安全隐患检测方法、系统、装置、存储介质及电子设备

技术领域

本公开涉及数据处理领域，特别是涉及一种安全隐患检测方法、系统、装置、存储介质及电子设备。

背景技术

在服务器管理方面，服务器的信息安全是大多数服务器管理者较为关注的问题。

为了保证服务器的信息安全，一般会通过安装在服务器内的安全防护软件周期性对服务器进行自检，以在服务器中确定出高危文件，并对确定出的高危文件做对应的防御或杀毒处理。

但是，上述服务器的自检是根据安全防护软件内设置的识别方法识别出服务器内的高危文件的，在实际应用时，由于攻击者对服务器的攻击手段更新较快，且不同攻击者的攻击手段也较可能不同，因而较为多样的攻击手段使安全防护软件对高危文件进行识别的识别方法无法实时同步更新，进而服务器中较可能会存在部分高危文件是攻击者对服务器进行攻击操作时产生的，且该部分高危文件没有被服务器内的安全防护软件识别为高危文件，此时服务器的信息安全隐患较大。

发明内容

针对上述服务器的信息安全隐患较大的技术问题，本公开采用的技术方案为：

根据本公开的一方面，提供了一种安全隐患检测方法，应用于目标服务器，目标服务器连接有多个待检测服务器，目标服务器和多个待检测服务器均连接在目标网络中。

该方法包括：

接收蜜罐服务器发送的若干高危样本文件的样本信息；样本信息为蜜罐服务器根据其受到的攻击操作而确定出的。

根据若干高危样本文件的样本信息，分别确定每一待检测服务器中威胁文件的信息；威胁文件为待检测服务器中已存储的与任一高危样本文件之间符合预设的相似条件的文件。

将对应的威胁文件的信息符合预设条件的待检测服务器作为待处理服务器，并中断该待处理服务器与目标网络的连接。

参照上述方案，本公开中的用于在待检测服务器中确定出威胁文件的高危样本文件是根据攻击者的攻击操作得到的，基于此，即使攻击者对待检测服务器的攻击手段是较为新颖的，攻击者仍很可能会采用相同或相似的攻击手段对蜜罐服务器进行攻击操作，因而高危样本文件也可以得到及时的更新，进而本发明中根据蜜罐服务器中的高危样本文件识别威胁文件，是可以减少待检测服务器中没有被识别为威胁文件的高危文件的数量的，达到了减小服务器的安全隐患的目的。

可选的，在接收蜜罐服务器发送的若干高危样本文件的样本信息之前，该方法还包括：

响应于蜜罐服务器发送的连接请求，中断每一待检测服务器与目标网络的连接。

通过目标网络与蜜罐服务器建立连接；蜜罐服务器被配置为，在发送连接请求之前会中断与当前网络的连接，且在接收蜜罐服务器发送的若干高危样本文件之后，蜜罐服务器会中断与目标服务器的连接。

该方法还包括：

当与蜜罐服务器的连接中断后，将每一待检测服务器连接至目标网络。

参照上述方案，相比于蜜罐服务器通过蓝牙连接向目标服务器发送若干高危样本文件，本公开中的蜜罐服务器可以通过网络连接向目标服务器发送若干高危样本文件，从而蜜罐服务器向目标服务器发送若干高危样本文件需要的时间更少，可以减小攻击者通过蜜罐服务器攻击目标服务器的可能性，减小目标服务器的安全隐患。进一步的，蜜罐服务器与待检测服务器不会同时与目标网络连接，可以减小攻击者通过蜜罐服务器攻击待检测服务器的可能性，减小待检测服务器的安全隐患。

可选的，样本信息包括：若干高危样本文件的文件特征信息；威胁文件的信息包括：每一待检测服务器中威胁文件的数量。

根据若干高危样本文件的样本信息，分别确定每一待检测服务器中威胁文件的信息，包括：

将每一高危样本文件的文件特征信息发送至各个待检测服务器中。

接收每一待检测服务器返回的该待检测服务器中威胁文件的数量；威胁文件的文件特征信息与任一高危样本文件的文件特征信息之间符合预设的相似条件。

将对应的威胁文件的信息符合预设条件的待检测服务器作为待处理服务器，包括：

将对应的威胁文件的数量大于预设数量的待检测服务器作为待处理服务器。

参照上述方案，本公开通过采用目标服务器接收蜜罐服务器发送的若干高危样本文件的文件特征信息的技术方案，相比于目标服务器接收蜜罐服务器发送的若干高危样本文件，本公开中蜜罐服务器向目标服务器发送的数据的数据量更小，进而蜜罐服务器与目标服务器之间进行数据传输的时间更少，可以减小目标服务器的安全隐患。

可选的，威胁文件的信息包括：每一待检测服务器中威胁文件的数量和威胁文件的威胁等级。

将对应的威胁文件的信息符合预设条件的待检测服务器作为待处理服务器，包括：

基于各待检测服务器对应的威胁文件的数量和威胁等级，对各待检测服务器的威胁等级进行评估。

将对应的威胁等级大于预设威胁等级的待检测服务器作为待处理服务器。

可选的，高危样本文件为蜜罐服务器在其受到攻击操作的情况下被添加的文件或被打开的文件。

根据本公开的另一方面，还提供了一种安全隐患检测系统，包括：漏洞欺骗模块、网络攻击防御模块、样本信息审计模块和隐患检测模块。

漏洞欺骗模块，用于诱导攻击者对蜜罐服务器进行攻击。

网络攻击防御模块，用于控制蜜罐服务器与目标网络之间的连接；目标网络中包括目标服务器和多个待检测服务器，目标服务器连接有多个待检测服务器。

样本信息审计模块，用于在蜜罐服务器受到攻击操作时，确定出若干高危样本文件的样本信息，以及用于定期将样本信息发送至隐患检测模块。

隐患检测模块，用于根据若干高危样本文件的样本信息，分别确定每一待检测服务器中威胁文件的信息，以及将对应的威胁文件的信息符合预设条件的待检测服务器作为待处理服务器，并中断该待处理服务器与目标网络的连接；威胁文件为待检测服务器中已存储的与任一高危样本文件之间符合预设的相似条件的文件。

可选的，样本信息审计模块，用于在蜜罐服务器受到攻击操作时，确定出若干高危样本文件的样本信息，包括：

样本信息审计模块，用于在蜜罐服务器受到攻击操作时，将蜜罐服务器中被添加的文件和被打开的文件的样本信息均作为高危样本文件的样本信息；蜜罐服务器中存储有若干目标文件，目标文件为文件名包括至少一个目标关键词的文件，每一目标文件均随机存储于蜜罐服务器的任意存储路径中。

根据本公开的另一方面，还提供了一种安全隐患检测装置，该装置连接有多个待检测服务器，装置和多个待检测服务器均连接在目标网络中，该装置包括：

接收模块，用于接收蜜罐服务器发送的若干高危样本文件的样本信息；样本信息为蜜罐服务器根据其受到的攻击操作而确定出的。

确定模块，用于根据若干高危样本文件的样本信息，分别确定每一待检测服务器中威胁文件的信息；威胁文件为待检测服务器中已存储的与任一高危样本文件之间符合预设的相似条件的文件。

比较模块，用于将对应的威胁文件的信息符合预设条件的待检测服务器作为待处理服务器，并中断该待处理服务器与目标网络的连接。

根据本公开的另一方面，还提供了一种非瞬时性计算机可读存储介质，存储介质中存储有至少一条指令或至少一段程序，至少一条指令或至少一段程序由处理器加载并执行以实现上述安全隐患检测方法。

根据本公开的另一方面，还提供了一种电子设备，包括处理器和上述非瞬时性计算机可读存储介质。

本公开的实施例提供的技术方案可以包括以下有益效果：

本公开中的目标服务器，根据蜜罐服务器受到的攻击操作而确定出的若干高危样本文件的样本信息，可以得到每一待检测服务器中威胁文件的信息，然后将对应的威胁文件的信息符合预设条件的待检测服务器作为待处理服务器，并中断该待处理服务器与目标网络的连接。在相关技术中，待检测服务器直接通过其内安装的安全防护软件进行高危文件的识别，由于较为多样的攻击手段使安全防护软件对高危文件进行识别的识别方法无法实时同步更新，因此相关技术中的待检测服务器内较可能会存在部分高危文件是攻击者对待检测服务器进行攻击操作时产生的，且该部分高危文件没有被服务器内的安全防护软件识别为高危文件。而本公开中的用于在待检测服务器中确定出威胁文件的高危样本文件是根据攻击者的攻击操作得到的，基于此，即使攻击者对待检测服务器的攻击手段是较为新颖的，攻击者仍很可能会采用相同或相似的攻击手段对蜜罐服务器进行攻击操作，因而高危样本文件也可以得到及时的更新，进而本发明中根据蜜罐服务器中的高危样本文件识别威胁文件，是可以减少待检测服务器中没有被识别为威胁文件的高危文件的数量的，达到了减小服务器的安全隐患的目的。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。

附图说明

为了更清楚地说明本公开实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图；此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

图1是根据一示例性实施例示出的安全隐患检测方法的流程图。

图2是根据一示例性实施例示出的安全隐患检测装置的示意性框图。

具体实施方式

下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

本公开实施例提供了一种安全隐患检测方法，其中，该方法可以由以下任意一项或其任意组合完成：终端、服务器、其他具备处理能力的设备，本公开实施例对此不作限定。

本公开实施例以安全隐患检测方法应用于目标服务器为例，下面将参照图1所示的安全隐患检测方法的流程图，对安全隐患检测方法进行介绍。

目标服务器连接有多个待检测服务器，目标服务器和多个待检测服务器均连接在目标网络中。其中，目标网络可以为广域网或局域网等网络，优选的，目标网络可以为局域网。

该方法包括以下步骤：

S100，接收蜜罐服务器发送的若干高危样本文件的样本信息。

其中，样本信息为蜜罐服务器根据其受到的攻击操作而确定出的。

在一种可能的实施方式中，可以在蜜罐服务器的系统中建立无密码或弱密码用户，并搭建若干较为常见的协议端口，例如ssh(SecureShell，安全外壳协议)端口或ftp(File TransferProtocol，文件传输协议)端口等，此时蜜罐服务器为安全防护性能较低的服务器，以尽量让攻击者认为蜜罐服务器方便入侵。在蜜罐服务器被攻击者攻击后，会由于攻击者的攻击操作而产生若干高危样本文件，此时蜜罐服务器可以将若干高危样本文件的样本信息发送至目标服务器中。

S200，根据若干高危样本文件，分别确定每一待检测服务器中威胁文件的信息。

其中，威胁文件为待检测服务器中已存储的与任一高危样本文件之间符合预设的相似条件的文件。

具体的，样本信息可以为对应的高危样本文件和/或对应的高危样本文件的关键信息，关键信息可以为对应的高危样本文件的文件名、文件类型、文件大小、MD和/或文件内容中的关键词等，本公开实施例对此不作限定。威胁文件的信息可以为威胁文件的数量和/或威胁文件的威胁等级等，本公开实施例对此不作限定。

在一种可能的实施方式中，在目标服务器接收到若干高危样本文件后，目标服务器可以根据每一待检测服务器的服务器标识获取每一待检测服务器中已存储的文件，服务器标识可以为对应的服务器的唯一标识，例如ip地址等标识。对于每一待检测服务器，目标服务器再确定出该待检测服务器已存储的文件中与每一高危样本文件之间符合预设的相似条件的文件的信息，以得到每一待检测服务器中与每一高危样本文件对应的威胁文件的信息，每一高危样本文件对应的威胁文件为待检测服务器中已存储的与该高危样本文件之间符合预设的相似条件的文件。

其中，任一高危样本文件与待检测服务器中的任一文件符合预设的相似条件，可以为该高危样本文件的文件内容与该任一文件的文件内容的相似度达到预设阈值以上，预设阈值可以为70％-100％，例如，该高危样本文件的文件内容与该任一文件的文件内容相似度达到80％以上。

S300，将对应的威胁文件的信息符合预设条件的待检测服务器作为待处理服务器，并中断该待处理服务器与目标网络的连接。

具体的，对应的威胁文件的信息符合预设条件的待检测服务器可以为对应的威胁文件的数量大于预设数量和/或对应的威胁文件的威胁等级大于预设威胁等级等。其中，预设数量具体的数值大小可以根据待检测服务器的安全性能要求等实际情况进行设置，本公开在此不作限定，例如，预设数量可以设置为10至50。

在一种可能的实施方式中，对于每一待检测服务器，判断该待检测服务器对应的威胁文件的信息是否符合预设条件；若是，则将该待检测服务器作为待处理服务器。然后确定若干待检测服务器中是否存在待处理服务器；若存在，则向每一待处理服务器发送断网请求，每一待处理服务器在接收到断网请求后均会中断与目标网络的连接，并可以向管理员发送告警信息。

因此，本公开中的目标服务器，根据蜜罐服务器受到的攻击操作而确定出的若干高危样本文件的样本信息，可以得到每一待检测服务器中威胁文件的信息，然后将对应的威胁文件的信息符合预设条件的待检测服务器作为待处理服务器，并中断该待处理服务器与目标网络的连接。在相关技术中，待检测服务器直接通过其内安装的安全防护软件进行高危文件的识别，由于较为多样的攻击手段使安全防护软件对高危文件进行识别的识别方法无法实时同步更新，因此相关技术中的待检测服务器内较可能会存在部分高危文件是攻击者对待检测服务

器进行攻击操作时产生的，且该部分高危文件没有被服务器内的安全防护软件识别为高危文5件。而本公开中的用于在待检测服务器中确定出威胁文件的高危样本文件是根据攻击者的攻击操作得到的，基于此，即使攻击者对待检测服务器的攻击手段是较为新颖的，攻击者仍很可能会采用相同或相似的攻击手段对蜜罐服务器进行攻击操作，因而高危样本文件也可以得到及时的更新，进而本发明中根据蜜罐服务器中的高危样本文件识别威胁文件，是可以减少

待检测服务器中没有被识别为威胁文件的高危文件的数量的，达到了减小服务器的安全隐患0的目的。

进一步的，本公开中的蜜罐服务器可以将收集到的若干高危样本文件的样本信息发送至目标服务器中，然后目标服务器可以确定出若干待检测服务器中的待处理服务器，即目标服务器可以确定出若干待检测服务器中信息安全隐患较大的待检测服务器，并中断信息安全隐

患较大的待检测服务器与目标网络的连接，以减小信息安全隐患较大的待检测服务器对其他5待检测服务器的信息安全的影响，进而可以减小每一待检测服务器的信息安全隐患。同时，

相比于蜜罐服务器将收集到的攻击信息直接发送至待检测服务器中，本公开中蜜罐服务器与待检测服务器无需直接进行数据通信，因此可以减小攻击者通过蜜罐服务器攻击到待检测服务器的可能性，进一步减小了待检测服务器的信息安全隐患。

可选的，在上述步骤S100之前，该方法还包括以下步骤：

0S400，响应于蜜罐服务器发送的连接请求，中断每一待检测服务器与目标网络的连接。S500，通过目标网络与蜜罐服务器建立连接。

其中，蜜罐服务器被配置为，在发送连接请求之前会中断与当前网络的连接，且在上述步骤S100之后，蜜罐服务器会中断与目标服务器的连接。

该方法还包括以下步骤：5S600，当与蜜罐服务器的连接中断后，将每一待检测服务器连接至目标网络

在一种可能的实施方式中，在蜜罐服务器得到若干高危样本文件后，蜜罐服务器可以先中断与当前网络的连接，再向目标服务器发送连接请求。目标服务器在接收到该连接请求后，向与蜜罐服务器建立数据传输的连接，然后目标服务器可以进入步骤S100，以接收蜜罐服务器发送的若干高危样本文件的样本文件，并在发送完成后，中断目标服务器与蜜罐服务器之间的数据传输连接。其中，数据传输的连接可以为蓝牙连接或网络连接等可以进行数据传输的连接方式。在此之后，目标服务器再执行步骤S200。

因此，若在蜜罐服务器向目标服务器发送若干高危样本文件的样本信息之前，攻击者正在对已成功操控的蜜罐服务器实施具体的攻击操作，则蜜罐服务器中断与当前网络的连接可以中断攻击者对蜜罐服务器的操控，此时攻击者需要尝试对蜜罐服务器重新操控。从而在蜜罐服务器向目标服务器发送若干高危样本文件的过程中，攻击者大概率处于重新尝试操控蜜罐服务器或者放弃啊操控蜜罐服务器的状态。进而攻击者在蜜罐服务器向目标服务器发送高危样本文件的过程中，通过蜜罐服务器攻击目标服务器的可能性较低，可以减小目标服务器的信息安全隐患。

对于当前网络和目标网络，在一种可能的实施方式中，当前网络与目标网络可以为同一网络，此时工作状态的蜜罐服务器与待检测服务器连接在同一网络中，待检测服务器根据其受到的攻击操作而产生的文件在蜜罐服务器中基本上都会存在相似的文件。因此相比于工作状态的蜜罐服务器与待检测服务器连接不同的网络中，通过与待检测服务器连接同一网络的蜜罐服务器中的若干高危样本文件的样本信息，可以检测出待检测服务器中更多的存在安全隐患的文件。

对于当前网络和目标网络，在另一种可能的实施方式中，当前网络还可以为与目标网络为不同的网络，此时工作状态的蜜罐服务器与待检测服务器连接在不同的网络中。相比于工作状态的蜜罐服务器与待检测服务器连接在同一网络中，攻击者通过蜜罐服务器连接的与目标网络不同的网络攻击到到检测服务器的可能性较低。

优选的，当前网络为广域网，目标网络为局域网。由于连接在广域网中的设备相比于连接在局域网中的设备的信息安全隐患更大，因此广域网使蜜罐服务器可以收集到更多的高危样本文件，局域网可以使目标服务器和待检测服务器的信息隐患更小。

在另一种可能的实施方式中，目标服务器响应于接收到蜜罐服务器发送的连接请求，可以将每一待检测服务器与目标网络的连接中断，然后将蜜罐服务器与当前网络的连接中断，并将蜜罐服务器与目标网络建立连接。此时蜜罐服务器可以通过目标网络向目标服务器发送若干高危样本文件的样本信息，在目标服务器接收到若干高危样本文件的样本信息后，可以向蜜罐服务器返回中断目标网络的请求，蜜罐服务器在接收到该请求后，可以中断与目标网络的连接。然后目标服务器可以向每一待检测服务器发送目标网络的连接请求，每一待检测服务器可以响应于对应的连接请求而与目标网络连接。在此之后，目标服务器再执行步骤S200。

因此，相比于蜜罐服务器通过蓝牙连接向目标服务器发送若干高危样本文件，本公开中的蜜罐服务器可以通过网络连接向目标服务器发送若干高危样本文件，从而蜜罐服务器向目标服务器发送若干高危样本文件需要的时间更少，可以减小攻击者通过蜜罐服务器攻击目标服务器的可能性，减小目标服务器的安全隐患。进一步的，蜜罐服务器与待检测服务器不会同时与目标网络连接，可以减小攻击者通过蜜罐服务器攻击待检测服务器的可能性，减小待检测服务器的安全隐患。

在另一种可能的实施方式中，蜜罐服务器中可以安装有防火墙等网络安全防护软件，当蜜罐服务器连接至目标网络后，蜜罐服务器中的网络安全防护软件可以中断每一待检测服务器与目标网络的连接。

在另一种可能的实施方式中，目标网络为第一网络，则目标服务器响应于接收到蜜罐服务器发送的连接请求，将蜜罐服务器与当前网络的连接中断，然后可以将蜜罐服务器与第二网络建立连接，第一网络和当前网络均与第二网络不同。此时蜜罐服务器可以通过第二网络向连接有第一网络的目标服务器发送若干高危样本文件的样本信息，然后在目标服务器接收到若干高危样本文件的样本信息后，可以向蜜罐服务器返回中断第二网络的请求，蜜罐服务器在接收到该请求后，可以中断与第二网络的连接，并与当前网络建立连接。因此，即使待检测服务器不与第一网络断开连接，蜜罐服务器也不会与待检测服务器同时与第一网络连接，节省计算资源。优选的，第二网络可以为局域网。

可选的，样本信息包括：若干高危样本文件的文件特征信息；威胁文件的信息包括：每一待检测服务器中威胁文件的数量：

上述步骤S200包括以下步骤：

S210，将每一高危样本文件的文件特征信息发送至各个待检测服务器中。

S220，接收每一待检测服务器返回的该待检测服务器中威胁文件的数量。

其中，威胁文件为文件特征信息与任一高危样本文件的文件特征信息之间符合预设的相似条件的文件，且威胁文件为已存储于待检测服务器中的文件。

具体的，威胁文件为已存储于待检测服务器中且文件特征信息与任一高危样本文件的文件特征信息相同的文件。

在一种可能的实施方式中，文件特征信息可以为用于唯一标识对应的文件内容的标识，例如，文件特征信息可以为MD5(MD5Message-DigestAlgorithm，MD5信息摘要算法)值。

蜜罐服务器在得到若干高危样本文件后，可以确定出每一高危样本文件的文件特征信息，然后将若干高危样本文件的文件特征信息发送至目标服务器中。

目标服务器在接收到蜜罐服务器发送的若干高危样本文件的文件特征信息后，目标服务器可以将每一高危样本文件的文件特征信息发送至待检测服务器中。每一待检测服务器在接收到若干高危样本文件的文件特征信息后，可以确定出该待检测服务器中每一高危样本文件对应的威胁文件的数量。每一高危样本文件对应的威胁文件的数量为，对应的待检测服务器中文件特征信息与该高危样本文件的文件特征信息符合预设的相似条件的文件的数量。

然后每一待检测服务器可以将该待检测服务器的服务器标识和该待检测服务器中每一高危样本文件对应的威胁文件的数量返回至目标服务器中，目标服务器将从同一待检测服务器接收到的每一高危样本文件对应的威胁文件的数量进行求和，并将从该待检测服务器接收到的服务器标识与求和结果建立关联，以得到每一待检测服务器中的威胁文件的数量。

因此，本公开通过采用目标服务器接收蜜罐服务器发送的若干高危样本文件的文件特征信息的技术方案，相比于目标服务器接收蜜罐服务器发送的若干高危样本文件，本公开中蜜罐服务器向目标服务器发送的数据的数据量更小，进而蜜罐服务器与目标服务器之间进行数据传输的时间更少，可以减小目标服务器的安全隐患。

进一步的，本公开中采用目标服务器接收每一待检测服务器返回的该待检测服务器中威胁文件的数量。相比于相关技术中目标服务器接收每一待检测服务器中的每一文件的文件特征信息，然后根据接收到的每一高危样本文件的文件特征信息和每一待检测服务器中的每一文件的文件特征信息，确定出每一待检测服务器中威胁文件的数量，本公开可以减少待检测服务器向目标服务器传输的数据量，节省目标服务器的计算资源和存储资源。

基于此，上述将对应的威胁文件的信息符合预设条件的待检测服务器作为待处理服务器，包括：

将对应的威胁文件的数量大于预设数量的待检测服务器作为待处理服务器。

在一种可能的实施方式中，在得到每一待检测服务器中与每一高危样本文件对应的威胁文件的数量后，对于每一待检测服务器，可以将其中与每一高危样本文件对应的威胁文件的数量进行求和，以得到每一待检测服务器中威胁文件的数量，然后将每一待检测服务器的服务器标识与其中威胁文件的数量建立关联关系。然后对于每一待检测服务器的服务器标识，判断与该服务器标识关联的威胁文件数量是否大于预设数量；若是，则将该服务器标识对应的待检测服务器作为待处理服务器。

可选的，威胁文件的信息包括：每一待检测服务器中威胁文件的数量和威胁文件的威胁等级。

基于此，上述将对应的威胁文件的信息符合预设条件的待检测服务器作为待处理服务器，包括：

基于各待检测服务器对应的威胁文件的数量和威胁等级，对各待检测服务器的威胁等级进行评估。

将对应的威胁等级大于预设威胁等级的待检测服务器作为待处理服务器。

具体的，威胁文件的威胁等级可以根据威胁文件的功能、用途和/或隐秘性进行分类评估得到的。例如，若第一威胁文件用于在其所在的设备中隐藏自身以及其他病毒，第二威胁文件用于在其所在的服务器中收集信息，则第一威胁文件的威胁等级比第二威胁文件的威胁等级高。

在一种可能的实施方式中，对于任一待检测服务器，在目标服务器获取到其对应的威胁文件的数量和每一威胁文件的威胁等级后，可以对目标服务器对应的威胁文件的威胁等级进行求和，得到总威胁等级，并对目标服务器对应的威胁文件的数量进行求和，得到总数量，然后将该总威胁等级与总数量的比值作为该待检测服务器对应的威胁等级。

可选的，高危样本文件为蜜罐服务器中根据其受到的攻击操作而添加的文件或被打开的文件。

在一种可能的实施方式中，在达到第一预设时间时，蜜罐服务器可以将其中通过预设的用户在第二预设时间以后添加的每一文件和每一被打开的文件均作为高危样本文件。预设的用户为上述无密码或弱密码用户。其中，第二预设时间在第一预设时间之前，示例性的，第一预设时间可以为第二预设时间以后的任意一个日期的零点。

在另一种可能的实施方式中，在达到第一预设时间时，可以在蜜罐服务器的操作日志中查找在第二预设时间之后该操作日志中记载的若干文件，然后将该若干文件中的每一文件均作为高危样本文件。

可选的，蜜罐服务器中存储有若干目标文件，目标文件为文件名包括至少一个目标关键词的文件，每一目标文件均随机存储于蜜罐服务器的任意存储路径中。

在一种可能的实施方式中，目标关键词可以为攻击者较为感兴趣的词汇，例如，目标关键词可以为财政信息、物资运输信息和/或竞标信息等。示例性的，目标文件的文件名可以为“XXX财政信息.doc”、“XXX地区物资运输信息.doc”或“XXX竞标信息.doc”等。

由于蜜罐服务器中包括文件名包括目标关键词的文件，因此攻击者对攻击蜜罐服务器会较为感兴趣，进而可以使蜜罐服务器可以收集到更多的高危样本文件。

在另一种可能的实施方式中，目标文件中可以存储有反攻击数据，反攻击数据用于在攻击者的设备下载并打开对应的目标文件后，获取攻击者的设备的设备信息和/或进行尝试操控攻击者的设备等操作。设备信息可以为设备的ip地址、设备中安装的攻击软件或设备中已搭建的协议端口的端口号等。

在另一种可能的实施方式中，可以收集攻击者打开的目标文件的存储路径，并在每一待检测服务器中优先从收集到的存储路径中查找是否存在威胁文件，以减少待检测服务器中的威胁文件未被检测到的可能性。

可选的，目标服务器中可以通过杀毒软件、防火墙、selinux(Security-EnhancedLinux，安全增强型Linux)、鉴别认证、访问控制和/或通讯数据加密等工具或技术进行安全防护。进而可以减小攻击者通过蜜罐服务器攻击目标服务器的可能性，减小目标服务器的安全隐患。

可选的，蜜罐服务器中可以安装常用的若干软件，例如文档编辑、浏览器或视频音频播放等软件，以模拟真实的服务器，尽可能让攻击者误以为蜜罐服务器为存储真实信息的服务器，以诱导攻击者在蜜罐服务器中进行更多的攻击操作，可以得到更多的高危样本文件。

本公开实施例还提供了一种安全隐患检测系统，该系统包括漏洞欺骗模块、网络攻击防御模块、样本信息审计模块和隐患检测模块。

漏洞欺骗模块，用于诱导攻击者对蜜罐服务器进行攻击。

网络攻击防御模块，用于控制蜜罐服务器与目标网络之间的连接。

其中，目标网络中包括目标服务器和多个待检测服务器，目标服务器连接有多个待检测服务器。

样本信息审计模块，用于在蜜罐服务器受到攻击操作时，确定出若干高危样本文件的样本信息，以及用于定期将样本信息发送至隐患检测模块。

隐患检测模块，用于根据若干高危样本文件的样本信息，分别确定每一待检测服务器中威胁文件的信息，以及将对应的威胁文件的信息符合预设条件的待检测服务器作为待处理服务器，并中断该待处理服务器与目标网络的连接。

其中，威胁文件为待检测服务器中已存储的与任一高危样本文件之间符合预设的相似条件的文件。

可选的，样本信息审计模块，用于在蜜罐服务器受到攻击操作时，确定出若干高危样本文件的样本信息，包括：

样本信息审计模块，用于在蜜罐服务器受到攻击操作时，将蜜罐服务器中被添加的文件和被打开的文件的样本信息均作为高危样本文件的样本信息；蜜罐服务器中存储有若干目标

文件，目标文件为文件名包括至少一个目标关键词的文件，每一目标文件均随机存储于蜜罐5服务器的任意存储路径中。

本公开实施例还提供了一种安全隐患检测装置，该装置用于实现上述安全隐患检测方法。

该装置连接有多个待检测服务器，该装置和多个待检测服务器均连接在目标网络中。

参照图2所示的安全隐患检测装置的示意性框图，安全隐患检测装置700包括：接收模块701、确定模块702和比较模块703。

0接收模块701，用于接收蜜罐服务器发送的若干高危样本文件的样本信息；样本信息为蜜罐服务器根据其受到的攻击操作而确定出的。

确定模块702，用于根据若干高危样本文件的样本信息，分别确定每一待检测服务器中威胁文件的信息；威胁文件为待检测服务器中已存储的与任一高危样本文件之间符合预设的相似条件的文件。

5比较模块703，用于将对应的威胁文件的信息符合预设条件的待检测服务器作为待处理服务器，并中断该待处理服务器与目标网络的连接。

可选的，装置还包括断网模块，用于：

在接收蜜罐服务器发送的若干高危样本文件的样本信息之前，响应于蜜罐服务器发送的连接请求，中断每一待检测服务器与目标网络的连接。

0通过目标网络与蜜罐服务器建立连接；蜜罐服务器被配置为，在发送连接请求之前会中断与当前网络的连接，且在接收蜜罐服务器发送的若干高危样本文件之后，蜜罐服务器会中断与目标服务器的连接。

装置还包括连接模块，用于：

当与蜜罐服务器的连接中断后，将每一待检测服务器连接至目标网络。

5可选的，样本信息包括：若干高危样本文件的文件特征信息；威胁文件的信息包括：每一待检测服务器中威胁文件的数量。

可选的，确定模块702还用于：

将每一高危样本文件的文件特征信息发送至各个待检测服务器中。

接收每一待检测服务器返回的该待检测服务器中威胁文件的数量；威胁文件的文件特征信息与任一高危样本文件的文件特征信息之间符合预设的相似条件。

比较模块703还用于：

将对应的威胁文件的数量大于预设数量的待检测服务器作为待处理服务器。

可选的，威胁文件的信息包括：每一待检测服务器中威胁文件的数量和威胁文件的威胁等级。

比较模块703还用于：

基于各待检测服务器对应的威胁文件的数量和威胁等级，对各待检测服务器的威胁等级进行评估。

将对应的威胁等级大于预设威胁等级的待检测服务器作为待处理服务器。

可选的，高危样本文件为蜜罐服务器在其受到攻击操作的情况下被添加的文件或被打开的文件。

本公开的实施例还提供了一种非瞬时性计算机可读存储介质，该存储介质可设置于电子设备之中以保存用于实现方法实施例中一种方法相关的至少一条指令或至少一段程序，该至少一条指令或该至少一段程序由该处理器加载并执行以实现上述实施例提供的方法。

本公开的实施例还提供了一种电子设备，包括处理器和前述的非瞬时性计算机可读存储介质。

虽然已经通过示例对本公开的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本公开的范围。本领域的技术人员还应理解，可以对实施例进行多种修改而不脱离本公开的范围和精神。本公开开的范围由所附权利要求来限定。