[发明专利]一种僵尸主机检测方法、系统、设备及存储介质

说明书

本申请公开了一种僵尸主机检测方法、系统、设备及存储介质，本方法通过防火墙设备与其进行检测的用户主机之间的联动关系，在防火墙设备检测到用户主机具有僵尸主机行为之后，进一步通过用户主机获取导致其具有僵尸主机行为的相关程序的信息，因此用户能够通过防火墙获悉导致用户主机具有僵尸主机行为的异常程序，进而确保了用户能够有针对性的清除僵尸主机中的异常程序。此外，本申请还提供一种僵尸主机检测系统、设备及存储介质，有益效果同上所述。

技术领域

本申请涉及网络安全领域，特别是涉及一种僵尸主机检测方法、系统、设备及存储介质。

背景技术

僵尸网络(Botnet)是各类网络中常见的一种威胁，它通过邮件、网页脚本等各种形式向用户主机发送恶意代码并执行，从而达到控制用户主机成为僵尸主机(Zombie)的目的，从而在攻击者和僵尸主机之间所形成可一对多控制的网络，攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而僵尸主机通过一个控制信道接收攻击者的指令，其主要危害包括攻击外网服务或者窃取企业敏感信息等，一旦发生这些攻击行为，会对网络资源产生很大消耗，也可能会泄露企业机密。

当前往往采用防火墙对僵尸主机进行检测，但是当前通过防火墙仅能够获悉用户主机是否具有僵尸主机行为，但无法得知导致用户主机具有僵尸主机行为的异常程序，因此难以有针对性清除僵尸主机中的病毒程序。

由此可见，提供一种僵尸主机检测方法，以实现用户能够通过防火墙获悉导致用户主机具有僵尸主机行为的异常程序，进而确保用户能够有针对性的清除僵尸主机中的异常程序，是本领域技术人员需要解决的问题。

发明内容

本申请的目的是提供一种僵尸主机检测方法，以实现用户能够通过防火墙获悉导致用户主机具有僵尸主机行为的异常程序，进而确保用户能够有针对性的清除僵尸主机中的异常程序。

为解决上述技术问题，本申请提供一种僵尸主机检测方法，应用于防火墙设备，包括：

接收用户主机传入的网络通信流量，并解析网络通信流量中与僵尸网络关联的异常特征信息；

将异常特征信息发送至用户主机，以供用户主机根据异常特征信息分析得到关联的程序信息；

接收用户主机传入的程序信息，并将程序信息设置为检测结果。

优选地，解析网络通信流量中与僵尸网络关联的异常特征信息，包括：

解析网络通信流量中与僵尸网络关联的恶意域名；

将异常特征信息发送至用户主机，以供用户主机根据异常特征信息分析得到关联的程序信息，包括：

将恶意域名发送至用户主机，以供用户主机在其本地监听向恶意域名发起访问的目标程序，并获取目标程序对应的程序信息。

优选地，程序信息包括进程链文件信息；

接收用户主机传入的程序信息，并将程序信息设置为检测结果，包括：

接收用户主机传入的进程链文件信息，并将进程链文件信息设置为检测结果。

优选地，在接收用户主机传入的程序信息之后，方法还包括：

将程序信息上传至云端检测引擎，并接收云端检测引擎根据程序信息分析生成的风险分析结果；

对检测结果以及风险分析结果进行关联输出。

优选地，对检测结果以及风险分析结果进行关联输出，包括：

通过界面对检测结果以及风险分析结果进行关联输出。

优选地，在通过界面对检测结果以及风险分析结果进行关联输出之后，方法还包括：