一种windows系统内部网络横向移动攻击检测方法及其系统与流程

1.本发明涉及计算机，更具体地说是指一种windows系统内部网络横向移动攻击检测方法及其系统。


背景技术：

2.传统的windows系统内部网络横向移动攻击检测是基于通过对当前主机进行的行为操作进行恶意行为规则匹配，由于其依赖于自有的相关匹配规则或策略，导致在安全问题上往往出现大量误报、漏报，并在情报更新和威胁嗅探上往往囿于劣势；同时，由于其安全判定仅基于自有的行为规则匹配，而自有的行为规则匹配往往又是已知威胁的整理集合，导致目前传统windows系统内部网络横向移动攻击检测长期停留在“事后诸葛亮”的状态，即只有相关问题已大规模爆发，其行为已知后方能对其进行相关检出和处置，因此，当前的windows系统内部网络横向移动攻击检测方法无法有效识别多变的windows系统内部网络横向移动攻击行为。
3.因此，有必要设计一种新的方法，实现有效识别多变的windows系统内部网络横向移动攻击行为，精准判别异常行为。


技术实现要素：

4.本发明的目的在于克服现有技术的缺陷，提供一种windows系统内部网络横向移动攻击检测方法及其系统。
5.为实现上述目的，本发明采用以下技术方案：一种windows系统内部网络横向移动攻击检测方法，包括：对windows主机进行监控，以获取主机数据；提取所述主机数据内的行为特征；根据所述行为特征进行攻击行为检测，以得到检测结果；根据所述检测结果判断当前主机是否存在可疑行为；若当前主机存在可疑行为，则对所述可疑行为进行进程识别，以得到识别结果；针对每个可疑行为，根据所述识别结果判断所述可疑行为对应的进程是否在白名单内；若所述可疑行为对应的进程不在白名单内，则确定当前主机存在内部网络横向移动攻击行为，并进行异常告警；若所述可疑行为对应的进程在白名单内，则判断所述可疑行为对应的进程是否属于远程调用；若所述可疑行为对应的进程属于远程调用，则执行所述确定当前主机存在内部网络横向移动攻击行为，并进行异常告警。
6.其进一步技术方案为：所述对windows主机进行监控，以获取主机数据，包括：在各个windows主机安装agent软件，利用agent软件进行监控，以获取主机数据；
其中，所述主机数据包括抓取密码行为、对外端口连接数据、时间段内执行命令数据集以及实时执行命令数据。
7.其进一步技术方案为：所述提取所述主机数据内的行为特征，包括：对所述主机数据分类提取为抓取密码行为、对外端口连接数据集、设定时间间隔内执行命令集以及实时执行命令数据，以得到行为特征。
8.其进一步技术方案为：所述根据所述行为特征进行攻击行为检测，以得到检测结果，包括：判断所述抓取密码行为是否属于已知正常抓取密码行为特征库内的元素；若所述抓取密码行为属于已知正常抓取密码行为特征库内的元素，则确定抓取密码行为为正常抓取密码行为，以得到检测结果；统计所述对外端口连接数据集中四元组中的目的ip数据，并进行去重整合，以得到目的ip集合；统计所述对外端口连接数据集中目的ip属于目的ip集合内的四元组数量，以生成数量集合；判断所述数量集合内的每个元素是否均小于阈值；若所述数量集合内的每个元素均小于阈值，则确定当前主机不存在端口扫描行为，以得到检测结果；统计所述设定时间间隔内执行命令集中属于已知收集域信息命令特征库的元素个数，以得到总个数；判断所述总个数是否小于个数阈值；若所述总个数小于个数阈值，则确定当前主机不存在可疑收集域信息行为，以得到检测结果；判断所述实时执行命令数据是否属于已知添加用户命令特征库内的元素；若所述实时执行命令数据属于已知添加用户命令特征库内的元素，则确定当前主机不存在可疑添加用户行为，以得到检测结果；若所述实时执行命令数据不属于已知添加用户命令特征库内的元素，则确定当前主机存在可疑添加用户行为，以得到检测结果；若所述抓取密码行为不属于已知正常抓取密码行为特征库内的元素，则确定抓取密码行为可疑抓取密码行为，以得到检测结果，并执行所述统计所述对外端口连接数据集中四元组中的目的ip数据，并进行去重整合，以得到目的ip集合；若所述数量集合内的每个元素均小于阈值，则确定当前主机存在端口扫描行为，以得到检测结果，并执行所述统计所述设定时间间隔内执行命令集中属于已知收集域信息命令特征库的元素个数，以得到总个数；若所述总个数不小于个数阈值，则确定当前主机不存在可疑收集域信息行为，以得到检测结果，并执行所述判断所述实时执行命令数据是否属于已知添加用户命令特征库内的元素。
9.其进一步技术方案为：所述根据所述检测结果判断当前主机是否存在可疑行为，包括：判断所述检测结果是否是抓取密码行为可疑抓取密码行为、当前主机存在端口扫
描行为、当前主机不存在可疑收集域信息行为、当前主机存在可疑添加用户行为中至少一种；若所述检测结果是抓取密码行为可疑抓取密码行为、当前主机存在端口扫描行为、当前主机不存在可疑收集域信息行为、当前主机存在可疑添加用户行为中至少一种，则确定当前主机存在可疑行为；若所述检测结果不是抓取密码行为可疑抓取密码行为、当前主机存在端口扫描行为、当前主机不存在可疑收集域信息行为、当前主机存在可疑添加用户行为中任一种，则确定当前主机不存在可疑行为。
10.其进一步技术方案为：所述针对每个可疑行为，根据所述识别结果判断所述可疑行为对应的进程是否在白名单内，包括：针对每个可疑行为对应的进程，判断所述识别结果是否属于白名单进程集合内的元素；若所述识别结果属于白名单进程集合内的元素，则确定所述可疑行为对应的进程在白名单内；集合每个可疑行为对应的进程是否在白名单内的判定结果，以形成判定数据集；根据所述判定数据集确定所有可疑行为对应的进程是否都在白名单内；若所述识别结果不属于白名单进程集合内的元素，则确定所述可疑行为对应的进程不在白名单内，并执行所述集合每个可疑行为对应的进程是否在白名单内的判定结果，以形成判定数据集。
11.其进一步技术方案为：所述根据所述检测结果判断当前主机是否存在可疑行为之后，还包括：若当前主机是否不存在可疑行为，则进入结束步骤。
12.其进一步技术方案为：所述判断所述可疑行为对应的进程是否属于远程调用之后，还包括：若所述可疑行为对应的进程不属于远程调用，则进入结束步骤。
13.本发明还提供了一种windows系统内部网络横向移动攻击检测系统，包括：监控单元，用于对windows主机进行监控，以获取主机数据；特征提取单元，用于提取所述主机数据内的行为特征；行为检测单元，用于根据所述行为特征进行攻击行为检测，以得到检测结果；可疑行为判断单元，用于根据所述检测结果判断当前主机是否存在可疑行为；进程识别单元，用于若当前主机存在可疑行为，则对所述可疑行为进行进程识别，以得到识别结果；白名单判断单元，用于针对每个可疑行为，根据所述识别结果判断所述可疑行为对应的进程是否在白名单内；异常告警单元，用于若所述可疑行为对应的进程不在白名单内，则确定当前主机存在内部网络横向移动攻击行为，并进行异常告警；本地调用判断单元，用于若所述可疑行为对应的进程在白名单内，则判断所述可疑行为对应的进程是否属于远程调用；若所述可疑行为对应的进程属于远程调用，则执行所述确定当前主机存在内部网络横向移动攻击行为，并进行异常告警。
14.其进一步技术方案为：所述监控单元，用于在各个windows主机安装agent软件，利用agent软件进行监控，以获取主机数据。
15.本发明与现有技术相比的有益效果是：本发明通过对windows主机数据监控，并基于可疑行为数据检测可疑行为，当存在可疑行为时，判断可疑行为对应的进程是否在白名单内，若所述可疑行为对应的进程不在白名单内，则当前主机存在内部网络横向移动攻击行为，并进行异常告警，若在拜名单内，则判断进程是否进程远程调用，最后对windows横向渗透行为进行告警，能够精确windows系统内部网络横向移动攻击检测，实现有效识别多变的windows系统内部网络横向移动攻击行为，精准判别异常行为。
16.下面结合附图和具体实施例对本发明作进一步描述。
附图说明
17.为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
18.图1为本发明实施例提供的一种windows系统内部网络横向移动攻击检测方法的应用场景示意图；图2为本发明实施例提供的一种windows系统内部网络横向移动攻击检测方法的流程示意图；图3为本发明实施例提供的一种windows系统内部网络横向移动攻击检测方法的子流程示意图；图4为本发明实施例提供的一种windows系统内部网络横向移动攻击检测方法的子流程示意图；图5为本发明实施例提供的一种windows系统内部网络横向移动攻击检测方法的子流程示意图；图6为本发明实施例提供的一种windows系统内部网络横向移动攻击检测系统的示意性框图；图7为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
19.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
20.应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
21.还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。
22.还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。
23.请参阅图1和图2，图1为本发明实施例提供的一种windows系统内部网络横向移动攻击检测方法的应用场景示意图。图2为本发明实施例提供的一种windows系统内部网络横向移动攻击检测方法的示意性流程图。该一种windows系统内部网络横向移动攻击检测方法应用于服务器中。该服务器与windows主机进行数据交互，通过对windows主机行为进行监控，并对分析的特征与windows操作系统进行横向渗透攻击所必须进行的四个操作进行特征匹配，再对进行可疑行为的进程进行判定该进程是否为异常进程，最后提供告警，以实现windows系统内部网络横向移动攻击检测。
24.图2是本发明实施例提供的一种windows系统内部网络横向移动攻击检测方法的流程示意图。如图2所示，该方法包括以下步骤s110至s150。
25.s110、对windows主机进行监控，以获取主机数据。
26.在本实施例中，主机数据包括抓取密码行为、对外端口连接数据、时间段内执行命令数据集以及实时执行命令数据。所监控的windows主机数据包括以下内容：监控某台winodws服务器an抓取密码行为得到an抓取密码行为a
ni
；监控某台winodws服务器an对外端口连接数据得到an对外端口连接数据集o{o1，o2，o3，o4，
……on
}；监控某台winodws服务器an执行命令数据分别得到an在时间间隔t内执行命令集a
nt
{c1，c2，c3，
……cn
}、an实时执行命令数据a
nc
；具体地，在各个windows主机安装agent软件，利用agent软件进行监控，以获取主机数据。
27.s120、提取所述主机数据内的行为特征。
28.在本实施例中，行为特征包括抓取密码行为、对外端口连接数据集、设定时间间隔内执行命令集以及实时执行命令数据。
29.具体地，对所述主机数据分类提取为抓取密码行为、对外端口连接数据集、设定时间间隔内执行命令集以及实时执行命令数据，以得到行为特征。
30.s130、根据所述行为特征进行攻击行为检测，以得到检测结果。
31.在本实施例中，检测结果是指对所述行为特征是否存在攻击行为进行检测所得到的结果。
32.在一实施例中，请参阅图3，上述的步骤s130可包括步骤s130a~ s130p。
33.s130a、判断所述抓取密码行为是否属于已知正常抓取密码行为特征库内的元素；s130b、若所述抓取密码行为属于已知正常抓取密码行为特征库内的元素，则确定抓取密码行为为正常抓取密码行为，以得到检测结果。
34.可疑抓取密码行为识别存在算法p1，该算法针对抓取密码行为进行比对，并判定是否可疑抓取密码行为。
35.算法p1具体判定如下，针对某台winodws主机an，存在已知正常抓取密码行为特征库s{s1，s2，s3，
……
sn}，s1，s2，s3，
……
sn为正常抓取密码行为，通过监控该台主机抓取密码行为a
ni
，则其a
ni
应与集合s{s1，s2，s3，
……
s}进行比对，即计算p1(a
ni
，s{s1，s2，s3，
……
s})；若p1(a
ni
，s{s1，s2，s3，
……
s}) = 0，即表示监控到的主机抓取密码行为与集合中正常抓取密码行为存在匹配项，该抓取密码行为为正常抓取密码行为；若p1(a
ni
，s{s1，s2，
s3，
……
s}) = 1，则表示监控到的主机抓取密码行为与集合中正常抓取密码行为无匹配项，即该抓取密码行为为可疑抓取密码行为。
36.s130c、统计所述对外端口连接数据集中四元组中的目的ip数据，并进行去重整合，以得到目的ip集合；在本实施例中，目的ip集合是指对外端口连接数据集中四元组中的目的ip数据经过去重整合得到的集合。
37.s130d、统计所述对外端口连接数据集中目的ip属于目的ip集合内的四元组数量，以生成数量集合。
38.在本实施例中，数量集合是指对外端口连接数据集中目的ip属于目的ip集合内的四元组数量构成的集合。
39.s130e、判断所述数量集合内的每个元素是否均小于阈值；s130f、若所述数量集合内的每个元素均小于阈值，则确定当前主机不存在端口扫描行为，以得到检测结果。
40.端口扫描行为判定存在算法p2，该算法针对监控到的windows主机对外端口连接数据进行判定是否为端口扫描；算法p2具体判定如下，针对某台winodw主机an，监控到对外端口连接数据集合o为{o1，o2，o3，o4，
……on
}，on为四元组(源ip，源端口，目的ip，目的端口)，收集o{ o1，o2，o3，o4，
……on }中四元组on中的目的ip数据得到ip
dn
，ip
d1
，ip
d2
，ip
d3
，
……
，ip
dn
进行去重整合得到目的ip集合ipd为{ip
d1
，ip
d2
，ip
d3
，
……
，ip
dn
}，存在算法c1(o，ip
dn
)，c1(o，ip
dn
)算法具体实现如下，统计在对外端口连接数据集合o中目的ip为ip
dn
的四元组数量，并生成数量数据n
ipn
，n
ip1
、n
ip2
、n
ip3
……
、n
ipn
组合成新的集合n
ip
，存在阈值n1，n1默认为20，可人工设定，计算p2(n
ip
{n
ip1
、n
ip2
、n
ip3、nip4
、n
ip5
……
、n
ipn
}，n1)；若p2(n
ip
{n
ip1
、n
ip2
、n
ip3、nip4
、n
ip5
……
、n
ipn
}，n1) = 0，则表示集合n
ip
{n
ip1
、n
ip2
、n
ip3、nip4
、n
ip5
……
、n
ipn
}中的数据均小于阈值n1，即不存在端口扫描行为；若p2(n
ip
{n
ip1
、n
ip2
、n
ip3、nip4
、n
ip5
……
、n
ipn
}，n1) = 1，则表示集合n
ip
{n
ip1
、n
ip2
、n
ip3、nip4
、n
ip5
……
、n
ipn
}中存在一个或一个以上的数据值大于或等于阈值n1，即存在端口扫描行为。
41.s130g、统计所述设定时间间隔内执行命令集中属于已知收集域信息命令特征库的元素个数，以得到总个数。
42.在本实施例中，总个数是指设定时间间隔内执行命令集中属于已知收集域信息命令特征库的元素个数之和。
43.s130i、判断所述总个数是否小于个数阈值；s130j、若所述总个数小于个数阈值，则确定当前主机不存在可疑收集域信息行为，以得到检测结果。
44.可疑查询域信息行为判定存在算法p3，该算法针对监控到的windows主机执行命令数据进行判定是否为可疑查询域信息；算法p3具体判定如下，针对某台winodws主机an，在每一个t=60s时间间隔内，监控到的命令行命令集合为a
nt
为{c1，c2，c3，
……cn
}，存在已知收集域信息命令特征库y{y1，y2，y3，
……yn
}，y1，y2，y3，
……yn
为收集域信息命令，存在判断算法i1(cn，y{y1，y2，y3，
……yn
})，判断算法i1(cn，y{y1，y2，y3，
……yn
})具体实现如下，判断a
nt
中的每一个cn是否在集合y中，
若cn∈y，生成新的值gn=1，若cn∉
y，生成新的值gn= 0，g1、g2、g3……
、gn组成新集合g{g1、g2、g3……
、gn}，计算n=∑(g1 g2 g3……
gn)，存在阈值n2，n2默认为10，可人工设定，计算p3(n，n2)；若p3(n，n2)= 0，则表示集合g{g1、g2、g3……
、gn}中∑(g1 g2 g3……
gn)小于n2，在每一个时间间隔t=60s内，监控到的命令行命令集合中收集域信息命令条数小于n2，即不存在可疑收集域信息行为；若p3(n，n2)=1，则表示集合g{g1、g2、g3……
、gn}中∑(g1 g2 g3……
gn)大于或等于n2，在每一个时间间隔t=60s内，监控到的命令行命令集合中收集域信息命令条数大于等于n2，即存在可疑收集域信息行为。
45.s130k、判断所述实时执行命令数据是否属于已知添加用户命令特征库内的元素；s130l、若所述实时执行命令数据属于已知添加用户命令特征库内的元素，则确定当前主机不存在可疑添加用户行为，以得到检测结果；s130m、若所述实时执行命令数据不属于已知添加用户命令特征库内的元素，则确定当前主机存在可疑添加用户行为，以得到检测结果。
46.可疑添加用户行为判定存在算法p4，该算法针对监控到的windows主机执行命令数据进行判定是否为可疑添加用户命令；算法p4具体判定如下，针对某台winodws主机an，实时收集到的命令行执行命令数据为a
nc
，存在已知添加用户命令特征库u{u1，u2，u3，
……
un}，{u1，u2，u3，
……
un为添加用户命令，计算p4(a
nc
，u{{u1，u2，u3，
……un })；若p4(a
nc
，u{{u1，u2，u3，
……un } = 0，则监控到的windows主机执行命令数据中不存在添加用户命令，即不存在可疑添加用户行为；若p4(a
nc
，u{{u1，u2，u3，
……un }) = 1，则监控到的windows主机执行命令数据中存在一条或多条添加用户命令，即存在可疑添加用户行为。
47.s130n、若所述抓取密码行为不属于已知正常抓取密码行为特征库内的元素，则确定抓取密码行为可疑抓取密码行为，以得到检测结果，并执行所述s130c；s130o、若所述数量集合内的每个元素均小于阈值，则确定当前主机存在端口扫描行为，以得到检测结果，并执行所述步骤s130g；s130p、若所述总个数不小于个数阈值，则确定当前主机不存在可疑收集域信息行为，以得到检测结果，并执行所述步骤s130k。
48.s140、根据所述检测结果判断当前主机是否存在可疑行为；若当前主机不存在可疑行为，则进入结束步骤。
49.在一实施例中，请参阅图4，上述的步骤s140可包括步骤s141~s143。
50.s141、判断所述检测结果是否是抓取密码行为可疑抓取密码行为、当前主机存在端口扫描行为、当前主机不存在可疑收集域信息行为、当前主机存在可疑添加用户行为中至少一种；s142、若所述检测结果是抓取密码行为可疑抓取密码行为、当前主机存在端口扫描行为、当前主机不存在可疑收集域信息行为、当前主机存在可疑添加用户行为中至少一种，则确定当前主机存在可疑行为；s143、若所述检测结果不是抓取密码行为可疑抓取密码行为、当前主机存在端口扫描行为、当前主机不存在可疑收集域信息行为、当前主机存在可疑添加用户行为中任一
种，则确定当前主机不存在可疑行为。
51.具体地，通过可疑行为库判定是否可疑行为，并将p1、p2、p3、p4算法得到的结果整合成新的集合s1{p1(an，s{s1，s2，s3，
……
sn})，p2(n
ip
{n
ip1
、n
ip2
、n
ip3、nip4
、n
ip5
……
、n
ipn
}，n1)，p3(n，n2)，p4(a
nc
，u{{u1，u2，u3，
……un })}，若集合s1中存在一个或多个值为1的数据，则进入下一步可疑行为进程识别，若集合s1中不存在值为1的数据，则最终结果sf{s
f1
，s
f2
，s
f3
，s
f4
} = s1{p1(an，s{s1，s2，s3，
……
sn})，p2(n
ip
{n
ip1
、n
ip2
、n
ip3、nip4
、n
ip5
……
、n
ipn
}，n1)，p3(n，n2)，p4(a
nc
，u{{u1，u2，u3，
……un })}。
52.s150、若当前主机存在可疑行为，则对所述可疑行为进行进程识别，以得到识别结果。
53.在本实施例中，识别结果是指每个可疑行为的进程。
54.具体地，存在进程识别算法p5，进行识别可疑行为对应的进程，计算p5(s1{p1，p2，p3，p4})；算法p5具体如下，对于集合s1{p1，p2，p3，p4})，若pn(n ≤4) = 1，则由算法p5得出新的值tn(n≤ 4)，tn(n≤4)为pn(n ≤ 4) = 1中可疑行为所对应的进程；若pn(n ≤4) = 0，则tn(n ≤4) = 0，t1，t2，t3，t4整合成新的集合t{t1，t2，t3，t4}。
55.s160、针对每个可疑行为，根据所述识别结果判断所述可疑行为对应的进程是否在白名单内。
56.在一实施例中，请参阅图5，上述的步骤s160可包括步骤s161~s165。
57.s161、针对每个可疑行为对应的进程，判断所述识别结果是否属于白名单进程集合内的元素；s162、若所述识别结果属于白名单进程集合内的元素，则确定所述可疑行为对应的进程在白名单内；s163、集合每个可疑行为对应的进程是否在白名单内的判定结果，以形成判定数据集；s164、根据所述判定数据集确定所有可疑行为对应的进程是否都在白名单内；s165、若所述识别结果不属于白名单进程集合内的元素，则确定所述可疑行为对应的进程不在白名单内，并执行所述步骤s163。
58.在本实施例中，存在进程白名单判断算法p6，进行白名单进程判断；算法p6具体如下，存在已知白名单进程集合tw{t
w1
，t
w2
，t
w3
……
，t
wn
}，集合中t
w1
，t
w2
，t
w3
……
，t
wn
数据为操作系统原生程序进程以及日常工作所必须用的程序的进程，计算p6(t{t1，t2，t3，t4}，tw{t
w1
，t
w2
，t
w3
……
，t
wn
})；进程白名单判断算法p6判断集合t中tn(n≤ 4)，是否在白名单进程集合tw{t
w1
，t
w2
，t
w3
……
，t
wn
}中，并生成s
twn
，若tn(n ≤4)∈tw，s
twn
= 0；若tn(n ≤4)
∉
tw，s
twn
= 1，算法p6得到新集合s
tw
{s
tw1
，s
tw2
，s
tw3
，s
tw4
} = p6(t{t1，t2，t3，t4}，tw{t
w1
，t
w2
，t
w3
……
，t
wn
})。如集合s
tw
中存在一个或多个数据值为1，则最终结果sf{s
f1
，s
f2
，s
f3
，s
f4
} =s
tw
{s
tw1
，s
tw2
，s
tw3
，s
tw4
}；如集合s
tw
中数据值均为0，则进入下一步。
59.s170、若所述可疑行为对应的进程不在白名单内，则确定当前主机存在内部网络横向移动攻击行为，并进行异常告警；s180、若所述可疑行为对应的进程在白名单内，则判断所述可疑行为对应的进程
是否属于远程调用。
60.在本实施例中，存在进程远程调用判断算法p7，进行进程是否远程调用判断；算法p7具体如下，计算p7(s
tw
{s
tw1
，s
tw2
，s
tw3
，s
tw4
})；进程远程调用判断算法p7实现如下，若s
twn
(n ≤4)对应的tn(n≤ 4)存在远程调用特征，生成新的数据s
fn
，s
fn
(n ≤4)值为1；若s
twn
(n≤ 4)对应的tn(n≤ 4)不存在远程调用特征，生成新的数据s
fn
，s
fn
(n ≤4)值为0，s
f1
、s
f2
、s
f3
、s
f4
组成最终结果sf{s
f1
，s
f2
，s
f3
，s
f4
}。
61.若所述可疑行为对应的进程属于远程调用，则执行所述步骤s170；若所述可疑行为对应的进程不属于远程调用，则进入结束步骤。
62.得到最终结果sf{s
f1
，s
f2
，s
f3
，s
f4
}后，若sf{s
f1
，s
f2
，s
f3
，s
f4
}中存在一个或多个数据值为1，则认为该windows主机在内部网络中存在对其他主机进行横向移动攻击行为，进行告警。
63.本实施例能够实现利用windows主机行为数据，以windows操作系统实时行为数据为依托，以可疑行为特征库为共识，并在已知恶意行为特征库上追加进程白名单策略、进程是否远程调用检测策略自动化判别当前windows主机是否正在内部网络进行横向移动攻击，从而精准判别异常行为举个例子：存在4台windows主机a1、a2、a3、a4，在4台windows主机a1、a2、a3、a4中安装agent软件进行监控，监控的数据为抓取密码行为、对外端口连接数据、时间段内执行命令数据集、实时执行命令数据；将监控到的主机数据进行提取，假设当前主机为an，获取抓取密码行为、对外端口连接数据、时间段内执行命令数据集、实时执行命令数据，并将其分类提取为抓取密码行为ani、对外端口连接数据集o{ o1，o2，o3，o4，
……on
}、时间间隔t内执行命令集a
nt
{c1，c2，c3，
……cn
}、实时执行命令数据a
nc
，以便所述算法p1-p4对其进行分类判定和分析；针对所述抓取密码行为a
ni
，使用所述算法p1对其进行分析，并获得结果p1(a
ni
，s{s1，s2，s3，
……
sn}) = 0或p1(a
ni
，s{s1，s2，s3，
……
sn}) = 1；针对对外端口连接数据集o{ o1，o2，o3，o4，
……on
}，使用所述算法p2对其进行分析，并获得结果p2(n
ip
{n
ip1
、n
ip2
、n
ip3、nip4
、n
ip5
……
、n
ipn
}，n1)= 0或p2(n
ip
{n
ip1
、n
ip2
、n
ip3、nip4
、n
ip5
……
、n
ipn
}，n1)= 1；针对时间间隔t内执行命令集a
nt
为{c1，c2，c3，
……cn
}，使用所述算法p3对其进行分析，并获得结果p3(n，n2)= 0或p3(n，n2)= 1；针对实时执行命令数据a
nc
，使用所述算法p4对其进行分析，并获得结果p4(a
nc
，u{{u1，u2，u3，
……un }) = 0或p4(a
nc
，u{{u1，u2，u3，
……un }) = 1；对于当前windows主机an，判断其算法p1-p4结果是否存在一个或多个值1，如存在，则当前主机存在可疑行为，并将p1-p4算法结果整合为集合s1{p1(an，s{s1，s2，s3，
……
sn})，p2p2(n
ip
{n
ip1
、n
ip2
、n
ip3、nip4
、n
ip5
……
、n
ipn
}，n1)，p3(n，n2)，p4(a
nc
，u{{u1，u2，u3，
……un })}并进入下一环节，如p1-p4结果均为0，则将p1-p4结果整合成最终结果sf{s
f1
，s
f2
，s
f3
，s
f4
} = s1{p1(an，s{s1，s2，s3，
……
sn})，p2p2(n
ip
{n
ip1
、n
ip2
、n
ip3、nip4
、n
ip5
……
、n
ipn
}，n1)，p3(n，n2)，p4(a
nc
，u{{u1，u2，u3，
……un })}；在本实施例中，所述windows主机a1存在p1(an，s{s1，s2，s3，
……
sn})= 0、p2(n
ip
{n
ip1
、n
ip2
、n
ip3、nip4
、n
ip5
……
、n
ipn
}，n1) = 0、p3(n，n2) = 0、p4(a
nc
，u{{u1，u2，u3，
……un })= 0，该台主机不存在windows系统内部网络横向移动攻击行为，即不参与可疑行为进程识别；进行识别可疑行为所对应的进程，针对得到的结果s1{p1(an，s{s1，s2，s3，
……
sn})，p2p2(n
ip
{n
ip1
、n
ip2
、n
ip3、nip4
、n
ip5
……
、n
ipn
}，n1)，p3(n，n2)，p4
(a
nc
，u{{u1，u2，u3，
……un })}，存在算法p5进行可疑行为进程识别，p5(s1{p1(an，s{s1，s2，s3，
……
sn})，p2p2(n
ip
{n
ip1
、n
ip2
、n
ip3、nip4
、n
ip5
……
、n
ipn
}，n1)，p3(n，n2)，p4(a
nc
，u{{u1，u2，u3，
……un })}) =t{t1，t2，t3，t4}；针对获取到的进程集t{t1，t2，t3，t4}，存在算法p6进行白名单进程判断，并获得结果p6(t{t1，t2，t3，t4}，tw{t
w1
，t
w2
，t
w3
……
，t
wn
}) = s
tw
{s
tw1
，s
tw2
，s
tw3
，s
tw4
}，如果s
tw
中存在一个或多个值为1，则表明可疑行为对应的进程不在进程白名单中，即当前windows主机an存在windows系统内部网络横向移动攻击行为；在本实施例中，windows主机a2的结果s
tw
{1，1，0，0}，即windows主机a2中可疑抓取密码行为、可疑对外端口连接数据所对应的进程不在进程白名单中，即这两种行为是一种恶意行为，故windows主机a2存在windows横向渗透行为，进行告警；类似的，在本实施例中，windows主机a3的结果s
tw
{0，0，0，0}，即windows主机a3中所有可疑行为所对应的进程均在进程白名单中，windows主机a4进入进程是否远程调用判断，针对获得到的结果s
tw
{s
tw1
，s
tw2
，s
tw3
，s
tw4
}，存在算法p7(s
tw
{s
tw1
，s
tw2
，s
tw3
，s
tw4
})，p7(s
tw
{s
tw1
，s
tw2
，s
tw3
，s
tw4
})实现如下，对s
tw
{s
tw1
，s
tw2
，s
tw3
，s
tw4
}对应的进程列表t{t1，t2，t3，t4}进行是否远程调用判断并生成最终结果集sf{s
f1
，s
f2
，s
f3
，s
f4
}，如果sf存在一个或多个值为1的数据，则该windows主机存在windows系统内部网络横向移动攻击行为；如果sf数据值均为0，则该windows主机不存在windows系统内部网络横向移动攻击行为；在本实施例中，windows主机a3经过计算后得到最终结果sf{1，0，0，,0}，即抓取密码行为所对应的白名单进程是通过远程调用的，故该台windows主机存在windows系统内部网络横向移动攻击行为；类似的，在本实施例中，windows主机a4经过计算后得到最终结果sf{0，0，0，0}，即所有可疑行为所对应的进程均在进程白名单内且均为本地调用，故不存在windows系统内部网络横向移动攻击行为；将针对存在内部网络横向移动攻击行为的windows主机进行异常告警。
64.上述的一种windows系统内部网络横向移动攻击检测方法，通过对windows主机数据监控，并基于可疑行为数据检测可疑行为，当存在可疑行为时，判断可疑行为对应的进程是否在白名单内，若所述可疑行为对应的进程不在白名单内，则当前主机存在内部网络横向移动攻击行为，并进行异常告警，若在拜名单内，则判断进程是否进程远程调用，最后对windows横向渗透行为进行告警，能够精确windows系统内部网络横向移动攻击检测，实现有效识别多变的windows系统内部网络横向移动攻击行为，精准判别异常行为。
65.图6是本发明实施例提供的一种windows系统内部网络横向移动攻击检测系统300的示意性框图。如图6所示，对应于以上windows系统内部网络横向移动攻击检测方法，本发明还提供一种windows系统内部网络横向移动攻击检测系统300。该windows系统内部网络横向移动攻击检测系统包括用于执行上述windows系统内部网络横向移动攻击检测方法的单元，该系统可以被配置于服务器中。具体地，请参阅图6，该一种windows系统内部网络横向移动攻击检测系统300包括监控单元301、特征提取单元302、行为检测单元303、可疑行为判断单元304、进程识别单元305、白名单判断单元306、异常告警单元307以及本地调用判断单元308。
66.监控单元301，用于对windows主机进行监控，以获取主机数据；特征提取单元302，用于提取所述主机数据内的行为特征；行为检测单元303，用于根据所述行为特征进行攻击行为检测，以得到检测结果；可疑行为判断单元304，用于根据所述检测结果判断当前主机
是否存在可疑行为；若当前主机是否不存在可疑行为，则进入结束步骤；进程识别单元305，用于若当前主机存在可疑行为，则对所述可疑行为进行进程识别，以得到识别结果；白名单判断单元306，用于针对每个可疑行为，根据所述识别结果判断所述可疑行为对应的进程是否在白名单内；异常告警单元307，用于若所述可疑行为对应的进程不在白名单内，则确定当前主机存在内部网络横向移动攻击行为，并进行异常告警；本地调用判断单元308，用于若所述可疑行为对应的进程在白名单内，则判断所述可疑行为对应的进程是否属于远程调用；若所述可疑行为对应的进程属于远程调用，则执行所述确定当前主机存在内部网络横向移动攻击行为，并进行异常告警；若所述可疑行为对应的进程不属于远程调用，则进入结束步骤。
67.在一实施例中，所述监控单元301，用于在各个windows主机安装agent软件，利用agent软件进行监控，以获取主机数据。
68.在一实施例中，所述特征提取单元302，用于对所述主机数据分类提取为抓取密码行为、对外端口连接数据集、设定时间间隔内执行命令集以及实时执行命令数据，以得到行为特征。
69.在一实施例中，所述行为检测单元303包括行为判断子单元、正常抓取确定子单元、数据统计子单元、数量统计子单元、数量判断子单元、非扫描确定子单元、个数统计子单元、个数判断子单元、非可疑行为确定子单元、命令判断子单元、非添加确定子单元、可疑添加确定子单元、可疑抓取确定子单元、扫描确定子单元以及可疑行为确定子单元。
70.行为判断子单元，用于判断所述抓取密码行为是否属于已知正常抓取密码行为特征库内的元素；正常抓取确定子单元，用于若所述抓取密码行为属于已知正常抓取密码行为特征库内的元素，则确定抓取密码行为为正常抓取密码行为，以得到检测结果；数据统计子单元，用于统计所述对外端口连接数据集中四元组中的目的ip数据，并进行去重整合，以得到目的ip集合；数量统计子单元，用于统计所述对外端口连接数据集中目的ip属于目的ip集合内的四元组数量，以生成数量集合；数量判断子单元，用于判断所述数量集合内的每个元素是否均小于阈值；非扫描确定子单元，用于若所述数量集合内的每个元素均小于阈值，则确定当前主机不存在端口扫描行为，以得到检测结果；个数统计子单元，用于统计所述设定时间间隔内执行命令集中属于已知收集域信息命令特征库的元素个数，以得到总个数；个数判断子单元，用于判断所述总个数是否小于个数阈值；非可疑行为确定子单元，用于若所述总个数小于个数阈值，则确定当前主机不存在可疑收集域信息行为，以得到检测结果；命令判断子单元，用于判断所述实时执行命令数据是否属于已知添加用户命令特征库内的元素；非添加确定子单元，用于若所述实时执行命令数据属于已知添加用户命令特征库内的元素，则确定当前主机不存在可疑添加用户行为，以得到检测结果；可疑添加确定子单元，用于若所述实时执行命令数据不属于已知添加用户命令特征库内的元素，则确定当前主机存在可疑添加用户行为，以得到检测结果；可疑抓取确定子单元，用于若所述抓取密码行为不属于已知正常抓取密码行为特征库内的元素，则确定抓取密码行为可疑抓取密码行为，以得到检测结果，并执行所述统计所述对外端口连接数据集中四元组中的目的ip数据，并进行去重整合，以得到目的ip集合；扫描确定子单元，用于若所述数量集合内的每个元素均小于阈值，则确定当前主机存在端口扫描行为，以得到检测结果，并执行所述统计所述设定时间间隔内执行命令集中属于已知收集域信息命令特征库的元素个数，以得到总
个数；可疑行为确定子单元，用于若所述总个数不小于个数阈值，则确定当前主机不存在可疑收集域信息行为，以得到检测结果，并执行所述判断所述实时执行命令数据是否属于已知添加用户命令特征库内的元素。
71.在一实施例中，所述可疑行为判断单元304包括检测结果判断子单元、第一确定子单元以及第二确定子单元。
72.检测结果判断子单元，用于判断所述检测结果是否是抓取密码行为可疑抓取密码行为、当前主机存在端口扫描行为、当前主机不存在可疑收集域信息行为、当前主机存在可疑添加用户行为中至少一种；第一确定子单元，用于若所述检测结果是抓取密码行为可疑抓取密码行为、当前主机存在端口扫描行为、当前主机不存在可疑收集域信息行为、当前主机存在可疑添加用户行为中至少一种，则确定当前主机存在可疑行为；第二确定子单元，用于若所述检测结果不是抓取密码行为可疑抓取密码行为、当前主机存在端口扫描行为、当前主机不存在可疑收集域信息行为、当前主机存在可疑添加用户行为中任一种，则确定当前主机不存在可疑行为。
73.在一实施例中，所述白名单判断单元306包括识别结果判断子单元、进程确定子单元、判定数据集形成子单元、数据集判断子单元以及非白名单确定子单元。
74.识别结果判断子单元，用于针对每个可疑行为对应的进程，判断所述识别结果是否属于白名单进程集合内的元素；进程确定子单元，用于若所述识别结果属于白名单进程集合内的元素，则确定所述可疑行为对应的进程在白名单内；判定数据集形成子单元，用于集合每个可疑行为对应的进程是否在白名单内的判定结果，以形成判定数据集；数据集判断子单元，用于根据所述判定数据集确定所有可疑行为对应的进程是否都在白名单内；非白名单确定子单元，用于若所述识别结果不属于白名单进程集合内的元素，则确定所述可疑行为对应的进程不在白名单内，并执行所述集合每个可疑行为对应的进程是否在白名单内的判定结果，以形成判定数据集。
75.需要说明的是，所属领域的技术人员可以清楚地了解到，上述一种windows系统内部网络横向移动攻击检测系统300和各单元的具体实现过程，可以参考前述方法实施例中的相应描述，为了描述的方便和简洁，在此不再赘述。
76.上述一种windows系统内部网络横向移动攻击检测系统300可以实现为一种计算机程序的形式，该计算机程序可以在如图7所示的计算机设备上运行。
77.请参阅图7，图7是本技术实施例提供的一种计算机设备的示意性框图。该计算机设备500可以是服务器，其中，服务器可以是独立的服务器，也可以是多个服务器组成的服务器集群。
78.参阅图7，该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505，其中，存储器可以包括非易失性存储介质503和内存储器504。
79.该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032包括程序指令，该程序指令被执行时，可使得处理器502执行一种windows系统内部网络横向移动攻击检测方法。
80.该处理器502用于提供计算和控制能力，以支撑整个计算机设备500的运行。
81.该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境，该计算机程序5032被处理器502执行时，可使得处理器502执行一种一种windows系统内部网
络横向移动攻击检测方法。
82.该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解，图7中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备500的限定，具体的计算机设备500可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
83.其中，所述处理器502用于运行存储在存储器中的计算机程序5032，以实现如下步骤：对windows主机进行监控，以获取主机数据；提取所述主机数据内的行为特征；根据所述行为特征进行攻击行为检测，以得到检测结果；根据所述检测结果判断当前主机是否存在可疑行为；若当前主机存在可疑行为，则对所述可疑行为进行进程识别，以得到识别结果；针对每个可疑行为，根据所述识别结果判断所述可疑行为对应的进程是否在白名单内；若所述可疑行为对应的进程不在白名单内，则确定当前主机存在内部网络横向移动攻击行为，并进行异常告警；若所述可疑行为对应的进程在白名单内，则判断所述可疑行为对应的进程是否属于远程调用；若所述可疑行为对应的进程属于远程调用，则执行所述确定当前主机存在内部网络横向移动攻击行为，并进行异常告警。
84.在一实施例中，处理器502在实现所述对windows主机进行监控，以获取主机数据步骤时，具体实现如下步骤：在各个windows主机安装agent软件，利用agent软件进行监控，以获取主机数据；其中，所述主机数据包括抓取密码行为、对外端口连接数据、时间段内执行命令数据集以及实时执行命令数据。
85.在一实施例中，处理器502在实现所述提取所述主机数据内的行为特征步骤时，具体实现如下步骤：对所述主机数据分类提取为抓取密码行为、对外端口连接数据集、设定时间间隔内执行命令集以及实时执行命令数据，以得到行为特征。
86.在一实施例中，处理器502在实现所述根据所述行为特征进行攻击行为检测，以得到检测结果步骤时，具体实现如下步骤：判断所述抓取密码行为是否属于已知正常抓取密码行为特征库内的元素；若所述抓取密码行为属于已知正常抓取密码行为特征库内的元素，则确定抓取密码行为为正常抓取密码行为，以得到检测结果；统计所述对外端口连接数据集中四元组中的目的ip数据，并进行去重整合，以得到目的ip集合；统计所述对外端口连接数据集中目的ip属于目的ip集合内的四元组数量，以生成数量集合；判断所述数量集合内的每个元素是否均小于阈值；若所述数量集合内的每个元素均小于阈值，则确定当前主机不存在端口扫描行为，以得到检测结果；统计所述设定时间间隔内执行命令集中属于已知收集域信息命令特征库的元素个数，以得到总个数；判断所述总个数是否小于个数阈值；若所述总个数小于个数阈值，则确定当前主机不存在可疑收集域信息行为，以得到检测结果；判断所述实时执行命令数据是否属于已知添加用户命令特征库内的元素；若所述实时执行命令数据属于已知添加用户命令特征库内的元素，则确定当前主机不存在可疑添加用户行为，以得到检测结果；若所述实时执行命令数据不属于已知添加用户命令特征库内的元素，则确定当前主机存在可疑添加用户行为，以得到检测结果；若所述抓取密码行为不属于已知正常抓取密码行为特征库内
的元素，则确定抓取密码行为可疑抓取密码行为，以得到检测结果，并执行所述统计所述对外端口连接数据集中四元组中的目的ip数据，并进行去重整合，以得到目的ip集合；若所述数量集合内的每个元素均小于阈值，则确定当前主机存在端口扫描行为，以得到检测结果，并执行所述统计所述设定时间间隔内执行命令集中属于已知收集域信息命令特征库的元素个数，以得到总个数；若所述总个数不小于个数阈值，则确定当前主机不存在可疑收集域信息行为，以得到检测结果，并执行所述判断所述实时执行命令数据是否属于已知添加用户命令特征库内的元素。
87.在一实施例中，处理器502在实现所述根据所述检测结果判断当前主机是否存在可疑行为步骤时，具体实现如下步骤：判断所述检测结果是否是抓取密码行为可疑抓取密码行为、当前主机存在端口扫描行为、当前主机不存在可疑收集域信息行为、当前主机存在可疑添加用户行为中至少一种；若所述检测结果是抓取密码行为可疑抓取密码行为、当前主机存在端口扫描行为、当前主机不存在可疑收集域信息行为、当前主机存在可疑添加用户行为中至少一种，则确定当前主机存在可疑行为；若所述检测结果不是抓取密码行为可疑抓取密码行为、当前主机存在端口扫描行为、当前主机不存在可疑收集域信息行为、当前主机存在可疑添加用户行为中任一种，则确定当前主机不存在可疑行为。
88.在一实施例中，处理器502在实现所述针对每个可疑行为，根据所述识别结果判断所述可疑行为对应的进程是否在白名单内步骤时，具体实现如下步骤：针对每个可疑行为对应的进程，判断所述识别结果是否属于白名单进程集合内的元素；若所述识别结果属于白名单进程集合内的元素，则确定所述可疑行为对应的进程在白名单内；集合每个可疑行为对应的进程是否在白名单内的判定结果，以形成判定数据集；根据所述判定数据集确定所有可疑行为对应的进程是否都在白名单内；若所述识别结果不属于白名单进程集合内的元素，则确定所述可疑行为对应的进程不在白名单内，并执行所述集合每个可疑行为对应的进程是否在白名单内的判定结果，以形成判定数据集。
89.在一实施例中，处理器502在实现所述根据所述检测结果判断当前主机是否存在可疑行为步骤之后，还实现如下步骤：若当前主机是否不存在可疑行为，则进入结束步骤。
90.在一实施例中，处理器502在实现所述判断所述可疑行为对应的进程是否属于远程调用步骤之后，还实现如下步骤：若所述可疑行为对应的进程不属于远程调用，则进入结束步骤。
91.应当理解，在本技术实施例中，处理器502可以是中央处理单元 (central processing unit，cpu)，该处理器502还可以是其他通用处理器、数字信号处理器 (digital signal processor，dsp)、专用集成电路 (application specific integrated circuit，asic)、现成可编程门阵列 (field-programmable gate array，fpga) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
92.本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令，计算机程序可存储于一存储介质中，该存储介质为计算机可读存储介质。该程序指令被该计算机系
统中的至少一个处理器执行，以实现上述方法的实施例的流程步骤。
93.因此，本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序，其中该计算机程序被处理器执行时使处理器执行如下步骤：对windows主机进行监控，以获取主机数据；提取所述主机数据内的行为特征；根据所述行为特征进行攻击行为检测，以得到检测结果；根据所述检测结果判断当前主机是否存在可疑行为；若当前主机存在可疑行为，则对所述可疑行为进行进程识别，以得到识别结果；针对每个可疑行为，根据所述识别结果判断所述可疑行为对应的进程是否在白名单内；若所述可疑行为对应的进程不在白名单内，则确定当前主机存在内部网络横向移动攻击行为，并进行异常告警；若所述可疑行为对应的进程在白名单内，则判断所述可疑行为对应的进程是否属于远程调用；若所述可疑行为对应的进程属于远程调用，则执行所述确定当前主机存在内部网络横向移动攻击行为，并进行异常告警。
94.在一实施例中，所述处理器在执行所述计算机程序而实现所述对windows主机进行监控，以获取主机数据步骤时，具体实现如下步骤：在各个windows主机安装agent软件，利用agent软件进行监控，以获取主机数据；其中，所述主机数据包括抓取密码行为、对外端口连接数据、时间段内执行命令数据集以及实时执行命令数据。
95.在一实施例中，所述处理器在执行所述计算机程序而实现所述提取所述主机数据内的行为特征步骤时，具体实现如下步骤：对所述主机数据分类提取为抓取密码行为、对外端口连接数据集、设定时间间隔内执行命令集以及实时执行命令数据，以得到行为特征。
96.在一实施例中，所述处理器在执行所述计算机程序而实现所述根据所述行为特征进行攻击行为检测，以得到检测结果步骤时，具体实现如下步骤：判断所述抓取密码行为是否属于已知正常抓取密码行为特征库内的元素；若所述抓取密码行为属于已知正常抓取密码行为特征库内的元素，则确定抓取密码行为为正常抓取密码行为，以得到检测结果；统计所述对外端口连接数据集中四元组中的目的ip数据，并进行去重整合，以得到目的ip集合；统计所述对外端口连接数据集中目的ip属于目的ip集合内的四元组数量，以生成数量集合；判断所述数量集合内的每个元素是否均小于阈值；若所述数量集合内的每个元素均小于阈值，则确定当前主机不存在端口扫描行为，以得到检测结果；统计所述设定时间间隔内执行命令集中属于已知收集域信息命令特征库的元素个数，以得到总个数；判断所述总个数是否小于个数阈值；若所述总个数小于个数阈值，则确定当前主机不存在可疑收集域信息行为，以得到检测结果；判断所述实时执行命令数据是否属于已知添加用户命令特征库内的元素；若所述实时执行命令数据属于已知添加用户命令特征库内的元素，则确定当前主机不存在可疑添加用户行为，以得到检测结果；若所述实时执行命令数据不属于已知添加用户命令特征库内的元素，则确定当前主机存在可疑添加用户行为，以得到检测结果；若所述抓取密码行为不属于已知正常抓取密码行为特征库内的元素，则确定抓取密码行为可疑抓取密码行为，以得到检测结果，并执行所述统计所述对外端口连接数据集中四元组中的目的ip数据，并进行去重整合，以得到目的ip集合；若所述数量集合内的每个元素均小于阈值，则确定当前主机存在端口扫描行为，以得到检测结果，并执行所述统计所述设定时间间隔内执行命令集中属于已知收集域信息命令特征库的元
素个数，以得到总个数；若所述总个数不小于个数阈值，则确定当前主机不存在可疑收集域信息行为，以得到检测结果，并执行所述判断所述实时执行命令数据是否属于已知添加用户命令特征库内的元素。
97.在一实施例中，所述处理器在执行所述计算机程序而实现所述根据所述检测结果判断当前主机是否存在可疑行为步骤时，具体实现如下步骤：判断所述检测结果是否是抓取密码行为可疑抓取密码行为、当前主机存在端口扫描行为、当前主机不存在可疑收集域信息行为、当前主机存在可疑添加用户行为中至少一种；若所述检测结果是抓取密码行为可疑抓取密码行为、当前主机存在端口扫描行为、当前主机不存在可疑收集域信息行为、当前主机存在可疑添加用户行为中至少一种，则确定当前主机存在可疑行为；若所述检测结果不是抓取密码行为可疑抓取密码行为、当前主机存在端口扫描行为、当前主机不存在可疑收集域信息行为、当前主机存在可疑添加用户行为中任一种，则确定当前主机不存在可疑行为。
98.在一实施例中，所述处理器在执行所述计算机程序而实现所述针对每个可疑行为，根据所述识别结果判断所述可疑行为对应的进程是否在白名单内步骤时，具体实现如下步骤：针对每个可疑行为对应的进程，判断所述识别结果是否属于白名单进程集合内的元素；若所述识别结果属于白名单进程集合内的元素，则确定所述可疑行为对应的进程在白名单内；集合每个可疑行为对应的进程是否在白名单内的判定结果，以形成判定数据集；根据所述判定数据集确定所有可疑行为对应的进程是否都在白名单内；若所述识别结果不属于白名单进程集合内的元素，则确定所述可疑行为对应的进程不在白名单内，并执行所述集合每个可疑行为对应的进程是否在白名单内的判定结果，以形成判定数据集。
99.在一实施例中，所述处理器在执行所述计算机程序而实现所述根据所述检测结果判断当前主机是否存在可疑行为步骤之后，还实现如下步骤：若当前主机是否不存在可疑行为，则进入结束步骤。
100.在一实施例中，所述处理器在执行所述计算机程序而实现所述判断所述可疑行为对应的进程是否属于远程调用步骤之后，还实现如下步骤：若所述可疑行为对应的进程不属于远程调用，则进入结束步骤。
101.所述存储介质可以是u盘、移动硬盘、只读存储器（read-only memory，rom）、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
102.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
103.在本发明所提供的几个实施例中，应该理解到，所揭露的系统和方法，可以通过其它的方式实现。例如，以上所描述的系统实施例仅仅是示意性的。例如，各个单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。
104.本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例系统中的单元可以根据实际需要进行合并、划分和删减。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。
105.该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，终端，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。
106.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。