CN117113340A

CN117113340A - 主机失陷检测方法、装置、计算机设备及存储介质

Info

Publication number: CN117113340A
Application number: CN202311364917.5A
Authority: CN
Inventors: 柳遵梁; 王月兵; 毛菲; 周杰; 闻建霞; 覃锦端; 刘聪
Original assignee: Hangzhou Meichuang Technology Co ltd
Current assignee: Hangzhou Meichuang Technology Co ltd
Priority date: 2023-10-20
Filing date: 2023-10-20
Publication date: 2023-11-24
Anticipated expiration: 2043-10-20
Also published as: CN117113340B

Abstract

本发明公开了主机失陷检测方法、装置、计算机设备及存储介质。所述方法包括：获取终端指纹信息，生成终端指纹信息库；对所述终端指纹信息库学习终端指纹的活动时间，以得到学习结果；对终端群组设置身份诱饵；监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，以得到监测结果；当所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种，生成主机失陷告警，并拦截终端的活动情况。通过实施本发明实施例的方法可实现精准判别失陷主机。

Description

主机失陷检测方法、装置、计算机设备及存储介质

技术领域

本发明涉及主机失陷分析方法，更具体地说是指主机失陷检测方法、装置、计算机设备及存储介质。

背景技术

失陷主机是指网络入侵者通过某种方式获取控制权的主机，入侵者通常会以该失陷主机为跳板攻击内网中的其他主机。但失陷主机往往具有较强的隐蔽性，通常情况下是通过对主机的不同异常行为进行告警，并基于异常行为进行失陷主机检测，这种手段极容易将正常的主机或服务器判断为失陷，从而出现大量的误报情况，检测准确率不高。

因此，有必要设计一种新的方法，实现精准判别失陷主机。

发明内容

本发明的目的在于克服现有技术的缺陷，提供主机失陷检测方法、装置、计算机设备及存储介质。

为实现上述目的，本发明采用以下技术方案：主机失陷检测方法，包括：

获取终端指纹信息，生成终端指纹信息库；

对所述终端指纹信息库学习终端指纹的活动时间，以得到学习结果；

对终端群组设置身份诱饵；

监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，以得到监测结果；

当所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种，生成主机失陷告警，并拦截终端的活动情况。

其进一步技术方案为：所述终端指纹信息包括终端IP地址、操作系统版本、账户名、上次设置密码时间。

其进一步技术方案为：所述对所述终端指纹信息库学习终端指纹的活动时间，以得到学习结果，包括：

通过agent插件基于所述终端指纹信息库采集终端指纹信息在学习时间内的活动时间范围，以得到学习结果。

其进一步技术方案为：所述对终端群组设置身份诱饵，包括：

对所述终端群组设置诱饵账户以及弱口令。

其进一步技术方案为：所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，以得到监测结果，包括：

判断所述诱饵账户是否处于活跃状态；

若所述诱饵账户处于活跃状态，则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种；

若所述诱饵账户不是处于活跃状态，则获取终端群组的指纹信息；

判断终端群组的指纹信息是否属于所述终端指纹信息库内的元素；

若终端群组的指纹信息不属于所述终端指纹信息库内的元素，则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种；

若终端群组的指纹信息属于所述终端指纹信息库内的元素，则判断终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素是否一一匹配；

若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素不是一一匹配，则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种；

若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素一一匹配，则获取终端群组的指纹活跃时间；

判断所述指纹活跃时间与学习结果中对应的指纹的活动时间范围是否匹配；

若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围匹配，则确定所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种；

若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围不匹配，则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种。

其进一步技术方案为：所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，以得到监测结果之后，还包括：

当所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种，放行终端的活动情况。

本发明还提供了主机失陷检测装置，包括：

信息库生成单元，用于获取终端指纹信息，生成终端指纹信息库；

学习单元，用于对所述终端指纹信息库学习终端指纹的活动时间，以得到学习结果；

设置单元，用于对终端群组设置身份诱饵；

监测单元，用于监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，以得到监测结果；

告警单元，用于当所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种，生成主机失陷告警，并拦截终端的活动情况。

其进一步技术方案为：所述学习单元，用于通过agent插件基于所述终端指纹信息库采集终端指纹信息在学习时间内的活动时间范围，以得到学习结果。

本发明还提供了一种计算机设备，所述计算机设备包括存储器及处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现上述的方法。

本发明还提供了一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述的方法。

本发明与现有技术相比的有益效果是：本发明通过设置终端指纹信息库，并学习终端指纹的活动时间，对终端群组设置身份诱饵，实时监测终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，当出现上述的任一种情况时，生成主机失陷告警，并拦截终端的活动情况，实现精准判别失陷主机。

下面结合附图和具体实施例对本发明作进一步描述。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的主机失陷检测方法的应用场景示意图；

图2为本发明实施例提供的主机失陷检测方法的流程示意图；

图3为本发明实施例提供的主机失陷检测方法的子流程示意图；

图4为本发明实施例提供的主机失陷检测装置的示意性框图；

图5为本发明实施例提供的主机失陷检测装置的监测单元的示意性框图；

图6为本发明实施例提供的计算机设备的示意性框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

请参阅图1和图2，图1为本发明实施例提供的主机失陷检测方法的应用场景示意图。图2为本发明实施例提供的主机失陷检测方法的示意性流程图。该主机失陷检测方法应用于服务器中。该服务器与终端进行数据交互，通过：收集终端指纹，生成终端指纹信息库；学习终端指纹的活动时间；设置身份诱饵；对终端进行实时监测，包括身份诱饵检测、新增终端指纹检测、终端指纹组成因素检测、终端指纹活动时间检测，根据检测结果判定是否存在失陷主机，并对所述失陷主机进行异常告警与拦截，实现精准判别失陷主机。

图2是本发明实施例提供的主机失陷检测方法的流程示意图。如图2所示，该方法包括以下步骤S110至S150。

S110、获取终端指纹信息，生成终端指纹信息库。

在本实施例中，所述终端指纹信息包括终端IP地址、操作系统版本、账户名、上次设置密码时间。

终端指纹信息库是指所有终端指纹信息构成的集合。

具体地，针对多个终端构成的群组T{T₁，T₂，……，T_n}，其中T₁，T₂，……，T_n为各终端代号，通过在各终端主机安装agent软件获取各终端的指纹信息，包括终端IP、操作系统版本、账户名、上次设置密码时间。设当前终端为T_n，则终端T_n上的一条终端指纹信息为G_yT_n{AG_yT_n，{AG_yT_n：BG_yT_n}，{AG_yT_n：BG_yT_n：CG_yT_n}，{AG_yT_n：BG_yT_n：CG_yT_n：DG_yT_n}}，其中AG_yT_n为终端T_n的IP地址，BG_yT_n为终端T_n的操作系统版本，CG_yT_n为终端T_n中的一个账户名，DG_yT_n为账户名CG_yT_n的上次设置密码时间。统计终端T_n中的指纹，生成终端T_n的指纹合集GT_n{G₁T_n，G₂T_n，……，G_yT_n}。进一步的，统计终端群组T{T₁，T₂，……，T_n}中所有终端的终端指纹，生成终端指纹信息库GT{GT₁，GT₂，……，GT_n}。

S120、对所述终端指纹信息库学习终端指纹的活动时间，以得到学习结果。

在本实施例中，学习结果是指终端指纹在制定的学习时间内的活动时间范围，也就是活跃的时间。

具体地，通过agent插件基于所述终端指纹信息库采集终端指纹信息在学习时间内的活动时间范围，以得到学习结果。

通过在终端群组T{T₁，T₂，……，T_n}的安装的agent软件，基于终端指纹信息库GT，采集其终端指纹在学习时间Q内的活动时间范围。设当前终端指纹为G_yT_n，学习终端指纹G_yT_n在学习时间Q内的活动时间范围SG_yT_n。

S130、对终端群组设置身份诱饵。

在本实施例中，身份诱饵是指终端群组的虚假身份。

在一实施例中，上述的步骤S130可包括：

对所述终端群组设置诱饵账户以及弱口令。

以终端T_n为例，例如终端T_n为Linux操作系统，为其创建用户名为test的诱饵账户ET_n，并将诱饵账户ET_n的登录密码设置为弱口令，如123456。同时，记录诱饵账户ET_n的上次登录时间SET_n。

S140、监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，以得到监测结果。

在本实施例中，监测结果是指所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配的实时监测所得的结果。

具体地，通过在终端群组T{T₁，T₂，……，T_n}的安装的agent软件，对各终端中的身份诱饵、新增终端指纹、终端指纹组成因素、终端指纹活动时间进行实时监测，并通过算法F1-F7判定是否存在失陷主机。

在一实施例中，请参阅图3，上述的步骤S140可包括步骤S141~ S148。

S141、判断所述诱饵账户是否处于活跃状态；

S142、若所述诱饵账户处于活跃状态，则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种。

在本实施例中，针对诱饵账户ET_n的登录时间SET_n'进行实时检测。存在算法F1，通过算法F1{SET_n',SET_n}，该算法针对诱饵账户ET_n的登录时间SET_n'与诱饵账户ET_n的上次登录时间SET_n进行匹配，判断诱饵账户ET_n是否活动。

当SET_n'≠SET_n时，则F1=0，认为诱饵账户ET_n活跃，即诱饵账户ET_n所对应的终端T_n失陷，将进行异常处理，拦截或告警该终端的活动情况；

当SET_n' = SET_n时，则F1=1，认为诱饵账户ET_n未活跃，将进入算法F2，进行新增终端指纹检测。

S143、若所述诱饵账户不是处于活跃状态，则获取终端群组的指纹信息；

S144、判断终端群组的指纹信息是否属于所述终端指纹信息库内的元素；

若终端群组的指纹信息不属于所述终端指纹信息库内的元素，则执行所述步骤S142。

在本实施例中，存在算法F2，该算法针对agent软件检测到的终端指纹与终端指纹信息库GT进行匹配，并判定是否为新增指纹。设在终端Tn上检测到一条终端指纹G_yT_n'，通过算法F2{G_yT_n',GT}进行新增指纹判断。

当G_yT_n'GT时，则F2{G_yT_n',GT}=0，认为指纹G_yT_n'为新增的终端指纹，即终端指纹G_yT_n'所对应的终端T_n失陷，将进行异常处理，拦截或告警该终端的活动情况；

当G_yT_n'∈GT时，则F2{G_yT_n',GT}=0，认为指纹G_yT_n'与终端指纹信息库GT中的终端指纹相匹配，将进入算法F3-F6，进行终端指纹组成因素检测。

S145、若终端群组的指纹信息属于所述终端指纹信息库内的元素，则判断终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素是否一一匹配；

若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素不是一一匹配，则执行所述步骤S142。

在本实施例中，基于终端指纹信息库GT，针对终端T_n上终端指纹G_yT_n{AG_yT_n，{AG_yT_n：BG_yT_n}，{AG_yT_n：BG_yT_n：CG_yT_n}，{AG_yT_n：BG_yT_n：CG_yT_n：DG_yT_n}}的各组成因素进行实时检测。存在算法F3{AG_yT_n,GT[1]}，该算法针对终端指纹G_yT_n所对应的终端T_n的IP地址AG_yT_n与终端指纹信息库GT{GT₁，GT₂，……，GT_n}中每一条终端指纹的第一个组成因素进行匹配，即将终端指纹G_yT_n所对应的终端T_n的IP地址AG_yT_n与终端指纹信息库GT中的终端IP进行匹配。

当AG_yT_n GT[1]时，则F3{AG_yT_n,GT[1]}=0，认为终端指纹G_yT_n所对应的终端Tn的IP地址AG_yT_n与终端指纹信息库GT中的终端IP不匹配，即终端指纹G_yT_n所对应的终端T_n失陷，将进行异常处理，拦截或告警该终端的活动情况；

当AG_yT_n∈GT[1]时，则F3{AG_yT_n,GT[1]}=1，认为终端指纹G_yT_n所对应的终端T_n的IP地址AG_yT_n与终端指纹信息库GT中的终端IP相匹配，将进入算法F4，进行终端指纹信息库GT中终端操作系统版本的匹配。

优选的，存在算法F4{(AG_yT_n：BG_yT_n),GT[2]}，该算法针对终端指纹GyTn所对应的终端T_n的操作系统版本BG_yT_n与终端指纹信息库GT{GT₁，GT₂，……，GT_n}中每一条终端指纹的第二个组成因素进行匹配，即在终端指纹GyTn符合终端指纹信息库GT中终端IP的前提下，将终端指纹G_yT_n所对应的终端Tn的操作系统版本BG_yT_n与终端指纹信息库GT中的操作系统版本进行匹配。

当(AG_yT_n：BG_yT_n)GT[2]时，则F4{(AG_yT_n：BG_yT_n),GT[2]}=0，认为终端指纹G_yT_n所对应的终端Tn的操作系统版本BG_yT_n与终端指纹信息库GT中的操作系统版本不匹配，即终端指纹G_yT_n所对应的终端Tn失陷，将进行异常处理，拦截或告警该终端的活动情况；

当(AG_yT_n：BG_yT_n)∈GT[2]时，则F4{(AG_yT_n：BG_yT_n),GT[2]}=1，认为终端指纹G_yT_n所对应的终端Tn的操作系统版本BG_yT_n与终端指纹信息库GT中的操作系统版本相匹配，将进入算法F5，进行终端指纹信息库GT中账户名的匹配；

优选的，存在算法F5(AG_yT_n：BG_yT_n：CG_yT_n),GT[3]}，该算法针对终端指纹G_yT_n所对应的终端Tn的一个账户名CG_yT_n与终端指纹信息库GT{GT₁，GT₂，……，GT_n}中每一条终端指纹的第三个组成因素进行匹配，即在终端指纹G_yT_n符合终端指纹信息库GT中终端IP和操作系统版本的前提下，将终端指纹G_yT_n所对应的终端T_n的一个账户名CG_yT_n与终端指纹信息库GT中的账户名进行匹配。

当(AG_yT_n：BG_yT_n：CG_yT_n)GT[3]时，则F5(AG_yT_n：BG_yT_n：CGyTn),GT[3]}=0，认为终端指纹G_yT_n所对应的终端T_n的一个账户名CG_yT_n与终端指纹信息库GT中的账户名不匹配，即终端指纹G_yT_n所对应的终端Tn失陷，将进行异常处理，拦截或告警该终端的活动情况；

当(AG_yT_n：BG_yT_n：CG_yT_n)∈GT[3]时，则F5(AG_yT_n：BG_yT_n：CG_yT_n),GT[3]}=1，认为终端指纹GyTn所对应的终端Tn的一个账户名CG_yT_n与终端指纹信息库GT中的账户名相匹配，将进入算法F6，进行终端指纹信息库GT中上次设置密码时间的匹配；

优选的，存在算法F6(AG_yT_n：BG_yT_n：CG_yT_n：DG_yT_n),GT[4]}，该算法针对终端指纹G_yT_n所对应的终端Tn中账户名CG_yT_n的上次设置密码时间DG_yT_n与终端指纹信息库GT{GT₁，GT₂，……，GT_n}中每一条终端指纹的第四个组成因素进行匹配，即在终端指纹G_yT_n符合终端指纹信息库GT中终端IP、操作系统版本和账户名的前提下，将终端指纹G_yT_n所对应的终端Tn中账户名CG_yT_n的上次设置密码时间DG_yT_n与终端指纹信息库GT中的上次设置密码时间进行匹配。

当(AG_yT_n：BG_yT_n：CG_yT_n：DG_yT_n)GT[4]时，则F6(AG_yT_n：BG_yT_n：CG_yT_n：DG_yT_n),GT[4]}=0，认为终端指纹G_yT_n所对应的终端T_n中账户名CG_yT_n的上次设置密码时间DG_yT_n与终端指纹信息库GT中的上次设置密码时间不匹配，即终端指纹G_yT_n所对应的终端T_n失陷，将进行异常处理，拦截或告警该终端的活动情况；

当(AG_yT_n：BG_yT_n：CG_yT_n：DG_yT_n)∈GT[4]时，则F6(AG_yT_n：BG_yT_n：CGyTn：DG_yT_n),GT[4]}=1，认为终端指纹G_yT_n所对应的终端Tn中账户名CG_yT_n的上次设置密码时间DG_yT_n与终端指纹信息库GT中的上次设置密码时间相匹配，将进入算法F7，进行终端指纹活动时间的匹配。

S146、若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素一一匹配，则获取终端群组的指纹活跃时间；

S147、判断所述指纹活跃时间与学习结果中对应的指纹的活动时间范围是否匹配；

S148、若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围匹配，则确定所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种；

若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围不匹配，则执行所述步骤S142。

在本实施例中，针对终端指纹G_yT_n的活动时间SG_yT_n'进行实时检测。存在算法F7{SG_yT_n',SG_yT_n}，该算法针对终端指纹G_yT_n的活动时间SG_yT_n'与终端指纹G_yT_n在学习时间Q内的活动时间范围SG_yT_n进行匹配。

当SG_yT_n'SG_yT_n时，则F7{SG_yT_n',SG_yT_n}=0，认为终端指纹G_yT_n的活动时间SG_yT_n'与终端指纹G_yT_n在学习时间Q内的活动时间范围SG_yT_n不匹配，即终端指纹G_yT_n所对应的终端Tn失陷，将进行异常处理，拦截或告警该终端的活动情况；

当SG_yT_n'∈SG_yT_n时，则F7{SG_yT_n', G_yT_n}=1，认为终端指纹G_yT_n的活动时间SG_yT_n'与终端指纹G_yT_n在学习时间Q内的活动时间范围SG_yT_n相匹配，即终端指纹G_yT_n所对应的终端T_n安全。

S150、当所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种，生成主机失陷告警，并拦截终端的活动情况。

另外，当所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种，放行终端的活动情况。

记录终端指纹G_yT_n的活动时间SG_yT_n'，若终端指纹G_yT_n在时间P内未活跃，则认为终端指纹G_yT_n所对应的终端T_n失陷，将进行异常处理，拦截或告警该终端的活动情况。

本实施例的方法利用终端指纹信息库策略，以身份诱饵为依托，自动化检测身份诱饵、新增终端指纹、终端指纹组成因素、终端指纹活动时间，能够实现精确判别失陷主机。

举个例子：所述端点终端群组T包含10个主机，即T{T₁，T₂，……，T₁₀}。收集终端指纹，生成终端指纹信息库的步骤包括：通过在各终端主机安装agent软件来获取各终端的指纹信息，包括终端IP、操作系统版本、账户名、上次设置密码时间。设当前终端为T₁，终端T₁中有3条终端指纹信息：

指纹1：G₁T₁{A G₁T₁，{A G₁T₁：B G₁T₁}，{A G₁T₁：B G₁T₁：CG₁T₁}，{AG₁T₁：B G₁T₁：CG₁T₁：D G₁T₁}}

指纹2：G₂T₁{AG₂T₁，{AG₂T₁：B G₂T₁}，{AG₂T₁：B G₂T₁：C G₂T₁}，{A G₂T₁：BG2T1：CG2T1：DG2T1}}

指纹3：G₃T₁{AG₃T₁，{AG₃T₁：B G₃T₁}，{A G₃T₁：B G₃T₁：C G₃T₁}，{A G₃T₁：BG3T1：CG3T1：DG3T1}}

统计终端T₁中的指纹，生成终端T₁的指纹合集GT₁{G₁T₁，G₂T₁，G₃T₁}。进一步的，统计终端群组T{T₁，T₂，……，T₁₀}中所有终端的终端指纹，生成终端指纹信息库GT{GT₁，GT₂，……，GT₁₀}。

通过在终端群组T{ T₁，T₂，……，T₁₀}的安装的agent软件，基于终端指纹信息库GT，采集其终端指纹在学习时间Q内的活动时间范围。在本实施例中，终端指纹G₁T₁在学习时间Q内的活动时间范围为S G₁T₁，终端指纹G₂T₁在学习时间Q内的活动时间范围为S G₂T₁，终端指纹G₃T₁在学习时间Q内的活动时间范围为S G₃T₁。

为终端群组T{T₁，T₂，……，T₁₀}设置身份诱饵及弱口令。设当前终端为T₁，为终端T₁设置诱饵账户ET₁：test，并将诱饵账户ET₁的登录密码设置为弱口令：123456，记录诱饵账户ET₁的上次登录时间SET₁。

通过在终端群组T{T₁，T₂，……，T₁₀}的安装的agent软件，对各终端中的身份诱饵、新增终端指纹、终端指纹组成因素、终端指纹活动时间进行实时监测。

针对终端T₁中诱饵账户ET₁的登录时间SET_n'进行实时检测，通过算法F1{SET_n',SET_n}判断诱饵账户ET₁是否活动。在本实施例中，SET₁' = SET₁，则F1=1，认为诱饵账户未活跃ET₁，将进入算法F2，进行新增终端指纹检测。

通过F2{G_yT_n',GT}，将agent软件在终端T₁中检测到的终端指纹G₁T₁'与终端指纹信息库GT进行匹配。

在本实施例中：G₁T₁'∈GT，则F2{G_yT_n',GT}=0，认为指纹G₁T₁'与终端指纹信息库GT中的终端指纹相匹配，则一次进入算法F3、算法F4、算法F5、算法F6，进行终端指纹组成因素检测。

以终端T₁上终端指纹G₁T₁为例：基于终端指纹信息库GT，针对终端T₁上终端指纹G₁T₁{A G₁T₁，{A G₁T₁：B G₁T₁}，{A G₁T₁：B G₁T₁：C G₁T₁}，{A G₁T₁：BG₁T₁：CG₁T₁：DG₁T₁}}的各组成因素进行实时检测。通过算法F3{AG_yT_n,GT[1]}，将终端指纹G₁T₁所对应的终端T₁的IP地址A G₁T₁与终端指纹信息库GT{GT₁，GT₂，……，GT₁₀}中每一条终端指纹的第一个组成因素进行匹配，即将终端指纹G₁T₁所对应的终端T₁的IP地址A G₁T₁与终端指纹信息库GT中的终端IP进行匹配。

在本实施例中，A G₁T₁∈GT[1]，则F3{A G₁T₁,GT[1]}=1，认为终端指纹G₁T₁所对应的终端T₁的IP地址A G₁T₁与终端指纹信息库GT中的终端IP相匹配，则进入算法F4，进行终端指纹信息库GT中终端操作系统版本的匹配。

通过算法F4{(AG_yT_n：BG_yT_n),GT[2]}，将终端指纹G₁T₁所对应的终端T1的操作系统版本BG1T1与终端指纹信息库GT{GT₁，GT₂，……，GT₁₀}中每一条终端指纹的第二个组成因素进行匹配，即在终端指纹G1T1符合终端指纹信息库GT中终端IP的前提下，将终端指纹G₁T₁所对应的终端T1的操作系统版本B G₁T₁与终端指纹信息库GT中的操作系统版本进行匹配。

在本实施例中，(A G₁T₁：B G₁T₁)∈GT[2]，则F4{(A G₁T₁：B G₁T₁),GT[2]}=1，认为终端指纹G₁T₁所对应的终端T1的操作系统版本B G₁T₁与终端指纹信息库GT中的操作系统版本相匹配，则进入算法F5，进行终端指纹信息库GT中账户名的匹配。

通过算法F5(AG_yT_n：BG_yT_n：CGyTn),GT[3]}，该算法针对终端指纹G₁T₁所对应的终端T1的一个账户名C G₁T₁与终端指纹信息库GT{GT₁，GT₂，……，GT₁₀}中每一条终端指纹的第三个组成因素进行匹配，即在终端指纹G₁T₁符合终端指纹信息库GT中终端IP和操作系统版本的前提下，将终端指纹G₁T₁所对应的终端T₁的一个账户名CG₁T₁与终端指纹信息库GT中的账户名进行匹配。

在本实施例中，(A G₁T₁：B G₁T₁：C G₁T₁)∈GT[3]，则F5(AG_yT_n：BG_yT_n：CG_yT_n),GT[3]}=1，认为终端指纹G₁T₁所对应的终端T1的一个账户名C G₁T₁与终端指纹信息库GT中的账户名相匹配，则进入算法F6，进行终端指纹信息库GT中上次设置密码时间的匹配。

通过算法F6(AG_yT_n：BG_yT_n：CG_yT_n：DG_yT_n),GT[4]}，该算法针对终端指纹G₁T₁所对应的终端T1中账户名C G₁T₁的上次设置密码时间D G₁T₁与终端指纹信息库GT{GT₁，GT₂，……，GT₁₀}中每一条终端指纹的第四个组成因素进行匹配，即在终端指纹G₁T₁符合终端指纹信息库GT中终端IP、操作系统版本和账户名的前提下，将终端指纹G₁T₁所对应的终端T1中账户名C G₁T₁的上次设置密码时间D G₁T₁与终端指纹信息库GT中的上次设置密码时间进行匹配。

在本实施例中，(A G₁T₁：B G₁T₁：C G₁T₁：D G₁T₁)∈GT[4]，则F6(AG_yT_n：BG_yT_n：CG_yT_n：DG_yT_n),GT[4]}=1，认为终端指纹G₁T₁所对应的终端T1中账户名C G₁T₁的上次设置密码时间DG₁T₁与终端指纹信息库GT中的上次设置密码时间相匹配，则进入算法F7，进行终端指纹活动时间的匹配。

针对终端指纹G₁T₁的活动时间SG₁T₁'进行实时检测。存在算法F7{SG_yT_n',SG_yT_n}，该算法针对终端指纹G₁T₁的活动时间S G₁T₁'与终端指纹G₁T₁在学习时间Q内的活动时间范围SG₁T₁进行匹配。

在本实施例中，S G₁T₁'∈S G₁T₁，则F7{SG_yT_n',SG_yT_n}=1，认为终端指纹G₁T₁的活动时间SG₁T₁'与终端指纹G₁T₁在学习时间Q内的活动时间范围SG1T1相匹配，即终端指纹G₁T₁所对应的终端T₁安全。

记录终端指纹G_yT_n的活动时间SG_yT_n'。在本实施例中，终端指纹G₁T₁在时间P内未活跃，则认为终端指纹G₁T₁所对应的终端T₁失陷，将进行异常处理，拦截或告警终端T₁的活动情况。

上述的主机失陷检测方法，通过设置终端指纹信息库，并学习终端指纹的活动时间，对终端群组设置身份诱饵，实时监测终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，当出现上述的任一种情况时，生成主机失陷告警，并拦截终端的活动情况，实现精准判别失陷主机。

图4是本发明实施例提供的一种主机失陷检测装置300的示意性框图。如图4所示，对应于以上主机失陷检测方法，本发明还提供一种主机失陷检测装置300。该主机失陷检测装置300包括用于执行上述主机失陷检测方法的单元，该装置可以被配置于服务器中。具体地，请参阅图4，该主机失陷检测装置300包括信息库生成单元301、学习单元302、设置单元303、监测单元304以及告警单元305。

信息库生成单元301，用于获取终端指纹信息，生成终端指纹信息库；学习单元302，用于对所述终端指纹信息库学习终端指纹的活动时间，以得到学习结果；设置单元303，用于对终端群组设置身份诱饵；监测单元304，用于监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，以得到监测结果；告警单元305，用于当所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种，生成主机失陷告警，并拦截终端的活动情况。

在一实施例中，所述学习单元302，用于通过agent插件基于所述终端指纹信息库采集终端指纹信息在学习时间内的活动时间范围，以得到学习结果。

在一实施例中，设置单元303，用于对所述终端群组设置诱饵账户以及弱口令。

在一实施例中，如图5所示，所述监测单元304包括第一判断子单元3041、第一确定子单元3042、信息获取子单元3043、第二判断子单元3044、第三判断子单元3045、时间获取子单元3046、第五判断子单元3047以及第二确定子单元3048。

第一判断子单元3041，用于判断所述诱饵账户是否处于活跃状态；第一确定子单元3042，用于若所述诱饵账户处于活跃状态，则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种；信息获取子单元3043，用于若所述诱饵账户不是处于活跃状态，则获取终端群组的指纹信息；第二判断子单元3044，用于判断终端群组的指纹信息是否属于所述终端指纹信息库内的元素；若终端群组的指纹信息不属于所述终端指纹信息库内的元素，则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种；第三判断子单元3045，用于若终端群组的指纹信息属于所述终端指纹信息库内的元素，则判断终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素是否一一匹配；若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素不是一一匹配，则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种；时间获取子单元3046，用于若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素一一匹配，则获取终端群组的指纹活跃时间；第五判断子单元3047，用于判断所述指纹活跃时间与学习结果中对应的指纹的活动时间范围是否匹配；若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围不匹配，则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种。第二确定子单元3048，用于若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围匹配，则确定所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种。

在一实施例中，上述的主机失陷检测装置300还包括放行单元，用于当所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种，放行终端的活动情况。

需要说明的是，所属领域的技术人员可以清楚地了解到，上述主机失陷检测装置300和各单元的具体实现过程，可以参考前述方法实施例中的相应描述，为了描述的方便和简洁，在此不再赘述。

上述主机失陷检测装置300可以实现为一种计算机程序的形式，该计算机程序可以在如图6所示的计算机设备上运行。

请参阅图6，图6是本申请实施例提供的一种计算机设备的示意性框图。该计算机设备500可以是服务器，其中，服务器可以是独立的服务器，也可以是多个服务器组成的服务器集群。

参阅图6，该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505，其中，存储器可以包括非易失性存储介质503和内存储器504。

该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032包括程序指令，该程序指令被执行时，可使得处理器502执行一种主机失陷检测方法。

该处理器502用于提供计算和控制能力，以支撑整个计算机设备500的运行。

该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境，该计算机程序5032被处理器502执行时，可使得处理器502执行一种主机失陷检测方法。

该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解，图6中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备500的限定，具体的计算机设备500可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

其中，所述处理器502用于运行存储在存储器中的计算机程序5032，以实现如下步骤：

获取终端指纹信息，生成终端指纹信息库；对所述终端指纹信息库学习终端指纹的活动时间，以得到学习结果；对终端群组设置身份诱饵；监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，以得到监测结果；当所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种，生成主机失陷告警，并拦截终端的活动情况。

其中，所述终端指纹信息包括终端IP地址、操作系统版本、账户名、上次设置密码时间。

在一实施例中，处理器502在实现所述对所述终端指纹信息库学习终端指纹的活动时间，以得到学习结果步骤时，具体实现如下步骤：

在一实施例中，处理器502在实现所述对终端群组设置身份诱饵步骤时，具体实现如下步骤：

对所述终端群组设置诱饵账户以及弱口令。

在一实施例中，处理器502在实现所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，以得到监测结果步骤时，具体实现如下步骤：

判断所述诱饵账户是否处于活跃状态；若所述诱饵账户处于活跃状态，则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种；若所述诱饵账户不是处于活跃状态，则获取终端群组的指纹信息；判断终端群组的指纹信息是否属于所述终端指纹信息库内的元素；若终端群组的指纹信息不属于所述终端指纹信息库内的元素，则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种；若终端群组的指纹信息属于所述终端指纹信息库内的元素，则判断终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素是否一一匹配；若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素不是一一匹配，则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种；若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素一一匹配，则获取终端群组的指纹活跃时间；判断所述指纹活跃时间与学习结果中对应的指纹的活动时间范围是否匹配；若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围匹配，则确定所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种；若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围不匹配，则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种。

在一实施例中，处理器502在实现所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，以得到监测结果步骤之后，还实现如下步骤：

应当理解，在本申请实施例中，处理器502可以是中央处理单元 (CentralProcessing Unit，CPU)，该处理器502还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路 (Application Specific IntegratedCircuit，ASIC)、现成可编程门阵列 (Field-Programmable Gate Array，FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令，计算机程序可存储于一存储介质中，该存储介质为计算机可读存储介质。该程序指令被该计算机系统中的至少一个处理器执行，以实现上述方法的实施例的流程步骤。

因此，本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序，其中该计算机程序被处理器执行时使处理器执行如下步骤：

在一实施例中，所述处理器在执行所述计算机程序而实现所述对所述终端指纹信息库学习终端指纹的活动时间，以得到学习结果步骤时，具体实现如下步骤：

在一实施例中，所述处理器在执行所述计算机程序而实现所述对终端群组设置身份诱饵步骤时，具体实现如下步骤：

对所述终端群组设置诱饵账户以及弱口令。

在一实施例中，所述处理器在执行所述计算机程序而实现所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，以得到监测结果步骤时，具体实现如下步骤：

在一实施例中，所述处理器在执行所述计算机程序而实现所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，以得到监测结果步骤之后，还实现如下步骤：

所述存储介质可以是U盘、移动硬盘、只读存储器（Read-Only Memory，ROM）、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的。例如，各个单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。

该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，终端，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

1.主机失陷检测方法，其特征在于，包括：

获取终端指纹信息，生成终端指纹信息库；

对终端群组设置身份诱饵；

2.根据权利要求1所述的主机失陷检测方法，其特征在于，所述终端指纹信息包括终端IP地址、操作系统版本、账户名、上次设置密码时间。

3.根据权利要求1所述的主机失陷检测方法，其特征在于，所述对所述终端指纹信息库学习终端指纹的活动时间，以得到学习结果，包括：

4.根据权利要求1所述的主机失陷检测方法，其特征在于，所述对终端群组设置身份诱饵，包括：

对所述终端群组设置诱饵账户以及弱口令。

5.根据权利要求1所述的主机失陷检测方法，其特征在于，所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，以得到监测结果，包括：

判断所述诱饵账户是否处于活跃状态；

6.根据权利要求5所述的主机失陷检测方法，其特征在于，所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配，以得到监测结果之后，还包括：

7.主机失陷检测装置，其特征在于，包括：

设置单元，用于对终端群组设置身份诱饵；

8.根据权利要求7所述的主机失陷检测装置，其特征在于，所述学习单元，用于通过agent插件基于所述终端指纹信息库采集终端指纹信息在学习时间内的活动时间范围，以得到学习结果。

9.一种计算机设备，其特征在于，所述计算机设备包括存储器及处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的方法。

10.一种存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的方法。