[发明专利]一种终端安全检测分析方法、装置、设备及可读存储介质

权利要求书

1.一种终端安全检测分析方法，其特征在于，包括：

对终端的身份信息特征进行验证；

若所述终端的身份信息未通过验证，则判定所述终端为恶意终端；

若所述终端的身份信息通过验证，则对所述终端的传输流量进行检测；

其中，对所述终端的传输流量进行检测，包括：

判断所述传输流量是否符合预设白名单库流量；

若所述传输流量符合预设白名单库流量，则判定所述传输流量为正常；

若所述传输流量不符合预设白名单库流量，则提取所述传输流量的流量特征；

判断所述流量特征是否符合预设异常检测库特征；

其中，判断所述流量特征是否符合预设异常检测库特征，包括：将流量定义为正向流量包序列和反向流量包序列；计算在预设的固定的时间段内所述正向流量包序列和所述反向流量包序列的时间序列的流量特征，并使用傅里叶变换，将所述时间序列的流量特征从时序信息转变为频域信息，并选择前预设数量个值作为网络流秩序的基本特征样本，并将所述基本特征样本输入多层堆栈自编码网络模型，将堆栈自编码网络模型倒数第二个隐藏层作为输出向量；通过机器训练对所述输出向量进行异常检测特征提取，得到所述异常检测库；通过比对所述传输流量的流量特征和所述异常检测库的特征，确定所述流量特征是否符合预设异常检测库特征；

若所述流量特征不符合所述预设异常检测库特征，则判定所述传输流量为正常；

若所述流量特征符合所述预设异常检测库特征，则判定所述传输流量存在异常；

若检测到所述终端的传输流量存在异常，则判定所述终端为恶意终端；

若所述终端的传输流量正常，则对所述终端的业务流量进行检测；

若检测到所述终端的业务流量存在异常，则判定所述终端为恶意终端；

若所述终端的业务流量正常，则判定所述终端为安全终端；

其中，对所述终端的业务流量进行检测，包括：获取所述业务流量中的业务协议关键字的内容特征码与频度特征码表，并提取所述内容特征码与所述频度特征码表中的流量关键字段；判断所述流量关键字段是否符合预设关键字段；若所述流量关键字段不符合所述预设关键字段，则判定所述业务流量存在异常；若所述流量关键字段符合所述预设关键字段，则判定所述业务流量正常；

获取所述终端的行为画像信息；

判断所述行为画像信息是否满足预设检测画像信息；

若所述行为画像信息满足所述预设检测画像信息，则判定所述终端为恶意终端；

若所述行为画像信息不满足所述预设检测画像信息，则判定所述终端为恶意终端，则判定所述终端为安全终端。

2.根据权利要求1所述的终端安全检测分析方法，其特征在于，判定所述终端为恶意终端后，还包括：

切断所述终端的网络连接。

3.根据权利要求1所述的终端安全检测分析方法，其特征在于，所述终端的身份信息，包括：

所述终端的名称、类型、登入口令、资产编号、位置信息、认证方式、硬件通信接口、组件编号、请求访问范围。