[发明专利]一种失陷主机恶意回连命令的检测方法及其系统在审
| 申请号: | 202111449666.1 | 申请日: | 2021-11-30 |
| 公开(公告)号: | CN114357442A | 公开(公告)日: | 2022-04-15 |
| 发明(设计)人: | 王月兵;刘隽良;毛菲;柳遵梁;覃锦端 | 申请(专利权)人: | 杭州美创科技有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F11/30 |
| 代理公司: | 杭州知学知识产权代理事务所(普通合伙) 33356 | 代理人: | 张雯 |
| 地址: | 310011 浙江省杭州市拱墅*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 失陷 主机 恶意 命令 检测 方法 及其 系统 | ||
1.一种失陷主机恶意回连命令的检测方法,其特征在于,包括:
对主机进行进程操作域学习,以形成学习结果;
对主机所有执行的命令进行实时监控,实时获取所执行的命令信息;
对所述命令信息进行特征提取,以得到命令特征;
根据所述命令特征进行失陷主机恶意回连命令的特征的匹配,以得到特征匹配结果;
根据所述命令信息提取父进程;
将所述父进程以及对应的操作域与所述学习结果进行匹配,以得到父进程匹配结果;
根据所述特征匹配结果以及所述父进程匹配结果确定所述命令信息对应的风险值;
根据所述风险值判断所述命令信息是否是失陷主机恶意回连命令;
若所述命令信息是失陷主机恶意回连命令,则对所述命令信息进行异常告警。
2.根据权利要求1所述的一种失陷主机恶意回连命令的检测方法,其特征在于,所述对主机进行进程操作域学习,以形成学习结果,包括:
在服务器主机正常运行的情况下学习,获取服务器主机正常执行的进程操作域,分析服务器主机正常运行期间的命令特征,生成命令进程操作域以及对应的白名单,以得到学习结果。
3.根据权利要求2所述的一种失陷主机恶意回连命令的检测方法,其特征在于,所述命令特征包括命令的父进程名、进程名以及命令参数。
4.根据权利要求3所述的一种失陷主机恶意回连命令的检测方法,其特征在于,所述根据所述命令特征进行失陷主机恶意回连命令的特征的匹配,以得到特征匹配结果,包括:
采用匹配IP的正则表达式将所述命令特征进行存在服务器IP的匹配,以得到服务器IP匹配结果;
确定所述命令特征的进程名是否在已知的常见失陷主机恶意回连命令的恶意子进程集合内,以得到子进程匹配结果;
其中,所述特征匹配结果包括服务器IP匹配结果以及子进程匹配结果。
5.根据权利要求4所述的一种失陷主机恶意回连命令的检测方法,其特征在于,所述将所述父进程以及对应的操作域与所述学习结果进行匹配,以得到父进程匹配结果,包括:
确定所述父进程名是否在所述白名单内,以得到名称匹配结果;
确定所述父进程对应的操作域是否在所述命令进程操作域内,以得到操作域匹配结果;
其中,所述父进程匹配结果包括名称匹配结果和操作域匹配结果。
6.根据权利要求5所述的一种失陷主机恶意回连命令的检测方法,其特征在于,所述根据所述特征匹配结果以及所述父进程匹配结果确定所述命令信息对应的风险值,包括:
对所述特征匹配结果以及所述父进程匹配结果采用权重打分方式确定加权值,以得到所述命令信息对应的风险值。
7.根据权利要求1所述的一种失陷主机恶意回连命令的检测方法,其特征在于,所述对所述命令信息进行异常告警,包括:
对所述命令信息进行告警或者拦截。
8.根据权利要求1所述的一种失陷主机恶意回连命令的检测方法,其特征在于,所述根据所述风险值判断所述命令信息是否是失陷主机恶意回连命令之后,还包括:
若所述命令信息不是失陷主机恶意回连命令,则进入结束步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州美创科技有限公司,未经杭州美创科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111449666.1/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种现浇浆体状态数据采集装置及监控系统
- 下一篇:数据处理系统
