CN114124560A - 一种失陷主机的检测方法、装置、电子设备及存储介质 - Google Patents

一种失陷主机的检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN114124560A
CN114124560A CN202111452448.3A CN202111452448A CN114124560A CN 114124560 A CN114124560 A CN 114124560A CN 202111452448 A CN202111452448 A CN 202111452448A CN 114124560 A CN114124560 A CN 114124560A
Authority
CN
China
Prior art keywords
host
detected
network
lost
acquiring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111452448.3A
Other languages
English (en)
Inventor
周强
范鸿雷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111452448.3A priority Critical patent/CN114124560A/zh
Publication of CN114124560A publication Critical patent/CN114124560A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

本申请实施例提供一种失陷主机的检测方法、装置、电子设备及存储介质,其中,该方法包括:获取待检测主机多个网络行为;根据所述多个网络行为获取所述待检测主机的安全系数;根据所述安全系数,判断所述待检测主机是否为失陷主机。实施本申请实施例,能够提高对失陷主机的检测准确率。

Description

一种失陷主机的检测方法、装置、电子设备及存储介质
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种失陷主机的检测方法、装置、电子设备和计算机可读存储介质。
背景技术
当前网络攻击越来越多,安全设备大量被部署到网络中用于保护主机资产,即使在网络设备的保护下,一些资产被攻击后存在被攻陷的风险,所以需要一种手段能够检测出失陷主机并自动对失陷资产进行安全防护。现有的技术手段的判断条件比较单一,准确率较低。
发明内容
本申请实施例的目的在于提供一种失陷主机的检测方法、装置、电子设备和计算机可读存储介质。根据待检测主机的多个网络行为获取待检测主机的安全系数,实现多维度的判断,提高对失陷主机的检测准确率。
第一方面,本申请实施例提供了一种失陷主机的检测方法,所述方法包括:
获取待检测主机多个网络行为;
根据所述多个网络行为获取所述待检测主机的安全系数;
根据所述安全系数确定所述待检测主机是否为失陷主机。
在上述实现过程中,本申请实施例获取的是待检测主机的多个网络行为,通过多个网络行为来获取待检测主机的安全系数,使得安全系数更能够反映出当前待检测主机的网络安全状态,进一步地,根据安全系数确定该待检测主机是否为失陷主机,能够提高对失陷主机的检测准确率。
进一步地,所述根据所述多个网络行为获取所述待检测主机的安全系数的步骤,包括:
获取所述多个网络行为对应的异常操作状态的数量;
根据所述异常操作状态的数量获取所述待检测主机的安全系数。
在上述实现过程中,异常操作状态能够衡量当前待检测主机的网络状态,因此,根据异常操作状态的数量能够直接、快速地获取待检测主机的安全系数。
进一步地,所述根据所述异常操作状态的数量获取所述待检测主机的安全系数的步骤,包括:
获取所述异常操作状态的权重;
根据所述异常操作状态的权重、所述异常操作状态的数量获取所述待检测主机的安全系数。
在上述实现过程中,有的异常操作状态可能是待检测主机在日常的工作中随机会触发的,对待检测主机以及同网段的主机的威胁较小,有的异常操作状态可能是主机被病毒入侵之后做出的动作,对待检测主机以及同网段的主机威胁较大,因此,不同的异常操作状态的权重有所不同,根据异常操作状态的权重,异常操作状态的数量和多个网络行为的数量获得的待检测主机的安全系数更能反映当前待检测主机的安全状态。
进一步地,所述根据所述安全系数,判断所述待检测主机是否为失陷主机的步骤,包括:
判断所述安全系数是否大于预设阈值;
若是,判定所述待检测主机为失陷主机;
若否,判定所述待检测主机为非失陷主机。
在上述实现过程中,通过将待检测主机的安全系数和预设的阈值进行比较,能够节省大量的计算时间,进而能够快速地判断待检测的主机是否为失陷主机。
进一步地,所述网络行为包括:网络探测其他主机,端口探测其他主机、发起分布式拒绝服务攻击、域名访问行为、数据存储行为中的任意一种或多种。
在上述实现过程中,网络探测其他主机的目的是为了判断当前待检测主机与其他主机之间是否可达,其他主机是否是同网段的主机,该行为通常都是用户手动发起的,且操作频率较低,并且,当主机被病毒入侵时,该网络行为会出现异常状态,因此,将该网络行为作为安全系数的影响因素;用户通常不会主动端口探测其他主机,因此,将该网络行为作为安全系数的影响因素;如果待检测主机发起分布式拒绝服务攻击,说明该主机存在主动攻击行为,待检测有可能被病毒入侵,因此,将该网络行为作为安全系数的影响因素;如果待检测主机被病毒入侵,那么待检测主机会被控制地访问恶意域名,因此,将该网络行为作为安全系数的影响因素;如果待检测主机被病毒入侵,那么待检测主机的数据存储行为会发生改变,因此,将该网络行为作为安全系数的影响因素。
进一步地,所述异常操作状态包括:
网络探测和所述待检测主机同网段的其他主机、端口探测与所述待检测主机同网段的其他主机、访问恶意域名、向外网的主机发起分布式拒绝服务攻击、数据泄露中的任意一种或多种。
上述实现过程中,如果病毒入侵了待检测主机,那么上述多个网络行为会上述异常操作状态,因此,将上述异常操作状态作为安全系数的考虑因素,安全系数能够更好地反映待检测主机的网络状态。
进一步地,在所述判定所述待检测主机为失陷主机的步骤之后,还包括:
通知所述待检测主机的安全组件进行安全防御。
在上述实现过程中,当检测到主机为失陷主机时,通知待检测主机的安全组件,能够快速地保护待检测主机的安全。
第二方面,本申请实施例提供一种失陷主机的检测装置,该装置包括:
网络行为获取模块,用于获取待检测主机多个网络行为;
安全系数获取模块,用于根据所述多个网络行为获取所述待检测主机的安全系数;
判定模块,用于根据所述安全系数,判断所述待检测主机是否为失陷主机。
在上述实现过程中,本申请实施例获取的是待检测主机的多个网络行为,通过多个网络行为来获取待检测主机的安全系数,使得安全系数更能够反映出当前待检测主机的网络安全状态,进一步地,根据安全系数判断该待检测主机是否为失陷主机,能够提高对失陷主机的检测准确率。
第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请实施例提供的一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
本申请公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本申请公开的上述技术即可得知。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的失陷主机的检测方法的流程示意图;
图2为本申请实施例提供的获取待检测主机的安全系数的过程示意图;
图3为本申请实施例提供的确定待检测主机是否为失陷主机的过程示意图;
图4为本申请实施例提供的失陷主机的检测装置的结构组成示意图;
图5为本申请实施例提供的电子设备的结构组成示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
参见图1,本申请实施例提供一种失陷主机的检测方法,包括:
S1:获取待检测主机多个网络行为;
S2:根据多个网络行为获取待检测主机的安全系数;
S3:根据安全系数确定待检测主机是否为失陷主机。
相比于现有技术,本申请实施例获取的是待检测主机的多个网络行为,通过多个网络行为来获取待检测主机的安全系数,使得安全系数更能够反映出当前待检测主机的网络安全状态,进一步地,根据安全系数判断该待检测主机是否为失陷主机,能够提高对失陷主机的检测准确率。
参见图2,在一种可能的实施方式中,S2包括以下子步骤:
S21:获取多个网络行为对应的异常操作状态的数量;
S22:根据异常操作状态的数量获取待检测主机的安全系数。
在上述实现过程中,异常操作状态能够衡量当前待检测主机的网络状态,因此,根据异常操作状态的数量能够直接、快速地获取待检测主机的安全系数。
参见图3,在一种可能的实施方式中,S3包括以下子步骤:
S31:判断安全系数是否大于预设阈值;若是,执行S32;若否,执行S33;
S32:判定待检测主机为失陷主机;
S33:判定待检测主机为非失陷主机。
网络行为包括:网络探测其他主机,端口探测其他主机、发起分布式拒绝服务攻击、域名访问行为、数据存储行为中的任意一种或多种。
上述实施例中,网络探测指的是利用Ping等网络工具对其他主机进行连接探测。
在上述实现过程中,网络探测其他主机的目的是为了判断当前待检测主机与其他主机之间是否可达,其他主机是否是同网段的主机,该行为通常都是用户手动发起的,且操作频率较低,并且,当主机被病毒入侵时,该网络行为会出现异常状态,因此,将该网络行为作为安全系数的影响因素;用户通常不会主动端口探测其他主机,因此,将该网络行为作为安全系数的影响因素;如果待检测主机发起分布式拒绝服务攻击,说明该主机存在主动攻击行为,待检测有可能被病毒入侵,因此,将该网络行为作为安全系数的影响因素;如果待检测主机被病毒入侵,那么待检测主机会被控制地访问恶意域名,因此,将该网络行为作为安全系数的影响因素;如果待检测主机被病毒入侵,那么待检测主机的数据存储行为会发生改变,因此,将该网络行为作为安全系数的影响因素。异常操作状态包括:
网络探测和待检测主机同网段的其他主机、端口探测与待检测主机同网段的其他主机、访问恶意域名、向外网的主机发起分布式拒绝服务攻击(Distirbuted Denial ofservice,DDos)、数据泄露中的任意一种或多种。
上述实现过程中,如果病毒入侵了待检测主机,那么上述多个网络行为会上述异常操作状态,因此,将上述异常操作状态作为安全系数的考虑因素,安全系数能够更好地反映待检测主机的网络状态。
在判定待检测主机为失陷主机的步骤之后,还包括:
通知所述待检测主机的安全组件进行安全防御。
在上述实现过程中,当检测到主机为失陷主机时,通知待检测主机的安全组件,能够快速地保护待检测主机的安全。
上述实现过程中,如果病毒入侵了待检测主机,那么上述多个网络行为会上述异常操作状态,因此,将上述异常操作状态作为安全系数的考虑因素,安全系数能够更好地反映待检测主机的网络状态。
上述实施例中,对待检测主机行为进行监控,监控待检测主机是否存在探测同网段IP和端口的行为,探测IP行为是指从主机网络探测同网段其他主机,端口探测行为是指待检测主机依次对同网段主机的全部端口依次建立传输控制协议(Transmission ControlProtocol,TCP)连接,确认其他主机端口是否开放,如果存在上述行为则判定为该主机存在横向移动。如果待检测主机发送的报文源IP不变,源端口从1024-65536之间变化并且目的ip和目的端口为同一网际互连协议(Internet Protocol,IP)和端口。则进行下一步攻击类型识别,如果攻击类型识别为TCPFLOOD,UDPFLOOD,ICMPFLOOD则判定为该主机存在DDoS对外攻击行为。对待检测主机DNS行为进行监控,通过域名生成算法(Domain GenerationAlgorithm,DGA)识别模型及随机性字符串组合分析,如果域名系统(Domain Name System,DNS)请求解析的域名为恶意域名或DNS解析所得IP为恶意IP,那么判定待检测主机访问恶意域名。
如果存在上述行为则判定为该主机存在访问恶意域名行为。数据泄漏行为是指主机向外网方向传输规则允许范围以外文件或数据。
进一步地,本申请提供一种利用异常操作状态的数量计算安全系数的公式:
S=N;
上述实施例中,S为安全系数,N为异常操作状态的数量。
针对该公式,预设阈值可以取2。
进一步地,本申请实施例提供另外一种安全系数的计算公式;
S=a+b+c+d;
其中,a、b、c、d为异常状态对应的权重值。
示例性,网络探测和待检测主机同网段的其他主机的权重值端口探测与待检测主机同网段的其他主机权重值设置为0.2,向外网的主机发起分布式拒绝服务攻击权重值设置为0.3,访问恶意域名设置的权重值设置为0.3。数据泄露的权重值设置为0.2。
针对该公式,预设阈值设置为0.5。
在一种可能的实施方式中,在S31之后,还包括:
通知待检测主机的安全组件进行安全防御。
在上述实现过程中,当检测到主机为失陷主机时,通知待检测主机的安全组件,能够快速地保护待检测主机的安全。
实施例2
参见图4,本申请实施例提供一种失陷主机的检测装置,包括:
网络行为获取模块1,用于获取待检测主机多个网络行为;
安全系数获取模块2,用于根据多个网络行为获取待检测主机的安全系数;
判定模块3,用于根据安全系数确定主机是否为失陷主机。
在上述实现过程中,相比于现有技术,本申请获取的是待检测主机的多个网络行为,通过多个网络行为来获取待检测主机的安全系数,使得安全系数更能够反映出当前待检测主机的网络安全状态,进一步地,根据安全系数判断该待检测主机是否为失陷主机,能够提高对失陷主机的检测准确率。
在一种可能的实施方式中,安全系数获取模块2还用于获取多个网络行为对应的异常操作状态的数量;
根据异常操作状态的数量获取待检测主机的安全系数。
在一种可能的实施方式中,安全系数获取模块2还用于获取异常操作状态的权重;根据异常操作状态的权重、异常操作状态的数量获取待检测主机的安全系数。
在一种可能的实施方式中,判定模块3还用于判断安全系数是否大于预设阈值;若是,判定待检测主机为失陷主机;若否,判定待检测主机为非失陷主机。
网络行为包括:网络探测其他主机,端口探测其他主机、发起分布式拒绝服务攻击、域名访问行为、数据存储行为。异常操作状态包括:网络探测和待检测主机同网段的其他主机、端口探测与待检测主机同网段的其他主机、向外网的主机发起分布式拒绝服务攻击、访问恶意域名、数据泄露。
在一种可能的实施方式中,装置还包括:通知模块,通知模块用于通知待检测主机的安全组件进行安全防御。
实施例3
如图5所示,本申请实施例还提供一种电子设备,该电子设备可以包括处理器51、通信接口52、存储器53和至少一个通信总线54。其中,通信总线54用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口52用于与其他节点设备进行信令或数据的通信。处理器51可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器51可以是通用处理器,包括中央处理器(Central ProcessingUnit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器51也可以是任何常规的处理器等。
存储器53可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器53中存储有计算机可读取指令,当计算机可读取指令由处理器51执行时,设备可以执行上述图1-图3方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。存储器53、存储控制器、处理器51、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线54实现电性连接。处理器51用于执行存储器53中存储的可执行模块,例如设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图5所示的结构仅为示意,电子设备还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。图5中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供一种存储介质,存储介质上存储有指令,当指令在计算机上运行时,计算机程序被处理器执行时实现方法实施例的方法,为避免重复,此处不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (10)

1.一种失陷主机的检测方法,其特征在于,所述方法包括:
获取待检测主机多个网络行为;
根据所述多个网络行为获取所述待检测主机的安全系数;
根据所述安全系数确定所述待检测主机是否为失陷主机。
2.根据权利要求1所述的失陷主机的检测方法,其特征在于,所述根据所述多个网络行为获取所述待检测主机的安全系数的步骤,包括:
获取所述多个网络行为对应的异常操作状态的数量;
根据所述异常操作状态的数量获取所述待检测主机的安全系数。
3.根据权利要求2所述的失陷主机的检测方法,其特征在于,所述根据所述异常操作状态的数量获取所述待检测主机的安全系数的步骤,包括:
获取所述异常操作状态的权重;
根据所述异常操作状态的权重、所述异常操作状态的数量获取所述待检测主机的安全系数。
4.根据权利要求1-3任一项所述的失陷主机的检测方法,其特征在于,所述根据所述安全系数确定所述待检测主机是否为失陷主机的步骤,包括:
判断所述安全系数是否大于预设阈值;
若是,判定所述待检测主机为失陷主机;
若否,判定所述待检测主机为非失陷主机。
5.根据权利要求1-3任一项所述的失陷主机的检测方法,其特征在于,所述网络行为包括:网络探测其他主机,端口探测其他主机、发起分布式拒绝服务攻击、域名访问行为、数据存储行为中的任意一种或多种。
6.根据权利要求2或3所述的失陷主机的检测方法,其特征在于,所述异常操作状态包括:
网络探测和所述待检测主机同网段的其他主机、端口探测与所述待检测主机同网段的其他主机、向外网的主机发起分布式拒绝服务攻击、访问恶意域名、数据泄露中的任意一种或多种。
7.根据权利要求4所述的失陷主机的检测方法,其特征在于,在所述判定所述待检测主机为失陷主机的步骤之后,还包括:
通知所述待检测主机的安全组件进行安全防御。
8.一种失陷主机的检测装置,其特征在于,所述装置包括:
网络行为获取模块,用于获取待检测主机多个网络行为;
安全系数获取模块,用于根据所述多个网络行为获取所述待检测主机的安全系数;
判定模块,用于根据所述安全系数确定所述待检测主机是否为失陷主机。
9.一种电子设备,其特征在于,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1-7任一项所述的失陷主机的检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如权利要求1-7任一项所述的失陷主机的检测方法。
CN202111452448.3A 2021-12-01 2021-12-01 一种失陷主机的检测方法、装置、电子设备及存储介质 Pending CN114124560A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111452448.3A CN114124560A (zh) 2021-12-01 2021-12-01 一种失陷主机的检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111452448.3A CN114124560A (zh) 2021-12-01 2021-12-01 一种失陷主机的检测方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN114124560A true CN114124560A (zh) 2022-03-01

Family

ID=80369329

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111452448.3A Pending CN114124560A (zh) 2021-12-01 2021-12-01 一种失陷主机的检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN114124560A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115021978A (zh) * 2022-05-17 2022-09-06 云盾智慧安全科技有限公司 攻击路径预测方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110798425A (zh) * 2018-08-01 2020-02-14 深信服科技股份有限公司 一种黑客攻击行为的检测方法、系统及相关装置
CN110830470A (zh) * 2019-11-06 2020-02-21 浙江军盾信息科技有限公司 一种失陷主机检测方法、装置、设备及可读存储介质
CN110933082A (zh) * 2019-11-29 2020-03-27 深信服科技股份有限公司 失陷主机识别方法、装置、设备及存储介质
CN111600880A (zh) * 2020-05-14 2020-08-28 深信服科技股份有限公司 异常访问行为的检测方法、系统、存储介质和终端

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110798425A (zh) * 2018-08-01 2020-02-14 深信服科技股份有限公司 一种黑客攻击行为的检测方法、系统及相关装置
CN110830470A (zh) * 2019-11-06 2020-02-21 浙江军盾信息科技有限公司 一种失陷主机检测方法、装置、设备及可读存储介质
CN110933082A (zh) * 2019-11-29 2020-03-27 深信服科技股份有限公司 失陷主机识别方法、装置、设备及存储介质
CN111600880A (zh) * 2020-05-14 2020-08-28 深信服科技股份有限公司 异常访问行为的检测方法、系统、存储介质和终端

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115021978A (zh) * 2022-05-17 2022-09-06 云盾智慧安全科技有限公司 攻击路径预测方法、装置、电子设备及存储介质
CN115021978B (zh) * 2022-05-17 2023-11-24 云盾智慧安全科技有限公司 攻击路径预测方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN107659583B (zh) 一种检测事中攻击的方法及系统
KR102210627B1 (ko) 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템
CN113661693A (zh) 经由日志检测敏感数据暴露
JP6104149B2 (ja) ログ分析装置及びログ分析方法及びログ分析プログラム
US8549645B2 (en) System and method for detection of denial of service attacks
WO2018218537A1 (zh) 工业控制系统及其网络安全的监视方法
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
CN111600880A (zh) 异常访问行为的检测方法、系统、存储介质和终端
CN108369541B (zh) 用于安全威胁的威胁风险评分的系统和方法
CN108200095B (zh) 互联网边界安全策略脆弱性确定方法及装置
US20170155683A1 (en) Remedial action for release of threat data
CN114268452A (zh) 一种网络安全防护方法及系统
CN111277561A (zh) 网络攻击路径预测方法、装置及安全管理平台
Onik et al. A novel approach for network attack classification based on sequential questions
US11405411B2 (en) Extraction apparatus, extraction method, computer readable medium
CN113992431B (zh) 一种联动阻断方法、装置、电子设备及存储介质
CN114124560A (zh) 一种失陷主机的检测方法、装置、电子设备及存储介质
US20220407873A1 (en) Analysis device and analysis method
CN112347484A (zh) 软件漏洞检测方法、装置、设备及计算机可读存储介质
US20230018096A1 (en) Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
CN114003914A (zh) 一种文件的安全性检测方法、装置、电子设备及存储介质
KR20180101868A (ko) 악성 행위 의심 정보 탐지 장치 및 방법
CN109462503B (zh) 一种数据检测方法和装置
CN113127855A (zh) 安全防护系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination