本發明公開了一種檢測異常流量外連的方法、裝置、設備及存儲介質，該方法包括：確定需要實現異常流量外連檢測的主機為待檢測主機；利用多種預先設定的檢測方法對所述待檢測主機進行檢測，得到相應的多個檢測結果；如果表示所述待檢測主機存在異常流量外連的檢測結果的數量大于預設數量，則確定所述待檢測主機存在異常流量外連，否則，確定所述待檢測主機不存在異常流量外連。可見，本申請中基于多種檢測方法綜合實現主機是否存在異常流量外連的檢測，從而相對于現有技術中單一檢測方法實現主機是否存在異常流量外連的檢測，能夠大大增加檢測的準確性，有效降低檢測的誤報率。

技術領域

本發明涉及流量檢測技術領域，更具體地說，涉及一種檢測異常流量外連的方法、裝置、設備及存儲介質。

背景技術

如果主機發生異常流量外連行為，則說明該主機已經失陷，主機被攻擊者掛馬或者控制，導致的直接結果則是主機敏感數據包、個人信息等被攻擊者竊取回傳，更嚴重情況攻擊者會通過控制主機對局域網內其他主機橫向控制導致更大的損失，因此對異常流量外連行為的檢測則異常重要；目前常見的安全檢測設備、安全檢測軟件是針對流量檢測異常流量外連行為的，但是發明人發現，這種檢測方法存在誤報率較高的問題。

發明內容

本發明的目的是提供一種檢測異常流量外連的方法、裝置、設備及存儲介質，能夠有效降低異常流量外連檢測的誤報率。

為了實現上述目的，本發明提供如下技術方案：

一種檢測異常流量外連的方法，包括：

確定需要實現異常流量外連檢測的主機為待檢測主機；

利用多種預先設定的檢測方法對所述待檢測主機進行檢測，得到相應的多個檢測結果；

如果表示所述待檢測主機存在異常流量外連的檢測結果的數量大于預設數量，則確定所述待檢測主機存在異常流量外連，否則，確定所述待檢測主機不存在異常流量外連。

優選的，確定所述待檢測主機存在異常流量外連之后，還包括：

獲取每個所述檢測結果中包含的源地址，并確定值相同的源地址占全部源地址的百分比為所述待檢測主機存在異常流量外連的可能性百分比；

或者獲取每個所述檢測結果中包含的目的地址，并確定值相同的目的地址占全部目的地址的百分比為所述待檢測主機存在異常流量外連的可能性百分比。

優選的，所述檢測方法包括流量檢測方法，利用所述流量檢測方法對所述待檢測主機進行檢測得到相應的檢測結果，包括：

獲取距離當前時刻最近的第一預設時間段內所述待檢測主機的流入數據量及流出數據量，將所述流入數據量及所述流出數據量相加得到數據量和值，如果所述流出數據量占所述數據量和值的比值大于預設比值，和/或所述流出數據量大于第一數據量，則得到表示所述待檢測主機存在異常流量外連的檢測結果，否則，得到表示所述待檢測主機不存在異常流量外連的檢測結果。

優選的，所述檢測方法包括位置檢測方法，利用所述位置檢測方法對所述待檢測主機進行檢測得到相應的檢測結果，包括：

獲取所述待檢測主機的流出數據量所流向的設備所在物理位置為目的位置，如果在距離當前時刻最近的第二預設時間段內，所述待檢測主機流向所述目的位置的流出數據量持續大于第二數據量，則得到表示所述待檢測主機存在異常流量外連的檢測結果，否則，得到表示所述待檢測主機不存在異常流量外連的檢測結果。

優選的，所述檢測方法包括情報庫檢測方法，利用所述情報庫檢測方法對所述待檢測主機進行檢測得到相應的檢測結果，包括：