本发明专利技术公开了一种失陷主机识别方法、装置、设备及存储介质。其中,所述方法包括:对获取的流量基于源主机标识和预设的识别特征进行筛选,确定源主机对应的第一流量集;对所述第一流量集基于所述识别特征进行权重分析,确定符合设定要求的可疑流量及对应的时间点;统计设定时长内可疑流量及对应的时间点,确定所述设定时长内是否存在符合设定规律的定时任务,若存在所述定时任务,则确定所述源主机为失陷主机。通过识别可疑流量的时间点对应的规律来确定定时任务,可以减少因数据包的丢失或者延迟对定时任务识别的影响,提高了定时任务的识别的可靠性及准确性。
Identification method, device, equipment and storage medium of lost host
【技术实现步骤摘要】
失陷主机识别方法、装置、设备及存储介质
本专利技术涉及网络安全领域,尤其涉及一种失陷主机识别方法、装置、设备及存储介质。
技术介绍
APT(AdvancedPersistentThreat,高级持续性威胁)攻击是一种针对性攻击,利用先进的攻击手段对特定目标进行长期持续性网络攻击。恶意攻击者通过安全漏洞获取到目标主机的系统权限之后,为了长期的保持当前的系统权限,往往会通过定时任务(timedtask)设置相关的权限维持(maintainPermission)方式。如何有效识别用于权限维持的定时任务,以判断目标主机是否遭受APT攻击,是网络安全领域亟待解决的技术问题。
技术实现思路
有鉴于此,本专利技术实施例提供了一种失陷主机识别方法、装置、设备及存储介质,旨在解决如何判断目标主机是否为失陷主机的技术问题。本专利技术实施例的技术方案是这样实现的:本专利技术实施例提供了一种失陷主机识别方法,包括:对获取的流量基于源主机标识和预设的识别特征进行筛选,确定源主机对应的第一流量集;对所述第一流量集基于所述识别特征进行权重分析,确定符合设定要求的可疑流量及对应的时间点;统计设定时长内可疑流量及对应的时间点,确定所述设定时长内是否存在符合设定规律的定时任务,若存在所述定时任务,则确定所述源主机为失陷主机。本专利技术实施例又提供了一种失陷主机识别装置,包括:第一确定模块,用于对获取的流量基于源主机标识和预设的识别特征进行筛选,确定源主机对应的第一流量集;第二确定模块,用于对所述第一流量集基于所述识别特征进行权重分析,确定符合设定要求的可疑流量及对应的时间点;识别模块,用于统计设定时长内可疑流量及对应的时间点,确定所述设定时长内是否存在符合设定规律的定时任务,若存在所述定时任务,则确定所述源主机是否为失陷主机。本专利技术实施例还提供了一种失陷主机识别设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器,用于运行计算机程序时,执行本专利技术实施例所述方法的步骤。本专利技术实施例还提供了一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本专利技术实施例所述方法的步骤。本专利技术实施例提供的技术方案,通过对获取的流量基于源主机标识和预设的识别特征进行筛选确定第一流量集,由于需要对流量进行筛选确定第一流量集,可以减少流量监测过程中的数据包丢失对后续识别造成影响的可能性,且对所述第一流量集基于所述识别特征进行权重分析,确定符合要求的可疑流量及对应的时间点,统计设定时长内可疑流量及对应的时间点,确定所述设定时长内是否存在符合设定规律的定时任务,通过识别可疑流量的时间点对应的规律来确定定时任务,可以减少因数据包的丢失或者延迟对定时任务识别的影响,提高了定时任务的识别的可靠性及准确性。附图说明图1为本专利技术实施例失陷主机识别方法的流程示意图;图2为本专利技术实施例失陷主机识别方法中判断所述时间序列是否符合设定规律的流程示意图;图3为本专利技术一应用示例中失陷主机识别方法的流程示意图;图4为本专利技术一应用示例中对时间序列进行周期性判断的流程示意图;图5为本专利技术一应用示例中时间序列的示意图;图6为本专利技术一应用示例中对时间序列经快速傅里叶变换后生成的频谱数据示意图;图7为本专利技术一应用示例中对频谱数据进行叠加降噪后的频谱数据示意图;图8为本专利技术一应用示例中可疑流量是否符合设定规律的判断流程示意图;图9为本专利技术实施例失陷主机识别装置的结构示意图;图10为本专利技术实施例失陷主机识别设备的结构示意图。具体实施方式下面结合附图及实施例对本专利技术再作进一步详细的描述。除非另有定义,本文所使用的所有的技术和科学术语与属于本专利技术的
的技术人员通常理解的含义相同。本文中在本专利技术的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本专利技术。相关技术中,恶意攻击者通过安全漏洞获取到服务器的系统权限之后,为了长期的保持当前的系统权限,往往会通过定时任务设置相关的权限维持方式,其中,定时任务是指基于给定的时间点、给定的时间间隔或者给定的执行次数自动执行的任务,权限维持是指通过安全漏洞获取到目标主机(比如,服务器)的系统权限后,保持当前的系统权限,且不会因为服务器的管理员发现和修补安全漏洞而丢失服务器的系统权限。通过对大量的病毒样本分析、各类的安全报告、病毒报告与应急响应经验的总结后发现,当前权限维持方式多数采用HTTP(HyperTextTransferProtocol,超文本传输协议)维持当前权限,恶意攻击者通过写入定时任务、WMI(WindowsManagementInstrumentation)等方式访问某恶意域名反弹shell达到一个长期的权限维持方式(即被攻击的服务器主动连接恶意域名来保持权限维持)。网络安全设备一般仅通过流量中携带的内容与威胁情报做匹配识别来判断是否为恶意请求,但该方式存在缺陷导致无法有效识别定时任务,具体如下:1、恶意攻击者往往使用各大IDC(InternetDataCenter,互联网数据中心)主机或者VPS(VirtualPrivateServer,虚拟专用服务器),可以绕过威胁情报的检测;2、由于计划任务的请求次数较少,在众多HTTP请求中难以被发现;3、流量检测过程中,容易出现数据包丢失与流量延迟,从而影响检测数据的完整性,导致无法准确识别出定时任务。基于此,在本专利技术的各种实施例中,通过对获取的流量基于源主机标识和预设的识别特征进行筛选确定第一流量集,可以减少流量监测过程中的数据包丢失对后续识别造成影响的可能性,且对所述第一流量集基于所述识别特征进行权重分析,确定符合要求的可疑流量及对应的时间点,统计设定时长内所述可疑流量及对应的时间点,确定所述设定时长内是否存在符合设定规律的定时任务,由于通过识别可疑流量的时间点对应的规律来确定定时任务,可以减少因数据包的丢失或者延迟对定时任务识别的影响,提高了定时任务的识别的可靠性及准确性。本专利技术实施例提供了一种失陷主机识别方法,应用于流量层设备,该流量层设备可以为NTA(NetFlowAnalyzer,网络流量分析)设备、IDS(IntrusionDetectionSystems,入侵检测系统)、应用层网关等。如图1所示,该方法包括:步骤101,对获取的流量基于源主机标识和预设的识别特征进行筛选,确定源主机对应的第一流量集;步骤102,对所述第一流量集基于所述识别特征进行权重分析,确定符合设定要求的可疑流量及对应的时间点;步骤103,统计设定时长内可疑流量及对应的时间点,确定所述设定时长内是否存在符合设定规律的定时任务,若存在所述定时任务,则确定所述源主机为失陷主机。这里,定时任务是指设定时长内可疑流量以相等或者近似相等的间隔周期性出现达到设定次数。可疑流量对应的时间点是指流量数据中携带的时间戳对应的时间点。本本文档来自技高网...
【技术保护点】
1.一种失陷主机识别方法,其特征在于,包括:/n对获取的流量基于源主机标识和预设的识别特征进行筛选,确定源主机对应的第一流量集;/n对所述第一流量集基于所述识别特征进行权重分析,确定符合设定要求的可疑流量及对应的时间点;/n统计设定时长内可疑流量及对应的时间点,确定所述设定时长内是否存在符合设定规律的定时任务,若存在所述定时任务,则确定所述源主机为失陷主机。/n
【技术特征摘要】
1.一种失陷主机识别方法,其特征在于,包括:
对获取的流量基于源主机标识和预设的识别特征进行筛选,确定源主机对应的第一流量集;
对所述第一流量集基于所述识别特征进行权重分析,确定符合设定要求的可疑流量及对应的时间点;
统计设定时长内可疑流量及对应的时间点,确定所述设定时长内是否存在符合设定规律的定时任务,若存在所述定时任务,则确定所述源主机为失陷主机。
2.根据权利要求1所述的方法,其特征在于,所述对获取的流量基于源主机标识和预设的识别特征进行筛选,确定源主机对应的第一流量集,包括:
基于源主机标识确定同一源主机对应的初始流量集;
对所述初始流量集基于所述识别特征进行识别,筛选出所述第一流量集。
3.根据权利要求1所述的方法,其特征在于,所述对所述第一流量集基于所述识别特征进行权重分析,确定符合设定要求的可疑流量及对应的时间点,包括:
对所述第一流量集的每个流量,基于所述识别特征进行赋值,将各赋值基于相应的权重进行加权,得到相应流量的评分值;
确定评分值属于设定阈值范围的流量为可疑流量,记录可疑流量对应的时间点。
4.根据权利要求1所述的方法,其特征在于,所述识别特征包括以下至少之一:
流量对应的下载地址为互联网协议IP地址;
流量对应的统一资源标识符URI的路径小于或等于设定目录级数;
流量对应的端口地址为异常端口地址;
流量对应的下载文件名为简单文件名;
流量对应的IP地址为境外IP地址;
流量对应的请求次数大于或等于第一设定阈值;
流量对应的URI重复次数大于或等于第二设定阈值;
流量请求同一目标主机下的URI的数量小于或等于第三设定阈值;
流量请求的文件被伪造;
流量对应的请求头字段不完整。
5.根据权...
【专利技术属性】
技术研发人员:蒲大峰,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。