数据处理方法、数据处理装置及相关设备制造方法及图纸

本申请公开一种数据处理方法、数据处理装置及相关设备。漏洞探测设备基于标记特征值生成访问请求，向目标设备发送访问请求，能够实现对目标设备的漏洞探测；另外，漏洞探测设备基于标记特征值生成的访问请求包含标记特征值的全部或部分，使得网络安全设备能够将漏洞探测设备发送的访问请求所触发的针对目标设备的入侵行为确定为探测行为，从而使得网络安全设备不针对漏洞探测设备发起的探测行为进行告警，从而降低技术人员的工作量，缓解或解决黑客发起的入侵行为不能被及时处理的问题。

【技术实现步骤摘要】
数据处理方法、数据处理装置及相关设备
本申请属于网络安全
，尤其涉及一种数据处理方法、数据处理装置及相关设备。
技术介绍
随着互联网技术的发展，在网络中出现越来越多的服务，用户通过网络可随时随地的获取服务，人们获取网络服务的途径越来越便捷。同时，网络服务中存在的漏洞也越来越容易被黑客所利用，进而导致网络服务被非法入侵，导致诸如用户数据被泄露等问题。漏洞探测设备是一种主动对网络服务的漏洞进行探测的设备，能够对系统(如服务器)的安全性进行检测，从而发现系统存在的漏洞，以便技术人员对系统进行改进，以提高系统的安全性。另外，为了提高系统的安全性，通常会布置网络安全设备，以减少黑客对系统的非法入侵。但是，漏洞探测设备的探测行为会被网络安全设备识别为入侵行为，从而进行告警，而技术人员需要针对网络安全设备的告警进行处理。当漏洞探测设备的探测行为引起网络安全设备的大量告警时，会给技术人员带来极大的工作量，而且也容易延误针对黑客的入侵行为的处理。
技术实现思路
有鉴于此，本申请的目的在于提供一种数据处理方法、数据处理装置、漏洞探测设备及网络安全设备，使得网络安全设备能够识别出漏洞探测设备针对目标设备的探测行为，从而解决现有技术中漏洞探测设备的探测行为引起网络安全设备告警的问题。为实现上述目的，本申请提供如下技术方案：本申请提供一种数据处理方法，应用于漏洞探测设备，所述数据处理方法包括：获得标记特征值；基于所述标记特征值生成访问请求，所述访问请求包含所述标记特征值的全部或部分；向目标设备发送所述访问请求，以实现对所述目标设备的漏洞探测，其中，所述标记特征值使得网络安全设备将所述访问请求所触发的针对所述目标设备的入侵行为确定为探测行为，所述网络安全设备不针对探测行为进行告警。可选的，所述基于所述标记特征值生成访问请求，包括：基于所述标记特征值生成M个端口访问请求，其中，每个端口访问请求中的目标端口号为所述标记特征值的一部分，且所述M个端口访问请求中的目标端口号不同，M为大于1的整数；所述向目标设备发送所述访问请求，包括：在第一时间段内向所述目标设备发送所述M个端口访问请求，以使得所述网络安全设备将所述M个端口访问请求、以及所述漏洞探测设备在所述第一时间段之后的预设时间段内向所述目标设备发送的端口访问请求所触发的入侵行为确定为探测行为。可选的，所述基于所述标记特征值生成访问请求，包括：基于所述标记特征值生成N个账号登录请求，其中，每个账号登录请求中的账户名为所述标记特征值的一部分，且所述N个账号登录请求中的账户名不同，N为大于1的整数；所述向目标设备发送所述访问请求，包括：在第二时间段内向所述目标设备发送所述N个账号登录请求，以使得所述网络安全设备将所述N个账号登录请求、以及所述漏洞探测设备在所述第二时间段之后的预设时间段内向所述目标设备发送的账号登录请求所触发的入侵行为确定为探测行为。可选的，所述基于所述标记特征值生成访问请求，包括：基于所述标记特征值生成系统访问请求，所述系统访问请求的数据包载荷包括所述标记特征值；所述向目标设备发送所述访问请求，包括：向所述目标设备发送所述系统访问请求，以使得所述网络安全设备将所述系统访问请求所触发的入侵行为确定为探测行为。可选的，所述基于所述标记特征值生成访问请求，包括：基于所述标记特征值生成web服务访问请求，所述web服务访问请求的URL和/或User-Agent包含所述标记特征值；所述向目标设备发送所述访问请求，包括：向所述目标设备发送所述web服务访问请求，以使得所述网络安全设备将所述web服务访问请求所触发的入侵行为确定为探测行为。本申请还提供一种数据处理方法，应用于网络安全设备，所述数据处理方法包括：当检测到入侵行为时，获得所述入侵行为的关联数据；对所述入侵行为的关联数据进行分析，如果所述关联数据包含标记特征值的部分或全部，则确定所述入侵行为是漏洞探测设备的探测行为；其中，所述网络安全设备不针对漏洞探测设备的探测行为进行告警。可选的，当所述入侵行为是端口入侵行为时，获得所述入侵行为的关联数据，包括：获得与所述端口入侵行为关联的端口访问请求；所述对所述入侵行为的关联数据进行分析，包括：如果在第一时间段内接收到M个端口访问请求，且所述M个端口访问请求中的源IP相同，所述M个端口访问请求中的目标IP相同，所述M个端口访问请求中的目标端口号为所述标记特征值的一部分，则确定所述M个端口访问请求、以及在所述第一时间段之后的预设时间段内接收到的包含所述源IP和所述目标IP的端口访问请求所触发的端口入侵行为是探测行为；其中，M为大于1的整数。可选的，当所述入侵行为是账号入侵行为时，获得所述入侵行为的关联数据，包括：获得与所述账号入侵行为关联的账号登录请求；所述对所述入侵行为的关联数据进行分析，包括：如果在第二时间段内接收到N个账号登录请求，且所述N个账号登录请求中的源IP相同，所述N个账号登录请求中的目标IP相同，所述N个账号登录请求中的账户名为所述标记特征值的一部分，则确定所述N个账号登录请求、以及在所述第二时间段之后的预设时间段内接收到的包含所述源IP和所述目标IP的账号登录请求所触发的账号入侵行为是探测行为；其中，N为大于1的整数。可选的，当所述入侵行为是系统入侵行为时，获得所述入侵行为的关联数据，包括：获得与所述系统入侵行为关联的系统访问请求；所述对所述入侵行为的关联数据进行分析，包括：如果所述系统访问请求的数据包载荷包含所述标记特征值，则确定所述系统访问请求所触发的系统入侵行为是探测行为。可选的，当所述入侵行为是web服务入侵行为时，获得所述入侵行为的关联数据，包括：获得与所述web服务入侵行为关联的web服务访问请求；所述对所述入侵行为的关联数据进行分析，包括：如果所述web服务访问请求的URL和User-Agent中的至少一个包含所述标记特征值，则确定所述web服务访问请求所触发的web服务入侵行为是探测行为。本申请还提供一种数据处理装置，应用于漏洞探测设备，所述数据处理装置包括：标记特征值获取单元，用于获得标记特征值；访问请求生成单元，基于所述标记特征值生成访问请求，所述访问请求包含所述标记特征的全部或部分；访问请求发送单元，用于向目标设备发送所述访问请求，以实现对所述目标设备的漏洞探测，其中，所述标记特征值使得网络安全设备将所述访问请求所触发的针对所述目标设备的入侵行为确定为探测行为，所述网络安全设备不针对探测行为进行告警。本申请还提供一种数据处理装置，应用于网络安全设备，所述数据处理装置包括：数据获取单元，用于当检测到入侵行为时，获得所述入侵行为的关联数据；分析单元，用于对所述入侵行为的关联数据进行分析，如果所述关本文档来自技高网...

【技术保护点】
1.一种数据处理方法，应用于漏洞探测设备，其特征在于，所述数据处理方法包括：/n获得标记特征值；/n基于所述标记特征值生成访问请求，所述访问请求包含所述标记特征值的全部或部分；/n向目标设备发送所述访问请求，以实现对所述目标设备的漏洞探测，其中，所述标记特征值使得网络安全设备将所述访问请求所触发的针对所述目标设备的入侵行为确定为探测行为，所述网络安全设备不针对探测行为进行告警。/n

【技术特征摘要】
1.一种数据处理方法，应用于漏洞探测设备，其特征在于，所述数据处理方法包括：
获得标记特征值；
基于所述标记特征值生成访问请求，所述访问请求包含所述标记特征值的全部或部分；
向目标设备发送所述访问请求，以实现对所述目标设备的漏洞探测，其中，所述标记特征值使得网络安全设备将所述访问请求所触发的针对所述目标设备的入侵行为确定为探测行为，所述网络安全设备不针对探测行为进行告警。


2.根据权利要求1所述的数据处理方法，其特征在于，所述基于所述标记特征值生成访问请求，包括：
基于所述标记特征值生成M个端口访问请求，其中，每个端口访问请求中的目标端口号为所述标记特征值的一部分，且所述M个端口访问请求中的目标端口号不同，M为大于1的整数；
所述向目标设备发送所述访问请求，包括：
在第一时间段内向所述目标设备发送所述M个端口访问请求，以使得所述网络安全设备将所述M个端口访问请求、以及所述漏洞探测设备在所述第一时间段之后的预设时间段内向所述目标设备发送的端口访问请求所触发的入侵行为确定为探测行为。


3.根据权利要求1所述的数据处理方法，其特征在于，所述基于所述标记特征值生成访问请求，包括：
基于所述标记特征值生成N个账号登录请求，其中，每个账号登录请求中的账户名为所述标记特征值的一部分，且所述N个账号登录请求中的账户名不同，N为大于1的整数；
所述向目标设备发送所述访问请求，包括：
在第二时间段内向所述目标设备发送所述N个账号登录请求，以使得所述网络安全设备将所述N个账号登录请求、以及所述漏洞探测设备在所述第二时间段之后的预设时间段内向所述目标设备发送的账号登录请求所触发的入侵行为确定为探测行为。


4.根据权利要求1所述的数据处理方法，其特征在于，所述基于所述标记特征值生成访问请求，包括：
基于所述标记特征值生成系统访问请求，所述系统访问请求的数据包载荷包括所述标记特征值；
所述向目标设备发送所述访问请求，包括：
向所述目标设备发送所述系统访问请求，以使得所述网络安全设备将所述系统访问请求所触发的入侵行为确定为探测行为。


5.根据权利要求1所述的数据处理方法，其特征在于，所述基于所述标记特征值生成访问请求，包括：
基于所述标记特征值生成web服务访问请求，所述web服务访问请求的统一资源定位符URL和/或用户代理User-Agent包含所述标记特征值；
所述向目标设备发送所述访问请求，包括：
向所述目标设备发送所述web服务访问请求，以使得所述网络安全设备将所述web服务访问请求所触发的入侵行为确定为探测行为。


6.一种数据处理方法，应用于网络安全设备，其特征在于，所述数据处理方法包括：
当检测到入侵行为时，获得所述入侵行为的关联数据；
对所述入侵行为的关联数据进行分析，如果所述关联数据包含标记特征值的部分或全部，则确定所述入侵行为是漏洞探测设备的探测行为；
其中，所述网络安全设备不针对漏洞探测设备的探测行为进行告警。


7.根据权利要求6所述的数据处理方法，其特征在于，当所述入侵行为是端口入侵行为时，获得所述入侵行为的关联数据，包括：获得与所述端口入侵行为关联的端口访问请求；
所述对所述入侵行为的关联数据进行分析，包括：
如果在第一时间段内接收到M个端口访问请求，且所述M个端口访问请求中的源...

【专利技术属性】
技术研发人员：张煜，刘佳杰，伍宇波，王国义，孙英明，茅冬梅，王敏锋，夏炜，
申请(专利权)人：中国农业银行股份有限公司，
类型：发明
国别省市：北京;11