网络终端威胁的检测方法及装置与流程

本发明涉及网络安全技术领域，特别涉及一种网络终端威胁的检测方法及装置。

背景技术：

目前，网络中存在越来越多样化的病毒威胁，且触发方式、攻击行为、感染手段等技术都在不断的提升，严重威胁网络安全。

然而，相关技术的一些威胁检测技术过于单一，只能对网络行为、文件行为进行检测及数据采集，造成威胁检测数据采集方式不够全面、采集难度大、采集效率低等问题，进而导致依靠这些数据所做的威胁分析就可能存在漏洞、不全面，可靠性差，从而极大的影响分析能力，且适应场景灵活性差。

技术实现要素：

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的一个目的在于提出一种网络终端威胁的检测方法，该方法可以有效提高检测的灵活性和可靠性，有效提高检测的效率。

本发明的另一个目的在于提出一种网络终端威胁的检测装置。

为达到上述目的，本发明一方面实施例提出了一种网络终端威胁的检测方法，包括以下步骤：检测当前使用环境场景；根据所述当前使用环境场景生成信息采集指令，其中，所述信息采集指令包括至少一个维度的检测因素及与所述至少一个维度的检测因素对应的多个向量检查因子，并发送所述信息采集指令至网络的每个终端；接收所述每个终端根据所述信息采集指令生成的信息追溯包；根据所述每个终端的信息追溯包判定所述网络中威胁终端及不安全因素。

本发明实施例的网络终端威胁的检测方法，可以从多维度、多向量进行信息采集，且可以根据当前使用环境场景生成信息采集指令，从而提供更全面、多样化的、可分析数据，大大提升信息追溯功能，有效提高检测的灵活性和可靠性，有效提高检测的效率。

另外，根据本发明上述实施例的网络终端威胁的检测方法还可以具有以下附加的技术特征：

进一步地，在本发明的一个实施例中，所述信息采集指令还包括采集周期和上报方式，使得所述终端根据所述采集周期和上报方式上报所述信息追溯包。

进一步地，在本发明的一个实施例中，在根据所述当前使用环境场景生成所述信息采集指令之前，还包括：获取所述每个终端的安全级别；根据所述每个终端的安全级别得到所述每个终端对应的所述信息采集指令。

进一步地，在本发明的一个实施例中，所述根据所述每个终端的信息追溯包判定所述网络中威胁终端及不安全因素，进一步包括：根据所述信息追溯包得到当前威胁信息，所述威胁信息包括威胁态势、威胁向量元素比例、预测威胁传播路径、威胁等级及规模中的一种或多种；通过图表呈现所述当前威胁信息。

进一步地，在本发明的一个实施例中，检测因素包括内存检查、环境检查和文件检查中的一种或多种，向量检查因子包括内存钩子、内存互斥量、端口、启动项、挂载驱动、移动介质使用、访问网址记录、进程权限、计划任务、进程启动链条、注册表位置和文件名及路径中的一种或多种。

为达到上述目的，本发明另一方面实施例提出了一种网络终端威胁的检测装置，包括：检测模块，用于检测当前使用环境场景；生成模块，用于根据所述当前使用环境场景生成信息采集指令，其中，所述信息采集指令包括至少一个维度的检测因素及与所述至少一个维度的检测因素对应的多个向量检查因子，并发送所述信息采集指令至网络的每个终端；接收模块，用于接收所述每个终端根据所述信息采集指令生成的信息追溯包；分析模块，用于根据所述每个终端的信息追溯包判定所述网络中威胁终端及不安全因素。

本发明实施例的网络终端威胁的检测装置，可以从多维度、多向量进行信息采集，且可以根据当前使用环境场景生成信息采集指令，从而提供更全面、多样化的、可分析数据，大大提升信息追溯功能，有效提高检测的灵活性和可靠性，有效提高检测的效率。

另外，根据本发明上述实施例的网络终端威胁的检测装置还可以具有以下附加的技术特征：

进一步地，在本发明的一个实施例中，所述信息采集指令还包括采集周期和上报方式，使得所述终端根据所述采集周期和上报方式上报所述信息追溯包。

进一步地，在本发明的一个实施例中，所述生成模块还用于获取所述每个终端的安全级别，且根据所述每个终端的安全级别得到所述每个终端对应的所述信息采集指令。

进一步地，在本发明的一个实施例中，所述分析模块还用于根据所述信息追溯包得到当前威胁信息，所述威胁信息包括威胁态势、威胁向量元素比例、预测威胁传播路径、威胁等级及规模中的一种或多种，并通过图表呈现所述当前威胁信息。

进一步地，在本发明的一个实施例中，检测因素包括内存检查、环境检查和文件检查中的一种或多种，向量检查因子包括内存钩子、内存互斥量、端口、启动项、挂载驱动、移动介质使用、访问网址记录、进程权限、计划任务、进程启动链条、注册表位置和文件名及路径中的一种或多种。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为根据本发明一个实施例的网络终端威胁的检测方法的流程图；

图2为根据本发明一个具体实施例的网络终端威胁的检测方法的流程图；以及

图3为根据本发明一个实施例的网络终端威胁的检测装置的结构示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参照附图描述根据本发明实施例提出的网络终端威胁的检测方法及装置，首先将参照附图描述根据本发明实施例提出的网络终端威胁的检测方法。

图1是本发明一个实施例的网络终端威胁的检测方法的流程图。

如图1所示，该网络终端威胁的检测方法包括以下步骤：

在步骤s101中，检测当前使用环境场景。

例如，管理中心首先进行当前使用环境场景的检测，以便进行下一步的动作，当前的使用环境可以为，如，端口对否开启，硬件的驱动是否正常等。

在步骤s102中，根据当前使用环境场景生成信息采集指令，其中，信息采集指令包括至少一个维度的检测因素及与至少一个维度的检测因素对应的多个向量检查因子，并发送信息采集指令至网络的每个终端。

可以理解的是，本发明实施例可以根据不同的使用环境场生成采集指令，然后将采集指令发送至每个终端。

可选地，在本发明的一个实施例中，检测因素包括内存检查、环境检查和文件检查中的一种或多种，向量检查因子包括内存钩子、内存互斥量、端口、启动项、挂载驱动、移动介质使用、访问网址记录、进程权限、计划任务、进程启动链条、注册表位置和文件名及路径中的一种或多种。

例如，如图2所示，至少一个维度的检测因素可以包括内存检查、环境检查和文件检查中的一种或多种，具体的检测因素，本领域的技术人员可以根据实际情况进行设置，在此不做具体限定。其中，内存检查包括内存钩子和内存互斥量等向量检查因子；环境检查包括：端口、启动项、挂载驱动、移动介质使用、访问网址记录、进程权限、计划任务、进程启动链条和注册表位置等向量检查因子；文件检查包括文件名及路径等向量检查因子。

进一步地，在本发明的一个实施例中，在根据当前使用环境场景生成信息采集指令之前，还包括：获取每个终端的安全级别；根据每个终端的安全级别得到每个终端对应的信息采集指令。

如图2所示，在进行规则范围配置时，本发明实施例可以根据不同安全级别的设备，从而配置不同的采集规则，即根据不同安全等级的终端配置不同的信息采集指令，然后下发信息采集指令至每个终端。

在步骤s103中，接收每个终端根据信息采集指令生成的信息追溯包。

进一步地，在本发明的一个实施例中，信息采集指令还包括采集周期和上报方式，使得终端根据采集周期和上报方式上报信息追溯包。

可以理解的是，上报方式可以包括手动或自动上报方式，具体地，如图2所示，终端在接收到信息采集指令后，终端向量采集监听服务，并解析信息采集指令进行本地配置，然后判断是否启用周期采集规则，若是，则开启周期采集开关，然后执行向量采集；若否，则直接进行向量采集，采集至少一个维度的检测因素，并采集至少一个维度的检测因素对应的多个向量检查因子，从而生成追溯包，全面的可追溯信息使威胁分析定位更准确。

例如，用户想要定期性的检测终端是否存在威胁，此时，用户可以开启周期采集开关，如用户设定周期为1周，管理中心会每隔1周进行自动的检测采集，生成信息追溯包。又如，用户需要手动的检测，此时，可以关闭周期采集开关，终端会根据用户下达信息采集指令的时间进行信息的采集，从而生成信息追溯包。

在步骤s104中，根据每个终端的信息追溯包判定网络中威胁终端及不安全因素。

具体而言，如图2所示，本发明实施例可以将生成的追溯包手动或自动上报，管理中心汇总终端上报信息，进行大数据分析，从而可做病毒爆发规模、潜在威胁、异常终端设备等分析的依据之一。

进一步地，在本发明的一个实施例中，根据每个终端的信息追溯包判定网络中威胁终端及不安全因素，进一步包括：根据信息追溯包得到当前威胁信息，威胁信息包括威胁态势、威胁向量元素比例、预测威胁传播路径、威胁等级及规模中的一种或多种；通过图表呈现当前威胁信息。

可以理解的是，管理中心汇总追溯包，使用动态分析算法对追溯包进行动态分析输出分析报告，使用直观易懂的图表呈现威胁态势、威胁向量元素比例、预测威胁传播路径、威胁等级及规模等。

在本发明的一个具体实施例中，本发明实施例可以通过多维度向量采集追溯机制，可对全网内的安全态势做到前提预防、威胁预判、威胁处置决策计划制定等。本发明实施例通过管理中心对终端上报追溯包进行汇总，对汇总的多维度向量信息进行筛选、分析、评估全网内有多少终端设备含有可疑文件、进程、端口开放等，并通过追溯机制能够快速、准备的定位到网络内的不安全因素及终端，为其他安全防护手段提供依据。如勒索病毒部分就是通过445端口进入网络，本发明实施例可追溯网络内那些终端设备开启了445端口或其他敏感易被病毒例用的端口被开启，网络安全人员通过多维度向量分析结果做进一步制定终端安全防御加固策略，从保障网络安全。

综上，本发明实施例可以实现维度更广、向量更全面的检测，并实现针对不同需求、不同场景的追溯信息可配置，追溯包自动或手动上报，提升追溯机制的灵活性等，管理中心不仅能主动下发采集，同时可配置终端开启周期性采集上报，从而做到终端定期生成追溯包并上报，大大提升采集效率。

根据本发明实施例提出的网络终端威胁的检测方法，可以从多维度、多向量进行信息采集，且可以根据当前使用环境场景生成信息采集指令，从而提供更全面、多样化的、可分析数据，大大提升信息追溯功能，有效提高检测的灵活性和可靠性，有效提高检测的效率。

其次参照附图描述根据本发明实施例提出的网络终端威胁的检测装置。

图3是本发明一个实施例的网络终端威胁的检测装置的结构示意图。

如图3所示，该网络终端威胁的检测装置10包括：检测模块100、生成模块200、接收模块300和分析模块400。

其中，检测模块100用于检测当前使用环境场景。生成模块200用于根据当前使用环境场景生成信息采集指令，其中，信息采集指令包括至少一个维度的检测因素及与至少一个维度的检测因素对应的多个向量检查因子，并发送信息采集指令至网络的每个终端。接收模块300用于接收每个终端根据信息采集指令生成的信息追溯包。分析模块400用于根据每个终端的信息追溯包判定网络中威胁终端及不安全因素。本发明实施例的装置10可以从多维度、多向量进行信息采集，从而提供更全面、多样化的、可分析数据，大大提升信息追溯功能，有效提高检测的灵活性和可靠性，有效提高检测的效率。

进一步地，在本发明的一个实施例中，信息采集指令还包括采集周期和上报方式，使得终端根据采集周期和上报方式上报信息追溯包。

进一步地，在本发明的一个实施例中，生成模块200还用于获取每个终端的安全级别，且根据每个终端的安全级别得到每个终端对应的信息采集指令。

进一步地，在本发明的一个实施例中，分析模块400还用于根据信息追溯包得到当前威胁信息，威胁信息包括威胁态势、威胁向量元素比例、预测威胁传播路径、威胁等级及规模中的一种或多种，并通过图表呈现当前威胁信息。

进一步地，在本发明的一个实施例中，检测因素包括内存检查、环境检查和文件检查中的一种或多种，向量检查因子包括内存钩子、内存互斥量、端口、启动项、挂载驱动、移动介质使用、访问网址记录、进程权限、计划任务、进程启动链条、注册表位置和文件名及路径中的一种或多种。

需要说明的是，前述对网络终端威胁的检测方法实施例的解释说明也适用于该实施例的网络终端威胁的检测装置，此处不再赘述。

根据本发明实施例提出的网络终端威胁的检测装置，可以从多维度、多向量进行信息采集，且可以根据当前使用环境场景生成信息采集指令，从而提供更全面、多样化的、可分析数据，大大提升信息追溯功能，有效提高检测的灵活性和可靠性，有效提高检测的效率。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本发明中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系，除非另有明确的限定。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

在本发明中，除非另有明确的规定和限定，第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触，或第一和第二特征通过中间媒介间接接触。而且，第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方，或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方，或仅仅表示第一特征水平高度小于第二特征。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。