木馬檢測的方法、裝置、電子設備及存儲介質制造方法及圖紙

技術編號：42111096 閱讀：16 留言：0更新日期：2024-07-25 00:33

本申請提供了一種木馬檢測的方法、裝置、電子設備及存儲介質。其中，在木馬檢測的方法中，接收到處于靜默狀態的終端進程的資源訪問請求時，則獲取目標資源的網絡連接屬性、流量特征基線和資源訪問請求對應的網絡請求特征。然后基于網絡連接屬性對終端進程進行第一輪木馬檢測，得到第一檢測結果。若第一檢測結果為無法確認是否存在木馬，則基于流量特征基線和網絡請求特征進行第二輪木馬檢測，得到第二檢測結果?；讷@取的數據進行兩輪木馬檢測，可以準確地識別是否存在木馬，同時本申請是基于木馬的行為特征一側檢測發起資源訪問請求的行為是否木馬行為，以此確定是否存在木馬，不僅能夠對已知威脅進行防御，也能有效識別未知威脅。

全部詳細技術資料下載

【技術實現步驟摘要】

本申請涉及網絡安全，尤其涉及一種木馬檢測的方法、裝置、電子設備及存儲介質。

技術介紹

1、為了保證數據不被泄露和破壞，網絡安全一直是各個企業的重點關注方向。而遠控木馬就是一種網絡攻擊者用于遠程控制用戶終端的程序或者惡意代碼，將控制程序或者惡意代碼寄生于被控制的用戶終端中，對被控終端實施數據竊取、網絡攻擊等非法操作。

2、在現有技術中，通常是利用互聯網地址威脅情報技術、惡意代碼特征庫技術、網絡流量分析技術等方案進行木馬病毒的防御，但是這些方案嚴重依賴產品特征庫/規則庫的豐富度，只能檢測已知威脅，無法對未知木馬進程進行檢測，存在較大的安全隱患。

技術實現思路

1、有鑒于此，本申請提供了一種木馬檢測的方法、裝置、電子設備及存儲介質，以解決現有技術中只能檢測已知威脅，無法對未知木馬進程進行檢測，存在較大的安全隱患的問題。

2、為實現上述目的，本申請提供如下技術方案：

3、本申請第一方面公開了一種木馬檢測的方法，包括：

4、接收到處于靜默狀態的終端進程的資源訪問請求時，則獲取目標資源的網絡連接屬性、流量特征基線和所述資源訪問請求對應的網絡請求特征；其中，所述目標資源為所述資源訪問請求中所請求訪問的資源；所述網絡連接屬性包括可自動網絡連接和不可自動網絡連接；

5、基于所述網絡連接屬性對所述終端進程進行第一輪木馬檢測，得到第一檢測結果；其中，所述第一檢測結果包括存在木馬和無法確認是否存在木馬；

6、若所述第一檢測結果為無法確

7、可選的，上述的方法，所述基于所述網絡連接屬性對所述終端進程進行第一輪木馬檢測，包括：

8、若所述網絡連接屬性為不可自動網絡連接，則所述第一檢測結果為存在木馬；

9、若所述網絡連接屬性為可自動網絡連接，則所述第一檢測結果為無法確認是否存在木馬。

10、可選的，上述的方法，所述基于所述流量特征基線和所述網絡請求特征進行第二輪木馬檢測，得到第二檢測結果，包括：

11、確定所述網絡請求特征是否符合所述流量特征基線；

12、若確定出所述網絡請求特征符合所述流量特征基線，則所述第二檢測結果為不存在木馬；

13、若確定出所述網絡請求特征不符合所述流量特征基線，則所述第二檢測結果為存在木馬。

14、可選的，上述的方法，還包括:

15、若所述第一檢測結果或者所述第二檢測結果為存在木馬，則生成安全事件信息；其中，所述安全事件信息包括用戶信息、終端信息、訪問進程信息、訪問資源名稱、事件類型和名稱。

16、可選的，上述的方法，所述若所述第一檢測結果或者所述第二檢測結果為存在木馬，則生成安全事件信息之后，還包括：

17、基于所述安全事件信息和預設的風險處置策略，執行風險處置操作。

18、可選的，上述的方法，還包括：

19、若所述第二檢測結果為不存在木馬，則對所述資源訪問請求進行訪問鑒權。

20、可選的，上述的方法，還包括：

21、若接收到用戶發送的資源白名單配置請求，則基于所述資源白名單配置請求進行資源白名單配置。

22、本申請第二方面公開了一種一種木馬檢測的裝置，包括：

23、獲取單元，用于接收到處于靜默狀態的終端進程的資源訪問請求時，則獲取目標資源的網絡連接屬性、流量特征基線和所述資源訪問請求對應的網絡請求特征；其中，所述目標資源為所述資源訪問請求中所請求訪問的資源；所述網絡連接屬性包括可自動網絡連接和不可自動網絡連接；

24、第一檢測單元，用于基于所述網絡連接屬性對所述終端進程進行第一輪木馬檢測，得到第一檢測結果；其中，所述第一檢測結果包括存在木馬和無法確認是否存在木馬；

25、第二檢測單元，用于若所述第一檢測結果為無法確認是否存在木馬，則基于所述流量特征基線和所述網絡請求特征進行第二輪木馬檢測，得到第二檢測結果；其中，所述第二檢測結果包括存在木馬和不存在木馬。

26、可選的，上述的裝置，所述第一檢測單元，包括：

27、第一檢測子單元，用于若所述網絡連接屬性為不可自動網絡連接，則所述第一檢測結果為存在木馬；

28、第二檢測子單元，用于若所述網絡連接屬性為可自動網絡連接，則所述第一檢測結果為無法確認是否存在木馬。

29、可選的，上述的裝置，所述第二檢測單元，包括：

30、確定子單元，用于確定所述網絡請求特征是否符合所述流量特征基線；

31、第三檢測子單元，用于若確定出所述網絡請求特征符合所述流量特征基線，則所述第二檢測結果為不存在木馬；

32、第四檢測子單元，用于若確定出所述網絡請求特征不符合所述流量特征基線，則所述第二檢測結果為存在木馬。

33、可選的，上述的裝置，還包括:

34、生成單元，用于若所述第一檢測結果或者所述第二檢測結果為存在木馬，則生成安全事件信息；其中，所述安全事件信息包括用戶信息、終端信息、訪問進程信息、訪問資源名稱、事件類型和名稱。

35、可選的，上述的裝置，還包括:

36、風險處置單元，用于基于所述安全事件信息和預設的風險處置策略，執行風險處置操作。

37、可選的，上述的裝置，還包括:

38、鑒權單元，用于若所述第二檢測結果為不存在木馬，則對所述資源訪問請求進行訪問鑒權。

39、可選的，上述的裝置，還包括:

40、配置單元，用于若接收到用戶發送的資源白名單配置請求，則基于所述資源白名單配置請求進行資源白名單配置。

41、本申請第三方面公開了一種電子設備，包括：

42、一個或多個處理器；

43、存儲裝置，其上存儲有一個或多個程序；

44、當所述一個或多個程序被所述一個或多個處理器執行時，使得所述一個或多個處理器實現如本申請第一方面中任意一項所述的方法。

45、本申請第四方面公開了一種計算機存儲介質，其上存儲有計算機程序，其中，所述計算機程序被處理器執行時實現如本申請第一方面中任意一項所述的方法。

46、從上述技術方案可以看出，本申請提供的一種木馬檢測的方法中，接收到處于靜默狀態的終端進程的資源訪問請求時，則獲取目標資源的網絡連接屬性、流量特征基線和資源訪問請求對應的網絡請求特征；其中，目標資源為資源訪問請求中所請求訪問的資源；網絡連接屬性包括可自動網絡連接和不可自動網絡連接。通過采集終端進程和資源在靜默狀態下的一些特征數據，并以此作為木馬檢測的依據，不需要依賴產品特征庫/規則庫的數據。然后基于網絡連接屬性對終端進程進行第一輪木馬檢測，得到第一檢測結果；其中，第一檢測結果包括存在木馬和無法確認是否存在木馬。若第一檢測結本文檔來自技高網...

【技術保護點】

1.一種木馬檢測的方法，其特征在于，包括：

2.根據權利要求1所述的方法，其特征在于，所述基于所述網絡連接屬性對所述終端進程進行第一輪木馬檢測，得到第一檢測結果，包括：

3.根據權利要求1所述的方法，其特征在于，所述基于所述流量特征基線和所述網絡請求特征進行第二輪木馬檢測，得到第二檢測結果，包括：

4.根據權利要求1所述的方法，其特征在于，還包括:

5.根據權利要求4所述的方法，其特征在于，所述若所述第一檢測結果或者所述第二檢測結果為存在木馬，則生成安全事件信息之后，還包括：

6.根據權利要求1所述的方法，其特征在于，還包括：

7.根據權利要求1所述的方法，其特征在于，還包括：

8.一種木馬檢測的裝置，其特征在于，包括：

9.一種電子設備，其特征在于，包括：

10.一種計算機存儲介質，其特征在于，其上存儲有計算機程序，其中，所述計算機程序被處理器執行時實現如權利要求1至7中任意一項所述的方法。

【技術特征摘要】

1.一種木馬檢測的方法，其特征在于，包括：

2.根據權利要求1所述的方法，其特征在于，所述基于所述網絡連接屬性對所述終端進程進行第一輪木馬檢測，得到第一檢測結果，包括：

3.根據權利要求1所述的方法，其特征在于，所述基于所述流量特征基線和所述網絡請求特征進行第二輪木馬檢測，得到第二檢測結果，包括：

4.根據權利要求1所述的方法，其特征在于，還包括:

5.根據權利要求4所述的方法，其特征在于，所述若所述第一...

【專利技術屬性】
技術研發人員：殷偉，盧佳順，
申請(專利權)人：深圳市深信服信息安全有限公司，
類型：發明
國別省市：

全部詳細技術資料下載我是這個專利的主人

相關技術

網友詢問留言已有0條評論

還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。

發布您的意見

相關領域技術

木馬檢測的方法、裝置、電子設備及存儲介質制造方法及圖紙

木馬檢測的方法、裝置、電子設備及存儲介質制造方法及圖紙