CN115001789B

CN115001789B - 一种失陷设备检测方法、装置、设备及介质

Info

Publication number: CN115001789B
Application number: CN202210591748.8A
Authority: CN
Inventors: 张英; 郑茂奎; 赵粤征; 叶建伟; 黄�俊; 叶晓虎
Original assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Current assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Priority date: 2022-05-27
Filing date: 2022-05-27
Publication date: 2024-04-02
Anticipated expiration: 2042-05-27
Also published as: CN115001789A

Abstract

本申请涉及网络安全技术领域，具体涉及一种失陷设备检测方法、装置、设备及介质，用于解决如何检测未知失陷设备的问题，该方法包括：获取内网中第一设备的第一外联地址；所述第一外联地址表示与所述第一设备进行通信的外网中第二设备的地址；若确定所述第一外联地址为第一类型地址，则判定所述第一设备为未知失陷设备；其中，所述未知失陷设备为已被攻陷但未添加到黑名单库和情报库的设备，所述第一类型地址表示存在恶意行为但未命中所述黑名单库和所述情报库的样本的外联地址，所述恶意行为表示对所述内网的安全产生威胁的行为。

Description

一种失陷设备检测方法、装置、设备及介质

技术领域

本申请涉及网络安全技术领域，具体涉及一种失陷设备检测方法、装置、设备及介质。

背景技术

根据最新威胁报告统计，高级持续性威胁(Advanced Persistent Threat，APT)攻击、挖矿攻击、勒索攻击等都具备隐蔽、长期潜伏感染的能力。黑客通过多种途径从外部入侵企业内部的设备，导致该设备失陷后，通过隐藏手段利用本地资源和工具进行横向传播，绕过安全设备的检测，最终控制目标设备，在设定时间操作、中断或破坏目标设备的系统和数据。因此，为了避免或减少损失，需要尽早挖掘企业内部的已失陷设备，尽快进行隔离修复，阻止黑客的进一步破坏。

目前现有技术主要是基于恶意域名判定失陷设备，通过设备外发的数据包提取目标域名，如果目标域名属于黑名单库中的域名，则判定该设备是失陷设备。黑名单库来源于对暴露的攻击事件进行各维度特征的及时分析和分享，对于未暴露的攻击事件，容易出现漏报问题。因此，现有技术只能检测已暴露的已知失陷设备，无法检测未暴露的未知失陷设备。

发明内容

本申请实施例提供一种失陷设备检测方法、装置、设备及介质，用于解决如何检测未知失陷设备的问题。

第一方面，本申请实施例提供一种失陷设备检测方法，包括：

获取内网中第一设备的第一外联地址；所述第一外联地址表示与所述第一设备进行通信的外网中第二设备的地址；

若确定所述第一外联地址为第一类型地址，则判定所述第一设备为未知失陷设备；其中，所述未知失陷设备为已被攻陷但未添加到黑名单库和情报库的设备，所述第一类型地址表示存在恶意行为但未命中所述黑名单库和所述情报库的样本的外联地址，所述恶意行为表示对所述内网的安全产生威胁的行为。

在本申请实施例中，获取与内网中第一设备进行通信的外网中第二设备的地址，若确定该外联地址为第一类型地址，第一类型地址表示存在恶意行为但未命中黑名单库和情报库的样本的外联地址，则判定第一设备为已被攻陷但未添加到黑名单库和情报库的未知失陷设备，相较于现有技术只能检测已添加到黑名单库或情报库的已知失陷设备，本申请提供的方法可以检测出未知失陷设备，减少漏报问题，从而提高检测失陷设备的准确性。

在一种可能的实施例中，所述方法还包括：

若确定所述第一外联地址为第二类型地址，则判定所述第一设备为已知失陷设备；其中，所述已知失陷设备为已添加到所述黑名单库或所述情报库的设备，所述第二类型地址表示命中所述黑名单库或所述情报库的样本的外联地址。

在本申请实施例中，根据样本的外联地址得到第一类型地址和第二类型地址，不仅通过第一类型地址可以检测出未知失陷设备，还可以通过第二类型地址可以检测出已知失陷设备，全方面检测内网中的设备是否被攻陷，提高检测失陷设备的准确性。

在一种可能的实施例中，所述第一类型地址和所述第二类型地址预存在外联地址库中，在获取内网中第一设备的第一外联地址之前，所述方法还包括：

收集所述内网与所述外网的通信会话信息的多个样本；

若确定所述多个样本中任一样本存在所述恶意行为，则检测所述任一样本的第二外联地址是否命中所述黑名单库和所述情报库；

若确定所述第二外联地址未命中所述黑名单库和所述情报库，则将所述第二外联地址标记为所述第一类型地址，并将所述第二外联地址写入所述外联地址库；

若确定所述第二外联地址命中所述黑名单库或所述情报库，则将所述第二外联地址标记为所述第二类型地址，并将所述第二外联地址写入所述外联地址库。

在本申请实施例中，通过对内网中的多个样本进行分析，汇总多个样本的外联地址，梳理出关键线索集合即外联地址库，使外联地址库中的外联地址精确可靠，减少误报率，提高后续的检测效率。

在一种可能的实施例中，在若确定所述多个样本中任一样本存在恶意行为，则检测所述任一样本的第二外联地址是否命中所述黑名单库和所述情报库之前，所述方法还包括：

确定所述任一样本的第二外联地址未命中白名单库。

在本申请实施例中，通过白名单库剔除安全的外联地址，可以防止误报干扰，减少后续需要进行恶意行为检测的样本数量，还可以提高失陷设备的检测效率。

在一种可能的实施例中，所述黑名单库包括存有恶意互联网协议IP地址的IP黑名单、存有恶意域名DNS的DNS黑名单、存有恶意网页地址URL的URL黑名单中的至少一种；所述情报库包括存有恶意IP地址的IP情报库、存有恶意DNS的DNS情报库、存有恶意URL的URL情报库中的至少一种；所述白名单库包括存有安全IP地址的IP白名单、存有安全DNS的DNS白名单、存有安全URL的URL白名单中的至少一种。

在本申请实施例中，黑名单库、情报库、白名单库均具有多种类型的地址，可以对外联地址进行全面的检测，避免漏报。

在一种可能的实施例中，将所述第二外联地址写入所述外联地址库，包括：

确定所述任一样本的威胁信息；

将所述任一样本的第二外联地址和所述任一样本的威胁信息关联写入所述外联地址库；

在判定所述第一设备为未知失陷设备或已知失陷设备之后，所述方法还包括：

根据所述外联地址库中所述第一外联地址关联的威胁信息，确定所述第一设备的修复方式。

在本申请实施例中，可以根据威胁信息，确定第一设备的修复方式，后续可以根据该修复方式，对该第一设备尽快进行修复，避免对内网造成更严重的影响。

在一种可能的实施例中，在判定所述第一设备为未知失陷设备或已知失陷设备之后，所述方法还包括：

获取所述第一设备的历史日志，所述历史日志包括所述第一设备与所述内网中第三设备在当前时刻之前的通信日志；

根据所述历史日志和所述外联地址库，判定所述第三设备是否为所述已知失陷设备或所述未知失陷设备。

在本申请实施例中，通过实时捕获通信会话信息进行分析，可以发现当前正在通信的未知失陷设备，又能通过回溯历史日志发现早期失陷的未知设备，为后续的复原攻击完整路径提供有力证据。

第二方面，本申请实施例提供一种失陷设备检测装置，包括：

获取模块，用于获取内网中第一设备的第一外联地址；所述第一外联地址表示与所述第一设备进行通信的外网中第二设备的地址；

判定模块，用于若确定所述第一外联地址为第一类型地址，则判定所述第一设备为未知失陷设备；其中，所述未知失陷设备为已被攻陷但未添加到黑名单库和情报库的设备，所述第一类型地址表示存在恶意行为但未命中所述黑名单库和所述情报库的样本的外联地址，所述恶意行为表示对所述内网的安全产生威胁的行为。

在一种可能的实施例中，所述判定模块还用于：

在一种可能的实施例中，所述第一类型地址和所述第二类型地址预存在外联地址库中，所述装置还包括收集模块、检测模块和写入模块；

所述收集模块用于：

在获取内网中第一设备的第一外联地址之前，收集所述内网与所述外网的通信会话信息的多个样本；

所述检测模块用于：

若确定所述多个样本中任一样本存在所述恶意行为，则检测所述任一样本的第二外联地址是否命中所述黑名单库和情报库；

所述写入模块用于：

在一种可能的实施例中，所述装置还包括确定模块，所述确定模块用于：

在若确定所述多个样本中任一样本存在恶意行为，则检测所述任一样本的第二外联地址是否命中所述黑名单库和所述情报库之前，确定所述任一样本的第二外联地址未命中白名单库。

在一种可能的实施例中，所述确定模块还用于：

确定所述任一样本的威胁信息；

所述写入模块具体用于：

所述确定模块具体用于：

在判定所述第一设备为未知失陷设备或已知失陷设备之后，根据所述外联地址库中所述第一外联地址关联的威胁信息，确定所述第一设备的修复方式。

在一种可能的实施例中，所述判定模块还用于：

在判定所述第一设备为未知失陷设备或已知失陷设备之后，获取所述第一设备的历史日志，所述历史日志包括所述第一设备与所述内网中第三设备在当前时刻之前的通信日志；

第三方面，本申请实施例提供一种计算机设备，包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行如第一方面中任一项所述的方法。

第四方面，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，当所述计算机指令在计算机上运行时，使得计算机执行如第一方面中任一项所述的方法。

附图说明

为了更清楚地说明本申请实施例或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例提供的一种失陷设备检测方法的应用场景图；

图2为本申请实施例提供的一种失陷设备检测方法的流程示意图；

图3为本申请实施例提供的一种失陷设备检测装置的结构示意图一；

图4为本申请实施例提供的一种失陷设备检测装置的结构示意图二；

图5为本申请实施例提供的一种计算机设备的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面将结合本发明实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以按不同于此处的顺序执行所示出或描述的步骤。

本申请的说明书和权利要求书及上述附图中的术语“第一”和“第二”是用于区别不同对象，而非用于描述特定顺序。此外，术语“包括”以及它们任何变形，意图在于覆盖不排他的保护。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

本申请实施例中，“多个”可以表示至少两个，例如可以是两个、三个或者更多个，本申请实施例不做限制。

为了解决如何检测未知失陷设备的问题，本申请实施例提供一种失陷设备检测方法，该方法可以由检测设备执行，检测设备可以通过终端或服务器实现，终端例如多媒体计算机、多媒体平板、台式计算机、笔记本计算机、平板计算机等。服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器，但并不局限于此。检测设备可以部署在任意需要检测的网络中。

下面对本申请实施例的技术方案能够适用的应用场景做一些简单介绍，需要说明的是，以下介绍的应用场景仅用于说明本申请实施例而非限定。在具体实施过程中，可以根据实际需要灵活地应用本申请实施例提供的技术方案。

请参照图1，为本申请实施例涉及的一种失陷设备检测方法的应用场景图，该应用场景包括：第一设备101、第二设备102、以及检测设备103。第一设备101和第二设备102之间可以相互通信。第一设备101、第二设备102例如为主机、服务器等设备，主机例如为各种计算机。

应当说明的是，第一设备101所在的网络为网络1，第二设备102所在的网络为网络2。图1是以网络1包括第一设备101为例，网络2包括第二设备102为例，实际上不限制各网络中的设备的数量。

如果称网络1为内网，那么网络2相较于网络1来说为外网，如果称网络2为内网，那么网络1相较于网络2来说为外网。例如若称A企业所在的局域网为内网，则B企业所在的局域网相较于A企业所在的局域网来说为外网，若称B企业所在的局域网为内网，则A企业所在的局域网相较于B企业所在的局域网来说为外网。

图1是以网络1为需要检测的网络为例，因此检测设备103部署在第一设备101所在的网络1中。检测设备103获取与第一设备101进行通信的第二设备102的地址，根据该地址判断第一设备101是否已被攻陷。其中，检测设备103具体如何进行检测第一设备101的过程将在下文进行详细介绍。

如上介绍了应用场景，下面结合图1所示的应用场景，以图1中的网络1为内网、检测设备103执行失陷设备检测方法为例进行介绍。请参照图2，为本申请实施例提供的一种失陷设备检测方法的流程示意图。

S201、获取内网中第一设备的第一外联地址。

具体的，内网中存在多个设备，检测设备可以将多个设备中任一需要检测的设备作为第一设备，实时捕获第一设备与外网中任一设备的通信会话信息，根据通信会话信息可以获得第一设备的第一外联地址，第一外联地址表示与第一设备进行通信的外网中第二设备的地址。第一设备例如为图1中的第一设备101，第二设备例如为图1中的第二设备102。

S202、若确定第一外联地址为第一类型地址，则判定第一设备为未知失陷设备。

具体的，检测设备获得第一外联地址之后，可以将第一外联地址与第一类型地址进行比较，若确定第一外联地址为第一类型地址，则判定第一设备为未知失陷设备。

其中，第一类型地址表示存在恶意行为但未命中黑名单库和情报库的样本的外联地址，恶意行为表示对内网的安全产生威胁的行为，外联地址表示与内网设备进行通信的外网设备的地址。未知失陷设备也可以称为潜伏期失陷设备，指的是已被攻陷但未添加到黑名单库和情报库的设备，换言之，未知失陷设备表示已经被黑客攻陷、已经进行一些恶意行为、但是还未被安全产品或人工检测出来的设备。黑名单库和情报库中均存有会对网络安全产生威胁的地址名单，黑名单库是客户关注的重要列表，主要是由用户配置或导入的列表，黑名单库中的地址可编辑、可追加、可删除。情报库是依托安全厂商的情报加工能力，并且量很大，通常下发给设备的只是部分情报库，情报库是厂商内置的，其中的地址不能修改，只能走反馈通道。

若确定第一外联地址不是第一类型地址，则不执行S202。为了进一步检测第一设备是否为失陷设备，作为一种实施例，检测设备可以将第一外联地址与第二类型地址进行比较，检测第一设备是否为已知失陷设备。第二类型地址表示命中黑名单库或情报库的样本的外联地址，已知失陷设备为已添加到黑名单库或情报库的设备，也就是已经被黑客攻陷、已经被安全产品识别和检测出来的设备。

具体的，若检测设备确定第一外联地址不是第一类型地址，可以将第一外联地址与第二类型地址进行比较，若确定第一外联地址为第二类型地址，则判定第一设备为已知失陷设备。若确定第一外联地址不是第二类型地址，则判定第一设备为安全设备，安全设备表示未被攻陷、未产生任何恶意行为的设备。

为了提高检测性能，作为一种实施例，检测设备也可以先将第一外联地址与第二类型地址比较，检测第一设备是否为已知失陷设备，若不是，再将第一外联地址和第一类型地址比较，检测第一设备是否为未知失陷设备。

具体的，检测设备可以检测第一外联地址是否为第二类型地址，若确定第一外联地址为第二类型地址，则判定第一设备为已知失陷设备，若确定第一外联地址不是第二类型地址，再检测第一外联地址是否为第一类型地址。若确定第一外联地址为第一类型地址，则判定第一设备为未知失陷设备，若确定第一外联地址不是第一类型地址，则判定第一设备为安全设备。其中，第一类型地址、第二类型地址、未知失陷设备、已知失陷设备、安全设备的含义请参考前文论述的内容，此处不再赘述。

为了方便后续获取安全设备的信息，作为一种实施例，检测设备判定第一设备为安全设备之后，可以记录第一设备的基础信息，第一设备的基础信息包括第一设备访问第二设备的时间、第一设备的地址、第二设备的地址等，便于后续追溯使用。

如上介绍了如何判定已知失陷设备和为未知失陷设备之后，其中涉及到如何获得第一类型地址和第二类型地址，下面进行介绍。

作为一种实施例，第一类型地址和第二类型地址预存在外联地址库中，外联地址库可以是其他设备基于多个样本分析后获得、并发送给检测设备的，也可以是检测设备基于多个样本分析后获得的。下面以检测设备获得外联地址库为例进行介绍，具体步骤如S1.1-S1.3所述。

S1.1、收集内网与外网的通信会话信息的多个样本。

检测设备可以通过多种途径，来收集内网与外网的通信会话信息的多个样本，下面进行示例介绍。

第一种途径、通过文件系统收集样本。

检测设备可以通过网络文件系统(Network File System，NFS)、文件传输协议(File Transfer ProtocoL，FTP)、服务器消息块(Server Message Block，SMB)等文件系统，捕获外网向内网传输的文件、以及内网向外网传输的文件。

第二种途径、通过邮件网关收集样本。

检测设备可以利用邮件网关，通过邮件代理模式，获取网络中正在投寄的邮件，包括外网向内网投寄的邮件、以及内网向外网投寄的邮件。

第三种途径、通过边界网关收集样本。

检测设备可以通过边界路由器、入侵防御系统(Intrusion Prevention System，IPS)、防火墙等边界网关，捕获内网与外网之间的通信流量即通信会话信息，获取流量汇总传输的样本。

第四种途径、通过其他安全防护设备和终端检测系统捕获样本。

检测设备可以通过HTTPS Restful API互操作接口获取其他安全防护设备和终端检测系统捕获的样本。其他安全防护设备是指其他网络流量设备，是从流量中还原样本并进行检测的，但是不能还原加密流量中传输的样本。终端检测系统为部署在各个设备的安全产品，例如金山杀毒软件，是攻防的最后一道线，可以捉到该设备的所有样本。

考虑到恶意样本通常是通过不同途径入侵企业内网的，因此，本申请实施例中，从多种可能进入内网的途径捕获样本，可以达到全面采集样本的效果，提高后续基于样本获得的外联地址库的全面性，进而提高检测结果的准确性。且，样本收集包括两个方向的收集，即外网向内网传输的样本、内网向外网传输的样本，防止该内网的设备被攻陷后，又作为跳板感染其他网络，给该内网带来恶劣影响。

S1.2、若多个样本中任一样本存在恶意行为，则检测任一样本的第二外联地址是否命中黑名单库和情报库。

检测设备收集多个样本之后，可以直接检测多个样本中任一样本是否存在恶意行为，考虑到多个样本有着不同的样本类型，为了提高检测效率，检测设备可以确定任一样本的目标样本类型，将该任一样本分发到目标样本类型对应的沙箱中进行检测。沙箱是基于系统级的虚拟执行技术，检测设备可以通过沙箱检测样本是否存在恶意行为。样本类型包括office文件类型、可执行文件类型、flash文件类型等，office文件类型例如.ppt/.pptx、.doc/.docx、.xls/.xlsx、.rtf等，可执行文件类型例如.exe、.dll、.com、.scr、.pif、.bat等，flash文件类型例如.swf。

若该任一样本不存在恶意行为，说明该样本对内网来说是安全的，则获取下一个样本继续执行S1.2。若该任一样本存在恶意行为，则检测该任一样本的第二外联地址是否命中黑名单库和情报库。第二外联地址表示通信会话信息中外网设备的地址。黑名单库包括一个或多个黑名单，具体的，黑名单库包括存有恶意互联网协议(Internet Protocol，IP)地址的IP黑名单、存有恶意域名(Domain Name Service，DNS)的DNS黑名单、存有恶意网页地址(Uniform Resource Locations，URL)的URL黑名单中的至少一种。情报库包括一个或多个情报库，具体的，情报库包括存有恶意IP地址的IP情报库、存有恶意DNS的DNS情报库、存有恶意URL的URL情报库中的至少一种。

当黑名单库包括多个黑名单时，若第二外联地址均未命中该多个黑名单，则确定第二外联地址未命中黑名单库，若第二外联地址命中多个黑名单中的至少一个黑名单，则确定第二外联地址命中黑名单库。当情报库包括多个情报库时，若第二外联地址均未命中该多个情报库，则确定第二外联地址未命中情报库，若第二外联地址命中多个情报库中的至少一个情报库，则确定第二外联地址命中情报库。

例如，黑名单库包括IP黑名单、DNS黑名单、URL黑名单这三个黑名单，检测设备还可以通过对应的沙箱分析该任一样本的网络外联行为，获得第二外联地址的目标IP、目标DNS、目标URL，若目标IP未命中IP黑名单，且目标DNS未命中DNS黑名单，且目标URL未命中URL黑名单，则确定第二外联地址未命中黑名单库，否则，其他情况均可确定第二外联地址命中黑名单库。其他情况例如目标IP命中IP黑名单，且目标DNS命中DNS黑名单，但目标URL未命中URL黑名单。

应当说明的是，检测第二外联地址是否命中黑名单库和情报库的顺序可以不同，例如先检测第二外联地址是否命中黑名单库，再检测第二外联地址是否命中情报库，或者例如，先检测第二外联地址是否命中情报库，再检测第二外联地址是否命中黑名单库，或者例如，同时检测第二外联地址是否命中黑名单库和情报库。

作为一种实施例，检测设备可以在确定多个样本中任一样本存在恶意行为，则检测任一样本的第二外联地址是否命中黑名单库和情报库之前，确定任一样本的第二外联地址是否命中白名单库。白名单库为厂商内置的、不会对网络安全产生威胁的地址名单。

具体的，检测设备可以先检测任一样本的第二外联地址是否命中白名单库，白名单库包括一个或多个白名单，白名单库包括存有安全IP地址的IP白名单、存有安全DNS的DNS白名单、存有安全URL的URL白名单中的至少一种。当白名单库包括多个白名单时，若第二外联地址均未命中该多个白名单，则确定第二外联地址未命中白名单库，若第二外联地址命中多个白名单中的至少一个白名单，则确定第二外联地址命中白名单库。

例如，白名单库包括IP白名单、DNS白名单、URL白名单，检测设备通过沙箱获得第二外联地址的目标IP、目标DNS、目标URL，若目标IP未命中IP白名单，且目标DNS未命中DNS白名单，且目标URL未命中URL白名单，则确定第二外联地址未命中白名单库，否则，其他情况均可确定第二外联地址命中白名单库。其他情况例如目标IP命中IP白名单，且目标DNS命中DNS白名单，但目标URL未命中URL白名单。

进一步，若确定第二外联地址命中白名单库，说明该第二外联地址对内网来说是安全的，则继续检测下一个样本的外联地址是否命中白名单库。若确定第二外联地址未命中白名单库，再检测任一样本是否存在恶意行为。若该任一样本不存在恶意行为，则获取下一个样本继续执行S1.2。若该任一样本存在恶意行为，则检测任一样本的第二外联地址是否命中黑名单库和情报库。如何检测恶意行为、是否命中黑名单库和情报库的过程请参照前文论述的内容，此处不再赘述。

S1.3、根据第二外联地址是否未命中黑名单库和情报库，将第二外联地址标记为不同类型地址，并将第二外联地址写入外联地址库。

作为一种实施例，若确定第二外联地址未命中黑名单库和情报库，则将第二外联地址标记为第一类型地址，并将第二外联地址写入外联地址库。若确定第二外联地址命中黑名单库或情报库，则将第二外联地址标记为第二类型地址，并将第二外联地址写入外联地址库。

具体的，若检测设备确定第二外联地址未命中黑名单库，且第二外联地址未命中情报库，则将第二外联地址标记为第一类型地址，若确定第二外联地址命中黑名单库，或确定第二外联地址命中情报库，则将第二外联地址标记为第二类型地址。在将第二外联地址标记为第一类型地址或第二类型地址之后，再将第二外联地址写入外联地址库。

作为一种实施例，检测设备可以确定该任一样本的威胁信息，将任一样本的第二外联地址和任一样本的威胁信息关联写入外联地址库。其中威胁信息包括威胁类型、威胁等级等，威胁类型例如钓鱼、C&C、勒索、挖矿、僵尸网络等，威胁等级例如高、中、低。这样在判定第一设备为未知失陷设备或已知失陷设备之后，检测设备还可以根据外联地址库中第一外联地址关联的威胁信息，确定第一设备的修复方式。

其中涉及到检测设备如何确定样本的威胁信息，具体方式有两种，下面分别进行介绍。

方式一、根据黑名单库或情报库获得威胁信息。

黑名单库或情报库不仅包括多个恶意地址，还包括每个恶意地址对应的威胁信息。若任一样本的第二外联地址命中黑名单库，检测设备可以将黑名单库中第二外联地址对应的威胁信息，作为任一样本的威胁信息。若任一样本的第二外联地址命中情报库，检测设备可以将情报库中第二外联地址对应的威胁信息，作为任一样本的威胁信息。

方式二、根据任一样本的恶意行为，确定任一样本的威胁信息。

若任一样本的第二外联地址未命中黑名单库和情报库，检测设备可以根据任一样本的恶意行为，确定任一样本的恶意行为对应的威胁类型。检测设备还可以预存行为规则库，行为规则库设置了多种行为以及每种行为对应的分值，检测设备可以基于行为规则库为任一样本的恶意行为进行打分，获得任一样本的分值。当然有的样本可能有多个恶意行为，对应获得多个分值，每个样本的分值可以多个分值的总值，也可以是多个分值中的最高值，还可以是多个分值的平均值等。再根据分值与威胁等级之间的对应关系，确定每个样本的分值对应的威胁等级。

例如，行为规则库中，与APT事件关联的恶意行为对应的分值为7，与广告软件关联的恶意行为对应的分值为1。分值与威胁等级之间的对应关系为：1-4分对应的威胁等级为低，5-7分对应的威胁等级为中，8-10分对应的威胁等级为高。若某样本存在与APT事件关联的恶意行为，则该样本的分值为7，则该样本的威胁等级为高。若某样本存在与广告软件关联的恶意行为，则该样本的分值为1，则该样本的威胁等级为低。

为了确定失陷设备的影响范围，作为一种实施例，在判定第一设备为未知失陷设备或已知失陷设备之后，检测设备获取第一设备的历史日志，历史日志包括第一设备与内网中第三设备在当前时刻之前的通信日志，根据历史日志和外联地址库，判定第三设备是否为已知失陷设备或未知失陷设备。具体如何检测第三设备的过程请参照前文论述的检测第一设备的过程，此处不再赘述。

基于同一发明构思，本申请还提供一种失陷设备检测装置，该装置可以实现前文论述的失陷设备检测方法，请参照图3，为本申请实施例提供的一种失陷设备检测装置的结构示意图一。该装置包括从文件系统捕获样本模块301、从邮件系统捕获样本模块302、从流量捕获样本模块303、协同联动模块304、恶意样本检测分析模块305、外联地址检测模块306、失陷设备分析模块307。下面分别介绍各个模块的功能。

从文件系统捕获样本模块301，负责通过ftp、nfs、smb等文件系统，捕获样本，传输给恶意样本检测分析模块305进行检测和分析。

从邮件系统捕获样本模块302，负责通过邮件代理模式，获取网络环境正在投寄的邮件，传输给恶意样本检测分析模块305进行检测和分析。

从流量捕获样本模块303，负责通过捕获流量，获取流量汇总传输的样本，传输给恶意样本检测分析模块进行检测和分析。

协同联动模块304，负责通过HTTPS Restful API获取其他安全防护设备/系统和终端检测系统捕获的样本，传输给恶意检测分析模块305进行检测和分析。

恶意样本检测分析模块305，负责接收从文件系统捕获样本模块301、从邮件系统捕获样本模块302、从流量捕获样本模块303、协同联动模块304发送的样本，通过沙箱对样本进行恶意行为检测，以及分析样本的网络外联行为，并对IP、DNS、URL进行分析，将分析获得的外联地址库发送给外联地址检测模块306、其他安全防护设备/系统。其中如何获得外联地址库的过程请参照前文论述的内容，此处不再赘述。

外联地址检测模块306，负责实时捕获网络中的通信会话信息，根据恶意样本检测分析模块305发送的外联地址库，检测该通信会话信息中的外联地址是否命中外联地址库，获得内网设备访问外联地址日志，将该日志发送给失陷设备分析模块307。

失陷设备分析模块307，负责接收外联地址检测模块306、其他安全防护设备/系统发送的内网设备访问外联地址日志，根据该日志进行失陷设备判定，并分析失陷设备跟内网中其他设备的通信日志，对这些所有受影响的设备进行重点排查，还可以根据威胁类型对应的修复方式对失陷设备进行修复。其中失陷设备包括已知失陷设备和未知失陷设备，如何获得判定已知失陷设备和未知失陷设备的过程请参照前文论述的内容，此处不再赘述。

应当说明的是，为了尽量捕获不同网段的通信流量，需要在内网不同的位置部署外联地址检测模块306，因此图3所述的装置包括多个外联地址检测模块306，这样可以捕获内网设备与外网设备之间的南北向流量、以及内网设备与内网设备之间的东西向流量，从而可以检测内网中的所有失陷设备以及受影响的其他设备。

应当注意，尽管在上文详细描述中提及了装置的若干模块或子模块，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多模块的特征和功能可以在一个单元中具体化。反之，上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。例如，请参照图4，为本申请实施例提供的一种失陷设备检测装置的结构示意图二。该装置包括：

获取模块401，用于获取内网中第一设备的第一外联地址；第一外联地址表示与第一设备进行通信的外网中第二设备的地址；

判定模块402，用于若确定第一外联地址为第一类型地址，则判定第一设备为未知失陷设备；其中，未知失陷设备为已被攻陷但未添加到黑名单库和情报库的设备，第一类型地址表示存在恶意行为但未命中黑名单库和情报库的样本的外联地址，恶意行为表示对内网的安全产生威胁的行为。

在一种可能的实施例中，判定模块402还用于：

若确定第一外联地址为第二类型地址，则判定第一设备为已知失陷设备；其中，已知失陷设备为已添加到黑名单库或情报库的设备，第二类型地址表示命中黑名单库或情报库的样本的外联地址。

在一种可能的实施例中，第一类型地址和第二类型地址预存在外联地址库中，该装置还包括收集模块403、检测模块404和写入模块405；

收集模块403用于：

在获取内网中第一设备的第一外联地址之前，收集内网与外网的通信会话信息的多个样本；

检测模块404用于：

若确定多个样本中任一样本存在恶意行为，则检测任一样本的第二外联地址是否命中黑名单库和情报库；

写入模块405用于：

若确定第二外联地址未命中黑名单库和情报库，则将第二外联地址标记为第一类型地址，并将第二外联地址写入外联地址库；

若确定第二外联地址命中黑名单库或情报库，则将第二外联地址标记为第二类型地址，并将第二外联地址写入外联地址库。

在一种可能的实施例中，该装置还包括确定模块406，确定模块406用于：

在若确定多个样本中任一样本存在恶意行为，则检测任一样本的第二外联地址是否命中黑名单库和情报库之前，确定任一样本的第二外联地址未命中白名单库。

在一种可能的实施例中，黑名单库包括存有恶意互联网协议IP地址的IP黑名单、存有恶意域名DNS的DNS黑名单、存有恶意网页地址URL的URL黑名单中的至少一种；情报库包括存有恶意互联网协议IP地址的IP情报库、存有恶意域名DNS的DNS情报库、存有恶意网页地址URL的URL情报库中的至少一种；白名单库包括存有安全IP地址的IP白名单、存有安全DNS的DNS白名单、存有安全URL的URL白名单中的至少一种。

在一种可能的实施例中，确定模块406还用于：

确定任一样本的威胁信息；

写入模块405具体用于：

将任一样本的第二外联地址和任一样本的威胁信息关联写入外联地址库；

确定模块406具体用于：

在判定第一设备为未知失陷设备或已知失陷设备之后，根据外联地址库中第一外联地址关联的威胁信息，确定第一设备的修复方式。

在一种可能的实施例中，判定模块402还用于：

在判定第一设备为未知失陷设备或已知失陷设备之后，获取第一设备的历史日志，历史日志包括第一设备与内网中第三设备在当前时刻之前的通信日志；

根据历史日志和外联地址库，判定第三设备是否为已知失陷设备或未知失陷设备。

应当说明的是，图3的外联地址检测模块306实际上包括图4的获取模块401和判定模块402，图4的收集模块403实际上包括图3的从文件系统捕获样本模块301、从邮件系统捕获样本模块302、从流量捕获样本模块303、协同联动模块304，图3的恶意样本检测分析模块305实际上包括图4的检测模块404、写入模块405和确定模块406。

作为一种实施例，图4论述的装置可以用于执行图2所示的实施例中的失陷设备检测方法，因此，对于该装置的各功能模块所能够实现的功能等可参考图2所示的实施例的描述，此处不再赘述。

基于同一发明构思，本申请实施例中还提供了一种计算机设备，该设备相当于前文论述的检测设备，请参照图5，该设备包括处理器501和存储器502。

存储器502，用于存储程序指令；

处理器501，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行图2所述任一的失陷设备检测方法，处理器501还可以实现图3和4所示的装置中各个模块的功能。

本申请实施例中不限定处理器501与存储器502之间的具体连接介质，图5中是以处理器501和存储器502之间通过总线500连接为例。总线500在图5中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。总线500可以分为地址总线、数据总线、控制总线等，为便于表示，图5中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。或者，处理器501也可以称为控制器，对于名称不做限制。

其中，处理器501是该装置的控制中心，可以利用各种接口和线路连接整个该控制设备的各个部分，通过运行或执行存储在存储器502内的指令以及调用存储在存储器502内的数据，该装置的各种功能和处理数据，从而对该装置进行整体监控。

在一种可能的设计中，处理器501可包括一个或多个处理单元，处理器501可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器501中。在一些实施例中，处理器501和存储器502可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。

处理器501可以是通用处理器，例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的失陷设备检测方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

存储器502作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器502可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory，RAM)、静态随机访问存储器(Static Random Access Memory，SRAM)、可编程只读存储器(Programmable Read Only Memory，PROM)、只读存储器(Read Only Memory，ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、磁性存储器、磁盘、光盘等。存储器502是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器502还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

通过对处理器501进行设计编程，可以将前述实施例中介绍的失陷设备检测方法所对应的代码固化到芯片内，从而使芯片在运行时能够执行图2所示的失陷设备检测方法的步骤。如何对处理器501进行设计编程为本领域技术人员所公知的技术，这里不再赘述。

基于同一发明构思，本申请实施例提供一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序包括程序指令，程序指令当被计算机执行时，使计算机执行如前文论述任一的失陷设备检测方法。由于上述计算机可读存储介质解决问题的原理与失陷设备检测方法相似，因此上述计算机可读存储介质的实施可以参见方法的实施，重复之处不再赘述。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.一种失陷设备检测方法，其特征在于，包括：

若确定所述第一外联地址为第一类型地址，则判定所述第一设备为未知失陷设备；其中，所述未知失陷设备为已被攻陷但未添加到黑名单库和情报库的设备，所述第一类型地址表示地址对应的第二设备存在恶意行为，但所述第二设备的地址未命中所述黑名单库和所述情报库的样本的外联地址，所述恶意行为表示对所述内网的安全产生威胁的行为。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：

3.如权利要求2所述的方法，其特征在于，所述第一类型地址和所述第二类型地址预存在外联地址库中，在获取内网中第一设备的第一外联地址之前，所述方法还包括：

收集所述内网与所述外网的通信会话信息的多个样本；

4.如权利要求3所述的方法，其特征在于，在若确定所述多个样本中任一样本存在所述恶意行为，则检测所述任一样本的第二外联地址是否命中所述黑名单库和所述情报库之前，所述方法还包括：

确定所述任一样本的第二外联地址未命中白名单库。

5.如权利要求4所述的方法，其特征在于，所述黑名单库包括存有恶意互联网协议IP地址的IP黑名单、存有恶意域名DNS的DNS黑名单、存有恶意网页地址URL的URL黑名单中的至少一种；所述情报库包括存有恶意IP地址的IP情报库、存有恶意DNS的DNS情报库、存有恶意URL的URL情报库中的至少一种；所述白名单库包括存有安全IP地址的IP白名单、存有安全DNS的DNS白名单、存有安全URL的URL白名单中的至少一种。

6.如权利要求3-5任一项所述的方法，其特征在于，将所述第二外联地址写入所述外联地址库，包括：

确定所述任一样本的威胁信息；

7.如权利要求3-5任一项所述的方法，其特征在于，在判定所述第一设备为未知失陷设备或已知失陷设备之后，所述方法还包括：

8.一种失陷设备检测装置，其特征在于，包括：

判定模块，用于若确定所述第一外联地址为第一类型地址，则判定所述第一设备为未知失陷设备；其中，所述未知失陷设备为已被攻陷但未添加到黑名单库和情报库的设备，所述第一类型地址表示地址对应的第二设备存在恶意行为，但所述第二设备的地址未命中所述黑名单库和所述情报库的样本的外联地址，所述恶意行为表示对所述内网的安全产生威胁的行为。

9.一种计算机设备，其特征在于，包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行权利要求1-7中任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被计算机执行时，使所述计算机执行如权利要求1-7中任一项所述的方法。