本申請(qǐng)實(shí)施例提供一種失陷主機(jī)檢測(cè)方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)，其中，該方法包括：獲取檢測(cè)數(shù)據(jù)；根據(jù)檢測(cè)數(shù)據(jù)構(gòu)建主機(jī)靜態(tài)畫(huà)像，及根據(jù)檢測(cè)數(shù)據(jù)構(gòu)建主機(jī)動(dòng)態(tài)畫(huà)像；對(duì)主機(jī)靜態(tài)畫(huà)像和主機(jī)動(dòng)態(tài)畫(huà)像進(jìn)行預(yù)處理，得到預(yù)處理后的主機(jī)靜態(tài)畫(huà)像和預(yù)處理后的主機(jī)動(dòng)態(tài)畫(huà)像；根據(jù)預(yù)處理后的主機(jī)靜態(tài)畫(huà)像和預(yù)處理后的主機(jī)動(dòng)態(tài)畫(huà)像獲得樣本訓(xùn)練數(shù)據(jù)集和樣本測(cè)試數(shù)據(jù)集；將樣本訓(xùn)練數(shù)據(jù)集輸入機(jī)器學(xué)習(xí)模型進(jìn)行訓(xùn)練，得到失陷檢測(cè)模型；將樣本測(cè)試數(shù)據(jù)集輸入失陷檢測(cè)模型中，得到檢測(cè)結(jié)果。實(shí)施本申請(qǐng)實(shí)施例，失陷主機(jī)的檢測(cè)效率，可以有效的識(shí)別未知威脅，并減少資源的耗費(fèi)。

技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體而言，涉及一種失陷主機(jī)檢測(cè)方法、裝置、電子設(shè)備及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

背景技術(shù)

隨著大數(shù)據(jù)和人工智能技術(shù)的快速發(fā)展，網(wǎng)絡(luò)攻擊呈現(xiàn)出數(shù)量多、速度快、持續(xù)時(shí)間長(zhǎng)等特性，為企業(yè)安全帶來(lái)了巨大的挑戰(zhàn)。失陷主機(jī)檢測(cè)是企業(yè)應(yīng)對(duì)威脅的有效檢測(cè)手段之一，基于失陷主機(jī)檢測(cè)構(gòu)建主動(dòng)防御體系的安全防護(hù)體系是下一代安全防護(hù)產(chǎn)品的核心要?jiǎng)?wù)，主機(jī)畫(huà)像技術(shù)可以融合多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)，采用數(shù)據(jù)挖掘技術(shù)進(jìn)行數(shù)據(jù)分析、構(gòu)建行為基準(zhǔn)，融合機(jī)器學(xué)習(xí)方法進(jìn)行風(fēng)險(xiǎn)評(píng)估，從更高層次全面、準(zhǔn)確、動(dòng)態(tài)的反映網(wǎng)絡(luò)中發(fā)生的攻防行為。

基于行為的檢測(cè)方法在特定攻擊場(chǎng)景下可以有效的識(shí)別威脅，但仍然存在如下缺陷。例如，僅以主機(jī)上的日志作為檢測(cè)數(shù)據(jù)源，數(shù)據(jù)來(lái)源單一，不能全面刻畫(huà)主機(jī)行為；檢測(cè)引擎需要制定大量的檢測(cè)規(guī)則，只能檢測(cè)已知的攻擊行為，無(wú)法檢測(cè)未知威脅 ，使企業(yè)安全防護(hù)處于被動(dòng)狀態(tài)；主機(jī)安全情況大量依賴(lài)人工分析，缺乏有效的主機(jī)失陷情況指標(biāo)，由于告警日志誤報(bào)和大數(shù)據(jù)量的原因，導(dǎo)致人工分析效率低下且耗費(fèi)資源。

發(fā)明內(nèi)容

本申請(qǐng)實(shí)施例的目的在于提供一種失陷主機(jī)檢測(cè)方法、裝置、電子設(shè)備及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，提高了失陷主機(jī)的檢測(cè)效率，可以有效地識(shí)別未知威脅，并減少資源的耗費(fèi)。

第一方面，本申請(qǐng)實(shí)施例提供了一種失陷主機(jī)檢測(cè)方法，所述方法包括：

獲取檢測(cè)數(shù)據(jù)；

根據(jù)所述檢測(cè)數(shù)據(jù)構(gòu)建主機(jī)靜態(tài)畫(huà)像，及根據(jù)所述檢測(cè)數(shù)據(jù)構(gòu)建主機(jī)動(dòng)態(tài)畫(huà)像；

對(duì)所述主機(jī)靜態(tài)畫(huà)像和所述主機(jī)動(dòng)態(tài)畫(huà)像進(jìn)行預(yù)處理，得到預(yù)處理后的主機(jī)靜態(tài)畫(huà)像和預(yù)處理后的主機(jī)動(dòng)態(tài)畫(huà)像；

根據(jù)所述預(yù)處理后的主機(jī)靜態(tài)畫(huà)像和所述預(yù)處理后的主機(jī)動(dòng)態(tài)畫(huà)像獲得樣本訓(xùn)練數(shù)據(jù)集和樣本測(cè)試數(shù)據(jù)集；

將所述樣本訓(xùn)練數(shù)據(jù)集輸入機(jī)器學(xué)習(xí)模型進(jìn)行訓(xùn)練，得到失陷檢測(cè)模型；

將所述樣本測(cè)試數(shù)據(jù)集輸入所述失陷檢測(cè)模型中，得到檢測(cè)結(jié)果。

在上述實(shí)現(xiàn)過(guò)程中，通過(guò)多種檢測(cè)數(shù)據(jù)的采集、融合，采用機(jī)器學(xué)習(xí)模型，基于主機(jī)畫(huà)像實(shí)現(xiàn)了動(dòng)態(tài)、準(zhǔn)確的主機(jī)失陷檢測(cè)，并且實(shí)現(xiàn)了自動(dòng)化的主機(jī)失陷檢測(cè)，提高了失陷主機(jī)的檢測(cè)效率，可以有效的識(shí)別未知威脅，極大地降低了安全維護(hù)成本，并減少資源的耗費(fèi)，有效地提升了企業(yè)的主動(dòng)防御能力。

進(jìn)一步地，所述根據(jù)所述檢測(cè)數(shù)據(jù)構(gòu)建主機(jī)靜態(tài)畫(huà)像的步驟，包括：

獲取所述檢測(cè)數(shù)據(jù)中的主機(jī)基礎(chǔ)信息和資產(chǎn)數(shù)據(jù)；

根據(jù)所述主機(jī)基礎(chǔ)信息和資產(chǎn)數(shù)據(jù)構(gòu)建所述主機(jī)靜態(tài)畫(huà)像。

在上述實(shí)現(xiàn)過(guò)程中，主機(jī)靜態(tài)畫(huà)像根據(jù)主機(jī)基礎(chǔ)信息和資產(chǎn)數(shù)據(jù)進(jìn)行構(gòu)建，可以反映出主機(jī)的基礎(chǔ)信息、資產(chǎn)數(shù)據(jù)和靜態(tài)行為等，并輔助主機(jī)進(jìn)行失陷檢測(cè)。

進(jìn)一步地，所述根據(jù)所述檢測(cè)數(shù)據(jù)構(gòu)建主機(jī)動(dòng)態(tài)畫(huà)像的步驟，包括：

利用ATTCK技術(shù)（AdversarialTactics Techniques and Common Knowledge，對(duì)抗性策略、技術(shù)和通用知識(shí)）根據(jù)所述檢測(cè)數(shù)據(jù)中的日志數(shù)據(jù)建立主機(jī)行為模型；