[發(fā)明專利]主機失陷檢測方法、裝置及設(shè)備在審
| 申請?zhí)枺?/td> | 202211386915.1 | 申請日: | 2022-11-07 |
| 公開(公告)號: | CN115695031A | 公開(公告)日: | 2023-02-03 |
| 發(fā)明(設(shè)計)人: | 李遠 | 申請(專利權(quán))人: | 北京安博通科技股份有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;G06F18/213 |
| 代理公司: | 北京弘權(quán)知識產(chǎn)權(quán)代理有限公司 11363 | 代理人: | 朱紫曉;孫亞芹 |
| 地址: | 100120 北京市西城*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 主機 失陷 檢測 方法 裝置 設(shè)備 | ||
1.一種主機失陷檢測方法,其特征在于,應(yīng)用于防火墻,所述方法包括:
獲取待檢測主機的業(yè)務(wù)流量;
對所述待檢測主機的業(yè)務(wù)流量進行特征提取,得到所述待檢測主機的業(yè)務(wù)流量的特征信息;
將所述特征信息與失陷特征庫進行匹配,在所述特征信息與失陷特征庫匹配的情況下,確定所述待檢測主機為失陷主機,所述失陷特征庫包括入侵防御系統(tǒng)IPS特征庫和/或病毒特征庫。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述特征信息包括通信協(xié)議、端口信息和信息摘要中的至少一種,所述將所述特征信息與失陷特征庫進行匹配,在所述特征信息與失陷特征庫匹配的情況下,確定所述待檢測主機為失陷主機,包括:
將所述特征信息與所述IPS特征庫進行匹配,在所述IPS特征庫包括所述通信協(xié)議、所述端口信息和所述信息摘要中的至少一種的情況下,確定所述待檢測主機為失陷主機。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述特征信息包括信息摘要、業(yè)務(wù)文件特征、病毒簽名標(biāo)識、病毒種類和病毒名稱中的至少一種,所述將所述特征信息與失陷特征庫進行匹配,在所述特征信息與失陷特征庫匹配的情況下,確定所述待檢測主機為失陷主機,包括:
將所述特征信息與所述病毒特征庫進行匹配,在所述病毒特征庫包括所述信息摘要、所述業(yè)務(wù)文件特征、所述病毒簽名標(biāo)識、所述病毒種類和所述病毒名稱中的至少一種的情況下,確定所述待檢測主機為失陷主機。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述特征信息包括所述業(yè)務(wù)文件特征和所述信息摘要,將所述特征信息與所述病毒特征庫進行匹配,確定所述待檢測主機為失陷主機,包括:
將所述業(yè)務(wù)文件特征與所述病毒特征庫中的病毒文件特征進行匹配,所述病毒特征庫中的病毒文件特征的數(shù)據(jù)類型為Bit-Map數(shù)據(jù);
在所述病毒特征庫中的病毒文件特征與所述業(yè)務(wù)文件特征相同的情況下,將所述信息摘要的哈希值與所述病毒特征庫中的病毒文件的哈希值進行匹配;
在所述信息摘要的哈希值與所述病毒特征庫中的病毒文件的哈希值相同的情況下,確定所述待檢測主機為失陷主機。
5.根據(jù)權(quán)利要求1-4中任一項所述的方法,其特征在于,所述方法還包括:
根據(jù)所述特征信息,確定所述待檢測主機的業(yè)務(wù)流量對應(yīng)的失陷類型校驗規(guī)則;所述失陷類型校驗規(guī)則包括IPS校驗規(guī)則和/或病毒校驗規(guī)則;
將所述失陷主機的業(yè)務(wù)流量與所述失陷類型校驗規(guī)則進行匹配,確定所述失陷主機的失陷類型,所述失陷類型包括木馬通訊、間諜軟件通訊、數(shù)據(jù)外傳、病毒入侵、挖礦程序入侵中的至少一種。
6.根據(jù)權(quán)利要求1-4中任一項所述的方法,其特征在于,在確定所述待檢測主機為失陷主機之后,所述方法還包括:
基于所述失陷主機的業(yè)務(wù)流量,確定與所述失陷主機產(chǎn)生預(yù)設(shè)通信行為的關(guān)聯(lián)主機,所述預(yù)設(shè)通信行為包括進程通信和/或文件傳輸通信;
獲取所述關(guān)聯(lián)主機的業(yè)務(wù)流量;
基于所述關(guān)聯(lián)主機的業(yè)務(wù)流量,在確定所述關(guān)聯(lián)主機與其他主機產(chǎn)生所述預(yù)設(shè)通信行為時,確定所述關(guān)聯(lián)主機為失陷主機。
7.根據(jù)權(quán)利要求1-4中任一項所述的方法,其特征在于,在確定所述待檢測主機為失陷主機之后,所述方法還包括:
基于所述失陷主機的業(yè)務(wù)流量,將所述失陷主機的業(yè)務(wù)流量的特征信息與失陷特征庫進行匹配;
根據(jù)所述失陷主機的業(yè)務(wù)流量的特征信息與失陷特征庫的匹配成功次數(shù),確定所述失陷主機的失陷等級。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,在確定所述失陷主機的失陷等級后,所述方法還包括:
若所述失陷主機的失陷等級高于第一閾值等級,則將所述失陷主機加入黑名單;
若所述失陷主機的失陷等級低于第二閾值等級,則生成所述失陷主機的失陷信息,并向用戶終端發(fā)送所述失陷信息,以使用戶根據(jù)所述失陷信息對所述失陷主機進行配置。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京安博通科技股份有限公司,未經(jīng)北京安博通科技股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202211386915.1/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 失陷設(shè)備檢測方法及裝置
- 一種郵件賬號失陷檢測方法、裝置、設(shè)備及可讀存儲介質(zhì)
- 失陷設(shè)備識別方法、裝置、電子設(shè)備及存儲介質(zhì)
- 一種失陷主機確定方法、系統(tǒng)及相關(guān)裝置
- 一種基于長時間行為分析的VPN賬號失陷智能檢測模型
- 一種失陷主機檢測方法、裝置、設(shè)備及可讀存儲介質(zhì)
- 一種主機失陷確認及自動修復(fù)方法及基于此的系統(tǒng)
- 一種失陷設(shè)備識別與設(shè)備失陷度評估的方法、裝置
- 一種威脅情報關(guān)聯(lián)分析方法、系統(tǒng)、設(shè)備及計算機介質(zhì)
- 一種攻擊路徑圖構(gòu)建方法、裝置、設(shè)備、介質(zhì)
