一种对主机进行木马检测的方法、装置及电子设备制造方法及图纸

本发明专利技术实施例提供了一种对主机进行木马检测的方法、装置及电子设备，该方法包括：获取待检测主机的内网域名访问日志，从中获取待识别域名；然后，对各个待识别域名进行识别，获得内网域名访问日志中的常用域名和非常用域名，并从内网域名访问日志中，获取主机的域名访问情况数据；最后，将主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测主机是否感染木马。由于域名访问情况数据是根据记录主机访问行为的访问日志动态获得的，将其与域名访问行为基线的比较结果作为检测依据，无需已知木马的特征，因而可以实现对未知类型木马的检测。

A Trojan Horse Detection Method, Device and Electronic Equipment for Main Engine

【技术实现步骤摘要】
一种对主机进行木马检测的方法、装置及电子设备
本专利技术涉及网络安全
，特别涉及一种对主机进行木马检测的方法、装置及电子设备。
技术介绍
随着计算机和互联网技术的广泛应用，网络安全问题也逐渐凸显。木马是网络攻击者实施攻击的常用工具，攻击者通过木马获取目标主机的控制权限，不仅会恶意消耗连接到目标主机的用户设备的资源，还能够窃取用户账户、密码等重要信息。因此，对于木马的检测已经成为了网络安全领域研究的重点问题。目前，对主机进行木马检测时，首先收集主机通过内网访问域名时产生的访问日志，也就是内网域名访问日志，日志中包含主机的源IP、访问的域名、域名访问的时间等信息；然后，对收集到的日志进行特征提取，将提取出的特征与病毒库里已知类型的木马的特征进行匹配；如果匹配成功，则表示主机被木马感染；匹配失败，则表示主机未被感染木马。然而，由于木马不断更新，而病毒库中的木马均是已经被检测出来的，因而现有技术也只能检测病毒库中已知类型的木马，对于未知类型的木马很难进行检测。
技术实现思路
本专利技术实施例的目的在于提供一种对主机进行木马检测的方法、装置及电子设备，以解决对未知类型木马进行检测的问题。具体技术方案如下：第一方面，本专利技术实施例提供了一种对主机进行木马检测的方法，其特征在于，应用于与所述主机通信连接的服务器，所述方法包括：获取待检测主机的内网域名访问日志；从所述内网域名访问日志中获取待识别域名；对各个待识别域名进行识别，获得所述内网域名访问日志中的常用域名和非常用域名；从所述内网域名访问日志中，获取所述主机的域名访问情况数据；所述域名访问情况数据中包含访问所述常用域名和访问所述非常用域名的数据；将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测所述主机是否感染木马；所述域名访问行为基线，为：所述主机在未感染木马的状态下的域名访问情况数据。可选的，所述获取待检测主机的内网域名访问日志的步骤，包括：获取待检测主机在当前检测周期中生成的内网域名访问日志；所述从所述内网域名访问日志中，获取所述主机的域名访问情况数据的步骤，包括：从所述待检测主机在当前检测周期中生成的内网域名访问日志中，获取所述主机在当前检测周期的域名访问情况数据；所述域名访问行为基线，为：所述主机在上一个检测周期中，未感染木马的状态下的域名访问情况数据。可选的，所述从所述内网域名访问日志中获取待识别域名的步骤，包括：获取所述内网域名访问日志中包含的所有域名；对所述所有域名中包含的内部系统的访问域名进行过滤，获得剩余域名，作为待识别域名。可选的，所述对各个待识别域名进行识别，获得所述内网域名访问日志中的常用域名和非常用域名的步骤，包括：从所述待识别域名中选取第一类常用域名；所述第一类常用域名，为：域名综合排名公开数据集中前预设数量个排名中的域名；使用预先训练好的域名识别模型，对所述待识别域名中除所述第一类常用域名外的待识别域名进行识别，获得非常用域名和第二类常用域名；所述预先训练好的域名识别模型，为：预先以预设第一数量的常用域名和/或预设第二数量的非常用域名为样本，训练获得的二分类神经网络模型；合并所述第一类常用域名与所述第二类常用域名，获得所述内网域名访问日志中的常用域名。可选的，在所述将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测所述主机是否感染木马的步骤之后，还包括：如果检测结果为主机未感染木马，则保存所述主机在当前检测周期的域名访问情况数据，作为下一检测周期的域名访问行为基线。可选的，所述当前检测周期为1日；所述从所述待检测主机在当前检测周期中生成的内网域名访问日志中，获取所述主机在当前检测周期的域名访问情况数据的步骤，包括：从所述待检测主机在当日生成的内网域名访问日志中，获取所述主机在当日的域名访问情况数据；所述主机在当日的域名访问情况数据，包括：内网域名访问日志中的域名访问量、访问不同域名的域名数目、当日新访问域名的数目、访问非常用域名的数目、非常用域名的访问量、访问常用域名的数目和常用域名的访问量。可选的，所述将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测所述主机是否感染木马的步骤，包括：计算所述域名访问行为基线和所述主机的域名访问情况数据之间的相似度及偏离度；根据相似度和偏离度的计算结果，判断所述主机是否感染木马。可选的，所述根据相似度和偏离度的计算结果，判断所述主机是否感染木马的步骤，包括：如果所述相似度大于等于预设的第一阈值且所述偏离度小于等于预设的第二阈值，则所述主机被判断为没有感染木马；如果所述相似度小于预设的第一阈值且所述偏离度大于预设的第二阈值，则所述主机被判断为感染木马。可选的，所述相似度，采用如下公式计算得到：所述偏离度，采用如下公式计算得到：其中，n表示所述域名访问行为基线和所述域名访问情况数据的数据维度，Xi为所述域名访问行为基线中的第i维数据，Yi为所述域名访问情况数据中的第i维数据。第二方面，本专利技术实施例提供了一种对主机进行木马检测的装置，其特征在于，应用于与所述主机通信连接的服务器，所述装置包括：日志获取模块，用于获取待检测主机的内网域名访问日志；域名获取模块，用于从所述内网域名访问日志中获取待识别域名；域名识别模块，用于对各个待识别域名进行识别，获得所述内网域名访问日志中的常用域名和非常用域名；数据获取模块，用于从所述内网域名访问日志中，获取所述主机的域名访问情况数据；所述域名访问情况数据中包含访问所述非常用域名和访问常用域名的数据；木马检测模块，用于将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测所述主机是否感染木马；所述域名访问行为基线为：所述主机在未感染木马的状态下的域名访问情况数据。可选的，所述日志获取模块，包括：第一获取单元，用于获取待检测主机在当前检测周期中生成的内网域名访问日志；所述数据获取模块，包括：第二获取单元，用于从所述待检测主机在当前检测周期中生成的内网域名访问日志中，获取所述主机在当前检测周期的域名访问情况数据；所述域名访问行为基线，为：所述主机在上一个检测周期中，未感染木马的状态下的域名访问情况数据。可选的，所述域名获取模块，包括：第三获取单元，用于获取所述内网域名访问日志中包含的所有域名；过滤单元，用于对所述所有域名中包含的内部系统的访问域名进行过滤，获得剩余域名，作为待识别域名。可选的，所述域名识别模块，包括：选取单元，用于从所述待识别域名中选取第一类常用域名；所述第一类常用域名，为：域名综合排名公开数据集中前预设数量个排名中的域名；识别单元，用于使用预先训练好的域名识别模型，对所述待识别域名中除所述第一类常用域名外的待识别域名进行识别，获得非常用域名和第二类常用域名；所述预先训练好的域名识别模型，为：预先以预设第一数量的常用域名和/或预设第二数量的非常用域名为样本，训练获得的二分类神经网络模型；合并单元，用于合并所述第一类常用域名与所述第二类常用域名，获得所述内网域名访问日志中的常用域名。可选的，所述装置还包括：保存模块，用于所述木马检测模块执行将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测所述主机是否感染木马的步骤之后，如果检测结果为主机未感染木马，则保存所述本文档来自技高网...

【技术保护点】
1.一种对主机进行木马检测的方法，其特征在于，应用于与所述主机通信连接的服务器，所述方法包括：获取待检测主机的内网域名访问日志；从所述内网域名访问日志中获取待识别域名；对各个待识别域名进行识别，获得所述内网域名访问日志中的常用域名和非常用域名；从所述内网域名访问日志中，获取所述主机的域名访问情况数据；所述域名访问情况数据中包含访问所述常用域名和访问所述非常用域名的数据；将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测所述主机是否感染木马；所述域名访问行为基线，为：所述主机在未感染木马的状态下的域名访问情况数据。

【技术特征摘要】
1.一种对主机进行木马检测的方法，其特征在于，应用于与所述主机通信连接的服务器，所述方法包括：获取待检测主机的内网域名访问日志；从所述内网域名访问日志中获取待识别域名；对各个待识别域名进行识别，获得所述内网域名访问日志中的常用域名和非常用域名；从所述内网域名访问日志中，获取所述主机的域名访问情况数据；所述域名访问情况数据中包含访问所述常用域名和访问所述非常用域名的数据；将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测所述主机是否感染木马；所述域名访问行为基线，为：所述主机在未感染木马的状态下的域名访问情况数据。2.根据权利要求1所述的方法，其特征在于，所述获取待检测主机的内网域名访问日志的步骤，包括：获取待检测主机在当前检测周期中生成的内网域名访问日志；所述从所述内网域名访问日志中，获取所述主机的域名访问情况数据的步骤，包括：从所述待检测主机在当前检测周期中生成的内网域名访问日志中，获取所述主机在当前检测周期的域名访问情况数据；所述域名访问行为基线，为：所述主机在上一个检测周期中，未感染木马的状态下的域名访问情况数据。3.根据权利要求2所述的方法，其特征在于，所述从所述内网域名访问日志中获取待识别域名的步骤，包括：获取所述内网域名访问日志中包含的所有域名；对所述所有域名中包含的内部系统的访问域名进行过滤，获得剩余域名，作为待识别域名。4.根据权利要求3所述的方法，其特征在于，所述对各个待识别域名进行识别，获得所述内网域名访问日志中的常用域名和非常用域名的步骤，包括：从所述待识别域名中选取第一类常用域名；所述第一类常用域名，为：域名综合排名公开数据集中前预设数量个排名中的域名；使用预先训练好的域名识别模型，对所述待识别域名中除所述第一类常用域名外的待识别域名进行识别，获得非常用域名和第二类常用域名；所述预先训练好的域名识别模型，为：预先以预设第一数量的常用域名和/或预设第二数量的非常用域名为样本，训练获得的二分类神经网络模型；合并所述第一类常用域名与所述第二类常用域名，获得所述内网域名访问日志中的常用域名。5.根据权利要求4所述的方法，其特征在于，在所述将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测所述主机是否感染木马的步骤之后，还包括：如果检测结果为主机未感染木马，则保存所述主机在当前检测周期的域名访问情况数据，作为下一检测周期的域名访问行为基线。6.根据权利要求5所述的方法，其特征在于，所述当前检测周期为1日；所述从所述待检测主机在当前检测周期中生成的内网域名访问日志中，获取所述主机在当前检测周期的域名访问情况数据的步骤，包括：从所述待检测主机在当日生成的内网域名访问日志中，获取所述主机在当日的域名访问情况数据；所述主机在当日的域名访问情况数据，包括：内网域名访问日志中的域名访问量、访问不同域名的域名数目、当日新访问域名的数目、访问非常用域名的数目、非常用域名的访问量、访问常用域名的数目和常用域名的访问量。7.根据权利要求2所述的方法，其特征在于，所述将所述主机的域名访问情况数据和预先创建的域名访问行为基线进行比较，检测所述主机是否感染木马的步骤，包括：计算所述域名访问行为基线和所述主机的域名访问情况数据之间的相似度及偏离度；根据相似度和偏离度的计算结果，判断所述主机是否感染木马。8.根据权利要求7所述的方法，其特征在于，所述根据相似度和偏离度的计算结果，判断所述主机是否感染木马的步骤，包括：如果所述相似度大于等于预设的第一阈值且所述偏离度小于等于预设的第二阈值，则所述主机被判断为没有感染木马；如果所述相似度小于预设的第一阈值且所述偏离度大于预设的第二阈值，则所述主机被判断为感染木马。9.根据权利要求8所述的方法，其特征在于，所述相似度，采用如下公式计算得到：所述偏离度，采用如下公式计算得到：其中，n表示所述域名访问行为基线和所述域名访问情况数据的数据维度，Xi为所述域名访问行为基线中的第i维数据，Yi为所述域名访问情况数据中的第i维数据。10.一种对主机进行木马检测的装置，其特征在于，应用于与所述主机通信连接的服务器，所述装置包括：日志获取模块，用于获取待...

【专利技术属性】
技术研发人员：王巍巍，
申请(专利权)人：北京奇艺世纪科技有限公司，
类型：发明
国别省市：北京,11