[发明专利]一种域内探测操作检测方法、装置及电子设备

说明书

本发明公开了一种域内探测操作检测方法，包括：获取域内探测操作；确定域内探测操作对应的操作行为组合类型；将预设恶意组合类型与操作行为组合类型进行匹配；在预设恶意组合类型与操作行为组合类型匹配成功的情况下，判定域内探测操作为恶意域内探测操作；本方法利用域内探测操作的操作行为组合类型对恶意域内探测操作进行检测，由于网络攻击人员以组合的形式执行恶意域内探测操作，因此本方法利用预设恶意组合类型对操作行为组合类型进行匹配检测，并在匹配成功后才判定为恶意域内探测操作，提升了恶意域内探测操作检测的准确度；本发明还提供一种域内探测操作检测装置、电子设备及计算机可读存储介质，具有上述有益效果。

技术领域

本发明涉及网络安全领域，特别涉及一种域内探测操作检测方法、装置、电子设备及计算机可读存储介质。

背景技术

域内探测操作原先用于网络管理及开发，为网络管理人员及开发人员设置，每种域内探测操作均可获取丰富的内部网络信息。由于获取内部网络信息较为高效，同时可以暴露出内部网络中存在的漏洞，因此域内探测操作也常常被用于内部网络攻击。网络攻击人员利用域内探测操作不仅可轻松获取内部网络的信息及漏洞，同时也可将恶意的域内探测操作隐藏于正常的内部网络管理中。因此在网络安全检测中，对域内探测操作的检测尤为重要。

目前，对恶意域内探测操作的检测主要针对于是否使用域内探测操作，当域内探测操作出现时就判定其为恶意域内探测操作。由于在内部网络管理场景中也存在使用域内探测操作的情况，因此该方法难以区分正常的域内探测操作及恶意的域内探测操作，降低了域内探测操作检测的准确度。

发明内容

本发明的目的是提供一种域内探测操作检测方法、装置、电子设备及计算机可读存储介质，本方法利用恶意组合类型对域内探测操作的操作行为组合类型进行匹配，并在匹配成功后才判定匹配成功的域内探测操作为恶意域内探测操作，提升了恶意域内探测检测的准确度。

为解决上述技术问题，本发明提供一种域内探测操作检测方法，包括：

获取域内探测操作；

确定所述域内探测操作对应的操作行为组合类型；

将预设恶意组合类型与所述操作行为组合类型进行匹配；

在所述预设恶意组合类型与所述操作行为组合类型匹配成功的情况下，判定所述域内探测操作为恶意域内探测操作。

可选地，在确定所述域内探测操作对应的操作行为组合类型之前，还包括：

利用所述域内探测操作的时间信息，判断所述域内探测操作是否在预设时间段内执行；

若是，则执行所述确定所述域内探测操作对应的操作行为组合类型的步骤。

可选地，所述获取域内探测操作，包括：

获取日志数据；

利用所述日志数据的操作类型，判断所述日志数据对应的操作是否为所述域内探测操作；

若是，则将所述日志数据对应的操作作为所述域内探测操作。

可选地，在判定所述域内探测操作为恶意域内探测操作之后，还包括：

执行提示存在所述恶意域内探测操作的告警操作。

可选地，所述确定所述域内探测操作对应的操作行为组合类型，包括：

将所述域内探测操作与预设域内探测行为包含的操作类型进行匹配；

在所述域内探测操作与所述操作类型匹配成功的情况下，利用匹配成功的域内探测操作对应的预设域内探测行为确定所述操作行为组合类型。

可选地，在利用匹配成功的域内探测操作对应的预设域内探测行为确定所述操作行为组合类型之前，还包括：