[发明专利]基于识别模型的僵尸主机识别方法、识别设备及介质

说明书

本申请公开了一种基于识别模型的僵尸主机识别方法、识别设备及介质，应用于人工智能技术领域。其中，该方法包括：获取目标主机的攻击标注数据，所述攻击标注数据包括攻击的主机的标识、攻击行为信息、攻击目的信息、攻击严重程度信息中的任一项或多项；将所述攻击标注数据输入预置的僵尸主机识别模型，以得到对所述目标主机的识别结果；根据预设的识别结果和控制策略的对应关系，确定出所述目标主机的识别结果对应的控制策略，并按照确定出的控制策略对所述目标主机进行控制。采用本申请，有助于提升对网络中的僵尸主机的识别的可靠性。

技术领域

本申请涉及人工智能技术领域，尤其涉及一种基于识别模型的僵尸主机识别方法、识别设备及介质。

背景技术

目前，互联网环境下存在着大量的僵尸主机的扫描行为，包括发送垃圾邮件、攻击外网某服务或者窃取企业敏感信息等，这些攻击行为不仅会对网络资源产生很大消耗，还可能导致泄露企业机密或用户隐私，甚至造成用户财产损失。因此，需要及时地检测出可能存在的僵尸主机，避免威胁范围扩大，减小资源消耗和损失。而由于僵尸主机在网络中的行为并不固定，这就导致难以识别出网络中的僵尸主机，对僵尸主机的识别不可靠。

发明内容

本申请实施例提供一种基于识别模型的僵尸主机识别方法、识别设备及介质，有助于提升对网络中的僵尸主机的识别的可靠性。

第一方面，本申请实施例提供了一种基于识别模型的僵尸主机识别方法，包括：

获取目标主机的攻击标注数据，所述攻击标注数据包括攻击的主机的标识、攻击行为信息、攻击目的信息、攻击严重程度信息中的任一项或多项；

将所述攻击标注数据输入预置的僵尸主机识别模型，以得到对所述目标主机的识别结果；其中，所述僵尸主机识别模型是根据历史记录中不同类型的僵尸主机的攻击标注数据训练得到的，所述识别结果用于指示所述目标主机是否为僵尸主机，所述识别结果包括所述目标主机是否为僵尸主机的标记信息、所述目标主机为僵尸主机的概率以及所述目标主机为僵尸主机时所属的僵尸主机类型中的任一项或多项；

根据预设的识别结果和控制策略的对应关系，确定出所述目标主机的识别结果对应的控制策略，并按照确定出的控制策略对所述目标主机进行控制。

可选的，所述攻击标注数据包括攻击主机的标识、攻击行为信息和攻击严重程度信息，所述攻击行为信息包括攻击次数，所述攻击严重程度信息包括攻击严重程度等级；所述获取目标主机的攻击标注数据，包括：

采集所述目标主机的行为日志信息，所述行为日志信息中包括攻击的主机的标识和攻击行为信息；

根据所述攻击的主机的标识确定出所述目标主机攻击的主机的数量；

根据预设的攻击的主机数量、攻击次数和攻击严重程度等级三者之间的对应关系，确定与所述目标主机攻击的主机的数量和所述攻击行为信息包括的攻击次数对应的攻击严重程度等级。

可选的，所述方法还包括：

如果所述识别结果指示所述目标主机为僵尸主机，检测所述目标主机的目标通信报文的源地址，所述目标通信报文为用于指示所述目标主机的攻击行为的报文；

检测所述目标通信报文的源地址对应的通信设备是否存在定时通信事件；

如果所述通信设备存在所述定时通信事件，确定所述通信设备为所述目标主机的中控机。

可选的，所述方法还包括：

如果所述识别结果指示所述目标主机为僵尸主机，确定所述目标主机发起攻击行为之前的预设时间窗内向所述目标主机发送过通信报文的各个通信设备；

分别向所述各个通信设备发送探测报文，所述探测报文为预设的用于伪造主机被中控机控制后发送的报文；