失陷设备识别方法、装置、电子设备及存储介质与流程

本发明涉及网络安全技术领域，尤其涉及一种失陷设备识别方法、装置、电子设备及存储介质。

背景技术：

apt(advancedpersistentthreat，高级持续性威胁)攻击是一种高级持续威胁性大的攻击方法，发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。apt攻击链模型共分为7个阶段：侦查、制作工具、投送、利用、安装、命令与控制、恶意活动。

目前，判定主机、服务器等设备是否失陷的判定方法大多都是由安全工程师进行人工判断，需要人力资源的同时对人力资源的专业性有较高要求，还会存在判定攻陷不及时造成严重损失的可能性。

此外，市场上还存在通过对设备的场景进行分析来识别失陷设备的方法，具体通过主机与其他内网主机的通讯量、主机上传到因特网数据量等条件去识别设备的异常情况。但是，识别规则需要随着系统部署场景的变化而变化，例如，企业系统环境中web访问量较多，而服务器环境设备会话量较多，因此，针对每一种新的系统场景都需要重新制定一套新的识别规则。

因此，现有的失陷设备识别方法很难同时适应所有的应用场景，兼容性较差，且识别效率和准确率都较低。

技术实现要素：

本发明实施例提供一种失陷设备识别方法、装置、电子设备及存储介质，以解决现有技术中的失陷设备识别方法兼容性较差，且识别效率和准确率都较低的问题。

第一方面，本发明一实施例提供了一种失陷设备识别方法，包括：

获取基于流量日志和安全日志生成的安全事件，安全事件为设备受到网络攻击的事件；

根据安全事件中的连接方向确定待检测设备，连接方向为数据传递方向；

根据待检测设备对应的安全事件中的攻击方向和攻击链阶段确定待检测设备是否为可疑失陷设备，攻击方向为标识安全事件对应的通信双方是否为攻击者或被攻击者的信息，攻击链阶段表示待检测设备受攻击的程度；

对可疑失陷设备进行失陷度评估，根据失陷度评估结果确定可疑失陷设备是否为失陷设备。

第二方面，本发明一实施例提供了一种失陷设备识别装置，包括：

事件获取模块，用于获取基于流量日志和安全日志生成的安全事件，安全事件为设备受到网络攻击的事件；

待检测设备确定模块，用于根据安全事件中的连接方向确定待检测设备，连接方向为数据传递方向；

可疑失陷设备确定模块，用于根据待检测设备对应的安全事件中的攻击方向和攻击链阶段确定待检测设备是否为可疑失陷设备，攻击方向为标识安全事件对应的通信双方是否为攻击者或被攻击者的信息，攻击链阶段表示待检测设备受攻击的程度；

失陷度评估模块，用于对可疑失陷设备进行失陷度评估；

失陷设备确定模块，用于根据失陷度评估结果确定可疑失陷设备是否为失陷设备。

第三方面，本发明一实施例提供了一种电子设备，包括收发机、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，收发机用于在处理器的控制下接收和发送数据，处理器执行程序时实现上述任一种方法的步骤。

第四方面，本发明一实施例提供了一种计算机可读存储介质，其上存储有计算机程序指令，该程序指令被处理器执行时实现上述任一种方法的步骤。

本发明实施例提供的技术方案，在生成的安全事件的基础上，根据安全事件的连接方向对设备进行识别，并根据资设备所对应的攻击链阶段以及攻击方向判定是否为可疑失陷设备，然后，根据可疑失陷设备的攻击链信息、行为基线信息、白名单配置情况等对可疑失陷设备进行失陷度评估，若可疑失陷设备的失陷度评分大于失陷度阀值，则判定为失陷设备。基于连接方向、攻击方向以及攻击链阶段能够更加准确地识别可疑失陷设备，再通过对可疑失陷设备的评估结果识别失陷设备，提高了失陷设备识别的准确率，同时无需考虑网络设备所处的场景，识别方法的通用性更好。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面所介绍的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一实施例提供的失陷设备识别方法的流程示意图；

图2为本发明一实施例提供的失陷设备识别装置的结构示意图；

图3为本发明一实施例提供的电子设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

为了方便理解，下面对本发明实施例中涉及的名词进行解释：

失陷设备，是指将被外部黑客攻破或者被内部的恶意人员用于恶意目的的网络设备。

主机，包括但不局限于为以下类型：服务器、移动终端、笔记本、网关。

botnet，僵尸网络，是指采用一种或多种传播手段，将大量主机感染bot程序(僵尸程序)，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

攻击链，记录了apt攻击的各个阶段，一个完整的攻击链共包含7个阶段：侦查、制作工具、投送、利用、安装、命令与控制、恶意活动。

附图中的任何元素数量均用于示例而非限制，以及任何命名都仅用于区分，而不具有任何限制含义。

在具体实践过程中，通常通过对网络设备的场景进行分析来自动识别失陷设备，具体通过主机与其他内网主机的通讯量、主机上传到因特网数据量等条件去识别设备的异常情况，但随着系统部署场景的变化相应的识别规则也要跟随着变化，普适性较差。

此外，本发明的发明人发现，攻击链代表的含义是源ip对目的ip的攻陷程度，而不同的安全事件中源ip和目的ip所代表的含义则是不同的。比如，暴力破解事件是由源ip对目的ip进行的攻击，显然在暴力破解事件中失陷设备是目的ip；但是botnet(僵尸网络)通信事件是由目的ip对源ip进行的攻击，而此时如果将源ip识别为失陷设备，则会引起失陷设备的误报。

为此，本发明的发明人考虑到，在生成的安全事件的基础上，根据安全事件的连接方向对设备进行识别，并根据资设备所对应的攻击链阶段以及攻击方向判定是否为可疑失陷设备，然后，根据可疑失陷设备的攻击链信息、行为基线信息、白名单配置情况等对可疑失陷设备进行失陷度评估，若可疑失陷设备的失陷度评分大于失陷度阀值，则判定为失陷设备。基于连接方向、攻击方向以及攻击链阶段能够更加准确地识别可疑失陷设备，再通过对可疑失陷设备的评估结果识别失陷设备，提高了失陷设备识别的准确率，同时无需考虑网络设备所处的场景，识别方法的通用性更好。

在介绍了本发明的基本原理之后，下面具体介绍本发明的各种非限制性实施方式。

参考图1，本发明实施例提供一种失陷设备识别方法，包括以下步骤：

s101、获取基于流量日志和安全日志生成的安全事件。

流量日志是指通过网络协议还原出的日志记录，通常包含会话日志、web访问日志、dns日志等。安全日志是指安全设备发送的相关检测日志。通过威胁情报信息、机器学习算法、检测算法等分析流量日志和安全日志，生成相应的告警信息，告警信息经过事件规则的归并形成相应的安全事件。上述安全事件的生成方法为本领域的公知常识，不再赘述。

安全事件中至少包含以下内容：源ip、目的ip、连接方向、攻击方向和攻击链阶段等字段信息。

源ip是数据包的发送方的ip地址，目的ip是数据包的接收方的ip地址。

连接方向即流量方向，包括内向外连接、外向内连接、内向内连接等方向。内向外连接是指内网设备向外网设备发送数据，此时内网设备的ip地址为源ip，外网设备的ip地址为目的ip。外向内连接是指外网设备向内网设备发送数据，此时外网设备的ip地址为源ip，内网设备的ip地址为目的ip。内向内连接是指内网设备之间发送数据，此时发送数据的内网设备的ip地址为源ip，接收数据的内网设备的ip地址为目的ip。

攻击方向包含4种方向信息，分别为：(1)源ip为被攻击者、目的ip为攻击者，(2)源ip为攻击者、目的ip为被攻击者，(3)源ip是攻击者、目的ip不是被攻击者，(4)源ip是被攻击者、目的ip不是攻击者。

攻击链阶段包括一至七个阶段，这一至七个阶段依次对应了侦查、制作工具、投送、利用、安装、命令与控制、恶意活动，阶段级数越高，代表安全事件的危险性越高。

s102、根据安全事件中的连接方向确定待检测设备。

只有内网的设备才是需要检测的设备。内网的设备是指公司、学校、政府等组织的内部网络中使用的网络设备，例如：服务器、个人计算机、网络转接设备(如网关)等。

因此，根据安全事件中的连接方向可以筛选出内网设备的ip地址作为待检测设备。具体实施过程中，步骤s102包括：判断安全事件中的连接方向，若安全事件中的连接方向为内向外连接，则将安全事件中的源ip对应的网络设备确定为待检测设备；若安全事件中的连接方向为外向内连接，则将安全事件中的目的ip对应的网络设备确定为待检测设备；若安全事件中的连接方向为内向内连接，则将安全事件中的源ip和目的ip分别对应的设备确定为待检测设备。

s103、根据待检测设备对应的安全事件中的攻击方向和攻击链阶段确定待检测设备是否为可疑失陷设备。

其中，与待检测设备对应的安全事件是指源ip或目的ip与待检测设备的ip地址相同的安全事件。

基于攻击链的七个阶段可知，当设备的攻击链阶段较低且该设备是被攻击者时，例如设备仅处在第一阶段(侦查阶段)时，说明该设备遭到恶意主机的攻击，但由于攻击链阶段较低，还处于攻击的渗透阶段，因此，该设备还没有失陷。但当设备受到攻击且攻击链较高时，则该设备就存在失陷的可能了。而当设备是攻击者时，例如ddos(distributeddenialofservice，分布式拒绝服务)攻击，说明设备的攻击链已经达到较高的阶段，例如达到第六阶段(命令与控制)或第七阶段(恶意活动)，开始攻击内网中的其他设备，此时设备存在很高的失陷风险，当然为了保证识别的准确率，还需要对设备作出进一步分析，以降低误判的可能性。

为此，步骤s103具体包括：s1031、根据待检测设备对应的安全事件中的攻击方向判断待检测设备是攻击者还是被攻击者；s1032、若待检测设备为攻击者，则将待检测设备确定为可疑失陷设备；s1033、若待检测设备为被攻击者，则根据待检测设备对应的安全事件中的攻击链阶段确定待检测设备受到的最高攻击阶段，若最高攻击阶段高于预设的高危阶段阈值，则将待检测设备确定为可疑失陷设备。

其中，高危阶段阈值可以根据内部网络的安全性需求和设备的重要程度自行设定，一般可以将高危阶段阈值设备为第五阶段，即当攻击链阶段达到第六阶段或第七阶段时，就认为设备处于高危阶段了。

进一步地，s1031具体包括：若待检测设备对应的安全事件中至少存在一个安全事件满足第一条件，则将待检测设备确定为攻击者，第一条件为安全事件中的源ip为待检测设备且攻击方向为源ip为攻击者；若待检测设备对应的安全事件中至少存在一个安全事件满足第二条件，则将待检测设备确定为攻击者，第二条件为安全事件中的目的ip为待检测设备且攻击方向为源ip为攻击者；若待检测设备对应的安全事件中至少存在一个安全事件满足第三条件且不存在满足第一条件和第二条件的安全事件，则将待检测设备确定为被攻击者，第三条件为安全事件中的源ip为待检测设备且攻击方向为源ip为被攻击者；若待检测设备对应的安全事件中至少存在一个安全事件满足第四条件且不存在满足第一条件和第二条件的安全事件，则将待检测设备确定为被攻击者，第四条件为安全事件中的目的ip为待检测设备且攻击方向为目的ip为被攻击者。

每一安全事件中都记录了源ip、目的ip、攻击方向和攻击链阶段，基于与待检测设备对应的安全事件中的源ip、目的ip和攻击方向，就可以判断待检测设备是攻击者还是被攻击者。若待检测设备是攻击者，则该待检测设备为可疑失陷设备，若待检测设备是被攻击者，则进一步基于攻击链阶段可以判断该待检测设备受攻击的程度，若攻击链阶段高于预设的高危阶段阈值，则该待检测设备为可疑失陷设备，否则表示该待检测设备还没有失陷。

例如，一安全事件中，源ip为内网设备a，目的ip为内网设备b，攻击方向为内网设备a为攻击者，内网设备b为被攻击者，则可以认定内网设备a为可疑失陷设备。又如，一安全事件中，源ip为内网设备a，目的ip为内网设备b，攻击方向为内网设备b为攻击者，则可以认定设备b为可疑失陷设备。又如，一安全事件中，源ip为外网主机c，目的ip为内网设备d，攻击方向为外网主机c为攻击者，攻击链阶段为二，则可认定内网设备d不是可疑失陷设备。又如，一安全事件中，源ip为外网主机c，目的ip为内网设备d，攻击方向为外网主机c为攻击者，攻击链阶段为七，则可认定内网设备d是可疑失陷设备。

本实施例中，联合安全事件中的攻击链阶段和攻击方向对内网设备的失陷情况进行分析，通过攻击方向对基于攻击链阶段判断失陷情况的方式作出矫正，有助于提高识别可疑失陷设备的准确性。

为了方便根据安全事件形成待检测设备的攻击链，并结合所有与待检测设备相关的安全事件对待检测设备作出是否是可疑失陷设备的判断，可以先按照安全事件中的源ip和目的ip将与待检测设备对应的安全事件聚合为两个集合，针对不同的集合采用不同的规则进行可以失陷设备的识别。例如，识别到设备a为待检测设备，则将源ip为设备a的安全事件聚合到集合m1中，另外，将目的ip为设备a的安全事件聚合到集合m2中。

为此，具体实施过程中，步骤s103的具体实施方式还可以是：将安全事件中的源ip为待检测设备的安全事件聚合到第一集合中，将安全事件中的目的ip为待检测设备的安全事件聚合到第二集合中；若第一集合中的至少一个安全事件中的攻击方向为源ip为攻击者，则将待检测设备确定为可疑失陷设备；若第一集合中的至少一安全事件中的攻击方向为源ip为被攻击者且攻击链阶段大于高危阶段阈值，则将待检测设备确定为可疑失陷设备；若第二集合中的至少一个安全事件中的攻击方向为目的ip为攻击者，则将待检测设备确定为可疑失陷设备，若第二集合中的至少一个安全事件中的攻击方向为目的ip为被攻击者且攻击链阶段高于大于高危阶段阈值，则将待检测设备确定为可疑失陷设备。

s104、对可疑失陷设备进行失陷度评估，根据失陷度评估结果确定可疑失陷设备是否为失陷设备。

失陷评估结果可以是对可疑失陷设备是否失陷作出的评分，评分越高则失陷的可能性越高，当失陷度评分超过预设的失陷度阀值时，则认定该可疑失陷设备为失陷设备。

虽然相比于现有技术，通过步骤s103能够较好的识别出失陷的设备，但是基于流量日志和安全日志生成的安全事件中的数据有可能是错误的，如果仅基于安全事件中的内容判断是否为失陷设备，容易导致误判。因此，通过步骤s104对可疑失陷设备作出更为综合细致地评估，能够大大提高识别失陷设备的准确性。

本实施例的失陷设备识别方法，根据安全事件的连接方向、攻击方向和攻击链阶段识别可疑失陷设备，再对可疑失陷设备作出进一步的失陷度评估，基于评估结果最终确定失陷设备，解决了现有技术中因设备识别误报所带来识别失陷设备的准确率不高的问题。此外，相比于基于场景的识别方式，本实施例通过攻击链模型识别失陷设备的方法更为通用。

本实施例提供了三种方式对可疑失陷设备进行失陷度评估。

第一种方式、根据可疑失陷设备的最高攻击链阶段和/或攻击链列表的完整度确定失陷评估结果。

最高攻击链阶段为可疑失陷设备对应的所有安全事件中的攻击链阶段的最高值。具体实施过程中，可疑失陷设备的最高攻击链阶段越高，则失陷度评分就越高。最高攻击链阶段与失陷度评分之间的对应关系可根据实际需求确定，在此不作限定。

攻击链列表记录了可疑失陷设备经历过的攻击链阶段，可根据与可疑失陷设备对应的安全事件生成攻击链列表。例如，源ip和目的ip为可疑失陷设备e的ip地址的安全事件包括事件1、事件2、事件3和事件4，事件1的攻击阶段为一、事件2的攻击阶段为三、事件3的攻击阶段为三、事件4的攻击阶段为四，则可疑失陷设备e的攻击链列表中包含的攻击阶段为一、三、四，该攻击链列表可记为{1,3,4}。攻击链列表不对攻击阶段发生的次数进行统计，仅记录是否发生过某一阶段的攻击。因为apt攻击是一个循序渐进的过程，通常是经过侦查、制作工具、投送、利用、安装、命令与控制、恶意活动这七个阶段攻陷设备的，也就是说，跳过前五个阶段直接到达第六个阶段的情况是不太可能发生的，此时，有可能是生成了错误的安全事件导致的，正常情况下，遭到apt攻击的设备的攻击链列表中的各个阶段应当是连续的，如{1,2,3,4,5,6}就是一个完整度高的攻击链，而{1,3,4,5,6}完整度就相对低一些，{2,7}的完整度就更低了。

具体实施过程中，可疑失陷设备的攻击链列表的完整度越高，则失陷度评分就越高。攻击链列表的完整度的评判规则以及攻击链列表的完整度与失陷度评分之间的对应关系可根据实际需求确定，在此不作限定。

当然，也可以设置一套综合最高攻击链阶段和攻击链列表的完整度的打分机制，对可疑失陷设备的失陷度进行打分，具体规则在此不作限定。

第二种方式、根据可疑失陷设备的流量日志和安全日志得到可疑失陷设备的行为基线信息，根据行为基线信息确定失陷评估结果。

流量日志包括会话日志、web访问日志以及dns解析日志等。会话日志中包括：会话的源目的端口、会话通信流量、持续时间等信息。web访问日志中包括返回码、通信方向、响应包长度、响应包内容等信息。dns解析日志中包括返回码、源端口、流量方向等信息。

安全日志中包括告警类型、是否情报命中、告警持续时间。

统计的是预设时间段内(例如24小时内)的可以失陷设备的行为基线信息。行为基线信息包括可疑失陷设备的安全事件列表的数量、告警日志列表的数量、流量日志列表的数量、安全事件列表的事件类型、告警信息的攻击类型、情报命中信息以及web访问日志、dns日志的返回码等信息。

例如，当可疑失陷设备的安全事件列表、告警日志列表以及流量日志列表的数量到达预设的警戒数量或达到一定的数量级时，可疑失陷设备就会获得较高的失陷度评分。

当安全事件列表的事件类型满足预设的类型时，表示可疑失陷设备遭受到了较为严重的攻击，需要相应地提高其失陷度评分。比如，传统的webshell事件生成的攻击链较高，处于命令控制攻击链阶段，应获得较高的失陷度评分，但是如果webshell返回码为404等类型，则攻击链为侦查，应获得较低的失陷度评分。可以将事件类型按攻击的严重程度划分为不同的等级，并为不同等级制定不同的评分规则。

当告警信息的攻击类型满足预设的类型时，表示可疑失陷设备遭受到了较为严重的攻击，需要相应地提高其失陷度评分。比如，木马事件中，安全设备产生的告警信息中如果包含了阻断字段，则生成事件的攻击链阶段较低，不会判定为设备为可疑失陷设备。可以将攻击类型按攻击的严重程度划分为不同的等级，并为不同等级制定不同的评分规则。

情报命中信息是指可疑失陷设备命中黑名单的情况，黑名单中记录了失陷过的内网设备的信息或恶意主机的信息，其中，失陷过的内网设备或恶意主机的信息可以是url(uniformresourcelocator，统一资源定位符)或ip地址。当可疑失陷设备命中黑名单时，就需要相应地提高其失陷度评分。当黑名单中的恶意主机对可疑失陷设备进行攻击，但攻击链阶段较低时，攻击链处于攻击渗透阶段，可疑失陷设备失陷度评分较低，若此时攻击链阶段较高时，可疑失陷设备失陷度评分较高。黑名单可以在使用过程中进行动态更新。

可疑失陷设备的web(worldwideweb，万维网)访问日志中存在可疑事件时，提高失陷度评分。例如，当web访问日志中存在返回码是404的事件时，表明该可疑失陷设备可能访问了非安全端口，此时提高失陷度评分。同样，可以根据dns(domainnamesystem，域名系统)日志的返回码判断可疑失陷设备是否进行了异常的网络访问，若存在异常访问则提高失陷度评分。

具体行为基线信息与失陷度评分之间的对应关系可根据实际需求确定，在此不作限定。

根据可疑失陷设备的行为基线信息，从与设备关联的事件、告警日志、流量日志等多个维度计算设备的失陷度，提高算法识别的准确性。

第三种方式、根据可疑失陷设备是否在白名单中确定失陷评估结果，白名单中包括安全性较高的设备。

白名单中一般是较为安全的内网设备或者发生过事件但经过确认为误报的内网设备，白名单中配置的设备在失陷度评估过程中会得到较低的失陷度评分。白名单可以在使用过程中进行动态更新。通过增加了可动态调整的白名单，使整个失陷设备识别方法更加开放和灵活。

具体实施过程中，可结合上述三种方式中的任意两种方式对可疑失陷设备进行失陷度评估，或结合上述三种方式对可疑失陷设备进行失陷度评估。例如，第三种方式可以作为前两种方式的补充，在通过第一和第二种方式得到可疑失陷设备的失陷度评分后，若可疑失陷设备记录在白名单中，则可通过乘上预设的系数来降低失陷度评分，若降低后的失陷度评分仍高于预设的失陷度阈值，则认定该可疑失陷设备为失陷设备。本实施例的失陷设备识别方法结合多个条件维度动态计算设备的失陷度，进一步提高失陷设备识别方法的准确性。

如图2所示，基于与上述失陷设备识别方法相同的发明构思，本发明实施例还提供了一种失陷设备识别装置20，包括：事件获取模块201、待检测设备确定模块202、可疑失陷设备确定模块203、失陷度评估模块204和失陷设备确定模块205。

事件获取模块201用于获取基于流量日志和安全日志生成的安全事件，安全事件为设备受到网络攻击的事件；

待检测设备确定模块202用于根据安全事件中的连接方向确定待检测设备，连接方向为数据传递方向；

可疑失陷设备确定模块203用于根据待检测设备对应的安全事件中的攻击方向和攻击链阶段确定待检测设备是否为可疑失陷设备，攻击方向为标识安全事件对应的通信双方是否为攻击者或被攻击者的信息，攻击链阶段表示待检测设备受攻击的程度；

失陷度评估模块204用于对可疑失陷设备进行失陷度评估；

失陷设备确定模块205用于根据失陷度评估结果确定可疑失陷设备是否为失陷设备。

可选地，待检测设备确定模块202具体用于：

若安全事件中的连接方向为内向外连接，则将安全事件中的源ip对应的设备确定为待检测设备；

若安全事件中的连接方向为外向内连接，则将安全事件中的目的ip对应的设备确定为待检测设备；

若安全事件中的连接方向为内向内连接，则将安全事件中的源ip和目的ip分别对应的设备确定为待检测设备。

可选地，可疑失陷设备确定模块203具体包括第一识别单元、第二识别单元和第三识别单元。

第一识别单元用于根据待检测设备对应的安全事件中的攻击方向判断待检测设备是攻击者还是被攻击者；

第二识别单元用于若待检测设备为攻击者，则将待检测设备确定为可疑失陷设备；

第三识别单元用于若待检测设备为被攻击者，则根据待检测设备对应的安全事件中的攻击链阶段确定待检测设备受到的最高攻击阶段，若最高攻击阶段高于预设的高危阶段阈值，则将待检测设备确定为可疑失陷设备。

可选地，第一识别单元具体用于：

若待检测设备对应的安全事件中至少存在一个安全事件满足第一条件，则将待检测设备确定为攻击者，第一条件为安全事件中的源ip为待检测设备且攻击方向为源ip为攻击者；

若待检测设备对应的安全事件中至少存在一个安全事件满足第二条件，则将待检测设备确定为攻击者，第二条件为安全事件中的目的ip为待检测设备且攻击方向为源ip为攻击者；

若待检测设备对应的安全事件中至少存在一个安全事件满足第三条件且不存在满足第一条件和第二条件的安全事件，则将待检测设备确定为被攻击者，第三条件为安全事件中的源ip为待检测设备且攻击方向为源ip为被攻击者；

若待检测设备对应的安全事件中至少存在一个安全事件满足第四条件且不存在满足第一条件和第二条件的安全事件，则将待检测设备确定为被攻击者，第四条件为安全事件中的目的ip为待检测设备且攻击方向为目的ip为被攻击者。

可选地，失陷度评估模块204具体包括以下至少一个单元：第一评估单元、第二评估单元和第三评估单元；

第一评估单元用于根据可疑失陷设备的最高攻击链阶段和/或攻击链列表的完整度确定失陷评估结果，最高攻击链阶段为可疑失陷设备对应的所有安全事件中的攻击链阶段的最高值，攻击链列表记录了可疑失陷设备经历过的攻击链阶段；

第二评估单元用于根据可疑失陷设备的流量日志和安全日志得到可疑失陷设备的行为基线信息，根据行为基线信息确定失陷评估结果；

第三评估单元用于根据可疑失陷设备是否在白名单中确定失陷评估结果，白名单中包括安全性较高的设备。

本发明实施例提的失陷设备识别装置与上述失陷设备识别方法采用了相同的发明构思，能够取得相同的有益效果，在此不再赘述。

基于与上述失陷设备识别方法相同的发明构思，本发明实施例还提供了一种电子设备，该电子设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(personaldigitalassistant，pda)、服务器等。如图3所示，该电子设备30可以包括处理器301、存储器302和收发机303。收发机303用于在处理器301的控制下接收和发送数据。

存储器302可以包括只读存储器(rom)和随机存取存储器(ram)，并向处理器提供存储器中存储的程序指令和数据。在本发明实施例中，存储器可以用于存储失陷设备识别方法的程序。

处理器301可以是cpu(中央处埋器)、asic(applicationspecificintegratedcircuit，专用集成电路)、fpga(field－programmablegatearray，现场可编程门阵列)或cpld(complexprogrammablelogicdevice，复杂可编程逻辑器件)处理器通过调用存储器存储的程序指令，按照获得的程序指令实现上述任一实施例中的失陷设备识别方法。

本发明实施例提供了一种计算机可读存储介质，用于储存为上述电子设备所用的计算机程序指令，其包含用于执行上述失陷设备识别方法的程序。

上述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(mo)等)、光学存储器(例如cd、dvd、bd、hvd等)、以及半导体存储器(例如rom、eprom、eeprom、非易失性存储器(nandflash)、固态硬盘(ssd))等。

以上所述，以上实施例仅用以对本申请的技术方案进行了详细介绍，但以上实施例的说明只是用于帮助理解本发明实施例的方法，不应理解为对本发明实施例的限制。本技术领域的技术人员可轻易想到的变化或替换，都应涵盖在本发明实施例的保护范围之内。