木马检测的方法、装置、电子设备及存储介质与流程

本技术涉及网络安全，尤其涉及一种木马检测的方法、装置、电子设备及存储介质。

背景技术：

1、为了保证数据不被泄露和破坏，网络安全一直是各个企业的重点关注方向。而远控木马就是一种网络攻击者用于远程控制用户终端的程序或者恶意代码，将控制程序或者恶意代码寄生于被控制的用户终端中。

2、在现有技术中，通常是利用互联网地址威胁情报技术、恶意代码特征库技术、网络流量分析技术等方案进行木马病毒的防御，但是这些方案严重依赖产品特征库/规则库的丰富度，只能检测已知威胁，无法对未知木马进程进行检测，存在较大的安全隐患。

技术实现思路

1、有鉴于此，本技术提供了一种木马检测的方法、装置、电子设备及存储介质，以解决现有技术中只能检测已知威胁，无法对未知木马进程进行检测，存在较大的安全隐患的问题。

2、为实现上述目的，本技术提供如下技术方案：

3、本技术第一方面公开了一种木马检测的方法，包括：

4、针对每一个资源，确定各个所述资源的资源类型；其中，所述资源类型包括bs资源、cs资源和混合资源；

5、基于所述资源类型，设置各个所述资源的访问基线；其中，所述访问基线用于表征资源可被访问的进程类型；所述进程类型包括bs进程和cs进程；

6、若接收到终端进程的资源访问请求，基于所述终端进程的进程类型和所述终端进程请求访问的资源的访问基线进行木马检测，得到检测结果。

7、可选的，上述的方法，所述针对每一个资源，确定所述资源的资源类型，包括：

8、针对每一个资源，获取当前资源的历史访问进程类型数据，并基于所述进程类型数据确定所述当前资源的资源类型。

9、可选的，上述的方法，所述基于所述资源类型，设置各个所述资源的访问基线，包括：

10、针对每一个资源，若当前资源的资源类型为bs资源，则设置所述当前资源可被访问的进程类型为bs进程；

11、若所述当前资源的资源类型为cs资源，则设置所述当前资源可被访问的进程类型为cs进程；

12、若所述当前资源的资源类型为混合资源，则设置所述当前资源可被访问的进程类型为bs进程和cs进程。

13、可选的，上述的方法，所述基于所述终端进程的进程类型和所述终端进程请求访问的资源的访问基线进行木马检测，得到检测结果，包括：

14、基于所述终端进程的进程类型，确定所述资源访问请求是否符合所述终端进程请求访问的资源的访问基线；

15、若确定出所述终端进程的进程类型符合所述终端进程请求访问的资源的访问基线，则检测结果为不存在远控木马；

16、若确定出所述终端进程的进程类型不符合所述终端进程请求访问的资源的访问基线，则检测结果为存在远控木马。

17、可选的，上述的方法，若确定出所述终端进程的进程类型不符合所述终端进程请求访问的资源的访问基线，则检测结果为存在远控木马之后，还包括：

18、生成告警信息，并执行预设的风险处置方案。

19、可选的，上述的方法，还包括：

20、接收到终端进程的资源访问请求时，通过单包授权方式对所述终端进程的用户进行鉴权。

21、可选的，上述的方法，还包括：

22、当未确定进程类型的新进程同时访问不同资源类型的资源时，则生成告警信息。

23、本技术第二方面公开了一种木马检测的装置，包括：

24、确定单元，用于针对每一个资源，确定各个所述资源的资源类型；其中，所述资源类型包括bs资源、cs资源和混合资源；

25、设置单元，用于基于所述资源类型，设置各个所述资源的访问基线；其中，所述访问基线用于表征资源可被访问的进程类型；所述进程类型包括bs进程和cs进程；

26、检测单元，用于若接收到终端进程的资源访问请求，基于所述终端进程的进程类型和所述终端进程请求访问的资源的访问基线进行木马检测，得到检测结果。

27、可选的，上述的装置，所述确定单元，包括：

28、第一确定子单元，用于针对每一个资源，获取当前资源的历史访问进程类型数据，并基于所述进程类型数据确定所述当前资源的资源类型。

29、可选的，上述的装置，所述设置单元，包括：

30、第一设置子单元，用于针对每一个资源，若当前资源的资源类型为bs资源，则设置所述当前资源可被访问的进程类型为bs进程；

31、第二设置子单元，用于若所述当前资源的资源类型为cs资源，则设置所述当前资源可被访问的进程类型为cs进程；

32、第三设置子单元，用于若所述当前资源的资源类型为混合资源，则设置所述当前资源可被访问的进程类型为bs进程和cs进程。

33、可选的，上述的装置，所述检测单元，包括：

34、第二确定子单元，用于基于所述终端进程的进程类型，确定所述资源访问请求是否符合所述终端进程请求访问的资源的访问基线；

35、第三确定子单元，用于若确定出所述终端进程的进程类型符合所述终端进程请求访问的资源的访问基线，则检测结果为不存在远控木马；

36、第四确定子单元，用于若确定出所述终端进程的进程类型不符合所述终端进程请求访问的资源的访问基线，则检测结果为存在远控木马。

37、可选的，上述的装置，还包括：

38、风险处置单元，用于生成告警信息，并执行预设的风险处置方案。

39、可选的，上述的装置，还包括：

40、鉴权单元，用于接收到终端进程的资源访问请求时，通过单包授权方式对所述终端进程的用户进行鉴权。

41、可选的，上述的装置，还包括：

42、告警单元，用于当未确定进程类型的新进程同时访问不同资源类型的资源时，则生成告警信息。

43、本技术第三方面公开了一种电子设备，包括：

44、一个或多个处理器；

45、存储装置，其上存储有一个或多个程序；

46、当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如本技术第一方面中任意一项所述的方法。

47、本技术第四方面公开了一种计算机存储介质，其上存储有计算机程序，其中，所述计算机程序被处理器执行时实现如本技术第一方面中任意一项所述的方法。

48、从上述技术方案可以看出，本技术提供的一种木马检测的方法中，首先针对每一个资源，确定各个资源的资源类型，并基于资源类型，设置各个资源的访问基线；其中，访问基线用于表征资源可被访问的进程类型。能够自动确定各个资源的资源类型，并形成访问基线，以访问基线作为木马检测的基础，不需要依赖产品特征库/规则库的丰富度。若接收到终端进程的资源访问请求，基于终端进程的进程类型和终端进程请求访问的资源的访问基线进行木马检测，得到检测结果。通过监控终端进程的访问资源的行为，确定是否存在偏离访问基线的情况，若存在偏离访问基线的情况即可判定存在远控木马，以此不仅能够对已知威胁进行防御，也能有效识别未知威胁。解决了现有技术中只能检测已知威胁，无法对未知木马进程进行检测，存在较大的安全隐患的问题。