一种对主机进行木马检测的方法、装置及电子设备与流程

本发明涉及网络安全技术领域，特别涉及一种对主机进行木马检测的方法、装置及电子设备。

背景技术：

随着计算机和互联网技术的广泛应用，网络安全问题也逐渐凸显。木马是网络攻击者实施攻击的常用工具，攻击者通过木马获取目标主机的控制权限，不仅会恶意消耗连接到目标主机的用户设备的资源，还能够窃取用户账户、密码等重要信息。因此，对于木马的检测已经成为了网络安全领域研究的重点问题。

目前，对主机进行木马检测时，首先收集主机通过内网访问域名时产生的访问日志，也就是内网域名访问日志，日志中包含主机的源ip、访问的域名、域名访问的时间等信息；然后，对收集到的日志进行特征提取，将提取出的特征与病毒库里已知类型的木马的特征进行匹配；如果匹配成功，则表示主机被木马感染；匹配失败，则表示主机未被感染木马。

然而，由于木马不断更新，而病毒库中的木马均是已经被检测出来的，因而现有技术也只能检测病毒库中已知类型的木马，对于未知类型的木马很难进行检测。

技术实现要素：

本发明实施例的目的在于提供一种对主机进行木马检测的方法、装置及电子设备，以解决对未知类型木马进行检测的问题。具体技术方案如下：

第一方面，本发明实施例提供了一种对主机进行木马检测的方法，其特征在于，应用于与所述主机通信连接的服务器，所述方法包括：

获取待检测主机的内网域名访问日志；

从所述内网域名访问日志中获取待识别域名；

对各个待识别域名进行识别，获得所述内网域名访问日志中的常用域名和非常用域名；

从所述内网域名访问日志中，获取所述主机的域名访问情况数据；所述域名访问情况数据中包含访问所述常用域名和访问所述非常用域名的数据；

将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测所述主机是否感染木马；所述域名访问行为基线，为：所述主机在未感染木马的状态下的域名访问情况数据。

可选的，所述获取待检测主机的内网域名访问日志的步骤，包括：

获取待检测主机在当前检测周期中生成的内网域名访问日志；

所述从所述内网域名访问日志中，获取所述主机的域名访问情况数据的步骤，包括：

从所述待检测主机在当前检测周期中生成的内网域名访问日志中，获取所述主机在当前检测周期的域名访问情况数据；

所述域名访问行为基线，为：所述主机在上一个检测周期中，未感染木马的状态下的域名访问情况数据。

可选的，所述从所述内网域名访问日志中获取待识别域名的步骤，包括：

获取所述内网域名访问日志中包含的所有域名；

对所述所有域名中包含的内部系统的访问域名进行过滤，获得剩余域名，作为待识别域名。

可选的，所述对各个待识别域名进行识别，获得所述内网域名访问日志中的常用域名和非常用域名的步骤，包括：

从所述待识别域名中选取第一类常用域名；所述第一类常用域名，为：域名综合排名公开数据集中前预设数量个排名中的域名；

使用预先训练好的域名识别模型，对所述待识别域名中除所述第一类常用域名外的待识别域名进行识别，获得非常用域名和第二类常用域名；所述预先训练好的域名识别模型，为：预先以预设第一数量的常用域名和/或预设第二数量的非常用域名为样本，训练获得的二分类神经网络模型；

合并所述第一类常用域名与所述第二类常用域名，获得所述内网域名访问日志中的常用域名。

可选的，在所述将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测所述主机是否感染木马的步骤之后，还包括：

如果检测结果为主机未感染木马，则保存所述主机在当前检测周期的域名访问情况数据，作为下一检测周期的域名访问行为基线。

可选的，所述当前检测周期为1日；

所述从所述待检测主机在当前检测周期中生成的内网域名访问日志中，获取所述主机在当前检测周期的域名访问情况数据的步骤，包括：

从所述待检测主机在当日生成的内网域名访问日志中，获取所述主机在当日的域名访问情况数据；

所述主机在当日的域名访问情况数据，包括：内网域名访问日志中的域名访问量、访问不同域名的域名数目、当日新访问域名的数目、访问非常用域名的数目、非常用域名的访问量、访问常用域名的数目和常用域名的访问量。

可选的，所述将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测所述主机是否感染木马的步骤，包括：

计算所述域名访问行为基线和所述主机的域名访问情况数据之间的相似度及偏离度；

根据相似度和偏离度的计算结果，判断所述主机是否感染木马。

可选的，所述根据相似度和偏离度的计算结果，判断所述主机是否感染木马的步骤，包括：

如果所述相似度大于等于预设的第一阈值且所述偏离度小于等于预设的第二阈值，则所述主机被判断为没有感染木马；

如果所述相似度小于预设的第一阈值且所述偏离度大于预设的第二阈值，则所述主机被判断为感染木马。

可选的，所述相似度，采用如下公式计算得到：

所述偏离度，采用如下公式计算得到：

其中，n表示所述域名访问行为基线和所述域名访问情况数据的数据维度，xi为所述域名访问行为基线中的第i维数据，yi为所述域名访问情况数据中的第i维数据。

第二方面，本发明实施例提供了一种对主机进行木马检测的装置，其特征在于，应用于与所述主机通信连接的服务器，所述装置包括：

日志获取模块，用于获取待检测主机的内网域名访问日志；

域名获取模块，用于从所述内网域名访问日志中获取待识别域名；

域名识别模块，用于对各个待识别域名进行识别，获得所述内网域名访问日志中的常用域名和非常用域名；

数据获取模块，用于从所述内网域名访问日志中，获取所述主机的域名访问情况数据；所述域名访问情况数据中包含访问所述非常用域名和访问常用域名的数据；

木马检测模块，用于将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测所述主机是否感染木马；所述域名访问行为基线为：所述主机在未感染木马的状态下的域名访问情况数据。

可选的，所述日志获取模块，包括：

第一获取单元，用于获取待检测主机在当前检测周期中生成的内网域名访问日志；

所述数据获取模块，包括：

第二获取单元，用于从所述待检测主机在当前检测周期中生成的内网域名访问日志中，获取所述主机在当前检测周期的域名访问情况数据；

所述域名访问行为基线，为：所述主机在上一个检测周期中，未感染木马的状态下的域名访问情况数据。

可选的，所述域名获取模块，包括：

第三获取单元，用于获取所述内网域名访问日志中包含的所有域名；

过滤单元，用于对所述所有域名中包含的内部系统的访问域名进行过滤，获得剩余域名，作为待识别域名。

可选的，所述域名识别模块，包括：

选取单元，用于从所述待识别域名中选取第一类常用域名；所述第一类常用域名，为：域名综合排名公开数据集中前预设数量个排名中的域名；

识别单元，用于使用预先训练好的域名识别模型，对所述待识别域名中除所述第一类常用域名外的待识别域名进行识别，获得非常用域名和第二类常用域名；所述预先训练好的域名识别模型，为：预先以预设第一数量的常用域名和/或预设第二数量的非常用域名为样本，训练获得的二分类神经网络模型；

合并单元，用于合并所述第一类常用域名与所述第二类常用域名，获得所述内网域名访问日志中的常用域名。

可选的，所述装置还包括：

保存模块，用于所述木马检测模块执行将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测所述主机是否感染木马的步骤之后，如果检测结果为主机未感染木马，则保存所述主机在当前检测周期的域名访问情况数据，作为下一检测周期的域名访问行为基线。

可选的，所述当前检测周期为1日；

所述第二获取单元，包括：

数据获取子单元，用于从所述待检测主机在当日生成的内网域名访问日志中，获取所述主机在当日的域名访问情况数据；

所述主机在当日的域名访问情况数据，包括：内网域名访问日志中的域名访问量、访问不同域名的域名数目、当日新访问域名的数目、访问非常用域名的数目、非常用域名的访问量、访问常用域名的数目和常用域名的访问量。

可选的，所述木马检测模块，包括：

计算单元，用于计算所述域名访问行为基线和所述主机的域名访问情况数据之间的相似度及偏离度；

判断单元，用于根据相似度和偏离度的计算结果，判断所述主机是否感染木马。

可选的，所述判断单元，包括：

第一判断子单元，用于如果所述相似度大于等于预设的第一阈值且所述偏离度小于等于预设的第二阈值，则所述主机被判断为没有感染木马；

第二判断子单元，用于如果所述相似度小于预设的第一阈值且所述偏离度大于预设的第二阈值，则所述主机被判断为感染木马。

可选的，所述计算单元，包括：

相似度计算子单元，用于采用如下公式计算得到相似度：

偏离度计算子单元，用于采用如下公式计算得到偏离度：

其中，n表示所述域名访问行为基线和所述域名访问情况数据的数据维度，xi为所述域名访问行为基线中的第i维数据，yi为所述域名访问情况数据中的第i维数据。

第三方面，本发明实施例提供了一种电子设备，其特征在于，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现第一方面任一所述的方法步骤。

本发明实施例提供的一种对主机进行木马检测的方法、装置及电子设备，通过获取待检测主机的内网域名访问日志，从中获取待识别域名；然后，对各个待识别域名进行识别，获得内网域名访问日志中的常用域名和非常用域名，并从内网域名访问日志中，获取主机的域名访问情况数据；最后，将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测主机是否感染木马。由于域名访问情况数据是根据记录主机访问行为的访问日志动态获得的，将其与域名访问行为基线的比较结果作为检测依据，无需已知木马的特征，因而可以实现对未知类型木马的检测。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的对主机进行木马检测的方法的一种流程示意图；

图2为本发明实施例提供的对主机进行木马检测的方法的另一种流程示意图；

图3为本发明实施例提供的一种对主机进行木马检测的装置的结构示意图；

图4为本发明实施例提供的一种电子设备示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

为了实现对未知类型木马的检测，本发明实施例提供了一种对主机进行木马检测的方法、装置及电子设备。首先，获取待检测主机的内网域名访问日志，从中获取待识别域名；然后，对各个待识别域名进行识别，获得内网域名访问日志中的常用域名和非常用域名，并从内网域名访问日志中，获取主机的域名访问情况数据；最后，将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测主机是否感染木马。由于域名访问情况数据是根据记录主机访问行为的访问日志动态获得的，将其与域名访问行为基线的比较结果作为检测依据，无需已知木马的特征，因而可以实现对未知类型木马的检测。

作为本发明实施例的一种实施方式，本发明实施例提供的一种对主机进行木马检测的方法，应用于与所述主机通信连接的服务器。由于控制机在利用木马对主机实施攻击之后，主机如果被木马感染，就会通过访问恶意域名的方式与控制机建立通信连接，这样控制机才能够对被感染的主机进行控制，而恶意域名通常是一些非常用域名。因此，进行木马检测时，只需将主机访问非常用域名和访问常用域名的数据与预先创建的域名访问行为基线加以比较，根据比较结果就能够判断待检测主机是否感染木马。

具体的，如图1所示，该方法包括：

s101，获取待检测主机的内网域名访问日志。

本步骤中，获取的内网域名访问日志中包含待检测主机访问的域名、访问域名的时间以及源ip地址等日志信息。

s102，从内网域名访问日志中获取待识别域名。

可选的，由于内部系统的访问域名并非来源不明的非常用域名，因此可以将内网域名访问日志中包含的内部系统的访问域名先加以过滤，这部分域名无需再进行识别。

s103，对各个待识别域名进行识别，获得内网域名访问日志中的常用域名和非常用域名。

本实施例中，对各个待识别域名进行识别的步骤，包括：选取待识别域名中的第一类常用域名、利用域名识别模型识别第二类常用域名及非常用域名。可选的，第一类常用域名为域名综合排名公开数据集中前预设数量个排名中的域名。

s104，从内网域名访问日志中，获取主机的域名访问情况数据；域名访问情况数据中包含访问常用域名和访问非常用域名的数据。

具体的，获得内网域名访问日志中的常用域名和非常用域名后，可以采用统计方法获得主机的域名访问情况数据。

s105，将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测主机是否感染木马；域名访问行为基线为：主机在未感染木马的状态下的域名访问情况数据。

具体的，域名访问行为基线为：待检测主机在上一个检测周期中，未感染木马的状态下的域名访问情况数据。通过比较域名访问行为基线与主机的域名访问情况数据，可以判断出待检测主机是否存在异常的访问行为，进而得到检测结果。

本发明实施例提供的一种对主机进行木马检测的方法，通过获取待检测主机的内网域名访问日志，从中获取待识别域名；然后，对各个待识别域名进行识别，获得内网域名访问日志中的常用域名和非常用域名，并从内网域名访问日志中，获取主机的域名访问情况数据；最后，将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测主机是否感染木马。由于域名访问情况数据是根据记录主机访问行为的访问日志动态获得的，将其与域名访问行为基线的比较结果作为检测依据，无需已知木马的特征，因而可以实现对未知类型木马的检测。

作为本发明实施例的一种实施方式，本发明实施例提供的另一种对主机进行木马检测的方法，应用于与所述主机通信连接的服务器。

具体的，如图2所示，该方法包括：

s201，获取待检测主机在当前检测周期中生成的内网域名访问日志。

可选的，当前检测周期可以根据具体的检测需要而设置。例如，当前检测周期可以设置为一日、一周等。

s202，获取内网域名访问日志中包含的所有域名并进行域名过滤，获得待识别域名。

本实施例中，首先获取内网域名访问日志中包含的所有域名，然后对所有域名中包含的内部系统的访问域名进行过滤，并将获得的剩余域名作为待识别域名。

s203，从待识别域名中选取第一类常用域名。

具体的，获得待识别域名之后，从待识别域名中选取出第一类常用域名。本实施例中，可以将域名综合排名公开数据集中排名在前一万的域名，作为第一类常用域名。

s204，使用预先训练好的域名识别模型，对待识别域名中除第一类常用域名外的待识别域名进行识别。

s205，获得内网域名访问日志中的常用域名和非常用域名。

具体的，使用预先训练好的域名识别模型，对待识别域名中除第一类常用域名外的待识别域名进行识别，获得非常用域名和第二类常用域名；然后，将第一类常用域名与第二类常用域名合并，即得到内网域名访问日志中的常用域名。其中，预先训练好的域名识别模型，为：预先以预设第一数量的常用域名和/或预设第二数量的非常用域名为样本，训练获得的二分类神经网络模型。将待识别域名输入该域名识别模型后，如果模型的输出为1，则表示该待识别域名是非常用域名；如果域名识别模型的输出为0，则表示该待识别域名是第二类常用域名。

通常来讲，由于内网域名访问日志的数据量高达1w/qps(querypersecond，每秒查询率)，为了减少域名识别模型的数据处理量，本发明实施例中先对内部系统的访问域名进行了过滤，该类域名约占域名总量的50％；然后，再将剩余域名作为待识别域名，并选取出待识别域名中的第一类常用域名，该类域名约占域名总量的30％。这样，只需对待识别域名中除第一类常用域名外的待识别域名进行识别，域名数量减少约80％，提高了数据处理的效率。

当然，在本发明的其他实施例中，也可以将内网域名访问日志中的所有域名均作为待识别域名，直接利用域名识别模型识别出常用域名和非常用域名。

s206，从内网域名访问日志中，获取主机的域名访问情况数据。

具体的，从待检测主机在当前检测周期中生成的内网域名访问日志中，获取主机在当前检测周期的域名访问情况数据。其中，当前检测周期可以为1日，那么主机在当日的域名访问情况数据，包括：内网域名访问日志中的域名访问量、访问不同域名的域名数目、当日新访问域名的数目、访问非常用域名的数目、非常用域名的访问量、访问常用域名的数目和常用域名的访问量。

s207，计算域名访问行为基线和主机的域名访问情况数据之间的相似度及偏离度。

可选的，采用如下公式计算域名访问行为基线与主机的域名访问情况数据之间的相似度：

其中，n表示域名访问行为基线和域名访问情况数据的数据维度，xi为域名访问行为基线中的第i维数据，yi为域名访问情况数据中的第i维数据。

可选的，采用如下公式计算域名访问行为基线与主机的域名访问情况数据之间的偏离度：

其中，n表示域名访问行为基线和域名访问情况数据的数据维度，xi为域名访问行为基线中的第i维数据，yi为域名访问情况数据中的第i维数据。例如，当域名访问情况数据包括：内网域名访问日志中的域名访问量、访问不同域名的域名数目、当日新访问域名的数目、访问非常用域名的数目、非常用域名的访问量、访问常用域名的数目和常用域名的访问量时，数据维度n＝7，y1、y2…y7分别表示内网域名访问日志中的域名访问量、访问不同域名的域名数目、……、访问常用域名的数目和常用域名的访问量。

s208，根据相似度和偏离度的计算结果，判断主机是否感染木马。

具体的，如果相似度大于等于预设的第一阈值且偏离度小于等于预设的第二阈值，则待检测主机被判断为没有感染木马；如果相似度小于预设的第一阈值且偏离度大于预设的第二阈值，则待检测主机被判断为感染木马。例如，预设的第一阈值为0.7，预设的第二阈值为0.3，若计算出的相似度为0.8、偏离度为0.2，那么，显然满足相似度大于等于预设的第一阈值且偏离度小于等于预设的第二阈值的条件，因此待检测主机未感染木马。

可选的，如果检测结果为主机未感染木马，那么可以保存待检测主机在当前检测周期的域名访问情况数据，作为下一检测周期的域名访问行为基线。

本发明实施例提供的一种对主机进行木马检测的方法，通过获取待检测主机的内网域名访问日志，从中获取待识别域名；然后，对各个待识别域名进行识别，获得内网域名访问日志中的常用域名和非常用域名，并从内网域名访问日志中，获取主机的域名访问情况数据；最后，将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测主机是否感染木马。由于域名访问情况数据是根据记录主机访问行为的访问日志动态获得的，将其与域名访问行为基线的比较结果作为检测依据，无需已知木马的特征，因而可以实现对未知类型木马的检测。

作为本发明实施例的一种实施方式，如图3所示，本发明实施例提供的一种对主机进行木马检测的装置，应用于与所述主机通信连接的服务器，所述装置包括：

日志获取模块310，用于获取待检测主机的内网域名访问日志；

域名获取模块320，用于从内网域名访问日志中获取待识别域名；

域名识别模块330，用于对各个待识别域名进行识别，获得内网域名访问日志中的常用域名和非常用域名；

数据获取模块340，用于从内网域名访问日志中，获取主机的域名访问情况数据；域名访问情况数据中包含访问非常用域名和访问常用域名的数据；

木马检测模块350，用于将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测主机是否感染木马；域名访问行为基线为：主机在未感染木马的状态下的域名访问情况数据。

本发明实施例提供的一种对主机进行木马检测的装置，通过获取待检测主机的内网域名访问日志，从中获取待识别域名；然后，对各个待识别域名进行识别，获得内网域名访问日志中的常用域名和非常用域名，并从内网域名访问日志中，获取主机的域名访问情况数据；最后，将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测主机是否感染木马。由于域名访问情况数据是根据记录主机访问行为的访问日志动态获得的，将其与域名访问行为基线的比较结果作为检测依据，无需已知木马的特征，因而可以实现对未知类型木马的检测。

作为本发明实施例的一种实施方式，所述日志获取模块310，可以包括：

第一获取单元，用于获取待检测主机在当前检测周期中生成的内网域名访问日志；

所述数据获取模块340，可以包括：

第二获取单元，用于从所述待检测主机在当前检测周期中生成的内网域名访问日志中，获取所述主机在当前检测周期的域名访问情况数据；

所述域名访问行为基线为：所述主机在上一个检测周期中，未感染木马的状态下的域名访问情况数据。

作为本发明实施例的一种实施方式，所述域名获取模块320，可以包括：

第三获取单元，用于获取所述内网域名访问日志中包含的所有域名；

过滤单元，用于对所述所有域名中包含的内部系统的访问域名进行过滤，获得剩余域名，作为待识别域名。

作为本发明实施例的一种实施方式，所述域名识别模块330，可以包括：

选取单元，用于从所述待识别域名中选取第一类常用域名；所述第一类常用域名，为：域名综合排名公开数据集中前预设数量个排名中的域名；

识别单元，用于使用预先训练好的域名识别模型，对所述待识别域名中除所述第一类常用域名外的待识别域名进行识别，获得非常用域名和第二类常用域名；所述预先训练好的域名识别模型，为：预先以预设第一数量的常用域名和/或预设第二数量的非常用域名为样本，训练获得的二分类神经网络模型；

合并单元，用于合并所述第一类常用域名与所述第二类常用域名，获得所述内网域名访问日志中的常用域名。

作为本发明实施例的一种实施方式，所述装置还包括：

保存模块，用于所述木马检测模块执行将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测所述主机是否感染木马的步骤之后，如果检测结果为主机未感染木马，则保存所述主机在当前检测周期的域名访问情况数据，作为下一检测周期的域名访问行为基线。

作为本发明实施例的一种实施方式，所述当前检测周期为1日；

所述第二获取单元，包括：

数据获取子单元，用于从所述待检测主机在当日生成的内网域名访问日志中，获取所述主机在当日的域名访问情况数据；

所述主机在当日的域名访问情况数据，包括：内网域名访问日志中的域名访问量、访问不同域名的域名数目、当日新访问域名的数目、访问非常用域名的数目、非常用域名的访问量、访问常用域名的数目和常用域名的访问量。

作为本发明实施例的一种实施方式，所述木马检测模块350，包括：

计算单元，用于计算所述域名访问行为基线和所述主机的域名访问情况数据之间的相似度及偏离度；

判断单元，用于根据相似度和偏离度的计算结果，判断所述主机是否感染木马。

作为本发明实施例的一种实施方式，所述判断单元，包括：

第一判断子单元，用于如果所述相似度大于等于预设的第一阈值且所述偏离度小于等于预设的第二阈值，则所述主机被判断为没有感染木马；

第二判断子单元，用于如果所述相似度小于预设的第一阈值且所述偏离度大于预设的第二阈值，则所述主机被判断为感染木马。

作为本发明实施例的一种实施方式，所述计算单元，包括：

相似度计算子单元，用于采用如下公式计算得到相似度：

偏离度计算子单元，用于采用如下公式计算得到偏离度：

其中，n表示所述域名访问行为基线和所述域名访问情况数据的数据维度，xi为所述域名访问行为基线中的第i维数据，yi为所述域名访问情况数据中的第i维数据。

本发明实施例提供的一种对主机进行木马检测的装置，首先，获取待检测主机的内网域名访问日志，从中获取待识别域名；然后，对各个待识别域名进行识别，获得内网域名访问日志中的常用域名和非常用域名，并从内网域名访问日志中，获取主机的域名访问情况数据；最后，将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测主机是否感染木马。由于域名访问情况数据是根据记录主机访问行为的访问日志动态获得的，将其与域名访问行为基线的比较结果作为检测依据，无需已知木马的特征，因而可以实现对未知类型木马的检测。

本发明实施例还提供了一种电子设备，如图4所示，包括处理器401、通信接口402、存储器403和通信总线404，其中，处理器401，通信接口402，存储器403通过通信总线404完成相互间的通信，

存储器403，用于存放计算机程序；

处理器401，用于执行存储器403上所存放的程序时，实现如下步骤：

获取待检测主机的内网域名访问日志；

从内网域名访问日志中获取待识别域名；

对各个待识别域名进行识别，获得内网域名访问日志中的常用域名和非常用域名；

从内网域名访问日志中，获取主机的域名访问情况数据；域名访问情况数据中包含访问所述常用域名和访问所述非常用域名的数据；

将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测主机是否感染木马；域名访问行为基线为：主机在未感染木马的状态下的域名访问情况数据。

上述电子设备提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect，pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(randomaccessmemory，ram)，也可以包括非易失性存储器(non-volatilememory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(centralprocessingunit，cpu)、网络处理器(networkprocessor，np)等；还可以是数字信号处理器(digitalsignalprocessing，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。