[发明专利]恶意程序监测系统的覆盖检测方法、装置、设备及介质

权利要求书

1.一种恶意程序监测系统的覆盖检测方法，其特征在于，包括：

通过预先部署的移动互联网恶意程序监测系统，获取预设监控时间段的网络流量数据，并获取所述网络流量数据对应的多个外部数据表示话单；

通过预先部署的防火墙前置机，获取预设监控时间段的网络地址转换日志，并获取所述网络地址转换日志对应的多个网络地址转换话单；

分别对各所述外部数据表示话单和各所述网络地址转换话单进行匹配对比，并根据匹配对比结果，确定所述移动互联网恶意程序监测系统对应的未覆盖网元地址。

2.根据权利要求1所述的方法，其特征在于，分别对各所述外部数据表示话单和各所述网络地址转换话单进行匹配对比，并根据匹配对比结果，确定所述移动互联网恶意程序监测系统对应的未覆盖网元地址，包括：

对各所述外部数据表示话单进行预设字段提取，获取各所述预设字段对应的字段值；并对各所述网络地址转换话单进行预设字段提取，获取各所述预设字段对应的字段值；

其中，所述预设字段包括源网际协议地址字段、源端口字段、目的网际协议地址字段、目的端口字段以及发生时间字段；

分别判断各所述外部数据表示话单中各预设字段对应的字段值，与各所述网络地址转换话单中对应各预设字段对应的字段值是否满足一致性检测条件；

若检测到异常网络地址转换话单中各预设字段对应的字段值，与各所述外部数据表示话单中对应各预设字段对应的字段值均不满足一致性检测条件，则根据所述异常网络地址转换话单中源网际协议地址字段对应的字段值，确定对应的网元网际协议地址，并将所述网元网际协议地址确定为所述移动互联网恶意程序监测系统对应的未覆盖网元地址。

3.根据权利要求2所述的方法，其特征在于，对各所述外部数据表示话单进行预设字段提取，获取各所述预设字段对应的字段值；并对各所述网络地址转换话单进行预设字段提取，获取各所述预设字段对应的字段值，包括：

根据外部数据表示话单的组成规则，确定每个预设字段在外部数据表示话单中的字段序号，并根据各预设字段在外部数据表示话单中的字段序号，在外部数据表示话单中获取各所述预设字段对应的字段值；

根据网络地址转换话单的组成规则，确定每个预设字段在网络地址转换话单中的字段序号，并根据各预设字段在网络地址转换话单中的字段序号，在网络地址转换话单中获取各所述预设字段对应的字段值。

4.根据权利要求2所述的方法，其特征在于，根据所述异常网络地址转换话单中源网际协议地址字段对应的字段值，确定对应的网元网际协议地址，包括：

根据所述异常网络地址转换话单中源网际协议地址字段对应的字段值，确定未覆盖源网际协议地址；

根据所述未覆盖源网际协议地址，以及预先配置的网元网际协议地址与源网际协议地址的对应关系，确定所述未覆盖源网际协议地址对应的网元网际协议地址。

5.根据权利要求4所述的方法，其特征在于，在确定所述未覆盖源网际协议地址对应的网元网际协议地址之后，还包括：

判断所述网元网际协议地址对应的未覆盖源网际协议地址的数量是否大于或者等于预设数量阈值；

若是，则将所述网元网际协议地址确定为所述移动互联网恶意程序监测系统对应的未覆盖网元地址。

6.根据权利要求2所述的方法，其特征在于，分别判断各所述外部数据表示话单中各预设字段对应的字段值，与各所述网络地址转换话单中对应各预设字段对应的字段值是否满足一致性检测条件，包括：

若检测到某个外部数据表示话单中源网际协议地址字段、源端口字段、目的网际协议地址字段以及目的端口字段对应的字段值，与目标网络地址转换话单中对应源网际协议地址字段、源端口字段、目的网际协议地址字段以及目的端口字段对应的字段值均一致，且所检测外部数据表示话单中发生时间字段对应的字段值，与所述目标网络地址转换话单中发生时间字段对应的字段值的差值小于预设时间差阈值，则确定所检测外部数据表示话单中各预设字段对应的字段值，与所述目标网络地址转换话单中对应各预设字段对应的字段值满足一致性检测条件。