(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111598572.0 (22)申请日 2021.12.24 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 侯丽英　徐自全　 (74)专利代理 机构 北京金信知识产权代理有限 公司 11225 代理人 侯宪志　韩岳松 (51)Int.Cl. H04L 61/4511(2022.01) H04L 9/40(2022.01) (54)发明名称 用于检测目标网络中主机失陷等级的方法 及装置 (57)摘要 本申请公开了一种用于检测目标网络中主 机失陷等级的方法及装置， 其中， 该方法包括： 获 取目标网络中的第一主机发送的第一请求报文； 在确定第一DNS域名为恶意域名的情况下， 确定 第一主机失 陷且具有第一失陷等级； 检测目标网 络的交互报文是否与第一IP地址相关联； 其中， 交互报文包括从目标网络中的主机向外发送的 第一交互报文和向目标网络中的主机发送的第 二交互报文； 在具有与第一IP地址相关联的交互 报文的情况下， 确定第一主机具有高于第一失陷 等级的第二失 陷等级。 该方法为实时检测目标网 络中主机失 陷等级提供了可行的技术方案， 进而 能够及时的为安全服务人员提供富有针对性的 处置建议。 权利要求书2页 说明书8页 附图4页 CN 114244809 A 2022.03.25 CN 114244809 A 1.一种用于检测目标网络中主机失陷等级的方法， 其特 征在于， 包括： 获取所述目标网络中的第一主机发送的第一请求报文； 其中， 所述第一请求报文包含 第一DNS域名， 用于查询与所述第一DNS域名相对应的第一 IP地址； 在确定所述第一DNS域名为恶意域名的情况下， 确定所述第一主机失陷且具有第一失 陷等级； 检测所述目标网络的交互报文是否与所述第一IP地址相关联； 其中， 所述交互报文包 括从所述目标网络中的主机 向外发送的第一交互报文和向所述目标网络中的主机发送的 第二交互报文； 在具有与所述第 一IP地址相关联的交互报文的情况下， 确定所述第 一主机具有高于所 述第一失陷等级的第二失陷等级。 2.根据权利要求1所述的方法， 其特征在于， 所述检测所述目标网络的交互报文是否与 所述第一 IP地址相关联， 包括： 确定是否具有与所述第一请求报文相对应的第一响应报文； 在预设时间获取到所述第 一响应报文的情况下， 从所述第 一响应报文中获取所述第 一 IP地址； 确定所述交 互报文是否与所述第一 IP地址相关联。 3.根据权利要求2所述的方法， 其特征在于， 所述检测所述目标网络的交互报文是否与 所述第一 IP地址相关联， 还 包括： 在预设时间未获取到所述第 一响应报文的情况下， 确定所述第 一主机具有低于所述第 一失陷等级的第三失陷等级。 4.根据权利要求2所述的方法， 其特征在于， 所述确定是否具有与所述第 一请求报文相 对应的第一响应报文， 包括： 获取所述第一请求报文中的事务 ID； 确定是否具有包 含相同事务 ID的响应报文。 5.根据权利要求2所述的方法， 其特征在于， 所述确定所述交互报文是否与所述第 一IP 地址相关联， 包括： 确定所述第一交 互报文的目的IP地址是否与所述第一 IP地址相符； 确定所述第二交 互报文的源IP地址是否与所述第一 IP地址相符。 6.一种用于检测目标网络中主机失陷等级的装置， 其特 征在于， 包括： 获取模块， 用于获取所述目标网络 中的第一主机发送的第 一请求报文； 其中， 所述第一 请求报文包 含第一DNS域名， 用于查询与所述第一DNS域名相对应的第一 IP地址； 第一确定模块， 用于在确定所述第一DNS域名为恶意域名的情况下， 确定所述第一主机 失陷且具有第一失陷等级； 检测模块， 用于检测所述目标网络的交互报文是否与所述第 一IP地址相关联； 其中， 所 述交互报文包括从所述目标网络中的主机 向外发送的第一交互报文和向所述目标网络中 的主机发送的第二交 互报文； 第二确定模块， 用于在具有与所述第一IP地址相关联的交互报文的情况下， 确定所述 第一主机具有高于所述第一失陷等级的第二失陷等级。 7.根据权利要求6所述的装置， 其特 征在于， 所述检测模块具体用于：权　利　要　求　书 1/2 页 2 CN 114244809 A 2确定是否具有与所述第一请求报文相对应的第一响应报文； 在预设时间获取到所述第 一响应报文的情况下， 从所述第 一响应报文中获取所述第 一 IP地址； 确定所述交 互报文是否与所述第一 IP地址相关联。 8.根据权利要求7 所述的装置， 其特 征在于， 所述检测模块还用于： 在预设时间未获取到所述第 一响应报文的情况下， 确定所述第 一主机具有低于所述第 一失陷等级的第三失陷等级。 9.根据权利要求7 所述的装置， 其特 征在于， 所述检测模块具体用于： 获取所述第一请求报文中的事务 ID； 确定是否具有包 含相同事务 ID的响应报文。 10.根据权利要求7 所述的装置， 其特 征在于， 所述检测模块具体用于： 确定所述第一交 互报文的目的IP地址是否与所述第一 IP地址相符； 确定所述第二交 互报文的源IP地址是否与所述第一 IP地址相符。权　利　要　求　书 2/2 页 3 CN 114244809 A 3