【技术实现步骤摘要】
一种失陷主机检测方法及相关装置
[0001]本申请涉及计算机
,特别涉及一种失陷主机检测方法、另一种失陷主机检测方法、失陷主机检测装置、失陷主机检测设备以及计算机可读存储介质。
技术介绍
[0002]随着SSL(Secure Sockets Layer,安全套接层)/TLS(Transport Layer Security Protocol,安全传输层协议)加密技术在互联网上的普及,越来越多的恶意软件也使用SSL/TLS加密方式传输数据。然而,相关技术的检测恶意加密流量的技术都是基于解密后的解析规则来实现的,不仅存在泛化能力弱、召回率低、漏检等问题,还会消耗大量的资源,成本很高,同时也违反了加密的初衷,解密过程会受到隐私保护相关法律法规的严格限制。
[0003]因此,如何实现失陷主机的精准检测,同时降低检测成本是本领域技术人员亟待解决的问题。
技术实现思路
[0004]本申请的目的是提供一种失陷主机检测方法、另一种失陷主机检测方法、失陷主机检测装置、失陷主机检测设备以及计算机可读存储介质,实现失陷主机的精准检测,同时降低检测成本。
[0005]为解决上述技术问题,本申请提供一种失陷主机检测方法,包括:
[0006]获取目标主机的流量;其中,所述流量包括加密流量和非加密流量;
[0007]对所述加密流量和所述非加密流量分别进行行为特征提取,获得加密流量行为特征和非加密流量行为特征;其中,流量行为特征包括流量包数量和/或流量包大小和/或流量包时间;
[0008 ...
【技术保护点】
【技术特征摘要】
1.一种失陷主机检测方法,其特征在于,包括:获取目标主机的流量;其中,所述流量包括加密流量和非加密流量;对所述加密流量和所述非加密流量分别进行行为特征提取,获得加密流量行为特征和非加密流量行为特征;其中,流量行为特征包括流量包数量和/或流量包大小和/或流量包时间;基于历史流量行为特征对所述加密流量行为特征和所述非加密流量行为特征分别进行极值差异评估,得到加密流量评估值和非加密流量评估值;其中,所述历史流量行为特征的时间长度大于所述流量的时间长度;若所述加密流量评估值大于预设值,基于所述非加密流量评估值对所述目标主机进行失陷程度评估,得到所述目标主机作为失陷主机的失陷程度数值。2.根据权利要求1所述的失陷主机检测方法,其特征在于,所述非加密流量为出现告警情况的非加密流量。3.根据权利要求1所述的失陷主机检测方法,其特征在于,所述获取目标主机的流量之前,还包括:获取目标网络区域内所有主机在当前时间段内的流量数据;将存在加密流量的流量数据所属的主机作为所述目标主机。4.根据权利要求1所述的失陷主机检测方法,其特征在于,所述历史流量特征包括历史数据中对应流量包数量的最大值和/或历史数据中对应流量包长的最大值和/或历史数据中所有对应流量包的时间集合。5.根据权利要求4所述的失陷主机检测方法,其特征在于,基于历史流量行为特征对所述加密流量行为特征进行极值差异评估,得到加密流量评估值,包括:将所述加密流量行为特征的流量包数量与所述历史流量特征的加密流量包数量的最大值进行差异分值计算,获得数量的异常分值;和/或将所述加密流量行为特征的流量包大小与所述历史流量特征的加密流量包长的最大值进行差异分值计算,获得大小的异常分值;和/或将所述加密流量行为特征的流量包时间与所述历史流量特征的所有加密流量包的时间集合进行差异分值计算,获得时间的异常分值;基于所述异常分值确定所述加密流量评估值。6.根据权利要求4所述的失陷主机检测方法,其特征在于,基于历史流量行为特征对所述非加密流量行为特征进行极值差异评估,得到非加密流量评估值,包括:将所述非加密流量行为特征的流量包数量与所述历史流量特征的非加密流量包数量的最大值进行差异分值计算,获得数量的异常分值;和/或将所述非加密流量行为特征的流量包大小与所述历史流量特征的非加密流量包长的最大值进行差异分值计算,获得大小的异常分值;和/或将所述非加密流量行为特征的流量包时间与所述历史流量特征的所有非加密流量包的时间集合进行差异分值计算,获得时间的异常分值;基于所述异常分值确定所述非加密流量评估值。7.根据权利要求1所述的失陷主机检测方法,其特征在于,基于历史流量行为特征对所述加密流量行为特征和所述非加密流量行为特征分别进行极值差异评估,得到加密流量评
估值和非加密流量评估值,包括:将所述历史流量行为特征、所述加密流量行为特征、所述非加密流量行为特征分别进行向量化处理,得到历史流量行为特征向量、加密流量行为特征向量、非加密流量行为特征向量;分别计算所述历史流量行为特征向量与所述加密流量行...
【专利技术属性】
技术研发人员:宁阳,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。