本发明专利技术公开了一种基于关键字匹配的网络数据检测方法,包括:获取网络数据;将所述网络数据先与黑白名单进行匹配;并基于语义库和知识库对没有成功匹配的网络数据进行拆分后获取数据元素;基于预设规则将数据元素组合形成数据向量表;将所述数据向量表与可疑样本库匹配,若成功匹配,则判定所述网络数据为可疑数据,否则判定为安全数据;基于已知恶意代码检测策略对可疑数据进行检测,并反馈检测结果。本发明专利技术还公开了一种基于关键字匹配的网络数据检测系统。本发明专利技术所述技术方案能够有效检测网络数据,尤其可以有效识别利用热点话题或者热点事件传播恶意代码的行为。
【技术实现步骤摘要】
本专利技术涉及网络安全
,尤其涉及一种基于关键字匹配的网络数据检测方法及系统。
技术介绍
网络上经常会针对热点话题和热点事件提供相应的网页链接或者下载资源。通常火热的讨论氛围或者好奇心会使得人们放松警惕。同时,有的黑客在提供下载资源的同时,会提示用户:文件包含破解文件,可能会被杀毒软件误杀,所以最好关闭杀毒软件,否则无法正常下载。所以有很多网民会抱着侥幸心理,顺从的关闭杀毒软件,从而进入挂马网站或者钓鱼网站,但是毫不知情。传统进行网络检测的方法会占用大量的系统资源,并耗费较长时间进行检测。
技术实现思路
本专利技术所述的技术方案通过对获取的网络数据进行拆分,从而获取数据元素,基于预设规则将所述数据元素组合成数据向量表,将所述数据向量表与预先准备的可疑样本库进行匹配,从而判断是否是可疑数据。本专利技术所述的方法与传统的网络数据检测方法不同,首先通过匹配判断网络数据是否是可疑数据,如果是可疑数据再利用恶意代码检测方法进行检测。从而可以有效定位可疑数据,并避免占用过多资源和检测时间长的问题。本专利技术采用如下方法来实现:一种基于关键字匹配的网络数据检测方法,包括: 获取网络数据; 将所述网络数据与白名单匹配,若成功匹配,则判定所述网络数据为安全数据,否则,将所述网络数据与黑名单匹配,若成功匹配,则判定所述网络数据为恶意数据; 基于语义库和知识库对没有成功匹配的网络数据进行拆分后获取数据元素; 基于预设规则将数据元素组合形成数据向量表; 将所述数据向量表与可疑样本库匹配,若成功匹配,则判定所述网络数据为可疑数据,否则判定为安全数据; 基于已知恶意代码检测策略对可疑数据进行检测,并反馈检测结果; 所述可疑样本库中包含基于预设规则形成的用于可疑数据检测的关键字。进一步地,所述获取网络数据包括:通过敏感URL获取网络数据,或者当监测到存在流量异常时获取网络数据。进一步地,所述基于预设规则将数据元素组合形成数据向量表,包括: 为每个数据元素设置权值,并计算每个数据元素的hash值,对所述hash值进行加权合并后形成数据向量表。更进一步地,所述将所述数据向量表与可疑样本库进行匹配,若成功匹配,则判定所述网络数据为可疑数据,否则判定为安全数据,具体为:将所述数据向量表与可疑样本库中的关键字进行对比,判断是否存在关键字与数据向量表的相似度达到预设值以上,若存在,则判定所述网络数据为可疑数据,否则判定为安全数据。进一步地,所述将所述数据向量表与可疑样本库进行匹配,若成功匹配,则判定所述网络数据为可疑数据,否则判定为安全数据,具体为: 将所述数据向量表与可疑样本库进行对比,判断在可疑样本库中出现的数据元素个数与数据向量表中的数据元素总数的比值是否超过预设值,若是,则判定所述网络数据为可疑数据,否则判定为安全数据。进一步地,所述白名单包括:各官方网站URL或者新闻媒体网站URL。本专利技术可以采用如下系统来实现:一种基于关键字匹配的网络数据检测系统,包括: 数据获取模块,用于获取网络数据; 黑白名单过滤模块,用于将所述网络数据与白名单匹配,若成功匹配,则判定所述网络数据为安全数据,否则,将所述网络数据与黑名单匹配,若成功匹配,则判定所述网络数据为恶意数据; 数据拆分模块,用于基于语义库和知识库对没有成功匹配的网络数据进行拆分后获取数据元素; 数据处理模块,用于基于预设规则将数据元素组合形成数据向量表; 判定模块,用于将所述数据向量表与可疑样本库匹配,若成功匹配,则判定所述网络数据为可疑数据,否则判定为安全数据; 检测模块,用于基于已知恶意代码检测策略对可疑数据进行检测,并反馈检测结果; 可疑样本库,用于存储基于预设规则形成的用于可疑数据检测的关键字。进一步地,所述数据获取模块,具体用于:通过敏感URL获取网络数据,或者当监测到存在流量异常时获取网络数据。进一步地,所述数据处理模块,具体用于: 为每个数据元素设置权值,并计算每个数据元素的hash值,对所述hash值进行加权合并后形成数据向量表。更进一步地,所述判定模块,具体用于: 将所述数据向量表与可疑样本库中的关键字进行对比,判断是否存在关键字与数据向量表的相似度达到预设值以上,若存在,则判定所述网络数据为可疑数据,否则判定为安全数据。进一步地,所述判定模块,具体用于: 将所述数据向量表与可疑样本库进行对比,判断在可疑样本库中出现的数据元素个数与数据向量表中的数据元素总数的比值是否超过预设值,若是,则判定所述网络数据为可疑数据,否则判定为安全数据。进一步地,所述白名单包括:各官方网站URL或者新闻媒体网站URL。综上,本专利技术给出一种基于关键字匹配的网络数据检测方法及系统,首先基于异常网络行为提取网络数据,经过黑白名单过滤后,将所述网络数据进行拆分,提取对识别恶意网络数据有帮助的数据元素,基于预设规则对所述数据元素进行处理后形成数据向量表,将数据向量表与可疑样本库进行匹配,进而判断是否是可疑数据。有益效果为:本专利技术所述技术方案在无人干预的条件下,主动发现恶意网络数据,以最快的速度定位恶意数据来源,达到恶意样本预警的目的。【附图说明】为了更清楚地说明本专利技术的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种基于关键字匹配的网络数据检测方法实施例流程图; 图2为本专利技术提供的一种基于关键字匹配的网络数据检测系统实施例结构图。【具体实施方式】本专利技术给出了一种基于关键字匹配的网络数据检测方法及系统实施例,为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明: 本专利技术首先提供了一种基于关键字匹配的网络数据检测方法实施例,如图1所示,包括: S101获取网络数据; S102将所述网络数据与白名单进行匹配,并判断是否成功匹配,若是,则判定所述网络数据为安全数据,否则执行S103 ; S103将所述网络数据与黑名单进行匹配,并判断是否成功匹配,若是,则判定所述网络数据为恶意数据,否则执行S104 ; S104基于语义库和知识库对没有成功匹配的网络数据进行拆分后获取数据元素; S105基于预设规则将数据元素组合形成数据向量表; S106将所述数据向量表与可疑样本库进行匹配,并判断是否成功匹配,若是,则判定所述网络数据为可疑数据,继续执行S107,否则判定为安全数据,结束; S107基于已知恶意代码检测策略对可疑数据进行检测,并反馈检测结果; 所述可疑样本库中包含基于预设规则形成的用于可疑数据检测的关键字。优选地,所述获取网络数据,包括:通过敏感URL获取网络数据,或者当监测到存在流量异常时获取网络数据。优选地,所述白名单包括:各官方网站URL或者新闻媒体网站URL。优选地,所述基于预设规则将数据元素组合形成数据向量表,包括: 为每个数据元素设置权值,并计算每个数据元素的hash值,对所述hash值进行加权合并后形成数据向量表。更为优选地,所述将所述数据向本文档来自技高网...
【技术保护点】
一种基于关键字匹配的网络数据检测方法,其特征在于:获取网络数据;将所述网络数据与白名单匹配,若成功匹配,则判定所述网络数据为安全数据,否则,将所述网络数据与黑名单匹配,若成功匹配,则判定所述网络数据为恶意数据;基于语义库和知识库对没有成功匹配的网络数据进行拆分后获取数据元素;基于预设规则将数据元素组合形成数据向量表;将所述数据向量表与可疑样本库匹配,若成功匹配,则判定所述网络数据为可疑数据,否则判定为安全数据;基于已知恶意代码检测策略对可疑数据进行检测,并反馈检测结果;所述可疑样本库中包含基于预设规则形成的用于可疑数据检测的关键字。
【技术特征摘要】
【专利技术属性】
技术研发人员:李晓利,李柏松,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。