木马检测的方法、装置、电子设备及存储介质与流程

本技术涉及网络安全，尤其涉及一种木马检测的方法、装置、电子设备及存储介质。

背景技术：

1、为了保证数据不被泄露和破坏，网络安全一直是各个企业的重点关注方向。而远控木马就是一种网络攻击者用于远程控制用户终端的程序或者恶意代码，将控制程序或者恶意代码寄生于被控制的用户终端中，对被控终端实施数据窃取、网络攻击等非法操作。

2、在现有技术中，通常是利用互联网地址威胁情报技术、恶意代码特征库技术、网络流量分析技术等方案进行木马病毒的防御，但是这些方案严重依赖产品特征库/规则库的丰富度，只能检测已知威胁，无法对未知木马进程进行检测，存在较大的安全隐患。

技术实现思路

1、有鉴于此，本技术提供了一种木马检测的方法、装置、电子设备及存储介质，以解决现有技术中只能检测已知威胁，无法对未知木马进程进行检测，存在较大的安全隐患的问题。

2、为实现上述目的，本技术提供如下技术方案：

3、本技术第一方面公开了一种木马检测的方法，包括：

4、接收到终端进程的资源访问请求时，则对所述资源访问请求进行解析，得到所述资源访问请求的协议头部信息；

5、基于预设的关系图谱，对所述终端进程和所述协议头部信息进行关联关系校验，得到校验结果；其中，所述关系图谱预先基于历史资源访问数据构建得到；所述关系图谱用于表征各个终端进程和各个协议头部信息之间的关联关系；

6、若所述校验结果为校验不通过，则判定存在木马；若所述校验结果为校验通过，则判定不存在木马。

7、可选的，上述的方法，所述关系图谱的构建过程，包括：

8、获取所述历史资源访问数据；其中，所述历史资源访问数据包括每一次资源访问对应的终端进程信息和协议头部信息；

9、对所述历史资源访问数据进行去重处理；

10、基于预设的阈值，对去重后的历史资源访问数据进行筛选，并基于筛选后的历史资源访问数据生成所述关系图谱。

11、可选的，上述的方法，所述若所述校验结果为校验不通过，则判定存在木马之后，还包括：

12、生成当前事件的告警信息；其中，所述告警信息包括用户信息、终端进程信息、访问资源名称、事件类型和名称；

13、基于所述告警信息和预设的风险处置策略，执行风险处置操作。

14、可选的，上述的方法，还包括:

15、采集每一个事件的告警信息和后续处置结果数据；其中，所述后续处置结果数据为执行所述风险处置操作之后的结果数据；

16、以被告警的终端进程和协议头部信息作为节点，基于所述告警信息和所述后续处置结果数据，形成各个节点的特征表示，并构建异构图；

17、将所述异构图输入到预设的图卷积模型中，并输出分类结果；其中，所述分类结果包括误判数据和准确判断数据。

18、可选的，上述的方法，所述将所述异构图输入到预设的图卷积模型中，并输出分类结果之后，还包括：

19、若存在误判数据，则将所述误判数据对应的终端进程和协议头部信息加入到所述关系图谱中。

20、可选的，上述的方法，所述若所述校验结果为校验通过，则判定不存在木马之后，还包括：

21、对所述资源访问请求进行访问鉴权。

22、可选的，上述的方法，还包括：

23、若接收到用户发送的终端进程白名单配置请求，则基于所述终端进程白名单配置请求进行终端进程白名单配置。

24、本技术第二方面公开了一种一种木马检测的装置，包括：

25、解析单元，用于接收到终端进程的资源访问请求时，则对所述资源访问请求进行解析，得到所述资源访问请求的协议头部信息；

26、校验单元，用于基于预设的关系图谱，对所述终端进程和所述协议头部信息进行关联关系校验，得到校验结果；其中，所述关系图谱预先基于历史资源访问数据构建得到；所述关系图谱用于表征各个终端进程和各个协议头部信息之间的关联关系；

27、判定单元，用于若所述校验结果为校验不通过，则判定存在木马；若所述校验结果为校验通过，则判定不存在木马。

28、可选的，上述的装置，所述校验单元，包括：

29、获取子单元，用于获取所述历史资源访问数据；其中，所述历史资源访问数据包括每一次资源访问对应的终端进程信息和协议头部信息；

30、去重子单元，用于对所述历史资源访问数据进行去重处理；

31、构建子单元，用于基于预设的阈值，对去重后的历史资源访问数据进行筛选，并基于筛选后的历史资源访问数据生成所述关系图谱。

32、可选的，上述的装置，还包括：

33、告警单元，用于生成当前事件的告警信息；其中，所述告警信息包括用户信息、终端进程信息、访问资源名称、事件类型和名称；

34、风险处置单元，用于基于所述告警信息和预设的风险处置策略，执行风险处置操作。

35、可选的，上述的装置，还包括:

36、采集单元，用于采集每一个事件的告警信息和后续处置结果数据；其中，所述后续处置结果数据为执行所述风险处置操作之后的结果数据；

37、构建单元，用于以被告警的终端进程和协议头部信息作为节点，基于所述告警信息和所述后续处置结果数据，形成各个节点的特征表示，并构建异构图；

38、分类单元，用于将所述异构图输入到预设的图卷积模型中，并输出分类结果；其中，所述分类结果包括误判数据和准确判断数据。

39、可选的，上述的装置，还包括:

40、修正单元，用于若存在误判数据，则将所述误判数据对应的终端进程和协议头部信息加入到所述关系图谱中。

41、可选的，上述的装置，还包括:

42、鉴权单元，用于对所述资源访问请求进行访问鉴权。

43、可选的，上述的装置，还包括:

44、配置单元，用于若接收到用户发送的终端进程白名单配置请求，则基于所述终端进程白名单配置请求进行终端进程白名单配置。

45、本技术第三方面公开了一种电子设备，包括：

46、一个或多个处理器；

47、存储装置，其上存储有一个或多个程序；

48、当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如本技术第一方面中任意一项所述的方法。

49、本技术第四方面公开了一种计算机存储介质，其上存储有计算机程序，其中，所述计算机程序被处理器执行时实现如本技术第一方面中任意一项所述的方法。

50、从上述技术方案可以看出，本技术提供的一种木马检测的方法中，接收到终端进程的资源访问请求时，则对资源访问请求进行解析，得到资源访问请求的协议头部信息。某一终端进程对应携带的协议头部信息通常是固定的，通过协议头部信息作为木马检测的依据，不需要依赖木马本身产品特征库/规则库的数据。然后基于预设的关系图谱，对终端进程和协议头部信息进行关联关系校验，得到校验结果；其中，关系图谱预先基于历史资源访问数据构建得到；关系图谱用于表征各个终端进程和各个协议头部信息之间的关联关系。若校验结果为校验不通过，则判定存在木马；若校验结果为校验通过，则判定不存在木马。通过学习终端进程与协议头部信息之间的关联关系，生成关系图谱，可以生成全局终端进程与协议头部信息关联关系的基线数据，实现终端进程与协议头部信息的匹配校验，从而准确地识别是否存在木马。同时本技术是基于木马的行为特征一侧检测发起资源访问请求的行为是否木马行为，以此确定是否存在木马，不仅能够对已知威胁进行防御，也能有效识别未知威胁。解决了现有技术中只能检测已知威胁，无法对未知木马进程进行检测，存在较大的安全隐患的问题。