一种主机异常网络服务检测方法技术

本发明专利技术公开了一种主机异常网络服务检测方法

【技术实现步骤摘要】
一种主机异常网络服务检测方法、装置、设备及存储介质


[0001]本专利技术涉及网络检测领域，特别涉及一种主机异常网络服务检测方法
、
装置
、
设备及存储介质
。

技术介绍

[0002]主机中任何网络服务都会存在携带恶意攻击程序的风险，且任何恶意攻击程序都会提供服务，而现有技术对于携带恶意攻击程序的网络服务的检测大多基于单主机
、
流量检测为主，通过分析单主机网络服务流量的异常从而确定其网络服务是否异常，但单主机维度单一，对于不同场景下特有的网络服务无法横向识别，且检测的成本高，无法在恶意程序执行初期检测出相应异常服务
。

技术实现思路

[0003]有鉴于此，本专利技术的目的在于提供一种主机异常网络服务检测方法
、
装置
、
设备及存储介质，解决了现有技术中对于不同场景下特有的网络服务无法横向识别，且检测的成本高，无法在恶意程序执行初期检测出相应异常服务的问题
。
[0004]为解决上述技术问题，本专利技术提供了一种主机异常网络服务检测方法，包括：
[0005]探测多个主机的网络服务信息，并根据所述网络服务信息生成网络服务标识；所述网络服务标识至少包括标识主机类型
、
操作系统
、
端口
、
协议以及服务的信息；
[0006]利用所述网络服务标识和多个所述主机构建无向图；所述网络服务标识为所述无向图的节点，多个所述主机为所述无向图的边；
[0007]计算所述无向图中每条边对应的权重值，得到带权重的无向图；
[0008]根据所述带权重的无向图计算每个所述网络服务标识对应的排位值；
[0009]根据每个所述网络服务标识对应的排位值确定异常网络服务集合
。
[0010]可选的，根据所述带权重的无向图计算每个所述网络服务标识对应的排位值，包括：
[0011]设置网络服务标识的初始排位值，并代入公式：
[0012][0013]进行迭
p
代计算
p
每个所述网络服务标识对应的排位值；
[0014]R
processi
为每个网络服务标识的排位值，
In(processi)
为与网络服务标识
processi
有边关系的网络服务标识集合，
w
ij
(S
m
)
为边的权重，
S
m
为包含网络服务标识
processi
的主机，
processj
为
In(processi)
中的网络服务标识；
[0015]若当前迭代计算的所述网络服务标识的排位值与上一次迭代计算的所述网络服务标识的排位值的偏差小于预设偏差值，则将所述当前迭代计算的所述网络服务标识的排位值作为每个所述网络服务标识对应的排位值
。
[0016]可选的，所述根据每个所述网络服务标识对应的排位值确定异常网络服务集合，
包括：
[0017]对计算得到的每个所述网络服务标识对应的排位值进行降序排序，并选取排位值小于预设排位值的网络服务标识对应的网络服务作为异常网络服务集合
。
[0018]可选的，所述计算所述无向图中每条边对应的权重值，得到带权重的无向图，包括：
[0019]将所述无向图中每条边对应的主机上网络服务标识，与所有主机上网络服务标识的比值，作为所述无向图中每条边对应的权重值，得到所述带权重的无向图
。
[0020]可选的，根据所述网络服务信息生成的网络服务标识，还包括网络服务的场景类型
。
[0021]可选的，所述探测多个主机的网络服务信息，并根据所述网络服务信息生成网络服务标识之后，还包括：
[0022]根据多个所述主机和对应的所述网络服务标识，生成主机和对应网络服务标识的集合；
[0023]相应的，所述根据每个所述网络服务标识对应的排位值确定异常网络服务集合，包括：
[0024]根据每个所述网络服务标识对应的排位值确定网络服务标识白名单；
[0025]将所述主机和对应网络服务标识的集合中，处于所述网络服务标识白名单之外的网络服务标识对应的网络服务，确定为异常网络服务集合
。
[0026]可选的，在根据每个所述网络服务标识对应的排位值确定异常网络服务集合之后，还包括：
[0027]输出所述异常网络服务集合
。
[0028]本专利技术还提供了一种主机异常网络服务检测装置，包括：
[0029]网络服务标识生成模块，用于探测多个主机的网络服务信息，并根据所述网络服务信息生成网络服务标识；所述网络服务标识至少包括主机类型
、
操作系统
、
端口
、
协议以及服务；
[0030]无向图构建模块，用于利用多个所述主机和所述网络服务标识构建无向图；所述网络服务标识为所述无向图的节点，多个所述主机为所述无向图的边；
[0031]权重计算模块，用于计算所述无向图中每条边对应的权重值，得到带权重的无向图；
[0032]排位值计算模块，用于根据所述带权重的无向图计算每个所述网络服务标识对应的排位值；
[0033]异常网络服务确定模块，用于根据每个所述网络服务标识对应的排位值确定异常网络服务集合
。
[0034]本专利技术还提供了一种主机异常网络服务检测设备，包括：
[0035]存储器，用于存储计算机程序；
[0036]处理器，用于执行所述计算机程序实现上述的主机异常网络服务检测方法的步骤
。
[0037]本专利技术还提供了一种存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现上述的主机异常网络服务检测方法的步骤
。
[0038]可见，本专利技术提供的主机异常网络服务检测方法，包括探测多个主机的网络服务信息，并根据网络服务信息生成网络服务标识，网络服务标识至少包括标识主机类型
、
操作系统
、
端口
、
协议以及服务的信息，利用网络服务标识和多个主机构建无向图，网络服务标识为无向图的节点，多个主机为无向图的边，计算无向图中每条边对应的权重值，得到带权重的无向图，根据带权重的无向图计算每个网络服务标识对应的排位值，根据每个网络服务标识对应的排位值确定异常网络服务集合
。
本专利技术通过探测多个主机的网络服务信息，并生成对应的网络服务标识，根据每个网络服务标识对应的排位值确定异常网络服务集合，提高了主机异常网络检测的准确性，同时利用图计算对网络服务标识进行计算，提高了运算速度，进而提高了异常网络服务检测的效率
。
[0039]此外，本专利技术还提供了一种主机异常网络服务检测装置
、...

【技术保护点】

【技术特征摘要】
1.
一种主机异常网络服务检测方法，其特征在于，包括：探测多个主机的网络服务信息，并根据所述网络服务信息生成网络服务标识；所述网络服务标识至少包括标识主机类型
、
操作系统
、
端口
、
协议以及服务的信息；利用所述网络服务标识和多个所述主机构建无向图；所述网络服务标识为所述无向图的节点，多个所述主机为所述无向图的边；计算所述无向图中每条边对应的权重值，得到带权重的无向图；根据所述带权重的无向图计算每个所述网络服务标识对应的排位值；根据每个所述网络服务标识对应的排位值确定异常网络服务集合
。2.
根据权利要求1所述的主机异常网络服务检测方法，其特征在于，根据所述带权重的无向图计算每个所述网络服务标识对应的排位值，包括：设置网络服务标识的初始排位值，并代入公式：进行迭代计算每个所述网络服务标识对应的排位值；
R
processi
为每个网络服务标识的排位值，
I
n
(processi)
为与网络服务标识
processi
有边关系的网络服务标识集合，
w
ij
(S
m
)
为边的权重，
S
m
为包含网络服务标识
processi
的主机，
processj
为
In(processi)
中的网络服务标识；若当前迭代计算的所述网络服务标识的排位值与上一次迭代计算的所述网络服务标识的排位值的偏差小于预设偏差值，则将所述当前迭代计算的所述网络服务标识的排位值作为每个所述网络服务标识对应的排位值
。3.
根据权利要求2所述的主机异常网络服务检测方法，其特征在于，所述根据每个所述网络服务标识对应的排位值确定异常网络服务集合，包括：对计算得到的每个所述网络服务标识对应的排位值进行降序排序，并选取排位值小于预设排位值的网络服务标识对应的网络服务作为异常网络服务集合
。4.
根据权利要求1所述的主机异常网络服务检测方法，其特征在于，所述计算所述无向图中每条边对应的权重值，得到带权重的无向图，包括：将所述无向图中每条边对应的主...

【专利技术属性】
技术研发人员：李忠义，符春辉，琚渲，曹朋，程金峰，汪倩，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：