[发明专利]一种异常网络设备的检测方法及装置

说明书

本申请实施例提供了一种异常网络设备的检测方法及装置，涉及网络安全技术领域。该方法包括：获取目标会话的会话信息，目标会话为由设备类型为目标设备类型的网络设备发起的会话；在预先存储的网络设备和合法互联网协议IP地址的对应关系中，查询是否存在目标会话的会话信息中的第一目的IP地址；如果不存在第一目的IP地址，则在建立目标会话之后的第一预设时长内，统计网络设备发起的目的IP地址为第一目的IP地址的会话的第一数目；如果第一数目大于第一预设阈值，则将网络设备标记为问题网络设备；如果问题网络设备发送的流量数据满足预设的挖矿挖矿病毒检测条件，则确定问题网络设备为异常网络设备。采用本申请可以提高异常服务器的识别率。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种异常网络设备的检测方法及装置。

背景技术

目前，随着虚拟货币的持续火热，随之而来的挖矿病毒也日益泛滥。挖矿病毒会极大的占用服务器的计算资源，导致服务器的处理能力减弱。

现有技术中主要是通过互联网协议(英文：Internet Protocol，简称：IP)情报来确定服务器是否感染挖矿病毒，具体的处理过程为：检测设备中预先存储有矿池服务器名单，该矿池服务器名单包含技术人员输入的矿池服务器的IP地址。检测设备可以获取服务器发送的数据流量，并获取这些数据流量的目的IP地址，然后判断获取的目的IP地址中，是否存在矿池服务器的IP地址。如果确定某目的IP地址为矿池服务器的IP地址，确定该服务器为感染挖矿病毒的异常服务器。

然而，基于现有技术，由于IP情报的更新存在滞后性，对于新出现的矿池服务器无法进行识别，导致异常服务器的识别率较低。

发明内容

本申请实施例的目的在于提供一种异常网络设备的检测方法及装置，以提高异常服务器的识别率。具体技术方案如下：

第一方面，提供了一种异常网络设备的检测方法，所述方法包括：

获取目标会话的会话信息，所述目标会话为由设备类型为目标设备类型的网络设备发起的会话；

在预先存储的所述网络设备和合法互联网协议IP地址的对应关系中，查询是否存在所述目标会话的会话信息中的第一目的IP地址；

如果不存在所述第一目的IP地址，则在建立所述目标会话之后的第一预设时长内，统计所述网络设备发起的目的IP地址为所述第一目的IP地址的会话的第一数目；

如果所述第一数目大于第一预设阈值，则将所述网络设备标记为问题网络设备；

如果所述问题网络设备发送的流量数据满足预设的挖矿病毒检测条件，则确定所述问题网络设备为异常网络设备。

可选的，所述获取目标会话的会话信息，包括：

获取多个会话的会话信息；

针对每个会话信息，根据预先存储的IP地址和设备类型的对应关系，确定该会话信息中的源IP地址对应的设备类型；

如果该会话信息中的源IP地址对应的设备类型为目标设备类型，则确定该会话信息为目标会话的会话信息。

可选的，所述如果所述问题网络设备发送的流量数据满足预设的挖矿病毒检测条件，则确定所述问题网络设备为异常网络设备，包括：

获取在所述目标会话建立之后的第二预设时长内建立的、且目的IP地址为所述问题网络设备的IP地址的第一会话的会话信息，并确定所述第一会话的会话信息中的上行流量的第一平均值；

获取在所述目标会话建立之前的第三预设时长内建立的、且目的IP地址为所述问题网络设备的IP地址的第二会话的会话信息，并确定所述第二会话的会话信息中的上行流量的第二平均值；