本申请公开了一种设备检测方法、装置和存储介质及电子设备。其中,该方法包括:响应于异常检测请求,获取多个待检测设备,其中,异常检测请求用于请求检测异常设备,异常设备为恶意软件的客户端通过DGA域名建立通信的设备;基于多个待检测设备对应的DGA域名,对多个待检测设备进行过滤,得到目标设备;利用异常检测模型对目标设备对应的DGA域名进行识别,得到识别结果,其中,识别结果用于表示目标设备中的异常设备,异常检测模型为利用机器学习算法构建的模型。本申请解决了设备检测效率较低的技术问题。技术问题。技术问题。
【技术实现步骤摘要】
设备检测方法、装置和存储介质及电子设备
[0001]本申请涉及计算机领域,具体而言,涉及一种设备检测方法、装置和存储介质及电子设备。
技术介绍
[0002]在设备检测场景中,攻击者利用DGA算法与服务器建立通信连接,为后续各种类型攻击的发起奠定基础,现有的基于黑名单的防护手段由于黑名单的更新速度赶不上DGA域名的生成速度,防御时必须阻断所有的DGA域名才能阻断通信连接,故无法起到有效的防护作用。且现有的检测方法通常仅使用单一的算法模型,对于海量的检测样本来说,效率低下。因此,存在设备检测效率较低的问题。
[0003]针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
[0004]本申请实施例提供了一种设备检测方法、装置和存储介质及电子设备,以至少解决设备检测效率较低的技术问题。
[0005]根据本申请实施例的一个方面,提供了一种设备检测方法,包括:
[0006]响应于异常检测请求,获取多个待检测设备,其中,上述异常检测请求用于请求检测异常设备,上述异常设备为恶意软件的客户端通过DGA域名建立通信的设备;
[0007]基于上述多个待检测设备对应的DGA域名,对上述多个待检测设备进行过滤,得到目标设备;
[0008]利用异常检测模型对上述目标设备对应的DGA域名进行识别,得到识别结果,其中,上述识别结果用于表示上述目标设备中的上述异常设备,上述异常检测模型为利用机器学习算法构建的模型。
[0009]根据本申请实施例的另一方面,还提供了一种设备检测装置,包括:
[0010]第一获取单元,用于响应于异常检测请求,获取多个待检测设备,其中,上述异常检测请求用于请求检测异常设备,上述异常设备为恶意软件的客户端通过DGA域名建立通信的设备;
[0011]第一过滤单元,用于基于上述多个待检测设备对应的DGA域名,对上述多个待检测设备进行过滤,得到目标设备;
[0012]第一识别单元,用于利用异常检测模型对上述目标设备对应的DGA域名进行识别,得到识别结果,其中,上述识别结果用于表示上述目标设备中的上述异常设备,上述异常检测模型为利用机器学习算法构建的模型。
[0013]作为一种可选的方案,上述第一过滤单元,包括:第一匹配模块,用于对上述多个待检测设备对应的DGA域名进行DGA域库的匹配操作,其中,上述DGA域库为对接威胁情报中心的域名库;第一获取模块,用于获取上述多个待检测设备对应的DGA域名中已匹配命中上述DGA域库的第一DGA域名,并显示警告信息,其中,上述警告信息用于提示上述第一DGA域
名对应的待检测设备存在异常。
[0014]作为一种可选的方案,上述第一识别单元,包括:第一识别模块,用于利用上述异常检测模型对第二DGA域名进行识别,得到上述识别结果,其中,上述第二DGA域名为上述多个待检测设备对应的DGA域名中未匹配命中上述DGA域库的DGA域名。
[0015]作为一种可选的方案,上述设备检测装置,包括以下至少之一:
[0016]第一过滤模块,用于通过白名单域名对上述多个待检测设备对应的DGA域名进行过滤,得到上述多个待检测设备对应的DGA域名中的第一目标DGA域名对应的待检测设备,其中,上述白名单域名为预设的良性域名,上述第一目标DGA域名与上述白名单域名之间的相似度小于或等于第一阈值;
[0017]第二过滤模块,用于通过目标字节对上述多个待检测设备对应的DGA域名进行过滤,得到上述多个待检测设备对应的DGA域名中的第二目标DGA域名对应的待检测设备,其中,上述目标字节为预设的良性字节,上述第二目标DGA域名中包含的字节与上述目标字节之间的相似度小于或等于第二阈值;
[0018]第三过滤模块,用于通过上述多个待检测设备对应的DGA域名中各个DGA域名对应的熵值对上述多个待检测设备对应的DGA域名进行过滤,得到上述多个待检测设备对应的DGA域名中的第三目标DGA域名对应的待检测设备,其中,上述第三目标DGA域名对应的熵值大于第三阈值。
[0019]作为一种可选的方案,上述第二过滤模块,包括:第一处理子模块,用于对上述多个待检测设备对应的DGA域名中各个DGA域名进行分词处理,得到上述各个DGA域名的分词字节;第二处理子模块,用于基于上述各个DGA域名的分词字节,对上述多个待检测设备对应的DGA域名进行过滤,得到上述第二目标DGA域名对应的待检测设备。
[0020]作为一种可选的方案,上述第二处理模块,包括以下至少之一:
[0021]第四过滤子模块,用于将上述多个待检测设备对应的DGA域名中上述分词字节的字节数量大于第一目标阈值的DGA域名过滤掉;
[0022]第五过滤子模块,用于将上述多个待检测设备对应的DGA域名中上述分词字节包含拼音字节的DGA域名过滤掉;
[0023]第六过滤子模块,用于将上述多个待检测设备对应的DGA域名中上述分词字节的声母占比大于或等于第二目标阈值的DGA域名过滤掉。
[0024]作为一种可选的方案,上述设备检测装置,包括:
[0025]第二获取单元,用于在上述利用异常检测模型对上述目标设备对应的DGA域名进行识别,得到识别结果之前,获取至少两个异常检测模型、以及上述目标设备对应的DGA域名所属的目标场景类型;从上述至少两个异常检测模型中确定出与上述目标场景类型匹配的目标异常检测模型;
[0026]第二识别模块,用于上述利用异常检测模型对上述目标设备对应的DGA域名进行识别,得到识别结果,包括:利用上述目标异常检测模型对上述目标设备对应的DGA域名进行识别,得到上述识别结果。
[0027]根据本申请实施例的又一个方面,提供一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机
指令,使得该计算机设备执行如以上设备检测方法。
[0028]根据本申请实施例的又一方面,还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,上述处理器通过计算机程序执行上述的设备检测方法。
[0029]在本申请实施例中,响应于异常检测请求,获取多个待检测设备,其中,上述异常检测请求用于请求检测异常设备,上述异常设备为恶意软件的客户端通过DGA域名建立通信的设备;基于上述多个待检测设备对应的DGA域名,对上述多个待检测设备进行过滤,得到目标设备;利用异常检测模型对上述目标设备对应的DGA域名进行识别,得到识别结果,其中,上述识别结果用于表示上述目标设备中的上述异常设备,上述异常检测模型为利用机器学习算法构建的模型,通过对待检测设备使用先进行过滤再进行识别的技术手段进而达到了降低了识别模型的工作量,实现了对恶意域名检测的精准性和高效性的目的,从而实现了提高设备检测效率的技术效果,进而解决了设备检测效率较低的技术问题。
附图说明
...
【技术保护点】
【技术特征摘要】
1.一种设备检测方法,其特征在于,包括:响应于异常检测请求,获取多个待检测设备,其中,所述异常检测请求用于请求检测异常设备,所述异常设备为恶意软件的客户端通过DGA域名建立通信的设备;基于所述多个待检测设备对应的DGA域名,对所述多个待检测设备进行过滤,得到目标设备;利用异常检测模型对所述目标设备对应的DGA域名进行识别,得到识别结果,其中,所述识别结果用于表示所述目标设备中的所述异常设备,所述异常检测模型为利用机器学习算法构建的模型。2.根据权利要求1所述的方法,其特征在于,所述基于所述多个待检测设备对应的DGA域名,对所述多个待检测设备进行过滤,得到目标设备,包括:对所述多个待检测设备对应的DGA域名进行DGA域库的匹配操作,其中,所述DGA域库为对接威胁情报中心的域名库;获取所述多个待检测设备对应的DGA域名中已匹配命中所述DGA域库的第一DGA域名,并显示警告信息,其中,所述警告信息用于提示所述第一DGA域名对应的待检测设备存在异常。3.根据权利要求2所述的方法,其特征在于,所述利用异常检测模型对所述目标设备对应的DGA域名进行识别,得到识别结果,包括:利用所述异常检测模型对第二DGA域名进行识别,得到所述识别结果,其中,所述第二DGA域名为所述多个待检测设备对应的DGA域名中未匹配命中所述DGA域库的DGA域名。4.根据权利要求1所述的方法,其特征在于,所述基于所述多个待检测设备对应的DGA域名,对所述多个待检测设备进行过滤,得到目标设备,包括以下至少之一:通过白名单域名对所述多个待检测设备对应的DGA域名进行过滤,得到所述多个待检测设备对应的DGA域名中的第一目标DGA域名对应的待检测设备,其中,所述白名单域名为预设的良性域名,所述第一目标DGA域名与所述白名单域名之间的相似度小于或等于第一阈值;通过目标字节对所述多个待检测设备对应的DGA域名进行过滤,得到所述多个待检测设备对应的DGA域名中的第二目标DGA域名对应的待检测设备,其中,所述目标字节为预设的良性字节,所述第二目标DGA域名中包含的字节与所述目标字节之间的相似度小于或等于第二阈值;通过所述多个待检测设备对应的DGA域名中各个DGA域名对应的熵值对所述多个待检测设备对应的DGA域名进行过滤,得到所述多个待检测设备对应的DGA域名中的第三目标DGA域名对应的待检测设备,其中,所述第三目标DGA域名对应的熵值大于第三阈值。5.根据权利要求4所述的方法,其特征在于,所述通过目标字节对所述多个待检测设备对应的DGA域名进行过滤,得到所述多个待检测设备对应的DGA域名中的第...
【专利技术属性】
技术研发人员:张庆华,陈大伟,
申请(专利权)人:中国光大银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。