[发明专利]数据检测方法、装置和存储介质

说明书

本发明公开了一种数据检测方法、装置和存储介质。其中，方法包括：根据预设采集点从目标终端获取待检测数据；将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配，得到匹配结果；第一类威胁情报与第二类威胁情报不同；所述第二类威胁情报是对样本数据进行逆向分析得到的；根据匹配结果，确定所述待检测数据是否存在安全威胁。采用本发明的方案，能够在待检测数据中发现更多的安全威胁，从而提高为用户终端检测安全威胁的准确性，进而提升用户体验。

技术领域

本发明涉及通信领域的信息安全技术，具体涉及一种数据检测方法、装置和存储介质。

背景技术

用户通过终端连接网络时，存在被黑客攻击以及误下载病毒文件的风险，这导致用户终端中可能会存在恶意程序；这些恶意程序具有很强的隐蔽性，用户终端上的安全工具很难发现这些恶意程序，使得用户终端可能存在安全威胁。

然而，相关技术中，为用户终端检测安全威胁的数据检测方法尚需优化。

发明内容

为解决相关技术问题，本发明实施例提供一种数据检测方法、装置和存储介质。

本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种数据检测方法，包括：

根据预设采集点从目标终端获取待检测数据；

将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配，得到匹配结果；第一类威胁情报与第二类威胁情报不同；所述第二类威胁情报是对样本数据进行逆向分析得到的；

根据匹配结果，确定所述待检测数据是否存在安全威胁。

上述方案中，所述将获取的待检测数据与威胁情报库中的第一类威胁情报和第二类威胁情报进行匹配，包括：

将所述待检测数据与所述威胁情报库中的第一类威胁情报进行匹配，得到第一结果；

在所述第一结果表征所述待检测数据与第一类威胁情报不匹配的情况下，将所述待检测数据与第二类威胁情报进行匹配，得到第二结果，并将所述第一结果和所述第二结果确定为所述匹配结果。

上述方案中，所述根据匹配结果，确定所述待检测数据是否存在安全威胁，包括：

在所述匹配结果表征所述待检测数据与第二类威胁情报不匹配，且所述待检测数据与第一类威胁情报中至少一个威胁情报匹配的情况下，确定所述待检测数据存在安全威胁；

在所述匹配结果表征所述待检测数据与第一类威胁情报不匹配，且所述待检测数据与第二类威胁情报中至少一个威胁情报匹配的情况下，确定所述待检测数据存在安全威胁；

在所述匹配结果表征所述待检测数据与第一类威胁情报和第二类威胁情报均不匹配的情况下，确定所述待检测数据不存在安全威胁。

上述方案中，所述方法还包括：

对样本数据进行逆向分析，得到至少一个第二类威胁情报；所述样本数据为包含恶意宏代码的开源数据；

将得到的第二类威胁情报存储至所述威胁情报库。

上述方案中，所述对样本数据进行逆向分析，包括：

根据样本数据包含的恶意宏代码，确定目标指令和/或目标代码；所述目标指令用于调用终端的有效负载；所述目标代码用于获取终端的运行环境信息；

基于预设模型，利用确定的目标指令和/或目标代码，确定至少一个第二类威胁情报。

上述方案中，所述方法还包括：

根据得到的第二类威胁情报更新预设采集点。