CN117113340A - 主机失陷检测方法、装置、计算机设备及存储介质 - Google Patents
主机失陷检测方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN117113340A CN117113340A CN202311364917.5A CN202311364917A CN117113340A CN 117113340 A CN117113340 A CN 117113340A CN 202311364917 A CN202311364917 A CN 202311364917A CN 117113340 A CN117113340 A CN 117113340A
- Authority
- CN
- China
- Prior art keywords
- terminal
- fingerprint
- fingerprint information
- terminal fingerprint
- matched
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims description 29
- 230000000694 effects Effects 0.000 claims abstract description 186
- 238000012544 monitoring process Methods 0.000 claims abstract description 79
- 239000000203 mixture Substances 0.000 claims abstract description 62
- 238000000034 method Methods 0.000 claims abstract description 36
- 238000004590 computer program Methods 0.000 claims description 20
- 238000012545 processing Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 230000002159 abnormal effect Effects 0.000 description 6
- 239000003795 chemical substances by application Substances 0.000 description 6
- 238000011897 real-time detection Methods 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 239000011152 fibreglass Substances 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2433—Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Abstract
本发明公开了主机失陷检测方法、装置、计算机设备及存储介质。所述方法包括:获取终端指纹信息,生成终端指纹信息库;对所述终端指纹信息库学习终端指纹的活动时间,以得到学习结果;对终端群组设置身份诱饵;监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果;当所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种,生成主机失陷告警,并拦截终端的活动情况。通过实施本发明实施例的方法可实现精准判别失陷主机。
Description
技术领域
本发明涉及主机失陷分析方法,更具体地说是指主机失陷检测方法、装置、计算机设备及存储介质。
背景技术
失陷主机是指网络入侵者通过某种方式获取控制权的主机,入侵者通常会以该失陷主机为跳板攻击内网中的其他主机。但失陷主机往往具有较强的隐蔽性,通常情况下是通过对主机的不同异常行为进行告警,并基于异常行为进行失陷主机检测,这种手段极容易将正常的主机或服务器判断为失陷,从而出现大量的误报情况,检测准确率不高。
因此,有必要设计一种新的方法,实现精准判别失陷主机。
发明内容
本发明的目的在于克服现有技术的缺陷,提供主机失陷检测方法、装置、计算机设备及存储介质。
为实现上述目的,本发明采用以下技术方案:主机失陷检测方法,包括:
获取终端指纹信息,生成终端指纹信息库;
对所述终端指纹信息库学习终端指纹的活动时间,以得到学习结果;
对终端群组设置身份诱饵;
监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果;
当所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种,生成主机失陷告警,并拦截终端的活动情况。
其进一步技术方案为:所述终端指纹信息包括终端IP地址、操作系统版本、账户名、上次设置密码时间。
其进一步技术方案为:所述对所述终端指纹信息库学习终端指纹的活动时间,以得到学习结果,包括:
通过agent插件基于所述终端指纹信息库采集终端指纹信息在学习时间内的活动时间范围,以得到学习结果。
其进一步技术方案为:所述对终端群组设置身份诱饵,包括:
对所述终端群组设置诱饵账户以及弱口令。
其进一步技术方案为:所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果,包括:
判断所述诱饵账户是否处于活跃状态;
若所述诱饵账户处于活跃状态,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种;
若所述诱饵账户不是处于活跃状态,则获取终端群组的指纹信息;
判断终端群组的指纹信息是否属于所述终端指纹信息库内的元素;
若终端群组的指纹信息不属于所述终端指纹信息库内的元素,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种;
若终端群组的指纹信息属于所述终端指纹信息库内的元素,则判断终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素是否一一匹配;
若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素不是一一匹配,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种;
若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素一一匹配,则获取终端群组的指纹活跃时间;
判断所述指纹活跃时间与学习结果中对应的指纹的活动时间范围是否匹配;
若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围匹配,则确定所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种;
若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围不匹配,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种。
其进一步技术方案为:所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果之后,还包括:
当所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种,放行终端的活动情况。
本发明还提供了主机失陷检测装置,包括:
信息库生成单元,用于获取终端指纹信息,生成终端指纹信息库;
学习单元,用于对所述终端指纹信息库学习终端指纹的活动时间,以得到学习结果;
设置单元,用于对终端群组设置身份诱饵;
监测单元,用于监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果;
告警单元,用于当所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种,生成主机失陷告警,并拦截终端的活动情况。
其进一步技术方案为:所述学习单元,用于通过agent插件基于所述终端指纹信息库采集终端指纹信息在学习时间内的活动时间范围,以得到学习结果。
本发明还提供了一种计算机设备,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现上述的方法。
本发明还提供了一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法。
本发明与现有技术相比的有益效果是:本发明通过设置终端指纹信息库,并学习终端指纹的活动时间,对终端群组设置身份诱饵,实时监测终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,当出现上述的任一种情况时,生成主机失陷告警,并拦截终端的活动情况,实现精准判别失陷主机。
下面结合附图和具体实施例对本发明作进一步描述。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的主机失陷检测方法的应用场景示意图;
图2为本发明实施例提供的主机失陷检测方法的流程示意图;
图3为本发明实施例提供的主机失陷检测方法的子流程示意图;
图4为本发明实施例提供的主机失陷检测装置的示意性框图;
图5为本发明实施例提供的主机失陷检测装置的监测单元的示意性框图;
图6为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1和图2,图1为本发明实施例提供的主机失陷检测方法的应用场景示意图。图2为本发明实施例提供的主机失陷检测方法的示意性流程图。该主机失陷检测方法应用于服务器中。该服务器与终端进行数据交互,通过:收集终端指纹,生成终端指纹信息库;学习终端指纹的活动时间;设置身份诱饵;对终端进行实时监测,包括身份诱饵检测、新增终端指纹检测、终端指纹组成因素检测、终端指纹活动时间检测,根据检测结果判定是否存在失陷主机,并对所述失陷主机进行异常告警与拦截,实现精准判别失陷主机。
图2是本发明实施例提供的主机失陷检测方法的流程示意图。如图2所示,该方法包括以下步骤S110至S150。
S110、获取终端指纹信息,生成终端指纹信息库。
在本实施例中,所述终端指纹信息包括终端IP地址、操作系统版本、账户名、上次设置密码时间。
终端指纹信息库是指所有终端指纹信息构成的集合。
具体地,针对多个终端构成的群组T{T1,T2,……,Tn},其中T1,T2,……,Tn为各终端代号,通过在各终端主机安装agent软件获取各终端的指纹信息,包括终端IP、操作系统版本、账户名、上次设置密码时间。设当前终端为Tn,则终端Tn上的一条终端指纹信息为GyTn{AGyTn,{AGyTn:BGyTn},{AGyTn:BGyTn:CGyTn},{AGyTn:BGyTn:CGyTn:DGyTn}},其中AGyTn为终端Tn的IP地址,BGyTn为终端Tn的操作系统版本,CGyTn为终端Tn中的一个账户名,DGyTn为账户名CGyTn的上次设置密码时间。统计终端Tn中的指纹,生成终端Tn的指纹合集GTn{G1Tn,G2Tn,……,GyTn}。进一步的,统计终端群组T{T1,T2,……,Tn}中所有终端的终端指纹,生成终端指纹信息库GT{GT1,GT2,……,GTn}。
S120、对所述终端指纹信息库学习终端指纹的活动时间,以得到学习结果。
在本实施例中,学习结果是指终端指纹在制定的学习时间内的活动时间范围,也就是活跃的时间。
具体地,通过agent插件基于所述终端指纹信息库采集终端指纹信息在学习时间内的活动时间范围,以得到学习结果。
通过在终端群组T{T1,T2,……,Tn}的安装的agent软件,基于终端指纹信息库GT,采集其终端指纹在学习时间Q内的活动时间范围。设当前终端指纹为GyTn,学习终端指纹GyTn在学习时间Q内的活动时间范围SGyTn。
S130、对终端群组设置身份诱饵。
在本实施例中,身份诱饵是指终端群组的虚假身份。
在一实施例中,上述的步骤S130可包括:
对所述终端群组设置诱饵账户以及弱口令。
以终端Tn为例,例如终端Tn为Linux操作系统,为其创建用户名为test的诱饵账户ETn,并将诱饵账户ETn的登录密码设置为弱口令,如123456。同时,记录诱饵账户ETn的上次登录时间SETn。
S140、监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果。
在本实施例中,监测结果是指所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配的实时监测所得的结果。
具体地,通过在终端群组T{T1,T2,……,Tn}的安装的agent软件,对各终端中的身份诱饵、新增终端指纹、终端指纹组成因素、终端指纹活动时间进行实时监测,并通过算法F1-F7判定是否存在失陷主机。
在一实施例中,请参阅图3,上述的步骤S140可包括步骤S141~ S148。
S141、判断所述诱饵账户是否处于活跃状态;
S142、若所述诱饵账户处于活跃状态,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种。
在本实施例中,针对诱饵账户ETn的登录时间SETn'进行实时检测。存在算法F1,通过算法F1{SETn',SETn},该算法针对诱饵账户ETn的登录时间SETn'与诱饵账户ETn的上次登录时间SETn进行匹配,判断诱饵账户ETn是否活动。
当SETn'≠SETn时,则F1=0,认为诱饵账户ETn活跃,即诱饵账户ETn所对应的终端Tn失陷,将进行异常处理,拦截或告警该终端的活动情况;
当SETn' = SETn时,则F1=1,认为诱饵账户ETn未活跃,将进入算法F2,进行新增终端指纹检测。
S143、若所述诱饵账户不是处于活跃状态,则获取终端群组的指纹信息;
S144、判断终端群组的指纹信息是否属于所述终端指纹信息库内的元素;
若终端群组的指纹信息不属于所述终端指纹信息库内的元素,则执行所述步骤S142。
在本实施例中,存在算法F2,该算法针对agent软件检测到的终端指纹与终端指纹信息库GT进行匹配,并判定是否为新增指纹。设在终端Tn上检测到一条终端指纹GyTn',通过算法F2{GyTn',GT}进行新增指纹判断。
当GyTn'GT时,则F2{GyTn',GT}=0,认为指纹GyTn'为新增的终端指纹,即终端指纹GyTn'所对应的终端Tn失陷,将进行异常处理,拦截或告警该终端的活动情况;
当GyTn'∈GT时,则F2{GyTn',GT}=0,认为指纹GyTn'与终端指纹信息库GT中的终端指纹相匹配,将进入算法F3-F6,进行终端指纹组成因素检测。
S145、若终端群组的指纹信息属于所述终端指纹信息库内的元素,则判断终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素是否一一匹配;
若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素不是一一匹配,则执行所述步骤S142。
在本实施例中,基于终端指纹信息库GT,针对终端Tn上终端指纹GyTn{AGyTn,{AGyTn:BGyTn},{AGyTn:BGyTn:CGyTn},{AGyTn:BGyTn:CGyTn:DGyTn}}的各组成因素进行实时检测。存在算法F3{AGyTn,GT[1]},该算法针对终端指纹GyTn所对应的终端Tn的IP地址AGyTn与终端指纹信息库GT{GT1,GT2,……,GTn}中每一条终端指纹的第一个组成因素进行匹配,即将终端指纹GyTn所对应的终端Tn的IP地址AGyTn与终端指纹信息库GT中的终端IP进行匹配。
当AGyTn GT[1]时,则F3{AGyTn,GT[1]}=0,认为终端指纹GyTn所对应的终端Tn的IP地址AGyTn与终端指纹信息库GT中的终端IP不匹配,即终端指纹GyTn所对应的终端Tn失陷,将进行异常处理,拦截或告警该终端的活动情况;
当AGyTn∈GT[1]时,则F3{AGyTn,GT[1]}=1,认为终端指纹GyTn所对应的终端Tn的IP地址AGyTn与终端指纹信息库GT中的终端IP相匹配,将进入算法F4,进行终端指纹信息库GT中终端操作系统版本的匹配。
优选的,存在算法F4{(AGyTn:BGyTn),GT[2]},该算法针对终端指纹GyTn所对应的终端Tn的操作系统版本BGyTn与终端指纹信息库GT{GT1,GT2,……,GTn}中每一条终端指纹的第二个组成因素进行匹配,即在终端指纹GyTn符合终端指纹信息库GT中终端IP的前提下,将终端指纹GyTn所对应的终端Tn的操作系统版本BGyTn与终端指纹信息库GT中的操作系统版本进行匹配。
当(AGyTn:BGyTn)GT[2]时,则F4{(AGyTn:BGyTn),GT[2]}=0,认为终端指纹GyTn所对应的终端Tn的操作系统版本BGyTn与终端指纹信息库GT中的操作系统版本不匹配,即终端指纹GyTn所对应的终端Tn失陷,将进行异常处理,拦截或告警该终端的活动情况;
当(AGyTn:BGyTn)∈GT[2]时,则F4{(AGyTn:BGyTn),GT[2]}=1,认为终端指纹GyTn所对应的终端Tn的操作系统版本BGyTn与终端指纹信息库GT中的操作系统版本相匹配,将进入算法F5,进行终端指纹信息库GT中账户名的匹配;
优选的,存在算法F5(AGyTn:BGyTn:CGyTn),GT[3]},该算法针对终端指纹GyTn所对应的终端Tn的一个账户名CGyTn与终端指纹信息库GT{GT1,GT2,……,GTn}中每一条终端指纹的第三个组成因素进行匹配,即在终端指纹GyTn符合终端指纹信息库GT中终端IP和操作系统版本的前提下,将终端指纹GyTn所对应的终端Tn的一个账户名CGyTn与终端指纹信息库GT中的账户名进行匹配。
当(AGyTn:BGyTn:CGyTn)GT[3]时,则F5(AGyTn:BGyTn:CGyTn),GT[3]}=0,认为终端指纹GyTn所对应的终端Tn的一个账户名CGyTn与终端指纹信息库GT中的账户名不匹配,即终端指纹GyTn所对应的终端Tn失陷,将进行异常处理,拦截或告警该终端的活动情况;
当(AGyTn:BGyTn:CGyTn)∈GT[3]时,则F5(AGyTn:BGyTn:CGyTn),GT[3]}=1,认为终端指纹GyTn所对应的终端Tn的一个账户名CGyTn与终端指纹信息库GT中的账户名相匹配,将进入算法F6,进行终端指纹信息库GT中上次设置密码时间的匹配;
优选的,存在算法F6(AGyTn:BGyTn:CGyTn:DGyTn),GT[4]},该算法针对终端指纹GyTn所对应的终端Tn中账户名CGyTn的上次设置密码时间DGyTn与终端指纹信息库GT{GT1,GT2,……,GTn}中每一条终端指纹的第四个组成因素进行匹配,即在终端指纹GyTn符合终端指纹信息库GT中终端IP、操作系统版本和账户名的前提下,将终端指纹GyTn所对应的终端Tn中账户名CGyTn的上次设置密码时间DGyTn与终端指纹信息库GT中的上次设置密码时间进行匹配。
当(AGyTn:BGyTn:CGyTn:DGyTn)GT[4]时,则F6(AGyTn:BGyTn:CGyTn:DGyTn),GT[4]}=0,认为终端指纹GyTn所对应的终端Tn中账户名CGyTn的上次设置密码时间DGyTn与终端指纹信息库GT中的上次设置密码时间不匹配,即终端指纹GyTn所对应的终端Tn失陷,将进行异常处理,拦截或告警该终端的活动情况;
当(AGyTn:BGyTn:CGyTn:DGyTn)∈GT[4]时,则F6(AGyTn:BGyTn:CGyTn:DGyTn),GT[4]}=1,认为终端指纹GyTn所对应的终端Tn中账户名CGyTn的上次设置密码时间DGyTn与终端指纹信息库GT中的上次设置密码时间相匹配,将进入算法F7,进行终端指纹活动时间的匹配。
S146、若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素一一匹配,则获取终端群组的指纹活跃时间;
S147、判断所述指纹活跃时间与学习结果中对应的指纹的活动时间范围是否匹配;
S148、若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围匹配,则确定所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种;
若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围不匹配,则执行所述步骤S142。
在本实施例中,针对终端指纹GyTn的活动时间SGyTn'进行实时检测。存在算法F7{SGyTn',SGyTn},该算法针对终端指纹GyTn的活动时间SGyTn'与终端指纹GyTn在学习时间Q内的活动时间范围SGyTn进行匹配。
当SGyTn'SGyTn时,则F7{SGyTn',SGyTn}=0,认为终端指纹GyTn的活动时间SGyTn'与终端指纹GyTn在学习时间Q内的活动时间范围SGyTn不匹配,即终端指纹GyTn所对应的终端Tn失陷,将进行异常处理,拦截或告警该终端的活动情况;
当SGyTn'∈SGyTn时,则F7{SGyTn', GyTn}=1,认为终端指纹GyTn的活动时间SGyTn'与终端指纹GyTn在学习时间Q内的活动时间范围SGyTn相匹配,即终端指纹GyTn所对应的终端Tn安全。
S150、当所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种,生成主机失陷告警,并拦截终端的活动情况。
另外,当所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种,放行终端的活动情况。
记录终端指纹GyTn的活动时间SGyTn',若终端指纹GyTn在时间P内未活跃,则认为终端指纹GyTn所对应的终端Tn失陷,将进行异常处理,拦截或告警该终端的活动情况。
本实施例的方法利用终端指纹信息库策略,以身份诱饵为依托,自动化检测身份诱饵、新增终端指纹、终端指纹组成因素、终端指纹活动时间,能够实现精确判别失陷主机。
举个例子:所述端点终端群组T包含10个主机,即T{T1,T2,……,T10}。收集终端指纹,生成终端指纹信息库的步骤包括:通过在各终端主机安装agent软件来获取各终端的指纹信息,包括终端IP、操作系统版本、账户名、上次设置密码时间。设当前终端为T1,终端T1中有3条终端指纹信息:
指纹1:G1T1{A G1T1,{A G1T1:B G1T1},{A G1T1:B G1T1:CG1T1},{AG1T1:B G1T1:CG1T1:D G1T1}}
指纹2:G2T1{AG2T1,{AG2T1:B G2T1},{AG2T1:B G2T1:C G2T1},{A G2T1:BG2T1:CG2T1:DG2T1}}
指纹3:G3T1{AG3T1,{AG3T1:B G3T1},{A G3T1:B G3T1:C G3T1},{A G3T1:BG3T1:CG3T1:DG3T1}}
统计终端T1中的指纹,生成终端T1的指纹合集GT1{G1T1,G2T1,G3T1}。进一步的,统计终端群组T{T1,T2,……,T10}中所有终端的终端指纹,生成终端指纹信息库GT{GT1,GT2,……,GT10}。
通过在终端群组T{ T1,T2,……,T10}的安装的agent软件,基于终端指纹信息库GT,采集其终端指纹在学习时间Q内的活动时间范围。在本实施例中,终端指纹G1T1在学习时间Q内的活动时间范围为S G1T1,终端指纹G2T1在学习时间Q内的活动时间范围为S G2T1,终端指纹G3T1在学习时间Q内的活动时间范围为S G3T1。
为终端群组T{T1,T2,……,T10}设置身份诱饵及弱口令。设当前终端为T1,为终端T1设置诱饵账户ET1:test,并将诱饵账户ET1的登录密码设置为弱口令:123456,记录诱饵账户ET1的上次登录时间SET1。
通过在终端群组T{T1,T2,……,T10}的安装的agent软件,对各终端中的身份诱饵、新增终端指纹、终端指纹组成因素、终端指纹活动时间进行实时监测。
针对终端T1中诱饵账户ET1的登录时间SETn'进行实时检测,通过算法F1{SETn',SETn}判断诱饵账户ET1是否活动。在本实施例中,SET1' = SET1,则F1=1,认为诱饵账户未活跃ET1,将进入算法F2,进行新增终端指纹检测。
通过F2{GyTn',GT},将agent软件在终端T1中检测到的终端指纹G1T1'与终端指纹信息库GT进行匹配。
在本实施例中:G1T1'∈GT,则F2{GyTn',GT}=0,认为指纹G1T1'与终端指纹信息库GT中的终端指纹相匹配,则一次进入算法F3、算法F4、算法F5、算法F6,进行终端指纹组成因素检测。
以终端T1上终端指纹G1T1为例:基于终端指纹信息库GT,针对终端T1上终端指纹G1T1{A G1T1,{A G1T1:B G1T1},{A G1T1:B G1T1:C G1T1},{A G1T1:BG1T1:CG1T1:DG1T1}}的各组成因素进行实时检测。通过算法F3{AGyTn,GT[1]},将终端指纹G1T1所对应的终端T1的IP地址A G1T1与终端指纹信息库GT{GT1,GT2,……,GT10}中每一条终端指纹的第一个组成因素进行匹配,即将终端指纹G1T1所对应的终端T1的IP地址A G1T1与终端指纹信息库GT中的终端IP进行匹配。
在本实施例中,A G1T1∈GT[1],则F3{A G1T1,GT[1]}=1,认为终端指纹G1T1所对应的终端T1的IP地址A G1T1与终端指纹信息库GT中的终端IP相匹配,则进入算法F4,进行终端指纹信息库GT中终端操作系统版本的匹配。
通过算法F4{(AGyTn:BGyTn),GT[2]},将终端指纹G1T1所对应的终端T1的操作系统版本BG1T1与终端指纹信息库GT{GT1,GT2,……,GT10}中每一条终端指纹的第二个组成因素进行匹配,即在终端指纹G1T1符合终端指纹信息库GT中终端IP的前提下,将终端指纹G1T1所对应的终端T1的操作系统版本B G1T1与终端指纹信息库GT中的操作系统版本进行匹配。
在本实施例中,(A G1T1:B G1T1)∈GT[2],则F4{(A G1T1:B G1T1),GT[2]}=1,认为终端指纹G1T1所对应的终端T1的操作系统版本B G1T1与终端指纹信息库GT中的操作系统版本相匹配,则进入算法F5,进行终端指纹信息库GT中账户名的匹配。
通过算法F5(AGyTn:BGyTn:CGyTn),GT[3]},该算法针对终端指纹G1T1所对应的终端T1的一个账户名C G1T1与终端指纹信息库GT{GT1,GT2,……,GT10}中每一条终端指纹的第三个组成因素进行匹配,即在终端指纹G1T1符合终端指纹信息库GT中终端IP和操作系统版本的前提下,将终端指纹G1T1所对应的终端T1的一个账户名CG1T1与终端指纹信息库GT中的账户名进行匹配。
在本实施例中,(A G1T1:B G1T1:C G1T1)∈GT[3],则F5(AGyTn:BGyTn:CGyTn),GT[3]}=1,认为终端指纹G1T1所对应的终端T1的一个账户名C G1T1与终端指纹信息库GT中的账户名相匹配,则进入算法F6,进行终端指纹信息库GT中上次设置密码时间的匹配。
通过算法F6(AGyTn:BGyTn:CGyTn:DGyTn),GT[4]},该算法针对终端指纹G1T1所对应的终端T1中账户名C G1T1的上次设置密码时间D G1T1与终端指纹信息库GT{GT1,GT2,……,GT10}中每一条终端指纹的第四个组成因素进行匹配,即在终端指纹G1T1符合终端指纹信息库GT中终端IP、操作系统版本和账户名的前提下,将终端指纹G1T1所对应的终端T1中账户名C G1T1的上次设置密码时间D G1T1与终端指纹信息库GT中的上次设置密码时间进行匹配。
在本实施例中,(A G1T1:B G1T1:C G1T1:D G1T1)∈GT[4],则F6(AGyTn:BGyTn:CGyTn:DGyTn),GT[4]}=1,认为终端指纹G1T1所对应的终端T1中账户名C G1T1的上次设置密码时间DG1T1与终端指纹信息库GT中的上次设置密码时间相匹配,则进入算法F7,进行终端指纹活动时间的匹配。
针对终端指纹G1T1的活动时间SG1T1'进行实时检测。存在算法F7{SGyTn',SGyTn},该算法针对终端指纹G1T1的活动时间S G1T1'与终端指纹G1T1在学习时间Q内的活动时间范围SG1T1进行匹配。
在本实施例中,S G1T1'∈S G1T1,则F7{SGyTn',SGyTn}=1,认为终端指纹G1T1的活动时间SG1T1'与终端指纹G1T1在学习时间Q内的活动时间范围SG1T1相匹配,即终端指纹G1T1所对应的终端T1安全。
记录终端指纹GyTn的活动时间SGyTn'。在本实施例中,终端指纹G1T1在时间P内未活跃,则认为终端指纹G1T1所对应的终端T1失陷,将进行异常处理,拦截或告警终端T1的活动情况。
上述的主机失陷检测方法,通过设置终端指纹信息库,并学习终端指纹的活动时间,对终端群组设置身份诱饵,实时监测终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,当出现上述的任一种情况时,生成主机失陷告警,并拦截终端的活动情况,实现精准判别失陷主机。
图4是本发明实施例提供的一种主机失陷检测装置300的示意性框图。如图4所示,对应于以上主机失陷检测方法,本发明还提供一种主机失陷检测装置300。该主机失陷检测装置300包括用于执行上述主机失陷检测方法的单元,该装置可以被配置于服务器中。具体地,请参阅图4,该主机失陷检测装置300包括信息库生成单元301、学习单元302、设置单元303、监测单元304以及告警单元305。
信息库生成单元301,用于获取终端指纹信息,生成终端指纹信息库;学习单元302,用于对所述终端指纹信息库学习终端指纹的活动时间,以得到学习结果;设置单元303,用于对终端群组设置身份诱饵;监测单元304,用于监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果;告警单元305,用于当所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种,生成主机失陷告警,并拦截终端的活动情况。
在一实施例中,所述学习单元302,用于通过agent插件基于所述终端指纹信息库采集终端指纹信息在学习时间内的活动时间范围,以得到学习结果。
在一实施例中,设置单元303,用于对所述终端群组设置诱饵账户以及弱口令。
在一实施例中,如图5所示,所述监测单元304包括第一判断子单元3041、第一确定子单元3042、信息获取子单元3043、第二判断子单元3044、第三判断子单元3045、时间获取子单元3046、第五判断子单元3047以及第二确定子单元3048。
第一判断子单元3041,用于判断所述诱饵账户是否处于活跃状态;第一确定子单元3042,用于若所述诱饵账户处于活跃状态,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种;信息获取子单元3043,用于若所述诱饵账户不是处于活跃状态,则获取终端群组的指纹信息;第二判断子单元3044,用于判断终端群组的指纹信息是否属于所述终端指纹信息库内的元素;若终端群组的指纹信息不属于所述终端指纹信息库内的元素,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种;第三判断子单元3045,用于若终端群组的指纹信息属于所述终端指纹信息库内的元素,则判断终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素是否一一匹配;若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素不是一一匹配,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种;时间获取子单元3046,用于若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素一一匹配,则获取终端群组的指纹活跃时间;第五判断子单元3047,用于判断所述指纹活跃时间与学习结果中对应的指纹的活动时间范围是否匹配;若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围不匹配,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种。第二确定子单元3048,用于若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围匹配,则确定所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种。
在一实施例中,上述的主机失陷检测装置300还包括放行单元,用于当所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种,放行终端的活动情况。
需要说明的是,所属领域的技术人员可以清楚地了解到,上述主机失陷检测装置300和各单元的具体实现过程,可以参考前述方法实施例中的相应描述,为了描述的方便和简洁,在此不再赘述。
上述主机失陷检测装置300可以实现为一种计算机程序的形式,该计算机程序可以在如图6所示的计算机设备上运行。
请参阅图6,图6是本申请实施例提供的一种计算机设备的示意性框图。该计算机设备500可以是服务器,其中,服务器可以是独立的服务器,也可以是多个服务器组成的服务器集群。
参阅图6,该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505,其中,存储器可以包括非易失性存储介质503和内存储器504。
该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032包括程序指令,该程序指令被执行时,可使得处理器502执行一种主机失陷检测方法。
该处理器502用于提供计算和控制能力,以支撑整个计算机设备500的运行。
该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行一种主机失陷检测方法。
该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现如下步骤:
获取终端指纹信息,生成终端指纹信息库;对所述终端指纹信息库学习终端指纹的活动时间,以得到学习结果;对终端群组设置身份诱饵;监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果;当所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种,生成主机失陷告警,并拦截终端的活动情况。
其中,所述终端指纹信息包括终端IP地址、操作系统版本、账户名、上次设置密码时间。
在一实施例中,处理器502在实现所述对所述终端指纹信息库学习终端指纹的活动时间,以得到学习结果步骤时,具体实现如下步骤:
通过agent插件基于所述终端指纹信息库采集终端指纹信息在学习时间内的活动时间范围,以得到学习结果。
在一实施例中,处理器502在实现所述对终端群组设置身份诱饵步骤时,具体实现如下步骤:
对所述终端群组设置诱饵账户以及弱口令。
在一实施例中,处理器502在实现所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果步骤时,具体实现如下步骤:
判断所述诱饵账户是否处于活跃状态;若所述诱饵账户处于活跃状态,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种;若所述诱饵账户不是处于活跃状态,则获取终端群组的指纹信息;判断终端群组的指纹信息是否属于所述终端指纹信息库内的元素;若终端群组的指纹信息不属于所述终端指纹信息库内的元素,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种;若终端群组的指纹信息属于所述终端指纹信息库内的元素,则判断终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素是否一一匹配;若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素不是一一匹配,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种;若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素一一匹配,则获取终端群组的指纹活跃时间;判断所述指纹活跃时间与学习结果中对应的指纹的活动时间范围是否匹配;若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围匹配,则确定所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种;若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围不匹配,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种。
在一实施例中,处理器502在实现所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果步骤之后,还实现如下步骤:
当所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种,放行终端的活动情况。
应当理解,在本申请实施例中,处理器502可以是中央处理单元 (CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路 (Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列 (Field-Programmable Gate Array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令,计算机程序可存储于一存储介质中,该存储介质为计算机可读存储介质。该程序指令被该计算机系统中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序,其中该计算机程序被处理器执行时使处理器执行如下步骤:
获取终端指纹信息,生成终端指纹信息库;对所述终端指纹信息库学习终端指纹的活动时间,以得到学习结果;对终端群组设置身份诱饵;监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果;当所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种,生成主机失陷告警,并拦截终端的活动情况。
其中,所述终端指纹信息包括终端IP地址、操作系统版本、账户名、上次设置密码时间。
在一实施例中,所述处理器在执行所述计算机程序而实现所述对所述终端指纹信息库学习终端指纹的活动时间,以得到学习结果步骤时,具体实现如下步骤:
通过agent插件基于所述终端指纹信息库采集终端指纹信息在学习时间内的活动时间范围,以得到学习结果。
在一实施例中,所述处理器在执行所述计算机程序而实现所述对终端群组设置身份诱饵步骤时,具体实现如下步骤:
对所述终端群组设置诱饵账户以及弱口令。
在一实施例中,所述处理器在执行所述计算机程序而实现所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果步骤时,具体实现如下步骤:
判断所述诱饵账户是否处于活跃状态;若所述诱饵账户处于活跃状态,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种;若所述诱饵账户不是处于活跃状态,则获取终端群组的指纹信息;判断终端群组的指纹信息是否属于所述终端指纹信息库内的元素;若终端群组的指纹信息不属于所述终端指纹信息库内的元素,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种;若终端群组的指纹信息属于所述终端指纹信息库内的元素,则判断终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素是否一一匹配;若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素不是一一匹配,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种;若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素一一匹配,则获取终端群组的指纹活跃时间;判断所述指纹活跃时间与学习结果中对应的指纹的活动时间范围是否匹配;若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围匹配,则确定所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种;若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围不匹配,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种。
在一实施例中,所述处理器在执行所述计算机程序而实现所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果步骤之后,还实现如下步骤:
当所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种,放行终端的活动情况。
所述存储介质可以是U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.主机失陷检测方法,其特征在于,包括:
获取终端指纹信息,生成终端指纹信息库;
对所述终端指纹信息库学习终端指纹的活动时间,以得到学习结果;
对终端群组设置身份诱饵;
监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果;
当所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种,生成主机失陷告警,并拦截终端的活动情况。
2.根据权利要求1所述的主机失陷检测方法,其特征在于,所述终端指纹信息包括终端IP地址、操作系统版本、账户名、上次设置密码时间。
3.根据权利要求1所述的主机失陷检测方法,其特征在于,所述对所述终端指纹信息库学习终端指纹的活动时间,以得到学习结果,包括:
通过agent插件基于所述终端指纹信息库采集终端指纹信息在学习时间内的活动时间范围,以得到学习结果。
4.根据权利要求1所述的主机失陷检测方法,其特征在于,所述对终端群组设置身份诱饵,包括:
对所述终端群组设置诱饵账户以及弱口令。
5.根据权利要求1所述的主机失陷检测方法,其特征在于,所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果,包括:
判断所述诱饵账户是否处于活跃状态;
若所述诱饵账户处于活跃状态,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种;
若所述诱饵账户不是处于活跃状态,则获取终端群组的指纹信息;
判断终端群组的指纹信息是否属于所述终端指纹信息库内的元素;
若终端群组的指纹信息不属于所述终端指纹信息库内的元素,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种;
若终端群组的指纹信息属于所述终端指纹信息库内的元素,则判断终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素是否一一匹配;
若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素不是一一匹配,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种;
若终端群组的指纹信息内的每个组成因素与终端指纹信息库内对应的指纹信息的组成因素一一匹配,则获取终端群组的指纹活跃时间;
判断所述指纹活跃时间与学习结果中对应的指纹的活动时间范围是否匹配;
若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围匹配,则确定所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种;
若所述指纹活跃时间与学习结果中对应的指纹的活动时间范围不匹配,则确定所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种。
6.根据权利要求5所述的主机失陷检测方法,其特征在于,所述监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果之后,还包括:
当所述监测结果不是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中任一种,放行终端的活动情况。
7.主机失陷检测装置,其特征在于,包括:
信息库生成单元,用于获取终端指纹信息,生成终端指纹信息库;
学习单元,用于对所述终端指纹信息库学习终端指纹的活动时间,以得到学习结果;
设置单元,用于对终端群组设置身份诱饵;
监测单元,用于监测所述终端群组的身份诱饵是否活跃、是否存在新增终端指纹、终端指纹组成因素是否与终端指纹信息库匹配、终端指纹活动时间是否与所述学习结果匹配,以得到监测结果;
告警单元,用于当所述监测结果是身份诱饵活跃、存在新增终端指纹、终端指纹组成因素与终端指纹信息库不匹配、终端指纹活动时间与所述学习结果不匹配中的至少一种,生成主机失陷告警,并拦截终端的活动情况。
8.根据权利要求7所述的主机失陷检测装置,其特征在于,所述学习单元,用于通过agent插件基于所述终端指纹信息库采集终端指纹信息在学习时间内的活动时间范围,以得到学习结果。
9.一种计算机设备,其特征在于,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的方法。
10.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311364917.5A CN117113340B (zh) | 2023-10-20 | 2023-10-20 | 主机失陷检测方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311364917.5A CN117113340B (zh) | 2023-10-20 | 2023-10-20 | 主机失陷检测方法、装置、计算机设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117113340A true CN117113340A (zh) | 2023-11-24 |
CN117113340B CN117113340B (zh) | 2024-01-23 |
Family
ID=88798637
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311364917.5A Active CN117113340B (zh) | 2023-10-20 | 2023-10-20 | 主机失陷检测方法、装置、计算机设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117113340B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2677792A1 (en) * | 2012-06-20 | 2013-12-25 | Thomson Licensing | Method and device for countering fingerprint forgery attacks in a communication system |
WO2020029407A1 (zh) * | 2018-08-08 | 2020-02-13 | 平安科技(深圳)有限公司 | 告警数据的管理方法、装置、计算机设备及存储介质 |
WO2021017614A1 (zh) * | 2019-07-31 | 2021-02-04 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、系统、装置及存储介质 |
CA3100468A1 (en) * | 2019-11-21 | 2021-05-21 | Royal Bank Of Canada | System and method for detecting phishing events |
CN113497786A (zh) * | 2020-03-20 | 2021-10-12 | 腾讯科技(深圳)有限公司 | 一种取证溯源方法、装置以及存储介质 |
CN113722646A (zh) * | 2021-09-07 | 2021-11-30 | 南京航空航天大学 | 一种面向多个浏览器扩展的多层级指纹识别方法 |
CN115695031A (zh) * | 2022-11-07 | 2023-02-03 | 北京安博通科技股份有限公司 | 主机失陷检测方法、装置及设备 |
CN116136901A (zh) * | 2023-04-19 | 2023-05-19 | 杭州美创科技股份有限公司 | 应用程序防假冒方法、装置、计算机设备及存储介质 |
CN116232767A (zh) * | 2023-05-06 | 2023-06-06 | 杭州美创科技股份有限公司 | DDoS防御方法、装置、计算机设备及存储介质 |
-
2023
- 2023-10-20 CN CN202311364917.5A patent/CN117113340B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2677792A1 (en) * | 2012-06-20 | 2013-12-25 | Thomson Licensing | Method and device for countering fingerprint forgery attacks in a communication system |
WO2020029407A1 (zh) * | 2018-08-08 | 2020-02-13 | 平安科技(深圳)有限公司 | 告警数据的管理方法、装置、计算机设备及存储介质 |
WO2021017614A1 (zh) * | 2019-07-31 | 2021-02-04 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、系统、装置及存储介质 |
CA3100468A1 (en) * | 2019-11-21 | 2021-05-21 | Royal Bank Of Canada | System and method for detecting phishing events |
CN113497786A (zh) * | 2020-03-20 | 2021-10-12 | 腾讯科技(深圳)有限公司 | 一种取证溯源方法、装置以及存储介质 |
CN113722646A (zh) * | 2021-09-07 | 2021-11-30 | 南京航空航天大学 | 一种面向多个浏览器扩展的多层级指纹识别方法 |
CN115695031A (zh) * | 2022-11-07 | 2023-02-03 | 北京安博通科技股份有限公司 | 主机失陷检测方法、装置及设备 |
CN116136901A (zh) * | 2023-04-19 | 2023-05-19 | 杭州美创科技股份有限公司 | 应用程序防假冒方法、装置、计算机设备及存储介质 |
CN116232767A (zh) * | 2023-05-06 | 2023-06-06 | 杭州美创科技股份有限公司 | DDoS防御方法、装置、计算机设备及存储介质 |
Non-Patent Citations (3)
Title |
---|
张涛;芦斌;李玎;何康;: "一种基于软件定义网络的主机指纹抗探测模型", 信息网络安全, no. 07 * |
张震;刘芬;: "欺骗网络体系的技术分析与模型探讨", 中国公共安全(学术版), no. 1 * |
王永杰, 鲜明, 王国玉, 肖顺平: "基于指纹分析的Web服务探测技术", 计算机工程, no. 17 * |
Also Published As
Publication number | Publication date |
---|---|
CN117113340B (zh) | 2024-01-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108989150B (zh) | 一种登录异常检测方法及装置 | |
Hofmeyr et al. | Intrusion detection using sequences of system calls | |
CN112184091B (zh) | 工控系统安全威胁评估方法、装置和系统 | |
US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
CN110602135B (zh) | 网络攻击处理方法、装置以及电子设备 | |
US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
CN111541647B (zh) | 安全检测方法、装置、存储介质及计算机设备 | |
CN112953917B (zh) | 一种网络攻击源识别方法、装置、计算机设备及存储介质 | |
CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
CN110868403A (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
CN114785567A (zh) | 一种流量识别方法、装置、设备及介质 | |
KR20070077517A (ko) | 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법 | |
CN117113340B (zh) | 主机失陷检测方法、装置、计算机设备及存储介质 | |
CN113660223B (zh) | 基于告警信息的网络安全数据处理方法、装置及系统 | |
CN114969744A (zh) | 进程拦截方法及系统、电子设备、存储介质 | |
CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
US11222113B1 (en) | Automatically generating malware definitions using word-level analysis | |
CN112784274A (zh) | 基于Linux平台的恶意样本检测收集方法及系统、存储介质、设备 | |
Ohtahara et al. | Anomaly-based Intrusion Detection System Sharing Normal Behavior Databases among Different Machines | |
EP4332804A2 (en) | System for automatically evaluating the quality of network traffic signatures | |
CN117708818A (zh) | 一种恶意软件的识别方法、装置、电子设备及存储介质 | |
CN116455679A (zh) | 异常数据库运维流量监控方法、装置及计算机设备 | |
WO2024058769A1 (en) | Organization segmentation for anomaly detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |