[发明专利]保障网络安全的方法、装置、服务器和存储介质

权利要求书

1.一种保障网络安全的方法，其特征在于，所述方法包括：

在多个终端中确定当前的第一预设时长内，应用已知网络黑产工具的多个活跃终端，其中，所述活跃终端是网络黑产用户使用的终端；

确定当前的第二预设时长内所述多个活跃终端中新出现的文件；

对于每个新出现的文件，确定所述新出现的文件和所述已知网络黑产工具之间的关联度；

基于各新出现的文件和所述已知网络黑产工具之间的关联度，在所述各新出现的文件中确定强关联工具；

在所述强关联工具中确定不在预设的工具白名单内的疑似网络黑产工具。

2.根据权利要求1所述的方法，其特征在于，所述在多个终端中确定当前的第一预设时长内，应用已知网络黑产工具的多个活跃终端，包括：

在多个终端中确定当前的第一预设时长内，应用所述已知网络黑产工具的应用次数大于预设次数阈值的多个活跃终端。

3.根据权利要求1所述的方法，其特征在于，所述在多个终端中确定当前的第一预设时长内，应用已知网络黑产工具的多个活跃终端，包括：

在多个终端中确定当前的第一预设时长内，应用已知网络黑产工具的终端；

如果确定出的终端的数目大于预设数目阈值，则在所述确定出的终端中随机选择所述预设数目阈值个活跃终端。

4.根据权利要求1所述的方法，其特征在于，所述确定所述新出现的文件和所述已知网络黑产工具之间的关联度，包括：

确定所述新出现的文件在所有活跃终端中的出现次数；

确定所述出现次数占所述所有活跃终端的总数目的比值，作为所述新出现的文件和所述已知网络黑产工具之间的关联度。

5.根据权利要求1所述的方法，其特征在于，所述基于各新出现的文件和所述已知网络黑产工具之间的关联度，在所述各新出现的文件中确定强关联工具，包括：

基于各新出现的文件和所述已知网络黑产工具之间的关联度，在所述各新出现的文件中确定关联度大于或等于预设关联度阈值的强关联工具。

6.根据权利要求1-5中任一项所述的方法，其特征在于，在所述强关联工具中确定不在预设的工具白名单内的疑似网络黑产工具之后，所述方法还包括：

向下载有所述疑似网络黑产工具的终端分别发送指示信息，其中，所述指示信息用于指示接收到指示信息的终端上传本地下载的疑似网络黑产工具。

7.一种保障网络安全的装置，其特征在于，所述装置包括：

确定模块，用于在多个终端中确定当前的第一预设时长内，应用已知网络黑产工具的多个活跃终端，其中，所述活跃终端是网络黑产用户使用的终端；

所述确定模块，用于确定当前的第二预设时长内所述多个活跃终端中新出现的文件；

所述确定模块，用于对于每个新出现的文件，确定所述新出现的文件和所述已知网络黑产工具之间的关联度；

所述确定模块，用于基于各新出现的文件和所述已知网络黑产工具之间的关联度，在所述各新出现的文件中确定强关联工具；

所述确定模块，用于在所述强关联工具中确定不在预设的工具白名单内的疑似网络黑产工具。

8.根据权利要求7所述的装置，其特征在于，所述确定模块，用于：

在多个终端中确定当前的第一预设时长内，应用所述已知网络黑产工具的应用次数大于预设次数阈值的多个活跃终端。

9.一种服务器，其特征在于，所述服务器包括处理器、通信接口、存储器和通信总线，其中：

所述处理器、所述通信接口和所述存储器通过所述通信总线完成相互间的通信；

所述存储器，用于存放计算机程序；

所述处理器，用于执行所述存储器上所存放的程序，以实现权利要求1-6任一所述的方法步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法步骤。