主机失陷检测方法、装置及设备与流程

1.本发明实施例涉及计算机网络技术领域，具体涉及一种主机失陷检测方法、装置及设备。


背景技术：

2.随着信息技术的不断发展，网络威胁的形式呈现出多样化、复杂化的特点，也面临着各种新型威胁的挑战，这一类威胁不仅传播速度更快，其利用的攻击面也越来越宽广。
3.失陷主机检测，是企业应对新型威胁的有效检测手段之一。而现有的失陷主机检测技术多是基于流量中的域名系统(domain name system，dns)异常信息判断主机是否失陷的，这种手段极容易将正常的主机或服务器判断为失陷，从而出现大量的误报情况，检测准确率不高。


技术实现要素：

4.鉴于上述问题，本发明实施例提供了一种主机失陷检测方法、装置及设备，用于解决现有技术中存在的失陷主机的检测准确率不高的问题。
5.根据本发明实施例的一个方面，提供了一种主机失陷检测方法，应用于防火墙，所述方法包括：获取待检测主机的业务流量；对所述待检测主机的业务流量进行特征提取，得到所述待检测主机的业务流量的特征信息；将所述特征信息与失陷特征库进行匹配，在所述特征信息与失陷特征库匹配的情况下，确定所述待检测主机为失陷主机，所述失陷特征库包括ips特征库和/或病毒特征库。
6.在一种可选的方式中，所述特征信息包括通信协议、端口信息和信息摘要中的至少一种，所述将所述特征信息与失陷特征库进行匹配，在所述特征信息与失陷特征库匹配的情况下，确定所述待检测主机为失陷主机，包括：将所述特征信息与所述ips特征库进行匹配，在所述ips特征库包括所述通信协议、所述端口信息和所述信息摘要中的至少一种的情况下，确定所述待检测主机为失陷主机。
7.在一种可选的方式中，所述特征信息包括信息摘要、业务文件特征、病毒签名标识、病毒种类和病毒名称中的至少一种，所述将所述特征信息与失陷特征库进行匹配，在所述特征信息与失陷特征库匹配的情况下，确定所述待检测主机为失陷主机，包括：将所述特征信息与所述病毒特征库进行匹配，在所述病毒特征库包括所述信息摘要、所述业务文件特征、所述病毒签名标识、所述病毒种类和所述病毒名称中的至少一种的情况下，确定所述待检测主机为失陷主机。
8.在一种可选的方式中，所述特征信息包括所述业务文件特征和所述信息摘要，将所述特征信息与所述病毒特征库进行匹配，确定所述待检测主机为失陷主机，包括：将所述业务文件特征与所述病毒特征库中的病毒文件特征进行匹配，所述病毒特征库中的病毒文件特征的数据类型为bit-map数据；在所述病毒特征库中的病毒文件特征与所述业务文件特征相同的情况下，将所述信息摘要的哈希值与所述病毒特征库中的病毒文件的信息摘要
的哈希值；在所述信息摘要的哈希值与所述病毒特征库中的病毒文件的信息摘要的哈希值相同的情况下，确定所述待检测主机为失陷主机。
9.在一种可选的方式中，所述方法还包括：根据所述特征信息，确定所述失陷主机的业务流量对应的失陷类型校验规则；所述失陷类型校验规则包括ips校验规则和/或病毒校验规则；将所述失陷主机的业务流量与所述失陷类型校验规则进行匹配，确定所述失陷主机的失陷类型，所述失陷类型包括木马通讯、间谍软件通讯、数据外传、病毒入侵、挖矿程序入侵中的至少一种。
10.在一种可选的方式中，在确定所述待检测主机为失陷主机之后，所述方法还包括：基于所述失陷主机的业务流量，确定与所述失陷主机产生预设通信行为的关联主机，所述预设通信行为包括进程通信和/或文件传输通信；获取所述关联主机的业务流量；基于所述关联主机的业务流量，在确定所述关联主机与其他主机产生所述预设通信行为时，确定所述关联主机为失陷主机。
11.在一种可选的方式中，在确定所述待检测主机为失陷主机之后，所述方法还包括：基于所述失陷主机的业务流量，将所述失陷主机的业务流量的特征信息与失陷特征库进行匹配；根据所述失陷主机的业务流量的特征信息与失陷特征库的匹配成功次数，确定所述失陷主机的失陷等级。
12.在一种可选的方式中，在确定所述失陷主机的失陷等级后，所述方法还包括：若所述失陷主机的失陷等级高于第一阈值等级，则将所述失陷主机加入黑名单；若所述失陷主机的失陷等级低于第二阈值等级，则生成所述失陷主机的失陷信息，并向用户终端发送所述失陷信息，以使用户根据所述失陷信息对所述失陷主机进行配置。
13.根据本发明实施例的另一方面，提供了一种主机失陷检测装置，应用于防火墙，所述装置包括：获取模块，用于获取待检测主机的业务流量；提取模块，用于对所述待检测主机的业务流量进行特征提取，得到所述待检测主机的业务流量的特征信息；确定模块，用于将所述特征信息与失陷特征库进行匹配，在所述特征信息与失陷特征库匹配的情况下，确定所述待检测主机为失陷主机；所述失陷特征库包括ips特征库和/或病毒特征库。
14.根据本发明实施例的另一方面，提供了一种主机失陷检测设备，其特征在于，包括：处理器；存储器，用于存储所述处理器的可执行指令；其中，所述处理器被配置为经由执行所述可执行指令来执行上述任一项所述的主机失陷检测方法的操作。
15.根据本发明实施例的另一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令在主机失陷检测设备/装置上运行时，使得主机失陷检测设备/装置执行上述任一项所述的主机失陷检测方法的操作。
16.本发明实施例通过获取待检测主机的业务流量，对待检测主机的业务流量进行特征提取，得到待检测主机的业务流量的特征信息，将特征信息与失陷特征库进行匹配，在特征信息与失陷特征库，包括ips特征库和/或病毒特征库匹配的情况下，确定待检测主机为失陷主机，能够联动防火墙的ips检测和病毒检测功能识别失陷主机，提高了失陷检测的准确率，并且整个检测流程由防火墙独立完成，简化了失陷检测配置的流程。
17.上述说明仅是本发明实施例技术方案的概述，为了能够更清楚了解本发明实施例的技术手段，而可依照说明书的内容予以实施，并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
18.附图仅用于示出实施方式，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
19.图1示出了本发明提供的一种主机失陷检测方法的流程示意图；
20.图2示出了本发明提供的另一种主机失陷检测方法的流程示意图；
21.图3示出了本发明提供的一种提取特征信息的示意图；
22.图4示出了本发明提供的一种确定失陷主机的方法的流程示意图；
23.图5示出了本发明提供的一种确定失陷类型的方法的流程示意图；
24.图6示出了本发明提供的一种失陷类型校验规则的确定方法的流程示意图；
25.图7示出了本发明提供的一种确定失陷等级的方法的示意图；
26.图8示出了本发明提供的另一种主机失陷检测方法的流程示意图；
27.图9示出了本发明提供的一种主机失陷检测装置的结构示意图；
28.图10示出了本发明提供的一种主机失陷检测设备的结构示意图。
具体实施方式
29.下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。
30.相关技术的一种方案中，可以由edr(endpoint detection and response，)软件来判断网络设备是否发生失陷行为，在确定是否发生失陷行为后，edr软件可以将结果返回给防火墙，使防火墙可以对失陷的网络设备进行隔离或屏蔽处理。然而，这种方式的判断结果主要取决于edr软件，准确率不可靠，也不利于防火墙进行可控的安全防护。
31.为了解决失陷主机的检测准确率不高且不利于防火墙进行可控的安全防护的问题，本技术实施例提供一种主机失陷检测方法，该方法能够联动防火墙的ips检测和病毒检测功能识别失陷主机，提高了失陷检测的准确率，并且整个检测流程由防火墙独立完成，简化了失陷检测配置的流程。
32.图1示出了本发明实施例提供的一种主机失陷检测方法的流程图，该方法可以应用于防火墙，使其可以对防火墙监测到的业务流量进行失陷分析，确定内网中的主机是否存在失陷风险。如图1所示，该方法包括以下步骤s110～s130：
33.步骤s110：获取待检测主机的业务流量。
34.待检测主机是指内网中提供数据管理和运算服务的服务器，待检测主机的业务流量是指主机通过移动通信技术上网或使用相关数据增值业务所产生的数据流量。防火墙作为由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，能够保护内网中的主机免受非法用户的侵入。
35.示例性地，防火墙可以监测内外部网络之间的连接和交互情况，可以对业务流量进行监控，例如，防火墙可以对所有启用了防火墙功能的主机的通信行为和数据流进行监控。
36.步骤s120：对待检测主机的业务流量进行特征提取，得到待检测主机的业务流量的特征信息。
37.待检测主机的业务流量的特征信息是指业务流量中具有某些突出性质的数据，是区分业务流量的关键。对于待检测主机的业务流量，防火墙可以对该业务流量进行特征提取，例如，可以对业务流量进行解码处理，提取业务流量的数据大小、关键词、目的地址和来源地址、域名规则等，得到待检测主机的业务流量的特征信息。
38.通过上述步骤s120，可以由防火墙对待检测主机的业务流量进行特征提取，来获得分析待检测主机是否失陷的关键数据。
39.在一种可选的方式中，上述特征信息可以包括入侵防御系统(intrusion prevention system，ips)特征，该ips特征包括通信协议、端口信息和信息摘要中的至少一种。
40.其中，通信协议是指为连接不同操作系统和硬件体系结构的互联网络提供通信支持的网络通用语言，可以包括传输控制协议(transmission control protocol，tcp)、用户数据报协议(user datagram protocol，udp)、超文本传输协议(hyper text transfer protocol，http)、网际互连协议(internet protocol，ip)、控制报文协议(internet control message protocol，icmp)、文件传输协议(file transfer protocol，ftp)、交互邮件访问协议(internet message access protocol，imap)、邮局协议的第三个版本(post office protocol3，pop3)、简单邮件传输协议(simple mail transfer protocol，smtp)等。
41.端口包括物理端口和逻辑端口，物理端口可以包括集线器、交换机、路由器用于连接其他网络设备的接口，如rj-45端口、sc端口等，逻辑端口可以是计算机内部或交换机路由器内的端口，一般不可见，可以包括计算机中的80端口、21端口、23端口等。端口信息可以包括端口的种类和名称等。信息摘要是指利用信息摘要算法生成的数据的“指纹”，信息摘要算法可以包括哈希算法和散列算法，如md5算法等。
42.在提取上述特征信息时，防火墙可以通过特定的检测引擎，如底层的深度检测技术(deep packet inspection，dpi)服务进行检测和协议解码，来得到待检测主机的业务流量的通信协议和端口信息，并生成业务流量或其传输的文件的信息摘要。
43.在一种可选的方式中，上述特征信息还可以包括病毒特征，该病毒特征包括信息摘要、业务文件特征、病毒签名标识、病毒种类和病毒名称中的至少一种。
44.其中，上述信息摘要是指利用其他检测引擎，如病毒检测引擎生成的信息摘要，可以与dpi服务生成的信息摘要不同，也可以相同；业务文件特征可以包括业务流量所对应的文件的特征，如传输的文件名称、文件大小、文件类型和内容特征等。病毒签名标识可以是唯一标识一种病毒体的特定字符串，可以由数字、字符和特殊符号等构成。病毒种类一般可以包括系统病毒、蠕虫病毒、木马病毒、脚本病毒、病毒种植程序病毒、破坏性程序病毒、捆绑机病毒等。
45.在提取上述特征信息时，如图2所示，可以首先执行步骤s210，对通过http等协议传输的待检测主机的解码后的业务流量进行文件还原，例如，对于一个文件而言，其需要分成多个业务流量进行传输，每次传输的业务流量中可以包含本次传输的文件数据和文件信息，如文件头、文件大小和标记数据等，在还原文件时，便可以获取每次传输的业务流量，然后确定每次的文件数据范围，将文件数据依据文件头、文件大小和标记数据合并起来，得到完整的文件数据。
46.然后，可以执行步骤s220，从文件数据中提取业务文件特征、病毒签名标识、病毒种类和病毒名称等，对于信息摘要，需要执行步骤s230，确定文件数据是否被压缩，如果是，则需要执行步骤s240进行解压缩，如果不是，则执行步骤s250，利用哈希算法或散列算法计算文件数据的信息摘要，从而得到所有的特征信息。
47.对于一些业务流量而言，其解析得到的数据中可能会带有部分特征信息，此时便可以直接从解析得到的数据中直接读取特征信息。如图3所示，在从业务流量中解析得到该流量的头部数据时，可以从中读取对应字段的数据，来得到上述的信息摘要、病毒签名标识、病毒种类和病毒名称。
48.步骤s130：将特征信息与失陷特征库进行匹配，在特征信息与失陷特征库匹配的情况下，确定待检测主机为失陷主机。
49.其中，失陷特征库可以包括ips特征库和/或病毒特征库。ips是一部能够监视网络或网络设备的资料传输行为的计算机网络安全设备，其可以判断业务流量的协议异常、传输异常，也可以对照正常数据和异常数据识别异常情况、截获有害的系统请求等。ips特征库是利用ips检测引擎检测到的失陷主机的特征信息的特征库，可以包括异常数据的数据特征、异常的协议特征和请求特征等。
50.病毒特征库可以是利用病毒检测引擎检测到的失陷主机的特征信息的特征库，具体的，病毒检测引擎能够检测网络设备中的特定程序是否为病毒程序，以及网络设备中运行的程序是否遭到病毒攻击。因此，病毒特征库中可以包括病毒检测引擎检测到的所有病毒程序和遭到病毒攻击的设备的病毒特征，例如，可以包括病毒的名称、种类、攻击频次、攻击的程序类型等。
51.对于ips特征库和病毒特征库，库中的特征可以表示为特征码的集合，其中，特征码可以是一组按照特定规则形成的字符串，能够标识某种特征，并且ips特征库和病毒特征库可以是一个单独的文件，也可以是由多个文件组成的库数据。
52.在获得待检测主机的业务流量的特征信息后，可以将该特征信息分别与ips特征库和病毒特征库中的特征进行匹配，如果存在特征信息与ips特征库和病毒特征库中的任意一个或多个特征匹配的情况下，说明待检测主机符合失陷特征，可以将其确定为失陷主机。
53.在一种可选的方式中，当特征信息为ips特征时，可以将该ips特征与ips特征库中的特征进行匹配。例如，在特征信息包括通信协议、端口信息和信息摘要中的至少一种时，步骤s130可以通过以下方法实现：
54.将特征信息与ips特征库进行匹配，在ips特征库包括通信协议、端口信息和信息摘要中的至少一种的情况下，确定待检测主机为失陷主机。
55.在将特征信息与ips特征库进行匹配时，可以将每个特征信息与ips特征库中的特征进行逐一匹配，来确定ips特征库中是否包含特征信息中的通信协议、端口信息和信息摘要这三种信息，如果存在一种或多种与ips特征库中的特征的特征值相一致，说明待检测主机的业务流量的特征信息与ips特征库中的特征匹配，所以待检测主机符合失陷特征，为失陷主机。
56.在一种可选的方式中，当特征信息为病毒特征时，可以将该病毒特征与病毒特征库中的特征进行匹配。例如，在特征信息包括信息摘要、业务文件特征、病毒签名标识、病毒
种类和病毒名称中的至少一种时，步骤s130也可以通过以下方法实现：
57.将特征信息与病毒特征库进行匹配，在病毒特征库包括信息摘要、业务文件特征、病毒签名标识、病毒种类和病毒名称中的至少一种的情况下，确定待检测主机为失陷主机。
58.在将特征信息与病毒特征库进行匹配时，同样可以将每个特征信息与病毒特征库中的特征进行逐一匹配，来确定病毒特征库中是否包含特征信息中的信息摘要、业务文件特征、病毒签名标识、病毒种类和病毒名称，如果存在一种或多种信息与病毒特征库中的特征的特征值相一致，同样说明待检测主机的业务流量的特征信息与病毒特征库中的特征匹配，待检测主机符合失陷特征，为失陷主机。
59.在一些实施例中，当待检测主机的业务流量的特征信息既包括ips特征又包括病毒特征时，可以将待检测主机的业务流量的ips特征与ips特征库中的特征进行匹配，将待检测主机的业务流量的病毒特征与病毒特征库中的特征进行匹配，从而确定待检测主机是否失陷。
60.另外，在将每个特征信息与ips特征库或病毒特征库中的特征进行逐一匹配时，由于ips特征库和病毒特征库中的特征可以采用特征码的形式表示，所以为了提高匹配的速度，可以将每个特征信息也按照与特征码相同的转换方式转换为特征码，然后在ips特征库和病毒特征库对应的特征码集合中查找与该特征码一致的特征码，来确定每个特征信息是否与特征库中的特征的特征值相同，如果相同，则确定待检测主机为失陷主机。
61.通过上述方法，可以利用ips特征库和病毒特征库对特征信息进行匹配，来确定待检测主机是否失陷，实现了ips检测和病毒检测的联动，提高了失陷检测的准确率。
62.另外，随着特征库的不断丰富，特征库中的特征数量会不断增加，按照逐一匹配的方式会极大地增加匹配的工作量。因此，为了提高特征匹配的效率，在一种可选的方式中，特征信息可以包括上述业务文件特征和信息摘要，由此，在将特征信息与病毒特征库进行匹配，确定待检测主机为失陷主机时，如图4所示，可以执行以下方法：
63.步骤s410：将业务文件特征与病毒特征库中的病毒文件特征进行匹配，病毒特征库中的病毒文件特征的数据类型为bit-map数据。
64.bit-map是一种数据结构，是基于二进制位来进行操作记录的，只有0和1两个状态，其基本思想是用一个bit位来标记某个元素对应的value，而key就是该元素，即一个bit为代表一个病毒特征，如病毒文件大小。
65.例如，在进行匹配时，病毒检测引擎可以在加载病毒特征库后，将所有的病毒的文件生成一个bit-map数据文件，然后在进行匹配时，可以将业务文件特征转换为bit-map数据，然后将该数据与bit-map数据文件中的数据进行一致性校验。由于以bit为单位存储数据所需要的数据量很小，所以能够节省存储空间，也可以提高特征匹配的效率。
66.步骤s420：在病毒特征库中的病毒文件特征与业务文件特征相同的情况下，将信息摘要的哈希值与病毒特征库中的病毒文件的信息摘要的哈希值进行匹配。
67.哈希值是将任意长度的输入字符转换为密码并进行固定输出的过程，所以它能够将一段较长的数据映射为较短的数据。对于病毒特征库中的所有病毒文件特征而言，每个特征可以对应一个哈希值，所有特征的哈希值可以存储在哈希桶中。其中，具有相同地址的哈希值属于一个哈希桶。病毒检测引擎可以利用哈希桶算法将病毒特征库中的病毒文件的信息摘要转换为哈希值，然后按照该哈希值分配哈希桶，从而将病毒特征库中的病毒文件
的信息摘要存储在哈希桶中。
68.在业务文件特征的bit-map数据与病毒文件特征的bit-map数据一致时，可以进一步将信息摘要的哈希值与病毒特征库中的病毒文件的信息摘要的哈希值进行匹配，如可以通过哈希算法查找到信息摘要的哈希值所对应的哈希桶，然后判断信息摘要的哈希值与病毒文件的信息摘要的哈希值是否匹配。在业务文件特征的bit-map数据与病毒文件特征的bit-map数据不一致时，则不再进行信息摘要的匹配。
69.由于哈希值的长度优势，这种匹配方式能够极大地提高病毒文件特征和业务文件特征的匹配效率。此外，利用哈希桶的设置，也可以解决哈希冲突的问题。
70.步骤s430：在信息摘要的哈希值与病毒特征库中的病毒文件的信息摘要的哈希值相同的情况下，确定待检测主机为失陷主机。
71.在信息摘要的哈希值与病毒特征库中的某个病毒文件的信息摘要的哈希值相同时，说明待检测主机符合失陷特征，故可以确定待检测主机为失陷主机。由于信息摘要的哈希值所占的内存较小，其值的比对与直接病毒文件的信息摘要的比对相比，具有更高的校验效率。
72.因此，通过上述方法，不仅能够实现失陷主机的判断，也可以利用特定的数据形式，比如bit-map数据、哈希值等，提高特征匹配的效率。
73.在确定失陷主机后，可以将失陷主机加入防火墙的失陷列表中，列表中的信息可以包括失陷主机的ip地址、失陷类型、用户和失陷程度等，以便于防火墙或用户对其进行处理。
74.在一种可选的方式中，如图5所示，当在步骤s110～步骤s130确定待检测主机失陷时，上述方法还可以包括步骤s510～步骤s520：
75.步骤s510：根据特征信息，确定待检测主机的业务流量对应的失陷类型校验规则。
76.失陷类型校验规则包括ips校验规则和/或病毒校验规则。ips校验规则是依据ips特征，如通信协议、端口信息和信息摘要中的至少一种确定的校验规则。病毒校验规则是依据病毒特征，如信息摘要、业务文件特征、病毒签名标识、病毒种类和病毒名称中的至少一种确定的校验规则。这两种校验规则可以部分重叠，也可以完全不同。
77.在确定失陷类型校验规则时，可以按照ips特征或病毒特征筛选校验规则。以ips校验规则为例，可以采用“通信协议-端口信息-规则链”的形式确定待检测主机的业务流量对应的ips校验规则。示例性地，首先确定待检测主机的业务流量的通信协议，然后按照端口信息查找规则链。如图6所示，对于通信协议为tcp协议的业务流量，进一步确定其目的地址和起始地址，如果其目的地址是服务器，则确定业务流量的ips校验规则为规则链1-100，如果起始地址是由主机a到服务器，则确定业务流量的ips校验规则是规则7-9。
78.步骤s520：将失陷主机的业务流量与失陷类型校验规则进行匹配，确定失陷主机的失陷类型。
79.其中，失陷类型包括木马通讯、间谍软件通讯、数据外传、病毒入侵、挖矿程序入侵中的至少一种。
80.具体的，当失陷主机的业务流量与失陷类型校验规则中的任意一种或多种匹配时，则可以确定将任意一种或多种规则所对应的失陷类型确定为失陷主机的失陷类型。
81.例如，若失陷主机的业务流量与ips校验规则中的“木马/后门类”规则、“木马外联
类”规则匹配，则可以确定失陷主机的失陷类型即为木马通信。若失陷主机的业务流量同时与ips校验规则中的“服务器非法外联类”规则、“威胁情报类”规则和“dns隧道类”规则，以及病毒校验规则中的“后门病毒”规则匹配，则可以确定失陷主机的失陷类型为数据外传。
82.需要说明的是，对ips校验规则和病毒校验规则而言，由于其中的校验规则可能存在部分重叠，那么失陷主机的失陷类型也可以对应一种或多种。
83.通过上述方法，可以基于不同的特征库配置失陷类型校验规则，能够细分失陷主机的失陷类型，提高失陷检测的精准度，在后续失陷处理时，也可以采用不同的处理方式对不同失陷类型的失陷主机进行处理，因而能够为失陷的处理提供依据。
84.在一种可选的方式中，在确定待检测主机为失陷主机之后，还可以基于失陷主机的业务流量，确定与失陷主机产生预设通信行为的关联主机；获取关联主机的业务流量；基于关联主机的业务流量，在确定关联主机与其他主机产生预设通信行为时，确定关联主机为失陷主机。其中，预设通信行为可以包括进程通信和/或文件传输通信。
85.在确定待检测主机失陷后，可以在接下来的一段时间内，如24个小时内，继续监测失陷主机的业务流量，并根据失陷主机的业务流量确定与该失陷主机产生进程通信或文件传输通信的关联主机。接下来，防火墙可以利用关联主机的业务流量确定该关联主机是否与其他主机产生同样的进程通信或文件传输通信，如果有，则说明关联主机存在被控制的风险，可以将其也认定为失陷主机。如此一来，可以基于已发现的失陷主机，关联分析其有通信的其他主机的风险情况，帮助确定内网中其他主机的失陷情况。
86.此外，对于关联分析发现的失陷主机，可以通过终端软件控制失陷主机的异常进程，如果异常进程的优先级高于终端软件的控制进程，则可以利用防火墙进行网络隔离和访问控制，将失陷主机与其他主机的通信进行网络隔离，以避免风险的大范围扩散，保障内网的网络安全。
87.进一步的，在一种可选的方式中，在确定待检测主机为失陷主机之后，还可以基于失陷主机的业务流量，将失陷主机的业务流量的特征信息与失陷特征库进行匹配；根据失陷主机的业务流量的特征信息与失陷特征库的匹配成功次数，确定失陷主机的失陷等级。
88.在将失陷主机加入防火墙的失陷列表时起，可以继续监控失陷主机的业务流量，提取失陷主机的业务流量的特征信息，每隔一段时间，如24小时统计一次失陷主机的业务流量的特征信息与失陷特征库，如ips特征库、病毒特征库中的特征的匹配成功次数，从而按照匹配成功次数划分失陷主机的失陷等级。
89.如图7所示，在通过步骤s710和步骤s720确定待检测主机为失陷主机，并将失陷主机加入失陷列表后，可以执行步骤s730统计失陷主机每24小时特征的匹配成功次数，如果每24小时特征的匹配成功次数大于第一阈值，则确定失陷主机的失陷等级为高危主机，如果每24小时特征的匹配成功次数大于第二阈值，小于第一阈值，则确定失陷主机的失陷等级为中危主机，如果每24小时特征的匹配成功次数小于第二阈值，则确定失陷主机的失陷等级为低危主机。其中，第一阈值大于第二阈值。通过这种方式，可以实现失陷主机的动态监测，让检测结果更为准确和持续，也能够为后续对失陷主机的处理提供依据。
90.在一种可选的方式中，在确定失陷主机的失陷等级后，还可以执行以下方法：若失陷主机的失陷等级高于第一阈值等级，则将失陷主机加入黑名单；若失陷主机的失陷等级低于第二阈值等级，则生成失陷主机的失陷信息，并向用户终端发送失陷信息，以使用户根
据失陷信息对失陷主机进行配置。
91.其中，第一阈值等级和第二阈值等级可以相同，也可以不同，在第一阈值等级与第二阈值等级不同时，第一阈值等级高于第二阈值等级。失陷信息可以包括失陷主机的ip地址、主机名称、失陷时间、失陷类型和等级等信息。
92.在对失陷主机的处理上，可以在失陷主机的失陷等级高于第一阈值等级时，直接将失陷主机加入防火墙的黑名单中，以隔离其与其他主机和网络的通信；在失陷主机的失陷等级低于第二阈值等级时，可以生成失陷主机的失陷信息，然后向用户终端以邮件、短信等形式发送该失陷信息，使得用户可以依据失陷信息判断是否需要处理失陷主机，以及如何处理失陷主机。
93.通过这种方法，可以实现失陷主机的差异化处理，避免了简单拉黑失陷主机而造成的网络影响。
94.图8示出了本发明实施例中的另一种主机失陷检测方法，如图8所示，可以包括以下步骤：
95.步骤s801：获取待检测主机的业务流量。
96.通过防火墙的流量监控功能，可以获取和检测待检测主机的业务流量。此外，根据待检测主机的业务流量的数据编码格式，防火墙可以对待检测主机的业务流量进行解码处理，得到可供分析的流量数据。
97.步骤s802：提取业务流量的特征信息。
98.在对待检测主机的业务流量进行解码处理后，防火墙可以对该业务流量进行特征提取，来得到业务流量的特征信息，如利用ips检测引擎提取到的ips特征，如通信协议、端口信息和信息摘要等，以及利用病毒检测引擎提取到的病毒特征，如信息摘要、业务文件特征、病毒签名标识、病毒种类和病毒名称等。
99.步骤s803：将ips特征库与特征信息进行匹配。
100.具体的，可以将ips特征库与特征信息中的ips特征进行匹配，来确定ips特征中的某个特征是否与ips特征库中的对应特征匹配，即两个特征的特征值是否一致。
101.步骤s804：将病毒特征库与特征信息进行匹配。
102.具体的，可以将病毒特征库与特征信息中的病毒特征进行匹配，来确定病毒特征中的某个特征是否与病毒特征库中的对应特征匹配。
103.步骤s805：确定待检测主机是否为失陷主机。
104.在确定ips特征与对应的ips特征库中的对应特征匹配时，说明待检测主机符合失陷特征，可以确定待检测主机为失陷主机。同样的，在确定病毒特征与对应的病毒特征库中的对应特征匹配时，也可以确定待检测主机为失陷主机。
105.步骤s806：确定失陷主机的失陷类型。
106.在确定待检测主机为失陷主机后，可以进一步确定失陷主机的失陷类型。具体的，可以首先根据提取的失陷主机的业务流量的特征信息，确定失陷主机的失陷类型校验规则。例如，可以依据ips特征确定ips校验规则，依据病毒特征确定病毒校验规则，然后利用ips校验规则和病毒校验规则对失陷主机的业务流量进行校验，将失陷主机符合的规则对应的失陷类型确定为失陷主机的失陷类型。
107.步骤s807：将失陷主机加入失陷列表。
108.在确定待检测主机为失陷主机后，可以将失陷主机加入防火墙的失陷列表，使得防火墙可以自动将其加入黑名单，也可以帮助用户手动对失陷主机进行隔离配置。
109.步骤s808：监控失陷主机的业务流量。
110.在确定待检测主机为失陷主机后，防火墙此时可以对其进行外网隔离控制，但同时其有可能仍可以与内网中的主机进行通信，因此，为了确保内网的安全性，防火墙还可以对失陷主机持续进行监控。
111.步骤s809：确定失陷主机的失陷等级。
112.在监控到失陷主机的业务流量时，防火墙可以对失陷主机的业务流量进一步进行分析，比如统计失陷主机在每24小时内的业务流量，提取其特征信息，将该特征信息分别与ips特征库和病毒特征库中的特征进行匹配，计算特征匹配成功的次数，按照该次数划分失陷主机的失陷等级是低危主机、中危主机，还是高危主机。这种方式可以实现失陷主机的动态程度判断，为合理配置失陷主机提供参考。
113.步骤s810：确定关联主机以及关联主机是否失陷。
114.由于失陷主机在被攻击后，有可能会成为控制其他主机的控制端，因此，为了避免其“感染”其他主机，可以监控失陷主机的通信行为，并确定与其进行通信的关联主机，如果关联主机也存在与其他主机的通信行为，这种通信行为如果与失陷主机和关联主机之间的通信行为相同，则确定关联主机也已失陷，反之，则确定关联主机未失陷。
115.此外，图8中所示的步骤s809和s810的先后顺序仅作为示例说明，按照实际需要，这两个步骤可以同时执行，也可以按照顺序依次执行。
116.步骤s811：对失陷的关联主机进行处理。
117.在确定关联主机失陷之后，也可以将关联主机加入失陷列表，使得防火墙和用户可以对该主机进行处理。
118.综上，根据本发明实施例中的主机失陷检测方法，可以获取待检测主机的业务流量，对待检测主机的业务流量进行特征提取，得到待检测主机的业务流量的特征信息，将特征信息与失陷特征库进行匹配，在特征信息与失陷特征库，包括ips特征库和/或病毒特征库匹配的情况下，确定待检测主机为失陷主机，能够联动防火墙的ips检测和病毒检测功能识别失陷主机，提高了失陷检测的准确率，并且整个检测流程由防火墙独立完成，简化了失陷检测配置的流程。
119.图9示出了本发明实施例提供的一种主机失陷检测装置的结构示意图，该主机失陷检测装置可以应用于防火墙。如图9所示，该主机失陷检测装置900可以包括：获取模块910，用于获取待检测主机的业务流量；提取模块920，用于对待检测主机的业务流量进行特征提取，得到待检测主机的业务流量的特征信息；确定模块930，用于将特征信息与失陷特征库进行匹配，在特征信息与失陷特征库匹配的情况下，确定待检测主机为失陷主机；失陷特征库包括ips特征库和/或病毒特征库。
120.在一种可选的方式中，特征信息包括通信协议、端口信息和信息摘要中的至少一种，确定模块930用于将特征信息与ips特征库进行匹配，在ips特征库包括通信协议、端口信息和信息摘要中的至少一种的情况下，确定待检测主机为失陷主机。
121.在一种可选的方式中，特征信息包括信息摘要、业务文件特征、病毒签名标识、病毒种类和病毒名称中的至少一种，确定模块930用于将特征信息与病毒特征库进行匹配，在
specific integrated circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。主机失陷检测设备包括的一个或多个处理器，可以是同一类型的处理器，如一个或多个cpu；也可以是不同类型的处理器，如一个或多个cpu以及一个或多个asic。
133.存储器1006，用于存放程序1010。存储器1106可能包含高速ram存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。
134.程序1010具体可以被处理器1002调用使主机失陷检测设备执行上述主机失陷检测方法。
135.本发明实施例提供了一种计算机可读存储介质，所述存储介质存储有至少一可执行指令，该可执行指令在主机失陷检测设备/装置上运行时，使得所述主机失陷检测设备/装置执行上述任意方法实施例中的主机失陷检测方法。
136.可执行指令具体可以用于使得主机失陷检测设备/装置执行上述主机失陷检测方法。
137.在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。此外，本发明实施例也不针对任何特定编程语言。
138.在此处所提供的说明书中，说明了大量具体细节。然而能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。类似地，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。其中，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。
139.本领域技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外。
140.应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤，除有特殊说明外，不应理解为对执行顺序的限定。