【技术实现步骤摘要】
失陷主机识别方法、装置、服务设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种失陷主机识别方法、装置、服务设备及存储介质。
技术介绍
[0002]失陷主机指的是网络中已被攻击者成功入侵并被远程控制或者有恶意行为产生的主机。伴随着高级病毒的发展,失陷主机受控或发起恶意行为往往难寻规律、隐蔽性极强,以致部分失陷主机难以被感知。因此,如何能够及时和有效的识别发现失陷主机是迫切需要解决的技术问题。
[0003]目前,现有技术中,主要是通过主机在一定时间范围内的网络异常行为,来判定为失陷主机的。
[0004]然而,现有技术中,由于攻击者在获取某些主机控制权后,会将其作为跳板机去攻击其他主机,使得失陷主机的网络异常行为较单一,尤其是攻击过程时间拉长时,会导致一定时间周期内网络异常行为并不明显,导致失陷主机的识别出现漏洞。
技术实现思路
[0005]本专利技术提供一种失陷主机识别方法、装置、服务设备及存储介质,以解决现有技术因为失陷主机一定时间周期内网络异常行为并不明显导致的失陷主机识...
【技术保护点】
【技术特征摘要】
1.一种失陷主机识别方法,其特征在于,应用于服务设备,包括:获取任一目标主机访问其他主机的访问登录信息;根据所述访问其他主机的访问登录信息,判断所述目标主机是否为失陷主机;若所述目标主机为失陷主机,则将所述目标主机为失陷主机的识别结果发送至监控平台,以使所述监控平台根据所述识别结果进行预警。2.根据权利要求1所述的方法,其特征在于,其中所述访问其他主机的访问登录信息为以所述目标主机为源主机、其他主机为目的主机的第一访问登录信息;相应地,所述根据所述访问其他主机的访问登录信息,判断所述目标主机是否为失陷主机之前,还包括:获取目标主机的自身登录信息;相应地,所述根据所述访问其他主机的访问登录信息,判断所述目标主机是否为失陷主机,包括:若所述自身登录信息中包括超过第一预设数量的登录失败信息,则判断所述自身登录信息中是否具有与所述登录失败信息的登录类型相同的登录成功信息;若具有登录类型相同的登录成功信息,则判断所述第一访问登录信息在第一预设时间内是否具有超过第二预设数量的登录失败信息和登录成功信息;若判定所述第一访问登录信息在第一预设时间内具有超过第二预设数量的登录失败信息和登录成功信息,则判定所述目标主机为失陷主机。3.根据权利要求2所述的方法,其特征在于,所述判定所述第一访问登录信息在第一预设时间内具有超过第二预设数量的登录失败信息和登录成功信息之后,还包括:判断所述第一访问登录信息在第二预设时间内是否不存在登录行为或是否存在低于第三预设数量的登录行为;若判定所述第一访问登录信息在第二预设时间内不存在登录行为或存在低于第三预设数量的登录行为,则判定所述目标主机为失陷主机。4.根据权利要求1所述的方法,其特征在于,其中所述访问其他主机的访问登录信息为以所述目标主机为源主机、其他主机为目的主机的第一访问登录信息;相应地,所述根据所述访问其他主机的访问登录信息,判断所述目标主机是否为失陷主机,包括;判断所述第一访问登录信息在第一预设时间内是否具有超过第二预设数量的登录失败信息和登录成功信息;若判定所述第一访问登录信息在第一预设时间内具有超过第二预设数量的登录失败信息和登录成功信息,则判断所述第一访问登录信息在第二预设时间内是否不存在登录行为或是否存在低于第三预设数量的登录行为;若判定所述第一访问登录信息在第二预设时间内不存在登录行为或存在低于第三预设数量的登录行为,则判定所述目标主机为失陷主机。5.根据权利要求1所述的方法,其特征在于,其中所述访问其他主...
【专利技术属性】
技术研发人员:李发财,余思阳,徐瑶,王欢,王艺,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。