[发明专利]一种检测异常流量外连的方法、装置、设备及存储介质

说明书

本发明公开了一种检测异常流量外连的方法、装置、设备及存储介质，该方法包括：确定需要实现异常流量外连检测的主机为待检测主机；利用多种预先设定的检测方法对所述待检测主机进行检测，得到相应的多个检测结果；如果表示所述待检测主机存在异常流量外连的检测结果的数量大于预设数量，则确定所述待检测主机存在异常流量外连，否则，确定所述待检测主机不存在异常流量外连。可见，本申请中基于多种检测方法综合实现主机是否存在异常流量外连的检测，从而相对于现有技术中单一检测方法实现主机是否存在异常流量外连的检测，能够大大增加检测的准确性，有效降低检测的误报率。

技术领域

本发明涉及流量检测技术领域，更具体地说，涉及一种检测异常流量外连的方法、装置、设备及存储介质。

背景技术

如果主机发生异常流量外连行为，则说明该主机已经失陷，主机被攻击者挂马或者控制，导致的直接结果则是主机敏感数据包、个人信息等被攻击者窃取回传，更严重情况攻击者会通过控制主机对局域网内其他主机横向控制导致更大的损失，因此对异常流量外连行为的检测则异常重要；目前常见的安全检测设备、安全检测软件是针对流量检测异常流量外连行为的，但是发明人发现，这种检测方法存在误报率较高的问题。

发明内容

本发明的目的是提供一种检测异常流量外连的方法、装置、设备及存储介质，能够有效降低异常流量外连检测的误报率。

为了实现上述目的，本发明提供如下技术方案：

一种检测异常流量外连的方法，包括：

确定需要实现异常流量外连检测的主机为待检测主机；

利用多种预先设定的检测方法对所述待检测主机进行检测，得到相应的多个检测结果；

如果表示所述待检测主机存在异常流量外连的检测结果的数量大于预设数量，则确定所述待检测主机存在异常流量外连，否则，确定所述待检测主机不存在异常流量外连。

优选的，确定所述待检测主机存在异常流量外连之后，还包括：

获取每个所述检测结果中包含的源地址，并确定值相同的源地址占全部源地址的百分比为所述待检测主机存在异常流量外连的可能性百分比；

或者获取每个所述检测结果中包含的目的地址，并确定值相同的目的地址占全部目的地址的百分比为所述待检测主机存在异常流量外连的可能性百分比。

优选的，所述检测方法包括流量检测方法，利用所述流量检测方法对所述待检测主机进行检测得到相应的检测结果，包括：

获取距离当前时刻最近的第一预设时间段内所述待检测主机的流入数据量及流出数据量，将所述流入数据量及所述流出数据量相加得到数据量和值，如果所述流出数据量占所述数据量和值的比值大于预设比值，和/或所述流出数据量大于第一数据量，则得到表示所述待检测主机存在异常流量外连的检测结果，否则，得到表示所述待检测主机不存在异常流量外连的检测结果。

优选的，所述检测方法包括位置检测方法，利用所述位置检测方法对所述待检测主机进行检测得到相应的检测结果，包括：

获取所述待检测主机的流出数据量所流向的设备所在物理位置为目的位置，如果在距离当前时刻最近的第二预设时间段内，所述待检测主机流向所述目的位置的流出数据量持续大于第二数据量，则得到表示所述待检测主机存在异常流量外连的检测结果，否则，得到表示所述待检测主机不存在异常流量外连的检测结果。

优选的，所述检测方法包括情报库检测方法，利用所述情报库检测方法对所述待检测主机进行检测得到相应的检测结果，包括：