一种失陷主机确定方法、装置、电子设备及存储介质与流程

1.本技术涉及安防技术领域，特别是涉及一种失陷主机确定方法、装置、电子设备及存储介质。


背景技术：

2.安全事件是指尝试改变信息系统安全状态(例如改变访问控制措施、改变安全级别、改变用户口令等)的任何事件。在用户通过主机访问网络的过程中，安全管理平台可以对主机的访问行为进行检测，确定主机是否发生了安全事件。当检测到主机发生了安全事件时，该主机将被确定为失陷主机，从而针对失陷主机进行安全防护，如进行告警等。
3.在相关技术中，由于安全事件检测过程中可能出现误报的情况，这将导致确定出的失陷主机出现偏差，影响确定出的失陷主机的准确性。


技术实现要素：

4.本技术实施例的目的在于提供一种失陷主机确定方法、装置、电子设备及存储介质，以降低安全事件误判对失陷主机确定的影响，提高确定出的失陷主机的准确性。具体技术方案如下：
5.本技术实施例提供了一种失陷主机确定方法，所述方法包括：
6.获取目标群组中每一待检测主机在预设时长内的网络行为特征数据；其中，所述目标群组包含的各待检测主机是按照预设群组划分指标确定的；所述各待检测主机具有预设群组划分指标的同一指标值；
7.利用预设离群点检测算法，确定每一待检测主机的离群检测结果；每一待检测主机的离群检测结果指示：该待检测主机的网络行为特征数据是否为各网络行为特征数据中的离群点；
8.获取每一待检测主机的事件检测结果；所述事件检测结果用于指示所述待检测主机在所述预设时长内是否发生安全事件；
9.根据每一待检测主机对应的离群检测结果和事件检测结果，确定所述目标群组中的失陷主机。
10.可选的，所述网络行为特征数据包括以下至少一项：上行流量、下行流量、会话数、访问互联网协议(internet protocol，ip)数和访问区域数。
11.可选的，所述利用预设离群点检测算法，确定每一待检测主机的离群检测结果的步骤，包括：
12.利用孤立森林算法，确定所述各待检测主机的网络行为特征数据中的第一离群点；
13.利用箱线图算法，确定所述各待检测主机的网络行为特征数据中的第二离群点；
14.将所述目标群组中的目标主机确定为离群主机，所述目标主机为所述第一离群点和所述第二离群点的交集中每一网络行为特征数据所对应的待检测主机；
15.将所述目标群组中除目标主机以外的每一待检测主机确定为非离群主机。
16.可选的，所述利用孤立森林算法，确定所述各待检测主机的网络行为特征数据中的第一离群点的步骤，包括：
17.根据每一待检测主机的网络行为特征数据，构建预设数量个孤立树，得到孤立森林模型；
18.利用所述孤立森林模型，计算每一待检测主机的网络行为特征数据的异常分值；
19.将所述异常分值大于第一异常阈值的网络行为特征数据确定为第一离群点。
20.可选的，所述利用箱线图算法，确定所述各待检测主机的网络行为特征数据中的第二离群点的步骤，包括：
21.针对所述网络行为特征数据中的每一行为类别，比较每一待检测主机在该行为类别的网络行为特征数据与该行为类别所对应的第二异常阈值；每一行为类别所对应的第二异常阈值是：根据所述目标群组中各待检测主机在该行为类别的网络行为特征数据的四分位数确定的；
22.若待检测主机在任一行为类别的网络行为特征数据大于该行为类别所对应的第二异常阈值，则将该待检测主机的网络行为特征数据确定为第二离群点。
23.可选的，所述根据每一待检测主机对应的离群检测结果和事件检测结果，确定所述目标群组中的失陷主机的步骤，包括：
24.针对所述目标群组中的每一待检测主机，若所述离群检测结果指示该待检测主机的网络行为特征数据是离群点，且所述事件检测结果指示该待检测主机在所述预设时长内发生安全事件，则确定该待检测主机是失陷主机。
25.可选的，在根据每一待检测主机对应的离群检测结果和事件检测结果，确定所述目标群组中的失陷主机之前，还包括：
26.获取所述目标群组中每一待检测主机在连续的多个预设时长内的离群检测结果和事件检测结果；
27.所述根据每一待检测主机对应的离群检测结果和事件检测结果，确定所述目标群组中的失陷主机的步骤，包括：
28.针对所述目标群组中的每一待检测主机，在每一预设时长内，若该预设时长对应的离群检测结果指示该待检测主机的网络行为特征数据为离群点，且该预设时长的事件检测结果指示该待检测主机发生安全事件，则将该待检测主机确定为该预设时长内的备选主机；
29.若该待检测主机在所述多个预设时长内被确定为备选主机的次数大于预设次数阈值，则确定该待检测主机是失陷主机。
30.本技术实施例还提供了一种失陷主机确定装置，所述装置包括：
31.第一获取模块，用于获取目标群组中每一待检测主机在预设时长内的网络行为特征数据；其中，所述目标群组包含的各待检测主机是按照预设群组划分指标确定的；所述各待检测主机具有预设群组划分指标的同一指标值；
32.第一确定模块，用于利用预设离群点检测算法，确定每一待检测主机的离群检测结果；每一待检测主机的离群检测结果指示：该待检测主机的网络行为特征数据是否为各网络行为特征数据中的离群点；
33.第二获取模块，用于获取每一待检测主机的事件检测结果；所述事件检测结果用于指示所述待检测主机在所述预设时长内是否发生安全事件；
34.第二确定模块，用于根据每一待检测主机对应的离群检测结果和事件检测结果，确定所述目标群组中的失陷主机。
35.可选的，所述网络行为特征数据包括以下至少一项：上行流量、下行流量、会话数、访问ip数和访问区域数。
36.可选的，所述第一确定模块，具体用于利用孤立森林算法，确定所述各待检测主机的网络行为特征数据中的第一离群点；
37.利用箱线图算法，确定所述各待检测主机的网络行为特征数据中的第二离群点；
38.将所述目标群组中的目标主机确定为离群主机，所述目标主机为所述第一离群点和所述第二离群点的交集中每一网络行为特征数据所对应的待检测主机；
39.将所述目标群组中除目标主机以外的每一待检测主机确定为非离群主机。
40.可选的，所述第一确定模块，具体用于根据每一待检测主机的网络行为特征数据，构建预设数量个孤立树，得到孤立森林模型；利用所述孤立森林模型，计算每一待检测主机的网络行为特征数据的异常分值；将所述异常分值大于第一异常阈值的网络行为特征数据确定为第一离群点。
41.可选的，所述第一确定模块，具体用于针对所述网络行为特征数据中的每一行为类别，比较每一待检测主机在该行为类别的网络行为特征数据与该行为类别所对应的第二异常阈值；每一行为类别所对应的第二异常阈值是：根据所述目标群组中各待检测主机在该行为类别的网络行为特征数据的四分位数确定的；若待检测主机在任一行为类别的网络行为特征数据大于该行为类别所对应的第二异常阈值，则将该待检测主机的网络行为特征数据确定为第二离群点。
42.可选的，所述第二确定模块，具体用于针对所述目标群组中的每一待检测主机，若所述离群检测结果指示该待检测主机的网络行为特征数据是离群点，且所述事件检测结果指示该待检测主机在所述预设时长内发生安全事件，则确定该待检测主机是失陷主机。
43.可选的，所述装置还包括：
44.第三获取模块，用于在根据每一待检测主机对应的离群检测结果和事件检测结果，确定所述目标群组中的失陷主机之前，获取所述目标群组中每一待检测主机在连续的多个预设时长内的离群检测结果和事件检测结果；
45.所述第二确定模块，具体用于针对所述目标群组中的每一待检测主机，在每一预设时长内，若该预设时长对应的离群检测结果指示该待检测主机的网络行为特征数据为离群点，且该预设时长的事件检测结果指示该待检测主机发生安全事件，则将该待检测主机确定为该预设时长内的备选主机；
46.若该待检测主机在所述多个预设时长内被确定为备选主机的次数大于预设次数阈值，则确定该待检测主机是失陷主机。
47.本技术实施例还提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述任一所述的失陷主机确定方法步骤。
48.本技术实施例还提供了一种机器可读存储介质，所述机器可读存储介质存储有能
够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述任一所述的失陷主机确定方法步骤。
49.本技术实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述任一所述的失陷主机确定方法。
50.本技术实施例提供的技术方案中，通过获取目标群组中每一待检测主机的网络行为特征数据，利用预设离群点检测算法，确定每一待检测主机的离群检测结果，从而根据每一待检测主机在预设时长内的离群检测结果和事件检测结果，确定目标群组中的失陷主机。
51.相比于相关技术，在确定失陷主机的过程中，除了考虑主机是否发生安全事件以外，还综合考虑了主机的网络行为特征数据是否为其所在目标群组中的离群点，也就是还考虑了主机的网络行为特征相对于其所在群组中其他主机的网络行为特征的偏离情况，从而有效降低了安全事件误判对失陷主机确定的影响，提高了确定出的失陷主机的准确性。
52.当然，实施本技术的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
53.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
54.图1为本技术实施例提供的失陷主机确定方法的第一种流程示意图；
55.图2为本技术实施例提供的失陷主机确定方法的第二种流程示意图；
56.图3为本技术实施例提供的失陷主机确定方法的第三种流程示意图；
57.图4为本技术实施例提供的失陷主机确定方法的第四种流程示意图；
58.图5为本技术实施例提供的箱线图的一种示意图；
59.图6为本技术实施例提供的失陷主机确定方法的第五种流程示意图；
60.图7为本技术实施例提供的失陷主机确定方法的第六种流程示意图；
61.图8为本技术实施例提供的在多个预设时长内主机失陷次数与失陷概率的一种示意图；
62.图9-a为本技术实施例提供的失陷主机确定装置的第一种结构示意图；
63.图9-b为本技术实施例提供的失陷主机确定装置的第二种结构示意图；
64.图10为本技术实施例提供的电子设备的一种结构示意图。
具体实施方式
65.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
66.相关技术中，在确定失陷主机时，可以利用安全管理平台，如态势感知，安全信息
和事件管理(siem)，安全运营中心(soc)等生成安全事件。当安全管理平台生成某一主机的安全事件时，该主机将被确定为失陷主机。但是，在检测出的安全事件中往往存在误判。
67.例如，用户可以手动触发主机对本地的扫描功能，此时，主机将对本地存储的数据进行扫描。由于此次扫描功能的触发，安全管理平台可以确定此次扫描触发了安全事件。虽然安全事件出现误判，但是该主机仍将被确定为失陷主机，影响了确定出的失陷主机的准确性。
68.为了解决相关技术中的问题，本技术实施例提供了一种失陷主机确定方法。如图1所示，图1为本技术实施例提供的失陷主机确定方法的第一种流程示意图。该方法包括以下步骤。
69.步骤s101，获取目标群组中每一待检测主机在预设时长内的网络行为特征数据；其中，目标群组包含的各待检测主机是按照预设群组划分指标确定的；各待检测主机具有预设群组划分指标的同一指标值。
70.步骤s102，利用预设离群点检测算法，确定每一待检测主机的离群检测结果；每一待检测主机的离群检测结果指示：该待检测主机的网络行为特征数据是否为各网络行为特征数据中的离群点。
71.步骤s103，获取每一待检测主机的事件检测结果；事件检测结果用于指示待检测主机在预设时长内是否发生安全事件。
72.步骤s104，根据每一待检测主机对应的离群检测结果和事件检测结果，确定目标群组中的失陷主机。
73.通过图1所示的方法，通过获取目标群组中每一待检测主机的网络行为特征数据，利用预设离群点检测算法，确定每一待检测主机的离群检测结果，从而根据每一待检测主机在预设时长内的离群检测结果和事件检测结果，确定目标群组中的失陷主机。
74.相比于相关技术，在确定失陷主机的过程中，除了考虑主机是否发生安全事件以外，还综合考虑了主机的网络行为特征数据是否为其所在目标群组中的离群点，也就是还考虑了主机的网络行为特征相对于其所在群组中其他主机的网络行为特征的偏离情况，从而有效降低了安全事件误判对失陷主机确定的影响，提高了确定出的失陷主机的准确性。
75.下面通过具体的实施例，对本技术实施例进行说明。为便于描述，下面以电子设备为执行主体进行说明，该电子设备可以为任一检测设备，并不起任何限定作用。
76.针对上述步骤s101，即获取目标群组中每一待检测主机在预设时长内的网络行为特征数据；其中，目标群组包含的各待检测主机是按照预设群组划分指标确定的；各待检测主机具有预设群组划分指标的同一指标值。
77.在本技术实施例中，电子设备可以按照预设群组划分指标，将多个待检测主机划分至多个群组。每一群组中包括的待检测主机具有预设群组划分指标的同一指标值。
78.上述预设群组划分指标可以根据主机的使用用户的特征信息，以及主机的特征信息。例如，预设群组划分指标可以为主机的使用用户所在的部门，主机所在的区域等。
79.为便于理解，以某一公司中所有主机的群组划分为例。
80.当上述预设群组指标为主机的使用用户所在的部门时，电子设备可以根据该公司的人员组织架构，确定每一主机的使用用户所在的部门，从而将相同部门的使用用户所对应的主机划分至同一群组，得到多个群组。例如，财务人员群组，研发人员群组，测试人员群
组，审计人员群组等。
81.当上述预设群组指标为主机所在的区域，如楼层时，电子设备可以将同一楼层的主机划分至同一群组，得到多个群组。例如，一楼主机群组，二楼主机群组等。
82.在本技术实施例中，根据上述预设群组划分指标的不同，划分得到的每一群组中各待检测主机所具有的同一指标值也有所不同。在此，对上述群组的划分方式不作具体限定。
83.电子设备在对多个待检测主机进行群组划分后，可以得到至少一个群组。并且，每一群组中包括一个或多个待检测主机。在此，对划分得到的群组数量，以及每一群组中包括的待检测主机的数量不作具体限定。
84.上述目标群组可以为群组划分后的群组中的任意一个群组。
85.一个可选的实施例中，为了降低不同主机在访问网络时的差异性，对后期确定出的离群点准确性的影响，上述目标群组中包括的待检测主机的数量可以大于预设数量阈值。
86.上述预设数量阈值可以根据用户的经验进行设置。例如，上述预设数量阈值可以为10。也就是目标群组中包括的待检测主机的数量至少为10。在此，对上述预设数量阈值不作具体限定。
87.针对上述目标群组中的每一待检测主机，电子设备可以获取该待检测主机在预设时长内日志信息，并从获取到的日志信息中提取该待检测主机的网络行为特征数据。
88.一个可选的实施例中，上述网络行为特征数据包括以下至少一项：上行流量、下行流量、会话数、访问ip数和访问区域数。
89.当上述网络行为特征数据包括上述上行流量时，电子设备可以根据待检测主机在预设时长内的日志信息，计算该待检测主机在预设时长内的每条日志的上行流量的和值，作为该待检测主机的上行流量。
90.当上述网络行为特征数据包括上述下行流量时，电子设备可以根据待检测主机在预设时长内的日志信息，计算该待检测主机在预设时长内的每条日志的下行流量的和值，作为该待检测主机的下行流量。
91.当上述网络行为特征数据包括上述会话数时，电子设备可以根据待检测主机在预设时长内的日志信息，统计该待检测主机在预设时长内的会话日志的和值，作为该待检测主机的会话数。
92.当上述网络行为特征数据包括上述访问ip数时，电子设备可以根据待检测主机在预设时长内的日志信息，获取该待检测主机在预设时长内访问的目的ip，并对获取到的目的ip进行去重处理。电子设备统计去重处理后剩余的目标ip的数量，作为该待检测主机的访问ip数。
93.当上述网络行为特征数据包括上述访问区域数时，电子设备可以根据待检测主机在预设时长内的日志信息，获取该待检测主机在预设时长内访问的目的ip所在的国家，并对获取到的国家进行去重处理。电子设备统计去重后剩余的国家的数量，作为该待检测主机的访问区域数。
94.在本技术实施例中，上述网络行为特征数据还可以包括域名服务器(domain name server，dns)请求数，统一资源定位符(uniform resource location，url)请求数等。在此，
对上述网络行为特征数据不作具体限定。
95.上述预设时长可以根据用户需求进行设置，例如，预设时长可以为1个小时，如10:00-11:00等。在此，对上述预设时长不作具体限定。
96.针对上述步骤s102，即利用预设离群点检测算法，确定每一待检测主机的离群检测结果；每一待检测主机的离群检测结果指示：该待检测主机的网络行为特征数据是否为各网络行为特征数据中的离群点。
97.在本步骤中，电子设备可以根据目标群组中每一待检测主机在预设时长内的网络行为特征数据，利用预设离群点检测算法进行离群点检测，得到每一待检测主机的离群检测结果。
98.一个可选的实施例中，针对上述待检测主机的离群检测结果，该离群检测结果可以指示：该待检测主机的网络行为特征数据是目标群组包括的所有网络行为特征数据中的离群点。此时，电子设备可以将该待检测主机确定为离群主机。
99.另一个可选的实施例中，针对上述待检测主机的离群检测结果，该离群检测结果可以指示：该待检测主机的网络行为特征数据不是目标群组包括的所有网络行为特征数据中的离群点。此时，电子设备可以确定该待检测主机不是离群主机，即非离群主机。
100.上述预设离群点检测算法包括但不限于孤立森林算法、箱线图算法、支持向量机(support vector machine，svm)离群点检测算法、3sigma异常检测算法。在此，对上述预设离群点检测算法不作具体限定。
101.针对上述步骤s103，即获取每一待检测主机的事件检测结果；事件检测结果用于指示待检测主机在预设时长内是否发生安全事件。
102.在本步骤中，上述安全管理平台可以实时对每一待检测主机进行安全事件检测，从而确定每一待检测主机是否发生了安全事件，得到每一待检测主机的事件检测结果。电子设备可以从安全管理平台获取每一待检测主机在上述预设时长内的事件检测结果。
103.上述事件检测结果可以通过关联分析，用户实体行为分析(user and entity behavior analytics，ueba)检测等检测方式，对待检测主机进行检测分析得到。在此，对上述事件检测结果的确定方式不作具体限定。
104.在本技术实施例中，上述步骤s103可以在上述步骤s101或步骤s102执行之前/之后执行，也可以与步骤s101或步骤s102同时执行。在此，对上述步骤s103与步骤s101或步骤s102的执行顺序不作具体限定。
105.针对上述步骤s104，即根据每一待检测主机对应的离群检测结果和事件检测结果，确定目标群组中的失陷主机。
106.在本步骤中，针对上述目标群组中的每一待检测主机，电子设备可以根据该待检测主机的离群检测结果和事件检测结果，确定哪些待检测主机为失陷主机。关于待检测主机为失陷主机的确定方式可参见下文描述，在此不作具体说明。
107.一个可选的实施例中，上述步骤s102，即利用预设离群点检测算法，确定每一待检测主机的离群检测结果，具体可以表示为：
108.电子设备根据目标群组中每一待检测主机的网络行为特征数据，利用孤立森林算法，确定各待检测主机的网络行为特征数据中的离群点，并基于该离群点确定目标群组中每一待检测主机的离群检测结果。关于离群点的确定方式可参见下文描述，在此不作具体
说明。
109.另一个可选的实施例中，上述步骤s102，即利用预设离群点检测算法，确定每一待检测主机的离群检测结果，具体可以表示为：
110.电子设备根据目标群组中每一待检测主机的网络行为特征数据，利用箱线图算法，确定各待检测主机的网络行为特征数据中的离群点，并基于该离群点确定目标群组中每一待检测主机的离群检测结果。关于离群点的确定方式可参见下文描述，在此不作具体说明。
111.再一个可选的实施例中，为了进一步提高确定出的离群检测结果的准确性，根据上述图1所示的方法，本技术实施例还提供了一种失陷主机确定方法。如图2所示，图2为本技术实施例提供的失陷主机确定方法的第二种流程示意图。该方法包括以下步骤。
112.步骤s201，获取目标群组中每一待检测主机在预设时长内的网络行为特征数据；其中，目标群组包含的各待检测主机是按照预设群组划分指标确定的；各待检测主机具有预设群组划分指标的同一指标值。
113.上述步骤s201与上述步骤s101相同。
114.步骤s202，利用孤立森林算法，确定各待检测主机的网络行为特征数据中的第一离群点。
115.上述第一离群点的确定方式可参见下文描述，在此不作具体说明。
116.步骤s203，利用箱线图算法，确定各待检测主机的网络行为特征数据中的第二离群点。
117.上述第二离群点的确定方式可参见下文描述，在此不作具体说明。
118.在本技术实施例中，对上述步骤s202和步骤s203的执行顺序不作具体限定。
119.步骤s204，将目标群组中的目标主机确定为离群主机，目标主机为第一离群点和第二离群点的交集中每一网络行为特征数据所对应的待检测主机。
120.在本步骤中，电子设备在确定上述第一离群点和第二离群点后，可以确定第一离群点和第二离群点的交集所包括的网络行为特征数据，并将该网络行为特征数据所对应的待检测主机确定为离群主机。
121.为便于理解，以第一离群点所包括的网络行为特征数据分别为数据1-数据3，第二离群点所包括的网络行为特征数据分别为数据2-数据4。其中，数据1-数据4分别为主机1-主机4所对应的网络行为特征数据。
122.根据第一离群点和第二离群点所包括的网络行为特征数据，电子设备可以确定第一离群点和第二离群点的交集中包括的网络行为特征数据为数据2和数据3。此时，电子设备可以确定数据2所对应的主机2，以及数据3所对应的主机3为目标群组中的目标主机。也就是电子设备可以确定目标群组中的主机2和主机3为离群主机。
123.步骤s205，将目标群组中除目标主机以外的每一待检测主机确定为非离群主机。
124.在本步骤中，在将目标群组中的目标主机确定为离群主机后，电子设备可以将目标群组中除目标主机以外的每一待检测主机确定为非离群主机。
125.仍以上述主机2和主机3为例，电子设备在确定主机2和主机3为目标群组中的离群主机后，可以确定目标群组中除主机2和主机3以外的其他主机均不是离群主机，即非离群主机。也就是上述主机1和主机4均为非离群主机。
126.上述步骤s202-步骤s205是对上述步骤s102的细化。
127.在本技术实施例中，在确定第一离群点和第二离群点后，将第一离群点和第二离群点的交集中每一网络行为特征数据所对应的待检测主机(即上述目标主机)确定为目标群组中的离群主机，有效综合了不同预设离群点检测算法所确定的离群检测结果，有效提高了确定出的离群主机的准确性，从而提高了确定出的非离群主机的准确性，这有效提高了离群检测结果的准确性，从而提高了基于该离群检测结果所确定出的失陷主机的准确性。
128.步骤s206，获取每一待检测主机的事件检测结果；事件检测结果用于指示待检测主机在预设时长内是否发生安全事件。
129.步骤s207，根据每一待检测主机对应的离群检测结果和事件检测结果，确定目标群组中的失陷主机。
130.上述步骤s206-步骤s207与上述步骤s103-步骤s104相同。
131.在图2所示的实施例中，仅以孤立森林算法、箱线图算法所确定的离群检测结果的综合为例，对目标群组中离群主机和非离群主机的确定进行说明。除此以外，电子设备还可以综合孤立森林算法、箱线图算法、svm离群点检测算法和3sigma异常检测算法所对应的离群检测结果中的至少两个离群检测结果，确定目标群组中离群主机和非离群主机，具体确定方式可参照图2所示的方法，在此不作具体说明。
132.一个可选的实施例中，根据图2所示的方法，本技术实施例还提供了一种失陷主机确定方法。如图3所示，图3为本技术实施例提供的失陷主机确定方法的第三种流程示意图。该方法包括以下步骤。
133.步骤s301，获取目标群组中每一待检测主机在预设时长内的网络行为特征数据；其中，目标群组包含的各待检测主机是按照预设群组划分指标确定的；各待检测主机具有预设群组划分指标的同一指标值。
134.上述步骤s301与上述步骤s201相同。
135.步骤s302，根据每一待检测主机的网络行为特征数据，构建预设数量个孤立树，得到孤立森林模型。
136.在本技术实施例中，电子设备可以根据每一待检测主机的网络行为特征数据，以及网络行为特征数据所包括的行为类别，随机构建预设数量个孤立树，得到孤立森林模型。
137.为便于理解，结合表1对一个孤立树的构建进行说明。
138.表1
139.主机上行流量下行流量主机aa1a2主机bb1b2主机cc1c2
140.根据表1可知，目标群组包括表1所示的3个待检测主机，即主机a、主机b和主机c，每一待检测主机的网络行为特征数据所包括的行为类别包括：上行流量和下行流量。
141.在构建孤立树的根节点时，电子设备可以随机选取一行为类别对应的网络行为特征数据填充至根节点，如选取上行流量，则根节点填充的数据为表1中的a1、a2和a3。
142.在构建孤立树的根节点的叶子节点(即左子节点和右子节点)时，电子设备随机生
成一个切割数据，如p1，并分别与根节点中的每一网络行为特征数据进行比较，得到比较结果。例如，a1《p1，b1《p1，c1》p1。此时，电子设备可以将a1和b1填充至根节点的左子节点，将c1填充至根节点的右子节点。以此类推，进一步确定根节点的左子节点所对应的两个叶子节点，从而得到一个孤立树a。上述孤立森林模型中的每一个孤立树均可按照孤立树a的构建方式进行构建，在此不作具体说明。
143.一个可选的实施例中，在构建上述孤立森林模型中的每一个孤立树时，电子设备可以在每一层的叶子节点仅包括一个待检测主机的网络行为特征数据时，结束该孤立树的构建过程，得到一个孤立树。
144.另一个可选的实施例中，在构建上述孤立森林模型中的每一个孤立树时，电子设备还可以根据当前构建得到的孤立树的高度，确定是否结束构建该孤立树的构建过程，得到一个孤立树。例如，电子设备可以在孤立树的高度为5(即该孤立树包括一个根节点以及四层叶子节点)时，结束构建该孤立树的构建过程，得到一个孤立树。
145.在本技术实施例中，对每一个孤立树结束构建过程的条件不作具体限定。
146.在本技术实施例中，上述预设数量越大，孤立森林模型中包括的孤立树的数量越多，基于该孤立森林模型所确定出的离群点的准确性越高，但是离群点确定过程的计算量越大。因此，为了平衡确定出的离群点的准确性，以及离群点确定过程的计算量，上述预设数量可以根据用户需求、或用户经验确定。例如，预设数量可以为100。在此，对上述预设数量不作具体限定。
147.步骤s303，利用孤立森林模型，计算每一待检测主机的网络行为特征数据的异常分值。
148.在本步骤中，在构建得到上述孤立森林模型后，针对目标群组中的每一待检测主机，电子设备可以将该待检测主机的网络行为特征数据输入至孤立森林模型，得到孤立森林模型输出的异常分值。即该待检测主机的异常分值。
149.在本技术实施例中，上述异常分值的取值范围可以在0到1之间。待检测主机的异常分值越大，该待检测主机的网络行为特征数据为离群点的概率越高；待检测主机的异常分值越小，该待检测主机的网络行为特征数据为离群点的概率越低。
150.在确定目标群组中每一待检测主机的网络行为特征数据的异常分值后，电子设备可以将该待检测主机的网络行为特征数据的异常分值与第一异常阈值进行比较，得到比较结果。该比较结果具体包括以下两种情况。
151.情况一，待检测主机的网络行为特征数据的异常分值大于第一异常阈值。
152.情况二，待检测主机的网络行为特征数据的异常分值小于等于第一异常阈值。
153.上述第一异常阈值可以根据用户需求或经验等进行设置。例如，上述第一异常阈值可以为0.8。在此，对上述第一异常阈值不作具体限定。
154.步骤s304，将异常分值大于第一异常阈值的网络行为特征数据确定为第一离群点。
155.在本步骤中，针对目标群组中的每一待检测主机，当该待检测主机的网络行为特征数据的异常分值与第一异常阈值的比较结果为上述情况一时，即待检测主机的网络行为特征数据的异常分值大于第一异常阈值，电子设备可以确定该待检测主机的网络行为特征数据为离群点，记为第一离群点。
156.一个可选的实施例中，针对目标群组中的每一待检测主机，当该待检测主机的网络行为特征数据的异常分值与第一异常阈值的比较结果为上述情况二时，即待检测主机的网络行为特征数据的异常分值小于等于第一异常阈值，电子设备可以确定该待检测主机的网络行为特征数据不是离群点，即非离群点。
157.通过上述步骤s302-步骤s304，电子设备可以准确确定出目标群组中特征数据属于第一离群点的待检测数据。
158.上述步骤s302-步骤s304是对上述步骤s202的细化。
159.步骤s305，利用箱线图算法，确定各待检测主机的网络行为特征数据中的第二离群点。
160.步骤s306，将目标群组中的目标主机确定为离群主机，目标主机为第一离群点和第二离群点的交集中每一网络行为特征数据所对应的待检测主机。
161.步骤s307，将目标群组中除目标主机以外的每一待检测主机确定为非离群主机。
162.步骤s308，获取每一待检测主机的事件检测结果；事件检测结果用于指示待检测主机在预设时长内是否发生安全事件。
163.步骤s309，根据每一待检测主机对应的离群检测结果和事件检测结果，确定目标群组中的失陷主机。
164.上述步骤s305-步骤s309与上述步骤s203-步骤s207相同。
165.一个可选的实施例中，根据图2所示的方法，本技术实施例还提供了一种失陷主机确定方法。如图4所示，图4为本技术实施例提供的失陷主机确定方法的第四种流程示意图。该方法包括以下步骤。
166.步骤s401，获取目标群组中每一待检测主机在预设时长内的网络行为特征数据；其中，目标群组包含的各待检测主机是按照预设群组划分指标确定的；各待检测主机具有预设群组划分指标的同一指标值。
167.步骤s402，利用孤立森林算法，确定各待检测主机的网络行为特征数据中的第一离群点。
168.上述步骤s401-步骤s402与上述步骤s201-步骤s202相同。
169.步骤s403，针对网络行为特征数据中的每一行为类别，比较每一待检测主机在该行为类别的网络行为特征数据与该行为类别所对应的第二异常阈值；每一行为类别所对应的第二异常阈值是：根据目标群组中各待检测主机在该行为类别的网络行为特征数据的四分位数确定的。
170.在本步骤中，针对目标群组中的每一待检测主机，电子设备可以分别将该待检测主机的每一行为类别所对应的网络行为特征数据与该行为类别所对应的第二异常阈值进行比较，得到比较结果。该比较结果至少包括一下两种情况。
171.情况一，该待检测主机的每一行为类别所对应的网络行为特征数据均小于等于该行为类别所对应的第二异常阈值。
172.情况二，该待检测主机的至少一个行为类别所对应的网络行为特征数据大于该行为类别所对应的第二异常阈值。
173.在本技术实施例中，上述四分位数包括上四分位数和下四分位数。
174.一个可选的实施例中，上述第二异常阈值为目标群组中所有待检测主机的网络行
为特征数据的上四分位数与1.5倍四分位数间距的和值。
175.为便于理解，以某一行为类别，如上述上行流量为例，结合图5对上述第二异常阈值进行说明。图5为本技术实施例提供的箱线图的一种示意图。
176.电子设备可以按照数据从大到小的顺序，对目标群组中每一待检测主机的上行流量进行排序，得到如图5所示的箱线图。其中，max为最大的上行流量，min为最小的上行流量。
177.电子设备对所有的上行流量进行四等分，此时，将产生三个等分点，即图5所示的q1、m和q2。其中，m为所有上行流量的中位数，q1为所有上行流量的下四分位数，q2为所有上行流量的上四分位数。
178.上述上行流量所对应的第二异常阈值可以表示为：q2 1.5*(q2-q1)。其中，q2-q1为四分位数间距。
179.在本技术实施例中，根据目标群组中每一待检测主机在各行为类别所对应的网络行为特征数据的不同，每一行为类别所对应的第二异常阈值也有所不同。在此，对每一行为类别所对应的第二异常阈值不作具体限定。
180.步骤s404，若待检测主机在任一行为类别的网络行为特征数据大于该行为类别所对应的第二异常阈值，则将该待检测主机的网络行为特征数据确定为第二离群点。
181.在本步骤中，针对上述目标群组中的每一待检测主机，当该待检测主机的行为类别所对应的网络行为特征数据与该行为类别所对应的第二异常阈值比较结果满足上述情况二时，即该待检测主机的至少一个行为类别所对应的网络行为特征数据大于该行为类别所对应的第二异常阈值，电子设备可以将该待检测主机的网络行为特征数据确定为离群点，记为第二离群点。
182.通过上述步骤s403-步骤s404，电子设备可以利用箱线图算法，准确确定出目标群组中的网络行为特征数据属于第二离群点的待检测主机。
183.上述步骤s403-步骤s404是对上述步骤s203的细化。
184.一个可选的实施例中，针对上述目标群组中的每一待检测主机，当该待检测主机的行为类别所对应的网络行为特征数据与该行为类别所对应的第二异常阈值比较结果满足上述情况一时，也就是该待检测主机的每一行为类别所对应的网络特征数据均小于等于每一行为类别所对应的第二异常阈值，电子设备可以将该待检测主机的网络行为特征数据确定为非离群点。
185.步骤s405，将目标群组中的目标主机确定为离群主机，目标主机为第一离群点和第二离群点的交集中每一网络行为特征数据所对应的待检测主机。
186.步骤s406，将目标群组中除目标主机以外的每一待检测主机确定为非离群主机。
187.步骤s407，获取每一待检测主机的事件检测结果；事件检测结果用于指示待检测主机在预设时长内是否发生安全事件。
188.步骤s408，根据每一待检测主机对应的离群检测结果和事件检测结果，确定目标群组中的失陷主机。
189.上述步骤s405-步骤s408与上述步骤s204-步骤s207相同。
190.一个可选的实施例中，根据图1所示的方法，本技术实施例还提供了一种失陷主机确定方法。如图6所示，图6为本技术实施例提供的失陷主机确定方法的第五种流程示意图。
该方法包括以下步骤。
191.步骤s601，获取目标群组中每一待检测主机在预设时长内的网络行为特征数据；其中，目标群组包含的各待检测主机是按照预设群组划分指标确定的；各待检测主机具有预设群组划分指标的同一指标值。
192.步骤s602，利用预设离群点检测算法，确定每一待检测主机的离群检测结果；每一待检测主机的离群检测结果指示：该待检测主机的网络行为特征数据是否为各网络行为特征数据中的离群点。
193.步骤s603，获取每一待检测主机的事件检测结果；事件检测结果用于指示待检测主机在预设时长内是否发生安全事件。
194.上述步骤s601-步骤s603与上述步骤s101-步骤s103相同。
195.步骤s604，针对目标群组中的每一待检测主机，若离群检测结果指示该待检测主机的网络行为特征数据是离群点，且事件检测结果指示该待检测主机在预设时长内发生安全事件，则确定该待检测主机是失陷主机。
196.在本技术实施例中，电子设备在获取到目标群组中的每一待检测主机在预设时长内的离群检测结果和事件检测结果后，可以针对目标群组中的每一待检测主机，确定该待检测主机的离群检测结果是否指示该待检测主机在预设时长内的网络行为特征数据是否为离群点，以及确定该待检测主机的事件检测结果是否指示该待检测主机在预设时长内发生安全事件，具体可以如表2所示。
197.表2
198.情况事件检测结果离群检测结果1发生安全事件离群点2未发生安全事件非离群点3发生安全事件非离群点4未发生安全事件离群点
199.针对目标群组中的每一待检测主机，当该待检测主机在预设时长内的事件检测结果指示发生了安全事件，且离群检测结果指示其网络行为特征数据为离群点时，即满足表2所示的情况1，电子设备可以将该待检测主机确定为失陷主机。
200.上述步骤s603-步骤s604是对上述步骤s104的细化。
201.一个可选的实施例中，针对目标群组中的每一待检测主机，若离群检测结果指示该待检测主机的网络行为特征数据不是离群点，或事件检测结果指示该待检测主机在预设时长内未发生安全事件，则确定该待检测主机不是失陷主机。
202.具体的，针对目标群组中的每一待检测主机，当该待检测主机在预设时长内的事件检测结果指示未发生了安全事件，或离群检测结果指示其网络行为特征数据未非离群点时，即满足表2所示的情况2、情况3、情况4中的任意一种情况时，电子设备可以确定该待检测主机不是失陷主机。
203.另一个可选的实施例中，考虑到安全事件存在误判的情况，这将导致每一待检测主机的事件检测检测结果可能出现误差。例如，已经失陷的主机可能被判定为未发生安全事件，或者未失陷的主机被判定发生安全事件。因此，针对上述目标群组中每一待检测主机，若离群检测结果指示该待检测主机的网络行为特征数据不是离群点，或事件检测结果
指示该待检测主机在预设时长内未发生安全事件，则电子设备可以对该待检测主机不作处理。也就是电子设备不会将该待检测主机确定为失陷主机。
204.一个可选的实施例中，针对上述离群检测结果所指示的网络行为特征数据不是离群点，或事件检测结果所指示的未发生安全事件的待检测主机，为了进一步确定该待检测主机是否为失陷主机，电子设备可以针对该待检测主机进行进一步的检测，如检测主机是否受到恶意攻击等。在此，对该待检测主机的检测方式不作具体限定。
205.通过上述步骤s603-步骤s604，电子设备可以根据目标群组中每一待检测主机在预设时长内的事件检测结果和离群检测结果，准确确定出目标群组中的失陷主机，降低了安全事件误判对失陷主机确定的影响，提高了确定出的失陷主机的准确性。
206.一个可选的实施例中，根据图1所示的方法，本技术实施例还提供了一种失陷主机确定方法。如图7所示，图7为本技术实施例提供的失陷主机确定方法的第六种流程示意图。该方法包括以下步骤。
207.步骤s701，获取目标群组中每一待检测主机在预设时长内的网络行为特征数据；其中，目标群组包含的各待检测主机是按照预设群组划分指标确定的；各待检测主机具有预设群组划分指标的同一指标值。
208.步骤s702，利用预设离群点检测算法，确定每一待检测主机的离群检测结果；每一待检测主机的离群检测结果指示：该待检测主机的网络行为特征数据是否为各网络行为特征数据中的离群点。
209.步骤s703，获取每一待检测主机的事件检测结果；事件检测结果用于指示待检测主机在预设时长内是否发生安全事件。
210.上述步骤s701-步骤s703与上述步骤ss101-步骤s103相同。
211.步骤s704，获取目标群组中每一待检测主机在连续的多个预设时长内的离群检测结果和事件检测结果。
212.在本步骤中，电子设备可以重复执行上述步骤s701-步骤s703，获取目标群组中每一待检测主机在连续的多个预设时长内离群检测结果和事件检测结果。
213.例如，电子设备可以每隔一小时，获取目标群组中每一待检测主机在9:00-18:00期间的离群检测结果和事件检测结果。
214.在本技术实施例中，考虑到单个预设时长内待检测主机的离群检测结果和事件检测结果的局限性，电子设备通过获取待检测主机在连续多个预设时长内离群检测结果和事件检测结果，从而确定出目标群组中的失陷主机。
215.步骤s705，针对目标群组中的每一待检测主机，在每一预设时长内，若该预设时长对应的离群检测结果指示该待检测主机的网络行为特征数据为离群点，且该预设时长的事件检测结果指示该待检测主机发生安全事件，则将该待检测主机确定为该预设时长内的备选主机。
216.在本步骤中，针对目标群组中的每一待检测主机，当该待检测主机在某一预设时长内的离群检测结果指示该待检测主机的网络行为特征数据为离群点，并且，该预设时长内的事件检测结果指示该待检测主机发生了安全事件时，电子设备可以确定该待检测主机发生一次失陷。此时，电子设备可以该待检测主机确定为该预设时长内备选主机。
217.步骤s706，针对每一目标群组中的待检测主机，若该待检测主机在多个预设时长
内被确定为备选主机的次数大于预设次数阈值，则确定该待检测主机是失陷主机。
218.在本步骤中，针对目标群组中的每一待检测主机，当该待检测主机在上述连续的多个预设时长内被确定为备选主机的次数大于预设次数阈值时，也就是该待检测主机在上述连续的多个预设时长内失陷的次数大于预设次数阈值，电子设备可以确定该待检测主机为失陷主机。
219.在本技术实施例中，通过获取目标群组中每一待检测主机在连续的多个预设时长内的事件检测结果和离群检测结果，可以进一步提高确定出的失陷主机的准确性。
220.为便于理解，通过多次试验得到如图8所示的曲线。图8为本技术实施例提供的在多个预设时长内主机失陷次数与失陷概率的一种示意图。
221.在图8所示的曲线中，水平方向为主机的失陷次数，即上述待检测主机被确定为备选主机的次数，竖直方向为主机的失陷概率。在图8所示曲线中，随着主机的失陷次数的增加，该主机的失陷概率也将随之增加。因此，当主机在多个预设时长内的失陷次数越大时，将该主机确定为失陷主机的正确率越高，确定出的失陷主机的准确性越高。
222.例如，在图8中，当主机的失陷次数为1时，该主机的失陷概率为55％。也就是当主机在多个预设时长内的失陷次数为1时，将该主机确定为失陷主机的正确率可以达到55％。而当主机的失陷次数为20时，该主机的失陷概率为100％。也就是当主机在多个预设时长内的失陷次数为20时，将该主机确定为失陷主机的正确率可以达到100％。
223.一个可选的实施例中，上述预设次数阈值可以根据用户需求进行设置。例如，上述预设次数阈值可以为20。在此，对上述预设次数阈值不作具体限定。
224.基于同一种发明构思，根据上述本技术实施例提供的失陷主机确定方法，本技术实施例还提供了一种失陷主机确定装置。如图9-a所示，图9-a为本技术实施例提供的失陷主机确定装置的第一种结构示意图。该装置包括以下模块。
225.第一获取模块901，用于获取目标群组中每一待检测主机在预设时长内的网络行为特征数据；其中，目标群组包含的各待检测主机是按照预设群组划分指标确定的；各待检测主机具有预设群组划分指标的同一指标值；
226.第一确定模块902，用于利用预设离群点检测算法，确定每一待检测主机的离群检测结果；每一待检测主机的离群检测结果指示：该待检测主机的网络行为特征数据是否为各网络行为特征数据中的离群点；
227.第二获取模块903，用于获取每一待检测主机的事件检测结果；事件检测结果用于指示待检测主机在预设时长内是否发生安全事件；
228.第二确定模块904，用于根据每一待检测主机对应的离群检测结果和事件检测结果，确定目标群组中的失陷主机。
229.可选的，上述网络行为特征数据包括以下至少一项：上行流量、下行流量、会话数、访问ip数和访问区域数。
230.可选的，上述第一确定模块902，具体可以用于利用孤立森林算法，确定各待检测主机的网络行为特征数据中的第一离群点；
231.利用箱线图算法，确定各待检测主机的网络行为特征数据中的第二离群点；
232.将目标群组中的目标主机确定为离群主机，目标主机为第一离群点和第二离群点的交集中每一网络行为特征数据所对应的待检测主机；
233.将目标群组中除目标主机以外的每一待检测主机确定为非离群主机。
234.可选的，上述第一确定模块902，具体可以用于根据每一待检测主机的网络行为特征数据，构建预设数量个孤立树，得到孤立森林模型；利用孤立森林模型，计算每一待检测主机的网络行为特征数据的异常分值；将异常分值大于第一异常阈值的网络行为特征数据确定为第一离群点。
235.可选的，上述第一确定模块902，具体可以用于针对网络行为特征数据中的每一行为类别，比较每一待检测主机在该行为类别的网络行为特征数据与该行为类别所对应的第二异常阈值；每一行为类别所对应的第二异常阈值是：根据目标群组中各待检测主机在该行为类别的网络行为特征数据的四分位数确定的；若待检测主机在任一行为类别的网络行为特征数据大于该行为类别所对应的第二异常阈值，则将该待检测主机的网络行为特征数据确定为第二离群点。
236.可选的，上述第二确定模块904，具体可以用于针对目标群组中的每一待检测主机，若离群检测结果指示该待检测主机的网络行为特征数据是离群点，且事件检测结果指示该待检测主机在预设时长内发生安全事件，则确定该待检测主机是失陷主机；
237.若离群检测结果指示该待检测主机的网络行为特征数据不是离群点，或事件检测结果指示该待检测主机在预设时长内未发生安全事件，则确定该待检测主机不是失陷主机。
238.可选的，如图9-b所示，上述失陷主机确定装置还可以包括：
239.第三获取模块905，用于在根据每一待检测主机对应的离群检测结果和事件检测结果，确定目标群组中的失陷主机之前，获取目标群组中每一待检测主机在连续的多个预设时长内的离群检测结果和事件检测结果；
240.上述第二确定模块904，具体可以用于针对目标群组中的每一待检测主机，在每一预设时长内，若该预设时长对应的离群检测结果指示该待检测主机的网络行为特征数据为离群点，且该预设时长的事件检测结果指示该待检测主机发生安全事件，则将该待检测主机确定为该预设时长内的备选主机；
241.若该待检测主机在多个预设时长内被确定为备选主机的次数大于预设次数阈值，则确定该待检测主机是失陷主机；
242.若该待检测主机在多个预设时长内被确定为备选主机的次数不大于预设次数阈值，则确定该待检测主机不是失陷主机。
243.通过本技术实施例提供的装置，通过获取目标群组中每一待检测主机的网络行为特征数据，利用预设离群点检测算法，确定每一待检测主机的离群检测结果，从而根据每一待检测主机在预设时长内的离群检测结果和事件检测结果，确定目标群组中的失陷主机。
244.相比于相关技术，在确定失陷主机的过程中，除了考虑主机是否发生安全事件以外，还综合考虑了主机的网络行为特征数据是否为其所在目标群组中的离群点，也就是还考虑了主机的网络行为特征相对于其所在群组中其他主机的网络行为特征的偏离情况，从而有效降低了安全事件误判对失陷主机确定的影响，提高了确定出的失陷主机的准确性。
245.基于同一种发明构思，根据上述本技术实施例提供的失陷主机确定方法，本技术实施例还提供了一种电子设备，如图10所示，包括处理器1001和机器可读存储介质1002，机器可读存储介质1002存储有能够被处理器1001执行的机器可执行指令。处理器1001被机器
可执行指令促使实现上述图1-图4、以及图6-图7所示的任一步骤。
246.一个可选的实施例中，如图10所示，电子设备还可以包括：通信接口1003和通信总线1004；其中，处理器1001、机器可读存储介质1002、通信接口1003通过通信总线1004完成相互间的通信，通信接口1003用于上述电子设备与其他设备之间的通信。
247.基于同一种发明构思，根据上述本技术实施例提供的失陷主机确定方法，本技术实施例还提供了一种机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令。处理器被机器可执行指令促使实现上述图1-图4、以及图6-图7所示的任一步骤。
248.基于同一种发明构思，根据上述本技术实施例提供的失陷主机确定方法，本技术实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述图1-图4、以及图6-图7所示的任一步骤。
249.上述通信总线可以是pci(peripheral component interconnect，外设部件互连标准)总线或eisa(extended industry standard architecture，扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。
250.上述机器可读存储介质可以包括ram(random access memory，随机存取存储器)，也可以包括nvm(non-volatile memory，非易失性存储器)，例如至少一个磁盘存储器。另外，机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
251.上述处理器可以是通用处理器，包括cpu(central processing unit，中央处理器)、np(network processor，网络处理器)等；还可以是dsp(digital signal processing，数字信号处理器)、asic(application specific integrated circuit，专用集成电路)、fpga(field-programmable gate array，现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
252.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
253.本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于失陷主机确定装置、电子设备、机器可读存储介质及计算机程序产品实施例等而言，由于其基本相似于失陷主机确定方法实施例，所以描述的比较简单，相关之处参见失陷主机确定方法实施例的部分说明即可。
254.以上仅为本技术的较佳实施例而已，并非用于限定本技术的保护范围。凡在本技术的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本技术的保护范围内。