【技术实现步骤摘要】
一种失陷主机的确定方法、装置及计算机设备
[0001]本申请涉及通信
,尤其涉及一种失陷主机的确定方法、装置及计算机设备。
技术介绍
[0002]失陷主机指网络入侵攻击者以某种方式获得控制权的主机。在获得控制权后,攻击者可能以该主机为跳板继续攻击企业内网的其它主机,且还会主动与网络入侵攻击者指定的IP或者域名进行通信,并传输其上存储的安全数据。另外,失陷主机往往具有无规律性、高隐蔽性的特点,很多入侵动作本身难以识别或无法确认攻击对否成功。所以,需要对各主机进行失陷检测,以及时的对失陷主机进行修复,从而保障企业的用网安全。
[0003]相关技术中,失陷主机的确定方法包括获取待检测域名,并判断待检测域名是否为恶意域名,若该待检测域名为恶意域名,则存储有该待检测域名的待检测主机直接确定为失陷主机。
[0004]然而,上述确定失陷主机的方法准确性较低。
技术实现思路
[0005]本申请实施例提供了一种失陷主机的确定方法、装置及计算机设备,能够根据对待检测主机进行恶意域名检测后从待检测主机中确定疑...
【技术保护点】
【技术特征摘要】
1.一种失陷主机的确定方法,其特征在于,所述确定方法包括:获取各待检测主机的初始安全数据,所述初始安全数据是所述待检测主机在运行过程中产生的数据;基于异构数据融合法对各所述初始安全数据进行融合,得到目标安全数据;将所述目标安全数据中的各待检测域名输入至检测模型中进行恶意域名检测,并基于检测结果从各所述待检测主机中筛选出疑似主机,所述疑似主机的各待检测域名中包括所述恶意域名,所述检测模型由正常域名与恶意域名训练所得;基于所述疑似主机的初始安全数据,从所述疑似主机中确定失陷主机。2.根据权利要求1所述的确定方法,其特征在于,所述基于所述疑似主机的初始安全数据,从所述疑似主机中确定失陷主机,包括:通过风险数据识别风险模型对所述疑似主机的初始安全数据进行风险数据识别,得到识别结果,所述风险数据识别风险模型是根据不同类型的风险数据基于神经网络模型训练获得;若所述识别结果为从所述疑似主机的初始安全数据中识别出风险数据,则将所述疑似主机确定为失陷主机;所述风险数据包括目标资产数据、漏洞数据、目标用户数据以及威胁情报数据中的至少一种,所述目标资产数据为保密等级大于预定等级的资产数据,所述目标用户数据为具有预定操作权限的用户数据。3.根据权利要求2所述的确定方法,其特征在于,所述方法还包括:获取所述失陷主机的风险数据;基于所述失陷主机的风险数据确定所述失陷主机的风险类型;基于所述风险类型,从安全知识库中获取所述风险类型对应的至少一个分类修复策略,所述安全知识库中包括多个风险类型和与所述多个风险类型对应的多个分类修复策略;将所述风险类型对应的各所述分类修复策略按照预定逻辑关系进行组合,得到目标修复策略,所述预定逻辑关系用于表征各所述分类修复策略之间的关联性;基于所述目标修复策略对所述失陷主机进行修复。4.根据权利要求3所述的确定方法,其特征在于,所述失陷主机的风险数据携带风险类型标签,所述基于所述风险类型,从安全知识库中获取所述风险类型对应的至少一个分类修复策略,包括:获取至少一个所述风险类型的风险类型标签;根据所述风险类型的风险类型标签从所述安全知识库中获取与所述风险类型标签对应的至少一个分类修复策略,所述安全知识库中包括多个风险类型标签和与各风险类型标签对应的多个分类修复策略。5.根据权利要求4所述的确定方法,其特征在于,所述分类修复策略中包括多条执行步骤,所述将所述风险类型对应的各所述分类修复策略按照预定逻辑关系进行组合,得到目标修复策略,包括:从各所述分类修复策略中确定多个操作对象以及与各所述操作对象相关联的多条目标执行步骤;将与各所述操作对象相...
【专利技术属性】
技术研发人员:崔菊,赵欢,高峰,张志超,王秀娟,
申请(专利权)人:北京神州泰岳信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。