[发明专利]一种域内探测操作检测方法、装置及电子设备

权利要求书

1.一种域内探测操作检测方法，其特征在于，包括：

获取域内探测操作；所述域内探测操作为用于收集域内网络信息的操作，并包含多种操作类型；所述域内探测操作至少获取两个；

确定所述域内探测操作构成的组合对应的操作行为组合类型；所述组合根据所述操作类型和/或同种域内探测操作的数量构成；

将预设恶意组合类型与所述操作行为组合类型进行匹配；

在所述预设恶意组合类型与所述操作行为组合类型匹配成功的情况下，判定所述域内探测操作为恶意域内探测操作。

2.根据权利要求1所述的域内探测操作检测方法，其特征在于，在确定所述域内探测操作构成的组合对应的操作行为组合类型之前，还包括：

利用所述域内探测操作的时间信息，判断所述域内探测操作是否在预设时间段内执行；

若是，则执行所述确定所述域内探测操作构成的组合对应的操作行为组合类型的步骤。

3.根据权利要求1所述的域内探测操作检测方法，其特征在于，所述获取域内探测操作，包括：

获取日志数据；

利用所述日志数据的操作类型，判断所述日志数据对应的操作是否为所述域内探测操作；

若是，则将所述日志数据对应的操作作为所述域内探测操作。

4.根据权利要求1所述的域内探测操作检测方法，其特征在于，在判定所述域内探测操作为恶意域内探测操作之后，还包括：

执行提示存在所述恶意域内探测操作的告警操作。

5.根据权利要求1至4任一项所述的域内探测操作检测方法，其特征在于，所述确定所述域内探测操作构成的组合对应的操作行为组合类型，包括：

将所述域内探测操作与预设域内探测行为包含的操作类型进行匹配；

在所述域内探测操作与所述操作类型匹配成功的情况下，利用匹配成功的域内探测操作对应的预设域内探测行为确定所述操作行为组合类型。

6.根据权利要求5所述的域内探测操作检测方法，其特征在于，在利用匹配成功的域内探测操作对应的预设域内探测行为确定所述操作行为组合类型之前，还包括：

对匹配成功的域内探测操作的操作特征进行统计，得到第一统计数据；

判断所述第一统计数据是否大于预设阈值；

若是，则执行所述利用所述预设域内探测行为确定所述操作行为组合类型的步骤。

7.根据权利要求6所述的域内探测操作检测方法，其特征在于，在所述预设域内探测行为为SMB匿名登录行为的情况下，所述确定所述域内探测操作对应的操作行为组合类型，包括：

将所述域内探测操作与所述SMB匿名登录行为包含的操作类型进行匹配；

对匹配成功的域内探测操作的操作特征进行统计，得到所述第一统计数据；所述操作特征包括所述域内探测操作的登录频率、登录目标主机数量或登录失败比例中的一种或多种的组合；

判断所述第一统计数据是否大于预设阈值；

若是，则执行所述利用所述预设域内探测行为确定所述操作行为组合类型的步骤。

8.根据权利要求6所述的域内探测操作检测方法，其特征在于，对所述域内探测操作进行统计，得到第一统计数据，包括：

对匹配成功的域内探测操作的操作特征进行统计，得到第二统计数据；

对所述第二统计数据进行加权处理，得到所述第一统计数据。