CN109600362A - 基于识别模型的僵尸主机识别方法、识别设备及介质 - Google Patents
基于识别模型的僵尸主机识别方法、识别设备及介质 Download PDFInfo
- Publication number
- CN109600362A CN109600362A CN201811423378.7A CN201811423378A CN109600362A CN 109600362 A CN109600362 A CN 109600362A CN 201811423378 A CN201811423378 A CN 201811423378A CN 109600362 A CN109600362 A CN 109600362A
- Authority
- CN
- China
- Prior art keywords
- host
- attack
- destination host
- zombie
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Abstract
本申请公开了一种基于识别模型的僵尸主机识别方法、识别设备及介质,应用于人工智能技术领域。其中,该方法包括:获取目标主机的攻击标注数据,所述攻击标注数据包括攻击的主机的标识、攻击行为信息、攻击目的信息、攻击严重程度信息中的任一项或多项;将所述攻击标注数据输入预置的僵尸主机识别模型,以得到对所述目标主机的识别结果;根据预设的识别结果和控制策略的对应关系,确定出所述目标主机的识别结果对应的控制策略,并按照确定出的控制策略对所述目标主机进行控制。采用本申请,有助于提升对网络中的僵尸主机的识别的可靠性。
Description
技术领域
本申请涉及人工智能技术领域,尤其涉及一种基于识别模型的僵尸主机识别方法、识别设备及介质。
背景技术
目前,互联网环境下存在着大量的僵尸主机的扫描行为,包括发送垃圾邮件、攻击外网某服务或者窃取企业敏感信息等,这些攻击行为不仅会对网络资源产生很大消耗,还可能导致泄露企业机密或用户隐私,甚至造成用户财产损失。因此,需要及时地检测出可能存在的僵尸主机,避免威胁范围扩大,减小资源消耗和损失。而由于僵尸主机在网络中的行为并不固定,这就导致难以识别出网络中的僵尸主机,对僵尸主机的识别不可靠。
发明内容
本申请实施例提供一种基于识别模型的僵尸主机识别方法、识别设备及介质,有助于提升对网络中的僵尸主机的识别的可靠性。
第一方面,本申请实施例提供了一种基于识别模型的僵尸主机识别方法,包括:
获取目标主机的攻击标注数据,所述攻击标注数据包括攻击的主机的标识、攻击行为信息、攻击目的信息、攻击严重程度信息中的任一项或多项;
将所述攻击标注数据输入预置的僵尸主机识别模型,以得到对所述目标主机的识别结果;其中,所述僵尸主机识别模型是根据历史记录中不同类型的僵尸主机的攻击标注数据训练得到的,所述识别结果用于指示所述目标主机是否为僵尸主机,所述识别结果包括所述目标主机是否为僵尸主机的标记信息、所述目标主机为僵尸主机的概率以及所述目标主机为僵尸主机时所属的僵尸主机类型中的任一项或多项;
根据预设的识别结果和控制策略的对应关系,确定出所述目标主机的识别结果对应的控制策略,并按照确定出的控制策略对所述目标主机进行控制。
可选的,所述攻击标注数据包括攻击主机的标识、攻击行为信息和攻击严重程度信息,所述攻击行为信息包括攻击次数,所述攻击严重程度信息包括攻击严重程度等级;所述获取目标主机的攻击标注数据,包括:
采集所述目标主机的行为日志信息,所述行为日志信息中包括攻击的主机的标识和攻击行为信息;
根据所述攻击的主机的标识确定出所述目标主机攻击的主机的数量;
根据预设的攻击的主机数量、攻击次数和攻击严重程度等级三者之间的对应关系,确定与所述目标主机攻击的主机的数量和所述攻击行为信息包括的攻击次数对应的攻击严重程度等级。
可选的,所述方法还包括:
如果所述识别结果指示所述目标主机为僵尸主机,检测所述目标主机的目标通信报文的源地址,所述目标通信报文为用于指示所述目标主机的攻击行为的报文;
检测所述目标通信报文的源地址对应的通信设备是否存在定时通信事件;
如果所述通信设备存在所述定时通信事件,确定所述通信设备为所述目标主机的中控机。
可选的,所述方法还包括:
如果所述识别结果指示所述目标主机为僵尸主机,确定所述目标主机发起攻击行为之前的预设时间窗内向所述目标主机发送过通信报文的各个通信设备;
分别向所述各个通信设备发送探测报文,所述探测报文为预设的用于伪造主机被中控机控制后发送的报文;
如果接收到任一通信设备针对所述探测报文发送的响应报文,且所述响应报文包括用于指示所述目标主机发起攻击的控制指令,则确定所述通信设备为所述目标主机的中控机。
可选的,在所述确定所述通信设备为所述僵尸主机的中控机之后,所述方法还包括:
确定预设时间范围内与确定为中控机的所述通信设备进行通信的主机,并获取所述主机的攻击标注数据;
将所述主机的攻击标注数据输入所述僵尸主机识别模型,以得到对所述主机的识别结果。
可选的,所述目标主机为IP地址处于预设IP地址段的主机,和/或,所述目标主机为预设区域范围内的主机,和/或,所述目标主机为具有预设行为特征的主机。
可选的,所述目标主机为IP地址处于预设IP地址段的主机;在所述获取目标主机的攻击标注数据之前,所述方法还包括:
根据预设的校验算法与主机信息的对应关系,从预设的校验算法集合中确定出与IP地址对应的目标校验算法;其中,所述校验算法集合包括多种校验算法,所述主机信息包括IP地址、媒体访问控制MAC地址、中央处理器CPU序列号、主板型号、设备品牌、CPU型号、操作系统编译类型或传感器数量,每种校验算法对应一种或多种主机信息;
使用所述目标校验算法对所述目标主机的IP地址进行校验,以确定所述目标主机的IP地址是否被篡改;
如果确定所述目标主机的IP地址未被篡改,触发所述获取目标主机的攻击标注数据的步骤。
第二方面,本申请实施例提供了一种识别设备,该识别设备包括用于执行上述第一方面的方法的单元。
第三方面,本申请实施例提供了另一种识别设备,包括处理器、用户接口、通信接口和存储器,所述处理器、用户接口、通信接口和存储器相互连接,其中,所述存储器用于存储支持识别设备执行上述方法的计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行上述第一方面的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行上述第一方面的方法。
本申请实施例能够根据历史记录中不同类型的僵尸主机的攻击标注数据训练得到僵尸主机识别模型,使得能够通过获取目标主机的攻击标注数据,进而将该获取的攻击标注数据输入该僵尸主机识别模型,以得到用于指示该目标主机是否为僵尸主机的识别结果,并能够根据预设的识别结果和控制策略的对应关系,确定出该目标主机的识别结果对应的控制策略对该目标主机进行控制,这就有助于提升对网络中的僵尸主机的识别的可靠性,降低了网络风险,增强了网络安全性。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种基于识别模型的僵尸主机识别方法的流程示意图;
图2是本申请实施例提供的另一种基于识别模型的僵尸主机识别方法的流程示意图;
图3是本申请实施例提供的一种识别设备的结构示意图;
图4是本申请实施例提供的另一种识别设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的技术方案可应用于识别设备中,该识别设备可包括服务器、终端、主机或其他识别设备,用于识别或检测网络中的主机是否为僵尸主机。本申请涉及的终端可以是手机、电脑、平板、个人计算机、智能手表等,本申请不做限定。
具体的,本申请能够通过获取目标主机攻击的主机的标识、攻击行为信息、攻击目的信息和/或攻击严重程度信息等攻击标注数据,并将该获取的攻击标注数据输入预先训练得到的僵尸主机识别模型中,以得到用于指示该目标主机是否为僵尸主机的识别结果,从而实现僵尸主机的快速识别,有助于对网络中的僵尸主机的识别的可靠性。进一步的,本申请还能够根据预设的识别结果和控制策略的对应关系,确定出该目标主机的识别结果对应的控制策略以对该目标主机进行控制,以减小不必要的资源消耗,有助于避免或减小损失,增强网络安全性。以下分别详细说明。
请参见图1,图1是本申请实施例提供的一种基于识别模型的僵尸主机识别方法的流程示意图。具体的,本实施例的方法可应用于上述的识别设备中。如图1所示,该基于识别模型的僵尸主机识别方法可以包括以下步骤:
101、获取目标主机的攻击标注数据。
可选的,该目标主机可以为网络中的任一主机;或者,该目标主机可以为网络中的特定主机。例如,该目标主机可以为IP地址处于预设IP地址段的主机,和/或,该目标主机可以为预设区域范围内的主机,和/或,该目标主机可以为具有预设行为特征的主机,等等,此处不一一列举。其中,该IP地址段、区域范围和/或该预设行为特征均可预先设置得到。
其中,该攻击标注数据可包括攻击的主机的标识、攻击行为信息、攻击目的信息、攻击严重程度信息等数据中的任一项或多项。可选的,该攻击的主机的标识可包括攻击的主机的IP地址、媒体访问控制(Media Access Control,缩写:MAC)地址、端口信息和/或设备型号等等;攻击行为(或称为攻击方式)信息可包括DDoS攻击、访问恶意URL、获取网关外部的恶意文件、扫描网关外部的主机,以感染网关外部的主机和/或垃圾邮件SPAM(搜索引擎垃圾技术)行为等等;攻击目的信息可包括信息窃取、占用服务资源、推销广告和/或网络欺诈等;攻击严重程度信息(即攻击行为的严重程度信息)可包括攻击次数、攻击严重程度等级(可简称攻击等级)和/或攻击的主机的数量等等。进一步可选的,该攻击等级可通过多种方式确定出,例如,该攻击等级可以根据发起攻击的次数即攻击次数确定出,如单位时间内的攻击次数越多攻击等级越高,具体可预先设置得到该攻击次数和攻击等级的对应关系(映射关系);又如,该攻击等级可根据攻击的主机的数量确定出,如预设时间范围内攻击的主机的数量越多,攻击等级越高,具体可预先设置得到该攻击的主机的数量和攻击等级的对应关系;又如,该攻击等级可根据该攻击次数和攻击的主机的数量确定出,具体可预先设置得到该攻击次数、攻击的主机的数量和攻击等级三者之间的对应关系,或者该攻击等级还可通过其他方式确定出,本申请不做限定。
进一步可选的,该攻击标注数据可以是从该目标主机的日志信息采集到的,或者是通过监测该目标主机的通信行为分析得到的,或者从网络中抓取得到,或者还可以是通过其他方式或通过将上述的几种方式结合以获取到的,本申请不做限限定。
例如,该攻击标注数据可包括攻击主机的标识、攻击行为信息和攻击严重程度信息,该攻击行为信息可包括攻击次数,该攻击严重程度信息可包括攻击严重程度等级,并可预先设置得到攻击的主机数量、攻击次数和攻击严重程度等级三者之间的对应关系。则识别设备在获取目标主机的攻击标注数据时,可采集该目标主机的行为日志信息,该行为日志信息中包括攻击的主机的标识和攻击行为信息,并可根据该攻击的主机的标识确定出该目标主机攻击的主机的数量,进而根据预设的攻击的主机数量、攻击次数和攻击严重程度等级三者之间的对应关系,确定与该目标主机攻击的主机的数量和该攻击行为信息包括的攻击次数对应的攻击严重程度等级(即根据目标主机攻击的主机的数量和该攻击次数,基于该对应关系确定出对应的攻击严重程度等级)。也就是说,本申请可通过分析目标主机的用户行为日志信息,依据该日志信息,获取到攻击主机、攻击行为等信息,进而根据该攻击主机、攻击行为等信息,分析得到攻击目的、攻击行为的严重程度等信息,以实现获取得到该目标主机的攻击标注数据。
102、将该攻击标注数据输入预置的僵尸主机识别模型,以得到对该目标主机的识别结果,该识别结果可用于指示该目标主机是否为僵尸主机。
其中,该僵尸主机识别模型可以是根据历史记录中的僵尸主机的攻击标注数据训练得到的,即通过历史识别出的僵尸主机的攻击标注数据。具体的,可预先训练得到该僵尸主机识别模型,比如根据攻击的主机的信息如标识、攻击行为信息、攻击目的信息、攻击严重程度信息等攻击标注数据建立该识别模型,用于识别僵尸主机。可选的,训练该僵尸主机识别模型的该攻击标注数据可包括不同类型的僵尸主机的攻击数据,比如攻击行为不同的各种僵尸主机的攻击数据,攻击目的不同的各种僵尸主机的攻击数据等等,从而能够基于不同类型的攻击数据训练得到该僵尸主机识别模型,这就进一步提升了僵尸主机识别的准确性和可靠性。例如,该僵尸主机识别模型可以为神经网络模型,从而能够通过对不同的攻击主机、不同的攻击行为、不同的攻击目的、攻击行为的严重程度等攻击信息进行学习,建立神经网络模型。使得后续能够通过将主机行为数据如该攻击标注数据输入该模型以识别该主机是否为僵尸主机,从而实现对僵尸主机的有效识别。
可选的,在训练该僵尸主机识别模型时,还可以对不同类型的僵尸主机的攻击标注数据进行均衡化处理,以得到数量均衡(如任两种类型的僵尸主机的攻击标注数据的数量的差值均低于预设数目阈值)的攻击标注数据来进行训练。比如在进行训练数据的选取时,分别选取不同类型对应的数量均衡的攻击标注数据;或者,选取训练数据之后,如果某一类型的僵尸主机的攻击标注数据较少,还可通过无监督算法对该类型下的攻击标注数据进行训练,通过对该类型的攻击标注数据进行无监督训练,能够得到和该类数据类似的数据,从而增加该类型的训练数据,实现该不同类型的训练数据的均衡化处理;或者,还可通过其他方式实现该均衡化处理,此处不一一列举。这就使得提升了模型训练效果,进而进一步提升了僵尸主机识别的可靠性。
其中,该识别结果可用于指示该目标主机是否为僵尸主机。可选的,该识别结果可包括该目标主机是否为僵尸主机的标记信息、该目标主机为僵尸主机的概率(或得分)以及该目标主机为僵尸主机时所属的僵尸主机类型中的任一项或多项。进一步可选的,该标记信息可以是文字信息如该目标主机是否为僵尸主机的文字信息;或者,该标记信息可以用于标记主机是否为僵尸主机的字符,如“0”代表不为僵尸主机,“1”代表为僵尸主机,反之亦可,等等,此处不一一列举。该僵尸主机类型可以预先设置得到,如可根据攻击行为(攻击方式)和/或攻击目的划分该类型。
103、根据预设的识别结果和控制策略的对应关系,确定出该目标主机的识别结果对应的控制策略,并按照确定出的控制策略对该目标主机进行控制。
具体的,可预先设置得到多个控制策略,比如下发指令控制切断该目标主机与其他设备的所有通信连接;又如控制切断该目标主机的电源;又如通知该目标主机进行病毒查杀;又如关闭邮箱和断开网络连接;又如继续监测该目标主机的行为数据如上述的攻击标注数据,累积更多的行为数据之后再输入该僵尸主机识别模型以实现对该目标主机进行僵尸主机行为识别,等等,此处不一一列举。
进一步的,还可预置得到各识别结果和控制策略的对应关系,不同识别结果对应的控制策略可以相同也可以不同。例如,可预设得到主机为僵尸主机时对应的控制策略,以及主机不为僵尸主机时对应的控制策略,从而可识别结果指示的该目标主机是否为僵尸主机来确定控制策略;又如,可预设得到主机为僵尸主机的各概率区间与控制策略的对应关系,从而可通过确定该目标主机为僵尸主机的概率所处的概率区间,进而确定该概率区间对应的控制策略以对该目标主机进行控制;又如,可预设得到各僵尸主机类型与控制策略的对应关系,从而可通过确定目标主机为僵尸主机时所属的僵尸主机类型来确定控制策略,等等,此处不一一列举。
进一步可选的,如果所述识别结果指示所述目标主机为僵尸主机,即识别出该目标主机为僵尸主机之后,还可生成告警信息,并可输出告警信息或者向服务端上报该告警信息。其中,该告警信息可包括用于指示该目标主机被控制为僵尸主机的信息,如可包括该目标主机为僵尸主机的标记信息、该目标主机为僵尸主机的概率、该目标主机所属的僵尸主机类型等等。
举例来说,该识别结果可包括该目标主机为僵尸主机的得分(即风险分值),也即该僵尸主机识别模型可计算出该目标主机为僵尸主机的得分,不同得分区间可对应不同的控制策略,具体可预置得到各得分区间和控制策略的对应关系;或者不同得分区间可对应不同的风险等级,不同风险等级对应不同的控制策略,比如该风险等级可分为低危、中危、高危三个等级,或者分为一级、二级、三级,等等,并可预置得到各得分区间与风险等级的对应的关系,以及各风险等级与控制策略的对应关系。假设按照得分划分的得分区间分为区间1、区间2和区间3,区间1对应的控制策略为策略1如控制切断该目标主机与其他设备的所有通信连接(或切断该主机的电源等),区间2对应的控制策略为策略2如通知该主机进行病毒查杀,区间3对应的控制策略为策略3如继续监测该主机的行为数据以进一步进行僵尸主机识别;或者,按照风险等级划分为低危、中危、高危,区间1对应高危,高危对应策略1,区间2对应中危,中危对应策略2,区间3对应低危,低危对应策略3。如果该目标主机为僵尸主机的得分所处的得分区间为区间1,即为高危,识别设备可向该目标主机下发指令控制切断该目标主机与其他设备的所有通信连接(或切断该主机的电源等),以进行后续维护;如果该目标主机为僵尸主机的得分所处的得分区间为区间2,即为中危,识别设备可以通知该主机进行病毒查杀;如果该目标主机为僵尸主机的得分所处的得分区间为区间3,即为低危,则可以继续监测该主机的行为数据,累积更多的行为数据之后再输入模型对其进行僵尸主机行为识别,等等,此处不一一列举。
又如,该识别结果可包括该目标主机为僵尸主机时所属的僵尸主机类型,也即该僵尸主机识别模型可识别出僵尸主机类型,则可根据该目标主机的僵尸主机类型确定出对应的控制策略。假设僵尸主机类型包括类型1和类型2,类型1对应的控制策略为策略1如控制切断该目标主机的电源,类型2对应的控制策略为策略2如关闭邮箱和断开网络连接,如果僵尸主机识别模型识别出该目标主机所属的僵尸主机类型为上述的类型1时,则可以按照该策略1控制切断该目标主机的电源;如果僵尸主机识别模型识别出该目标主机所属的僵尸主机类型为上述的类型2时,则可以按照该策略2控制该目标主机关闭邮箱和断开网络连接等等。
在本实施例中,识别设备够根据历史记录中不同类型的僵尸主机的攻击标注数据训练得到僵尸主机识别模型,使得能够通过获取目标主机的攻击标注数据,进而将该获取的攻击标注数据输入该僵尸主机识别模型,以得到用于指示该目标主机是否为僵尸主机的识别结果,并能够根据预设的识别结果和控制策略的对应关系,确定出该目标主机的识别结果对应的控制策略对该目标主机进行控制,这就有助于提升对网络中的僵尸主机的识别的可靠性,增强网络安全性。
请参见图2,图2是本申请实施例提供的另一种基于识别模型的僵尸主机识别方法的流程示意图。具体的,如图2所示,该基于识别模型的僵尸主机识别方法可以包括以下步骤:
201、获取目标主机的攻击标注数据。
其中,该攻击标注数据可包括攻击的主机的标识、攻击行为信息、攻击目的信息、攻击严重程度信息中的任一项或多项,此处不赘述。
可选的,该目标主机可以为网络中的任一主机;或者,该目标主机可以为网络中的特定主机。例如,该目标主机可以为IP地址处于预设IP地址段的主机,从而可以将预设IP地址段内的主机分别作为该目标主机进行僵尸主机识别;和/或,该目标主机可以为预设区域范围内的主机,也即,该目标主机的位置处于该预设区域范围内,从而可将该预设区域范围内的主机作为该目标主机进行僵尸主机识别;和/或,该目标主机可以为预设时间范围内具有预设行为特征的主机,如可预先设置一个行为特征表,将行为特征符合该行为特征表中的一项或多项特征的主机作为该目标主机进行僵尸主机识别。从而能够通过获取特定主机的攻击标注数据以进行僵尸主机识别,来提升僵尸识别的效率和命中率,并能够降低检测开销。
进一步可选的,如果该目标主机为IP地址处于预设IP地址段的主机,也即检测到该目标主机的IP地址处于预设的IP地址段时,在该获取目标主机的攻击标注数据之前,识别设备还可根据预设的校验算法与主机信息的对应关系,从预设的校验算法集合中确定出与IP地址对应的目标校验算法,进而能够使用该目标校验算法对该目标主机的IP地址进行校验,以确定该目标主机的IP地址是否被篡改;如果确定该目标主机的IP地址未被篡改,再触发该获取目标主机的攻击标注数据的步骤。这就有助于减小设备识别开销,仅需有针对性的检测该预设IP地址段的主机是否被控制为僵尸主机,提升了检测/识别效率。
其中,该校验算法集合可包括多种校验算法,比如luhn算法、移动设备识别码(Mobile Equipment Identifier,缩写:MEID)校验算法、MAC地址段校验算法、长度校验算法、字符校验算法、flag校验算法等等。该主机信息可包括IP地址、MAC地址、CPU序列号、主板型号、设备品牌、CPU型号、操作系统编译类型或传感器数量,每种校验算法可对应一种或多种主机信息,每种主机信息也可对应一种或多种校验算法,具体可预先设置校验算法和主机信息的对应关系,比如校验算法1对应IP地址,校验算法2对应MAC地址,校验算法3对应IP地址、MAC地址、CPU序列号、主板型号、设备品牌、CPU型号、操作系统编译类型、传感器数量等等。以便于快速确定出与该IP地址对应的校验算法即目标校验算法以对该目标主机的IP地址进行校验。可选的,该IP地址可对应一个或多个目标校验算法。
例如,针对该目标主机的IP地址,可基于长度校验算法、字符校验算法校验该IP地址是否被篡改,如检测该IP地址是否为预设的某一固定长度、是否包括其他字符(即与正确的IP地址的长度和字符信息比较以进行校验,如正确的IP地址一般是一固定长度,由0~255组成),以检测该目标主机的IP地址是否被篡改。
或者,进一步可选的,该目标主机还可以为被篡改主机信息的主机。则识别设备可通过获取主机的一种或多种主机信息(以下称为目标主机信息),进而根据预设的校验算法与主机信息的对应关系,从预设的校验算法集合中确定出与该目标主机信息对应的校验算法,进而使用该确定出的校验算法对该目标主机信息进行校验,以确定该目标主机信息是否被篡改;如果确定该目标主机信息被篡改,则可将该主机作为目标主机,并触发获取该目标主机的攻击标注数据的步骤。因有的主机被控制为僵尸主机后,可能会被篡改IP地址等主机信息进行攻击行为,通过检测主机信息是否被篡改,并针对主机信息被篡改的主机进行僵尸主机识别,这就有助于提升僵尸主机的识别效率。
例如,该目标主机信息为MEID时,可基于luhn算法和MEID校验算法(即目标校验算法为luhn算法和MEID校验算法)对该IMEI进行校验,验证该IMEI是否合法,从而实现从多角度验证该目标主机的IMEI是否被篡改;又如,该目标主机信息为MAC地址时,可基于MAC地址段校验算法校验该MAC地址是否被篡改,即检测获取的MAC地址的是否属于为该主机的型号、品牌分配的地址段(该主机型号、品牌和MAC地址段的对应关系可预先设置得到)内,以检测该目标主机的MAC地址是否被篡改;又如,该目标主机信息为Android ID时,可基于长度校验算法、字符校验算法校验该Android ID是否被篡改,即检测Android ID是否为预设的某一固定长度、是否包括其他字符(正确的Android ID一般是一固定长度,且由0~9,a~f组成),以检测该目标主机的Android ID是否被篡改。
又如,上述的主机信息如该IP地址可能通过Xposed插件进行篡改。由此,针对该IP地址,可基于flag校验算法校验其是否被篡改。具体的,识别设备可获取该IP地址对应的目标函数的flag值,并根据该flag值确定该目标函数是否被hook。可选的,当确定该目标函数被hook时,即可表明该IP地址被篡改,进而可不将该主机作为目标主机进行僵尸主机识别,或者,可上报服务器一个提示消息以提示该主机的IP地址被篡改。或者,可选的,当确定该目标函数被hook时,可从该目标函数的内存中获取该目标函数对应的目标函数指针;根据预先存储的各函数指针和函数的对应关系,确定出该目标函数指针对应的原始函数,比如可通过该原始函数替换该目标函数,实现对被hook的函数的还原,并可根据该原始函数确定出原始IP地址。进而能够根据该原始IP地址来确定是否将该主机作为目标主机进行僵尸主机识别。或者,当确定该目标函数未被hook时,可根据该IP地址确定是否将该主机作为目标主机以进行僵尸主机识别。其中,该flag值可用于标记所述目标函数的状态,该状态可以是指是否被篡改的状态,或者可以是指读写状态、阻塞与非阻塞状态、退出进程或程序的状态和/或更改文件的内容的状态等等,从而能够根据该flag值确定出该目标函数是否被hook。可以理解,每一个函数都有对应的flag,该flag为一个变量,当某一函数被篡改时,该函数对应的flag会发生改变。由此,识别设备可通过检测函数的flag是否发生改变,来确定该函数是否被hook,也即该函数对应的IP地址是否被篡改。其中,该flag的值可以是存储于该目标函数对应的内存中。其中,该函数指针和被hook的函数是存储于同一块内存的不同字段中的,且不同函数指针和原始函数存在映射关系,或者说不同函数指针和原始函数的存储地址存在映射关系。其中,该内存中存储的原始函数指针是不会被篡改的,根据Xposed插件的工作原理,在篡改目标函数之前,会将函数的原始信息备份下来,并保存在内存中的特定地址,即该目标函数指针指向的地址。而一旦这些备份信息也被篡改,那Xposed插件将无法正常工作。因此,在该目标函数指针指向的特定地址获取到的原始函数,一定是正确的函数,其不会被篡改。
在一种可能的实施方式中,在根据该flag值确定该目标函数是否被hook时,识别设备可以将该flag值中的预设位置处的字符与预设的固定字符进行比较;当比较得到该预设位置处的字符与该固定字符不同时,确定该目标函数被hook。其中,该预设位置处的字符的字符数与该固定字符的字符数相同,以便于匹配比较。也就是说,该flag发生改变可以是指该flag值的一位或多位发生改变,且该一位或多位可以是指flag的预设位置处的一位或多位。从而识别设备可以通过将获取的flag值预设位置处的一位或多位与未被篡改时的固定字符进行比较,如果flag值的该一位或多位发生改变,即flag值的一位或多位与该固定字符不同,则表明该目标函数被hook,即该目标函数对应的设备信息被篡改。例如,针对Android版本在4.4以上及5.0以下的系统,有的Xposed插件对某函数进行hook时,会将该函数的flag值的固定位置处的1位(bit)设置为1;而正常未被篡改的函数,flag值的该位是0(即上述的固定字符)。因此,可通过检测函数的flag值的该固定位是否是0,就可以知道该函数是否被Xposed插件进行了hook。也即,如果该测函数的flag值的该固定位不为0,即可表明该函数被hook,该函数被篡改。
在一种可能的实施方式中,在根据该flag值确定该目标函数是否被hook时,识别设备还可以按照预设的逻辑算法对该flag值进行逻辑运算,以得到运算结果值;当该运算结果值为正整数时,确定该目标函数被hook。其中,该逻辑算法可以是根据预设字符串和系统中的原生函数执行时的跳转地址确定的。也就是说,还可将按照预设逻辑算法对flag处理后的值与未被篡改时的固定字符如0进行比较,如果处理后的该值发生改变,即不为0,比如为某一正整数时,则表明该函数被hook。例如,针对Android版本在5.0及其以上的系统,如果按照逻辑算法如逻辑算式EntryPointFromJni&&AccessFlags&0x10000000结果等于正整数,则可表明该函数被篡改;如果该逻辑算式结果等于0(即为固定字符),则可表明该函数未被篡改。其中,该EntryPointFromJni可以是指原生函数如native函数执行时的跳转地址,AccessFlags即为上述的flag。
可选的,识别设备在根据该flag值确定该目标函数是否被hook之前,还可确定该主机当前使用的系统版本,进而根据该当前终端的系统版本去选择根据该flag值确定该目标函数是否被hook的方式(以下检测hook方式),以提升hook检测的效率。其中,该系统版本和hook检测的方式的对应关系可预先设置得到。或者,还可根据该主机的型号等,检测历史记录中相同型号的主机使用的hook方式的比例,将比例最高即使用最多的hook方式作为该主机的hook方式,等等,此处不一一列举。
也就是说,在选取目标主机时,识别设备能够通过检测主机的主机信息对应的函数是否被篡改,即检测函数内存的flag的值是否发生改变来检测函数是否被篡改,并在检测到被篡改时将该主机作为目标主机进行僵尸主机识别。或者在检测到某一主机的IP地址处于预设IP地址段且该IP地址未被篡改时,再将该主机作为目标主机,或者说再获取该主机的攻击标注数据以进行僵尸主机识别;或者可在检测到IP地址被篡改时及时地还原真实的IP地址,以基于真实的IP地址来确定是否将该主机作为目标主机,由此提升了选取的目标主机的准确性和可靠性,有助于提升僵尸主机识别的效率。可选的,本申请可采用Android底层源生API采集主机信息如主机的IP地址,使得主机信息不容易被篡改。
202、将该攻击标注数据输入预置的僵尸主机识别模型,以得到对该目标主机的识别结果。
其中,该僵尸主机识别模型可以是根据历史记录中不同类型的僵尸主机的攻击标注数据训练得到的,该识别结果可用于指示该目标主机是否为僵尸主机,该识别结果包括该目标主机是否为僵尸主机的标记信息、该目标主机可以为僵尸主机的概率以及该目标主机为僵尸主机时所属的僵尸主机类型中的任一项或多项,此处不赘述。
可选的,在建立该僵尸主机识别模型时,还可按照攻击行为和/或攻击目的分别建立子识别模型,不同攻击行为和/或攻击目的在模型中可以对应不同的僵尸主机分类,以划分为多种僵尸主机类型。例如,假设将攻击行为为DDoS攻击,攻击目的为占用过多的服务资源,作为僵尸主机类型1;将攻击行为为访问恶意URL、获取网关外部的恶意文件,攻击目的为信息窃取,作为僵尸主机类型2;将攻击行为为垃圾邮件SPAM行为,攻击目的为推销广告、网络欺诈等,作为僵尸主机类型3,等等。使得后续能够及时识别出僵尸主机分类,确定出攻击的目的和采取的攻击行为,进而能够根据该攻击的目的和行为采取具体的措施或策略。也即,该识别结果中可包括目标主机所属的僵尸主机类型。
203、根据预设的识别结果和控制策略的对应关系,确定出该目标主机的识别结果对应的控制策略,并按照确定出的控制策略对该目标主机进行控制。
可选的,该步骤201-203的其他描述可参照上述图1所示实施例中步骤101-103的相关描述,此处不赘述。
204、如果该识别结果指示该目标主机为僵尸主机,确定该目标主机的中控机。
可选的,如果该识别结果指示该目标主机为僵尸主机,也即在识别出僵尸主机之后,还可进一步识别出与该僵尸主机进行通信的中控机。从而有助于发现潜在的网络僵尸主机,以防止网络攻击行为。其中,确定该中控机的方式存在多种,具体可以先设置得到。
例如,在一种可能的实施方式中,如果该识别结果指示该目标主机为僵尸主机,识别设备可通过检测该目标主机的目标通信报文的源地址,该目标通信报文可以为用于指示该目标主机的攻击行为的报文或指令,比如包括预设关键字的报文,进而可将该源地址对应的通信设备确定为该目标主机的中控机;或者,识别设备还可进一步检测该目标通信报文的源地址对应的通信设备是否存在定时通信事件(如是否每隔一预设时间与目标主机或其他主机进行通信,或者按照每天固定的时间点与目标主机或其他主机进行通信等等);如果该通信设备存在该定时通信事件,再确定该通信设备为该目标主机的中控机。进一步可选的,该识别设备还可进一步检测该通信设备是否存在长时间在线(如在线时间超过一预设时间阈值)不发言、该通信设备在网络中存在多条链路(如超过一预设数目阈值)的情况,并在检测到该通信设备存在该定时通信事件、长时间在线但不发言、在网络中存在多条通信链路时,再将该通信设备确定为中控机。也就是说,识别设备可通过检测被确定为僵尸主机的通信报文的源地址(如来源IP、MAC地址、端口信息等),将该源地址对应的通信设备确定为中控机;或者进一步还可结合该通信设备在网络中的特征确定其是否为中控机,比如在网络中存在多条链接、长时间在线但不发言、存在定时通信等等,以提升确定的中控机的可靠性。
又如,在另一种可能的实施方式中,如果该识别结果指示该目标主机为僵尸主机,识别设备可通过获取该目标主机发起攻击行为之前的预设时间窗内向该目标主机发送过通信报文的各个通信设备;分别向该各个通信设备发送探测报文,这些探测报文可以是伪造的主机被中控机控制后发送的报文,即该探测报文为预设的用于伪造主机被中控机控制后发送的报文;如果接收到任一通信设备针对该探测报文发送的响应报文,且该响应报文包括用于指示该目标主机发起攻击的控制指令,比如包括预设关键字,则可确定该通信设备为该目标主机的中控机。
又如,在另一种可能的实施方式中,识别设备可在识别出该预设IP地址段或该预设区域范围内的多个僵尸主机之后,确定该多个僵尸主机的通信报文的源地址如来源IP,如果有相同的来源IP,则将该相同来源IP的设备确定为中控机。或者,可进一步检测源地址如来源IP的相同的僵尸主机的数目,并在该数目大于一预设阈值时,在将该相同来源IP的设备确定为中控机,以提升中控机确定的可靠性。
进一步可选的,还可预先设置得到确定中控机的方式和攻击场景信息的对应关系,该攻击场景信息可包括攻击行为(攻击方式)和/或攻击目的等等,进而能够根据目标主机的攻击场景信息,按照该目标主机的攻击场景信息对应的确定中控机的方式来进行中控机的确定。从而提升了确定中控机的灵活性。
进一步可选的,还可预先设置得到选取目标主机的方式和确定中控机的方式的对应关系,比如该根据预设IP地址段选取目标主机的方式对应的确定中控机的方式为上述根据相同来源IP确定中控机的方式。从而能够按照该选取目标主机的方式对应的确定中控机的方式来进行中控机的确定,这就进一步提升了确定中控机的灵活性。
205、确定预设时间范围内与确定为中控机的该通信设备进行通信的主机,并获取该主机的攻击标注数据。
206、将该主机的攻击标注数据输入该僵尸主机识别模型,以得到对该主机的识别结果。
进一步的,在确定出中控机之后,识别设备还可检测与中控机通信的其他主机,快速将该其他主机确定为僵尸主机,由此提升了僵尸主机的识别效率;或者可通过获取该其他主机的行为数据如攻击标注数据,将该攻击标注数据输入该僵尸主机识别模型进行进一步识别,根据该识别结果确定该其他主机是否为僵尸主机,这就有助于提升僵尸主机的识别效率和识别可靠性。
可选的,在识别出新的僵尸主机之后,还可根据新的僵尸主机的攻击标注数据对该僵尸主机识别模型进行训练,以提升该识别模型进行识别的准确性和可靠性。
在本实施例中,识别设备能够通过获取目标主机的攻击标注数据,进而将该获取的攻击标注数据输入根据僵尸主机的历史攻击标注数据训练得到的僵尸主机识别模型,以得到用于指示该目标主机是否为僵尸主机的识别结果,并能够根据预设的识别结果和控制策略的对应关系,确定出该目标主机的识别结果对应的控制策略对该目标主机进行控制,这就有助于提升对网络中的僵尸主机的识别的可靠性;还可进一步确定出该目标主机的中控机,以基于该中控机进行潜在僵尸主机的识别,有助于快速发现潜在的网络僵尸主机,以防止网络攻击行为,从而降低网络风险,增强网络安全性。
上述方法实施例都是对本申请的基于识别模型的僵尸主机识别方法的举例说明,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
请参见图3,图3是本申请实施例提供的一种识别设备的结构示意图。本申请实施例的识别设备包括用于执行上述基于识别模型的僵尸主机识别方法的单元。具体的,本实施例的识别设备300可包括:获取单元301和处理单元302。其中,
获取单元301,用于获取目标主机的攻击标注数据,所述攻击标注数据包括攻击的主机的标识、攻击行为信息、攻击目的信息、攻击严重程度信息中的任一项或多项;
处理单元302,用于将所述攻击标注数据输入预置的僵尸主机识别模型,以得到对所述目标主机的识别结果;其中,所述僵尸主机识别模型是根据历史记录中不同类型的僵尸主机的攻击标注数据训练得到的,所述识别结果用于指示所述目标主机是否为僵尸主机,所述识别结果包括所述目标主机是否为僵尸主机的标记信息、所述目标主机为僵尸主机的概率以及所述目标主机为僵尸主机时所属的僵尸主机类型中的任一项或多项;
处理单元302,还用于根据预设的识别结果和控制策略的对应关系,确定出所述目标主机的识别结果对应的控制策略,并按照确定出的控制策略对所述目标主机进行控制。
可选的,所述攻击标注数据包括攻击主机的标识、攻击行为信息和攻击严重程度信息,所述攻击行为信息包括攻击次数,所述攻击严重程度信息包括攻击严重程度等级;
获取单元301,可具体用于采集所述目标主机的行为日志信息,所述行为日志信息中包括攻击的主机的标识和攻击行为信息;根据所述攻击的主机的标识确定出所述目标主机攻击的主机的数量;根据预设的攻击的主机数量、攻击次数和攻击严重程度等级三者之间的对应关系,确定与所述目标主机攻击的主机的数量和所述攻击行为信息包括的攻击次数对应的攻击严重程度等级。
可选的,处理单元302,还可用于在所述识别结果指示所述目标主机为僵尸主机时,检测所述目标主机的目标通信报文的源地址,所述目标通信报文为用于指示所述目标主机的攻击行为的报文;检测所述目标通信报文的源地址对应的通信设备是否存在定时通信事件;如果所述通信设备存在所述定时通信事件,确定所述通信设备为所述目标主机的中控机。
可选的,所述识别设备还可包括:通信单元303;
处理单元302,还可用于在所述识别结果指示所述目标主机为僵尸主机时,确定所述目标主机发起攻击行为之前的预设时间窗内向所述目标主机发送过通信报文的各个通信设备;
通信单元303,用于分别向所述各个通信设备发送探测报文,所述探测报文为预设的用于伪造主机被中控机控制后发送的报文;
处理单元302,还可用于在通信单元303接收到任一通信设备针对所述探测报文发送的响应报文,且所述响应报文包括用于指示所述目标主机发起攻击的控制指令时,确定所述通信设备为所述目标主机的中控机。
可选的,处理单元302,还可用于确定预设时间范围内与确定为中控机的所述通信设备进行通信的主机;
获取单元301,还用于获取所述主机的攻击标注数据;
处理单元302,还可用于将所述主机的攻击标注数据输入所述僵尸主机识别模型,以得到对所述主机的识别结果。
可选的,所述目标主机为IP地址处于预设IP地址段的主机,和/或,所述目标主机为预设区域范围内的主机,和/或,所述目标主机为预设时间范围内具有预设行为特征的主机,和/或,所述目标主机为主机信息被篡改的主机。
可选的,处理单元302,还可用于根据预设的校验算法与主机信息的对应关系,从预设的校验算法集合中确定出与IP地址对应的目标校验算法;其中,所述校验算法集合包括多种校验算法,所述主机信息包括IP地址、媒体访问控制MAC地址、中央处理器CPU序列号、主板型号、设备品牌、CPU型号、操作系统编译类型或传感器数量,每种校验算法对应一种或多种主机信息;使用所述目标校验算法对所述目标主机的IP地址进行校验,以确定所述目标主机的IP地址是否被篡改;如果确定所述目标主机的IP地址未被篡改,触发所述获取单元301获取目标主机的攻击标注数据。
具体的,该识别设备可通过上述单元实现上述图1至图2所示实施例中的基于识别模型的僵尸主机识别方法中的部分或全部步骤。应理解,本申请实施例是对应方法实施例的装置实施例,对方法实施例的描述,也适用于本申请实施例。
请参见图4,图4是本申请实施例提供的另一种识别设备的结构示意图。该识别设备用于执行上述的方法。如图4所示,本实施例中的识别设备400可以包括:一个或多个处理器401和存储器402。可选的,该识别设备还可包括一个或多个通信接口403,和/或,一个或多个用户接口404。上述处理器401、用户接口404、通信接口403和存储器402可通过总线405连接,或者可以通过其他方式连接,图4中以总线方式进行示例说明。其中,存储器402用于存储计算机程序,所述计算机程序包括程序指令,处理器401用于执行存储器402存储的程序指令。其中,处理器401可用于调用所述程序指令执行上述图1至图2中的部分或全部步骤。
例如,处理器401可用于调用所述程序指令执行以下步骤:获取目标主机的攻击标注数据,所述攻击标注数据包括攻击的主机的标识、攻击行为信息、攻击目的信息、攻击严重程度信息中的任一项或多项;将所述攻击标注数据输入预置的僵尸主机识别模型,以得到对所述目标主机的识别结果;其中,所述僵尸主机识别模型是根据历史记录中不同类型的僵尸主机的攻击标注数据训练得到的,所述识别结果用于指示所述目标主机是否为僵尸主机,所述识别结果包括所述目标主机是否为僵尸主机的标记信息、所述目标主机为僵尸主机的概率以及所述目标主机为僵尸主机时所属的僵尸主机类型中的任一项或多项;根据预设的识别结果和控制策略的对应关系,确定出所述目标主机的识别结果对应的控制策略,并按照确定出的控制策略对所述目标主机进行控制。
可选的,所述攻击标注数据包括攻击主机的标识、攻击行为信息和攻击严重程度信息,所述攻击行为信息包括攻击次数,所述攻击严重程度信息包括攻击严重程度等级;处理器401在执行所述获取目标主机的攻击标注数据时,可具体用于执行以下步骤:采集所述目标主机的行为日志信息,所述行为日志信息中包括攻击的主机的标识和攻击行为信息;根据所述攻击的主机的标识确定出所述目标主机攻击的主机的数量;根据预设的攻击的主机数量、攻击次数和攻击严重程度等级三者之间的对应关系,确定与所述目标主机攻击的主机的数量和所述攻击行为信息包括的攻击次数对应的攻击严重程度等级。
可选的,处理器401还可执行以下步骤:如果所述识别结果指示所述目标主机为僵尸主机,检测所述目标主机的目标通信报文的源地址,所述目标通信报文为用于指示所述目标主机的攻击行为的报文;检测所述目标通信报文的源地址对应的通信设备是否存在定时通信事件;如果所述通信设备存在所述定时通信事件,确定所述通信设备为所述目标主机的中控机。
可选的,处理器401还可执行以下步骤:如果所述识别结果指示所述目标主机为僵尸主机,确定所述目标主机发起攻击行为之前的预设时间窗内向所述目标主机发送过通信报文的各个通信设备;调用通信接口403分别向所述各个通信设备发送探测报文,所述探测报文为预设的用于伪造主机被中控机控制后发送的报文;如果调用通信接口403接收到任一通信设备针对所述探测报文发送的响应报文,且所述响应报文包括用于指示所述目标主机发起攻击的控制指令,则确定所述通信设备为所述目标主机的中控机。
可选的,处理器401在执行所述确定所述通信设备为所述僵尸主机的中控机之后,还可执行以下步骤:确定预设时间范围内与确定为中控机的所述通信设备进行通信的主机,并获取所述主机的攻击标注数据;将所述主机的攻击标注数据输入所述僵尸主机识别模型,以得到对所述主机的识别结果。
可选的,所述目标主机为IP地址处于预设IP地址段的主机,和/或,所述目标主机为预设区域范围内的主机,和/或,所述目标主机为预设时间范围内具有预设行为特征的主机。
可选的,所述目标主机为IP地址处于预设IP地址段的主机;处理器401在执行所述获取目标主机的攻击标注数据之前,还可执行以下步骤:根据预设的校验算法与主机信息的对应关系,从预设的校验算法集合中确定出与IP地址对应的目标校验算法;其中,所述校验算法集合包括多种校验算法,所述主机信息包括IP地址、媒体访问控制MAC地址、中央处理器CPU序列号、主板型号、设备品牌、CPU型号、操作系统编译类型或传感器数量,每种校验算法对应一种或多种主机信息;使用所述目标校验算法对所述目标主机的IP地址进行校验,以确定所述目标主机的IP地址是否被篡改;如果确定所述目标主机的IP地址未被篡改,触发所述获取目标主机的攻击标注数据的步骤。
其中,所述处理器401可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
通信接口403可包括接收器和发射器,用于与其他设备如主机进行通信。
用户接口404可包括输入设备和输出设备,输入设备可以包括触控板、麦克风等,输出设备可以包括显示器(LCD等)、扬声器等。
存储器402可以包括只读存储器和随机存取存储器,并向处理器401提供指令和数据。存储器402的一部分还可以包括非易失性随机存取存储器。例如,存储器402还可以存储上述的函数指针和函数的对应关系、攻击标注数据等等。
具体实现中,本申请实施例中所描述的处理器401等可执行上述图1至图2所示的方法实施例中所描述的实现方式,也可执行本申请实施例图3所描述的各单元的实现方式,此处不赘述。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时可实现图1至图2所对应实施例中描述的基于识别模型的僵尸主机识别方法中的部分或全部步骤,也可实现本申请图3或图4所示实施例的识别设备的功能,此处不赘述。
本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述方法中的部分或全部步骤。
所述计算机可读存储介质可以是前述任一实施例所述的识别设备的内部存储单元,例如识别设备的硬盘或内存。所述计算机可读存储介质也可以是所述识别设备的外部存储设备,例如所述识别设备上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
在本申请中,术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
以上所述,仅为本申请的部分实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。
Claims (10)
1.一种基于识别模型的僵尸主机识别方法,其特征在于,包括:
获取目标主机的攻击标注数据,所述攻击标注数据包括攻击的主机的标识、攻击行为信息、攻击目的信息、攻击严重程度信息中的任一项或多项;
将所述攻击标注数据输入预置的僵尸主机识别模型,以得到对所述目标主机的识别结果;其中,所述僵尸主机识别模型是根据历史记录中不同类型的僵尸主机的攻击标注数据训练得到的,所述识别结果用于指示所述目标主机是否为僵尸主机,所述识别结果包括所述目标主机是否为僵尸主机的标记信息、所述目标主机为僵尸主机的概率以及所述目标主机为僵尸主机时所属的僵尸主机类型中的任一项或多项;
根据预设的识别结果和控制策略的对应关系,确定出所述目标主机的识别结果对应的控制策略,并按照确定出的控制策略对所述目标主机进行控制。
2.根据权利要求1所述的方法,其特征在于,所述攻击标注数据包括攻击主机的标识、攻击行为信息和攻击严重程度信息,所述攻击行为信息包括攻击次数,所述攻击严重程度信息包括攻击严重程度等级;所述获取目标主机的攻击标注数据,包括:
采集所述目标主机的行为日志信息,所述行为日志信息中包括攻击的主机的标识和攻击行为信息;
根据所述攻击的主机的标识确定出所述目标主机攻击的主机的数量;
根据预设的攻击的主机数量、攻击次数和攻击严重程度等级三者之间的对应关系,确定与所述目标主机攻击的主机的数量和所述攻击行为信息包括的攻击次数对应的攻击严重程度等级。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述识别结果指示所述目标主机为僵尸主机,检测所述目标主机的目标通信报文的源地址,所述目标通信报文为用于指示所述目标主机的攻击行为的报文;
检测所述目标通信报文的源地址对应的通信设备是否存在定时通信事件;
如果所述通信设备存在所述定时通信事件,确定所述通信设备为所述目标主机的中控机。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述识别结果指示所述目标主机为僵尸主机,确定所述目标主机发起攻击行为之前的预设时间窗内向所述目标主机发送过通信报文的各个通信设备;
分别向所述各个通信设备发送探测报文,所述探测报文为预设的用于伪造主机被中控机控制后发送的报文;
如果接收到任一通信设备针对所述探测报文发送的响应报文,且所述响应报文包括用于指示所述目标主机发起攻击的控制指令,则确定所述通信设备为所述目标主机的中控机。
5.根据权利要求3或4所述的方法,其特征在于,在所述确定所述通信设备为所述僵尸主机的中控机之后,所述方法还包括:
确定预设时间范围内与确定为中控机的所述通信设备进行通信的主机,并获取所述主机的攻击标注数据;
将所述主机的攻击标注数据输入所述僵尸主机识别模型,以得到对所述主机的识别结果。
6.根据权利要求1-4任一项所述的方法,其特征在于,所述目标主机为IP地址处于预设IP地址段的主机,和/或,所述目标主机为预设区域范围内的主机,和/或,所述目标主机为具有预设行为特征的主机。
7.根据权利要求6所述的方法,其特征在于,所述目标主机为IP地址处于预设IP地址段的主机;在所述获取目标主机的攻击标注数据之前,所述方法还包括:
根据预设的校验算法与主机信息的对应关系,从预设的校验算法集合中确定出与IP地址对应的目标校验算法;其中,所述校验算法集合包括多种校验算法,所述主机信息包括IP地址、媒体访问控制MAC地址、中央处理器CPU序列号、主板型号、设备品牌、CPU型号、操作系统编译类型或传感器数量,每种校验算法对应一种或多种主机信息;
使用所述目标校验算法对所述目标主机的IP地址进行校验,以确定所述目标主机的IP地址是否被篡改;
如果确定所述目标主机的IP地址未被篡改,触发所述获取目标主机的攻击标注数据的步骤。
8.一种服务器,其特征在于,包括用于执行如权利要求1-7任一项权利要求所述的方法的单元。
9.一种服务器,其特征在于,包括处理器、用户接口、通信接口和存储器,所述处理器、用户接口、通信接口和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811423378.7A CN109600362B (zh) | 2018-11-26 | 2018-11-26 | 基于识别模型的僵尸主机识别方法、识别设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811423378.7A CN109600362B (zh) | 2018-11-26 | 2018-11-26 | 基于识别模型的僵尸主机识别方法、识别设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109600362A true CN109600362A (zh) | 2019-04-09 |
CN109600362B CN109600362B (zh) | 2022-10-18 |
Family
ID=65959656
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811423378.7A Active CN109600362B (zh) | 2018-11-26 | 2018-11-26 | 基于识别模型的僵尸主机识别方法、识别设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109600362B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110738396A (zh) * | 2019-09-18 | 2020-01-31 | 阿里巴巴集团控股有限公司 | 一种针对设备的特征提取方法、装置及设备 |
CN110826069A (zh) * | 2019-11-05 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒处理方法、装置、设备及存储介质 |
CN111177743A (zh) * | 2019-12-06 | 2020-05-19 | 西安交通大学 | 一种面向信用大数据的风险控制方法及其系统 |
CN111818073A (zh) * | 2020-07-16 | 2020-10-23 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、设备及介质 |
CN112217777A (zh) * | 2019-07-12 | 2021-01-12 | 上海云盾信息技术有限公司 | 攻击回溯方法及设备 |
CN115659324A (zh) * | 2022-09-21 | 2023-01-31 | 国网山东省电力公司 | 一种用于数据安全的多设备安全管理方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090254989A1 (en) * | 2008-04-03 | 2009-10-08 | Microsoft Corporation | Clustering botnet behavior using parameterized models |
CN103997489A (zh) * | 2014-05-09 | 2014-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
-
2018
- 2018-11-26 CN CN201811423378.7A patent/CN109600362B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090254989A1 (en) * | 2008-04-03 | 2009-10-08 | Microsoft Corporation | Clustering botnet behavior using parameterized models |
CN103997489A (zh) * | 2014-05-09 | 2014-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
Non-Patent Citations (1)
Title |
---|
李晓桢等: "基于聚类分析的僵尸网络识别系统", 《计算机系统应用》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112217777A (zh) * | 2019-07-12 | 2021-01-12 | 上海云盾信息技术有限公司 | 攻击回溯方法及设备 |
CN110738396A (zh) * | 2019-09-18 | 2020-01-31 | 阿里巴巴集团控股有限公司 | 一种针对设备的特征提取方法、装置及设备 |
CN110826069A (zh) * | 2019-11-05 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒处理方法、装置、设备及存储介质 |
CN111177743A (zh) * | 2019-12-06 | 2020-05-19 | 西安交通大学 | 一种面向信用大数据的风险控制方法及其系统 |
CN111177743B (zh) * | 2019-12-06 | 2022-02-22 | 西安交通大学 | 一种面向信用大数据的风险控制方法及其系统 |
CN111818073A (zh) * | 2020-07-16 | 2020-10-23 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、设备及介质 |
CN111818073B (zh) * | 2020-07-16 | 2022-08-09 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、设备及介质 |
CN115659324A (zh) * | 2022-09-21 | 2023-01-31 | 国网山东省电力公司 | 一种用于数据安全的多设备安全管理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109600362B (zh) | 2022-10-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109600362A (zh) | 基于识别模型的僵尸主机识别方法、识别设备及介质 | |
US10819744B1 (en) | Collaborative phishing attack detection | |
US10467411B1 (en) | System and method for generating a malware identifier | |
CN110324310B (zh) | 网络资产指纹识别方法、系统及设备 | |
CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
CN109922075A (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
US11038906B1 (en) | Network threat validation and monitoring | |
US9253207B2 (en) | Collaborative phishing attack detection | |
CN109492378A (zh) | 一种基于设备识别码的身份验证方法、服务器及介质 | |
CN110249331A (zh) | 针对入侵检测的连续学习 | |
CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
CN109644184A (zh) | 用于从ipfix数据检测云上的ddos僵尸网络的聚类方法 | |
CN106713371A (zh) | 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法 | |
CN103997489B (zh) | 一种识别DDoS僵尸网络通信协议的方法及装置 | |
CN108881263A (zh) | 一种网络攻击结果检测方法及系统 | |
CN109561085A (zh) | 一种基于设备识别码的身份验证方法、服务器及介质 | |
Krishnaveni et al. | Ensemble approach for network threat detection and classification on cloud computing | |
EP4104085A1 (en) | System and method for providing cyber security | |
US20210090816A1 (en) | System and method for email account takeover detection and remediation utilizing ai models | |
CN111126440B (zh) | 一种基于深度学习的一体化工控蜜罐识别系统及方法 | |
US10931706B2 (en) | System and method for detecting and identifying a cyber-attack on a network | |
CN104852916A (zh) | 一种基于社会工程学的网页验证码识别方法及系统 | |
CN111859374B (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
CN114422224A (zh) | 面向攻击溯源的威胁情报智能分析方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |