一种检测方法和系统，及存储介质技术方案

本申请实施例公开了一种检测方法和系统，及存储介质，检测系统获取主机的日志信息；基于威胁情报库和第一分析模型对日志信息进行分析处理，获得主机的初始失陷结果；其中，第一分析模型用于对未知风险进行检测；基于第二分析模型对初始失陷结果进行分析处理，获得目标失陷结果；其中，第二分析模型用于对失陷结果进行验证；能够降低对失陷主机的漏报率和误报率，并且有效提升对失陷主机的处置效率。并且有效提升对失陷主机的处置效率。并且有效提升对失陷主机的处置效率。

【技术实现步骤摘要】
一种检测方法和系统，及存储介质


[0001]本专利技术涉及网络安全
，尤其涉及一种检测方法和系统，及存储介质。

技术介绍

[0002]失陷主机检测是指通过检测主机的网络流量和日志等信息，从中发现感染木马病毒的主机，即失陷主机；进而及时清除安全隐患以确保主机的安全。
[0003]在现有技术中，主要是通过对主机的相关数据与威胁情报库进行对比，发现存在风险的主机，进而对存在风险的主机进行风险排查，确定造成失陷的问题；因此，基于现有的检测方法，仅能根据威胁情报库对已知的风险进行检测，无法检测未知的风险行为，会造成漏报的问题；同时由于检测的主机数量较大，现有的检测方法误报率较高；也无法对失陷主机进行有效分析，导致对失陷主机的处置效率较低。

技术实现思路

[0004]本申请实施例提供了一种检测方法和系统，及存储介质，能够降低对失陷主机的漏报率和误报率，并且有效提升对失陷主机的处置效率。
[0005]本申请实施例的技术方案是这样实现的：
[0006]第一方面，本申请实施例提供了一种检测方法，所述方法包括：
[0007]获取主机的日志信息；
[0008]基于威胁情报库和第一分析模型对所述日志信息进行分析处理，获得所述主机的初始失陷结果；其中，所述第一分析模型用于对未知风险进行检测；
[0009]基于第二分析模型对所述初始失陷结果进行分析处理，获得目标失陷结果；其中，所述第二分析模型用于对失陷结果进行验证。
[0010]第二方面，本申请实施例提供了一种检测系统，所述检测系统包括获取单元和分析单元，
[0011]所述获取单元，用于获取主机的日志信息；
[0012]所述分析单元，用于基于威胁情报库和第一分析模型对所述日志信息进行分析处理，获得所述主机的初始失陷结果；其中，所述第一分析模型用于对未知风险进行检测；以及基于第二分析模型对所述初始失陷结果进行分析处理，获得目标失陷结果；其中，所述第二分析模型用于对失陷结果进行验证。
[0013]第三方面，本申请实施例提供了一种检测系统，所述检测系统还包括处理器、存储有所述处理器可执行指令的存储器，当所述指令被所述处理器执行时，实现如上所述的检测方法。
[0014]第四方面，本申请实施例提供了一种计算机可读存储介质，其上存储有程序，应用于检测系统中，所述程序被处理器执行时，实现如上所述的检测方法。
[0015]本申请实施例提供了一种检测方法和系统，及存储介质，检测系统获取主机的日志信息；基于威胁情报库和第一分析模型对日志信息进行分析处理，获得主机的初始失陷
结果；其中，第一分析模型用于对未知风险进行检测；基于第二分析模型对初始失陷结果进行分析处理，获得目标失陷结果；其中，第二分析模型用于对失陷结果进行验证；由此可见，本申请除了利用威胁情报库获得已知风险以外，还可以利用第一分析模型对未知风险进行检测，由此利用威胁情报库和第一分析模型获得了主机的初始失陷结果；进而再利用第二分析模型对初始失陷结果进行分析处理，相当于对初始失陷结果进行了验证，并最终获得目标失陷结果，从而能够降低对失陷主机的漏报率和误报率，进而有效提升对失陷主机的处置效率。
附图说明
[0016]图1为本申请实施例提出的检测方法的实现流程示意图一；
[0017]图2为本申请实施例提出的检测方法的实现流程示意图二；
[0018]图3为本申请实施例提出的检测方法的实现流程示意图三；
[0019]图4为本申请实施例提出的检测方法的实现流程示意图四；
[0020]图5为本申请实施例提出的检测方法的实现流程示意图五；
[0021]图6为本申请实施例提出的检测方法的实现流程示意图六；
[0022]图7为本申请实施例提出的检测方法的实现流程示意图七；
[0023]图8为本申请实施例提出的检测方法的实现示意图；
[0024]图9为本申请实施例提出的检测系统的组成结构示意图一；
[0025]图10为本申请实施例提出的检测系统的组成结构示意图二。
具体实施方式
[0026]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。可以理解的是，此处所描述的具体实施例仅用于解释相关申请，而非对该申请的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关申请相关的部分。
[0027]在相关技术中，主要通过将日志的相关信息匹配威胁情报库，确认主机是否失陷，该方法虽然支持海量数据的检测，但是无法发现情报库中未知的风险主机；并且，检测结果完全依赖于威胁情报库中情报质量，容易发生漏报和误报，同时也无法对失陷主机进行有效分析，导致对失陷主机的处置效率较低。
[0028]为了解决现有技术中检测方法所存在的问题，本申请实施例提供了一种检测方法和系统，及存储介质，检测系统获取主机的日志信息；基于威胁情报库和第一分析模型对日志信息进行分析处理，获得主机的初始失陷结果；其中，第一分析模型用于对未知风险进行检测；基于第二分析模型对初始失陷结果进行分析处理，获得目标失陷结果；其中，第二分析模型用于对失陷结果进行验证，能够降低对失陷主机的漏报率和误报率，并且有效提升对失陷主机的处置效率。
[0029]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。
[0030]实施例一
[0031]本申请实施例提供了一种检测方法，图1为本申请实施例提出的检测方法的实现流程示意图一，如图1所示，检测系统检测失陷主机的方法可以包括以下步骤：
[0032]步骤101、获取主机的日志信息。
[0033]在本申请的实施例中，检测系统在检测失陷主机时，可以先获取主机的日志信息。
[0034]需要说明的是，在本申请的实施例中，日志信息可以包括多种类型的日志，例如域名系统(Domain Name System，DNS)日志，netflow日志等。
[0035]进一步地，在本申请的实施例中，可以建立文件存储系统，从而利用文件存储系统对海量的日志信息进行存储，文件存储系统可以采用分布式文件系统(Hadoop Distributed File System，HDFS)；其中，文件存储系统可以通过预设端口接收不同类型的日志信息，例如，预设端口可以包括文件传输协议(File Transfer Protocol，FTP)端口和用户数据报协议(User Datagram Protocol，UDP)端口，从而利用FTP端口接收DNS日志，利用UDP端口接收netflow日志；其中，在利用UDP端口接收netflow日志时，还可以设置解析工具，将UDP端口接收的netflow流量进行解析后，将经过解析后获得的netflow日志存储至文件存储系统。
[0036]步骤102、基于威胁情报库和第一分析模型对日志信息进行分析处理，获得主机的初始失陷结果；其中，第一分析模型用于对未知风险进行检测。
[0037本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种检测方法，其特征在于，所述方法包括：获取主机的日志信息；基于威胁情报库和第一分析模型对所述日志信息进行分析处理，获得所述主机的初始失陷结果；其中，所述第一分析模型用于对未知风险进行检测；基于第二分析模型对所述初始失陷结果进行分析处理，获得目标失陷结果；其中，所述第二分析模型用于对失陷结果进行验证。2.根据权利要求1所述的方法，其特征在于，所述基于第二分析模型对所述初始失陷结果进行分析处理，获得目标失陷结果之前，所述方法还包括：根据历史数据集获取失陷主机的行为特征数据；基于所述行为特征数据确定所述失陷主机的行为决策表；根据所述行为决策表获得所述第二分析模型。3.根据权利要求2所述的方法，其特征在于，所述根据所述行为决策表获得所述第二分析模型，包括：对所述行为决策表进行约简处理，获得约简后的行为决策表；根据所述约简后的行为决策表和预设威胁分类确定失陷匹配规则表；其中，所述失陷匹配规则表用于确定每一个规则中的所述预设威胁分类的发生概率和所述每一个规则对应的失陷信任度；基于所述失陷匹配规则表和预设计算模型获得所述第二分析模型。4.根据权利要求3所述的方法，其特征在于，所述基于第二分析模型对所述初始失陷结果进行分析处理，获得目标失陷结果，包括：获取所述初始失陷结果中的行为特征；根据所述行为特征与所述第二分析模型进行匹配处理，获得所述目标失陷结果。5.根据权利要求4所述的方法，其特征在于，若所述行为特征符合所述失陷匹配规则表中的至少两个规则，则所述根据所述行为特征与所述第二分析模型进行匹配处理，获得所述目标失陷结果，包括：根据所述行为特征和所述失陷匹配规则表确定所述行为特征对应的规则匹配结果；基...

【专利技术属性】
技术研发人员：王伟杰，常嘉岳，袁勇，鲁银冰，周旭莹，钱成，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：