一种网络威胁监测方法、装置、电子设备及可读存储介质与流程

1.本技术涉及网络安全技术领域，尤其涉及一种网络威胁监测方法、装置、电子设备及可读存储介质。


背景技术：

2.当前网络世界中存在大量病毒，不乏一些rootkit类病毒，这类病毒有的具有合法的证书签名，或有的具备过杀软防护，确保自己不被杀毒软件查杀，并得以在操作系统(如windows)中执行，同时，它们还会隐藏自己，使得用户在windows的任务管理器(或一些第三方任务查看器)中无法发现他们的存在，但是背地里却在窃取用户本地数据，对网络安全形成了极大威胁。然而，由于难以确定病毒所在进程或病毒感染的进程，导致难以对病毒进行查杀，从而导致用户数据的安全性较低。


技术实现要素：

3.有鉴于此，本技术实施例提供一种网络威胁监测方法、装置、电子设备及可读存储介质，便于提高用户数据的安全性。
4.第一方面，本技术实施例提供一种网络威胁监测方法，包括：获取联网的进程对应的流量要素；根据预设的威胁判断策略，确定所述流量要素是否为威胁要素；响应于所述流量要素为威胁要素，查找与所述威胁要素对应的进程。
5.根据本技术实施例的一种具体实现方式，所述获取联网的进程对应的流量要素，包括：在操作系统的内核中，监控是否有进程建立网络连接；响应于有进程建立网络连接，获取与联网的进程对应的流量要素。
6.根据本技术实施例的一种具体实现方式，所述根据预设的威胁判断策略，确定所述流量要素是否为威胁要素，包括：将所述进程对应的流量要素向预设的安全服务发送，以通过所述预设的安全服务中的威胁要素确定模块，确定所述流量要素是否为威胁要素。
7.根据本技术实施例的一种具体实现方式，所述方法还包括：获取联网的进程的进程信息，其中，所述进程信息包括所述进程对应的内存信息、所述进程的环境变量和/或与所述进程对应的硬盘上的文件；在所述查找与所述威胁要素对应的进程之后，所述方法还包括：将所述进程对应的内存信息、所述进程的环境变量和/或与所述进程对应的硬盘上的文件向所述预设的安全服务发送，以通过所述预设的安全服务的威胁要素提取模块，提取所述进程对应的内存信息、所述进程的环境变量和/或与所述进程对应的硬盘上的文件中包括的威胁要素；接收所述预设的安全服务发送的所述威胁要素。
8.根据本技术实施例的一种具体实现方式，所述方法还包括：接收所述预设的安全服务发送的拦截规则，以使用所述拦截规则对威胁要素进行拦截，其中，所述拦截规则为根据所述威胁要素确定的规则。
9.根据本技术实施例的一种具体实现方式，所述预设的安全服务运行于本地或服务端。
10.第二方面，本技术实施例提供网络威胁监测装置，包括：第一获取模块，用于获取联网的进程对应的流量要素；确定模块，用于根据预设的威胁判断策略，确定所述流量要素是否为威胁要素；查找模块，用于响应于所述流量要素为威胁要素，查找与所述威胁要素对应的进程。
11.根据本技术实施例的一种具体实现方式，所述第一获取模块，具体用于：在操作系统的内核中，监控是否有进程建立网络连接；响应于有进程建立网络连接，获取与联网的进程对应的流量要素。
12.根据本技术实施例的一种具体实现方式，所述确定模块，具体用于：将所述进程对应的流量要素向预设的安全服务发送，以通过所述预设的安全服务中的威胁要素确定模块，确定所述流量要素是否为威胁要素。
13.根据本技术实施例的一种具体实现方式，所述装置还包括：第二获取模块，用于获取联网的进程的进程信息，其中，所述进程信息包括所述进程对应的内存信息、所述进程的环境变量和/或与所述进程对应的硬盘上的文件；发送模块，用于在所述查找模块查找与所述威胁要素对应的进程之后，将所述进程对应的内存信息、所述进程的环境变量和/或与所述进程对应的硬盘上的文件向所述预设的安全服务发送，以通过所述预设的安全服务的威胁要素提取模块，提取所述进程对应的内存信息、所述进程的环境变量和/或与所述进程对应的硬盘上的文件中包括的威胁要素；第一接收模块，用于接收所述预设的安全服务发送的所述威胁要素。
14.根据本技术实施例的一种具体实现方式，所述装置还包括：第二接收模块，用于接收所述预设的安全服务发送的拦截规则，以使用所述拦截规则对威胁要素进行拦截，其中，所述拦截规则为根据所述威胁要素确定的规则。
15.根据本技术实施例的一种具体实现方式，所述预设的安全服务运行于本地或服务端。
16.第三方面，本技术实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实现方式所述的网络威胁监测的方法。
17.第四方面，本技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实现方式所述的网络威胁监测。
18.本实施例的网络威胁监测的方法、装置、电子设备及可读存储介质，由于获取到了联网的进程对应的流量要素即获取到了联网的进程与流量要素的对应关系，再对通过预设的威胁判断策略，确定流量要素是否为威胁要素，当流量要素为威胁要素时，可以查找与威胁要素对应的进程，进而，可以确定病毒所在的进程或者感染了病毒的进程，这样，便于对该进程采取对应的处理策略进行查杀，从而提高用户数据的安全性。
附图说明
19.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现
有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
20.图1为本技术一实施例提供的网络威胁监测方法的流程示意图；
21.图2为本技术又一实施例提供的网络威胁监测方法的流程示意图；
22.图3为本技术一实施例提供的网络威胁监测装置的结构示意图；
23.图4为本技术一实施例提供的电子设备的结构示意图。
具体实施方式
24.下面结合附图对本技术实施例进行详细描述。应当明确，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本技术保护的范围。
25.为使本领域技术人员更好地理解本技术实施例的技术构思、实施方案和有益效果，下面通过具体实施例进行详细说明。
26.本技术一实施例提供的一种网络威胁监测方法，包括：获取联网的进程对应的流量要素；根据预设的威胁判断策略，确定所述流量要素是否为威胁要素；响应于所述流量要素为威胁要素，确定与所述威胁要素对应的进程，便于对病毒进行查杀，提高用户数据的安全性。
27.图1为本技术一实施例提供的网络威胁监测方法的流程示意图，如图1所示，本实施例的网络威胁监测方法，可以包括：
28.s101、获取联网的进程对应的流量要素。
29.联网(networking)可以指运行于不同计算机上的多个进程之间的通信，这个通信可以发生在一个封闭的局域网上，或者通过互联网通信。
30.流量要素可以包括数据包的大小、源ip地址、源端口、目的ip地址、目的端口、传输协议和/或协议内容。
31.获取联网的进程对应的流量要素即获取到联网的进程与流量要素的对应关系。
32.s102、根据预设的威胁判断策略，确定流量要素是否为威胁要素。
33.预设的威胁判断策略可以依据网络环境制定。
34.s103、响应于流量要素为威胁要素，查找与威胁要素对应的进程。
35.如果通过s102确定流量要素为威胁要素时，则查找与威胁要素对应的进程，进而，可以确定病毒所在进程或该进程感染了病毒。
36.本实施例，由于获取到了联网的进程对应的流量要素即获取到了联网的进程与流量要素的对应关系，再对通过预设的威胁判断策略，确定流量要素是否为威胁要素，当流量要素为威胁要素时，可以查找与威胁要素对应的进程，进而，可以确定病毒所在的进程或者感染了病毒的进程，这样，便于对该进程采取对应的处理策略进行查杀，从而提高用户数据的安全性。
37.图2为本技术又一实施例提供的网络威胁监测方法的流程示意图，如图2所示，本技术又一实施例，与上述实施例基本相同，不同之处在于，本实施例的获取联网的进程对应的流量要素(s101)，可以包括：
38.s101a、在操作系统的内核中，监控是否有进程建立网络连接。
39.在操作系统的内核中(ring0)，对是否有进程建立网络连接。在一些例子中，可根据进程是否有tcp协议的三次握手行为，如果有，则有进程建立网络连接。
40.s101b、响应于有进程建立网络连接，获取与联网的进程对应的流量要素。
41.在进程建立网络连接后，可获取该进程对应的流量要素。
42.本实施例中，可在系统互连的每层模型设置监听程序以监听流量信息，从而在内核层获取流量要素。
43.本实施例，通过在操作系统的内核中，监控是否有进程建立网络连接，当有进程建立网络连接，则获取与联网的进程对应的流量要素，由于网络数据的通过网卡接收或发送，而网卡对应的网卡驱动设置在操作系统内核层，这样，能够更加可靠地获取联网的进程及获取与该进程对应的流量要素，进一步地，可以确定威胁要素及对应的进程，从而，为进一步提高用户数据的安全性提供基础。
44.在一些例子中，根据预设的威胁判断策略，确定流量要素是否为威胁要素(s102)，可以包括：
45.s102a、将进程对应的流量要素向预设的安全服务发送，以通过预设的安全服务中的威胁要素确定模块，确定流量要素是否为威胁要素。
46.本实施例的预设的安全服务具有强大的威胁要素确定的功能，预设的安全服务中可设置威胁判断规则及与威胁要素确定相关的机器学习模型，从而确定进程对应的流量要素是否为威胁要素。在一些例子中，预设的安全服务可为安全大脑，安全大脑可实现网络安全防御智能升级的雷达系统，帮助客户解决网络安全防御的关键
‑‑“
看见”网络威胁与攻击，安全大脑以安全大数据分析为基础，利用威胁情报、知识库、安全专家等关键能力赋能用户和传统安全产品，提升对高级威胁和攻击行为的检测发现能力，具有感知、学习、推理、预测、决策共五项核心能力。它利用数以亿计的智能终端，采集数据和信息，经过智能化的分析，感知安全风险；具备自我学习、自我演进的能力，实现对新威胁的识别；还可依据安全大数据及先验知识或规则进行推理；并对未来可能发生的网络安全威胁和攻击进行预测；同时，综合利用各种技术，实现对网络安全威胁的分析、判断、处置、响应、反制等决策进行辅助。
47.在一些例子中，预设的安全服务运行于本地或服务端，预设的安全服务设于本地，可以更加高效地确定流量要素是否为威胁要素，预设的安全服务设于服务端可以节省本地的计算资源。
48.本技术又一实施例，与上述实施例基本相同，不同之处在于，本实施例的方法还可以包括：
49.s104、获取联网的进程的进程信息。
50.本实施例中，进程信息包括进程对应的内存信息、进程的环境变量和/或与进程对应的硬盘上的文件。
51.本步骤可在上述s101之前，也可在s103之后，还可以在s101-s103之间的任何位置。
52.在确定与威胁要素对应的进程之后，为获取更为详尽的威胁要素，在查找与威胁要素对应的进程(s103)之后，所述方法还可以包括：
53.s105、将进程对应的内存信息、进程的环境变量和/或与进程对应的硬盘上的文件向预设的安全服务发送，以通过预设的安全服务的威胁要素提取模块，提取进程对应的内存信息、进程的环境变量和/或与进程对应的硬盘上的文件中包括的威胁要素。
54.预设的安全服务的威胁要素提取模块可以对进程对应的内存信息、进程的环境变量和/或与进程对应的硬盘上的文件等进程信息提取威胁指令或威胁代码即威胁要素。
55.s106、接收预设的安全服务发送的威胁要素。
56.接收威胁要素后，可根据威胁要素制定相应处理策略，以提高用户数据的安全性。
57.本实施例，将获取到的进程对应的内存信息、进程的环境变量和/或与进程对应的硬盘上的文件向预设的安全服务发送，以通过预设的安全服务的威胁要素提取模块，提取进程对应的内存信息、进程的环境变量和/或与进程对应的硬盘上的文件中包括的威胁要素，接收预设的安全服务发送的威胁要素，这样，可以获取更多的威胁要素，进一步地，可针对威胁要素执制定相应的处理策略，以提高用户数据的安全性。
58.为简化本实施例技术方案，提高处理效率，在本技术一实施例中，所述方法还包括：
59.s107、接收预设的安全服务发送的拦截规则，以使用拦截规则对威胁要素进行拦截。
60.本实施例中，拦截规则为根据威胁要素确定的规则。
61.本实施例中，直接接收拦截规则，即可直接使用拦截规则，从而避免了确定拦截规则的过程，从而提高处理效率。
62.下面以一具体实施例，对本技术的方案进行详细说明。
63.参见图2，本实施例的网络威胁监测方法，可以包括：
64.(1)本方案在操作系统内核层专门针对网络连接安装一个过滤驱动，该驱动将实时监控每个进程的网络连接的建立以及io数据包。
65.(2)将对应的进程信息和该进程信息对应的联网信息发送至应用层，应用层对每个进程的联网信息进行判断处理，具体地，可以包括两种方式：
66.a、通过流量监测系统对进程进行监测，
67.由于在步骤(1)中可获取每个联网进程及其流量数据包，其中数据包中包括威胁要素，这样，在流量监测系统可记录进程和流量数据包的信息，并且可根据预设的威胁判断规则，确定威胁要素，由此可进一步地追溯到终端运行的与威胁要素对应的程序。
68.b、将样本和对应的流量包送至安全大脑进行学习提取特征，然后将特征下发至终端杀毒引擎，使得所有终端获得免疫能力。
69.本实施例中的样本可为进程的相关信息，具体可包括作为进程标识信息的文件路径信息、进程对应的内存信息、进程的环境变量和/或与进程对应的硬盘上的文件。
70.本实施例中的特征可为威胁要素，包括根据流量包中的流量要素确定的威胁要素，还包括根据进程的相关信息确定的威胁要素如产生威胁的代码或指令。
71.在安全大脑中，可通过反汇编的指令和对应的流量攻击载荷，构建连续概率分布模型，通过求导以提取特征。
72.在获取到特征后，可将特征下发至终端，还可以根据特征确定相应的处理规则，下发至终端，从而，在终端再次出现相同的特征时，即将其拦截，降低威胁风险。
73.本实施例，由于获取到了联网的进程对应的流量要素即获取到了联网的进程与流量要素的对应关系，再对通过预设的威胁判断策略，确定流量要素是否为威胁要素，当流量要素为威胁要素时，可以查找与威胁要素对应的进程，进而，可以确定病毒所在的进程或者感染了病毒的进程，这样，便于对该进程采取对应的处理策略进行查杀，从而提高用户数据的安全性，为可靠地获取联网的进程及获取与该进程对应的流量要素，在操作系统的内核中，监控是否有进程建立网络连接，如果有进程建立网络连接，则获取与联网的进程对应的流量要素，为了使本技术技术方案较为简单，可将进程对应的流量要素向预设的安全服务发送，以通过预设的安全服务中的威胁要素确定模块，确定流量要素是否为威胁要素为了高效地确定流量要素是否为威胁要素，将预设的安全服务运行于本地，为了节省本地计算资源，将预设的安全服务运行于服务端，可以获取更多的威胁要素，以提高用户数据的安全性，将获取到的进程对应的内存信息、进程的环境变量和/或与进程对应的硬盘上的文件向预设的安全服务发送，以通过预设的安全服务的威胁要素提取模块，提取进程对应的内存信息、进程的环境变量和/或与进程对应的硬盘上的文件中包括的威胁要素，接收预设的安全服务发送的威胁要素，为提高处理效率，通过接收预设的安全服务发送的拦截规则，以使用拦截规则对威胁要素进行拦截。
74.本技术一实施例提供的网络威胁监测装置，包括：第一获取模块，用于获取联网的进程对应的流量要素；确定模块，用于根据预设的威胁判断策略，确定所述流量要素是否为威胁要素；查找模块，用于响应于所述流量要素为威胁要素，查找与所述威胁要素对应的进程，便于对病毒进行查杀，提高用户数据的安全性。
75.图3为本技术一实施例提供的网络威胁监测装置的结构示意图，如图3所示，本实施例的网络威胁监测装置，可以包括：第一获取模块11，用于获取联网的进程对应的流量要素；确定模块12，用于根据预设的威胁判断策略，确定所述流量要素是否为威胁要素；查找模块13，用于响应于所述流量要素为威胁要素，查找与所述威胁要素对应的进程。
76.本实施例的装置，可以用于执行图1所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。
77.本实施例的装置，由于获取到了联网的进程对应的流量要素即获取到了联网的进程与流量要素的对应关系，再对通过预设的威胁判断策略，确定流量要素是否为威胁要素，当流量要素为威胁要素时，可以查找与威胁要素对应的进程，进而，可以确定病毒所在的进程或者感染了病毒的进程，这样，便于对该进程采取对应的处理策略进行查杀，从而提高用户数据的安全性。
78.作为一可选实施方式，所述第一获取模块，具体用于：在操作系统的内核中，监控是否有进程建立网络连接；响应于有进程建立网络连接，获取与联网的进程对应的流量要素。
79.作为一可选实施方式，所述确定模块，具体用于：将所述进程对应的流量要素向预设的安全服务发送，以通过所述预设的安全服务中的威胁要素确定模块，确定所述流量要素是否为威胁要素。
80.作为一可选实施方式，所述装置还包括：第二获取模块，用于获取联网的进程的进程信息，其中，所述进程信息包括所述进程对应的内存信息、所述进程的环境变量和/或与所述进程对应的硬盘上的文件；发送模块，用于在所述查找模块查找与所述威胁要素对应
的进程之后，将所述进程对应的内存信息、所述进程的环境变量和/或与所述进程对应的硬盘上的文件向所述预设的安全服务发送，以通过所述预设的安全服务的威胁要素提取模块，提取所述进程对应的内存信息、所述进程的环境变量和/或与所述进程对应的硬盘上的文件中包括的威胁要素；第一接收模块，用于接收所述预设的安全服务发送的所述威胁要素。
81.作为一可选实施方式，所述装置还包括：第二接收模块，用于接收所述预设的安全服务发送的拦截规则，以使用所述拦截规则对威胁要素进行拦截，其中，所述拦截规则为根据所述威胁要素确定的规则。
82.作为一可选实施方式，所述预设的安全服务运行于本地或服务端。
83.上述实施例的装置，可以用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。
84.图4为本技术一实施例提供的电子设备的结构示意图，如图4所示，可以包括：壳体61、处理器62、存储器63、电路板64和电源电路65，其中，电路板64安置在壳体61围成的空间内部，处理器62和存储器63设置在电路板64上；电源电路65，用于为上述电子设备的各个电路或器件供电；存储器63用于存储可执行程序代码；处理器62通过读取存储器63中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述实施例提供的任一种网络威胁监测方法，因此也能实现相应的有益技术效果，前文已经进行了详细说明，此处不再赘述。
85.上述电子设备以多种形式存在，包括但不限于：
86.(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iphone)、多媒体手机、功能性手机，以及低端手机等。
87.(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：pda、mid和umpc设备等，例如ipad。
88.(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器(例如ipod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。
89.(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
90.(5)其他具有数据交互功能的电子设备。
91.相应的，本技术的实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述实施例提供的任一种网络威胁监测方法，因此也能实现相应的技术效果，前文已经进行了详细说明，此处不再赘述。
92.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
93.本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。
94.尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
95.为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本技术时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
96.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，rom)或随机存储记忆体(random access memory，ram)等。
97.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。