(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211150450.X (22)申请日 2022.09.21 (71)申请人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 凌怡超　吴卓群　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 李倩 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种IOT僵尸网络检测处理方法、 装置、 设备 及存储介质 (57)摘要 本发明公开了一种IOT僵尸网络检测处理方 法， 包括： 获取待检测设备的检测 信息； 其中检测 信息包括原始流量、 访问关系、 恶意文件和通讯 协议； 通过检测 信息判断待检测设备是否连接互 联网； 若连接， 则判断检测信息是否与判定规则 匹配； 若匹配， 则确定待检测设备疑似感染IOT僵 尸网络， 并判断检测信息是否满足失陷规则， 若 满足失陷规则， 则确定待检测设备已感染IOT僵 尸网络。 本发明通过对IOT僵尸网络攻击原理进 行特征分析， 通过引入其他维度来丰富失陷设备 发现的依据， 从而能够快速发现IOT僵尸网络攻 击事件， 减少误判的同时提高识别准确率。 此外， 本发明还提供了一种IOT僵尸网络检测处理装 置、 设备及存 储介质， 同样具有以上有益效果。 权利要求书2页 说明书9页 附图3页 CN 115514559 A 2022.12.23 CN 115514559 A 1.一种IOT僵尸网络检测处 理方法， 其特 征在于， 包括： 获取待检测设备的检测信 息； 其中所述检测信 息包括原始流量、 访问关系、 恶意文件和 通讯协议； 通过所述检测信息判断所述待检测设备 是否连接互联网； 若连接， 则判断所述检测信息是否与判定规则匹配； 其中所述判定规则为黑名单、 威胁 情报库、 疑似失陷规则中至少一项； 若匹配， 则确定所述待检测设备疑似感染所述IOT僵尸网络， 并判断所述检测信息是否 满足失陷规则； 若满足， 则确定所述待检测设备已感染所述 IOT僵尸网络 。 2.根据权利要求1所述的IOT僵尸网络检测处理方法， 其特征在于， 所述判断所述检测 信息是否与判定规则匹配， 当所述判定规则为所述疑似失陷规则时， 包括： 将所述访问关系存在第一预设时间段内与失陷主机进行网络访问作为第一疑似判定 结果； 将所述原始流量存在第二预设时间段内与所述失陷主机进行文件传输作为第二疑似 判定结果； 将所述访问关系存在第三预设时间段内与所述失陷主机进行长链接访问作为第三疑 似判定结果； 若所述检测信息满足所述第一疑似判定结果、 所述第二疑似判定结果、 所述第三疑似 判定结果中的至少一项， 则确定所述检测信息与所述判定规则匹配。 3.根据权利要求1所述的IOT僵尸网络检测处理方法， 其特征在于， 所述判断所述检测 信息是否满足 失陷规则， 包括： 将所述原 始流量存在对警告设备产生周期性长链接控制作为第一判定结果； 将所述原始流量在第四预设时间段内访问次数超过预设基线配置数值作为第二判定 结果； 将所述恶意文件 存在特定加密头 部为rc文件作为第三判定结果； 将所述通讯协议存在特定指令作为第四判定结果； 若所述检测信 息满足所述第 一判定结果、 所述第 二判定结果、 所述第 三判定结果、 所述 第四判定结果中的至少一项， 则所述检测信息满足所述失陷规则。 4.根据权利要求3所述的IOT僵尸网络检测处理方法， 其特征在于， 所述将所述通讯协 议存在特定指令作为第四判定结果， 包括： 将所述通讯协议存在通过irc协议进行邮件传输作为所述第四判定结果。 5.根据权利要求1所述的IOT僵尸网络检测处理方法， 其特征在于， 所述获取检测信息， 包括： 获取外置安全心设备和APT设备采集的所述检测信息； 其中所述安全心设备采集所述 原始流量和所述访问关系， 所述APT设备采集所述原始流量、 所述恶意文件和所述通讯协 议； 对所述检测信息进行规整。 6.根据权利要求1至5任一项IOT僵尸网络检测处理方法， 其特征在于， 在确定所述待检 测设备已感染所述 IOT僵尸网络之后， 还 包括：权　利　要　求　书 1/2 页 2 CN 115514559 A 2将已感染所述IOT僵尸网络的所述待检测设备确定为失陷设备， 并对所述失陷设备进 行处置操作。 7.一种IOT僵尸网络检测处 理装置， 其特 征在于， 包括： 获取模块， 用于获取待检测设备的检测信 息； 其中所述检测信 息包括原始流量、 访问关 系、 恶意文件和通讯协议； 第一判断模块， 用于通过 所述检测信息判断所述待检测设备 是否连接互联网； 第二判断模块， 用于若连接， 则判断所述检测信息是否与判定规则匹配； 其中所述判定 规则为黑名单、 威胁情 报库、 疑似失陷规则中至少一项； 第三判断模块， 用于若匹配， 则确定所述待检测设备疑似感染所述IOT僵尸网络， 并判 断所述检测信息是否满足 失陷规则； 确定模块， 用于若满足， 则确定所述待检测设备已感染所述 IOT僵尸网络 。 8.根据权利要求7 所述IOT僵尸网络检测处 理装置， 其特 征在于， 还 包括： 处置模块， 用于将已感染所述IOT僵尸网络的所述待检测设备确定为失陷设备， 并对所 述失陷设备进行处置操作。 9.一种IOT僵尸网络检测处 理设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至6任一项所述的IOT僵尸网络 检测处理方法的步骤。 10.一种IOT僵尸网络检测 处理存储介质， 其特征在于， 所述可读存储介质中存储有计 算机程序， 所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的IOT僵尸网 络检测处 理方法的步骤。权　利　要　求　书 2/2 页 3 CN 115514559 A 3