一种基于数据块检测的告警方法、装置及设备与流程

1.本说明书实施例涉及信息安全技术领域，特别涉及一种基于数据块检测的告警方法、装置及设备。


背景技术：

2.随着互联网的发展，越来越多的业务转为线上处理的模式，相应的，不同公司、机构、组织的线上系统也得到了进一步的发展。而随着线上系统的发展，随之而来的安全风险和受攻击面也在不断上升，其中，尤其以木马病毒最为广泛。不法分子通过数据传输、文件上传等方式，在系统中植入木马病毒，进而导致数据窃取、系统瘫痪等后果，不仅造成巨大的直接经济损失，也影响了后续系统的有效运行。
3.而目前针对木马等病毒的识别往往只是基于现有的病毒特征进行识别，针对未曾发现的木马病毒，只能通过人工分析的方式进行识别，这样不仅大大增加了工作量，也不能保证识别准确性和有效性。因此，目前亟需一种能够准确有效地防范木马病毒注入的方法。


技术实现要素：

4.本说明书实施例的目的是提供一种基于数据块检测的告警方法、装置及设备，以解决如何实时有效地针对注入文件中的木马病毒进行防范的方法。
5.为了解决上述技术问题，本说明书实施例提出一种基于数据块检测的告警方法，包括：在接收到数据块检测请求的情况下，获取至少一个待测数据块；针对各个待测数据块分别计算对应的数据块散列值；将各个数据块散列值分别与对应于标准散列值进行比对；在检测到比对结果为不同的情况下，确定所述比对结果对应的待测数据块为异常数据块；结合所述异常数据块的数据表标识向管理人员终端发送告警信息。
6.本说明书实施例还提出一种基于数据块检测的告警装置，包括：待测数据块获取模块，用于在接收到数据块检测请求的情况下，获取至少一个待测数据块；数据块散列值计算模块，用于针对各个待测数据块分别计算对应的数据块散列值；散列值比对模块，用于将各个数据块散列值分别与对应于标准散列值进行比对；异常数据块确定模块，用于在检测到比对结果为不同的情况下，确定所述比对结果对应的待测数据块为异常数据块；告警信息发送模块，用于结合所述异常数据块的数据表标识向管理人员终端发送告警信息。
7.本说明书实施例还提出一种基于数据块检测的告警设备，包括存储器和处理器，所述存储器用于存储计算机程序/指令，所述处理器用于执行所述计算机程序/指令以实现上述基于数据块检测的告警方法的步骤。
8.本说明书实施例还提出一种计算机可读存储介质，其上存储有计算机程序/指令，所述计算机程序/指令在被处理器执行时实现上述基于数据块检测的告警方法。
9.本说明书实施例还提出一种计算机程序产品，包括计算机程序/指令，所述计算机程序/指令在被处理器执行时实现上述基于数据块检测的告警方法。
10.由以上本说明书实施例提供的技术方案可见，本说明书实施例在获取到数据块检
测请求后，获取至少一个待测数据块，并计算各个待测数据块的散列值，并与标准散列值进行比对，从而能够有效判断数据块中的数据是否存在篡改。若比对结果不同，则该比对结果对应的数据块存在被修改的情况，即有可能出现木马病毒注入的情况，可以基于所述异常数据块的数据表标识向管理人员终端发送告警信息，以提示该数据块存在异常，并进行后续的查杀处理。通过上述方法，有效地针对了木马病毒注入文件系统的特点，对木马病毒进行了有效防范，无需消耗人力进行判断，且能够实时施行该方法，从而保证了针对木马病毒进行实时有效地防范。
附图说明
11.为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
12.图1为本说明书实施例一种基于数据块检测的告警方法的流程图；
13.图2为本说明书实施例一种基于数据块检测的告警装置的模块图。
具体实施方式
14.下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。
15.为了解决上述技术问题，本说明书实施例提出一种基于数据块检测的告警方法。所述基于数据块检测的告警方法的执行主体为所述基于数据块检测的告警设备。所述基于数据块检测的告警设备包括服务器、工控机、pc机等。如图1所示，所述基于数据块检测的告警方法可以包括以下具体实施步骤。
16.s110：在接收到数据块检测请求的情况下，获取至少一个待测数据块。
17.数据块检测请求可以是针对各个待测数据块进行检测的请求。在接收到数据块检测请求后，即可执行所述基于数据块检测的告警方法的相应步骤。
18.为了保证对于异常数据块检测的实时性，所述数据块检测请求可以是基于预设时间间隔自动生成的请求。具体的，可以是由所述基于数据块检测的告警设备直接生成的请求，也可以是由其他设备生成后发送至所述基于数据块检测的告警设备的请求，对此不做限制。所述预设时间间隔的长度可以基于实际应用的需求进行设置，例如，可以是半小时，也可以是延长至一天，对此不做限制。
19.待测数据块即为需要进行检测的数据块。具体的，在系统中可以预先对各个待测数据块进行指定，在需要执行该步骤时，根据所指定的待测数据块的标识可以直接从存储模块或对应的数据库中提取出各个待测数据块。
20.具体的，所述待测数据块可以是针对系统中的文件数据划分得到的数据块。确定数据块的方式可以是针对至少一个目标设备，提取其中的文件资源数据，例如可以包括设备ip地址、硬盘数据、文件目录等数据。具体的可以是针对服务器中的所有数据，也可以是
针对软件系统及所涉及的所有数据来获取数据块。在提取到所有文件资源数据后，可以将这些文件资源数据划分为至少一个初始数据块。
21.在一些实施方式中，划分初始数据块的方式可以是获取文件资源数据中的目录信息，再基于目录信息对文件资源数据进行划分，具体的，可以是将所述文件资源数据划分为对应于各个目录的初始数据块，即每个初始数据块分别与各个目录相对应，以保证数据的有效性。
22.在实际应用中，当基于上述方式划分得到的某些数据块中包含过多数据时，也可以针对数据块进行进一步划分，以均衡不同数据块所包含的数据量。
23.实际应用中根据需求也可以采取其他方式来获取初始数据块，并不限于上述示例，在此不再赘述。
24.s120：针对各个待测数据块分别计算对应的数据块散列值。
25.在获取到各个待测数据块后，可以针对各个待测数据块分别计算对应的数据块散列值。数据块散列值即为对应于各个待测数据块的哈希值。具体的，可以是针对各个待测数据块执行哈希运算，以得到对应的数据块散列值。
26.利用一个具体的示例进行说明，假设所获取的待测数据块包括数据块a、数据块b和数据块c，分别针对数据块a、数据块b和数据块c采取哈希运算，得到hash a、hash b和hash c，分别作为对应于各个待测数据块的数据块散列值。
27.s130：将各个数据块散列值分别与对应于标准散列值进行比对。
28.在获取到各个数据块散列值后，可以将数据块散列值分别与对应的标准散列值进行比对。标准散列值可以是与初始数据块所对应的散列值。
29.基于步骤s110中的方式得到初始数据块后，可以针对各个初始数据块也进行哈希运算，并将运算得到的结果作为标准散列值。标准散列值与各个初始数据块相对应。
30.此外，为了保证比对效果，对应的初始数据块和待测数据块可以对应于相同的数据块标识，进而使得在比对过程中，可以基于待测数据块的数据块标识直接提取到对应的初始数据块，进而获取到对应的标准散列值进行比对，以保证步骤的有效执行。
31.比对的过程可以是直接将各个数据块散列值分别与对应的标准散列值进行匹配运算，判断两者之间是否存在差异，在不存在差异的情况下，比对结果即为相同；若存在差异，比对结果即为不同。
32.s140：在检测到比对结果为不同的情况下，确定所述比对结果对应的待测数据块为异常数据块。
33.在检测到比对结果为不同时，即表示待测数据块相较于初始数据块存在修改，在这一修改并未得到预先授权的情况下，可能是不法分子向数据块中注入了恶意数据或病毒数据，即该比对结果对应的待测数据块为异常数据块。
34.若基于上述比对过程，确定比对结果为相同，则表示对应的待测数据块未被篡改，即不存在不法分子向该数据块中注入木马病毒的风险，可以忽略对该待测数据块的检测。
35.s150：结合所述异常数据块的数据表标识向管理人员终端发送告警信息。
36.当确定异常数据块后，为了避免异常数据块中存在病毒对系统产生影响，可以向管理人员终端发送告警信息。
37.管理人员终端可以是设备或系统的管理人员所对应的操作终端，管理人员基于所
述管理人员终端存在对系统中的数据进行修改的权限。
38.告警信息即用于提示管理人员所述异常数据块存在改动，由管理人员来判断是否需要针对异常数据块进行处理。
39.为了实现对于异常数据块的有效定位，可以提取异常数据块的数据表标识，并基于所述数据表标识生成告警信息。管理人员在接收到告警信息之后，可以根据其中所包含的数据表标识快速有效地对异常数据块进行定位，从而方便了管理人员的处理过程。
40.优选的，在发送告警信息之前，还可以通过比对待测数据块和初始数据块，确定数据块中存在改动的位置，并将具体的改动位置在告警信息中进行记录，使得管理人员在接收到告警信息后能够直接通过告警信息了解到待测数据块中存在变动的位置，加快了管理人员的分析过程。
41.若针对所有待测数据块进行检测后，所有待测数据块的数据块散列值与对应的标准散列值的比对结果均为相同，则表示所有待测数据块均正常，可以忽略本次检测结果，不向管理人员终端发送通知信息；也可以向管理人员终端发送检测正常信息，告知所有数据块都不存在问题。对于具体的处理方法可以基于实际应用的需求进行设置，对此不做限制。
42.在向管理人员终端发送告警信息后，管理人员可以基于终端反馈备份指令。备份指令即用于指示利用备份的数据对被修改的数据块进行恢复，以消除可能存在的木马病毒的影响。
43.所述基于数据块检测的告警设备在接收到所述备份指令后，可以查找对应于所述异常数据块的初始数据块，并利用所述初始数据块替换所述异常数据块，以消除异常数据块中可能存在的木马病毒。
44.管理人员在接收到告警信息中，也可以基于告警信息对异常数据块进行分析，若判断修改的内容并不存在风险，或是修改的内容是预先基于授权而实现的修改内容，则可以不对告警信息进行处理，或是反馈相应的无需处理信息。所述基于位置检测的商品推荐设备在一定时间内未接收到反馈信息，获取接收到了无需处理信息，可以不对异常数据块进行处理。优选的，可以利用当前的待测数据块替换对应的初始数据块，以避免后续检测过程中出现重复报错的情况。
45.利用一个具体的场景示例对上述实施过程进行具体说明。在该示例中，针对数据块a、数据块b、数据块c、数据块d预先计算标准散列值a、标准散列值b、标准散列值c、标准散列值d，并基于初始状态对数据块a、数据块b、数据块c、数据块d进行备份。定时轮询上述四个数据块，并分别计算对应的数据块散列值。在某次计算过程中，针对数据块a、数据块b、数据块c、数据块d分别计算得到数据块散列值a、数据块散列值b、数据块散列值c、数据块散列值d，并分别与标准散列值a、标准散列值b、标准散列值c、标准散列值d进行比对。若根据比对结果，判断数据块散列值b与标准散列值b不同，数据块散列值d与标准散列值d不同，其他数据块散列值与标准散列值均相同。则可以向管理人员发送告警信息，告知数据块b和数据块d为异常数据块。
46.管理人员在接收到上述告警信息后，分别对数据块b和数据块d进行分析，确定数据块b中的修改是预先得到了授权的，但数据块d中的数据修改为未经授权的恶意修改。则管理人员可以针对数据块d反馈对应的备份信息。告警设备在接收到备份信息后，即确定数据块d为需要进行恢复的数据块，则告警设备可以提取数据块d的初始备份数据，并利用所
述初始备份数据来替换数据块d当前的数据，从而消除数据块d中恶意修改的数据所造成的影响，保证了数据安全。
47.基于上述基于数据块检测的告警方法的实施例和场景示例的介绍，可以看出，所述方法在获取到数据块检测请求后，获取至少一个待测数据块，并计算各个待测数据块的散列值，并与标准散列值进行比对，从而能够有效判断数据块中的数据是否存在篡改。若比对结果不同，则该比对结果对应的数据块存在被修改的情况，即有可能出现木马病毒注入的情况，可以基于所述异常数据块的数据表标识向管理人员终端发送告警信息，以提示该数据块存在异常，并进行后续的查杀处理，例如对数据块进行备份恢复等操作。通过上述方法，有效地针对了木马病毒注入文件系统的特点，对木马病毒进行了有效防范，无需消耗人力进行判断，且能够实时施行该方法，从而保证了针对木马病毒进行实时有效地防范。
48.基于图1所对应的基于数据块检测的告警方法，介绍本说明书实施例一种基于数据块检测的告警装置。所述基于数据块检测的告警装置可以设置在基于数据块检测的告警设备上。如图2所示，所述基于数据块检测的告警装置包括以下模块。
49.待测数据块获取模块210，用于在接收到数据块检测请求的情况下，获取至少一个待测数据块。
50.数据块散列值计算模块220，用于针对各个待测数据块分别计算对应的数据块散列值。
51.散列值比对模块230，用于将各个数据块散列值分别与对应于标准散列值进行比对。
52.异常数据块确定模块240，用于在检测到比对结果为不同的情况下，确定所述比对结果对应的待测数据块为异常数据块。
53.告警信息发送模块250，用于结合所述异常数据块的数据表标识向管理人员终端发送告警信息。
54.在一些实施方式中，所述装置还包括：文件资源数据获取模块，用于获取目标设备的文件资源数据；初始数据块划分模块，用于将所述文件资源数据划分为至少一个初始数据块；标准散列值计算模块，用于针对各个初始数据块分别进行哈希运算得到标准散列值。
55.基于上述实施方式，所述文件资源数据对应有目录信息；所述初始数据块划分模块，包括：初始数据块划分单元，用于基于所述目录信息，将所述文件资源数据划分为对应于各个目录的初始数据块。
56.在一些实施方式中，所述数据块检测请求包括基于预设时间间隔自动生成的请求。
57.在一些实施方式中，所述待测数据块中包括设备ip地址、硬盘数据、文件目录中的至少一种数据。
58.在一些实施方式中，所述装置还包括：初始数据块查找模块，用于在接收到管理人员终端反馈的备份指令后，查找对应于所述异常数据块的初始数据块；异常数据块替换模块，用于利用所述初始数据块替换所述异常数据块。
59.基于图1所对应的基于数据块检测的告警方法，本说明书实施例提供一种基于数据块检测的告警设备。所述基于数据块检测的告警设备可以包括存储器和处理器。
60.在本实施例中，所述存储器可以按任何适当的方式实现。例如，所述存储器可以为
只读存储器、机械硬盘、固态硬盘、或u盘等。所述存储器可以用于存储计算机程序/指令。
61.在本实施例中，所述处理器可以按任何适当的方式实现。例如，处理器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(application specific integrated circuit，asic)、可编程逻辑控制器和嵌入微控制器的形式等等。所述处理器可以执行所述计算机程序指令实现如图1所对应的基于数据块检测的告警方法。
62.基于图1所对应的基于数据块检测的告警方法，本说明书实施例提供一种计算机可读存储介质，其上存储有计算机程序/指令。所述计算机可读存储介质可以基于设备的内部总线被处理器所读取，进而通过处理器实现所述计算机可读存储介质中的程序指令。
63.在本实施例中，所述计算机可读存储介质可以按任何适当的方式实现。所述计算机可读存储介质包括但不限于随机存取存储器(random access memory,ram)、只读存储器(read-only memory,rom)、缓存(cache)、硬盘(hard disk drive,hdd)、存储卡(memory card)等等。所述计算机存储介质存储有计算机程序指令。在所述计算机程序指令被执行时实现本说明书图1所对应实施例的程序指令或模块。
64.在本实施例中，所述处理器可以按任何适当的方式实现。例如，处理器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(application specific integrated circuit，asic)、可编程逻辑控制器和嵌入微控制器的形式等等。具体的，所述处理器在被设置在基于数据块检测的告警设备上时可以执行图1对应的实施例中的方法步骤。
65.基于图1所对应的基于数据块检测的告警方法，本说明书实施例还提供一种计算机程序产品，包括计算机程序/指令。所述计算机程序产品可以是通过相应的计算机程序语言所编写的程序，以程序方式存储在相应的存储设备中，并可以通过计算机网络进行传输。所述计算机程序产品可以被处理器所执行。在本说明书实施例中，所述计算机程序产品在被执行时实现如图1所对应实施例的基于数据块检测的告警方法的程序指令或模块。
66.需要说明的是，上述基于数据块检测的告警方法、装置及设备可以应用于信息安全技术领域，也可以应用至除信息安全技术领域外的其他技术领域，对此不做限制。
67.虽然上文描述的过程流程包括以特定顺序出现的多个操作，但是，应当清楚了解，这些过程可以包括更多或更少的操作，这些操作可以顺序执行或并行执行(例如使用并行处理器或多线程环境)。
68.本技术是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
69.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指
令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
70.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
71.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
72.内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
73.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁带存储、磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
74.本领域技术人员应明白，本说明书的实施例可提供为方法、系统或计算机程序产品。因此，本说明书实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本说明书实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
75.本说明书实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书实施例，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
76.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书实施例的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
77.以上所述仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。