CN113645191B - 可疑主机的确定方法、装置、设备和计算机可读存储介质 - Google Patents

可疑主机的确定方法、装置、设备和计算机可读存储介质 Download PDF

Info

Publication number
CN113645191B
CN113645191B CN202110790445.4A CN202110790445A CN113645191B CN 113645191 B CN113645191 B CN 113645191B CN 202110790445 A CN202110790445 A CN 202110790445A CN 113645191 B CN113645191 B CN 113645191B
Authority
CN
China
Prior art keywords
hosts
suspicious
access
host
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110790445.4A
Other languages
English (en)
Other versions
CN113645191A (zh
Inventor
陈勇
沈传宝
吴璇
马维士
刘加勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Huayuan Information Technology Co Ltd
Original Assignee
Beijing Huayuan Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Huayuan Information Technology Co Ltd filed Critical Beijing Huayuan Information Technology Co Ltd
Priority to CN202110790445.4A priority Critical patent/CN113645191B/zh
Publication of CN113645191A publication Critical patent/CN113645191A/zh
Application granted granted Critical
Publication of CN113645191B publication Critical patent/CN113645191B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本公开的实施例提供了可疑主机的确定方法、装置、设备和计算机可读存储介质。所述方法包括:抓取各待分析主机的网络接口通信流量;对所述网络接口通信流量进行分析,以获取所述各待分析主机的访问日志;根据所述访问日志,从所述各待分析主机中确定出可疑主机。以此方式,可通过访问日志,从各待分析主机中自动确定出可能受感染的可疑主机,以便根据各待分析主机的通信流量能够及时快速地抓取出可疑主机。

Description

可疑主机的确定方法、装置、设备和计算机可读存储介质
技术领域
本公开的实施例一般涉及互联网通信技术领域,并且更具体地,涉及可疑主机的确定方法、装置、设备和计算机可读存储介质。
背景技术
攻击者使用命令和控制服务器(也称为C&C或C2)来维护与目标网络中受感染主机的通信。C&C服务器向受感染的主机发出命令和控制。这些通信可以像维护定时信标或“心跳”那样,以便攻击者可以保留目标网络内已受到攻击的***的清单,或将其用于更恶意的操作,例如远程控制或获取数据、横向渗透等。虽然C&C服务器用于控制目标组织内部的主机,但通常是受感染的主机主动从网络内部发起对Internet上C&C服务器的访问。
而目前发现受感染主机的主要方式如下:
依赖于威胁情报中已经记录的风险域名和风险IP,以及是否有C&C标签的记录来确定受感染主机;而依赖于威胁情报的方式,有滞后性,且无法发现未知的受感染主机。
因而,如何及时发现未知的受感染主机成为亟待解决的技术问题。
发明内容
根据本公开的实施例,提供了一种可疑主机的确定方案。
在本公开的第一方面,提供了一种可疑主机的确定方法。该方法包括:
抓取各待分析主机的网络接口通信流量;
对所述网络接口通信流量进行分析,以获取所述各待分析主机的访问日志;
根据所述访问日志,从所述各待分析主机中确定出可疑主机。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,
所述访问日志包括:DNS日志;
所述根据所述访问日志,从所述各待分析主机中确定出可疑主机,包括:
根据所述DNS日志,确定所述各待分析主机的访问特征;
根据所述各待分析主机的访问特征,确定所述可疑主机;其中:
所述访问特征包括以下至少一项:
域名访问频率、访问时间段、所述各待分析主机所访问的对端主机。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,
所述根据所述各待分析主机的访问特征,确定所述可疑主机,包括:
从所述各待分析主机的访问特征中确定出匹配预设访问条件的访问特征;
确定所述匹配预设访问条件的访问特征所对应的访问地址;
将所述各待分析主机中发起所述访问地址的一个或多个主机确定为候选主机;
从所述候选主机中确定出所述可疑主机。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,
所述访问日志包括:http访问日志和/或ssl访问日志;
所述从所述候选主机中确定出所述可疑主机,包括:
对所述候选主机相对于响应所述访问地址的对端主机的http访问日志和/或ssl访问日志进行分析,以从所述候选主机中确定出所述可疑主机。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,
所述对所述候选主机相对于响应所述访问地址的对端主机的http访问日志和/或ssl访问日志进行分析,以从所述候选主机中确定出所述可疑主机,包括:
判断所述候选主机中各主机相对于响应所述访问地址的对端主机的 http访问日志和/或ssl访问日志是否记录有可疑行为;
当记录有可疑行为时,根据所述可疑行为对应的可疑度,确定所述候选主机中各主机的可疑评分;
根据所述候选主机中各主机的可疑评分,从所述候选主机中确定出所述可疑主机。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,
所述根据所述候选中主机各主机的可疑评分,从所述候选主机中确定出所述可疑主机,包括:
根据所述候选主机中各主机的可疑评分与多个预设可疑评分范围之间的关系,确定所述候选主机各主机的可疑等级;
从所述候选主机中筛选出可疑等级高于预设等级的主机作为所述可疑主机;和/或
将所述候选主机中可疑评分高于预设评分的主机确定为所述可疑主机。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,
所述可疑行为包括以下至少一项:
下载文件;
建立并维持长连接;
频繁连接;
发起异常http请求;
发起基于ip地址的http请求;
所述对端主机的证书为自签名证书。
在本公开的第二方面,提供了一种可疑主机的确定装置。该装置包括:
抓取模块,用于抓取各待分析主机的网络接口通信流量;
分析模块,用于对所述网络接口通信流量进行分析,以获取所述各待分析主机的访问日志;
确定模块,用于根据所述访问日志,从所述各待分析主机中确定出可疑主机。
在本公开的第三方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
在本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本公开的第一方面和/或第二发面的方法。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了根据本公开的一种实施例的可疑主机的确定方法的流程图;
图2示出了根据本公开的另一种实施例的可疑主机的确定方法的流程图;
图3示出了根据本公开的实施例的可疑主机的确定装置的方框图;
图4示出了能够实施本公开的实施例的示例性电子设备的方框图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A 和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本公开中,通过抓取各待分析主机的网络接口通信流量,可对网络接口通信流量进行DPI深度分析,进而根据其自身的访问日志,从各待分析主机中自动确定出可能受感染的可疑主机,以便根据各待分析主机的通信流量能够及时快速地抓取出可疑主机。
图1示出了根据本公开实施例的可疑主机的确定方法100的流程图。
如图1所示,该确定方法100包括:
步骤110,抓取各待分析主机的网络接口通信流量;抓取网络接口通信流量可以实时抓取也可以按照一定时间间隔抓取。
网络接口通信流量用于表征各待分析主机与外界设备之间进行交互的记录。
步骤120,对所述网络接口通信流量进行分析,以获取所述各待分析主机的访问日志;访问日志包括:dns(Domain Name System,域名***)日志、http(Hypertext TransferProtocol,超文本传输协议)日志、ssl(Secure Sockets Layer,安全套接字协议)日志等。
步骤130,根据所述访问日志,从所述各待分析主机中确定出可疑主机。可疑主机即可能感染有木马、病毒等恶意程序的主机。
通过抓取各待分析主机的网络接口通信流量,可对网络接口通信流量进行DPI深度分析(Deep Packet Inspection,一种基于数据包的深度检测技术),以获得各待分析主机的访问日志,进而根据其自身的访问日志,从各待分析主机中自动确定出可能受感染的可疑主机,以便根据各待分析主机的通信流量能够及时快速地抓取出可疑主机。
在一个实施例中,所述访问日志包括:DNS日志;
所述根据所述访问日志,从所述各待分析主机中确定出可疑主机,包括:
根据所述DNS日志,确定所述各待分析主机的访问特征;
根据所述各待分析主机的访问特征,确定所述可疑主机;其中:
所述访问特征包括以下至少一项:
域名访问频率、访问时间段、所述各待分析主机所访问的对端主机。
通过该DNS日志,可确定各待分析主机具体的访问特征,然后根据各待分析主机的访问特征,准确定位出具体的可疑主机,即准确抓取与外界控制服务器有C&C通信的主机。
在一个实施例中,所述根据所述各待分析主机的访问特征,确定所述可疑主机,包括:
从所述各待分析主机的访问特征中确定出匹配预设访问条件的访问特征;
预设访问条件可以是访问频率较高但又不属于alexa-top1m网站的域名(即全球访问量排名前100万的域名白名单),或者还可以附加访问时间段是凌晨、对端主机是被多次标记的可疑服务器等。
确定所述匹配预设访问条件的访问特征所对应的访问地址(即具有该访问特征的访问过程所使用的访问地址);
将所述各待分析主机中发起所述访问地址的一个或多个主机确定为候选主机;
从所述候选主机中确定出所述可疑主机。
匹配预设访问条件的访问特征即为可疑主机通常容易出现的访问特征,所以,匹配预设访问条件的访问特征所对应的访问地址为可疑域名对应的 IP地址,所以,对该访问地址发起访问请求的一个或多个主机即为有些受感染的主机群,因而,可将该一个或多个主机确定为候选主机,从而从小范围的候选主机中可更加准确地确定出可疑主机。
在一个实施例中,所述访问日志包括:http访问日志和/或ssl访问日志;
所述从所述候选主机中确定出所述可疑主机,包括:
对所述候选主机相对于响应所述访问地址的对端主机的http访问日志和/或ssl访问日志进行分析,以从所述候选主机中确定出所述可疑主机。
对端主机即响应候选主机通过该访问地址发起的各种请求的主机,也是候选主机通过该访问地址所访问的主机。
通过对候选主机相对于响应所述访问地址的对端主机的http访问日志和/或ssl访问日志进行自动分析,有利于通过访问日志进一步准确锁定出候选主机。
在一个实施例中,所述对所述候选主机相对于响应所述访问地址的对端主机的http访问日志和/或ssl访问日志进行分析,以从所述候选主机中确定出所述可疑主机,包括:
判断所述候选主机中各主机相对于响应所述访问地址的对端主机的 http访问日志和/或ssl访问日志是否记录有可疑行为;
当记录有可疑行为时,根据所述可疑行为对应的可疑度,确定所述候选主机中各主机的可疑评分;
不同的可疑行为可有不同的可疑度,因而,根据不同的可疑行为,可计算出不同的可疑评分,而可疑评分越高,该主机的可疑等级越高,则越可能是可疑主机。
根据所述候选主机中各主机的可疑评分,从所述候选主机中确定出所述可疑主机。
由于访问日志中记录有用户从候选主机通过该访问地址访问对端主机这一访问过程中用户各种的访问行为如使用了什么样的访问协议、访问的具体页面、对页面的具体操作、被访问网站是否有官方证书等,因而,可通过该http访问日志和/或ssl访问日志判断是否记录有可疑行为,并根据可疑行为对应的可疑度,确定候选主机中各主机的可疑评分,然后根据各主机的可疑评分的高低,从候选主机中自动确定出所述可疑主机。
在一个实施例中,所述根据所述候选中主机各主机的可疑评分,从所述候选主机中确定出所述可疑主机,包括:
根据所述候选主机中各主机的可疑评分与多个预设可疑评分范围之间的关系,确定所述候选主机各主机的可疑等级;
从所述候选主机中筛选出可疑等级高于预设等级的主机作为所述可疑主机;和/或
将所述候选主机中可疑评分高于预设评分的主机确定为所述可疑主机。
根据候选主机中各主机的可疑评分与多个预设可疑评分范围之间的关系,可确定候选主机中各主机分别位于哪个预设可疑评分范围内,然后确定所述候选主机中各主机的可疑等级,进而从候选主机中筛选出可疑等级高于预设等级的主机作为所述可疑主机;和/或将所述候选主机中可疑评分高于预设评分的主机确定为所述可疑主机,从而使得选择出的可疑主机准确度更高,避免误选择。
在一个实施例中,所述可疑行为包括以下至少一项:
下载文件;由于候选主机可能是被攻陷/被感染的主机群,针对这类主机黑客就可以根据候选主机的***版本,下载对应的木马文件或病毒文件到候选主机本地,以便进行下一步的入侵操作,因而,如果候选主机出现下载文件的行为,则比较可疑,属于可疑行为。
建立并维持长连接;
频繁连接;如一定时间内,候选主机中某主机多次向某对端主机发起连接请求。
发起异常http请求;异常http请求即出现http协议解析出错的http请求。
发起基于ip地址的http请求;一般正常的访问是通过域名发起http请求,所以,如果通过ip地址发起http请求,则就属于可疑行为。
所述对端主机的证书为自签名证书。如果候选主机中某主机通过ssl请求访问对端主机时,提示不是可信网站,是否继续访问,则对端主机的证书为自签名证书,即颁发证书的机构并非权威机构。
下面将结合图2的方法200进一步详细说明本发明的技术方案:
流量采集:抓取网络接口流量(交换机上的访问记录/通信流量,包括证书、协议、页面内容等),并进行DPI(深度包解析),记录长连接日志、 dns日志、http日志、ssl日志等。
域名频率分析:分析一段时间内的dns日志,统计域名访问频率,对访问频率较高且不属于alexa-top1m网站(alexa-top1m网站如全球访问量排名前100万的域名白名单)的域名,列为可疑域名(本地所访问的域名),记录此域名dns请求的响应ip地址(记为RA),可疑域名与响应ip地址一一对应的,以及将发起该dns请求的本地主机记为LA。
跟踪分析LA后续的流量。
分析http流量是否有以下可疑行为:
a)下载文件:本地主机LA向远程主机RA下载文件。
b)长连接:本地主机LA向远程主机(RA/RB/RC等等)发起长连接。
c)定期频繁连接:本地主机LA向远程主机(RA/RB/RC等等)发起定期频繁连接。
d)异常的http请求:本地主机LA向远程主机(RA/RB/RC等等)发起异常的http请求。如:合法性检查,然后http协议解析出错(不是按照 http标准发起的http请求,这已经记录好了)。
e)基于ip地址访问的http请求:本地主机LA向远程主机(RA/RB/RC 等等)发起基于ip地址访问的http请求。
分析ssl流量是否有以下可疑行为:
a)自签名证书:本地主机LA向远程主机RA发起ssl请求,远程主机 RA的证书是自签名证书。
b)长连接:本地主机LA向远程主机(RA/RB/RC等等)发起ssl长连接。如5分钟以上
c)定期频繁连接:本地主机LA向远程主机(RA/RB/RC等等)发起定期频繁ssl连接。
结论:若本地主机LA存在上述可疑行为,则本地主机LA为很可能是感染有木马或病毒的可疑主机,远程地址RA/RB/RC(分别为不同远程地址对应的远程主机)等均为可疑的C&C通信地址。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本公开并不受所描述的动作顺序的限制,因为依据本公开,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本公开所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本公开所述方案进行进一步说明。
图3示出了根据本公开的实施例的可疑主机的确定装置500的方框图。装置300包括:
抓取模块310,用于抓取各待分析主机的网络接口通信流量;
分析模块320,用于对所述网络接口通信流量进行分析,以获取所述各待分析主机的访问日志;
确定模块330,用于根据所述访问日志,从所述各待分析主机中确定出可疑主机。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
图4示出了可以用来实施本公开的实施例的电子设备400的示意性框图。设备400可以用于实现图3的可疑主机的确定装置300。如图4所示,设备400包括CPU401,其可以根据存储在ROM402中的计算机程序指令或者从存储单元408加载到RAM403中的计算机程序指令,来执行各种适当的动作和处理。在RAM 403中,还可以存储设备400操作所需的各种程序和数据。CPU 401、ROM 402以及RAM 403通过总线404彼此相连。I/O接口405也连接至总线404。
设备400中的多个部件连接至I/O接口405,包括:输入单元406,例如键盘、鼠标等;输出单元407,例如各种类型的显示器、扬声器等;存储单元408,例如磁盘、光盘等;以及通信单元409,例如网卡、调制解调器、无线通信收发机等。通信单元409允许设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理单元401执行上文所描述的各个方法和处理,例如方法100、200。例如,在一些实施例中,方法100、200可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元408。在一些实施例中,计算机程序的部分或者全部可以经由ROM 402和/或通信单元409而被载入和/或安装到设备400上。当计算机程序加载到RAM 403并由CPU 401执行时,可以执行上文描述的方法100、200的一个或多个步骤。备选地,在其他实施例中,CPU401可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法100、200。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上***(SOC)、复杂可编程逻辑器件(CPLD)等等。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行***、装置或设备使用或与指令执行***、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、RAM、ROM、EPROM、光纤、CD-ROM、光学储存设备、磁储存设备、或上述内容的任何合适组合。
此外,虽然采用特定次序描绘了各操作,但是这应当理解为要求这样操作以所示出的特定次序或以顺序次序执行,或者要求所有图示的操作应被执行以取得期望的结果。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实现中。相反地,在单个实现的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实现中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。

Claims (6)

1.一种可疑主机的确定方法,其特征在于,包括:
抓取各待分析主机的网络接口通信流量;
对所述网络接口通信流量进行分析,以获取所述各待分析主机的访问日志,所述访问日志包括DNS日志、http访问日志和/或ssl访问日志;
根据所述DNS日志,确定所述各待分析主机的访问特征;所述访问特征包括域名访问频率、访问时间段或所述各待分析主机所访问的对端主机中的至少一种;
从所述各待分析主机的访问特征中确定出匹配预设访问条件的访问特征;
确定所述匹配预设访问条件的访问特征所对应的访问地址;
将所述各待分析主机中发起所述访问地址的一个或多个主机确定为候选主机;
判断所述候选主机中各主机相对于响应所述访问地址的对端主机的http访问日志和/或ssl访问日志是否记录有可疑行为;
当记录有可疑行为时,根据所述可疑行为对应的可疑度,确定所述候选主机中各主机的可疑评分;
根据所述候选主机中各主机的可疑评分,从所述候选主机中确定出所述可疑主机。
2.根据权利要求1所述的方法,其特征在于,
所述根据所述候选主机中 各主机的可疑评分,从所述候选主机中确定出所述可疑主机,包括:
根据所述候选主机中各主机的可疑评分与多个预设可疑评分范围之间的关系,确定所述候选主机各主机的可疑等级;
从所述候选主机中筛选出可疑等级高于预设等级的主机作为所述可疑主机;和/或
将所述候选主机中可疑评分高于预设评分的主机确定为所述可疑主机。
3.根据权利要求1所述的方法,其特征在于,所述可疑行为包括以下至少一项:
下载文件;
建立并维持长连接;
频繁连接;
发起异常http请求;
发起基于ip地址的http请求;
所述对端主机的证书为自签名证书。
4.一种可疑主机的确定装置,其特征在于,包括:
抓取模块,用于抓取各待分析主机的网络接口通信流量;
分析模块,用于对所述网络接口通信流量进行分析,以获取所述各待分析主机的访问日志,所述访问日志包括DNS日志、http访问日志和/或ssl访问日志;
确定模块,用于根据所述DNS日志,确定所述各待分析主机的访问特征;所述访问特征包括域名访问频率、访问时间段或所述各待分析主机所访问的对端主机中的至少一种;从所述各待分析主机的访问特征中确定出匹配预设访问条件的访问特征;确定所述匹配预设访问条件的访问特征所对应的访问地址;将所述各待分析主机中发起所述访问地址的一个或多个主机确定为候选主机;判断所述候选主机中各主机相对于响应所述访问地址的对端主机的http访问日志和/或ssl访问日志是否记录有可疑行为;当记录有可疑行为时,根据所述可疑行为对应的可疑度,确定所述候选主机中各主机的可疑评分;根据所述候选主机中各主机的可疑评分,从所述候选主机中确定出所述可疑主机。
5.一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~3中任一项所述的方法。
6.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~3中任一项所述的方法。
CN202110790445.4A 2021-07-13 2021-07-13 可疑主机的确定方法、装置、设备和计算机可读存储介质 Active CN113645191B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110790445.4A CN113645191B (zh) 2021-07-13 2021-07-13 可疑主机的确定方法、装置、设备和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110790445.4A CN113645191B (zh) 2021-07-13 2021-07-13 可疑主机的确定方法、装置、设备和计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN113645191A CN113645191A (zh) 2021-11-12
CN113645191B true CN113645191B (zh) 2023-02-28

Family

ID=78417205

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110790445.4A Active CN113645191B (zh) 2021-07-13 2021-07-13 可疑主机的确定方法、装置、设备和计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN113645191B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118157989A (zh) * 2024-05-08 2024-06-07 安徽华云安科技有限公司 Webshell内存马检测方法、装置、设备以及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111371735A (zh) * 2018-12-26 2020-07-03 中兴通讯股份有限公司 僵尸网络检测方法、***及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2222048A1 (en) * 2009-02-24 2010-08-25 BRITISH TELECOMMUNICATIONS public limited company Detecting malicious behaviour on a computer network
US9419992B2 (en) * 2014-08-13 2016-08-16 Palantir Technologies Inc. Unwanted tunneling alert system
US10944770B2 (en) * 2018-10-25 2021-03-09 EMC IP Holding Company LLC Protecting against and learning attack vectors on web artifacts
CN110912902B (zh) * 2019-11-27 2022-04-19 杭州安恒信息技术股份有限公司 一种访问请求处理的方法、***、设备及可读存储介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111371735A (zh) * 2018-12-26 2020-07-03 中兴通讯股份有限公司 僵尸网络检测方法、***及存储介质

Also Published As

Publication number Publication date
CN113645191A (zh) 2021-11-12

Similar Documents

Publication Publication Date Title
US9900344B2 (en) Identifying a potential DDOS attack using statistical analysis
US8239687B2 (en) Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data
US11647037B2 (en) Penetration tests of systems under test
US10944784B2 (en) Identifying a potential DDOS attack using statistical analysis
US9215245B1 (en) Exploration system and method for analyzing behavior of binary executable programs
US11025660B2 (en) Impact-detection of vulnerabilities
CN113489713B (zh) 网络攻击的检测方法、装置、设备及存储介质
US10313370B2 (en) Generating malware signatures based on developer fingerprints in debug information
CN111131320B (zh) 资产识别方法、装置、***和介质
EP3884413A1 (en) Method and system for remediating cybersecurity vulnerabilities based on utilization
US10091225B2 (en) Network monitoring method and network monitoring device
WO2018131199A1 (ja) 結合装置、結合方法および結合プログラム
CN110943984A (zh) 一种资产安全保护方法及装置
CN105959294B (zh) 一种恶意域名鉴别方法及装置
US11550920B2 (en) Determination apparatus, determination method, and determination program
CN113645191B (zh) 可疑主机的确定方法、装置、设备和计算机可读存储介质
CN114793171B (zh) 访问请求的拦截方法、装置、存储介质及电子装置
US11163882B2 (en) Analysis apparatus, analysis method, and analysis program
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN116170186A (zh) 基于网络流量分析的攻击代码在线检测方法和装置
CN114793204A (zh) 一种网络资产探测方法
CN110493224B (zh) 一种子域名劫持漏洞探测方法、装置及设备
WO2017110099A1 (ja) 情報処理装置、情報処理方法及びプログラム
WO2017110100A1 (ja) 情報処理装置、情報処理方法及びプログラム
US9049170B2 (en) Building filter through utilization of automated generation of regular expression

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant