[发明专利]一种失陷主机确定方法、装置、电子设备及存储介质

权利要求书

1.一种失陷主机确定方法，其特征在于，所述方法包括：

获取目标群组中每一待检测主机在预设时长内的网络行为特征数据；其中，所述目标群组包含的各待检测主机是按照预设群组划分指标确定的；所述各待检测主机具有预设群组划分指标的同一指标值；

利用预设离群点检测算法，确定每一待检测主机的离群检测结果；每一待检测主机的离群检测结果指示：该待检测主机的网络行为特征数据是否为各网络行为特征数据中的离群点；

获取每一待检测主机的事件检测结果；所述事件检测结果用于指示所述待检测主机在所述预设时长内是否发生安全事件；

根据每一待检测主机对应的离群检测结果和事件检测结果，确定所述目标群组中的失陷主机。

2.根据权利要求1所述的方法，其特征在于，所述网络行为特征数据包括以下至少一项：上行流量、下行流量、会话数、访问互联网协议IP数和访问区域数。

3.根据权利要求1或2所述的方法，其特征在于，所述利用预设离群点检测算法，确定每一待检测主机的离群检测结果的步骤，包括：

利用孤立森林算法，确定所述各待检测主机的网络行为特征数据中的第一离群点；

利用箱线图算法，确定所述各待检测主机的网络行为特征数据中的第二离群点；

将所述目标群组中的目标主机确定为离群主机，所述目标主机为所述第一离群点和所述第二离群点的交集中每一网络行为特征数据所对应的待检测主机；

将所述目标群组中除目标主机以外的每一待检测主机确定为非离群主机。

4.根据权利要求3所述的方法，其特征在于，所述利用孤立森林算法，确定所述各待检测主机的网络行为特征数据中的第一离群点的步骤，包括：

根据每一待检测主机的网络行为特征数据，构建预设数量个孤立树，得到孤立森林模型；

利用所述孤立森林模型，计算每一待检测主机的网络行为特征数据的异常分值；

将所述异常分值大于第一异常阈值的网络行为特征数据确定为第一离群点。

5.根据权利要求3所述的方法，其特征在于，所述利用箱线图算法，确定所述各待检测主机的网络行为特征数据中的第二离群点的步骤，包括：

针对所述网络行为特征数据中的每一行为类别，比较每一待检测主机在该行为类别的网络行为特征数据与该行为类别所对应的第二异常阈值；每一行为类别所对应的第二异常阈值是：根据所述目标群组中各待检测主机在该行为类别的网络行为特征数据的四分位数确定的；

若待检测主机在任一行为类别的网络行为特征数据大于该行为类别所对应的第二异常阈值，则将该待检测主机的网络行为特征数据确定为第二离群点。

6.根据权利要求1所述的方法，其特征在于，所述根据每一待检测主机对应的离群检测结果和事件检测结果，确定所述目标群组中的失陷主机的步骤，包括：

针对所述目标群组中的每一待检测主机，若所述离群检测结果指示该待检测主机的网络行为特征数据是离群点，且所述事件检测结果指示该待检测主机在所述预设时长内发生安全事件，则确定该待检测主机是失陷主机。

7.根据权利要求1所述的方法，其特征在于，在根据每一待检测主机对应的离群检测结果和事件检测结果，确定所述目标群组中的失陷主机之前，还包括：

获取所述目标群组中每一待检测主机在连续的多个预设时长内的离群检测结果和事件检测结果；

所述根据每一待检测主机对应的离群检测结果和事件检测结果，确定所述目标群组中的失陷主机的步骤，包括：

针对所述目标群组中的每一待检测主机，在每一预设时长内，若该预设时长对应的离群检测结果指示该待检测主机的网络行为特征数据为离群点，且该预设时长的事件检测结果指示该待检测主机发生安全事件，则将该待检测主机确定为该预设时长内的备选主机；

若该待检测主机在所述多个预设时长内被确定为备选主机的次数大于预设次数阈值，则确定该待检测主机是失陷主机。