CN110213255B - 一种对主机进行木马检测的方法、装置及电子设备 - Google Patents

一种对主机进行木马检测的方法、装置及电子设备 Download PDF

Info

Publication number
CN110213255B
CN110213255B CN201910446832.9A CN201910446832A CN110213255B CN 110213255 B CN110213255 B CN 110213255B CN 201910446832 A CN201910446832 A CN 201910446832A CN 110213255 B CN110213255 B CN 110213255B
Authority
CN
China
Prior art keywords
domain name
host
name access
domain
intranet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910446832.9A
Other languages
English (en)
Other versions
CN110213255A (zh
Inventor
王巍巍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing QIYI Century Science and Technology Co Ltd
Original Assignee
Beijing QIYI Century Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing QIYI Century Science and Technology Co Ltd filed Critical Beijing QIYI Century Science and Technology Co Ltd
Priority to CN201910446832.9A priority Critical patent/CN110213255B/zh
Publication of CN110213255A publication Critical patent/CN110213255A/zh
Application granted granted Critical
Publication of CN110213255B publication Critical patent/CN110213255B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供了一种对主机进行木马检测的方法、装置及电子设备,该方法包括:获取待检测主机的内网域名访问日志,从中获取待识别域名;然后,对各个待识别域名进行识别,获得内网域名访问日志中的常用域名和非常用域名,并从内网域名访问日志中,获取主机的域名访问情况数据;最后,将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测主机是否感染木马。由于域名访问情况数据是根据记录主机访问行为的访问日志动态获得的,将其与域名访问行为基线的比较结果作为检测依据,无需已知木马的特征,因而可以实现对未知类型木马的检测。

Description

一种对主机进行木马检测的方法、装置及电子设备
技术领域
本发明涉及网络安全技术领域,特别涉及一种对主机进行木马检测的方法、装置及电子设备。
背景技术
随着计算机和互联网技术的广泛应用,网络安全问题也逐渐凸显。木马是网络攻击者实施攻击的常用工具,攻击者通过木马获取目标主机的控制权限,不仅会恶意消耗连接到目标主机的用户设备的资源,还能够窃取用户账户、密码等重要信息。因此,对于木马的检测已经成为了网络安全领域研究的重点问题。
目前,对主机进行木马检测时,首先收集主机通过内网访问域名时产生的访问日志,也就是内网域名访问日志,日志中包含主机的源IP、访问的域名、域名访问的时间等信息;然后,对收集到的日志进行特征提取,将提取出的特征与病毒库里已知类型的木马的特征进行匹配;如果匹配成功,则表示主机被木马感染;匹配失败,则表示主机未被感染木马。
然而,由于木马不断更新,而病毒库中的木马均是已经被检测出来的,因而现有技术也只能检测病毒库中已知类型的木马,对于未知类型的木马很难进行检测。
发明内容
本发明实施例的目的在于提供一种对主机进行木马检测的方法、装置及电子设备,以解决对未知类型木马进行检测的问题。具体技术方案如下:
第一方面,本发明实施例提供了一种对主机进行木马检测的方法,其特征在于,应用于与所述主机通信连接的服务器,所述方法包括:
获取待检测主机的内网域名访问日志;
从所述内网域名访问日志中获取待识别域名;
对各个待识别域名进行识别,获得所述内网域名访问日志中的常用域名和非常用域名;
从所述内网域名访问日志中,获取所述主机的域名访问情况数据;所述域名访问情况数据中包含访问所述常用域名和访问所述非常用域名的数据;
将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测所述主机是否感染木马;所述域名访问行为基线,为:所述主机在未感染木马的状态下的域名访问情况数据。
可选的,所述获取待检测主机的内网域名访问日志的步骤,包括:
获取待检测主机在当前检测周期中生成的内网域名访问日志;
所述从所述内网域名访问日志中,获取所述主机的域名访问情况数据的步骤,包括:
从所述待检测主机在当前检测周期中生成的内网域名访问日志中,获取所述主机在当前检测周期的域名访问情况数据;
所述域名访问行为基线,为:所述主机在上一个检测周期中,未感染木马的状态下的域名访问情况数据。
可选的,所述从所述内网域名访问日志中获取待识别域名的步骤,包括:
获取所述内网域名访问日志中包含的所有域名;
对所述所有域名中包含的内部***的访问域名进行过滤,获得剩余域名,作为待识别域名。
可选的,所述对各个待识别域名进行识别,获得所述内网域名访问日志中的常用域名和非常用域名的步骤,包括:
从所述待识别域名中选取第一类常用域名;所述第一类常用域名,为:域名综合排名公开数据集中前预设数量个排名中的域名;
使用预先训练好的域名识别模型,对所述待识别域名中除所述第一类常用域名外的待识别域名进行识别,获得非常用域名和第二类常用域名;所述预先训练好的域名识别模型,为:预先以预设第一数量的常用域名和/或预设第二数量的非常用域名为样本,训练获得的二分类神经网络模型;
合并所述第一类常用域名与所述第二类常用域名,获得所述内网域名访问日志中的常用域名。
可选的,在所述将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测所述主机是否感染木马的步骤之后,还包括:
如果检测结果为主机未感染木马,则保存所述主机在当前检测周期的域名访问情况数据,作为下一检测周期的域名访问行为基线。
可选的,所述当前检测周期为1日;
所述从所述待检测主机在当前检测周期中生成的内网域名访问日志中,获取所述主机在当前检测周期的域名访问情况数据的步骤,包括:
从所述待检测主机在当日生成的内网域名访问日志中,获取所述主机在当日的域名访问情况数据;
所述主机在当日的域名访问情况数据,包括:内网域名访问日志中的域名访问量、访问不同域名的域名数目、当日新访问域名的数目、访问非常用域名的数目、非常用域名的访问量、访问常用域名的数目和常用域名的访问量。
可选的,所述将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测所述主机是否感染木马的步骤,包括:
计算所述域名访问行为基线和所述主机的域名访问情况数据之间的相似度及偏离度;
根据相似度和偏离度的计算结果,判断所述主机是否感染木马。
可选的,所述根据相似度和偏离度的计算结果,判断所述主机是否感染木马的步骤,包括:
如果所述相似度大于等于预设的第一阈值且所述偏离度小于等于预设的第二阈值,则所述主机被判断为没有感染木马;
如果所述相似度小于预设的第一阈值且所述偏离度大于预设的第二阈值,则所述主机被判断为感染木马。
可选的,所述相似度,采用如下公式计算得到:
Figure BDA0002073901700000041
所述偏离度,采用如下公式计算得到:
Figure BDA0002073901700000042
其中,n表示所述域名访问行为基线和所述域名访问情况数据的数据维度,Xi为所述域名访问行为基线中的第i维数据,Yi为所述域名访问情况数据中的第i维数据。
第二方面,本发明实施例提供了一种对主机进行木马检测的装置,其特征在于,应用于与所述主机通信连接的服务器,所述装置包括:
日志获取模块,用于获取待检测主机的内网域名访问日志;
域名获取模块,用于从所述内网域名访问日志中获取待识别域名;
域名识别模块,用于对各个待识别域名进行识别,获得所述内网域名访问日志中的常用域名和非常用域名;
数据获取模块,用于从所述内网域名访问日志中,获取所述主机的域名访问情况数据;所述域名访问情况数据中包含访问所述非常用域名和访问常用域名的数据;
木马检测模块,用于将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测所述主机是否感染木马;所述域名访问行为基线为:所述主机在未感染木马的状态下的域名访问情况数据。
可选的,所述日志获取模块,包括:
第一获取单元,用于获取待检测主机在当前检测周期中生成的内网域名访问日志;
所述数据获取模块,包括:
第二获取单元,用于从所述待检测主机在当前检测周期中生成的内网域名访问日志中,获取所述主机在当前检测周期的域名访问情况数据;
所述域名访问行为基线,为:所述主机在上一个检测周期中,未感染木马的状态下的域名访问情况数据。
可选的,所述域名获取模块,包括:
第三获取单元,用于获取所述内网域名访问日志中包含的所有域名;
过滤单元,用于对所述所有域名中包含的内部***的访问域名进行过滤,获得剩余域名,作为待识别域名。
可选的,所述域名识别模块,包括:
选取单元,用于从所述待识别域名中选取第一类常用域名;所述第一类常用域名,为:域名综合排名公开数据集中前预设数量个排名中的域名;
识别单元,用于使用预先训练好的域名识别模型,对所述待识别域名中除所述第一类常用域名外的待识别域名进行识别,获得非常用域名和第二类常用域名;所述预先训练好的域名识别模型,为:预先以预设第一数量的常用域名和/或预设第二数量的非常用域名为样本,训练获得的二分类神经网络模型;
合并单元,用于合并所述第一类常用域名与所述第二类常用域名,获得所述内网域名访问日志中的常用域名。
可选的,所述装置还包括:
保存模块,用于所述木马检测模块执行将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测所述主机是否感染木马的步骤之后,如果检测结果为主机未感染木马,则保存所述主机在当前检测周期的域名访问情况数据,作为下一检测周期的域名访问行为基线。
可选的,所述当前检测周期为1日;
所述第二获取单元,包括:
数据获取子单元,用于从所述待检测主机在当日生成的内网域名访问日志中,获取所述主机在当日的域名访问情况数据;
所述主机在当日的域名访问情况数据,包括:内网域名访问日志中的域名访问量、访问不同域名的域名数目、当日新访问域名的数目、访问非常用域名的数目、非常用域名的访问量、访问常用域名的数目和常用域名的访问量。
可选的,所述木马检测模块,包括:
计算单元,用于计算所述域名访问行为基线和所述主机的域名访问情况数据之间的相似度及偏离度;
判断单元,用于根据相似度和偏离度的计算结果,判断所述主机是否感染木马。
可选的,所述判断单元,包括:
第一判断子单元,用于如果所述相似度大于等于预设的第一阈值且所述偏离度小于等于预设的第二阈值,则所述主机被判断为没有感染木马;
第二判断子单元,用于如果所述相似度小于预设的第一阈值且所述偏离度大于预设的第二阈值,则所述主机被判断为感染木马。
可选的,所述计算单元,包括:
相似度计算子单元,用于采用如下公式计算得到相似度:
Figure BDA0002073901700000061
偏离度计算子单元,用于采用如下公式计算得到偏离度:
Figure BDA0002073901700000062
其中,n表示所述域名访问行为基线和所述域名访问情况数据的数据维度,Xi为所述域名访问行为基线中的第i维数据,Yi为所述域名访问情况数据中的第i维数据。
第三方面,本发明实施例提供了一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面任一所述的方法步骤。
本发明实施例提供的一种对主机进行木马检测的方法、装置及电子设备,通过获取待检测主机的内网域名访问日志,从中获取待识别域名;然后,对各个待识别域名进行识别,获得内网域名访问日志中的常用域名和非常用域名,并从内网域名访问日志中,获取主机的域名访问情况数据;最后,将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测主机是否感染木马。由于域名访问情况数据是根据记录主机访问行为的访问日志动态获得的,将其与域名访问行为基线的比较结果作为检测依据,无需已知木马的特征,因而可以实现对未知类型木马的检测。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的对主机进行木马检测的方法的一种流程示意图;
图2为本发明实施例提供的对主机进行木马检测的方法的另一种流程示意图;
图3为本发明实施例提供的一种对主机进行木马检测的装置的结构示意图;
图4为本发明实施例提供的一种电子设备示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
为了实现对未知类型木马的检测,本发明实施例提供了一种对主机进行木马检测的方法、装置及电子设备。首先,获取待检测主机的内网域名访问日志,从中获取待识别域名;然后,对各个待识别域名进行识别,获得内网域名访问日志中的常用域名和非常用域名,并从内网域名访问日志中,获取主机的域名访问情况数据;最后,将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测主机是否感染木马。由于域名访问情况数据是根据记录主机访问行为的访问日志动态获得的,将其与域名访问行为基线的比较结果作为检测依据,无需已知木马的特征,因而可以实现对未知类型木马的检测。
作为本发明实施例的一种实施方式,本发明实施例提供的一种对主机进行木马检测的方法,应用于与所述主机通信连接的服务器。由于控制机在利用木马对主机实施攻击之后,主机如果被木马感染,就会通过访问恶意域名的方式与控制机建立通信连接,这样控制机才能够对被感染的主机进行控制,而恶意域名通常是一些非常用域名。因此,进行木马检测时,只需将主机访问非常用域名和访问常用域名的数据与预先创建的域名访问行为基线加以比较,根据比较结果就能够判断待检测主机是否感染木马。
具体的,如图1所示,该方法包括:
S101,获取待检测主机的内网域名访问日志。
本步骤中,获取的内网域名访问日志中包含待检测主机访问的域名、访问域名的时间以及源IP地址等日志信息。
S102,从内网域名访问日志中获取待识别域名。
可选的,由于内部***的访问域名并非来源不明的非常用域名,因此可以将内网域名访问日志中包含的内部***的访问域名先加以过滤,这部分域名无需再进行识别。
S103,对各个待识别域名进行识别,获得内网域名访问日志中的常用域名和非常用域名。
本实施例中,对各个待识别域名进行识别的步骤,包括:选取待识别域名中的第一类常用域名、利用域名识别模型识别第二类常用域名及非常用域名。可选的,第一类常用域名为域名综合排名公开数据集中前预设数量个排名中的域名。
S104,从内网域名访问日志中,获取主机的域名访问情况数据;域名访问情况数据中包含访问常用域名和访问非常用域名的数据。
具体的,获得内网域名访问日志中的常用域名和非常用域名后,可以采用统计方法获得主机的域名访问情况数据。
S105,将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测主机是否感染木马;域名访问行为基线为:主机在未感染木马的状态下的域名访问情况数据。
具体的,域名访问行为基线为:待检测主机在上一个检测周期中,未感染木马的状态下的域名访问情况数据。通过比较域名访问行为基线与主机的域名访问情况数据,可以判断出待检测主机是否存在异常的访问行为,进而得到检测结果。
本发明实施例提供的一种对主机进行木马检测的方法,通过获取待检测主机的内网域名访问日志,从中获取待识别域名;然后,对各个待识别域名进行识别,获得内网域名访问日志中的常用域名和非常用域名,并从内网域名访问日志中,获取主机的域名访问情况数据;最后,将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测主机是否感染木马。由于域名访问情况数据是根据记录主机访问行为的访问日志动态获得的,将其与域名访问行为基线的比较结果作为检测依据,无需已知木马的特征,因而可以实现对未知类型木马的检测。
作为本发明实施例的一种实施方式,本发明实施例提供的另一种对主机进行木马检测的方法,应用于与所述主机通信连接的服务器。
具体的,如图2所示,该方法包括:
S201,获取待检测主机在当前检测周期中生成的内网域名访问日志。
可选的,当前检测周期可以根据具体的检测需要而设置。例如,当前检测周期可以设置为一日、一周等。
S202,获取内网域名访问日志中包含的所有域名并进行域名过滤,获得待识别域名。
本实施例中,首先获取内网域名访问日志中包含的所有域名,然后对所有域名中包含的内部***的访问域名进行过滤,并将获得的剩余域名作为待识别域名。
S203,从待识别域名中选取第一类常用域名。
具体的,获得待识别域名之后,从待识别域名中选取出第一类常用域名。本实施例中,可以将域名综合排名公开数据集中排名在前一万的域名,作为第一类常用域名。
S204,使用预先训练好的域名识别模型,对待识别域名中除第一类常用域名外的待识别域名进行识别。
S205,获得内网域名访问日志中的常用域名和非常用域名。
具体的,使用预先训练好的域名识别模型,对待识别域名中除第一类常用域名外的待识别域名进行识别,获得非常用域名和第二类常用域名;然后,将第一类常用域名与第二类常用域名合并,即得到内网域名访问日志中的常用域名。其中,预先训练好的域名识别模型,为:预先以预设第一数量的常用域名和/或预设第二数量的非常用域名为样本,训练获得的二分类神经网络模型。将待识别域名输入该域名识别模型后,如果模型的输出为1,则表示该待识别域名是非常用域名;如果域名识别模型的输出为0,则表示该待识别域名是第二类常用域名。
通常来讲,由于内网域名访问日志的数据量高达1W/QPS(Query Per Second,每秒查询率),为了减少域名识别模型的数据处理量,本发明实施例中先对内部***的访问域名进行了过滤,该类域名约占域名总量的50%;然后,再将剩余域名作为待识别域名,并选取出待识别域名中的第一类常用域名,该类域名约占域名总量的30%。这样,只需对待识别域名中除第一类常用域名外的待识别域名进行识别,域名数量减少约80%,提高了数据处理的效率。
当然,在本发明的其他实施例中,也可以将内网域名访问日志中的所有域名均作为待识别域名,直接利用域名识别模型识别出常用域名和非常用域名。
S206,从内网域名访问日志中,获取主机的域名访问情况数据。
具体的,从待检测主机在当前检测周期中生成的内网域名访问日志中,获取主机在当前检测周期的域名访问情况数据。其中,当前检测周期可以为1日,那么主机在当日的域名访问情况数据,包括:内网域名访问日志中的域名访问量、访问不同域名的域名数目、当日新访问域名的数目、访问非常用域名的数目、非常用域名的访问量、访问常用域名的数目和常用域名的访问量。
S207,计算域名访问行为基线和主机的域名访问情况数据之间的相似度及偏离度。
可选的,采用如下公式计算域名访问行为基线与主机的域名访问情况数据之间的相似度:
Figure BDA0002073901700000111
其中,n表示域名访问行为基线和域名访问情况数据的数据维度,Xi为域名访问行为基线中的第i维数据,Yi为域名访问情况数据中的第i维数据。
可选的,采用如下公式计算域名访问行为基线与主机的域名访问情况数据之间的偏离度:
Figure BDA0002073901700000112
其中,n表示域名访问行为基线和域名访问情况数据的数据维度,Xi为域名访问行为基线中的第i维数据,Yi为域名访问情况数据中的第i维数据。例如,当域名访问情况数据包括:内网域名访问日志中的域名访问量、访问不同域名的域名数目、当日新访问域名的数目、访问非常用域名的数目、非常用域名的访问量、访问常用域名的数目和常用域名的访问量时,数据维度n=7,Y1、Y2…Y7分别表示内网域名访问日志中的域名访问量、访问不同域名的域名数目、……、访问常用域名的数目和常用域名的访问量。
S208,根据相似度和偏离度的计算结果,判断主机是否感染木马。
具体的,如果相似度大于等于预设的第一阈值且偏离度小于等于预设的第二阈值,则待检测主机被判断为没有感染木马;如果相似度小于预设的第一阈值且偏离度大于预设的第二阈值,则待检测主机被判断为感染木马。例如,预设的第一阈值为0.7,预设的第二阈值为0.3,若计算出的相似度为0.8、偏离度为0.2,那么,显然满足相似度大于等于预设的第一阈值且偏离度小于等于预设的第二阈值的条件,因此待检测主机未感染木马。
可选的,如果检测结果为主机未感染木马,那么可以保存待检测主机在当前检测周期的域名访问情况数据,作为下一检测周期的域名访问行为基线。
本发明实施例提供的一种对主机进行木马检测的方法,通过获取待检测主机的内网域名访问日志,从中获取待识别域名;然后,对各个待识别域名进行识别,获得内网域名访问日志中的常用域名和非常用域名,并从内网域名访问日志中,获取主机的域名访问情况数据;最后,将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测主机是否感染木马。由于域名访问情况数据是根据记录主机访问行为的访问日志动态获得的,将其与域名访问行为基线的比较结果作为检测依据,无需已知木马的特征,因而可以实现对未知类型木马的检测。
作为本发明实施例的一种实施方式,如图3所示,本发明实施例提供的一种对主机进行木马检测的装置,应用于与所述主机通信连接的服务器,所述装置包括:
日志获取模块310,用于获取待检测主机的内网域名访问日志;
域名获取模块320,用于从内网域名访问日志中获取待识别域名;
域名识别模块330,用于对各个待识别域名进行识别,获得内网域名访问日志中的常用域名和非常用域名;
数据获取模块340,用于从内网域名访问日志中,获取主机的域名访问情况数据;域名访问情况数据中包含访问非常用域名和访问常用域名的数据;
木马检测模块350,用于将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测主机是否感染木马;域名访问行为基线为:主机在未感染木马的状态下的域名访问情况数据。
本发明实施例提供的一种对主机进行木马检测的装置,通过获取待检测主机的内网域名访问日志,从中获取待识别域名;然后,对各个待识别域名进行识别,获得内网域名访问日志中的常用域名和非常用域名,并从内网域名访问日志中,获取主机的域名访问情况数据;最后,将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测主机是否感染木马。由于域名访问情况数据是根据记录主机访问行为的访问日志动态获得的,将其与域名访问行为基线的比较结果作为检测依据,无需已知木马的特征,因而可以实现对未知类型木马的检测。
作为本发明实施例的一种实施方式,所述日志获取模块310,可以包括:
第一获取单元,用于获取待检测主机在当前检测周期中生成的内网域名访问日志;
所述数据获取模块340,可以包括:
第二获取单元,用于从所述待检测主机在当前检测周期中生成的内网域名访问日志中,获取所述主机在当前检测周期的域名访问情况数据;
所述域名访问行为基线为:所述主机在上一个检测周期中,未感染木马的状态下的域名访问情况数据。
作为本发明实施例的一种实施方式,所述域名获取模块320,可以包括:
第三获取单元,用于获取所述内网域名访问日志中包含的所有域名;
过滤单元,用于对所述所有域名中包含的内部***的访问域名进行过滤,获得剩余域名,作为待识别域名。
作为本发明实施例的一种实施方式,所述域名识别模块330,可以包括:
选取单元,用于从所述待识别域名中选取第一类常用域名;所述第一类常用域名,为:域名综合排名公开数据集中前预设数量个排名中的域名;
识别单元,用于使用预先训练好的域名识别模型,对所述待识别域名中除所述第一类常用域名外的待识别域名进行识别,获得非常用域名和第二类常用域名;所述预先训练好的域名识别模型,为:预先以预设第一数量的常用域名和/或预设第二数量的非常用域名为样本,训练获得的二分类神经网络模型;
合并单元,用于合并所述第一类常用域名与所述第二类常用域名,获得所述内网域名访问日志中的常用域名。
作为本发明实施例的一种实施方式,所述装置还包括:
保存模块,用于所述木马检测模块执行将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测所述主机是否感染木马的步骤之后,如果检测结果为主机未感染木马,则保存所述主机在当前检测周期的域名访问情况数据,作为下一检测周期的域名访问行为基线。
作为本发明实施例的一种实施方式,所述当前检测周期为1日;
所述第二获取单元,包括:
数据获取子单元,用于从所述待检测主机在当日生成的内网域名访问日志中,获取所述主机在当日的域名访问情况数据;
所述主机在当日的域名访问情况数据,包括:内网域名访问日志中的域名访问量、访问不同域名的域名数目、当日新访问域名的数目、访问非常用域名的数目、非常用域名的访问量、访问常用域名的数目和常用域名的访问量。
作为本发明实施例的一种实施方式,所述木马检测模块350,包括:
计算单元,用于计算所述域名访问行为基线和所述主机的域名访问情况数据之间的相似度及偏离度;
判断单元,用于根据相似度和偏离度的计算结果,判断所述主机是否感染木马。
作为本发明实施例的一种实施方式,所述判断单元,包括:
第一判断子单元,用于如果所述相似度大于等于预设的第一阈值且所述偏离度小于等于预设的第二阈值,则所述主机被判断为没有感染木马;
第二判断子单元,用于如果所述相似度小于预设的第一阈值且所述偏离度大于预设的第二阈值,则所述主机被判断为感染木马。
作为本发明实施例的一种实施方式,所述计算单元,包括:
相似度计算子单元,用于采用如下公式计算得到相似度:
Figure BDA0002073901700000141
偏离度计算子单元,用于采用如下公式计算得到偏离度:
Figure BDA0002073901700000151
其中,n表示所述域名访问行为基线和所述域名访问情况数据的数据维度,Xi为所述域名访问行为基线中的第i维数据,Yi为所述域名访问情况数据中的第i维数据。
本发明实施例提供的一种对主机进行木马检测的装置,首先,获取待检测主机的内网域名访问日志,从中获取待识别域名;然后,对各个待识别域名进行识别,获得内网域名访问日志中的常用域名和非常用域名,并从内网域名访问日志中,获取主机的域名访问情况数据;最后,将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测主机是否感染木马。由于域名访问情况数据是根据记录主机访问行为的访问日志动态获得的,将其与域名访问行为基线的比较结果作为检测依据,无需已知木马的特征,因而可以实现对未知类型木马的检测。
本发明实施例还提供了一种电子设备,如图4所示,包括处理器401、通信接口402、存储器403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信,
存储器403,用于存放计算机程序;
处理器401,用于执行存储器403上所存放的程序时,实现如下步骤:
获取待检测主机的内网域名访问日志;
从内网域名访问日志中获取待识别域名;
对各个待识别域名进行识别,获得内网域名访问日志中的常用域名和非常用域名;
从内网域名访问日志中,获取主机的域名访问情况数据;域名访问情况数据中包含访问所述常用域名和访问所述非常用域名的数据;
将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测主机是否感染木马;域名访问行为基线为:主机在未感染木马的状态下的域名访问情况数据。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (15)

1.一种对主机进行木马检测的方法,其特征在于,应用于与所述主机通信连接的服务器,所述方法包括:
获取待检测主机的内网域名访问日志;
从所述内网域名访问日志中获取待识别域名;
对各个待识别域名进行识别,获得所述内网域名访问日志中的常用域名和非常用域名;
从所述内网域名访问日志中,采用统计方法获取所述主机的域名访问情况数据;所述域名访问情况数据中包含访问所述常用域名和访问所述非常用域名的数据;所述域名访问情况数据为多维数据;
将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测所述主机是否感染木马;
所述获取待检测主机的内网域名访问日志的步骤,包括:
获取待检测主机在当前检测周期中生成的内网域名访问日志;
所述从所述内网域名访问日志中,获取所述主机的域名访问情况数据的步骤,包括:
从所述待检测主机在当前检测周期中生成的内网域名访问日志中,获取所述主机在当前检测周期的域名访问情况数据;
所述域名访问行为基线,为:所述主机在上一个检测周期中,未感染木马的状态下的域名访问情况数据;
所述将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测所述主机是否感染木马的步骤,包括:
计算所述域名访问行为基线和所述主机的域名访问情况数据之间的相似度及偏离度;
根据相似度和偏离度的计算结果,判断所述主机是否感染木马。
2.根据权利要求1所述的方法,其特征在于,所述从所述内网域名访问日志中获取待识别域名的步骤,包括:
获取所述内网域名访问日志中包含的所有域名;
对所述所有域名中包含的内部***的访问域名进行过滤,获得剩余域名,作为待识别域名。
3.根据权利要求2所述的方法,其特征在于,所述对各个待识别域名进行识别,获得所述内网域名访问日志中的常用域名和非常用域名的步骤,包括:
从所述待识别域名中选取第一类常用域名;所述第一类常用域名,为:域名综合排名公开数据集中前预设数量个排名中的域名;
使用预先训练好的域名识别模型,对所述待识别域名中除所述第一类常用域名外的待识别域名进行识别,获得非常用域名和第二类常用域名;所述预先训练好的域名识别模型,为:预先以预设第一数量的常用域名和/或预设第二数量的非常用域名为样本,训练获得的二分类神经网络模型;
合并所述第一类常用域名与所述第二类常用域名,获得所述内网域名访问日志中的常用域名。
4.根据权利要求3所述的方法,其特征在于,在所述将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测所述主机是否感染木马的步骤之后,还包括:
如果检测结果为主机未感染木马,则保存所述主机在当前检测周期的域名访问情况数据,作为下一检测周期的域名访问行为基线。
5.根据权利要求4所述的方法,其特征在于,所述当前检测周期为1日;
所述从所述待检测主机在当前检测周期中生成的内网域名访问日志中,获取所述主机在当前检测周期的域名访问情况数据的步骤,包括:
从所述待检测主机在当日生成的内网域名访问日志中,获取所述主机在当日的域名访问情况数据;
所述主机在当日的域名访问情况数据,包括:内网域名访问日志中的域名访问量、访问不同域名的域名数目、当日新访问域名的数目、访问非常用域名的数目、非常用域名的访问量、访问常用域名的数目和常用域名的访问量。
6.根据权利要求1所述的方法,其特征在于,所述根据相似度和偏离度的计算结果,判断所述主机是否感染木马的步骤,包括:
如果所述相似度大于等于预设的第一阈值且所述偏离度小于等于预设的第二阈值,则所述主机被判断为没有感染木马;
如果所述相似度小于预设的第一阈值且所述偏离度大于预设的第二阈值,则所述主机被判断为感染木马。
7.根据权利要求6所述的方法,其特征在于,所述相似度,采用如下公式计算得到:
Figure FDA0003358785000000031
所述偏离度,采用如下公式计算得到:
Figure FDA0003358785000000032
其中,n表示所述域名访问行为基线和所述域名访问情况数据的数据维度,Xi为所述域名访问行为基线中的第i维数据,Yi为所述域名访问情况数据中的第i维数据。
8.一种对主机进行木马检测的装置,其特征在于,应用于与所述主机通信连接的服务器,所述装置包括:
日志获取模块,用于获取待检测主机的内网域名访问日志;
域名获取模块,用于从所述内网域名访问日志中获取待识别域名;
域名识别模块,用于对各个待识别域名进行识别,获得所述内网域名访问日志中的常用域名和非常用域名;
数据获取模块,用于从所述内网域名访问日志中,采用统计方法获取所述主机的域名访问情况数据;所述域名访问情况数据中包含访问所述常用域名和访问所述非常用域名的数据;所述域名访问情况数据为多维数据;
木马检测模块,用于将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测所述主机是否感染木马;
所述日志获取模块,包括:
第一获取单元,用于获取待检测主机在当前检测周期中生成的内网域名访问日志;
所述数据获取模块,包括:
第二获取单元,用于从所述待检测主机在当前检测周期中生成的内网域名访问日志中,获取所述主机在当前检测周期的域名访问情况数据;
所述域名访问行为基线,为:所述主机在上一个检测周期中,未感染木马的状态下的域名访问情况数据;
所述木马检测模块,包括:
计算单元,用于计算所述域名访问行为基线和所述主机的域名访问情况数据之间的相似度及偏离度;
判断单元,用于根据相似度和偏离度的计算结果,判断所述主机是否感染木马。
9.根据权利要求8所述的装置,其特征在于,所述域名获取模块,包括:
第三获取单元,用于获取所述内网域名访问日志中包含的所有域名;
过滤单元,用于对所述所有域名中包含的内部***的访问域名进行过滤,获得剩余域名,作为待识别域名。
10.根据权利要求9所述的装置,其特征在于,所述域名识别模块,包括:
选取单元,用于从所述待识别域名中选取第一类常用域名;所述第一类常用域名,为:域名综合排名公开数据集中前预设数量个排名中的域名;
识别单元,用于使用预先训练好的域名识别模型,对所述待识别域名中除所述第一类常用域名外的待识别域名进行识别,获得非常用域名和第二类常用域名;所述预先训练好的域名识别模型,为:预先以预设第一数量的常用域名和/或预设第二数量的非常用域名为样本,训练获得的二分类神经网络模型;
合并单元,用于合并所述第一类常用域名与所述第二类常用域名,获得所述内网域名访问日志中的常用域名。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
保存模块,用于所述木马检测模块执行将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较,检测所述主机是否感染木马的步骤之后,如果检测结果为主机未感染木马,则保存所述主机在当前检测周期的域名访问情况数据,作为下一检测周期的域名访问行为基线。
12.根据权利要求11所述的装置,其特征在于,所述当前检测周期为1日;
所述第二获取单元,包括:
数据获取子单元,用于从所述待检测主机在当日生成的内网域名访问日志中,获取所述主机在当日的域名访问情况数据;
所述主机在当日的域名访问情况数据,包括:内网域名访问日志中的域名访问量、访问不同域名的域名数目、当日新访问域名的数目、访问非常用域名的数目、非常用域名的访问量、访问常用域名的数目和常用域名的访问量。
13.根据权利要求8所述的装置,其特征在于,所述判断单元,包括:
第一判断子单元,用于如果所述相似度大于等于预设的第一阈值且所述偏离度小于等于预设的第二阈值,则所述主机被判断为没有感染木马;
第二判断子单元,用于如果所述相似度小于预设的第一阈值且所述偏离度大于预设的第二阈值,则所述主机被判断为感染木马。
14.根据权利要求13所述的装置,其特征在于,所述计算单元,包括:
相似度计算子单元,用于采用如下公式计算得到相似度:
Figure FDA0003358785000000051
偏离度计算子单元,用于采用如下公式计算得到偏离度:
Figure FDA0003358785000000061
其中,n表示所述域名访问行为基线和所述域名访问情况数据的数据维度,Xi为所述域名访问行为基线中的第i维数据,Yi为所述域名访问情况数据中的第i维数据。
15.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-7任一所述的方法步骤。
CN201910446832.9A 2019-05-27 2019-05-27 一种对主机进行木马检测的方法、装置及电子设备 Active CN110213255B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910446832.9A CN110213255B (zh) 2019-05-27 2019-05-27 一种对主机进行木马检测的方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910446832.9A CN110213255B (zh) 2019-05-27 2019-05-27 一种对主机进行木马检测的方法、装置及电子设备

Publications (2)

Publication Number Publication Date
CN110213255A CN110213255A (zh) 2019-09-06
CN110213255B true CN110213255B (zh) 2022-03-04

Family

ID=67788764

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910446832.9A Active CN110213255B (zh) 2019-05-27 2019-05-27 一种对主机进行木马检测的方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN110213255B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111490976B (zh) * 2020-03-24 2022-04-15 浙江中烟工业有限责任公司 一种面向工控网络的动态基线管理与监测方法
CN111541647B (zh) * 2020-03-25 2022-12-13 杭州数梦工场科技有限公司 安全检测方法、装置、存储介质及计算机设备
CN112468484B (zh) * 2020-11-24 2022-09-20 山西三友和智慧信息技术股份有限公司 一种基于异常和信誉的物联网设备感染检测方法
CN115134164B (zh) * 2022-07-18 2024-02-23 深信服科技股份有限公司 一种上传行为检测方法、***、设备及计算机存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106101104A (zh) * 2016-06-15 2016-11-09 国家计算机网络与信息安全管理中心 一种基于域名解析的恶意域名检测方法及***
CN106453412A (zh) * 2016-12-01 2017-02-22 绵阳灵先创科技有限公司 一种基于频次特征的恶意域名判定方法
CN107770132A (zh) * 2016-08-18 2018-03-06 中兴通讯股份有限公司 一种对算法生成域名进行检测的方法及装置
CN109284613A (zh) * 2018-09-30 2019-01-29 北京神州绿盟信息安全科技股份有限公司 标识检测及仿冒站点检测方法、装置、设备及存储介质
CN109495423A (zh) * 2017-09-11 2019-03-19 网宿科技股份有限公司 一种防止网络攻击的方法及***
CN109660502A (zh) * 2018-09-28 2019-04-19 平安科技(深圳)有限公司 异常行为的检测方法、装置、设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102594825B (zh) * 2012-02-22 2016-08-17 北京百度网讯科技有限公司 一种内网木马的检测方法和装置
US9049221B1 (en) * 2013-11-12 2015-06-02 Emc Corporation Detecting suspicious web traffic from an enterprise network
US11457029B2 (en) * 2013-12-14 2022-09-27 Micro Focus Llc Log analysis based on user activity volume
CN106657001B (zh) * 2016-11-10 2019-12-13 广州赛讯信息技术有限公司 一种基于Netflow及DNS日志的僵尸网络检测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106101104A (zh) * 2016-06-15 2016-11-09 国家计算机网络与信息安全管理中心 一种基于域名解析的恶意域名检测方法及***
CN107770132A (zh) * 2016-08-18 2018-03-06 中兴通讯股份有限公司 一种对算法生成域名进行检测的方法及装置
CN106453412A (zh) * 2016-12-01 2017-02-22 绵阳灵先创科技有限公司 一种基于频次特征的恶意域名判定方法
CN109495423A (zh) * 2017-09-11 2019-03-19 网宿科技股份有限公司 一种防止网络攻击的方法及***
CN109660502A (zh) * 2018-09-28 2019-04-19 平安科技(深圳)有限公司 异常行为的检测方法、装置、设备及存储介质
CN109284613A (zh) * 2018-09-30 2019-01-29 北京神州绿盟信息安全科技股份有限公司 标识检测及仿冒站点检测方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN110213255A (zh) 2019-09-06

Similar Documents

Publication Publication Date Title
CN110213255B (zh) 一种对主机进行木马检测的方法、装置及电子设备
TWI684151B (zh) 一種非法交易檢測方法及裝置
CN113489713B (zh) 网络攻击的检测方法、装置、设备及存储介质
CN112003838B (zh) 网络威胁的检测方法、装置、电子装置和存储介质
US10114960B1 (en) Identifying sensitive data writes to data stores
CN107992738B (zh) 一种账号登录异常检测方法、装置及电子设备
CN108924118B (zh) 一种撞库行为检测方法及***
US11201850B2 (en) Domain name processing systems and methods
CN109344611B (zh) 应用的访问控制方法、终端设备及介质
US10505986B1 (en) Sensor based rules for responding to malicious activity
CN110083475B (zh) 一种异常数据的检测方法及装置
CN109067794B (zh) 一种网络行为的检测方法和装置
CN109936475B (zh) 一种异常检测方法及装置
CN109450969B (zh) 从第三方数据源服务器中获取数据的方法、装置和服务器
CN108156127B (zh) 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体
CN111371757B (zh) 恶意通信检测方法、装置、计算机设备和存储介质
WO2018143097A1 (ja) 判定装置、判定方法、および、判定プログラム
US11423099B2 (en) Classification apparatus, classification method, and classification program
CN113709147A (zh) 网络安全事件的响应方法、装置及设备
CN115001724B (zh) 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质
CN111614675B (zh) 请求执行方法、设备、***及介质
CN116094847B (zh) 蜜罐识别方法、装置、计算机设备和存储介质
CN113806737B (zh) 一种恶意进程风险等级评估方法、终端设备及存储介质
US20240080330A1 (en) Security monitoring apparatus, security monitoring method, and computer readable medium
US20230199003A1 (en) Machine learning-based security alert issuance based on actionability metrics

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant