基于大数据的网络安全保护方法和网络安全保护平台

摘要

本申请提供的基于大数据的网络安全保护方法和网络安全保护平台，涉及网路安全技术领域。在本申请中，首先，在接收到操作系统指纹请求信息时，将目标虚拟应用程序的操作系统指纹替换为操作系统目标指纹。其次，若检测到目标攻击设备识别出目标虚拟应用程序运行于虚拟计算机，从第一目标数据库中获取目标历史数据。然后，基于目标历史数据，确定目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机。最后，若确定目标虚拟应用程序会被识别出运行于虚拟计算机，基于新的物理机操作系统指纹对操作系统目标指纹进行更新处理。通过上述方法，可以改善现有的网络安全技术中存在的防护效果较差的问题。

说明书

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种基于大数据的网络安全保护方法和网络安全保护平台。

背景技术

随着对信息安全的需求越来越高，网络安全技术的发展得到了广泛的关注。为了防止攻击者或者黑客的攻击，现有技术中采用了蜜罐技术。其中，蜜罐技术是一种对攻击者进行欺骗的技术，例如，通过布置一些作为诱饵的网络服务或信息，诱使攻击者对它们实施攻击，从而对攻击行为进行捕获和分析，以便于对攻击者进行追踪和标记等。

经发明人研究发现，在基于蜜罐技术的现有网络安全技术中，依旧存在着网络安全的防护效果较差的问题。

发明内容

有鉴于此，本申请的目的在于提供一种基于大数据的网络安全保护方法和网络安全保护平台，以改善现有的网络安全技术中存在的防护效果较差的问题。

为实现上述目的，本申请实施例采用如下技术方案：

一种基于大数据的网络安全保护方法，应用于网络安全保护平台，该网络安全保护平台部属有目标第一虚拟计算机，该目标第一虚拟计算机用于运行目标虚拟应用程序，该目标虚拟应用程序基于模拟目标应用程序生成，所述网络安全保护方法包括：

在目标攻击设备对目标虚拟应用程序进行攻击的过程中，检测是否接收到该目标攻击设备发送的操作系统指纹请求信息，其中，该操作系统指纹请求信息用于请求访问运行该目标虚拟应用程序的操作系统指纹，该操作系统指纹为所述目标第一虚拟计算机的虚拟机操作系统指纹；

若接收到所述操作系统指纹请求信息，则将所述目标虚拟应用程序的操作系统指纹替换为预先形成的操作系统目标指纹，并发送给所述目标攻击设备，其中，该操作系统目标指纹为物理机操作系统指纹；

在将所述操作系统目标指纹发送给所述目标攻击设备之后，检测所述目标攻击设备是否识别出该目标虚拟应用程序运行于虚拟计算机；

若检测到所述目标攻击设备识别出所述目标虚拟应用程序运行于虚拟计算机，则从第一目标数据库中获取目标历史数据，其中，该目标历史数据在每一次判定该目标虚拟应用程序被识别出运行于虚拟计算机时生成；

基于所述目标历史数据，确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机；

若确定所述目标虚拟应用程序会被识别出运行于虚拟计算机，则基于新的物理机操作系统指纹对所述操作系统目标指纹进行更新处理。

在上述基础上，本申请实施例还提供了一种网络安全保护平台，包括：

存储器，用于存储计算机程序；

与所述存储器连接的保护器，用于执行该存储器存储的计算机程序，以实现上述的基于大数据的网络安全保护方法。

本申请提供的基于大数据的网络安全保护方法和网络安全保护平台，通过将目标虚拟应用程序的操作系统指纹替换为物理机操作系统指纹，可以有效地提高攻击设备识别出目标虚拟应用程序属于虚拟应用程序的难度，并且，在攻击设备识别出目标虚拟应用程序属于虚拟应用程序时，通过新的物理机操作系统指纹对所述操作系统目标指纹进行更新处理，如此，可以进一步提高之后其他设备识别出目标虚拟应用程序属于虚拟应用程序的难度，从而改善现有的网络安全技术中存在的防护效果较差的问题。

为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

图1为本申请实施例提供的网络安全保护平台的结构框图。

图2为本申请实施例提供的基于大数据的网络安全保护方法包括的各步骤的流程示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例只是本申请的一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

如图1所示，本申请实施例提供了一种网络安全保护平台。其中，所述网络安全保护平台可以包括存储器和处理器。

详细地，所述存储器和处理器之间直接或间接地电性连接，以实现数据的传输或交互。例如，相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述存储器中可以存储有至少一个可以以软件或固件（firmware）的形式，存在的软件功能模块。所述处理器可以用于执行所述存储器中存储的可执行的计算机程序，如所述软件功能模块，从而实现本申请实施例（如后文所述）提供的基于大数据的网络安全保护方法。

可选地，所述存储器可以是，但不限于，随机存取存储器（Random Access Memory，RAM），只读存储器（Read Only Memory，ROM），可编程只读存储器（Programmable Read-OnlyMemory，PROM），可擦除只读存储器（Erasable Programmable Read-Only Memory，EPROM），电可擦除只读存储器（Electric Erasable Programmable Read-Only Memory，EEPROM）等。

并且，所述处理器可以是一种通用处理器，包括中央处理器（Central ProcessingUnit，CPU）、网络处理器（Network Processor，NP）、片上系统(System on Chip，SoC)等；还可以是数字信号处理器（DSP）、专用集成电路（ASIC）、现场可编程门阵列（FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

所述网络安全保护平台可以是一种具有数据处理能力的服务器。

并且，图1所示的结构仅为示意，所述网络安全保护平台还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置，例如，还可以包括用于与其它设备进行信息交互的通信单元。

结合图2，本申请实施例还提供一种基于大数据的网络安全保护方法，可应用于上述网络安全保护平台。其中，该基于大数据的网络安全保护方法有关的流程所定义的方法步骤，可以由所述网络安全保护平台实现。

并且，基于蜜罐技术，所述网络安全保护平台部属有目标第一虚拟计算机和目标第二虚拟计算机，该目标第一虚拟计算机用于运行目标虚拟应用程序，且该目标虚拟应用程序基于模拟目标应用程序（的业务逻辑）生成，该目标第二虚拟计算机用于在检测到目标攻击设备对该目标虚拟应用程序进行攻击时对该目标攻击设备进行信息采集。

下面将对图2所示的具体流程，进行详细阐述。

步骤S110，在目标攻击设备对目标虚拟应用程序进行攻击的过程中，检测是否接收到该目标攻击设备发送的操作系统指纹请求信息。

在本实施例中，在目标攻击设备对目标虚拟应用程序进行攻击的过程中，所述在网络安全保护平台可以检测是否接收到该目标攻击设备发送的操作系统指纹请求信息。其中，所述操作系统指纹请求信息用于请求访问运行所述目标虚拟应用程序的操作系统指纹，该操作系统指纹为所述目标第一虚拟计算机的虚拟机操作系统指纹。

并且，若接收到所述操作系统指纹请求信息，可以执行步骤S120。

步骤S120，将所述目标虚拟应用程序的操作系统指纹替换为预先形成的操作系统目标指纹，并发送给所述目标攻击设备。

在本实施例中，在基于步骤S120检测到有接收到所述操作系统指纹请求信息之后，所述网络安全保护平台可以基于该操作系统指纹请求信息，将所述目标虚拟应用程序的操作系统指纹替换为预先形成的操作系统目标指纹，并将该操作系统目标指纹发送给所述目标攻击设备。

其中，所述操作系统目标指纹为物理机操作系统指纹。如此，可以避免所述目标攻击设备在获取到所述目标虚拟应用程序的操作系统指纹为虚拟即操作系统指纹时，会确定该目标虚拟应用程序运行于虚拟环境，进而确定该目标虚拟应用程序属于虚拟应用程序，使得放弃攻击的问题。

步骤S130，检测所述目标攻击设备是否识别出该目标虚拟应用程序运行于虚拟计算机。

在本实施例中，在基于步骤S120将所述操作系统目标指纹发送给所述目标攻击设备之后，所述网络安全保护平台可以检测所述目标攻击设备是否识别出该目标虚拟应用程序运行于虚拟计算机。

也就是说，所述目标攻击设备在获取到所述操作系统目标指纹之后，可能会对该操作系统目标指纹进行验证，如果验证没有通过（例如，通过其它的数据库确定该操作系统目标指纹属于其它的物理机等），可能会判定所述目标虚拟应用程序运行于虚拟计算机，从而放弃攻击。

其中，若检测到所述目标攻击设备识别出所述目标虚拟应用程序运行于虚拟计算机，可以执行步骤S140。

步骤S140，从第一目标数据库中获取目标历史数据。

在本实施例中，在基于步骤S130确定所述目标攻击设备识别出所述目标虚拟应用程序运行于虚拟计算机之后，所述网络安全保护平台可以从第一目标数据库中获取目标历史数据。

其中，所述目标历史数据在每一次判定所述目标虚拟应用程序被识别出运行于虚拟计算机时生成。

步骤S150，基于所述目标历史数据，确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机。

在本实施例中，在基于步骤S140获取到所述目标历史数据之后，由于该目标历史数据在每一次判定所述目标虚拟应用程序被识别出运行于虚拟计算机时生成，因而，所述网络安全保护平台可以基于该目标历史数据，确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机，即确定该目标虚拟应用程序在下一次被攻击时是否会被识别出属于虚拟应用程序，而不是真实应用程序。

其中，若确定所述目标虚拟应用程序在下一次被攻击时会被识别出运行于虚拟计算机，可以执行步骤S160。

步骤S160，基于新的物理机操作系统指纹对所述操作系统目标指纹进行更新处理。

在本实施例中，在基于步骤S150确定所述目标虚拟应用程序在下一次被攻击时会被识别出运行于虚拟计算机时，所述网络安全保护平台可以基于新的物理机操作系统指纹对所述操作系统目标指纹进行更新处理。

基于上述方法，通过将目标虚拟应用程序的操作系统指纹替换为物理机操作系统指纹（即操作系统目标指纹），可以有效地提高攻击设备识别出目标虚拟应用程序属于虚拟应用程序的难度，并且，在攻击设备识别出目标虚拟应用程序属于虚拟应用程序时，通过新的物理机操作系统指纹对所述操作系统目标指纹进行更新处理，如此，可以进一步提高之后其他设备识别出目标虚拟应用程序属于虚拟应用程序的难度，从而改善现有的网络安全技术中存在的防护效果较差的问题。

第一方面，对于步骤S110需要说明的是，所述操作系统指纹请求信息可以是一种访问指令，用于访问所述目标虚拟应用程序的操作系统指纹。

第二方面，对于步骤S120需要说明的是，将所述目标虚拟应用程序的操作系统指纹替换为所述操作系统目标指纹的具体方式不受限制，可以根据实际应用需求进行选择。

例如，在一种可以替代的示例中，步骤S120可以包括以下子步骤：

首先，劫持所述操作系统指纹请求信息；其次，基于所述预先形成的操作系统目标指纹的目标地址信息对所述操作系统指纹请求信息进行重定向处理，生成新的操作系统指纹请求信息；其次，基于所述新的操作系统指纹请求信息对所述目标地址信息进行访问，得到所述操作系统目标指纹。

对于上述子步骤，可以参照现有的地址重定向方法。

第三方面，对于步骤S130需要说明的是，检测所述目标攻击设备是否识别出所述目标虚拟应用程序运行于虚拟计算机的具体方式不受限制，可以根据实际应用需求进行选择。

例如，在一种可以替代的示例中，经过本申请的发明人的研究发现，在目标攻击设备识别出目标虚拟应用程序运行于虚拟计算机时，一般都会停止进行攻击，基于此，步骤S130可以包括子步骤30-子步骤39。

子步骤30，检测所述目标攻击设备是否停止对所述目标虚拟应用程序进行攻击（其中，若检测到所述目标攻击设备已经停止对所述目标虚拟应用程序进行攻击，说明该目标攻击设备有可能已经识别出目标虚拟应用程序运行于虚拟计算机，因而，可以执行子步骤31）。

子步骤31，获取所述目标攻击设备的目标攻击行为数据，其中，该目标攻击行为数据基于该目标设备对该目标虚拟应用程序的全部网络攻击行为产生（其中，若当前所述目标攻击设备仅进行了一次网络攻击行为就停止了攻击，则获取的目标攻击行为数据为一次网络攻击行为产生的数据；若当前所述目标攻击设备进行了多次网络攻击行为才停止了攻击，则获取的目标攻击行为数据为多次网络攻击行为产生的数据）。

子步骤32，通过第一目标线程对所述目标攻击行为数据进行解析处理，得到第一解析结果，其中，该第一解析结果包括所述目标攻击设备对所述目标虚拟应用程序进行的网络攻击行为的至少一个目标攻击行为类型信息（其中，若当前所述目标攻击设备仅进行了一次网络攻击行为就停止了攻击，则所述第一解析结果包括一个目标攻击行为类型信息；若当前所述目标攻击设备进行了多次网络攻击行为才停止了攻击，则所述第一解析结果包括多个目标攻击行为类型信息）。

子步骤33，通过第二目标线程基于第一个所述目标攻击行为类型信息（即所述目标攻击设备进行的第一个网络攻击行为对应的攻击行为类型信息）生成攻击事件请求信息，并基于该攻击事件请求信息在第二目标数据库中查找到至少一个目标攻击事件信息，其中，每一个所述目标攻击事件信息对应的攻击事件至少基于该第一个目标攻击行为类型信息对应的网络攻击行为构成（即每一个所述目标攻击时间信息至少包括所述第一个目标攻击行为类型信息），且该第二目标数据库中包括多个攻击事件信息，每一个所述攻击事件信息对应的攻击事件至少基于一个网络攻击行为构成（也就是说，一般一个攻击事件至少会基于至少一个网络攻击行为构成，即攻击事件是指在时间上具有先后关系且具有紧密关系的一系列网络攻击行为，示例性的，一种攻击事件可以为“基于外部远程服务（ExternalRemote Services）的网络攻击行为、基于访问令牌操作（Access Token Manipulation）的网络攻击行为、基于强制认证（Forced Authentication）的网络攻击行为、基于采集系统本地数据（Data from Local System）的网络攻击行为”，例外的是，有一些攻击事件也可以仅包括一个网络攻击行为）。

子步骤34，针对每一个所述目标攻击事件信息，获取构成该目标攻击事件信息对应的攻击事件的全部网络攻击行为对应的全部攻击行为类型信息，形成该目标攻击事件信息对应的攻击行为类型信息集合。

子步骤35，确定每一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间的关系。

子步骤36，若每一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间都属于第一目标关系，则在所述网络安全防护平台的目标缓存中查找历史攻击数据，其中，该第一目标关系为所述攻击行为类型信息集合包括的全部攻击行为类型信息属于多个所述目标攻击行为类型信息中的部分（例如，一个所述攻击行为类型信息集合对应的目标攻击事件为“基于外部远程服务的网络攻击行为、基于访问令牌操作的网络攻击行为、基于强制认证的网络攻击行为、基于采集系统本地数据的网络攻击行为”，但是，多个所述目标攻击行为类型信息对应的多个网络攻击行为包括，基于外部远程服务的网络攻击行为、基于访问令牌操作的网络攻击行为、基于强制认证的网络攻击行为、基于采集系统本地数据的网络攻击行为、基于其它方式的网络攻击行为），且该历史攻击数据基于历史上所述目标设备或其它设备对所述目标虚拟应用程序进行的网络攻击行为产生。

子步骤37，通过所述第一目标线程对所述历史攻击数据得到第二解析结果，其中，该第二解析结果包括历史上所述目标设备或其它设备至少一次对所述目标虚拟应用程序进行的网络攻击行为的历史攻击行为类型信息（即每一次对目标虚拟应用程序进行攻击，会有至少一个网络攻击行为，并基于该至少一个网络攻击行为形成历史攻击行为类型信息）。

子步骤38，确定每一次对所述目标虚拟应用程序进行的网络攻击行为的所述历史攻击行为类型信息与所述目标攻击行为类型信息之间的关系。

子步骤39，若多个所述目标攻击行为类型信息属于一次对所述目标虚拟应用程序进行的网络攻击行为的所述历史攻击行为类型信息的部分（例如，多个所述目标攻击行为类型信息对应的多个网络攻击行为分别为，网络攻击行为A、网络攻击行为B、网络攻击行为C、网络攻击行为D，但是有一个历史攻击行为类型信息对应的多个网络攻击行为分别为网络攻击行为A、网络攻击行为B、网络攻击行为C、网络攻击行为D、网络攻击E，如此，可以认为多个所述目标攻击行为类型信息为该历史攻击行为类型信息的部分，说明所述目标攻击设备本次的攻击不能形成一个完成的攻击事件，表明可能是由于已经识别出目标虚拟应用程序运行于虚拟计算机，因而，主动停止了后续的网络攻击行为），则确定所述目标攻击设备已经识别出该目标虚拟应用程序运行于虚拟计算机。

第五方面，对于步骤S150需要说明的是，确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机的具体方式不受限制，可以根据实际应用需求进行选择。

例如，在第一种可以替代的示例中，为了能够保证确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机的准确度，步骤S150可以包括子步骤50-子步骤61。

子步骤50，针对所述目标历史数据中的每一个历史数据片段，将该历史数据片段和该历史数据片段的后一个历史数据片段，作为相邻的两个历史数据片段（如此，基于N个历史数据片段，可以得到N-1组相邻的两个历史数据片段），其中，一个所述历史数据片段基于一次判定所述目标虚拟应用程序被识别出运行于虚拟计算机时生成（可以理解的是，在一些示例中，所述目标历史数据可以包括基于所述目标攻击设备本次识别出所述目标虚拟应用程序运行于虚拟计算机时生成的数据，即所述目标历史数据中的最后一个历史数据片段为该数据）。

子步骤51，针对每两个相邻的所述历史数据片段，计算该两个相邻的所述历史数据片段之间在多个不同维度上的多个数据差值（该维度的具体内容不受限制，可以根据实际应用需求进行配置，例如，在一种可以替代的示例中，该维度可以包括，但不限于，一次判定所述目标虚拟应用程序被识别出运行于虚拟计算机时，本次对该目标虚拟应用程序进行攻击的持续时长（即从攻击开始到攻击停止的时长）、本次对该目标虚拟应用程序进行攻击的网络攻击行为的行为数量等）。

子步骤52，针对每两个相邻的所述历史数据片段，将该两个相邻的所述历史数据片段之间的多个数据差值进行归一化处理之后，进行累加计算（由于不同维度的数据差值表征的内容不同，因而，需要先进行归一化处理，然后，再将多个数据差值进行累加，例如，不能将上述的持续时长的差值与上述的行为数量的差值直接进行相加，如将持续时长的差值除以根据经验设置的一个最大时长（如历史上最长的一次攻击的持续时长），将行为数量的差值除以根据经验设置的一个最大数量（如历史上包括最多网络攻击行为的攻击事件的网络攻击行为的数量）），得到该两个相邻的所述历史数据片段中后一个所述历史数据片段的目标差异值。

子步骤53，根据每一个所述历史数据片段的目标差异值，在所述目标历史数据包括的多个历史数据片段中，确定出多个目标历史数据片段（例如，将目标差异值大于差异阈值的全部历史数据片段，都作为目标历史数据片段，或者，将目标差异值最大的预定数量个历史数据片段，都作为目标历史数据片段）。

子步骤54，基于所述多个目标历史数据片段，形成所述目标历史数据的一个目标数据片段集合。

子步骤55，针对所述目标数据片段集合包括的每一个所述目标历史数据片段，将该目标历史数据片段和该目标历史数据片段的后一个目标历史数据片段，作为相邻的两个目标历史数据片段。

子步骤56，针对每两个相邻的所述目标历史数据片段，根据该两个相邻的所述目标历史数据片段基于在多个不同维度上的综合相似度（例如，可以先计算每一个维度上的差值或比例值，然后，再计算每一个维度上的差值（可以先进行归一化处理）或比例值的加权平均值，其中，持续时长维度对应的权重系数可以大于行为数量对应的权重系数），得到该两个相邻的所述目标历史数据片段之间的相似性关系。

子步骤57，基于每一个所述相似性关系，确定该相似性关系对应的两个相邻的所述目标历史数据片段是否属于重复数据片段（例如，可以将综合相似度大于或等于相似度阈值的两个相邻的所述目标历史数据片段认为是相似数据片段，从而认为该两个相邻的所述目标历史数据片段属于重复数据片段；可以将综合相似度小于相似度阈值的两个相邻的所述目标历史数据片段认为是非相似数据片段，从而认为该两个相邻的所述目标历史数据片段不属于重复数据片段）。

子步骤58，将所述目标数据片段集合划分为多个目标数据片段子集合，其中，属于同一个所述目标数据片段子集合的不同目标历史数据片段属于所述重复数据片段，属于不同所述目标数据片段子集合的不同目标历史数据片段属不于所述重复数据片段（例如，所述目标数据片段集合包括目标历史数据片段A、目标历史数据片段B、目标历史数据片段C、目标历史数据片段D、目标历史数据片段E，其中，目标历史数据片段A和目标历史数据片段B属于重复数据片段，目标历史数据片段B和目标历史数据片段C属于重复数据片段，目标历史数据片段C和目标历史数据片段D不属于重复数据片段，目标历史数据片段D和目标历史数据片段E不属于重复数据片段，可以形成第一个目标数据片段子集合“目标历史数据片段A、目标历史数据片段B、目标历史数据片段C”，第二个目标数据片段子集合“目标历史数据片段D”，第三个目标数据片段子集合“目标历史数据片段E”）。

子步骤59，基于所述多个目标数据片段子集合中每一个目标数据片段子集合的第一个目标历史数据片段和最后一个目标历史数据片段，将所述目标历史数据分割为多个目标历史子数据，其中，每一个所述目标历史子数据包括至少一个所述历史数据片段（例如，所述目标历史数据包括历史数据片段1、历史数据片段2、目标历史数据片段A、历史数据片段3、目标历史数据片段B、历史数据片段4、目标历史数据片段C、历史数据片段5、历史数据片段6、目标历史数据片段D、历史数据片段7、目标历史数据片段E、历史数据片段8，形成的多个目标历史子数据包括“历史数据片段1、历史数据片段2”、“目标历史数据片段A、历史数据片段3、目标历史数据片段B、历史数据片段4”、“目标历史数据片段C、历史数据片段5、历史数据片段6”、“目标历史数据片段D、历史数据片段7”、“目标历史数据片段E、历史数据片段8”）。

子步骤60，针对每一个所述目标历史子数据，计算该目标历史子数据包括的至少一个历史数据片段在多个维度上的数据的归一化后的平均值（例如，先将一个目标历史子数据包括的每一个历史数据片段在每一个维度上的数据进行归一化处理，然后，计算每一个历史数据片段的多个维度上的归一化数据的平均值，然后，将该目标历史子数据包括的至少一个历史数据片段的平均值进行均值计算，得到最后的平均值）。

子步骤61，基于每一个所述目标历史子数据的平均值在时间上的变化趋势信息，确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机。

又例如，在第二种可以替代的示例中，为了减少异常数据的干扰，以保证确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机的准确度，步骤S150可以包括子步骤62-子步骤69。

子步骤62，基于生成时间的先后顺序（可以是从时间最早到时间最晚的顺序）将所述目标历史数据中包括的多个历史数据片段进行排序处理，得到历史数据序列。

子步骤63，基于所述多个历史数据片段的片段数量，在所述历史数据序列中选择最后的预设数量个历史数据片段，作为目标历史数据序列（例如，若所述多个历史数据片段的片段数量大于所述预设数量，可以在所述历史数据序列中选择最后的预设数量个历史数据片段）。

子步骤64，对所述目标历史数据序列中第一个历史数据片段和最后一个历史数据片段以外的其它每一个历史数据片段进行解析处理，并将解析结果满足预设条件的历史数据片段，作为候选历史数据片段，其中，所述解析结果满足所述预设条件的所述历史数据片段，在每一个维度上的数据大于前一个历史数据片段的数据，且大于后一个历史数据片段的数据。

子步骤65，在所述候选历史数据片段的数量大于预设阈值时，针对每一个所述候选历史数据片段，计算该候选历史数据片段在多个维度上的数据归一化后的第一维度平均值（即对该候选历史数据片段在每一个维度上的数据进行归一化处理，然后，计算多个维度的归一化值的平均值），得到每一个所述候选历史数据片段的第一维度平均值。

子步骤66，在多个所述候选历史数据片段中，选取第一维度平均值最大的所述预设数量个候选历史数据片段，作为目标历史数据片段。

子步骤67，基于所述目标历史数据片段在所述目标历史数据序列中的位置，将该目标历史数据序列分割为多个目标历史数据子序列（例如，所述目标历史数据序列包括片段1、片段2、目标历史数据片段1、片段3、目标历史数据片段2、片段4、片段5，如此，形成的目标历史数据子序列包括，“片段1、片段2、目标历史数据片段1”、“片段3、目标历史数据片段2”、“片段4、片段5”）。

子步骤68，针对每一个所述目标历史数据子序列，计算该目标历史数据子序列包括的至少一个历史数据片段在多个维度上的数据的归一化后的第二维度平均值（也就是说，将一个目标历史数据子序列中的每一个历史数据片段在每一个维度上的数据都进行归一化处理，然后，对该目标历史数据子序列包括的全部归一化值进行平均值计算），得到每一个所述目标历史数据子序列的第二维度平均值。

子步骤69，基于每一个所述目标历史数据子序列的第二维度平均值在时间上的变化趋势信息，确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机（例如，在一种可以替代的示例中，若所述变化趋势信息表明所述第二维度平均值会继续下降或者在最近的一段较长的时间内在一直下降，可以确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机）。

又例如，在第三种可以替代的示例中，为了减少异常数据的干扰，以保证确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机的准确度，步骤S150可以包括子步骤70-子步骤78。

子步骤70，基于生成时间的先后顺序将所述目标历史数据中包括的多个历史数据片段进行排序处理，得到目标历史数据序列。

子步骤71，对所述目标历史数据序列中第一个历史数据片段和最后一个历史数据片段以外的其它每一个历史数据片段进行解析处理，并将解析结果满足预设条件的历史数据片段，作为候选历史数据片段，其中，所述解析结果满足所述预设条件的所述历史数据片段，在每一个维度上的数据大于前一个历史数据片段的数据，且大于后一个历史数据片段的数据。

子步骤72，在所述候选历史数据片段的数量大于预设阈值时，针对每一个所述候选历史数据片段，计算该候选历史数据片段在多个维度上的数据归一化后的第一维度平均值，得到每一个所述候选历史数据片段的第一维度平均值。

子步骤73，在多个所述候选历史数据片段中，选取第一维度平均值最大的所述预设数量个候选历史数据片段，作为目标历史数据片段。

子步骤74，基于所述目标历史数据片段在所述目标历史数据序列中的位置，将该目标历史数据序列分割为多个目标历史数据子序列。

子步骤75，针对每一个所述目标历史数据子序列包括的每一个所述历史数据片段，计算该历史数据片段在多个维度上归一化后的数据的目标平均值（即对该历史数据片段在多个维度上的数据进行归一化处理之后，再计算多个归一化值的平均值）。

子步骤76，针对每一个所述目标历史数据子序列，按照所述目标平均值由大到小的顺序对该目标历史数据子序列包括的至少一个历史数据片段进行顺序调整处理，得到新的目标历史数据子序列（例如，一个所述目标历史数据子序列为“片段1（目标平均值为0.5）、片段2（目标平均值为0.3）、片段3（目标平均值为0.4）、片段4（目标平均值为0.2）”，对应的新的目标历史数据子序列为“片段1（目标平均值为0.5）、片段3（目标平均值为0.4）、片段2（目标平均值为0.3）、片段4（目标平均值为0.2）”）。

子步骤77，将多个所述新的目标历史数据子序列按照对应的目标历史数据子序列在时间上的先后关系进行组合处理，得到新的目标历史数据序列（也就是说，在该新的目标历史数据序列中，相邻两个新的目标历史数据子序列之间，后一个新的目标历史数据子序列中的任意一个历史数据片段的生成时间都晚于前一个新的目标历史数据子序列中的任意一个历史数据片段的生成时间）。

子步骤78，基于新的目标历史数据序列中每一个所述历史数据片段的所述目标平均值在时间上的变化趋势信息，确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机。

可选地，在上述的第二种示例和第三种示例中，计算所述第一维度平均值的具体方式不受限制，可以根据实际应用需求进行选择。

例如，在一种可以替代的示例中，为了提高得到的第一维度平均值的精度，可以基于以下子步骤进行计算：

首先，获取针对所述历史数据片段包括的多个维度的数据预先配置的权重系数，其中，每一个所述权重系数的大小不同，且攻击持续时间维度上的权重系数大于攻击行为数量维度上的权重系数；其次，基于所述权重系数，对每一个所述候选历史数据片段在多个维度上归一化后的数据进行加权计算，得到对应的第一维度平均值。

再例如，在第四种可以替代的示例中，为了减少异常数据的干扰且提高进行确定的效率，步骤S150可以包括子步骤79-子步骤84。

子步骤79，基于生成时间的先后顺序将所述目标历史数据中包括的多个历史数据片段进行排序处理，得到目标历史数据序列。

子步骤80，对所述目标历史数据序列中第一个历史数据片段和最后一个历史数据片段以外的其它每一个历史数据片段进行解析处理，并将解析结果满足预设条件的历史数据片段，作为筛选历史数据片段，其中，所述解析结果满足所述预设条件的所述历史数据片段，在每一个维度上的数据大于前一个历史数据片段的数据，且大于后一个历史数据片段的数据。

子步骤81，将所述目标历史数据序列中的所述筛选历史数据片段进行去除处理，得到新的目标历史数据序列。

子步骤82，针对所述历史数据片段包括的多个维度中的每一个维度，基于所述新的目标历史数据序列中的每一个历史数据片段在该维度上的数据，得到该维度的变化趋势信息（例如，所述新的目标历史数据序列包括100个历史数据片段，每一个历史数据片段包括2个维度的数据，可以基于第一个维度的100个数据得到第一个变化趋势信息，基于第二个维度的100个数据得到第二个变化趋势信息）。

子步骤83，针对每一个维度的变化趋势信息，基于该维度的变化趋势信息确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机，得到该维度的确定结果（例如，分别基于上述的第一个变化趋势信息和第二个变化趋势信息确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机，得到两个确定结果）。

子步骤84，基于多个维度的所述确定结果，确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机（例如，若前述的两个确定结果都为所述目标虚拟应用程序在下一次被攻击时会被识别出运行于虚拟计算机，则最终结果为所述目标虚拟应用程序在下一次被攻击时会被识别出运行于虚拟计算机，反之，则最终结果为所述目标虚拟应用程序在下一次被攻击时不会被识别出运行于虚拟计算机）。

再例如，在第五种可以替代的示例中，为了充分减少异常数据的干扰且提高进行确定的效率，步骤S150可以包括子步骤85-子步骤92。

子步骤85，基于生成时间的先后顺序将所述目标历史数据中包括的多个历史数据片段进行排序处理，得到目标历史数据序列。

子步骤86，对所述目标历史数据序列中第一个历史数据片段和最后一个历史数据片段以外的其它每一个历史数据片段进行解析处理，并将解析结果满足预设条件的历史数据片段，作为筛选历史数据片段，其中，所述解析结果满足所述预设条件的所述历史数据片段，在每一个维度上的数据大于前一个历史数据片段的数据，且大于后一个历史数据片段的数据。

子步骤87，将所述目标历史数据序列中的所述筛选历史数据片段进行去除处理，得到新的目标历史数据序列。

子步骤88，针对所述新的目标历史数据序列中的每一个历史数据片段，计算该历史数据片段在多个维度上的数据在归一化后的离散程度值（例如，在三个维度上的归一化值分别为0.8、0.5和0.5，如此，可以先计算得到平均值为0.6，然后，再计算离散程度值（｜0.8-0.6｜+｜0.5-0.6｜+｜0.5-0.6｜）/3=0.1333333）。

子步骤89，在所述新的目标历史数据序列，将离散程度值大于预设离散程度值的历史数据片段进行去除处理，得到更新后的目标历史数据序列。

子步骤90，针对所述历史数据片段包括的多个维度中的每一个维度，基于所述更新后的目标历史数据序列中的每一个历史数据片段在该维度上的数据，得到该维度的变化趋势信息。

子步骤91，针对每一个维度的变化趋势信息，基于该维度的变化趋势信息确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机，得到该维度的确定结果。

子步骤92，基于多个维度的所述确定结果，确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机。

再例如，在第六种可以替代的示例中，为了充分减少异常数据的干扰且提高进行确定的效率，步骤S150可以包括子步骤93-子步骤103。

子步骤93，基于生成时间的先后顺序将所述目标历史数据中包括的多个历史数据片段进行排序处理，得到目标历史数据序列。

子步骤94，以所述目标历史数据序列中的第一历史数据片段为起点、最后一个第一历史数据片段为终点，按照第一预设数量对该目标历史数据序列包括的多个历史数据片段进行分组，得到多个数据片段组（例如，所述目标历史数据序列为“片段1、片段2、片段3、片段4、片段5、片段6”，所述第一预设数量为3，如此，得到的数据片段组可以包括，数据片段组1“片段1、片段2、片段3”、数据片段组2“片段4、片段5、片段6”）。

子步骤95，针对每一个所述数据片段组，在该数据片段组中选择中间位置的一个历史数据片段（如果所述第一预设数量为偶数，则将中间的两个历史数据片段中的任意一个去除）进行去除处理，得到筛选数据片段组（例如，基于前述的示例，可以得到筛选数据片段组1“片段1、片段3”、筛选数据片段组2“片段4、片段6”）。

子步骤96，针对每一个所述筛选数据片段组，确定该筛选数据片段组中被去除的历史数据片段的前一个历史数据片段和后一个历史数据片段在任意一个维度上的差值是否大于目标值，并在该差值大于该目标值时，确定被去除的历史数据片段在每一个维度上的数据是否都位于前一个历史数据片段的数据和后一个历史数据片段的数据之间。

子步骤97，针对每一个被去除的历史数据片段，若该被去除的历史数据片段在每一个维度上的数据都位于前一个历史数据片段的数据和后一个历史数据片段的数据之间，将该被去除的历史数据片段召回至对应的筛选数据片段组（例如，基于前述的示例，每一个维度上片段2的数据都属于片段1的数据和片段3的数据之间，可以将片段2放回筛选数据片段组1“片段1、片段3”中，得到筛选数据片段组1“片段1、片段2、片段3”）。

子步骤98，将多个所述筛选数据片段组按照对应的数据片段组在时间上的先后关系进行组合处理，得到新的目标历史数据序列。

子步骤99，针对所述新的目标历史数据序列中每相邻的两个历史数据片段，计算该相邻的两个历史数据片段在多个维度上的综合相似度。

子步骤100，针对每相邻的两个历史数据片段，若该相邻的两个历史数据片段的综合相似度大于目标相似度，则对该相邻的两个历史数据片段中的前一个历史数据片段进行去除处理，得到更新后的目标历史数据序列。

子步骤101，针对所述历史数据片段包括的多个维度中的每一个维度，基于所述更新后的目标历史数据序列中的每一个历史数据片段在该维度上的数据，得到该维度的变化趋势信息。

子步骤102，针对每一个维度的变化趋势信息，基于该维度的变化趋势信息确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机，得到该维度的确定结果。

子步骤103，基于多个维度的所述确定结果，确定所述目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机。

第六方面，对于步骤S160需要说明的是，基于新的物理机操作系统指纹对所述操作系统目标指纹进行更新处理的具体方式不受限制，可以根据实际应用需求进行选择。

例如，在一种可以替代的示例中，步骤S160可以包括以下子步骤：

首先，在预先形成的多个物理机操作系统指纹中，选择出一个物理机操作系统指纹，作为新的物理机操作系统指纹，其中，该新的物理机操作系统指纹不同于所述操作系统目标指纹，且该新的物理机操作系统指纹对应的物理机与该操作系统目标指纹对应的物理机之间的关联度（例如，基于基于通信交互量确定关联度，通信交互量越少，则关联度越小），小于每一个其它所述物理机操作系统指纹对应的物理机与该操作系统目标指纹对应的物理机之间的关联度；

其次，将所述操作系统目标指纹替换为所述新的物理机操作系统指纹，以完成对该操作系统目标指纹的更新处理。

综上所述，本申请提供的基于大数据的网络安全保护方法和网络安全保护平台，通过将目标虚拟应用程序的操作系统指纹替换为物理机操作系统指纹（即操作系统目标指纹），可以有效地提高攻击设备识别出目标虚拟应用程序属于虚拟应用程序的难度，并且，在攻击设备识别出目标虚拟应用程序属于虚拟应用程序时，通过新的物理机操作系统指纹对所述操作系统目标指纹进行更新处理，如此，可以进一步提高之后其他设备识别出目标虚拟应用程序属于虚拟应用程序的难度，从而改善现有的网络安全技术中存在的防护效果较差的问题，使得具有较高的实用价值。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。