一种失陷主机检测方法及装置与流程

技术特征：
1.一种失陷主机检测方法，其特征在于，包括：获取待检测的通信流量；提取所述通信流量的指纹信息；根据预设的恶意指纹库和所述指纹信息判断是否存在失陷；如果是，则根据所述通信流量进行朔源追踪得到失陷主机通信协议地址；将所述失陷主机通信协议地址对应的目标主机标记为失陷主机。2.根据权利要求1所述的失陷主机检测方法，其特征在于，所述提取所述通信流量的指纹信息，包括：通过通信指纹提取算法对所述通信流量进行分析处理，得到指纹信息，所述指纹信息包括加密通信的客户端通信指纹和服务端通信指纹。3.根据权利要求2所述的失陷主机检测方法，其特征在于，所述根据预设的恶意指纹库和所述指纹信息判断是否存在失陷，包括：根据预设的恶意指纹库判断所述客户端通信指纹或者所述服务端通信指纹是否为恶意指纹；如果是，则确定存在失陷；如果否，则确定不存在失陷。4.根据权利要求1所述的失陷主机检测方法，其特征在于，所述根据所述通信流量进行朔源追踪得到失陷主机通信协议地址，包括：根据所述通信流量获取客户端通信协议地址；判断所述客户端通信协议地址是否为路由器通信协议地址；如果否，则确定所述客户端通信协议地址为失陷主机通信协议地址；如果是，则向所述路由器通信协议地址对应的路由器发送追溯指令，得到真实主机通信协议地址，所述真实主机通信协议地址为失陷主机通信协议地址。5.根据权利要求2所述的失陷主机检测方法，其特征在于，所述将所述失陷主机通信协议地址对应的目标主机标记为失陷主机，包括：根据所述恶意指纹库和所述指纹信息，确定失陷信度；根据所述失陷信度将所述失陷主机通信协议地址对应的目标主机标记为失陷主机。6.根据权利要求5所述的失陷主机检测方法，其特征在于，所述根据所述恶意指纹库和所述指纹信息，确定失陷信度，包括：根据所述恶意指纹库判断所述客户端通信指纹和所述服务端通信指纹是否都是恶意指纹；如果是，则将所述失陷信度确定为高级；如果否，则判断所述客户端通信指纹和所述服务端通信指纹是否其中一个为恶意指纹；如果是，则将所述失陷信度确定为中级。7.根据权利要求1所述的失陷主机检测方法，其特征在于，所述方法还包括：获取原始的恶意指纹数据，所述恶意指纹数据包括恶意指纹爬取数据和沙箱运行恶意程序文件获得的指纹数据；通过所述恶意指纹数据对所述恶意指纹库进行更新。
8.一种失陷主机检测装置，其特征在于，所述失陷主机检测装置包括：流量获取单元，用于获取待检测的通信流量；指纹提取单元，用于提取所述通信流量的指纹信息；判断单元，用于根据预设的恶意指纹库和所述指纹信息判断是否存在失陷；确定单元，用于当判断出存在失陷时，则根据所述通信流量进行朔源追踪得到失陷主机通信协议地址；标记单元，用于将所述失陷主机通信协议地址对应的目标主机标记为失陷主机。9.一种电子设备，其特征在于，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至7中任一项所述的失陷主机检测方法。10.一种可读存储介质，其特征在于，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行权利要求1至7任一项所述的失陷主机检测方法。

技术总结
本申请实施例提供一种失陷主机检测方法及装置，涉及网络安全技术领域，该失陷主机检测方法包括：先获取待检测的通信流量；并提取通信流量的指纹信息；然后根据预设的恶意指纹库和指纹信息判断是否存在失陷；如果是，则根据通信流量进行朔源追踪得到失陷主机通信协议地址；最后将失陷主机通信协议地址对应的目标主机标记为失陷主机，不需要解密流量就能够实现失陷检测，适用性好，从而能够避免漏检或者检测不到的情况，提升失陷主机检测效率。提升失陷主机检测效率。提升失陷主机检测效率。


技术研发人员：康吉金 贾振 樊兴华
受保护的技术使用者：北京微步在线科技有限公司
技术研发日：2021.11.01
技术公布日：2021/11/30