CN110933082A - 失陷主机识别方法、装置、设备及存储介质 - Google Patents

Abstract

本发明公开了一种失陷主机识别方法、装置、设备及存储介质。其中，所述方法包括：对获取的流量基于源主机标识和预设的识别特征进行筛选，确定源主机对应的第一流量集；对所述第一流量集基于所述识别特征进行权重分析，确定符合设定要求的可疑流量及对应的时间点；统计设定时长内可疑流量及对应的时间点，确定所述设定时长内是否存在符合设定规律的定时任务，若存在所述定时任务，则确定所述源主机为失陷主机。通过识别可疑流量的时间点对应的规律来确定定时任务，可以减少因数据包的丢失或者延迟对定时任务识别的影响，提高了定时任务的识别的可靠性及准确性。

Description

失陷主机识别方法、装置、设备及存储介质

技术领域

本发明涉及网络安全领域，尤其涉及一种失陷主机识别方法、装置、设备及存储介质。

背景技术

APT(Advanced Persistent Threat，高级持续性威胁)攻击是一种针对性攻击，利用先进的攻击手段对特定目标进行长期持续性网络攻击。恶意攻击者通过安全漏洞获取到目标主机的系统权限之后，为了长期的保持当前的系统权限，往往会通过定时任务(timedtask)设置相关的权限维持(maintain Permission)方式。

如何有效识别用于权限维持的定时任务，以判断目标主机是否遭受APT攻击，是网络安全领域亟待解决的技术问题。

发明内容

有鉴于此，本发明实施例提供了一种失陷主机识别方法、装置、设备及存储介质，旨在解决如何判断目标主机是否为失陷主机的技术问题。

本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种失陷主机识别方法，包括：

对获取的流量基于源主机标识和预设的识别特征进行筛选，确定源主机对应的第一流量集；

对所述第一流量集基于所述识别特征进行权重分析，确定符合设定要求的可疑流量及对应的时间点；

统计设定时长内可疑流量及对应的时间点，确定所述设定时长内是否存在符合设定规律的定时任务，若存在所述定时任务，则确定所述源主机为失陷主机。

本发明实施例又提供了一种失陷主机识别装置，包括：

第一确定模块，用于对获取的流量基于源主机标识和预设的识别特征进行筛选，确定源主机对应的第一流量集；

第二确定模块，用于对所述第一流量集基于所述识别特征进行权重分析，确定符合设定要求的可疑流量及对应的时间点；

识别模块，用于统计设定时长内可疑流量及对应的时间点，确定所述设定时长内是否存在符合设定规律的定时任务，若存在所述定时任务，则确定所述源主机是否为失陷主机。

本发明实施例还提供了一种失陷主机识别设备，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器，用于运行计算机程序时，执行本发明实施例所述方法的步骤。

本发明实施例还提供了一种存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现本发明实施例所述方法的步骤。

本发明实施例提供的技术方案，通过对获取的流量基于源主机标识和预设的识别特征进行筛选确定第一流量集，由于需要对流量进行筛选确定第一流量集，可以减少流量监测过程中的数据包丢失对后续识别造成影响的可能性，且对所述第一流量集基于所述识别特征进行权重分析，确定符合要求的可疑流量及对应的时间点，统计设定时长内可疑流量及对应的时间点，确定所述设定时长内是否存在符合设定规律的定时任务，通过识别可疑流量的时间点对应的规律来确定定时任务，可以减少因数据包的丢失或者延迟对定时任务识别的影响，提高了定时任务的识别的可靠性及准确性。

附图说明

图1为本发明实施例失陷主机识别方法的流程示意图；

图2为本发明实施例失陷主机识别方法中判断所述时间序列是否符合设定规律的流程示意图；

图3为本发明一应用示例中失陷主机识别方法的流程示意图；

图4为本发明一应用示例中对时间序列进行周期性判断的流程示意图；

图5为本发明一应用示例中时间序列的示意图；

图6为本发明一应用示例中对时间序列经快速傅里叶变换后生成的频谱数据示意图；

图7为本发明一应用示例中对频谱数据进行叠加降噪后的频谱数据示意图；

图8为本发明一应用示例中可疑流量是否符合设定规律的判断流程示意图；

图9为本发明实施例失陷主机识别装置的结构示意图；

图10为本发明实施例失陷主机识别设备的结构示意图。

具体实施方式

下面结合附图及实施例对本发明再作进一步详细的描述。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。

相关技术中，恶意攻击者通过安全漏洞获取到服务器的系统权限之后，为了长期的保持当前的系统权限，往往会通过定时任务设置相关的权限维持方式，其中，定时任务是指基于给定的时间点、给定的时间间隔或者给定的执行次数自动执行的任务，权限维持是指通过安全漏洞获取到目标主机(比如，服务器)的系统权限后，保持当前的系统权限，且不会因为服务器的管理员发现和修补安全漏洞而丢失服务器的系统权限。通过对大量的病毒样本分析、各类的安全报告、病毒报告与应急响应经验的总结后发现，当前权限维持方式多数采用HTTP(Hyper Text Transfer Protocol，超文本传输协议)维持当前权限，恶意攻击者通过写入定时任务、WMI(Windows Management Instrumentation)等方式访问某恶意域名反弹shell达到一个长期的权限维持方式(即被攻击的服务器主动连接恶意域名来保持权限维持)。网络安全设备一般仅通过流量中携带的内容与威胁情报做匹配识别来判断是否为恶意请求，但该方式存在缺陷导致无法有效识别定时任务，具体如下：

1、恶意攻击者往往使用各大IDC(Internet Data Center，互联网数据中心)主机或者VPS(Virtual Private Server，虚拟专用服务器)，可以绕过威胁情报的检测；

2、由于计划任务的请求次数较少，在众多HTTP请求中难以被发现；

3、流量检测过程中，容易出现数据包丢失与流量延迟，从而影响检测数据的完整性，导致无法准确识别出定时任务。

基于此，在本发明的各种实施例中，通过对获取的流量基于源主机标识和预设的识别特征进行筛选确定第一流量集，可以减少流量监测过程中的数据包丢失对后续识别造成影响的可能性，且对所述第一流量集基于所述识别特征进行权重分析，确定符合要求的可疑流量及对应的时间点，统计设定时长内所述可疑流量及对应的时间点，确定所述设定时长内是否存在符合设定规律的定时任务，由于通过识别可疑流量的时间点对应的规律来确定定时任务，可以减少因数据包的丢失或者延迟对定时任务识别的影响，提高了定时任务的识别的可靠性及准确性。

本发明实施例提供了一种失陷主机识别方法，应用于流量层设备，该流量层设备可以为NTA(Net Flow Analyzer，网络流量分析)设备、IDS(Intrusion DetectionSystems，入侵检测系统)、应用层网关等。如图1所示，该方法包括：

步骤101，对获取的流量基于源主机标识和预设的识别特征进行筛选，确定源主机对应的第一流量集；

步骤102，对所述第一流量集基于所述识别特征进行权重分析，确定符合设定要求的可疑流量及对应的时间点；

步骤103，统计设定时长内可疑流量及对应的时间点，确定所述设定时长内是否存在符合设定规律的定时任务，若存在所述定时任务，则确定所述源主机为失陷主机。

这里，定时任务是指设定时长内可疑流量以相等或者近似相等的间隔周期性出现达到设定次数。可疑流量对应的时间点是指流量数据中携带的时间戳对应的时间点。

本发明实施例方法，通过对获取的流量基于源主机标识和预设的识别特征进行筛选确定第一流量集，由于需要对流量进行筛选确定第一流量集，可以减少流量监测过程中的数据包丢失对后续识别造成影响的可能性，且对所述第一流量集基于所述识别特征进行权重分析，确定符合要求的可疑流量及对应的时间点，统计设定时长内可疑流量及对应的时间点，确定所述设定时长内是否存在符合设定规律的定时任务，通过识别可疑流量的时间点对应的规律来确定定时任务，可以减少因数据包的丢失或者延迟对定时任务识别的影响，提高了定时任务的识别的可靠性及准确性。

在一实施例中，所述对获取的流量基于源主机标识和预设的识别特征进行筛选，确定源主机对应的第一流量集，包括：

对流量基于源主机标识确定同一源主机对应的初始流量集；

对所述初始流量集基于所述识别特征进行识别，筛选出所述第一流量集。

本发明实施例中，流量层设备获取的流量为基于HTTP的流量，比如，浏览网页、观看视频、下载软件、下载电影等流量。流量层设备对获取的多个流量基于源主机标识确定同一源主机对应的初始流量集。需要说明的是，源主机的数量可以为一个以上，这样，可以确定多个源主机分别对应的初始流量集。

这里，预设的识别特征包括以下至少之一：

流量对应的下载地址为互联网协议(IP)地址；

流量对应的统一资源标识符(URI)的路径小于或等于设定目录级数；

流量对应的端口地址为异常端口地址；

流量对应的下载文件名为简单文件名；

流量对应的IP地址为境外IP地址；

流量对应的请求次数大于或等于第一设定阈值；

流量对应的URI重复次数大于或等于第二设定阈值；

流量请求同一目标主机下的URI的数量小于或等于第三设定阈值；

流量请求的文件被伪造；

流量对应的请求头字段不完整。

对所述初始流量集基于所述识别特征进行识别，筛选出源主机对应的第一流量集。具体地，可以是将同一源主机标识对应的流量中具有设定数量个识别特征的流量分配至第一流量集。比如，以源主机的IP地址作为源主机标识，将该源主机对应的具有三个以上的上述识别特征的流量分配至该源主机对应的第一流量集。示例性地，流量层设备获取的某一流量基于源主机的IP地址确定为第一源主机对应的流量，且该流量满足流量对应的下载地址为IP地址、流量对应的URI路径小于设定目录级数、及流量对应的端口地址为异常端口地址，则将该流量分配至第一源主机对应的第一流量集。

在一实施例中，对所述第一流量集的每个流量，基于所述识别特征进行赋值，并将各赋值基于相应的权重进行加权，得到相应流量的评分值；

确定评分值属于设定阈值范围的流量为可疑流量，并记录可疑流量对应的时间点。

示例性地，预设的识别特征包括行为特征和内容特征。

其中，行为特征主要表现在流量提取后的一些请求规律，次数频率等参数，用于评估相关的请求的是否为恶意流量。行为特征包括六个特征，如表1所示：

表1

表1中，“IP下载”即流量对应的下载地址为IP地址，对应的权重赋值为“低”；“短path下载”即流量对应的URI的路径小于或等于设定目录级数，局地，URI的路径小于或等于3级目录，对应的权重赋值为“中”；“非常用端口”即流量对应的端口地址为异常端口地址，具体地，判断端口地址是否属于常用的端口地址，若否，则判定为非常用端口，对应的权重赋值为“低”；“简单文件名”即流量对应的下载文件名为简单文件名，具体地，下载文件名对应的字符数量少于设定值，对应的权重赋值为“中”；“境外IP”即流量对应的IP地址为境外IP地址，对应的权重赋值为“高”；“请求次数较多”即流量对应的请求次数大于或等于第一设定阈值，可以统计定时时长内流量的请求次数，若次数大于或等于第一设定阈值，则判定为该流量的请求次数较多，对应的权重赋值为“低”。

其中，内容特征主要表现在对HTTP流量中的数据包进行解析，按照各个字段的含义进行分析，判断主要涉及内容包括请求包与返回包的相关内容。如表2所示：

表2

表2中，“多次请求的URI内容不变”即流量对应的URI重复次数大于或等于第二设定阈值，定时任务中请求的URI一般是固定的，区别于正常的HTTP请求，据此可以识别定时任务，对应的权重赋值为“中”；“请求同一host下的uri少”即流量请求同一目标主机下的URI的数量小于或等于第三设定阈值，正常的HTTP请求会请求相同主机下的多个URI，即请求相同host下的URI的数量为多个，定时任务往往请求同一host下的一个URI，即请求URI的数量为一个，据此，可以根据流量请求同一host下的URI的数量是否小于或等于第三设定阈值，识别定时任务，对应的权重赋值为“中”；“文件伪造”即流量请求的文件被伪造，比如，网络请求的数据包是一个doc文件，在返回包里面却发现是一个bat文件，则确定文件被伪造，对应的权重赋值为“高”；“请求头字段不完整”即流量对应的请求头字段不完整，比如，正常的HTTP请求头字段包含10个以上的字段，若某一流量数据包的字段少于10个或者缺少一些关键字段，则确定该流量的请求头字段不完整，对应的权重赋值为“中”。

需要说明的是，可以对所述第一流量集基于所述行为特征和所述内容特征进行权重分析，确定符合设定要求的可疑流量及对应的时间点。

对所述第一流量集的每个流量，根据其对应的行为特征、内容特征，及行为特征、内容特征对应的权重赋值进行打分，得到相应的评分值，若该评分值属于设定阈值范围，则确定该流量为可疑流量，并记录可疑流量对应的时间点。比如，各特征的赋值均为10分，权重赋值“低”对应的加权系数为1，权重赋值“中”对应的加权系数为3，权重赋值“高”对应的加权系数为5，则可以根据任一流量符合的识别特征的数量及识别特征对应的加权系数，确定该流量对应的评分值，并将评分值与设定阈值范围进行比较，进而确定可疑流量并记录可疑流量对应的时间点。

本发明实施例中，以可疑流量对应的统一资源定位符(URL)为标识，所述设定时长内同一标识的可疑流量对应的时间点，基于所述同一标识的可疑流量对应的时间点确定时间序列；判断所述时间序列是否符合设定规律，若是，则确定存在定时任务。

这里，定时任务可以按照分、小时或者天进行设置，可以通过所述时间序列是否符合设定规律来判断是否存在定时任务。

在一实施例中，如图2所示，所述判断所述时间序列是否符合设定规律，包括：

步骤201，对所述时间序列进行快速傅里叶变换，得到所述时间序列对应的频谱数据；

通过快速傅里叶变换，可以将存在于时域的可疑流量转换到频域中，得到与所述时间序列对应的频谱数据。

步骤202，根据所述频谱数据确定所述时间序列是否符合设定规律。

对于频谱数据，可以根据其峰值数据出现的次数进行判断，确定对应的时间序列是否符合设定规律，比如，设定时长内的峰值数据出现的次数大于设定值，则确定可疑流量符合周期性，判定所述设定时长内存在定时任务，对应的源主机为失陷主机。

图3为本发明一应用示例中失陷主机识别方法的流程示意图。如图3所示，流量层设备获取HTTP流量，基于行为特征和内容特征对获取HTTP流量进行筛选得到源主机对应的第一流量集，对所述第一流量集基于行为特征、内容特征进行权重分析，确定符合要求的可疑流量，统计设定时长内的多次可疑流量及对应的时间点，得到可疑流量对应的时间序列；将时间序列经快速傅里叶(FFT)变换及卷积叠加，得到转换后的频谱数据，根据频谱数据中峰值数据出现的次数判断可疑流量是否符合设定规律，若符合，则判断存在定时任务，确定该源主机为失陷主机，否则忽略可疑流量。

在一实施例中，时间序列中可能存在混入的噪声，为了准确识别出时间序列对应的规律，步骤202包括：

对所述频谱数据进行叠加降噪，得到去噪后的频谱数据；

实际应用时，可以选择一些常见的定时任务的频率对频谱数据进行叠加降噪，比如，很多后门程序(绕过安全性控制的定时任务)都是5分钟发起一起请求，5分钟就是一个频率，以5分钟为定时任务的频率对频谱数据进行叠加降噪(比如，通过卷积进行叠加降噪)，便可以轻松地从混杂着大量噪声的流量时间序列中提取出周期性的定时任务特征。可以选用几个常见的定时任务间隔，如5分钟或者15分钟，且为了尽量复用代码，使用卷积的方式对频谱数据进行叠加降噪。

根据去噪后的频谱数据确定所述时间序列是否符合设定规律。

去噪后的频谱数据可以确定是否存在周期性的可疑流量，若设定时长内的可疑流量的满足周期性的要求，则确定存在恶意定时任务，判定对应的源主机为失陷主机。

图4为本发明一应用示例中对时间序列进行周期性判断的流程示意图。如图4所示，对采集到时间序列通过FFT变换得到频谱数据，对频谱数据通过卷积公式进行叠加，得到降噪后的频谱数据，再根据降噪后的频谱数据进行周期性判断，确定频谱数据中峰值数据出现的次数是否符合设定规律。

本发明实施例失陷主机识别方法，通过识别用于权限维持的流量对应的定时任务，从而准确识别出失陷主机，且通过识别可疑流量的时间点对应的规律来确定定时任务，可以减少因数据包的丢失或者延迟对定时任务识别的影响，提高了定时任务的识别的可靠性及准确性。

此外，本发明实施例方法可以检测网络中存在的基于HTTP的心跳包，比如，黑客攻破了目标主机且植入了后门程序，后门程序会定时访问一些IP地址或者域名用于权限维持，该过程中的数据包即心跳包，本发明实施例方法可以根据可疑流量的时间点的规律，识别出心跳包，进而确定失陷主机。

另外，本发明实施例方法可以检测通过设置定时任务下载或拉取病毒脚本的攻击场景。比如，黑客攻破了主机植入一些命令到系统当中去执行，会间隔一定的时间从互联网上基于HTTP去下载一些病毒程序、后门程序、恶意脚本等。本发明实施例方法可以根据可疑流量的时间点的规律，识别出定时任务，进而确定失陷主机。

在一应用示例中，首先采集了一段时间长度为7200秒的流量，其中隐藏着一个周期为67秒的定时任务。由于实际检测时可能会漏检一部分流量包，采用上述实施例方法确定的时间序列如图5所示。可以看到，在时域上，周期性信号在约0.1的信噪比下已经无法直接被分辨出了。此时，对上面的时域信号进行快速傅里叶变换，生成其频谱数据，如图6所示。可以看到在频谱中依稀可以辨别出数个峰值，它们在横坐标轴上约每107.5单位长度出现一次，代表在时域中有周期为7200/107.5≈67秒的周期性事件。

通过在整个频谱横坐标轴(长7200单位，与变换前一样)上按周期对频谱进行叠加，以降低噪声、提升信噪比。在模拟测试中，由于已知信号周期是67秒，则直接按67秒对应的频谱横坐标间隔(即107.5)对频谱进行叠加降噪。叠加降噪后的频谱数据如图7所示。如此，可以轻松且明显地从可以流量中发现潜在的周期性，从而确定是否存在定时任务，进而识别出失陷主机。

如图8所示，在一示例中，统计可疑流量的请求时间，若在设定时长内可疑流量的周期性请求次数n大于5，则确定可疑流量的符合规律，确定对应的源主机为失陷主机，否则，确定对应的源主机为高可疑主机。

为了实现本发明实施例的方法，本发明实施例还提供一种失陷主机识别装置，如图9所示，该装置包括：

第一确定模块901，用于对获取的流量基于源主机标识和预设的识别特征进行筛选，确定源主机对应的第一流量集；

第二确定模块902，用于对所述第一流量集基于所述识别特征进行权重分析，确定符合设定要求的可疑流量及对应的时间点；

识别模块903，用于统计设定时长内可疑流量及对应的时间点，确定所述设定时长内是否存在符合设定规律的定时任务，若存在所述定时任务，则确定所述源主机是否为失陷主机。

在一些实施例中，第一确定模块901具体用于：

基于源主机标识确定同一源主机对应的初始流量集；

对所述初始流量集基于所述识别特征进行识别，筛选出所述第一流量集。

在一些实施例中，第二确定模块902具体用于：

对所述第一流量集的每个流量，基于所述识别特征进行赋值，并将各赋值基于相应的权重进行加权，得到相应流量的评分值；

确定评分值属于设定阈值范围的流量为可疑流量，并记录可疑流量对应的时间点。

在一些实施例中，所述识别特征包括以下至少之一：

流量对应的下载地址为互联网协议IP地址；

流量对应的统一资源标识符URI的路径小于或等于设定目录级数；

流量对应的端口地址为异常端口地址；

流量对应的下载文件名为简单文件名；

流量对应的IP地址为境外IP地址；

流量对应的请求次数大于或等于第一设定阈值；

流量对应的URI重复次数大于或等于第二设定阈值；

流量请求同一目标主机下的URI的数量小于或等于第三设定阈值；

流量请求的文件被伪造；

流量对应的请求头字段不完整。

在一些实施例中，识别模块903具体用于：

统计所述设定时长内同一标识的可疑流量对应的时间点，基于所述同一标识的可疑流量对应的时间点确定时间序列；

判断所述时间序列是否符合设定规律，若是，则确定存在定时任务。

在一些实施例中，识别模块903具体用于：

对所述时间序列进行快速傅里叶变换，得到所述时间序列对应的频谱数据；

根据所述频谱数据确定所述时间序列是否符合设定规律。

在一些实施例中，识别模块903具体用于：

对所述频谱数据进行叠加降噪，得到去噪后的频谱数据；

根据去噪后的频谱数据确定所述时间序列是否符合设定规律。

实际应用时，第一确定模块901、第二确定模块902及识别模块903，可以由失陷主机识别装置中的处理器来实现。当然，处理器需要运行存储器中的计算机程序来实现它的功能。

需要说明的是：上述实施例提供的失陷主机识别装置在进行失陷主机识别时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的失陷主机识别装置与失陷主机识别方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

基于上述程序模块的硬件实现，且为了实现本发明实施例的方法，本发明实施例还提供一种失陷主机识别设备。图10仅仅示出了该设备的示例性结构而非全部结构，根据需要可以实施图10示出的部分结构或全部结构。

如图10所示，本发明实施例提供的失陷主机识别设备1000包括：至少一个处理器1001、存储器1002、用户接口1003和至少一个网络接口1004。失陷主机识别设备1000中的各个组件通过总线系统1005耦合在一起。可以理解，总线系统1005用于实现这些组件之间的连接通信。总线系统1005除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图10中将各种总线都标为总线系统1005。

其中，用户接口1003可以包括显示器、键盘、鼠标、轨迹球、点击轮、按键、按钮、触感板或者触摸屏等。

本发明实施例中的存储器1002用于存储各种类型的数据以支持失陷主机识别设备的操作。这些数据的示例包括：用于在失陷主机识别设备上操作的任何计算机程序。

本发明实施例揭示的失陷主机识别方法可以应用于处理器1001中，或者由处理器1001实现。处理器1001可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，失陷主机识别方法的各步骤可以通过处理器1001中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1001可以是通用处理器、数字信号处理器(DSP，Digital SignalProcessor)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器1001可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器1002，处理器1001读取存储器1002中的信息，结合其硬件完成本发明实施例提供的失陷主机识别方法的步骤。

在示例性实施例中，失陷主机识别设备可以被一个或多个应用专用集成电路(ASIC，Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD，Programmable Logic Device)、复杂可编程逻辑器件(CPLD，Complex Programmable LogicDevice)、FPGA、通用处理器、控制器、微控制器(MCU，Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现，用于执行前述方法。

失陷主机识别设备1000可以为流量层设备，比如，NTA(Net Flow Analyzer，网络流量分析)设备、IDS(Intrusion Detection Systems，入侵检测系统)、应用层网关等。

可以理解，存储器1002可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(ROM，Read OnlyMemory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random AccessMemory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM，SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本发明实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

在示例性实施例中，本发明实施例还提供了一种存储介质，即计算机存储介质，具体可以是计算机可读存储介质，例如包括存储计算机程序的存储器1002，上述计算机程序可由失陷主机识别设备1000的处理器1001执行，以完成本发明实施例方法所述的步骤。计算机可读存储介质可以是ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。

需要说明的是：“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

另外，本发明实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种失陷主机识别方法，其特征在于，包括：

对获取的流量基于源主机标识和预设的识别特征进行筛选，确定源主机对应的第一流量集；

对所述第一流量集基于所述识别特征进行权重分析，确定符合设定要求的可疑流量及对应的时间点；

统计设定时长内可疑流量及对应的时间点，确定所述设定时长内是否存在符合设定规律的定时任务，若存在所述定时任务，则确定所述源主机为失陷主机。

2.根据权利要求1所述的方法，其特征在于，所述对获取的流量基于源主机标识和预设的识别特征进行筛选，确定源主机对应的第一流量集，包括：

基于源主机标识确定同一源主机对应的初始流量集；

对所述初始流量集基于所述识别特征进行识别，筛选出所述第一流量集。

3.根据权利要求1所述的方法，其特征在于，所述对所述第一流量集基于所述识别特征进行权重分析，确定符合设定要求的可疑流量及对应的时间点，包括：

对所述第一流量集的每个流量，基于所述识别特征进行赋值，将各赋值基于相应的权重进行加权，得到相应流量的评分值；

确定评分值属于设定阈值范围的流量为可疑流量，记录可疑流量对应的时间点。

4.根据权利要求1所述的方法，其特征在于，所述识别特征包括以下至少之一：

流量对应的下载地址为互联网协议IP地址；

流量对应的统一资源标识符URI的路径小于或等于设定目录级数；

流量对应的端口地址为异常端口地址；

流量对应的下载文件名为简单文件名；

流量对应的IP地址为境外IP地址；

流量对应的请求次数大于或等于第一设定阈值；

流量对应的URI重复次数大于或等于第二设定阈值；

流量请求同一目标主机下的URI的数量小于或等于第三设定阈值；

流量请求的文件被伪造；

流量对应的请求头字段不完整。

5.根据权利要求1所述的方法，其特征在于，所述统计设定时长内所述可疑流量及对应的时间点，确定所述设定时长内是否存在符合设定规律的定时任务，包括：

统计所述设定时长内同一标识的可疑流量对应的时间点，基于所述同一标识的可疑流量对应的时间点确定时间序列；

判断所述时间序列是否符合设定规律，若是，则确定存在定时任务。

6.根据权利要求5所述的方法，其特征在于，所述判断所述时间序列是否符合设定规律，包括：

对所述时间序列进行快速傅里叶变换，得到所述时间序列对应的频谱数据；

根据所述频谱数据确定所述时间序列是否符合设定规律。

7.根据权利要求6所述的方法，其特征在于，所述根据所述频谱数据确定所述时间序列是否符合设定规律，包括：

对所述频谱数据进行叠加降噪，得到去噪后的频谱数据；

根据去噪后的频谱数据确定所述时间序列是否符合设定规律。

8.一种失陷主机识别装置，其特征在于，包括：

第一确定模块，用于对获取的流量基于源主机标识和预设的识别特征进行筛选，确定源主机对应的第一流量集；

第二确定模块，用于对所述第一流量集基于所述识别特征进行权重分析，确定符合设定要求的可疑流量及对应的时间点；

识别模块，用于统计设定时长内所述可疑流量及对应的时间点，确定所述设定时长内是否存在符合设定规律的定时任务，若存在所述定时任务，则确定所述源主机是否为失陷主机。

9.一种失陷主机识别设备，其特征在于，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，

所述处理器，用于运行计算机程序时，执行权利要求1至7任一项所述方法的步骤。

10.一种存储介质，所述存储介质上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，实现权利要求1至7任一项所述方法的步骤。

Images