CN115118463A - 一种失陷主机检测方法、装置、电子设备及存储介质 - Google Patents
一种失陷主机检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115118463A CN115118463A CN202210657549.2A CN202210657549A CN115118463A CN 115118463 A CN115118463 A CN 115118463A CN 202210657549 A CN202210657549 A CN 202210657549A CN 115118463 A CN115118463 A CN 115118463A
- Authority
- CN
- China
- Prior art keywords
- time period
- generation
- generation times
- terminal
- brute force
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例适用于计算机技术领域,提供了一种失陷主机检测方法、装置、电子设备及存储介质,其中,失陷主机检测方法包括:获取第一时间段内告警信号的第一生成次数,以及第二时间段内告警信号的第二生成次数;第一时间段为包含当前时刻的时间段;第二时间段位于第一时间段之前;告警信号在检测到终端的网络流量存在暴力破解攻击时生成;在第一生成次数和第二生成次数满足设定条件的情况下,确定终端为失陷主机;设定条件表征第一生成次数与第二生成次数之间的差值大于第一设定值。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种失陷主机检测方法、装置、电子设备及存储介质。
背景技术
相关技术在检测失陷主机时,根据网络流量的特征进行失陷主机检测,如果网络流量存在暴力破解攻击的特征,则判定网络流量发送端为失陷主机。这种检测方法存在很高的误报,检测准确率低。
发明内容
为了解决上述问题,本发明实施例提供了一种失陷主机检测方法、装置、电子设备及存储介质,以至少解决相关技术失陷主机的检测准确率低的问题。
本发明的技术方案是这样实现的:
第一方面,本发明实施例提供了一种失陷主机检测方法,该方法包括:
获取第一时间段内告警信号的第一生成次数,以及第二时间段内所述告警信号的第二生成次数;所述第一时间段为包含当前时刻的时间段;所述第二时间段位于所述第一时间段之前;所述告警信号在检测到终端的网络流量存在暴力破解攻击时生成;
在所述第一生成次数和所述第二生成次数满足设定条件的情况下,确定所述终端为失陷主机;所述设定条件表征所述第一生成次数与所述第二生成次数之间的差值大于第一设定值。
上述方案中,在所述第一生成次数和所述第二生成次数满足设定条件的情况下,确定所述终端为失陷主机之前,所述方法还包括:
确定所述第二生成次数是否小于第二设定值;
在所述第二生成次数小于第二设定值的情况下,确定所述第一生成次数与所述第二生成次数之间的差值是否大于第一设定值;
在所述第一生成次数与所述第二生成次数之间的差值大于第一设定值的情况下,确定所述第一生成次数和所述第二生成次数满足所述设定条件。
上述方案中,所述方法还包括:
在所述第二生成次数大于或等于所述第二设定值的情况下,确定所述终端为失陷主机。
上述方案中,所述获取第一时间段内告警信号的第一生成次数,以及第二时间段内所述告警信号的第二生成次数,包括:
获取所述第一时间段内所述告警信号的第一生成次数;
在所述第一生成次数大于或等于第三设定值的情况下,获取所述第二时间段内所述告警信号的第二生成次数。
上述方案中,在获取第一时间段内告警信号的第一生成次数,以及第二时间段内所述告警信号的第二生成次数之前,所述方法还包括:
基于设定检测引擎对终端的网络流量进行暴力破解攻击检测,所述设定检测引擎在检测到暴力破解攻击时生成告警信号。
上述方案中,所述基于设定检测引擎对终端的网络流量进行暴力破解攻击检测,包括:
确定所述网络流量是否包括暴力破解攻击特征;
在所述网络流量包括暴力破解攻击特征的情况下,生成所述告警信号。
上述方案中,所述第二时间段的长度大于所述第一时间段的长度。
第二方面,本发明实施例提供了一种失陷主机检测装置,该装置包括:
获取模块,用于获取第一时间段内告警信号的第一生成次数,以及第二时间段内所述告警信号的第二生成次数;所述第一时间段为包含当前时刻的时间段;所述第二时间段位于所述第一时间段之前;所述告警信号在检测到终端的网络流量存在暴力破解攻击时生成;
确定模块,用于在所述第一生成次数和所述第二生成次数满足设定条件的情况下,确定所述终端为失陷主机;所述设定条件表征所述第一生成次数与所述第二生成次数之间的差值大于第一设定值。
第三方面,本发明实施例提供了一种电子设备,包括处理器和存储器,所述处理器和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行本发明实施例第一方面提供的失陷主机检测方法的步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,包括:所述计算机可读存储介质存储有计算机程序。所述计算机程序被处理器执行时实现如本发明实施例第一方面提供的失陷主机检测方法的步骤。
本发明实施例获取第一时间段内告警信号的第一生成次数,以及第二时间段内告警信号的第二生成次数,在第一生成次数和第二生成次数满足设定条件的情况下,确定终端为失陷主机。其中,设定条件表征第一生成次数与第二生成次数之间的差值大于第一设定值,第一时间段为包含当前时刻的时间段,第二时间段位于第一时间段之前,告警信号在检测到终端的网络流量存在暴力破解攻击时生成。本发明实施例基于第一时间段和第二时间段内的告警信号的生成次数来检测失陷主机,可以提高失陷主机的检测准确率,强化暴力破解攻击场景下失陷主机的检测能力。相比现有技术根据网络流量的特征进行失陷主机检测,本申请的误报率更低,检测准确率更高。
附图说明
图1是本发明实施例提供的一种失陷主机检测方法的实现流程示意图;
图2是本发明实施例提供的另一种失陷主机检测方法的实现流程示意图;
图3是本发明实施例提供的另一种失陷主机检测方法的实现流程示意图;
图4是本发明实施例提供的另一种失陷主机检测方法的实现流程示意图;
图5是本发明应用实施例提供的一种失陷主机的检测流程示意图;
图6是本发明实施例提供的一种失陷主机检测装置的示意图;
图7是本发明一实施例提供的电子设备的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
失陷主机通常是指网络入侵攻击者以某种方式获得控制权的主机,在获得控制权后,攻击者可能以该主机为跳板继续攻击企业内网的其他主机。失陷主机往往具有无规律性和高隐蔽性的特点,很多入侵动作本身难以识别或无法确认攻击是否成功,但通过攻陷后的各种动作可以判断该主机是否已经被攻陷。
相关技术根据网络流量的特征检测失陷主机,存在误报率高和检测准确率低的缺点。针对上述相关技术的缺点,本发明实施例提供了一种失陷主机检测方法,能够提高失陷主机的检测准确率。为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
图1是本发明实施例提供的一种失陷主机检测方法的实现流程示意图,所述失陷主机检测方法的执行主体为电子设备,电子设备包括台式电脑、笔记本电脑和服务器等。其中,所述服务器可以是实体的设备,也可以是部署在云端的虚拟化设备。参考图1,失陷主机检测方法包括:
S101,获取第一时间段内告警信号的第一生成次数,以及第二时间段内所述告警信号的第二生成次数;所述第一时间段为包含当前时刻的时间段;所述第二时间段位于所述第一时间段之前;所述告警信号在检测到终端的网络流量存在暴力破解攻击时生成。
本发明实施例可以部署在目标主机中,也可以部署在与目标主机处于同一局域网的其他主机中。
这里,终端的网络流量可以指终端发送给局域网中其他终端的网络流量,网络流量具体可以指终端发送的pcap数据包,pcap是一种常用的数据报存储格式。
在实际应用中,可以使用网络探针获取终端的网络流量,本申请还可以通过网络探针对终端的网络流量进行过滤,筛选出pcap数据包。
在本发明实施例中,实时对终端的网络流量进行暴力破解攻击检测,在检测到终端的网络流量存在暴力破解攻击时生成告警信号。比如,可以通过检测引擎对网络流量进行暴力破解攻击检测。
暴力破解攻击是指攻击者通过系统的组合所有可能性(例如登录时用的账户名和密码),尝试所有的可能性破解用户的账户名和密码等敏感信息,攻击者经常使用自动化脚本组合出正确的用户名和密码。暴力破解攻击是一种穷举法,列出所有可能,把账户名和密码给尝试出来。
在实际应用中,攻击者通常使用SMB(ServerMessage Block)协议来实现暴力破解攻击,SMB是一种客户机/服务器、请求/响应协议。通过SMB协议,客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及对服务器程序提出服务请求。此外通过SMB协议,应用程序可以访问远程服务器端的文件、以及打印机等资源。比如,Windows的远程登录就是用的SMB协议。
S102,在所述第一生成次数和所述第二生成次数满足设定条件的情况下,确定所述终端为失陷主机;所述设定条件表征所述第一生成次数与所述第二生成次数之间的差值大于第一设定值。
第一时间段是当前时间段,第二时间段为历史时间段,第一生成次数与所述第二生成次数之间的差值大于第一设定值,表示当前时间段内告警信号的生成次数相比历史时间段有显著增加,一个正常的终端是不可能突然发起大量暴力破解攻击的,如果终端当前时间段内暴力破解攻击的发生次数相比历史时间段有显著增加,说明终端可能被攻击者攻陷了,可以确定终端为失陷主机。
本发明实施例获取第一时间段内告警信号的第一生成次数,以及第二时间段内告警信号的第二生成次数,在第一生成次数和第二生成次数满足设定条件的情况下,确定终端为失陷主机。其中,设定条件表征第一生成次数与第二生成次数之间的差值大于第一设定值,第一时间段为包含当前时刻的时间段,第二时间段位于第一时间段之前,告警信号在检测到终端的网络流量存在暴力破解攻击时生成。本发明实施例基于第一时间段和第二时间段内的告警信号的生成次数来检测失陷主机,可以提高失陷主机的检测准确率,强化暴力破解攻击场景下失陷主机的检测能力。相比现有技术根据网络流量的特征进行失陷主机检测,本申请的误报率更低,检测准确率更高。
在一实施例中,在获取第一时间段内告警信号的第一生成次数,以及第二时间段内所述告警信号的第二生成次数之前,所述方法还包括:
基于设定检测引擎对终端的网络流量进行暴力破解攻击检测,所述设定检测引擎在检测到暴力破解攻击时生成告警信号。
相应的,参考图2,所述基于设定检测引擎对终端的网络流量进行暴力破解攻击检测,包括:
S201,确定所述网络流量是否包括暴力破解攻击特征。
S202,在所述网络流量包括暴力破解攻击特征的情况下,生成所述告警信号。
这里,设定检测引擎是基于暴力破解攻击特征编写的,设定检测引擎对网络流量进行解析,确定其中是否包括暴力破解攻击特征,如果网络流量包括暴力破解攻击特征,则确定网络流量存在暴力破解攻击,生成告警信号。
例如,暴力破解攻击特征可以是错误的登陆账户名和密码,假设网络流量的目的是访问服务器,网络流量中携带有服务器的登陆账户名和密码,设定检测引擎中携带有正常的登陆账户名和密码,如果设定检测引擎经对比发现网络流量中携带的登陆账户名和密码是错误的,则可以确定网络流量包括暴力破解攻击特征,生成告警信号。
这里,生成的告警信号可以包括IP地址和时间戳等信息,以便用户定位失陷主机和具体问题。
第一时间段为包含当前时刻的时间段,例如,第一时间段为从当前时间起前一小时。第二时间段位于第一时间段之前,例如,第二时间段为从第一时间段的起点起前7天。比如当前时间为12:00:00-2022年05月10日,第一时间段为11:00:00-2022年05月10日至12:00:00-2022年05月10日,第二时间段为11:00:00-2022年05月03日至11:00:00-2022年05月10日。
第一时间段为当前时间段,第二时间段为历史时间段,获取第一时间段和第二时间段内告警信号的生成次数,这里分别以第一生成次数和第二生成次数来表示。
参考图3,在一实施例中,所述获取第一时间段内告警信号的第一生成次数,以及第二时间段内所述告警信号的第二生成次数,包括:
S301,获取所述第一时间段内所述告警信号的第一生成次数。
S302,在所述第一生成次数大于或等于第三设定值的情况下,获取所述第二时间段内所述告警信号的第二生成次数。
在本发明实施例中,先获取第一生成次数,如果第一生成次数大于或等于第三设定值,才获取第二时间段内告警信号的第二生成次数。这是因为如果第一时间段内生成的告警次数不够多的话,则第一生成次数和第二生成次数必然是不满足设定条件的,因此只有在第一生成次数大于或等于第三设定值的情况下,才获取第二时间段内告警信号的第二生成次数,这样可以避免执行多余的无效步骤。
在一实施例中,在所述第一生成次数和所述第二生成次数满足设定条件的情况下,确定所述终端为失陷主机之前,所述方法还包括:
确定所述第二生成次数是否小于第二设定值;
在所述第二生成次数小于第二设定值的情况下,确定所述第一生成次数与所述第二生成次数之间的差值是否大于第一设定值;
在所述第一生成次数与所述第二生成次数之间的差值大于第一设定值的情况下,确定所述第一生成次数和所述第二生成次数满足所述设定条件。
终端在正常情况下是不会发起大量暴力破解攻击的,如果第二生成次数小于第二设定值,说明终端在历史时间段是正常主机。在此情况下,如果第一生成次数和第二生成次数之间的差值大于第一设定值,表示当前时间段内生成的告警次数相比历史时间段有显著增加,说明终端突然发起了大量暴力破解攻击,这对终端来说是异常的现象,说明终端可能被攻击者攻陷了,确定终端是失陷主机。
因此,本实施例首先确定第二生成次数是否小于第二设定值,在第二生成次数小于第二设定值的情况下,才计算第一生成次数与第二生成次数之间的差值。如果差值大于第一设定值,确定第一生成次数和第二生成次数满足设定条件。
在一实施例中,上述方法还包括:
在所述第二生成次数大于或等于所述第二设定值的情况下,确定所述终端为失陷主机。
在该实施例中,如果第二生成次数大于或等于第二设定值,说明历史时间段内产生的告警次数已经够多了,已经足够说明终端是失陷主机,则可以不再执行步骤S102,可以直接确定终端为失陷主机。
在一实施例中,所述第二时间段的长度大于所述第一时间段的长度。
如果第二时间段的长度过小,则无法体现出历史时间段内告警信号的生成次数的真实水平,因此第二时间段通常取一段较长的时间段,以使能够体现历史时间段内告警信号的生成次数的真实水平;第一时间段通常取一段较短的时间段,这样更能体现出当前时间段与历史时间段内的告警信号的生成次数的变化情况。例如,第一时间段设置为当前时间起前1小时,第二时间段设置为从第一时间段的起点起前7天。
参考图4,图4是本发明实施例提供的另一种失陷主机检测方法的示意图,该方法包括:
S401,获取第一生成次数。
第一生成次数为第一时间段内告警信号的生成次数。
S402,如果第一生成次数大于或等于第三设定值,则获取第二生成次数。
第二生成次数为第二时间段内告警信号的生成次数。
如果第一生成次数小于第三设定值,则可以认为终端不是失陷主机,继续实时对终端的网络流量进行暴力破解攻击检测。
S403,如果第二生成次数小于第二设定值,则确定终端为失陷主机。
这里,第一生成次数大于第三设定值的作用是减小误差,比如第三设定值可以设定为5。如果第一生成次数过小,则可能是正常的告警次数;只有在第一生成次数大于第三设定值时,才认为当前时间段内的告警次数发生了显著增加。
第二生成次数小于第二设定值的作用也是为了减小误差,比如第二设定值可以设定为3。如果不考虑误差,则第二设定值可以设定为1,第二生成次数小于0,也就是说第二生成次数为0。应理解,第一生成次数和第二生成次数都是大于等于0的整数。
第一生成次数大于第三设定值,且第二生成次数小于第二设定值,表示终端在历史时间段内很少或没有发生暴力破解攻击,而终端在当前时间段内又突然发生了大量暴力破解攻击,终端在当前时间段内暴力破解攻击的发生次数相比历史时间段有显著增加,这对终端来说是异常的现象,可以说明终端被攻击者攻陷了,确定终端是失陷主机。
参考图5,图5是本发明应用实施例提供的一种失陷主机的检测流程示意图,失陷主机的检测流程包括:
第一步,使用探针获取终端的网络流量。
第二步,对终端每一天的网络流量实时进行SMB暴破检测,暴破即暴力破解攻击。
这里,可以基于暴力破解攻击检测引擎对终端的网络流量进行暴力破解攻击检测,暴力破解攻击检测引擎在检测到暴力破解攻击时生成暴破信号,暴破信号也就是上述实施例中的告警信号。
第三步,在检测到暴力破解攻击的情况下,生成一个暴破信号。
第四步,获取最近一小时内的暴破次数,暴破次数就是暴破信号的生成次数,如果最近一小时内暴破信号的生成次数大于或等于5,则往前追溯7天内的数据。
第五步,获取历史7天内的暴破次数,如果历史7天内暴破信号的生成次数为0,则确定终端为失陷主机。
这里,历史7天内并不包含上述最近一小时。
暴破信号的生成次数也就是暴力破解攻击的发生次数,本发明应用实施例将暴力破解攻击的发生次数应用到失陷主机检测场景中,本申请基于终端在当前时间段和历史时间段内的暴力破解攻击的发生次数来检测失陷主机,提高了失陷主机的检测准确率,强化了SMB暴破场景下失陷主机的检测能力。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
需要说明的是,本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
另外,在本发明实施例中,“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
参考图6,图6是本发明实施例提供的一种失陷主机检测装置的示意图,如图6所示,该装置包括:获取模块和确定模块。
获取模块,用于获取第一时间段内告警信号的第一生成次数,以及第二时间段内所述告警信号的第二生成次数;所述第一时间段为包含当前时刻的时间段;所述第二时间段位于所述第一时间段之前;所述告警信号在检测到终端的网络流量存在暴力破解攻击时生成;
确定模块,用于在所述第一生成次数和所述第二生成次数满足设定条件的情况下,确定所述终端为失陷主机;所述设定条件表征所述第一生成次数与所述第二生成次数的差值大于第一设定值。
在一实施例中,所述确定模块还用于:
在所述第一生成次数与所述第二生成次数的差值大于第一设定值,且所述第二生成次数小于第二设定值的情况下,确定所述第一生成次数和所述第二生成次数满足所述设定条件。
在一实施例中,所述确定模块还用于:
在所述第二生成次数大于或等于第二设定值的情况下,确定所述终端为失陷主机。
在一实施例中,所述获取模块获取第一时间段内告警信号的第一生成次数,以及第二时间段内所述告警信号的第二生成次数,包括:
获取所述第一时间段内所述告警信号的第一生成次数;
在所述第一生成次数大于第三设定值的情况下,获取所述第二时间段内所述告警信号的第二生成次数。
在一实施例中,所述装置还包括:
检测模块,用于基于设定检测引擎对终端的网络流量进行暴力破解攻击检测,所述设定检测引擎在检测到暴力破解攻击时生成告警信号。
在一实施例中,所述检测模块基于设定检测引擎对终端的网络流量进行暴力破解攻击检测,包括:
确定所述网络流量是否包括暴力破解攻击特征;
在所述网络流量包括暴力破解攻击特征的情况下,生成所述告警信号。
在一实施例中,所述第二时间段的长度大于所述第一时间段的长度。
实际应用时,所述获取模块和确定模块可通过电子设备中的处理器,比如中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital SignalProcessor)、微控制单元(MCU,MicrocontrollerUnit)或可编程门阵列(FPGA,Field-Programmable GateArray)等实现。
需要说明的是:上述实施例提供的失陷主机检测装置在进行攻击检测时,仅以上述各模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的模块完成,即将装置的内部结构划分成不同的模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的失陷主机检测装置与失陷主机检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述失陷主机检测装置可以是镜像文件形式,该镜像文件被执行后,可以以容器或者虚拟机的形式运行,以实现本申请所述的失陷主机检测方法。当然也不局限为镜像文件形式,只要能够实现本申请所述的数据处理方法的一些软件形式都在本申请的保护范围之内。
基于上述程序模块的硬件实现,且为了实现本申请实施例的方法,本申请实施例还提供了一种电子设备。图7为本申请实施例电子设备的硬件组成结构示意图,如图7所示,电子设备包括:
通信接口,能够与其它设备比如网络设备等进行信息交互;
处理器,与所述通信接口连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述电子设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在存储器上。
当然,实际应用时,电子设备中的各个组件通过总线系统耦合在一起。可理解,总线系统用于实现这些组件之间的连接通信。总线系统除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图7中将各种总线都标为总线系统。
上述电子设备可以是集群形式,比如是云计算平台形式,所谓云计算平台是采用计算虚拟化、网络虚拟化、存储虚拟化技术把多个独立的服务器物理硬件资源组织成池化资源的一种业务形态,它是一种基于虚拟化技术发展基础上软件定义资源的结构,可以提供虚拟机、容器等形态的资源能力。通过消除硬件与操作系统之间的固定关系,依赖网络的连通统一资源调度,然后提供所需要的虚拟资源和服务,是一种新型的IT,软件交付模式,具备灵活,弹性,分布式,多租户,按需等特点。
目前的云计算平台支持几种服务模式:
SaaS(Software as a Service,软件即服务):云计算平台用户无需购买软件,而改为租用部署于云计算平台的软件,用户无需对软件进行维护,软件服务提供商会全权管理和维护软件;
PaaS(Platform as a Service,平台即服务):云计算平台用户(此时通常为软件开发商)可以在云计算平台提供的架构上建设新的应用,或者扩展已有的应用,同时却不必购买开发、质量控制或生产服务器;
IaaS(Infrastructure as a Service,基础架构即服务):云计算平台通过互联网提供了数据中心、基础架构硬件和软件资源,IaaS模式下的云计算平台可以提供服务器、操作系统、磁盘存储、数据库和/或信息资源。
本申请实施例中的存储器用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括:用于在电子设备上操作的任何计算机程序。
可以理解,存储器可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(FlashMemory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-OnlyMemory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,RandomAccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static RandomAccess Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic RandomAccess Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic RandomAccess Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic RandomAccess Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic RandomAccess Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus RandomAccess Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器,处理器读取存储器中的程序,结合其硬件完成前述方法的步骤。
可选地,所述处理器执行所述程序时实现本申请实施例的各个方法中由电子设备实现的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的第一存储器,上述计算机程序可由电子设备的处理器执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置、电子设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
另外,在本申请实例中,“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种失陷主机检测方法,其特征在于,所述方法包括:
获取第一时间段内告警信号的第一生成次数,以及第二时间段内所述告警信号的第二生成次数;所述第一时间段为包含当前时刻的时间段;所述第二时间段位于所述第一时间段之前;所述告警信号在检测到终端的网络流量存在暴力破解攻击时生成;
在所述第一生成次数和所述第二生成次数满足设定条件的情况下,确定所述终端为失陷主机;所述设定条件表征所述第一生成次数与所述第二生成次数之间的差值大于第一设定值。
2.根据权利要求1所述的方法,其特征在于,在所述第一生成次数和所述第二生成次数满足设定条件的情况下,确定所述终端为失陷主机之前,所述方法还包括:
确定所述第二生成次数是否小于第二设定值;
在所述第二生成次数小于第二设定值的情况下,确定所述第一生成次数与所述第二生成次数之间的差值是否大于第一设定值;
在所述第一生成次数与所述第二生成次数之间的差值大于第一设定值的情况下,确定所述第一生成次数和所述第二生成次数满足所述设定条件。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在所述第二生成次数大于或等于所述第二设定值的情况下,确定所述终端为失陷主机。
4.根据权利要求1所述的方法,其特征在于,所述获取第一时间段内告警信号的第一生成次数,以及第二时间段内所述告警信号的第二生成次数,包括:
获取所述第一时间段内所述告警信号的第一生成次数;
在所述第一生成次数大于或等于第三设定值的情况下,获取所述第二时间段内所述告警信号的第二生成次数。
5.根据权利要求1所述的方法,其特征在于,在获取第一时间段内告警信号的第一生成次数,以及第二时间段内所述告警信号的第二生成次数之前,所述方法还包括:
基于设定检测引擎对终端的网络流量进行暴力破解攻击检测,所述设定检测引擎在检测到暴力破解攻击时生成告警信号。
6.根据权利要求5所述的方法,其特征在于,所述基于设定检测引擎对终端的网络流量进行暴力破解攻击检测,包括:
确定所述网络流量是否包括暴力破解攻击特征;
在所述网络流量包括暴力破解攻击特征的情况下,生成所述告警信号。
7.根据权利要求1所述的方法,其特征在于,所述第二时间段的长度大于所述第一时间段的长度。
8.一种失陷主机检测装置,其特征在于,包括:
获取模块,用于获取第一时间段内告警信号的第一生成次数,以及第二时间段内所述告警信号的第二生成次数;所述第一时间段为包含当前时刻的时间段;所述第二时间段位于所述第一时间段之前;所述告警信号在检测到终端的网络流量存在暴力破解攻击时生成;
确定模块,用于在所述第一生成次数和所述第二生成次数满足设定条件的情况下,确定所述终端为失陷主机;所述设定条件表征所述第一生成次数与所述第二生成次数之间的差值大于第一设定值。
9.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的失陷主机检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1至7任一项所述的失陷主机检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210657549.2A CN115118463A (zh) | 2022-06-10 | 2022-06-10 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210657549.2A CN115118463A (zh) | 2022-06-10 | 2022-06-10 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115118463A true CN115118463A (zh) | 2022-09-27 |
Family
ID=83327036
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210657549.2A Pending CN115118463A (zh) | 2022-06-10 | 2022-06-10 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115118463A (zh) |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110185419A1 (en) * | 2010-01-26 | 2011-07-28 | Bae Systems Information And Electronic Systems Integration Inc. | Method and apparatus for detecting ssh login attacks |
| US20150264069A1 (en) * | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | Method and system for detecting external control of compromised hosts |
| CN105262760A (zh) * | 2015-10-30 | 2016-01-20 | 北京奇虎科技有限公司 | 一种防止恶意访问登录/注册接口的行为的方法和装置 |
| US20160021128A1 (en) * | 2014-07-18 | 2016-01-21 | Deutsche Telekom Ag | Method for detecting an attack in a computer network |
| CN107634944A (zh) * | 2017-09-11 | 2018-01-26 | 畅捷通信息技术股份有限公司 | 一种信息异常的判断方法、判断系统及计算机装置 |
| US20180157718A1 (en) * | 2016-12-06 | 2018-06-07 | Institute For Information Industry | Episode mining device, method and non-transitory computer readable medium of the same |
| CN110166422A (zh) * | 2019-04-01 | 2019-08-23 | 腾讯科技(深圳)有限公司 | 域名行为识别方法、装置、可读存储介质和计算机设备 |
| CN110727533A (zh) * | 2019-09-26 | 2020-01-24 | 华青融天(北京)软件股份有限公司 | 一种告警的方法、装置、设备和介质 |
| CN110958245A (zh) * | 2019-11-29 | 2020-04-03 | 广州市百果园信息技术有限公司 | 一种攻击的检测方法、装置、设备和存储介质 |
| US20200112585A1 (en) * | 2018-10-08 | 2020-04-09 | International Business Machines Corporation | Dynamic protection from detected to brute force attack |
| CN112118205A (zh) * | 2019-06-19 | 2020-12-22 | 腾讯科技(深圳)有限公司 | 一种域名信息检测的方法及相关装置 |
| CN112688930A (zh) * | 2020-12-18 | 2021-04-20 | 深圳前海微众银行股份有限公司 | 暴力破解检测方法、系统、设备及介质 |
| CN112714093A (zh) * | 2019-10-25 | 2021-04-27 | 深信服科技股份有限公司 | 一种账号异常检测方法、装置、系统及存储介质 |
| CN113890758A (zh) * | 2021-09-27 | 2022-01-04 | 深信服科技股份有限公司 | 一种威胁情报方法、装置、设备及计算机存储介质 |
| CN114143071A (zh) * | 2021-11-29 | 2022-03-04 | 上海斗象信息科技有限公司 | 一种暴力破解检测方法、装置、电子设备及存储介质 |
-
2022
- 2022-06-10 CN CN202210657549.2A patent/CN115118463A/zh active Pending
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110185419A1 (en) * | 2010-01-26 | 2011-07-28 | Bae Systems Information And Electronic Systems Integration Inc. | Method and apparatus for detecting ssh login attacks |
| US20150264069A1 (en) * | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | Method and system for detecting external control of compromised hosts |
| US20160021128A1 (en) * | 2014-07-18 | 2016-01-21 | Deutsche Telekom Ag | Method for detecting an attack in a computer network |
| CN105262760A (zh) * | 2015-10-30 | 2016-01-20 | 北京奇虎科技有限公司 | 一种防止恶意访问登录/注册接口的行为的方法和装置 |
| US20180157718A1 (en) * | 2016-12-06 | 2018-06-07 | Institute For Information Industry | Episode mining device, method and non-transitory computer readable medium of the same |
| CN107634944A (zh) * | 2017-09-11 | 2018-01-26 | 畅捷通信息技术股份有限公司 | 一种信息异常的判断方法、判断系统及计算机装置 |
| US20200112585A1 (en) * | 2018-10-08 | 2020-04-09 | International Business Machines Corporation | Dynamic protection from detected to brute force attack |
| CN110166422A (zh) * | 2019-04-01 | 2019-08-23 | 腾讯科技(深圳)有限公司 | 域名行为识别方法、装置、可读存储介质和计算机设备 |
| CN112118205A (zh) * | 2019-06-19 | 2020-12-22 | 腾讯科技(深圳)有限公司 | 一种域名信息检测的方法及相关装置 |
| CN110727533A (zh) * | 2019-09-26 | 2020-01-24 | 华青融天(北京)软件股份有限公司 | 一种告警的方法、装置、设备和介质 |
| CN112714093A (zh) * | 2019-10-25 | 2021-04-27 | 深信服科技股份有限公司 | 一种账号异常检测方法、装置、系统及存储介质 |
| CN110958245A (zh) * | 2019-11-29 | 2020-04-03 | 广州市百果园信息技术有限公司 | 一种攻击的检测方法、装置、设备和存储介质 |
| CN112688930A (zh) * | 2020-12-18 | 2021-04-20 | 深圳前海微众银行股份有限公司 | 暴力破解检测方法、系统、设备及介质 |
| CN113890758A (zh) * | 2021-09-27 | 2022-01-04 | 深信服科技股份有限公司 | 一种威胁情报方法、装置、设备及计算机存储介质 |
| CN114143071A (zh) * | 2021-11-29 | 2022-03-04 | 上海斗象信息科技有限公司 | 一种暴力破解检测方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 杨家奇;王志坚;傅晓;王宇;: "一种在对象关系映射中可自毁数据方法", 哈尔滨商业大学学报(自然科学版), no. 02, pages 203 - 211 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109889511B (zh) | 进程dns活动监控方法、设备及介质 | |
| CN112818307B (zh) | 用户操作处理方法、系统、设备及计算机可读存储介质 | |
| CN111431753A (zh) | 一种资产信息更新方法、装置、设备及存储介质 | |
| CN110457907B (zh) | 一种固件程序检测方法和装置 | |
| CN111046310A (zh) | 页面处理方法、装置、服务器及计算机可读存储介质 | |
| CN110008758B (zh) | 一种id获取方法、装置、电子设备及存储介质 | |
| CN114650187B (zh) | 一种异常访问检测方法、装置、电子设备及存储介质 | |
| CN115225385A (zh) | 一种流量监控方法、系统、设备及计算机可读存储介质 | |
| CN114944956A (zh) | 一种攻击链路检测方法、装置、电子设备及存储介质 | |
| CN114363062A (zh) | 一种域名检测方法、系统、设备及计算机可读存储介质 | |
| CN115051867B (zh) | 一种非法外联行为的检测方法、装置、电子设备及介质 | |
| CN115118463A (zh) | 一种失陷主机检测方法、装置、电子设备及存储介质 | |
| CN115955332A (zh) | 认证系统的异常流量过滤方法、装置,及电子设备 | |
| CN115118464A (zh) | 一种失陷主机检测方法、装置、电子设备及存储介质 | |
| US11487570B1 (en) | Efficient creation of endpoints for accessing services directly within a cloud-based system | |
| CN113923039A (zh) | 攻击设备识别方法、装置、电子设备及可读存储介质 | |
| US11295011B2 (en) | Event-triggered behavior analysis | |
| CN114692145A (zh) | 后门检测方法及系统 | |
| CN112350856A (zh) | 分布式服务签退方法及设备 | |
| CN111782515A (zh) | web应用的状态检测方法、装置、服务器和存储介质 | |
| CN115208789B (zh) | 目录爆破行为的确定方法、装置、电子设备及存储介质 | |
| CN110166421B (zh) | 基于日志监控的入侵控制方法、装置及终端设备 | |
| US10701178B2 (en) | Method and apparatus of web application server for blocking a client session based on a threshold number of service calls | |
| CN111769965B (zh) | 信息处理方法、装置和设备 | |
| US20240028713A1 (en) | Trust-based workspace instantiation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |