CN110830470B - 一种失陷主机检测方法、装置、设备及可读存储介质 - Google Patents
一种失陷主机检测方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN110830470B CN110830470B CN201911076453.1A CN201911076453A CN110830470B CN 110830470 B CN110830470 B CN 110830470B CN 201911076453 A CN201911076453 A CN 201911076453A CN 110830470 B CN110830470 B CN 110830470B
- Authority
- CN
- China
- Prior art keywords
- information
- determining
- abnormal
- index
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种失陷主机检测方法、装置、设备及可读存储介质。本申请公开的方法包括:获取网络设备中的目标信息,所述目标信息为进程信息、通信信息、文件信息和登录信息中的至少两种的组合;判断所述目标信息是否异常;若是,则根据异常信息确定所述网络设备的异常行为指数,若所述异常行为指数不小于预设阈值,则确定所述网络设备为失陷主机。本申请基于多维度信息分析网络设备的异常行为指数,提高了检测结果的全面性和准确性,并能够在网络设备成为失陷主机之前对其检测,可避免更大规模网络安全事件的发生,能够网络安全性和可靠性。相应地,本申请公开的一种失陷主机检测装置、设备及可读存储介质,也同样具有上述技术效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种失陷主机检测方法、装置、设备及可读存储介质。
背景技术
失陷主机指的是内网中已被攻击者成功入侵并被远程控制或者有恶意行为产生的主机。伴随着高级病毒的发展,失陷主机受控或发起恶意行为往往难寻规律、隐蔽性极强,以致部分失陷主机难以被感知。
现有技术通常基于已知病毒或者已知恶意流量确定失陷主机,且整个流程仅针对失陷主机的单一维度数据进行分析,具有一定的片面性,存在漏报、错报事件,因此检测结果的准确性低,还可能失去提前发现问题和解决问题的机会,导致引发更大规模的网络安全事件。
因此,如何提高失陷主机检测结果的准确性,是本领域技术人员需要解决的问题。
发明内容
有鉴于此,本申请的目的在于提供一种失陷主机检测方法、装置、设备及可读存储介质,以提高IP地址的报备效率和准确性。其具体方案如下:
第一方面,本申请提供了一种失陷主机检测方法,包括:
获取网络设备中的目标信息,目标信息为进程信息、通信信息、文件信息和登录信息中的至少两种的组合;
判断目标信息是否异常;
若是,则根据异常信息确定网络设备的异常行为指数,若异常行为指数不小于预设阈值,则确定网络设备为失陷主机。
优选地,判断目标信息是否异常,包括:
分别判断目标信息中的每种信息是否异常;
若目标信息中存在异常信息,则确定目标信息异常;否则,确定目标信息正常。
优选地,根据异常信息确定网络设备的异常行为指数,包括:
若目标信息中包括进程信息和/或文件信息,则将进程信息和/或文件信息中任一种信息确定为第一信息;若第一信息为异常信息,则利用杀毒软件对第一信息进行查杀;若发现病毒,则确定第一信息的第一被攻击指数为第一目标值;若未发现病毒,则确定第一信息的第一被攻击指数为第二目标值;第一目标值不小于预设阈值,第二目标值小于预设阈值;
若目标信息中包括通信信息和/或登录信息,则将通信信息和/或登录信息中任一种信息确定为第二信息;若第二信息为异常信息,则判断第二信息对应的IP地址是否为恶意IP地址;若IP地址为恶意IP地址,则确定第二信息的第二被攻击指数为第一目标值;若IP地址不是恶意IP地址,则确定第二信息的第二被攻击指数为第二目标值;
将第一被攻击指数与第二被攻击指数的总和确定为被攻击行为指数,将被攻击行为指数确定为异常行为指数。
优选地,若异常行为指数不小于预设阈值,则确定网络设备为失陷主机之后,还包括:
若第二信息为通信信息,则根据通信信息判断与网络设备通信的目标设备的IP地址是否为内网IP地址;若是,则判断进程信息中记录的网络设备对目标设备发起的进程是否异常;若是,则确定网络设备的通信攻击指数为第一目标值;若否,则确定网络设备的通信攻击指数为第二目标值;
若目标设备的IP地址为内网IP地址,则判断登录信息中记录的网络设备对目标设备的登录行为是否异常;若是,则确定网络设备的登录攻击指数为第一目标值;若否,则确定网络设备的登录攻击指数为第二目标值;
将通信攻击指数和登录攻击指数的总和确定为网络设备的攻击行为指数;
若攻击行为指数不小于预设阈值,则确定网络设备为攻击型失陷主机。
优选地,若攻击行为指数和/或被攻击行为指数小于预设阈值,则按照预设规则确定网络设备的风险等级。
优选地,若目标信息为进程信息、通信信息、文件信息和登录信息的组合,则分别判断目标信息中的每种信息是否异常,包括:
若进程信息中的业务信息未存储于业务白名单,则确定进程信息异常;否则,确定进程信息正常;
若通信信息中的与网络设备通信的目标设备的IP地址存储于威胁IP地址库,则确定通信信息异常;否则,确定通信信息正常;
若文件信息中的操作信息与文件信息的业务操作不对应,则确定文件信息异常;否则,确定文件信息正常;
若登录信息中的登录特征与合法用户的登录特征不一致,则确定登录信息异常;否则,确定登录信息正常。
第二方面,本申请提供了一种失陷主机检测装置,包括:
获取模块,用于获取网络设备中的目标信息,目标信息为进程信息、通信信息、文件信息和登录信息中的至少两种的组合;
判断模块,用于判断目标信息是否异常;
确定模块,用于若目标信息异常,则根据异常信息确定网络设备的异常行为指数,若异常行为指数不小于预设阈值,则确定网络设备为失陷主机。
第三方面,本申请提供了一种失陷主机检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的失陷主机检测方法。
第四方面,本申请提供了一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的失陷主机检测方法。
通过以上方案可知,本申请提供了一种失陷主机检测方法,包括:获取网络设备中的目标信息,所述目标信息为进程信息、通信信息、文件信息和登录信息中的至少两种的组合;判断所述目标信息是否异常;若是,则根据异常信息确定所述网络设备的异常行为指数,若所述异常行为指数不小于预设阈值,则确定所述网络设备为失陷主机。
可见,该方法基于进程信息、通信信息、文件信息和登录信息中的至少两种信息的组合来分析网络设备的异常行为指数,多维度的信息提高了整个检测流程的全面性,降低了漏报、错报事件的发生,从而提高了检测结果的准确性。同时,本申请是基于目标信息进行分析,并没有利用已知病毒和已知恶意流量,因此可以在网络设备成为失陷主机之前对其进行检测,能够提前发现问题并解决问题,避免了更大规模网络安全事件的发生,从而提高了网络安全性和可靠性。
相应地,本申请提供的一种失陷主机检测装置、设备及可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种失陷主机检测方法流程图;
图2为本申请公开的一种网络设备风险等级示意图;
图3为本申请公开的一种失陷主机检测系统示意图;
图4为本申请公开的一种失陷主机检测装置示意图;
图5为本申请公开的一种失陷主机检测设备示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
现有技术通常基于已知病毒或者已知恶意流量确定失陷主机,且整个流程仅针对失陷主机的单一维度数据进行分析,具有一定的片面性,存在漏报、错报事件,因此检测结果的准确性低,还可能失去提前发现问题和解决问题的机会,导致引发更大规模的网络安全事件。为此,本申请提供了一种失陷主机检测方案,能够提高失陷主机检测结果的准确性。
参见图1所示,本申请实施例公开了一种失陷主机检测方法,包括:
S101、获取网络设备中的目标信息,目标信息为进程信息、通信信息、文件信息和登录信息中的至少两种的组合;
需要说明的是,进程信息可以包括进程的创建与退出。其中,进程创建事件的信息包括:进程名和创建时间戳。进程退出事件的信息包括:进程名和退出的时间戳。进程信息还可以包括进程发起者等信息。进程与业务相对应,若网络设备中出现了原来没有的业务进程,则认为进程信息异常。原有的业务建立有白名单,若某一进程对应的业务不在白名单内,则该进程异常,因此进程信息异常。
通信信息包括连接建立事件和连接关闭事件。其中,连接建立事件的信息包括:本机IP地址、本机端口、远端IP地址、远端端口、协议类型、建立时间戳等。连接关闭事件的信息包括:本机IP地址、本机端口、远端IP地址、远端端口、协议类型、关闭时间戳等。若远端IP地址是威胁IP地址库中的IP地址,则认为远端设备可能为恶意设备,因此通信信息异常。
文件信息包括文件创建事件和文件删除、改写事件。文件创建事件的信息包括:文件名、文件大小、文件内容的MD5、文件创建时间戳等。文件删除事件的信息包括:文件名、文件大小、文件内容的MD5、文件删除时间戳等。文件改写事件的信息包括:文件名、文件大小、改写位置、改写的大小、文件改写时间戳等。文件信息与业务相对应,若某一业务规定其对应的文件信息只能增加而不能修改,倘若该业务对应的文件信息被修改,则认为文件信息异常。若某一业务规定其对应的文件信息可增加可修改,倘若该业务对应的文件信息被修改或删除,则认为文件信息正常。
登录信息包括登录事件和登出事件。登录事件的信息包括:用户名、IP地址、成功与否、登录时间戳、登录地理位置等。登出事件的信息包括:用户名、IP地址、成功与否、登录时间戳、登录地理位置等。其中,只要登录事件和登出事件中存在任一个信息错误,则认为当前事件异常,即登录信息异常。
在一种优选地具体实施方式中,若目标信息为进程信息、通信信息、文件信息和登录信息的组合,则分别判断目标信息中的每种信息是否异常,包括:
若进程信息中的业务信息未存储于业务白名单,则确定进程信息异常;否则,确定进程信息正常;
若通信信息中的与网络设备通信的目标设备的IP地址存储于威胁IP地址库,则确定通信信息异常;否则,确定通信信息正常;
若文件信息中的操作信息与文件信息的业务操作不对应,则确定文件信息异常;否则,确定文件信息正常;
若登录信息中的登录特征与合法用户的登录特征不一致,则确定登录信息异常;否则,确定登录信息正常。
S102、判断目标信息是否异常;若是,则执行S103;若否,则执行S104;
在一种具体实施方式中,判断目标信息是否异常,包括:分别判断目标信息中的每种信息是否异常;若目标信息中存在异常信息,则确定目标信息异常;否则,确定目标信息正常。也就是只要目标信息中有一个异常信息,就确定目标信息异常。
S103、根据异常信息确定网络设备的异常行为指数,若异常行为指数不小于预设阈值,则确定网络设备为失陷主机;
S104、按照预设规则确定网络设备的风险等级。
在一种优选地具体实施方式中,若异常行为指数小于预设阈值,则按照预设规则确定网络设备的风险等级。例如:假设预设阈值为100,根据0-100划分风险等级,那么预设规则可以为:0≤异常行为指数<20为安全主机,20≤异常行为指数<50为低风险主机,50≤异常行为指数<100为高风险主机,100≤异常行为指数为失陷主机。按照上述规则可确定网络设备的风险等级,进而输出相应的检测结果。
可见,本申请实施例基于进程信息、通信信息、文件信息和登录信息中的至少两种信息的组合来分析网络设备的异常行为指数,多维度的信息提高了整个检测流程的全面性,降低了漏报、错报事件的发生,从而提高了检测结果的准确性。同时,本申请是基于目标信息进行分析,并没有利用已知病毒和已知恶意流量,因此可以在网络设备成为失陷主机之前对其进行检测,能够提前发现问题并解决问题,避免了更大规模网络安全事件的发生,从而提高了网络安全性和可靠性。
需要说明的是,当网络设备感染病毒后,其有可能仅是被攻击的对象,也有可能在恶意设备的控制下攻击其他设备。下述具体实施方式可以确定网络设备被攻击的情况,因此确定的是网络设备的被攻击行为指数。当网络设备的被攻击行为指数不小于预设阈值时,可认为网络设备已被恶意设备控制,因此确定网络设备已经是失陷设备。此时将网络设备的被攻击行为指数确定为异常行为指数。
在一种优选地具体实施方式中,根据异常信息确定网络设备的异常行为指数,包括:
若目标信息中包括进程信息和/或文件信息,则将进程信息和/或文件信息中任一种信息确定为第一信息;若第一信息为异常信息,则利用杀毒软件对第一信息进行查杀;若发现病毒,则确定第一信息的第一被攻击指数为第一目标值;若未发现病毒,则确定第一信息的第一被攻击指数为第二目标值;第一目标值不小于预设阈值,第二目标值小于预设阈值;
若目标信息中包括通信信息和/或登录信息,则将通信信息和/或登录信息中任一种信息确定为第二信息;若第二信息为异常信息,则判断第二信息对应的IP地址是否为恶意IP地址;若IP地址为恶意IP地址,则确定第二信息的第二被攻击指数为第一目标值;若IP地址不是恶意IP地址,则确定第二信息的第二被攻击指数为第二目标值;
将第一被攻击指数与第二被攻击指数的总和确定为被攻击行为指数,将被攻击行为指数确定为异常行为指数。
假设第一目标值取值100,第二目标值取值10。
当目标信息中包括进程信息,那么将进程信息确定为第一信息;若第一信息为异常信息,则利用杀毒软件对第一信息进行查杀;若发现病毒,则确定第一信息的第一被攻击指数为100;若未发现病毒,则确定第一信息的第一被攻击指数为10。当目标信息中包括文件信息,那么将文件信息确定为第一信息;若第一信息为异常信息,则利用杀毒软件对第一信息进行查杀;若发现病毒,则确定第一信息的第一被攻击指数为100;若未发现病毒,则确定第一信息的第一被攻击指数为10。当目标信息中包括进程信息和文件信息,那么分别将进程信息和文件信息确定为第一信息后,分别执行若第一信息为异常信息,则利用杀毒软件对第一信息进行查杀;若发现病毒,则确定第一信息的第一被攻击指数为100;若未发现病毒,则确定第一信息的第一被攻击指数为10。
当目标信息中包括通信信息,那么将通信信息确定为第二信息;若第二信息为异常信息,则判断第二信息对应的IP地址(与网络设备通信的目标设备的IP地址)是否为恶意IP地址;若IP地址为恶意IP地址,则确定第二信息的第二被攻击指数为100;若IP地址不是恶意IP地址,则确定第二信息的第二被攻击指数为10。当目标信息中包括登录信息,那么将登录信息确定为第二信息;若第二信息为异常信息,则判断第二信息对应的IP地址(登录网络设备其他设备的IP地址)是否为恶意IP地址;若IP地址为恶意IP地址,则确定第二信息的第二被攻击指数为100;若IP地址不是恶意IP地址,则确定第二信息的第二被攻击指数为10。当目标信息中包括通信信息和登录信息,那么分别将通信信息和登录信息确定为第二信息后,分别执行若第二信息为异常信息,则判断第二信息对应的IP地址是否为恶意IP地址;若IP地址为恶意IP地址,则确定第二信息的第二被攻击指数为100;若IP地址不是恶意IP地址,则确定第二信息的第二被攻击指数为10。
在上述实施例的基础上,当根据网络设备的被攻击行为指数的总和确定网络设备已被恶意设备控制后,进一步确定被控制的网络设备是否存在主动攻击内网中的其他设备的行为。因此当异常行为指数不小于预设阈值时,确定网络设备为被攻击型失陷主机,接着进一步计算网络设备的攻击行为指数,若攻击行为指数也不小于预设阈值,那么确定网络设备为攻击型失陷主机。需要说明的是,确定被攻击行为指数和攻击行为指数的步骤的执行顺序可互换,互换后不影响本申请的实现。
若网络设备的攻击行为指数不小于预设阈值,异常行为指数(被攻击行为指数)也不小于预设阈值,则网络设备既是被攻击型失陷主机,也是攻击型失陷主机。若网络设备的攻击行为指数小于预设阈值,异常行为指数(被攻击行为指数)不小于预设阈值,则网络设备是被攻击型失陷主机。反之,若网络设备的攻击行为指数不小于预设阈值,异常行为指数(被攻击行为指数)小于预设阈值,则网络设备是攻击型失陷主机。也就是说,只要网络设备的攻击行为指数和被攻击行为指数中有一个异常时,则认为网络设备为失陷主机。
若目标信息包括通信信息和/或登录信息,则可根据通信信息和/或登录信息确定网络设备是否存在主动攻击内网中其他设备的异常行为。在一种优选地具体实施方式中,确定网络设备是否存在攻击行为的步骤包括:
若第二信息为通信信息,则根据通信信息判断与网络设备通信的目标设备的IP地址是否为内网IP地址;若是,则判断进程信息中记录的网络设备对目标设备发起的进程是否异常;若是,则确定网络设备的通信攻击指数为第一目标值;若否,则确定网络设备的通信攻击指数为第二目标值;
若目标设备的IP地址为内网IP地址,则判断登录信息中记录的网络设备对目标设备的登录行为是否异常;若是,则确定网络设备的登录攻击指数为第一目标值;若否,则确定网络设备的登录攻击指数为第二目标值;
将通信攻击指数和登录攻击指数的总和确定为网络设备的攻击行为指数;
若攻击行为指数不小于预设阈值,则确定网络设备为攻击型失陷主机。
在一种优选地具体实施方式中,根据上述实施方式确定网络设备的被攻击行为指数和攻击行为指数后,若被攻击行为指数和攻击行为指数均不小于预设阈值,才确定网络设备为失陷设备。若攻击行为指数和/或被攻击行为指数小于预设阈值,则按照预设规则确定网络设备的风险等级。
请参见图2,在图2中,A3=B3=100,A2=B2=50,A1=B1=20,横轴表示被攻击行为指数,纵轴表示攻击行为指数。预设阈值为100,目标值为10。若被攻击行为指数和攻击行为指数均不小于100,则确定网络设备属于失陷主机区,为失陷设备。若攻击行为指数和/或异常行为指数小于预设阈值,则根据图中划分的区域确定网络设备的风险等级。
具体的,若攻击行为指数大于等于B3,且被攻击行为指数大于等于A3,则网络设备属于失陷主机。若攻击行为指数处于B2~B3之间(包括B2,不包括B3),且被攻击行为指数处于A2~A3之间(包括A2,不包括A3),则网络设备属于高风险主机。若攻击行为指数处于A1~A2之间(包括A1,不包括A2),且被攻击行为指数处于B1~B2之间(包括B1,不包括B2),则网络设备属于低风险主机。若攻击行为指数处于0~B1之间(包括0,不包括B1),且被攻击行为指数处于0~A1之间(包括0,不包括A1),则网络设备属于安全主机。
需要说明的是,主机失陷以后一般有多方面的表现:网络行为异常:网络行为异常体现在:试图进入该主机的数据流异常,该主机发出去的束流异常。比如说:存在攻击探测行为,因为攻击探测几乎是所有攻击行为的前奏主机文件异常:通常入侵行为会在主机的各种相关文件中留下痕迹,主机文件检测能够帮助系统管理员发现入侵行为或入侵企图,及时采取补救措施。登录异常:通常入侵行为会在主机的各种相关文件中留下痕迹,主机文件检测能够帮助系统管理员发现入侵行为或入侵企图,及时采取补救措施。进程异常:存在恶意进程的启动或者退出行为。
因此按照本申请提供的方案可实施如下系统,具体请参见图3。在图3中,数据采集器从网络设备中获取目标信息,数据采集器为多个。数据采集器设置于网络设备中或与网络设备建立通信连接,代理程序运行于数据采集器中。数据清洗引擎用于判断目标数据是否异常。评估引擎用于对异常信息进行评估,分析网络设备的被攻击行为指数和攻击行为指数。
具体的,数据清洗引擎具体用于:
清洗进程信息:通过比对业务操作,检查进程是否正常业务进程。如果是正常业务进程,则该条信息删除;如果不是正常业务进程,则保留该条信息。
清洗通信信息:通过比对业务操作,检查通信行为是否正常通信行为。如果是正常通信行为,则该条信息删除;如果不是正常通信行为,则保留该条信息。
清洗文件信息:通过比对业务操作,检查文件信息是否正常文件操作行为。如果是正常文件操作行为,则该条信息删除;如果不是正常文件操作行为,则保留该条信息。
提取登录信息:通过比对业务操作,检查登录信息是否正常登录行为。如果是正常登录行为,则该条信息删除;如果不是正常登录行为,则保留该条信息。
评估引擎确定被攻击行为指数和攻击行为指数的规则可以为:
若发现具有病毒的进程,则被攻击指数设置为100;若发现进程信息异常,但不具有病毒,则被攻击指数设置为10。若发现具有病毒的文件,则被攻击指数设置为100分,若发现文件信息异常,但不具有病毒,则被攻击指数设置为10。若发现与网络设备通信的目标设备的IP地址或登录网络设备的IP地址为恶意IP地址,则被攻击指数设置为100;否则,被攻击指数设置为10。
若通信信息异常,同时与网络设备通信的目标设备的IP地址为内网IP地址,且网络设备对目标设备发起了异常进程,则通信攻击指数设置为100;若通信信息异常,同时目标设备的IP地址为内网IP地址,但网络设备未对目标设备发起异常进程,则通信攻击指数设置为10。若登录信息异常,其中网络设备登录目标设备的登录信息异常,则登录攻击指数设置为100;若登录信息异常,但网络设备登录目标设备的登录信息正常,则登录攻击指数设置为10。按照上述过程可确定如图2所示的风险等级示意图。
可见,本实施例提供了一种结合主机行为的失陷主机检测系统。根据主机的进程信息(包括自身运行的进程和与其他设备通信的进程)、通信信息、文件信息、登录信息(包括其他设备对本机的登录行为和本机对其他设备的登录行为)等综合确定主机失陷风险,能够提前发现问题并解决问题,避免了更大规模网络安全事件的发生,从而提高了网络安全性和可靠性。
下面对本申请实施例提供的一种失陷主机检测装置进行介绍,下文描述的一种失陷主机检测装置与上文描述的一种失陷主机检测方法可以相互参照。
参见图4所示,本申请实施例公开了一种失陷主机检测装置,包括:
获取模块401,用于获取网络设备中的目标信息,目标信息为进程信息、通信信息、文件信息和登录信息中的至少两种的组合;
判断模块402,用于判断目标信息是否异常;
确定模块403,用于若目标信息异常,则根据异常信息确定网络设备的异常行为指数,若异常行为指数不小于预设阈值,则确定网络设备为失陷主机。
在一种具体实施方式中,判断模块包括:
判断单元,用于分别判断目标信息中的每种信息是否异常;
确定单元,用于若目标信息中存在异常信息,则确定目标信息异常;否则,确定目标信息正常。
在一种具体实施方式中,确定模块包括:
第一执行单元,用于若目标信息中包括进程信息和/或文件信息,则将进程信息和/或文件信息中任一种信息确定为第一信息;若第一信息为异常信息,则利用杀毒软件对第一信息进行查杀;若发现病毒,则确定第一信息的第一被攻击指数为第一目标值;若未发现病毒,则确定第一信息的第一被攻击指数为第二目标值;第一目标值不小于预设阈值,第二目标值小于预设阈值;
第二执行单元,用于若目标信息中包括通信信息和/或登录信息,则将通信信息和/或登录信息中任一种信息确定为第二信息;若第二信息为异常信息,则判断第二信息对应的IP地址是否为恶意IP地址;若IP地址为恶意IP地址,则确定第二信息的第二被攻击指数为第一目标值;若IP地址不是恶意IP地址,则确定第二信息的第二被攻击指数为第二目标值;
第二确定单元,用于将第一被攻击指数与第二被攻击指数的总和确定为被攻击行为指数,将被攻击行为指数确定为异常行为指数。
在一种具体实施方式中,还包括:
第一执行模块,用于若第二信息为通信信息,则根据通信信息判断与网络设备通信的目标设备的IP地址是否为内网IP地址;若是,则判断进程信息中记录的网络设备对目标设备发起的进程是否异常;若是,则确定网络设备的通信攻击指数为第一目标值;若否,则确定网络设备的通信攻击指数为第二目标值;
第二执行模块,用于若目标设备的IP地址为内网IP地址,则判断登录信息中记录的网络设备对目标设备的登录行为是否异常;若是,则确定网络设备的登录攻击指数为第一目标值;若否,则确定网络设备的登录攻击指数为第二目标值;
计算模块,用于将通信攻击指数和登录攻击指数的总和确定为网络设备的攻击行为指数;
第三执行模块,用于若攻击行为指数不小于预设阈值,则确定网络设备为攻击型失陷主机。
在一种具体实施方式中,还包括:
第四执行模块,用于若攻击行为指数和/或被攻击行为指数小于预设阈值,则按照预设规则确定网络设备的风险等级。
在一种具体实施方式中,若目标信息为进程信息、通信信息、文件信息和登录信息的组合,则判断单元具体用于:
若进程信息中的业务信息未存储于业务白名单,则确定进程信息异常;否则,确定进程信息正常;
若通信信息中的与网络设备通信的目标设备的IP地址存储于威胁IP地址库,则确定通信信息异常;否则,确定通信信息正常;
若文件信息中的操作信息与文件信息的业务操作不对应,则确定文件信息异常;否则,确定文件信息正常;
若登录信息中的登录特征与合法用户的登录特征不一致,则确定登录信息异常;否则,确定登录信息正常。
其中,关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
可见,本实施例提供了一种失陷主机检测装置,该装置基于进程信息、通信信息、文件信息和登录信息中的至少两种信息的组合来分析网络设备的异常行为指数,多维度的信息提高了整个检测流程的全面性,降低了漏报、错报事件的发生,从而提高了检测结果的准确性。同时,本申请是基于目标信息进行分析,并没有利用已知病毒和已知恶意流量,因此可以在网络设备成为失陷主机之前对其进行检测,能够提前发现问题并解决问题,避免了更大规模网络安全事件的发生,从而提高了网络安全性和可靠性。
下面对本申请实施例提供的一种失陷主机检测设备进行介绍,下文描述的一种失陷主机检测设备与上文描述的一种失陷主机检测方法及装置可以相互参照。
参见图5所示,本申请实施例公开了一种失陷主机检测设备,包括:
存储器501,用于保存计算机程序;
处理器502,用于执行所述计算机程序,以实现上述任意实施例公开的方法。
下面对本申请实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种失陷主机检测方法、装置及设备可以相互参照。
一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的失陷主机检测方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本申请涉及的“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法或设备固有的其它步骤或单元。
需要说明的是,在本申请中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的可读存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (9)
1.一种失陷主机检测方法,其特征在于,包括:
获取网络设备中的目标信息,所述目标信息为进程信息、通信信息、文件信息和登录信息中的至少两种的组合;
判断所述目标信息是否异常;
若是,则根据异常信息确定所述网络设备的异常行为指数,若所述异常行为指数不小于预设阈值,则确定所述网络设备为失陷主机;
其中,所述根据异常信息确定所述网络设备的异常行为指数,包括:
若所述目标信息中包括所述进程信息和/或所述文件信息,则将所述进程信息和/或所述文件信息中任一种信息确定为第一信息;若所述第一信息为所述异常信息,则利用杀毒软件对所述第一信息进行查杀;若发现病毒,则确定所述第一信息的第一被攻击指数为第一目标值;若未发现病毒,则确定所述第一信息的第一被攻击指数为第二目标值;所述第一目标值不小于所述预设阈值,所述第二目标值小于所述预设阈值;
若所述目标信息中包括所述通信信息和/或所述登录信息,则将所述通信信息和/或所述登录信息中任一种信息确定为第二信息;若所述第二信息为所述异常信息,则判断所述第二信息对应的IP地址是否为恶意IP地址;若所述IP地址为恶意IP地址,则确定所述第二信息的第二被攻击指数为所述第一目标值;若所述IP地址不是恶意IP地址,则确定所述第二信息的第二被攻击指数为所述第二目标值;
将所述第一被攻击指数与所述第二被攻击指数的总和确定为被攻击行为指数,将所述被攻击行为指数确定为所述异常行为指数。
2.根据权利要求1所述的失陷主机检测方法,其特征在于,所述判断所述目标信息是否异常,包括:
分别判断所述目标信息中的每种信息是否异常;
若所述目标信息中存在所述异常信息,则确定所述目标信息异常;否则,确定所述目标信息正常。
3.根据权利要求2所述的失陷主机检测方法,其特征在于,若所述异常行为指数不小于预设阈值,则确定所述网络设备为失陷主机之后,还包括:
若所述第二信息为所述通信信息,则根据所述通信信息判断与所述网络设备通信的目标设备的IP地址是否为内网IP地址;若是,则判断所述进程信息中记录的所述网络设备对所述目标设备发起的进程是否异常;若是,则确定所述网络设备的通信攻击指数为所述第一目标值;若否,则确定所述网络设备的通信攻击指数为所述第二目标值;
若所述目标设备的IP地址为内网IP地址,则判断所述登录信息中记录的所述网络设备对所述目标设备的登录行为是否异常;若是,则确定所述网络设备的登录攻击指数为所述第一目标值;若否,则确定所述网络设备的登录攻击指数为所述第二目标值;
将所述通信攻击指数和所述登录攻击指数的总和确定为所述网络设备的攻击行为指数;
若所述攻击行为指数不小于所述预设阈值,则确定所述网络设备为攻击型失陷主机。
4.根据权利要求3所述的失陷主机检测方法,其特征在于,还包括:
若所述攻击行为指数和/或所述被攻击行为指数小于所述预设阈值,则按照预设规则确定所述网络设备的风险等级。
5.根据权利要求2所述的失陷主机检测方法,其特征在于,若所述目标信息为所述进程信息、所述通信信息、所述文件信息和所述登录信息的组合,则分别判断所述目标信息中的每种信息是否异常,包括:
若所述进程信息中的业务信息未存储于业务白名单,则确定所述进程信息异常;否则,确定所述进程信息正常;
若所述通信信息中的与所述网络设备通信的目标设备的IP地址存储于威胁IP地址库,则确定所述通信信息异常;否则,确定所述通信信息正常;
若所述文件信息中的操作信息与所述文件信息的业务操作不对应,则确定所述文件信息异常;否则,确定所述文件信息正常;
若所述登录信息中的登录特征与合法用户的登录特征不一致,则确定所述登录信息异常;否则,确定所述登录信息正常。
6.一种失陷主机检测装置,其特征在于,包括:
获取模块,用于获取网络设备中的目标信息,所述目标信息为进程信息、通信信息、文件信息和登录信息中的至少两种的组合;
判断模块,用于判断所述目标信息是否异常;
确定模块,用于若所述目标信息异常,则根据异常信息确定所述网络设备的异常行为指数,若所述异常行为指数不小于预设阈值,则确定所述网络设备为失陷主机;
其中,确定模块包括:
第一执行单元,用于若所述目标信息中包括所述进程信息和/或所述文件信息,则将所述进程信息和/或所述文件信息中任一种信息确定为第一信息;若所述第一信息为所述异常信息,则利用杀毒软件对所述第一信息进行查杀;若发现病毒,则确定所述第一信息的第一被攻击指数为第一目标值;若未发现病毒,则确定所述第一信息的第一被攻击指数为第二目标值;所述第一目标值不小于所述预设阈值,所述第二目标值小于所述预设阈值;
第二执行单元,用于若所述目标信息中包括所述通信信息和/或所述登录信息,则将所述通信信息和/或所述登录信息中任一种信息确定为第二信息;若所述第二信息为所述异常信息,则判断所述第二信息对应的IP地址是否为恶意IP地址;若所述IP地址为恶意IP地址,则确定所述第二信息的第二被攻击指数为所述第一目标值;若所述IP地址不是恶意IP地址,则确定所述第二信息的第二被攻击指数为所述第二目标值;
第二确定单元,用于将所述第一被攻击指数与所述第二被攻击指数的总和确定为被攻击行为指数,将所述被攻击行为指数确定为所述异常行为指数。
7.根据权利要求6所述的失陷主机检测装置,其特征在于,所述判断模块包括:
判断单元,用于分别判断所述目标信息中的每种信息是否异常;
确定单元,用于若所述目标信息中存在所述异常信息,则确定所述目标信息异常;否则,确定所述目标信息正常。
8.一种失陷主机检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至5任一项所述的失陷主机检测方法。
9.一种可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的失陷主机检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911076453.1A CN110830470B (zh) | 2019-11-06 | 2019-11-06 | 一种失陷主机检测方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911076453.1A CN110830470B (zh) | 2019-11-06 | 2019-11-06 | 一种失陷主机检测方法、装置、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110830470A CN110830470A (zh) | 2020-02-21 |
| CN110830470B true CN110830470B (zh) | 2022-02-01 |
Family
ID=69553210
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911076453.1A Active CN110830470B (zh) | 2019-11-06 | 2019-11-06 | 一种失陷主机检测方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110830470B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111372077A (zh) * | 2020-03-16 | 2020-07-03 | 深信服科技股份有限公司 | 摄像头的控制方法、装置、终端设备及存储介质 |
| CN111355750B (zh) * | 2020-04-23 | 2022-11-08 | 京东科技控股股份有限公司 | 用于识别暴力破解密码行为的方法和装置 |
| CN113746781A (zh) * | 2020-05-28 | 2021-12-03 | 深信服科技股份有限公司 | 一种网络安全检测方法、装置、设备及可读存储介质 |
| CN111786964B (zh) * | 2020-06-12 | 2022-09-30 | 深信服科技股份有限公司 | 网络安全检测方法、终端及网络安全设备 |
| CN111818073B (zh) * | 2020-07-16 | 2022-08-09 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、设备及介质 |
| CN111901326B (zh) * | 2020-07-20 | 2022-11-15 | 杭州安恒信息技术股份有限公司 | 多设备入侵的检测方法、装置、系统以及存储介质 |
| CN113301043B (zh) * | 2021-05-24 | 2021-11-23 | 珠海市鸿瑞信息技术股份有限公司 | 基于5g工业物联网网络安全终端 |
| CN113312625B (zh) * | 2021-06-21 | 2024-01-02 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
| CN114095217A (zh) * | 2021-11-06 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种失陷主机快照取证溯源方法和系统 |
| CN114124560A (zh) * | 2021-12-01 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 一种失陷主机的检测方法、装置、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105471912A (zh) * | 2015-12-31 | 2016-04-06 | 深圳市深信服电子科技有限公司 | 监控网络的安全防御方法和系统 |
| CN105915532A (zh) * | 2016-05-23 | 2016-08-31 | 北京网康科技有限公司 | 一种失陷主机的识别方法及装置 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN108965346A (zh) * | 2018-10-10 | 2018-12-07 | 上海工程技术大学 | 一种失陷主机检测方法 |
| CN109547449A (zh) * | 2018-11-29 | 2019-03-29 | 深圳市网心科技有限公司 | 一种安全检测方法及相关装置 |
| CN109660539A (zh) * | 2018-12-20 | 2019-04-19 | 北京神州绿盟信息安全科技股份有限公司 | 失陷设备识别方法、装置、电子设备及存储介质 |
| CN109889547A (zh) * | 2019-03-29 | 2019-06-14 | 新华三信息安全技术有限公司 | 一种异常网络设备的检测方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
-
2019
- 2019-11-06 CN CN201911076453.1A patent/CN110830470B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105471912A (zh) * | 2015-12-31 | 2016-04-06 | 深圳市深信服电子科技有限公司 | 监控网络的安全防御方法和系统 |
| CN105915532A (zh) * | 2016-05-23 | 2016-08-31 | 北京网康科技有限公司 | 一种失陷主机的识别方法及装置 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN108965346A (zh) * | 2018-10-10 | 2018-12-07 | 上海工程技术大学 | 一种失陷主机检测方法 |
| CN109547449A (zh) * | 2018-11-29 | 2019-03-29 | 深圳市网心科技有限公司 | 一种安全检测方法及相关装置 |
| CN109660539A (zh) * | 2018-12-20 | 2019-04-19 | 北京神州绿盟信息安全科技股份有限公司 | 失陷设备识别方法、装置、电子设备及存储介质 |
| CN109889547A (zh) * | 2019-03-29 | 2019-06-14 | 新华三信息安全技术有限公司 | 一种异常网络设备的检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110830470A (zh) | 2020-02-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110830470B (zh) | 一种失陷主机检测方法、装置、设备及可读存储介质 | |
| CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
| CN108696473B (zh) | 攻击路径还原方法及装置 | |
| CN112134877A (zh) | 网络威胁检测方法、装置、设备及存储介质 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| WO2017040957A1 (en) | Process launch, monitoring and execution control | |
| CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
| CN107864128B (zh) | 基于网络行为的扫描检测方法、装置、可读存储介质 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| JP4823813B2 (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
| US11893110B2 (en) | Attack estimation device, attack estimation method, and attack estimation program | |
| CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| CN111756720A (zh) | 针对性攻击检测方法及其装置和计算机可读存储介质 | |
| CN113392409A (zh) | 一种风险自动化评估预测方法及终端 | |
| Schreck et al. | BISSAM: Automatic vulnerability identification of office documents | |
| CN112347484A (zh) | 软件漏洞检测方法、装置、设备及计算机可读存储介质 | |
| Mustapha et al. | Limitation of honeypot/honeynet databases to enhance alert correlation | |
| TWI640891B (zh) | 偵測惡意程式的方法和裝置 | |
| CN113660223B (zh) | 基于告警信息的网络安全数据处理方法、装置及系统 | |
| CN113904920B (zh) | 基于失陷设备的网络安全防御方法、装置及系统 | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
| CN117093999A (zh) | 远程代码执行漏洞检测方法、装置、设备、介质及产品 | |
| CN110798356B (zh) | 固件监控方法、装置、存储介质和计算机设备 | |
| CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
| KR100632204B1 (ko) | 네트워크 상의 공격 탐지 장치 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 5 / F, building 1, 188 Lianhui street, Xixing street, Binjiang District, Hangzhou, Zhejiang 310000 Applicant after: Hangzhou Anheng Information Security Technology Co.,Ltd. Address before: 5 / F, building 1, 188 Lianhui street, Xixing street, Binjiang District, Hangzhou, Zhejiang 310000 Applicant before: Zhejiang jundun Information Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |