[发明专利]一种失陷主机确定方法、装置、电子设备及存储介质

说明书

本申请实施例提供了一种失陷主机确定方法、装置、电子设备及存储介质。方案如下：获取目标群组中每一待检测主机在预设时长内的网络行为特征数据；利用预设离群点检测算法，确定每一待检测主机的离群检测结果；每一待检测主机的离群检测结果指示：该待检测主机的网络行为特征数据是否为各网络行为特征数据中的离群点；获取每一待检测主机的事件检测结果；事件检测结果用于指示待检测主机在预设时长内是否发生安全事件；根据每一待检测主机对应的离群检测结果和事件检测结果，确定目标群组中的失陷主机。应用本申请实施例提供的技术方案，降低了安全事件误判对失陷主机确定的影响，提高了确定出的失陷主机的准确性。

技术领域

本申请涉及安防技术领域，特别是涉及一种失陷主机确定方法、装置、电子设备及存储介质。

背景技术

安全事件是指尝试改变信息系统安全状态(例如改变访问控制措施、改变安全级别、改变用户口令等)的任何事件。在用户通过主机访问网络的过程中，安全管理平台可以对主机的访问行为进行检测，确定主机是否发生了安全事件。当检测到主机发生了安全事件时，该主机将被确定为失陷主机，从而针对失陷主机进行安全防护，如进行告警等。

在相关技术中，由于安全事件检测过程中可能出现误报的情况，这将导致确定出的失陷主机出现偏差，影响确定出的失陷主机的准确性。

发明内容

本申请实施例的目的在于提供一种失陷主机确定方法、装置、电子设备及存储介质，以降低安全事件误判对失陷主机确定的影响，提高确定出的失陷主机的准确性。具体技术方案如下：

本申请实施例提供了一种失陷主机确定方法，所述方法包括：

获取目标群组中每一待检测主机在预设时长内的网络行为特征数据；其中，所述目标群组包含的各待检测主机是按照预设群组划分指标确定的；所述各待检测主机具有预设群组划分指标的同一指标值；

利用预设离群点检测算法，确定每一待检测主机的离群检测结果；每一待检测主机的离群检测结果指示：该待检测主机的网络行为特征数据是否为各网络行为特征数据中的离群点；

获取每一待检测主机的事件检测结果；所述事件检测结果用于指示所述待检测主机在所述预设时长内是否发生安全事件；

根据每一待检测主机对应的离群检测结果和事件检测结果，确定所述目标群组中的失陷主机。

可选的，所述网络行为特征数据包括以下至少一项：上行流量、下行流量、会话数、访问互联网协议(Internet Protocol，IP)数和访问区域数。

可选的，所述利用预设离群点检测算法，确定每一待检测主机的离群检测结果的步骤，包括：

利用孤立森林算法，确定所述各待检测主机的网络行为特征数据中的第一离群点；

利用箱线图算法，确定所述各待检测主机的网络行为特征数据中的第二离群点；

将所述目标群组中的目标主机确定为离群主机，所述目标主机为所述第一离群点和所述第二离群点的交集中每一网络行为特征数据所对应的待检测主机；

将所述目标群组中除目标主机以外的每一待检测主机确定为非离群主机。

可选的，所述利用孤立森林算法，确定所述各待检测主机的网络行为特征数据中的第一离群点的步骤，包括：

根据每一待检测主机的网络行为特征数据，构建预设数量个孤立树，得到孤立森林模型；

利用所述孤立森林模型，计算每一待检测主机的网络行为特征数据的异常分值；

将所述异常分值大于第一异常阈值的网络行为特征数据确定为第一离群点。

可选的，所述利用箱线图算法，确定所述各待检测主机的网络行为特征数据中的第二离群点的步骤，包括：