量信息进行更新处理;上述第一循环变量信息包括4个第一循环变量;
[0119] 选取上述第一循环变量信息中的3个第一循环变量生成第一函数变量信息,并选定剩余的第一循环变量作为第二函数变量信息;
[0120] 对上述第一函数变量信息进行非线性函数计算,得到第一函数结果信息;
[0121] 将上述第一函数结果信息与上述第二函数变量信息进行求和计算,得到第二函数结果信息;
[0122] 对上述第二函数结果信息向右迁移一个随机数,得到第三函数结果信息;
[0123] 对上述第三函数结果信息和第一循环变量信息进行计算处理,得到第四函数结果信息;
[0124] 判断上述第四函数结果信息是否满足循环迭代结束条件,得到循环判断结果;
[0125] 当上述循环判断结果为是时,利用上述第四函数结果信息对该中间子摘要值信息进行更新,并触发执行利用该中间子摘要值信息对第一循环变量信息进行更新处理;
[0126] 当上述循环判断结果为否时,根据上述第四函数结果信息和该中间子摘要值信息,确定出该中间子摘要值信息对应的第一循环值信息。
[0127] 可见,实施本发明实施例所描述的用于网络信标篡改检测的数据处理方法能够对中间子摘要值信息进行迁移处理和非线性计算得到第二循环值信息,再对其进行顺序整合处理得到第一摘要值信息,更有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
[0128] 实施例二
[0129] 请参阅图2,图2是本发明实施例公开的另一种用于网络信标篡改检测的数据处理方法的流程示意图。其中,图2所描述的用于网络信标篡改检测的数据处理方法应用于网络安全管理系统中,如用于网络信标篡改检测的数据处理管理的本地服务器或云端服务器等,本发明实施例不做限定。如图2所示,该用于网络信标篡改检测的数据处理方法可以包括以下操作:
[0130] 201、获取目标检测网络的网络基础信息。
[0131] 202、根据网络基础信息,确定出信标植入节点。
[0132] 203、获取信标植入节点对应的植入信标信息。
[0133] 本发明实施例中,上述植入信标信息与所述节点信标信息是相关联的;
[0134] 204、对植入信标信息进行摘要值计算,得到第二摘要值信息。
[0135] 本发明实施例中,上述第二摘要值信息用于与所述第一摘要值信息的对比分析。
[0136] 205、获取信标检测节点的节点信标信息。
[0137] 206、对节点信标信息进行摘要值计算,得到第一摘要值信息。
[0138] 207、对第一摘要值信息进行对比分析,得到对比结果信息。
[0139] 本发明实施例中,针对步骤205‑步骤206的具体技术细节和技术名词解释,可以参照实施例一中针对步骤101‑步骤103的详细描述,本发明实施例不再赘述。
[0140] 可选的,相对于现有的基于网络信标的攻击路径主动追踪溯源方法,其需要在检测节点恢复出具体植入的信标才可判断网络信标是否遭到篡改,而本发明的方法中根据节点信标信息计算得到的第一摘要值信息在目标检测网络是唯一的,在不需要恢复原始信标的前提下,通过比对信标植入节点的第二摘要值信息是否一致,可以较快发现信标是否遭到篡改,进而提高信标篡改发现的效率。
[0141] 可选的,上述网络基础信息包括目标检测网络的网络流量协议类型,和/或,网络构建类型,本发明实施例不做限定。
[0142] 可选的,上述节点信标信息包括数据链路层中的协议信息,和/或,网络层中的协议信息,和/或,传输层中的协议信息,和/或,应用层中的协议信息,本发明实施例不做限定。
[0143] 可见,实施本发明实施例所描述的用于网络信标篡改检测的数据处理方法能够根据网络基础信息确定出信标植入节点,再通过获取信标植入节点对应植入信标信息,并对其进行摘要值计算,得到第二摘要值信息,然后通过对节点信标信息进行摘要值计算和对比分析得到用于指示判别网络信标的篡改情况的对比结果信息,有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
[0144] 在一个可选的实施例中,上述对比结果信息包括网络信标未篡改,或,网络信标已篡改;
[0145] 对第一摘要值信息进行对比分析,得到对比结果信息,包括:
[0146] 判断第一摘要值信息与第二摘要值信息是否相匹配,得到第二匹配判断结果;
[0147] 当第二匹配判断结果为是时,确定对比结果信息为网络信标未篡改;网络信标未篡改用于指示触发执行获取信标检测节点的节点信标信息;
[0148] 当第二匹配判断结果为否时,确定对比结果信息为网络信标已篡改;网络信标已篡改用于指示发出网络告警。
[0149] 可选的,上述对第一摘要值信息与第二摘要值信息是否相匹配的判断是在全局监测点进行的。
[0150] 可见,实施本发明实施例所描述的用于网络信标篡改检测的数据处理方法能够对第一摘要值信息与第二摘要值信息进行匹配判断得到对比结果信息,更有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
[0151] 在另一个可选的实施例中,上述节点信标信息包括L个节点标识信息;L为大于等于5的正整数;任一节点标识信息在信标检测节点对应的目标检测网络中是唯一的。
[0152] 可选的,上述节点标识信息包括信标标识,和/或,源IP地址,和/或,目的IP地址,和/或,源MAC地址,和/或,目的MAC地址,本发明实施例不做限定。
[0153] 可选的,信标标识是网络信标的唯一标识。
[0154] 可选的,源IP地址和目的IP地址是目标检测网络逻辑地址的唯一标识。
[0155] 可选的,源MAC地址和目的MAC地址是同一链路不同目标检测网络的唯一标识。
[0156] 可选的,通过选取具有唯一性的信标标识及源IP地址、目的IP地址、源MAC地址、目的MAC地址,并对其进行摘要值计算可得到目标检测网络唯一的第一摘要值信息,以提高发现网络信标被篡改的准确性和可靠性,进而提高发现网络信标被篡改的效率。
[0157] 可见,实施本发明实施例所描述的用于网络信标篡改检测的数据处理方法能够对节点信标信息进行筛选确定,更有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
[0158] 实施例三
[0159] 请参阅图3,图3是本发明实施例公开的一种用于网络信标篡改检测的数据处理装置的结构示意图。其中,图3所描述的装置能够应用于网络安全管理系统中,如用于网络信标篡改检测的数据处理管理的本地服务器或云端服务器等,本发明实施例不做限定。如图3所示,该装置可以包括:
[0160] 第一获取模块301,用于获取信标检测节点的节点信标信息;
[0161] 计算模块302,用于对节点信标信息进行摘要值计算,得到第一摘要值信息;
[0162] 对比分析模块303,用于对第一摘要值信息进行对比分析,得到对比结果信息;对比结果信息用于指示判别网络信标的篡改情况。
[0163] 可见,实施图3所描述的用于网络信标篡改检测的数据处理装置,能够通过对节点信标信息进行摘要值计算和对比分析得到用于指示判别网络信标的篡改情况的对比结果信息,有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
[0164] 在另一个可选的实施例中,如图4所示,计算模块302对节点信标信息进行摘要值计算,得到第一摘要值信息的具体方式为:
[0165] 对节点信标信息进行信息填充,得到第一中间摘要值信息;
[0166] 对第一中间摘要值信息进行初始化设置,得到第二中间摘要值信息;第二中间摘要值信息包括L个链接变量;L为大于等于4的正整数;
[0167] 对第二中间摘要值信息进行循环计算处理,得到第一摘要值信息。
[0168] 可见,实施图4所描述的用于网络信标篡改检测的数据处理装置,能够通过对节点信标信息进行信息填充、初始化设置和循环计算处理,得到第一摘要值信息,有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
[0169] 在又一个可选的实施例中,如图4所示,计算模块302对节点信标信息进行信息填充,得到第一中间摘要值信息的具体方式为:
[0170] 对节点信标信息进行二进制填充,得到填充信标信息;
[0171] 对填充信标信息与预设的数据位长度阈值进行余数计算,得到余数结果信息;
[0172] 判断余数结果信息是否与预设的余数阈值相匹配,得到第一匹配判断结果;
[0173] 当第一匹配判断结果为否时,利用填充信标信息对节点信标信息进行更新,并触发执行对节点信标信息进行二进制填充,得到填充信标信息;
[0174] 当第一匹配判断结果为是时,确定填充信标信息为第一中间摘要值信息。
[0175] 可见,实施图4所描述的用于网络信标篡改检测的数据处理装置,能够通过对节点信标信息进行二进制填充、余数计算和匹配判断处理得到第一中间摘要值信息,有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
[0176] 在又一个可选的实施例中,如图4所示,第二中间摘要值信息包括若干个中间子摘要值信息;
[0177] 计算模块302对第二中间摘要值信息进行循环计算处理,得到第一摘要值信息的具体方式为:
[0178] 对于任一中间子摘要值信息,对该中间子摘要值信息进行迁移处理,得到该中间子摘要值信息对应的第一循环值信息;
[0179] 对第一循环值信息进行非线性计算和迁移处理,得到该中间子摘要值信息对应的第二循环值信息;
[0180] 对所有的第二循环值信息进行顺序整合处理,得到第一摘要值信息。
[0181] 可见,实施图4所描述的用于网络信标篡改检测的数据处理装置,能够对中间子摘要值信息进行迁移处理和非线性计算得到第二循环值信息,再对其进行顺序整合处理得到第一摘要值信息,更有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
[0182] 在又一个可选的实施例中,如图4所示,在第一获取模块301获取信标检测节点的节点信标信息之前,装置还包括:
[0183] 第二获取模块304,用于获取目标检测网络的网络基础信息;
[0184] 确定模块305,用于根据网络基础信息,确定出信标植入节点;
[0185] 第二获取模块304,还用于获取信标植入节点对应的植入信标信息;所述植入信标信息与所述节点信标信息是相关联的;
[0186] 得到模块306,用于对植入信标信息进行摘要值计算,得到第二摘要值信息;所述第二摘要值信息用于与所述第一摘要值信息的对比分析。
[0187] 可见,实施图4所描述的用于网络信标篡改检测的数据处理装置,能够根据网络基础信息确定出信标植入节点,再通过获取信标植入节点对应植入信标信息,并对其进行摘要值计算,得到第二摘要值信息,然后通过对节点信标信息进行摘要值计算和对比分析得到用于指示判别网络信标的篡改情况的对比结果信息,有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
[0188] 在又一个可选的实施例中,如图4所示,对比结果信息包括网络信标未篡改,或,网络信标已篡改;
[0189] 对比结果信息包括网络信标未篡改,或,网络信标已篡改;
[0190] 对比分析模块303对第一摘要值信息进行对比分析,得到对比结果信息的具体方式为:
[0191] 判断第一摘要值信息与第二摘要值信息是否相匹配,得到第二匹配判断结果;
[0192] 当第二匹配判断结果为是时,确定对比结果信息为网络信标未篡改;网络信标未篡改用于指示触发执行获取信标检测节点的节点信标信息;
[0193] 当第二匹配判断结果为否时,确定对比结果信息为网络信标已篡改;网络信标已篡改用于指示发出网络告警。
[0194] 可见,实施图4所描述的用于网络信标篡改检测的数据处理装置,能够对第一摘要值信息与第二摘要值信息进行匹配判断得到对比结果信息,更有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
[0195] 在又一个可选的实施例中,如图4所示,节点信标信息包括L个节点标识信息;L为大于等于5的正整数;任一节点标识信息在信标检测节点对应的目标检测网络中是唯一的。
[0196] 可见,实施图4所描述的用于网络信标篡改检测的数据处理装置,能够对节点信标信息进行筛选确定,更有利于实现高效实时判别网络信标是否被篡改,进而提高发现网络信标被篡改的效率。
[0197] 实施例四
[0198] 请参阅图5,图5是本发明实施例公开的又一种用于网络信标篡改检测的数据处理装置的结构示意图。其中,图5所描述的装置能够应用于网络安全管理系统中,如用于网络信标篡改检测的数据处理管理的本地服务器或云端服务器等,本发明实施例不做限定。如图5所示,该装置可以包括:
[0199] 存储有可执行程序代码的存储器401;
[0200] 与存储器401耦合的处理器402;
[0201] 处理器402调用存储器401中存储的可执行程序代码,用于执行实施例一或实施例二所描述的用于网络信标篡改检测的数据处理方法中的步骤。
[0202] 实施例五
[0203] 本发明实施例公开了一种计算机读存储介质,其存储用于电子数据交换的计算机程序,其中,该计算机程序使得计算机执行实施例一或实施例二所描述的用于网络信标篡改检测的数据处理方法中的步骤。
[0204] 实施例六
[0205] 本发明实施例公开了一种计算机程序产品,该计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,且该计算机程序可操作来使计算机执行实施例一或实施例二所描述的用于网络信标篡改检测的数据处理方法中的步骤。
[0206] 以上所描述的装置实施例仅是示意性的,其中作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
[0207] 通过以上的实施例的具体描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,存储介质包括只读存储器(Read‑Only Memory,ROM)、随机存储器(Random Access Memory,RAM)、可编程只读存储器(Programmable Read‑only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、一次可编程只读存储器(One‑time Programmable Read‑Only Memory,OTPROM)、电子抹除式可复写只读存储器(Electrically‑Erasable Programmable Read‑Only Memory,EEPROM)、只读光盘(Compact Disc Read‑Only Memory,CD‑ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
[0208] 最后应说明的是:本发明实施例公开的一种用于网络信标篡改检测的数据处理方法及装置所揭露的仅为本发明较佳实施例而已,仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解;其依然可以对前述各项实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应的技术方案的本质脱离本发明各项实施例技术方案的精神和范围。