一种失陷主机的检测方法、装置、电子设备及存储介质与流程

1.本技术涉及网络安全技术领域，具体而言，涉及一种失陷主机的检测方法、装置、电子设备和计算机可读存储介质。


背景技术：

2.当前网络攻击越来越多，安全设备大量被部署到网络中用于保护主机资产，即使在网络设备的保护下，一些资产被攻击后存在被攻陷的风险，所以需要一种手段能够检测出失陷主机并自动对失陷资产进行安全防护。现有的技术手段的判断条件比较单一，准确率较低。


技术实现要素：

3.本技术实施例的目的在于提供一种失陷主机的检测方法、装置、电子设备和计算机可读存储介质。根据待检测主机的多个网络行为获取待检测主机的安全系数，实现多维度的判断，提高对失陷主机的检测准确率。
4.第一方面，本技术实施例提供了一种失陷主机的检测方法，所述方法包括：
5.获取待检测主机多个网络行为；
6.根据所述多个网络行为获取所述待检测主机的安全系数；
7.根据所述安全系数确定所述待检测主机是否为失陷主机。
8.在上述实现过程中，本技术实施例获取的是待检测主机的多个网络行为，通过多个网络行为来获取待检测主机的安全系数，使得安全系数更能够反映出当前待检测主机的网络安全状态，进一步地，根据安全系数确定该待检测主机是否为失陷主机，能够提高对失陷主机的检测准确率。
9.进一步地，所述根据所述多个网络行为获取所述待检测主机的安全系数的步骤，包括：
10.获取所述多个网络行为对应的异常操作状态的数量；
11.根据所述异常操作状态的数量获取所述待检测主机的安全系数。
12.在上述实现过程中，异常操作状态能够衡量当前待检测主机的网络状态，因此，根据异常操作状态的数量能够直接、快速地获取待检测主机的安全系数。
13.进一步地，所述根据所述异常操作状态的数量获取所述待检测主机的安全系数的步骤，包括：
14.获取所述异常操作状态的权重；
15.根据所述异常操作状态的权重、所述异常操作状态的数量获取所述待检测主机的安全系数。
16.在上述实现过程中，有的异常操作状态可能是待检测主机在日常的工作中随机会触发的，对待检测主机以及同网段的主机的威胁较小，有的异常操作状态可能是主机被病毒入侵之后做出的动作，对待检测主机以及同网段的主机威胁较大，因此，不同的异常操作
状态的权重有所不同，根据异常操作状态的权重，异常操作状态的数量和多个网络行为的数量获得的待检测主机的安全系数更能反映当前待检测主机的安全状态。
17.进一步地，所述根据所述安全系数，判断所述待检测主机是否为失陷主机的步骤，包括：
18.判断所述安全系数是否大于预设阈值；
19.若是，判定所述待检测主机为失陷主机；
20.若否，判定所述待检测主机为非失陷主机。
21.在上述实现过程中，通过将待检测主机的安全系数和预设的阈值进行比较，能够节省大量的计算时间，进而能够快速地判断待检测的主机是否为失陷主机。
22.进一步地，所述网络行为包括：网络探测其他主机，端口探测其他主机、发起分布式拒绝服务攻击、域名访问行为、数据存储行为中的任意一种或多种。
23.在上述实现过程中，网络探测其他主机的目的是为了判断当前待检测主机与其他主机之间是否可达，其他主机是否是同网段的主机，该行为通常都是用户手动发起的，且操作频率较低，并且，当主机被病毒入侵时，该网络行为会出现异常状态，因此，将该网络行为作为安全系数的影响因素；用户通常不会主动端口探测其他主机，因此，将该网络行为作为安全系数的影响因素；如果待检测主机发起分布式拒绝服务攻击，说明该主机存在主动攻击行为，待检测有可能被病毒入侵，因此，将该网络行为作为安全系数的影响因素；如果待检测主机被病毒入侵，那么待检测主机会被控制地访问恶意域名，因此，将该网络行为作为安全系数的影响因素；如果待检测主机被病毒入侵，那么待检测主机的数据存储行为会发生改变，因此，将该网络行为作为安全系数的影响因素。
24.进一步地，所述异常操作状态包括：
25.网络探测和所述待检测主机同网段的其他主机、端口探测与所述待检测主机同网段的其他主机、访问恶意域名、向外网的主机发起分布式拒绝服务攻击、数据泄露中的任意一种或多种。
26.上述实现过程中，如果病毒入侵了待检测主机，那么上述多个网络行为会上述异常操作状态，因此，将上述异常操作状态作为安全系数的考虑因素，安全系数能够更好地反映待检测主机的网络状态。
27.进一步地，在所述判定所述待检测主机为失陷主机的步骤之后，还包括：
28.通知所述待检测主机的安全组件进行安全防御。
29.在上述实现过程中，当检测到主机为失陷主机时，通知待检测主机的安全组件，能够快速地保护待检测主机的安全。
30.第二方面，本技术实施例提供一种失陷主机的检测装置，该装置包括：
31.网络行为获取模块，用于获取待检测主机多个网络行为；
32.安全系数获取模块，用于根据所述多个网络行为获取所述待检测主机的安全系数；
33.判定模块，用于根据所述安全系数，判断所述待检测主机是否为失陷主机。
34.在上述实现过程中，本技术实施例获取的是待检测主机的多个网络行为，通过多个网络行为来获取待检测主机的安全系数，使得安全系数更能够反映出当前待检测主机的网络安全状态，进一步地，根据安全系数判断该待检测主机是否为失陷主机，能够提高对失
陷主机的检测准确率。
35.第三方面，本技术实施例提供的一种电子设备，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
36.第四方面，本技术实施例提供的一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行如第一方面任一项所述的方法。
37.本技术公开的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本技术公开的上述技术即可得知。
38.为使本技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
39.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
40.图1为本技术实施例提供的失陷主机的检测方法的流程示意图；
41.图2为本技术实施例提供的获取待检测主机的安全系数的过程示意图；
42.图3为本技术实施例提供的确定待检测主机是否为失陷主机的过程示意图；
43.图4为本技术实施例提供的失陷主机的检测装置的结构组成示意图；
44.图5为本技术实施例提供的电子设备的结构组成示意图。
具体实施方式
45.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
46.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
47.实施例1
48.参见图1，本技术实施例提供一种失陷主机的检测方法，包括：
49.s1：获取待检测主机多个网络行为；
50.s2：根据多个网络行为获取待检测主机的安全系数；
51.s3：根据安全系数确定待检测主机是否为失陷主机。
52.相比于现有技术，本技术实施例获取的是待检测主机的多个网络行为，通过多个网络行为来获取待检测主机的安全系数，使得安全系数更能够反映出当前待检测主机的网络安全状态，进一步地，根据安全系数判断该待检测主机是否为失陷主机，能够提高对失陷主机的检测准确率。
53.参见图2，在一种可能的实施方式中，s2包括以下子步骤：
54.s21：获取多个网络行为对应的异常操作状态的数量；
55.s22：根据异常操作状态的数量获取待检测主机的安全系数。
56.在上述实现过程中，异常操作状态能够衡量当前待检测主机的网络状态，因此，根据异常操作状态的数量能够直接、快速地获取待检测主机的安全系数。
57.参见图3，在一种可能的实施方式中，s3包括以下子步骤：
58.s31：判断安全系数是否大于预设阈值；若是，执行s32；若否，执行s33；
59.s32：判定待检测主机为失陷主机；
60.s33：判定待检测主机为非失陷主机。
61.网络行为包括：网络探测其他主机，端口探测其他主机、发起分布式拒绝服务攻击、域名访问行为、数据存储行为中的任意一种或多种。
62.上述实施例中，网络探测指的是利用ping等网络工具对其他主机进行连接探测。
63.在上述实现过程中，网络探测其他主机的目的是为了判断当前待检测主机与其他主机之间是否可达，其他主机是否是同网段的主机，该行为通常都是用户手动发起的，且操作频率较低，并且，当主机被病毒入侵时，该网络行为会出现异常状态，因此，将该网络行为作为安全系数的影响因素；用户通常不会主动端口探测其他主机，因此，将该网络行为作为安全系数的影响因素；如果待检测主机发起分布式拒绝服务攻击，说明该主机存在主动攻击行为，待检测有可能被病毒入侵，因此，将该网络行为作为安全系数的影响因素；如果待检测主机被病毒入侵，那么待检测主机会被控制地访问恶意域名，因此，将该网络行为作为安全系数的影响因素；如果待检测主机被病毒入侵，那么待检测主机的数据存储行为会发生改变，因此，将该网络行为作为安全系数的影响因素。异常操作状态包括：
64.网络探测和待检测主机同网段的其他主机、端口探测与待检测主机同网段的其他主机、访问恶意域名、向外网的主机发起分布式拒绝服务攻击(distirbuted denial of service，ddos)、数据泄露中的任意一种或多种。
65.上述实现过程中，如果病毒入侵了待检测主机，那么上述多个网络行为会上述异常操作状态，因此，将上述异常操作状态作为安全系数的考虑因素，安全系数能够更好地反映待检测主机的网络状态。
66.在判定待检测主机为失陷主机的步骤之后，还包括：
67.通知所述待检测主机的安全组件进行安全防御。
68.在上述实现过程中，当检测到主机为失陷主机时，通知待检测主机的安全组件，能够快速地保护待检测主机的安全。
69.上述实现过程中，如果病毒入侵了待检测主机，那么上述多个网络行为会上述异常操作状态，因此，将上述异常操作状态作为安全系数的考虑因素，安全系数能够更好地反映待检测主机的网络状态。
70.上述实施例中，对待检测主机行为进行监控，监控待检测主机是否存在探测同网段ip和端口的行为，探测ip行为是指从主机网络探测同网段其他主机，端口探测行为是指待检测主机依次对同网段主机的全部端口依次建立传输控制协议(transmission control protocol，tcp)连接，确认其他主机端口是否开放，如果存在上述行为则判定为该主机存在横向移动。如果待检测主机发送的报文源ip不变，源端口从1024-65536之间变化并且目的ip和目的端口为同一网际互连协议(internet protocol，ip)和端口。则进行下一步攻击类型识别，如果攻击类型识别为tcpflood，udpflood，icmpflood则判定为该主机存在ddos对
外攻击行为。对待检测主机dns行为进行监控，通过域名生成算法(domain generation algorithm，dga)识别模型及随机性字符串组合分析，如果域名系统(domain name system，dns)请求解析的域名为恶意域名或dns解析所得ip为恶意ip，那么判定待检测主机访问恶意域名。
71.如果存在上述行为则判定为该主机存在访问恶意域名行为。数据泄漏行为是指主机向外网方向传输规则允许范围以外文件或数据。
72.进一步地，本技术提供一种利用异常操作状态的数量计算安全系数的公式：
73.s＝n；
74.上述实施例中，s为安全系数，n为异常操作状态的数量。
75.针对该公式，预设阈值可以取2。
76.进一步地，本技术实施例提供另外一种安全系数的计算公式；
77.s＝a+b+c+d；
78.其中，a、b、c、d为异常状态对应的权重值。
79.示例性，网络探测和待检测主机同网段的其他主机的权重值端口探测与待检测主机同网段的其他主机权重值设置为0.2，向外网的主机发起分布式拒绝服务攻击权重值设置为0.3，访问恶意域名设置的权重值设置为0.3。数据泄露的权重值设置为0.2。
80.针对该公式，预设阈值设置为0.5。
81.在一种可能的实施方式中，在s31之后，还包括：
82.通知待检测主机的安全组件进行安全防御。
83.在上述实现过程中，当检测到主机为失陷主机时，通知待检测主机的安全组件，能够快速地保护待检测主机的安全。
84.实施例2
85.参见图4，本技术实施例提供一种失陷主机的检测装置，包括：
86.网络行为获取模块1，用于获取待检测主机多个网络行为；
87.安全系数获取模块2，用于根据多个网络行为获取待检测主机的安全系数；
88.判定模块3，用于根据安全系数确定主机是否为失陷主机。
89.在上述实现过程中，相比于现有技术，本技术获取的是待检测主机的多个网络行为，通过多个网络行为来获取待检测主机的安全系数，使得安全系数更能够反映出当前待检测主机的网络安全状态，进一步地，根据安全系数判断该待检测主机是否为失陷主机，能够提高对失陷主机的检测准确率。
90.在一种可能的实施方式中，安全系数获取模块2还用于获取多个网络行为对应的异常操作状态的数量；
91.根据异常操作状态的数量获取待检测主机的安全系数。
92.在一种可能的实施方式中，安全系数获取模块2还用于获取异常操作状态的权重；根据异常操作状态的权重、异常操作状态的数量获取待检测主机的安全系数。
93.在一种可能的实施方式中，判定模块3还用于判断安全系数是否大于预设阈值；若是，判定待检测主机为失陷主机；若否，判定待检测主机为非失陷主机。
94.网络行为包括：网络探测其他主机，端口探测其他主机、发起分布式拒绝服务攻击、域名访问行为、数据存储行为。异常操作状态包括：网络探测和待检测主机同网段的其
他主机、端口探测与待检测主机同网段的其他主机、向外网的主机发起分布式拒绝服务攻击、访问恶意域名、数据泄露。
95.在一种可能的实施方式中，装置还包括：通知模块，通知模块用于通知待检测主机的安全组件进行安全防御。
96.实施例3
97.如图5所示，本技术实施例还提供一种电子设备，该电子设备可以包括处理器51、通信接口52、存储器53和至少一个通信总线54。其中，通信总线54用于实现这些组件直接的连接通信。其中，本技术实施例中设备的通信接口52用于与其他节点设备进行信令或数据的通信。处理器51可以是一种集成电路芯片，具有信号的处理能力。
98.上述的处理器51可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(dsp)、专用集成电路(asic)、现成可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器51也可以是任何常规的处理器等。
99.存储器53可以是，但不限于，随机存取存储器(random access memory，ram)，只读存储器(read only memory，rom)，可编程只读存储器(programmable read-only memory，prom)，可擦除只读存储器(erasable programmable read-only memory，eprom)，电可擦除只读存储器(electric erasable programmable read-only memory，eeprom)等。存储器53中存储有计算机可读取指令，当计算机可读取指令由处理器51执行时，设备可以执行上述图1-图3方法实施例涉及的各个步骤。
100.可选地，电子设备还可以包括存储控制器、输入输出单元。存储器53、存储控制器、处理器51、外设接口、输入输出单元各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通信总线54实现电性连接。处理器51用于执行存储器53中存储的可执行模块，例如设备包括的软件功能模块或计算机程序。
101.输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是，但不限于，鼠标和键盘等。
102.可以理解，图5所示的结构仅为示意，电子设备还可包括比图5中所示更多或者更少的组件，或者具有与图5所示不同的配置。图5中所示的各组件可以采用硬件、软件或其组合实现。
103.本技术实施例还提供一种存储介质，存储介质上存储有指令，当指令在计算机上运行时，计算机程序被处理器执行时实现方法实施例的方法，为避免重复，此处不再赘述。
104.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方
框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
105.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
106.功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
107.以上仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
108.以上，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。
109.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。