数据处理方法、装置、服务器及存储介质与流程

1.本技术属于计算机技术领域，尤其涉及数据处理方法、装置、服务器及存储介质。


背景技术：

2.随着互联网技术的发展，互联网上活跃的网络组织也越来越多，不同的网络组织的目的通常不一样，例如，搜索引擎组织的目的通常是搜索信息，恶意组织的目的通常是传播病毒。
3.相关技术中，若对各网络组织监管不到位，容易出现网络安全问题，造成网络安全隐患。


技术实现要素：

4.本技术实施例提供了一种数据处理方法、装置、服务器及存储介质，可以解决相关技术中，对各网络组织监管不到位，造成网络安全隐患的问题。
5.本技术实施例的第一方面提供了一种数据处理方法，包括：
6.在检测到目标蜜罐设备被访问时，获取访问目标蜜罐设备的网络组织的目标访问信息，其中，目标访问信息包括目标访问地址；
7.从预先存储的组织信息集中，查找与目标访问地址相匹配的组织信息，将查找到的组织信息记作目标组织信息，其中，组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址；
8.从当前显示的多个可视图中，确定与目标组织信息所包括的组织类型相对应的可视图，记作目标可视图，以及根据目标访问信息对目标可视图进行更新。
9.进一步地，方法还包括：
10.若目标访问信息还包括访问协议信息，则在组织信息集中不存在与目标访问地址相匹配的组织信息时，从访问协议信息中提取组织标识信息；
11.根据组织标识信息生成目标组织名称，根据目标组织名称在组织信息集中的存在状态，将目标访问地址存入组织信息集。
12.进一步地，根据目标组织名称在组织信息集中的存储状态，将目标访问地址存入组织信息集，包括：
13.若存在状态指示组织信息集中存在与目标组织名称相匹配的组织信息，则将目标访问地址存入相匹配的组织信息中的访问地址位置；
14.若存在状态指示组织信息集中不存在与目标组织名称相匹配的组织信息，则根据目标组织名称和目标访问地址生成组织信息，以及将所生成的组织信息存入组织信息集。
15.进一步地，方法还包括：
16.在检测到网络组织向目标蜜罐设备发送网络文件时，将网络组织的组织类型确定为恶意组织类型，以及将网络文件确定为目标病毒文件；
17.获取目标病毒文件，以及根据目标病毒文件，确定目标病毒文件对应的目标源头
组织地址；
18.根据目标病毒文件，给网络组织生成组织名称，根据所生成的组织名称、网络组织的组织类型和目标源头组织地址，生成组织信息存入组织信息集。
19.进一步地，若组织信息集中的组织信息还包括源头组织地址，则根据所生成的组织名称、网络组织的组织类型和目标源头组织地址，生成组织信息存入组织信息集，包括：
20.在组织信息集中存在与所生成的组织名称相匹配的组织信息时，将目标源头组织地址存入相匹配的组织信息中的源头组织地址位置；
21.在组织信息集中不存在与所生成的组织名称相匹配的组织信息时，将所生成的组织名称、网络组织的组织类型和目标源头组织地址，组合生成组织信息存入组织信息集。
22.进一步地，方法还包括：
23.根据目标病毒文件的文件信息，确定目标病毒文件与预先存储的病毒文件集中各病毒文件的相似程度，得到目标相似程度，其中，文件信息包括以下至少一项：文件内容，文件标题，文件特征值；
24.在目标相似程度满足预设相似条件时，将目标病毒文件存入病毒文件集。
25.进一步地，方法还包括：
26.向目标网络组织中的管理服务器发送信息获取请求，以及接收目标网络组织通过目标节点返回的查询结果信息，其中，信息获取请求用于获取目标网络组织访问目标蜜罐设备所得到的访问结果信息，查询结果信息包括访问结果信息和目标节点的节点地址；
27.在组织信息集中不存在与节点地址相匹配的组织信息时，将节点地址存入对应于目标网络组织的组织信息中的访问地址位置。
28.本技术实施例的第二方面提供了一种数据处理的装置，包括：
29.地址获取单元，用于在检测到目标蜜罐设备被访问时，获取访问目标蜜罐设备的网络组织的目标访问信息，其中，目标访问信息包括目标访问地址；
30.信息匹配单元，用于从预先存储的组织信息集中，查找与目标访问地址相匹配的组织信息，将查找到的组织信息记作目标组织信息，其中，组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址；
31.信息呈现单元，用于从当前显示的多个可视图中，确定与目标组织信息所包括的组织类型相对应的可视图，记作目标可视图，以及根据目标访问信息对目标可视图进行更新。
32.本技术实施例的第三方面提供了一种服务器，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现第一方面提供的数据处理方法的各步骤。
33.本技术实施例的第四方面提供了一种存储介质，存储介质存储有计算机程序，计算机程序被处理器执行时实现第一方面提供的数据处理方法的各步骤。
34.实施本技术实施例提供的数据处理方法、装置、服务器及存储介质具有以下有益效果：首先，在检测到目标蜜罐设备被访问时，获取访问目标蜜罐设备的网络组织的目标访问信息，其中，目标访问信息包括目标访问地址。然后，从预先存储的组织信息集中，查找与目标访问地址相匹配的组织信息，将查找到的组织信息记作目标组织信息，其中，组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址。最后，从当前显示
的多个可视图中，确定与目标组织信息所包括的组织类型相对应的可视图，记作目标可视图，以及根据目标访问信息对目标可视图进行更新。通过及时获取对访问目标蜜罐设备的各种组织类型的网络组织的访问信息，可以实现及时掌握各网络组织的动态，有助于实现对各网络组织进行及时准确地监管。另外，对访问目标蜜罐设备的各种组织类型的网络组织的访问信息以组织类型为区分，进行分类呈现，可以将各种组织类型的网络组织的访问情况进行直观呈现，有助于提高对网络组织进行监管的效率和准确率，从而提高网络安全。另外，对各组织类型对应的可视图进行及时更新，可以实现更加准确地将各种组织类型的网络组织的访问情况进行直观呈现。
附图说明
35.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
36.图1是本技术一实施例提供的一种数据处理方法的实现流程图；
37.图2是本技术一实施例提供的一种确定目标源头组织地址的实现流程图；
38.图3是本技术一实施例提供的一种更新病毒文件集的实现流程图；
39.图4是本技术一实施例提供的一种更新组织信息的实现流程图；
40.图5是本技术一实施例提供的数据处理装置的结构框图；
41.图6是本技术一实施例提供的服务器的结构框图。
具体实施方式
42.以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本技术实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本技术。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本技术的描述。
43.应当理解，当在本技术说明书和所附权利要求书中使用时，术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
44.如在本技术说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
[0045]
在本技术说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本技术的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此，在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例，而是意味着“一个或多个但不是所有的实施例”，除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。
[0046]
为了说明本技术的技术方案，下面通过以下实施例来进行说明。
[0047]
请参阅图1，图1示出了本技术一实施例提供的一种数据处理方法的实现流程图，包括：
[0048]
步骤101，在检测到目标蜜罐设备被访问时，获取访问目标蜜罐设备的网络组织的目标访问信息。
[0049]
其中，上述目标蜜罐设备通常是预先设定的蜜罐设备，蜜罐设备通常是指作为诱饵的主机、服务器等设备。
[0050]
其中，网络组织通常是指入侵目标蜜罐设备的互联网组织。
[0051]
其中，上述目标访问信息包括目标访问地址。目标访问地址可以是网络组织对应的ip地址，也可以是网络组织对应的域名，还可以是网络组织对应的ip地址和域名的组合。目标访问信息通常是指当前获取的访问信息，访问信息通常是网络组织的相关信息，如网络组织的端口，目标访问地址通常是目标访问信息中所包括的访问地址，访问地址通常是网络组织对应的地址，如网络组织的ip地址。
[0052]
在本实施例中，上述数据处理方法的执行主体通常是服务器。需要说明的是，服务器可以是硬件，也可以是软件。当服务器为硬件时，可以实现成多个服务器组成的分布式服务器集群，也可以实现成单个服务器。当服务器为软件时，可以实现成多个软件或软件模块，也可以实现成单个软件或软件模块。在此不做具体限定。
[0053]
实践中，蜜罐设备通常会设置开放端口供网络组织进行连接或者扫描，若存在网络流量通过开放的端口流入或者流出蜜罐设备，则表示蜜罐设备被网络组织访问。上述执行主体可以通过检测目标蜜罐设备中的网络流量来检测目标蜜罐被访问，也可以通过检测到目标蜜罐设备的开放端口被连接来检测目标蜜罐设备被访问。
[0054]
在目标蜜罐设备被访问后，目标蜜罐设备可以生成访问目标蜜罐设备的网络组织对应的目标访问信息，上述执行主体可以通过向目标蜜罐设备发送指令的方式，获取访问目标蜜罐设备的网络组织对应的目标访问信息，也可以通过目标蜜罐设备被访问后，自动将访问的网络组织对应的目标访问信息发送到上述执行主体的方式，获取访问目标蜜罐设备的网络组织对应的目标访问信息。
[0055]
作为一个示例，可以将目标访问信息中的目标访问地址设置成网络组织对应的ip地址，当ip地址为1.2.3.4的网络组织通过目标蜜罐设备的21端口访问目标蜜罐设备时，目标蜜罐设备可以生成“ip地址为1.2.3.4”的目标访问信息，将目标访问信息发送到上述执行主体。
[0056]
步骤102，从预先存储的组织信息集中，查找与目标访问地址相匹配的组织信息，将查找到的组织信息记作目标组织信息。
[0057]
其中，组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址。组织类型通常为搜索引擎组织类型、网络测绘组织类型、恶意组织类型中的一种。
[0058]
实践中，上述执行主体在获取到访问目标蜜罐设备的网络组织对应的目标访问地址后，可以将获取到的目标网络地址与预先存储的组织信息集中各个组织信息相对应的访问地址进行比较查找，将与目标访问地址相同的访问地址对应的组织信息记作目标组织信息。作为一个示例，访问目标蜜罐设备的网络组织对应的目标访问地址为1.2.3.4，将目标访问地址1.2.3.4与组织信息集中的组织信息对应的访问地址进行比较查找，找到组织信
息1：(组织类型：搜索引擎组织类型；组织名称：aa；访问地址：1.2.3.4，1.2.3.5)对应的访问地址中包括与目标访问地址相同，将组织信息1记作目标组织信息。
[0059]
步骤103，从当前显示的多个可视图中，确定与目标组织信息所包括的组织类型相对应的可视图，记作目标可视图，以及根据目标访问信息对目标可视图进行更新。
[0060]
这里，每个组织类型通常对应一个可视图，例如，搜索引擎组织对应搜索引擎组织可视图，网络测绘组织对应网络测绘组织可视图。上述执行主体找到目标组织信息后，可以将目标组织信息中的组织类型作为网络组织的组织类型，通过组织类型确定相应的可视图，对可视图进行更新。实践中，上述执行主体可以将网络组织的目标访问信息输入预先设定的信息呈现模板，生成网络组织的目标访问信息对应的子可视图，将生成的子可视图与网络组织的组织类型对应的主可视图进行拼接，也可以通过网络组织的目标访问信息对可视图的内容进行更新。作为一个示例，若网络组织的组织类型确定为搜索引擎组织类型，则采用网络组织对应的目标访问信息，对搜索引擎组织可视图进行更新，例如，对搜索引擎组织可视图中的目标访问地址的访问次数进行更新，目标访问信息还可以包括访问时间，通过访问时间对搜索引擎组织可视图中的最新访问时间进行更新。
[0061]
本实施例提供的数据处理方法，首先，在检测到目标蜜罐设备被访问时，获取访问目标蜜罐设备的网络组织的目标访问信息，其中，目标访问信息包括目标访问地址。然后，从预先存储的组织信息集中，查找与目标访问地址相匹配的组织信息，将查找到的组织信息记作目标组织信息，其中，组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址。最后，从当前显示的多个可视图中，确定与目标组织信息所包括的组织类型相对应的可视图，记作目标可视图，以及根据目标访问信息对目标可视图进行更新。通过及时获取对访问目标蜜罐设备的各种组织类型的网络组织的访问信息，可以实现及时掌握各网络组织的动态，有助于实现对各网络组织进行及时准确地监管。另外，对访问目标蜜罐设备的各种组织类型的网络组织的访问信息以组织类型为区分，进行分类呈现，可以将各种组织类型的网络组织的访问情况进行直观呈现，有助于提高对网络组织进行监管的效率和准确率，从而提高网络安全。另外，对各组织类型对应的可视图进行及时更新，可以实现更加准确地将各种组织类型的网络组织的访问情况进行直观呈现。
[0062]
在本实施例的一些可选的实现方式中，上述执行主体可以将组织信息集通过可视图的方式呈现，在获取到网络组织的目标访问信息后，可以通过目标访问信息对组织信息集的可视图进行更新显示，可视图中可以包括网络组织的活跃趋势图，通过网络组织的活动趋势图了解网络组织的活动趋势，评估网络组织的威胁，提高系统的安全防护能力。
[0063]
在本实施例的一些可选的实现方式中，数据处理方法还可以包括如下步骤一至步骤二。
[0064]
步骤一，若目标访问信息还包括访问协议信息，则在组织信息集中不存在与目标访问地址相匹配的组织信息时，从访问协议信息中提取组织标识信息。
[0065]
其中，访问协议信息通常是指网络组织的网络通信协议信息，例如，超文本传输协议(hyper text transfer protocol，http)信息，基于安全套接字协议的超文本传输协议(hyper text transfer protocol over securesocket layer，https)信息。
[0066]
其中，组织标识信息通常是用于指示网络组织的名称的信息，例如，组织标识信息为xxspider对应的网络组织的名称为xx搜索引擎组织。
[0067]
其中，上述从访问协议信息中提取组织标识信息，可以是上述执行主体通过预设的关键字与访问协议信息进行关键字匹配，将访问协议信息中与关键字相匹配的片段作为组织标识信息提取出来，也可以是上述执行主体通过预设的提取规则，例如，提取协议信息中的预设位置的片段，从访问协议信息中提取组织标识信息。实践中，若提取到搜索引擎组织对应的组织标识信息，则确定网络组织是搜索引擎组织。这里，在不存在与目标访问地址相匹配的组织信息时，通过对访问协议信息与预设关键字进行匹配的方式，可以提高确定网络组织的组织类型的效率。
[0068]
作为一个示例，上述执行主体在获取到的目标访问信息还包括网络组织的https协议信息，组织信息集中不存在与目标问地址相匹配的组织信息时，可以对https协议信息中的用户代理信息进行关键字匹配，若匹配到用户代理信息中心包括预设的关键字如，spider，bot，则将含有关键字的片段提取出来作为网络组织的组织标识信息。进一步举例来说，预设关键字为spider，bot，若上述执行主体在对用户代理信息进行关键字匹配，匹配到包括spider的单词xxspider，则将xxspider提取出来作为网络组织的组织标识信息。
[0069]
步骤二，根据组织标识信息生成目标组织名称，根据目标组织名称在组织信息集中的存在状态，将目标访问地址存入组织信息集。
[0070]
实践中，上述执行主体在提取到网络组织的组织标识信息后，可以通过预设的命名规则生成目标组织名称，例如，将组织标识信息为xxspider的搜索引擎组织命名为xx搜索引擎，上述执行主体也可以直接将组织标识信息作为目标组织名称，例如，将组织标识信息为xxspider的搜索引擎组织命名为xxspider。
[0071]
在确定目标组织名称后，上述执行主体可以将生成的目标组织名称与组织信息集中的组织信息包括的组织名称进行匹配，得到目标组织名称在组织信息集中的存在状态，将目标访问地址存入组织信息集。这里，目标组组名称在组织信息集中的存在状态通常可以包括指示组织信息集中存在与目标组织名称相匹配的组织信息的状态，和指示组织信息集中不存在与目标组织名称相匹配的组织信息的状态。
[0072]
本实施例提供的数据处理方法，在组织信息集中不存在与目标访问地址相匹配的组织信息时，可以从访问协议信息中提取组织标识信息，通过组织标识信息生成组织名称，将目标访问地址存入组织信息集，提高数据处理的效率。
[0073]
在本实施例的一些可选的实现方式中，根据目标组织名称在组织信息集中的存储状态，将目标访问地址存入组织信息集，可以包括：
[0074]
若存在状态指示组织信息集中存在与目标组织名称相匹配的组织信息，则将目标访问地址存入相匹配的组织信息中的访问地址位置。
[0075]
这里，若存在状态指示组织信息集中存在与目标组织名称相匹配的组织信息，即组织信息集中包括与目标组织名称相同的组织信息，则表示目标组织名称对应的网络组织访问过目标蜜罐设备，上述执行主体可以将目标访问地址存入到相匹配的组织信息中的访问地址位置，即，将目标访问地址新增至组织信息中的访问地址位置。作为一个示例，预先存储的组织信息集中包括组织信息1：(组织类型：搜索引擎组织类型；组织名称：x搜索引擎；访问地址：1.2.3.0)，组织信息2：(组织类型：搜索引擎组织类型；组织名称：y搜索引擎；访问地址：1.2.3.1)。若网络组织对应的目标组织名称为x搜索引擎，目标组织地址为1.2.3.6，在预设的组织信息集中，存在与目标组织名称x搜索引擎相匹配的组织信息1，将
网络组织对应的目标组织地址1.2.3.6存入组织信息1的访问地址位置，得到存入信息后的组织信息1：(组织类型：搜索引擎组织类型；组织名称：x搜索引擎；访问地址：1.2.3.0，1.2.3.6)。
[0076]
若存在状态指示组织信息集中不存在与目标组织名称相匹配的组织信息，则根据目标组织名称和目标访问地址生成组织信息，以及将所生成的组织信息存入组织信息集。
[0077]
这里，若存在状态指示组织信息集中不存在与目标组织名称相匹配的组织信息，即组织信息集中不包括与目标组织名称相同的组织信息，则表示目标组织名称对应的网络组织没有访问过目标蜜罐设备，上述执行主体可以根据目标组织名称和目标访问地址生成组织信息，以及将所生成的组织信息存入组织信息集。作为一个示例，预先存储的组织信息集中包括组织信息1：(组织类型：搜索引擎组织类型；组织名称：x搜索引擎；访问地址：1.2.3.0)，组织信息2：(组织类型：搜索引擎组织类型；组织名称：y搜索引擎；访问地址：1.2.3.1)。若网络组织对应的目标组织名称为z搜索引擎，目标组织地址为1.2.3.7，在预设的组织信息集中，不存在与目标组织名称z搜索引擎相匹配的组织信息，则将目标组织名称z搜索引擎作为组织信息的组织名称，目标组织地址1.2.3.7作为组织信息的访问地址，生成组织信息3：(组织类型：搜索引擎组织类型；组织名称：z搜索引擎；访问地址：1.2.3.7)，将生成的组织信息3存入组织信息集。
[0078]
本实施例提供的数据处理方法，通过目标组织名称在组织信息集中的存储状态，将目标访问地址存入组织信息集，对组织信息集的组织信息进行更新，有利于获取各个网络组织的活动程度与活跃趋势，针对活跃程度与趋势，制定相应的防范措施，有助于针对性的提高系统的安全防护能力。
[0079]
请参阅图2，图2示出了本技术一实施例提供的一种确定目标源头组织地址的实现流程图，包括：
[0080]
步骤201，在检测到网络组织向目标蜜罐设备发送网络文件时，将网络组织的组织类型确定为恶意组织类型，以及将网络文件确定为目标病毒文件。
[0081]
实践中，恶意组织往往以病毒文件为载体进行病毒传播，上述执行主体可以通过实时或者按照预设周期对目标蜜罐设备中的文件进行扫描，若检测到目标蜜罐设备中新增了网络文件或者目标蜜罐设备中原有的文件被改动，则视为检测到网络组织向目标蜜罐设备发送网络文件，将网络组织的组织类型确定为恶意组织类型，网络文件确定为目标病毒文件。
[0082]
步骤202，获取目标病毒文件，以及根据目标病毒文件，确定目标病毒文件对应的目标源头组织地址。
[0083]
其中，目标源头组织地址通常是指传播目标病毒文件的网络组织的地址。
[0084]
这里，上述执行主体可以通过向目标蜜罐设备发送获取病毒文件指令的方式，获取目标病毒文件，也可以直接获取目标蜜罐设备在接收到网络组织发送的网络文件后，主动向上述执行主体发送网络文件的方式，获取目标病毒文件。
[0085]
实践中，对于恶意组织的病毒文件，往往会通过多级传播，最终传播至目标蜜罐设备，目标蜜罐设备采集到的访问地址往往都是传播给目标蜜罐设备的传播设备的访问地址，不是恶意组织的源头组织地址。上述执行主体可以将目标病毒文件上传至预设的安全组件如沙箱中，对目标病毒文件进行分析确定目标病毒文件对应的目标源头组织地址。
[0086]
实践中，上述执行主体还可以通过沙箱对目标病毒文件进行静态分析和动态分析。其中，沙箱对目标病毒文件的静态分析可以包括分析目标病毒文件的静态基础信息如，目标病毒文件大小，目标病毒文件的运行环境。沙箱对目标病毒文件的动态分析可以包括，在沙箱环境中运行目标病毒文件，获取运行目标病毒文件产生的主机行为如，调用了a系统命令，进行了b程序安装，关闭了防火墙操作，以及获取运行目标病毒文件产生的网络行为如，访问了c网站，访问d网站下载了e资源。
[0087]
步骤203，根据目标病毒文件，给网络组织生成组织名称，根据所生成的组织名称、网络组织的组织类型和目标源头组织地址，生成组织信息存入组织信息集。
[0088]
其中，上述根据目标病毒文件，给网络组织生成组织名称，可以是上述执行通过预设的命名规则和目标病毒文件的名称，生成网络组织的组织名称，如，将目标病毒文件的文件名作为网络组织的组织名称，也可以是上述执行主体通过目标病毒文件的文件内容，确定目标病毒文件的特征值，将目标病毒文件对应的特征值作为网络组织的组织名称。
[0089]
这里，上述执行主体在生成网络组织的组织名称后，可以结合网络组织的组织类型和目标源头组织地址，采用组织信息的格式排列生成组织信息，存入组织信息集。其中，生成的组织名称对应组织信息中的组织名称，网络组织的组织类型对应组织信息中的组织类型，目标源头组织地址对应组织信息中的访问地址。
[0090]
本实施例提供的确定目标源头组织地址的方法，通过目标病毒文件，确定目标病毒文件对应的目标源头组织地址，对组织信息集中的恶意组织的组织信息进行更新，一方面有助于得到恶意组织的活动趋势，通过恶意组织的活动趋势可以制定更具有针对性的安全措施，另一方面也可以通过目标源头组织地址对恶意组织进行反击，提高系统的安全防护能力。
[0091]
在本实施例的一些可选的实现方式中，若组织信息集中的组织信息还包括源头组织地址，则根据所生成的组织名称、网络组织的组织类型和目标源头组织地址，生成组织信息存入组织信息集可以包括如下情况一和情况二：
[0092]
情况一，在组织信息集中存在与所生成的组织名称相匹配的组织信息时，将目标源头组织地址存入相匹配的组织信息中的源头组织地址位置。
[0093]
实践中，上述执行主体在生成网络组织的组织名称后，可以将生成的组织名称与组织信息集的组织信息对应的组织名称进行匹配，当组织信息集中匹配到与所生成的组织名称相同的组织信息时，将目标源头组织地址作为组织信息中的源头组织地址，存入相匹配的组织信息中的源头组织地址位置。作为一个示例，对于组织名称为病毒文件1、目标源头组织地址为1.2.2.2的网络组织，通过组织名称“病毒文件1”与组织信息集的组织信息对应的组织名称进行匹配，匹配到存在组织名称为“病毒文件1”的组织信息4：(组织类型：恶意组织；组织名称：病毒文件1；源头组织地址：1.2.2.1)，将目标源头组织地址1.2.2.2存入到组织信息4中的源头组织地址位置，得到组织信息4：(组织类型：恶意组织；组织名称：病毒文件1；源头组织地址：1.2.2.1，1.2.2.2)。
[0094]
情况二，在组织信息集中不存在与所生成的组织名称相匹配的组织信息时，将所生成的组织名称、网络组织的组织类型和目标源头组织地址，组合生成组织信息存入组织信息集。
[0095]
实践中，在组织信息集中不存在与所生成的组织名称相匹配的组织信息时，上述
执行主体可以采用所生成的组织名称、网络组织的组织类型和目标源头组织地址，组合生成组织信息存入组织信息集。作为一个示例，对于组织名称为病毒文件2、目标源头组织地址为1.2.2.3的网络组织，通过组织名称“病毒文件2”与组织信息集的组织信息对应的组织名称进行匹配，不存在组织名称为“病毒文件2”的组织信息，将生成的组织名称对应组织信息中的组织名称，网络组织的组织类型对应组织信息中的组织类型，目标源头组织地址对应组织信息中的源头组织地址，组合生成如下组织信息：(组织类型：恶意组织；组织名称：病毒文件2；源头组织地址：1.2.2.3)。
[0096]
请参阅图3，图3示出了本技术一实施例提供的一种更新病毒文件集的实现流程图，包括：
[0097]
步骤301，根据目标病毒文件的文件信息，确定目标病毒文件与预先存储的病毒文件集中各病毒文件的相似程度，得到目标相似程度。
[0098]
其中，文件信息包括以下至少一项：文件内容，文件标题，文件特征值。上述文件特征值通常是用于描述文件特征的信息。实践中，文件特征值可以实现为一个数值，也可以实现为一个向量，还可以实现为其它数据形式。作为一个示例，上述执行主体可以通过预设的文件特征值算法，如哈希算法，计算得到目标病毒文件的文件特征值。其中，哈希算法可以是md5，sha-1，sha-256中的至少一种。作为另一个示例，上述执行主体也可以通过词嵌入方法，如word2vec将目标病毒文件转换成相应的向量，将转换后的向量作为目标病毒文件的文件特征值。
[0099]
实践中，在得到目标病毒文件对应的文件特征值后，上述执行主体可以通过目标病毒文件与预先存储的病毒文件集中各病毒文件的哈希值的差值大小来确定二者之间的相似程度，通常哈希值越接近，表示目标病毒文件与相应的病毒文件越相似。上述执行主体也可以通过计算目标病毒文件对应的向量与病毒文件对应的向量之间的相似度，如两个向量之间的余弦相似度来确定二者之间的相似程度。
[0100]
步骤302，在目标相似程度满足预设相似条件时，将目标病毒文件存入病毒文件集。
[0101]
其中，预设相似条件通常是指预先设定的相似条件，例如，目标相似程度对应的相似度数值小于预设的相似度阈值，在通过文件的哈希值来确定病毒文件之间的相似度时，预设相似条件可以设置成哈希值不相等。
[0102]
实践中，上述执行主体在检测到目标相似程度满足预设相似条件时，通常表示目标病毒文件是首次出现在目标蜜罐设备中，可以将目标病毒文件存入病毒文件集。
[0103]
请参阅图4，图4示出了本技术一实施例提供的一种更新组织信息的实现流程图，包括：
[0104]
步骤401，向目标网络组织中的管理服务器发送信息获取请求，以及接收目标网络组织通过目标节点返回的查询结果信息。
[0105]
其中，目标网络组织通常是指网络空间普查与网络测绘组织，如，shodan，fofa、zoomeye、censys。
[0106]
其中，信息获取请求用于获取目标网络组织访问目标蜜罐设备所得到的访问结果信息，查询结果信息包括访问结果信息和目标节点的节点地址。
[0107]
这里，目标网络组织通过目标节点对目标蜜罐设备进行扫描时，目标蜜罐设备会
将访问结果信息和加密的特殊指纹片段作为查询结果信息返回给目标节点，目标节点将查询结果信息保存。其中，特殊指纹片段包括目标蜜罐设备的标识信息和扫描目标蜜罐设备的目标节点的节点地址。当目标网络组织中的管理服务器接收到信息获取请求时，将目标节点保存的查询结果信息进行展示。
[0108]
实践中，上述执行主体可以实时或者按照预设周期通过预设的查询规则向目标网络组织的管理服务器发送信息获取请求，查询到包括特殊指纹片段的查询结果信息，采用预设的解密方式对特殊指纹片段进行解密，得到目标节点的节点地址。
[0109]
作为一个示例，当目标网络组织x通过节点地址为1.1.1.1的目标节点扫描网页仿真目标蜜罐设备a时，目标蜜罐设备a将包含加密的特殊指纹片段“目标蜜罐设备a-1.1.1.1”的查询结果信息返回给目标节点1.1.1.1，目标节点1.1.1.1将查询结果信息保存。上述执行主体通过预设的查询规则向目标网络组织x的管理服务器发送信息获取请求，得到目标节点1.1.1.1保存的包含特殊指纹片段的查询结果信息，上述执行主体采用预设的解密方式对特殊指纹片段进行解密，得到目标节点的节点地址1.1.1.1。
[0110]
步骤402，在组织信息集中不存在与节点地址相匹配的组织信息时，将节点地址存入对应于目标网络组织的组织信息中的访问地址位置。
[0111]
这里，上述执行主体在得到目标节点的节点地址后，可以将节点地址与组织信息中的访问地址进行匹配，在组织信息集中不存在与节点地址相匹配的组织信息时，表示目标节点是首次扫描目标蜜罐设备的节点，将节点地址存入对应于目标网络组织的组织信息中的访问地址位置。作为一个示例，若目标节点的节点地址为1.3.3.3，组织信息集中不存在访问地址为1.3.3.3的组织信息，则将节点地址1.3.3.3存入到对应于目标网络组织的组织信息中的访问地址位置。
[0112]
本实施例提供的更新组织信息的方法，通过预设查询规则和解密方式，获取目标网络组织中目标节点的节点地址，并对相应的组织信息进行更新，有助于获取目标网络组织对目标蜜罐设备的活跃程度。
[0113]
在本实施例的一些可选的实现方式中，目标可视图呈现一下信息中的至少一项：
[0114]
搜索引擎组织总数，网络空间普查与网络测绘组织总数，恶意组织总数，网络组织的访问地址，目标蜜罐设备采集到的目标病毒样本，网络组织的发现时间，网络组织的最新活跃时间，网络组织的被采集次数。
[0115]
请参阅图5，图5是本技术一实施例提供的数据处理装置的结构框图，包括：
[0116]
地址获取单元501，用于在检测到目标蜜罐设备被访问时，获取访问目标蜜罐设备的网络组织的目标访问信息，其中，目标访问信息包括目标访问地址；
[0117]
信息匹配单元502，用于从预先存储的组织信息集中，查找与目标访问地址相匹配的组织信息，将查找到的组织信息记作目标组织信息，其中，组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址；
[0118]
信息呈现单元503，用于从当前显示的多个可视图中，确定与目标组织信息所包括的组织类型相对应的可视图，记作目标可视图，以及根据目标访问信息对目标可视图进行更新。
[0119]
作为本技术一实施例，装置还包括地址存入单元(图中未示出)。其中，地址存入单元，用于：
[0120]
若目标访问信息还包括访问协议信息，则在组织信息集中不存在与目标访问地址相匹配的组织信息时，从访问协议信息中提取组织标识信息；
[0121]
根据组织标识信息生成目标组织名称，根据目标组织名称在组织信息集中的存在状态，将目标访问地址存入组织信息集。
[0122]
作为本技术一实施例，地址存入单元中，根据目标组织名称在组织信息集中的存储状态，将目标访问地址存入组织信息集，包括：
[0123]
若存在状态指示组织信息集中存在与目标组织名称相匹配的组织信息，则将目标访问地址存入相匹配的组织信息中的访问地址位置；
[0124]
若存在状态指示组织信息集中不存在与目标组织名称相匹配的组织信息，则根据目标组织名称和目标访问地址生成组织信息，以及将所生成的组织信息存入组织信息集。
[0125]
作为本技术一实施例，装置还包括信息存入单元(图中未示出)。其中，信息存入单元，用于：
[0126]
在检测到网络组织向目标蜜罐设备发送网络文件时，将网络组织的组织类型确定为恶意组织类型，以及将网络文件确定为目标病毒文件；
[0127]
获取目标病毒文件，以及根据目标病毒文件，确定目标病毒文件对应的目标源头组织地址；
[0128]
根据目标病毒文件，给网络组织生成组织名称，根据所生成的组织名称、网络组织的组织类型和目标源头组织地址，生成组织信息存入组织信息集。
[0129]
作为本技术一实施例，信息存入单元中，若组织信息集中的组织信息还包括源头组织地址，则根据所生成的组织名称、网络组织的组织类型和目标源头组织地址，生成组织信息存入组织信息集，包括：
[0130]
在组织信息集中存在与所生成的组织名称相匹配的组织信息时，将目标源头组织地址存入相匹配的组织信息中的源头组织地址位置；
[0131]
在组织信息集中不存在与所生成的组织名称相匹配的组织信息时，将所生成的组织名称、网络组织的组织类型和目标源头组织地址，组合生成组织信息存入组织信息集。
[0132]
作为本技术一实施例，装置还包括文件存入单元(图中未示出)。其中，文件存入单元，用于：
[0133]
根据目标病毒文件的文件信息，确定目标病毒文件与预先存储的病毒文件集中各病毒文件的相似程度，得到目标相似程度，其中，文件信息包括以下至少一项：文件内容，文件标题，文件特征值；
[0134]
在目标相似程度满足预设相似条件时，将目标病毒文件存入病毒文件集。
[0135]
作为本技术一实施例，装置还包括节点存入单元(图中未示出)。其中，节点存入单元，用于：
[0136]
向目标网络组织中的管理服务器发送信息获取请求，以及接收目标网络组织通过目标节点返回的查询结果信息，其中，信息获取请求用于获取目标网络组织访问目标蜜罐设备所得到的访问结果信息，查询结果信息包括访问结果信息和目标节点的节点地址；
[0137]
在组织信息集中不存在与节点地址相匹配的组织信息时，将节点地址存入对应于目标网络组织的组织信息中的访问地址位置。
[0138]
本实施例提供的装置，首先，在检测到目标蜜罐设备被访问时，获取访问目标蜜罐
设备的网络组织的目标访问信息，其中，目标访问信息包括目标访问地址。然后，从预先存储的组织信息集中，查找与目标访问地址相匹配的组织信息，将查找到的组织信息记作目标组织信息，其中，组织信息集中的组织信息包括相对应的组织名称、组织类型和至少一个访问地址。最后，从当前显示的多个可视图中，确定与目标组织信息所包括的组织类型相对应的可视图，记作目标可视图，以及根据目标访问信息对目标可视图进行更新。通过及时获取对访问目标蜜罐设备的各种组织类型的网络组织的访问信息，可以实现及时掌握各网络组织的动态，有助于实现对各网络组织进行及时准确地监管。另外，对访问目标蜜罐设备的各种组织类型的网络组织的访问信息以组织类型为区分，进行分类呈现，可以将各种组织类型的网络组织的访问情况进行直观呈现，有助于提高对网络组织进行监管的效率和准确率，从而提高网络安全。另外，对各组织类型对应的可视图进行及时更新，可以实现更加准确地将各种组织类型的网络组织的访问情况进行直观呈现。
[0139]
应当理解的是，图5示出的数据处理装置的结构框图中，各单元用于执行图1至图4对应的实施例中的各步骤，而对于图1至图4对应的实施例中的各步骤已在上述实施例中进行详细解释，具体请参阅图1至图4以及图1至图4所对应的实施例中的相关描述，此处不再赘述。
[0140]
请参阅图6，图6是本技术一实施例提供的服务器的结构框图，该实施例的服务器600包括：处理器601、存储器602以及存储在存储器602中并可在处理器601上运行的计算机程序603，例如数据处理的程序。处理器601执行计算机程序603时实现上述各个数据处理各实施例中的步骤，例如图1所示的步骤101至步骤103，图2所示的步骤201至步骤203，图3所示的步骤301至步骤302，或者图4所示的步骤401至步骤402。或者，处理器601执行计算机程序603时实现上述图5对应的实施例中各单元的功能，例如，图5所示的单元501至503的功能，具体请参阅图5对应的实施例中的相关描述，此处不赘述。
[0141]
示例性的，计算机程序603可以被分割成一个或多个单元，一个或者多个单元被存储在存储器602中，并由处理器601执行，以完成本技术。一个或多个单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述计算机程序603在服务器600中的执行过程。例如，计算机程序603可以被分割成地址获取单元，信息匹配单元，信息呈现单元，各单元具体功能如上。
[0142]
服务器可包括，但不仅限于，处理器601、存储器602。本领域技术人员可以理解，图6仅仅是服务器600的示例，并不构成对服务器600的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如转台设备还可以包括输入输出设备、网络接入设备、总线等。
[0143]
所称处理器601可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现成可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
[0144]
存储器602可以是服务器600的内部存储单元，例如服务器600的硬盘或内存。存储器602也可以是服务器600的外部存储设备，例如服务器600上配备的插接式硬盘，智能存储
卡(smart media card，smc)，安全数字(secure digital，sd)卡，闪存卡(flash card)等。进一步地，存储器602还可以既包括服务器600的内部存储单元也包括外部存储设备。存储器602用于存储计算机程序以及转台设备所需的其他程序和数据。存储器602还可以用于暂时地存储已经输出或者将要输出的数据。
[0145]
另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0146]
集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，计算机程序包括计算机程序代码，计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括：能够携带计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。
[0147]
在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。
[0148]
以上所述实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的精神和范围，均应包含在本技术的保护范围之内。