本發明實施例公開一種惡意代碼攻擊的檢測方法、裝置及電子設備，涉及網絡安全技術領域，可以檢測識別出基于惡意代碼的網絡攻擊手段。所述方法包括：監聽當前主機的操作系統的安全審核事件；所述安全審核事件包括登錄當前主機事件；獲取預定周期內登錄當前主機事件中審核失敗事件的第一日志信息；所述第一日志信息包括所述審核失敗事件的發生次數及每次發生所述審核失敗事件所輸入的登錄賬戶；根據所述第一日志信息，獲取每次發生的所述審核失敗事件中所輸入的登錄賬戶一致的事件的第一發生頻率；判斷所述第一發生頻率是否超過第一預定閾值；若是，則確定登錄當前主機事件為惡意攻擊。本發明可應用于網絡安全檢測、攔截及防御場景中。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種惡意代碼攻擊的檢測方法、裝置及電子設備。

背景技術

惡意代碼是指故意編制或設置的、對網絡或系統會產生威脅或潛在威脅的計算機代碼。

發明人在實現本發明的過程中發現：當前，在網絡攻擊手段中存在一種以所述惡意代碼滲透進入企業局域網內后，通過惡意代碼宿主機檢索局域網內主機，以進行不規律、不定時、手段演變的橫向擴散攻擊，進而對攻陷的局域網內服務器或主機進行二次橫向滲透、竊取、勒索等行為。

發明內容

有鑒于此，本發明實施例提供一種惡意代碼攻擊的檢測方法、裝置及電子設備，可以檢測識別出基于惡意代碼的網絡攻擊手段，以盡可能降低該網絡攻擊手段對局域網內主機造成的損失。

第一方面，本發明實施例提供一種惡意代碼攻擊的檢測方法，所述方法包括步驟：

監聽當前主機的操作系統的安全審核事件；所述安全審核事件包括登錄當前主機事件；

獲取預定周期內登錄當前主機事件中審核失敗事件的第一日志信息；所述第一日志信息包括所述審核失敗事件的發生次數及每次發生所述審核失敗事件所輸入的登錄賬戶；

根據所述第一日志信息，獲取每次發生的所述審核失敗事件中所輸入的登錄賬戶一致的事件的第一發生頻率；

判斷所述第一發生頻率是否超過第一預定閾值；

若是，則確定登錄當前主機事件為惡意攻擊。

結合第一方面，在第一方面的第一種實施方式中，所述第一日志信息還包括：登錄主機的標識信息；

在獲取預定周期內登錄當前主機事件中審核失敗事件的第一日志信息之后還包括：

根據登錄主機的標識信息判定每次發生的登錄當前主機審核失敗的事件中是否為同一登錄主機；

若是，則確定登錄當前主機事件為惡意攻擊；

若不是，則重新獲取相應的登錄主機在預定周期內登錄當前主機審核失敗事件中的第二發生頻率；

判斷所述第二發生頻率所處的閾值范圍；

根據所述第二發生頻率所處的閾值范圍確定登錄當前主機事件是否為惡意攻擊。

結合第一方面及第一方面的第一種實施方式，在第一方面的第二種實施方式中，所述第一日志信息還包括：所述審核失敗事件的發生時間；

若判斷所述第一發生頻率超過預定閾值之后還包括：根據所述發生時間，確定所述預定周期內輸入的登錄賬戶一致的審核失敗事件相繼發生的時間間隔；

判斷所述時間間隔是否一致；

若一致，則確定登錄當前主機事件為惡意攻擊。

結合第一方面，第一方面的第一種及第二種實施方式，在第一方面的第三種實施方式中，在所述監聽當前主機的操作系統的安全審核事件之后還包括：