[发明专利]一种僵尸主机检测方法、系统、设备及存储介质

权利要求书

1.一种僵尸主机检测方法，其特征在于，应用于防火墙设备，包括：

接收用户主机传入的网络通信流量，并解析所述网络通信流量中与僵尸网络关联的异常特征信息；

将所述异常特征信息发送至所述用户主机，以供所述用户主机根据所述异常特征信息分析得到关联的程序信息；

接收所述用户主机传入的所述程序信息，并将所述程序信息设置为检测结果；

所述解析所述网络通信流量中与僵尸网络关联的异常特征信息，包括：

解析所述网络通信流量中与僵尸网络关联的恶意域名；

所述将所述异常特征信息发送至所述用户主机，以供所述用户主机根据所述异常特征信息分析得到关联的程序信息，包括：

将所述恶意域名发送至所述用户主机，以供所述用户主机在其本地监听向所述恶意域名发起访问的目标程序，并获取所述目标程序对应的程序信息。

2.根据权利要求1所述的僵尸主机检测方法，其特征在于，所述程序信息包括进程链文件信息；

所述接收所述用户主机传入的所述程序信息，并将所述程序信息设置为检测结果，包括：

接收所述用户主机传入的所述进程链文件信息，并将所述进程链文件信息设置为所述检测结果。

3.根据权利要求1至2任意一项所述的僵尸主机检测方法，其特征在于，在所述接收所述用户主机传入的所述程序信息之后，所述方法还包括：

将所述程序信息上传至云端检测引擎，并接收所述云端检测引擎根据所述程序信息分析生成的风险分析结果；

对所述检测结果以及所述风险分析结果进行关联输出。

4.根据权利要求3所述的僵尸主机检测方法，其特征在于，所述对所述检测结果以及所述风险分析结果进行关联输出，包括：

通过界面对所述检测结果以及所述风险分析结果进行关联输出。

5.根据权利要求4所述的僵尸主机检测方法，其特征在于，在所述通过界面对所述检测结果以及所述风险分析结果进行关联输出之后，所述方法还包括：

获取用户传入的操作请求，并基于所述操作请求对所述程序信息对应的程序文件进行异常处理操作。

6.根据权利要求5所述的僵尸主机检测方法，其特征在于，所述基于所述操作请求对所述程序信息对应的程序文件进行异常处理操作，包括：

基于所述操作请求对所述程序信息对应的程序文件进行删除操作，或隔离操作，或忽略操作。

7.一种僵尸主机检测方法，其特征在于，应用于用户主机，包括：

向防火墙设备传入网络通信流量，以供所述防火墙设备解析所述网络通信流量中与僵尸网络关联的异常特征信息；

接收所述防火墙设备传入的所述异常特征信息，并根据所述异常特征信息分析得到关联的程序信息；所述异常特征信息包括所述网络通信流量中与僵尸网络关联的恶意域名；

将所述程序信息传入至所述防火墙设备，以供所述防火墙设备将所述程序信息设置为检测结果；

所述根据所述异常特征信息分析得到关联的程序信息，包括：

所述用户主机在本地监听向所述恶意域名发起访问的目标程序，并获取所述目标程序对应的程序信息。