一种网络威胁检测方法、装置、电子设备及可读存储介质与流程

1.本技术涉及网络安全技术领域，尤其涉及一种网络威胁检测方法、装置、电子设备及可读存储介质。


背景技术：

2.当前网络世界中存在大量病毒，而病毒会通过很多方式威胁用户数据。在用户通过浏览器下载的文件时，病毒会悄无声息地进入用户设备，从而实现对用户数据的盗取，对网络安全形成了极大威胁，然而，由于难以确定威胁的来源，导致难以从根本上拦截威胁，从而严重威胁用户数据的安全，导致用户数据的安全性较低。


技术实现要素：

3.有鉴于此，本技术实施例提供一种网络威胁检测方法、装置、电子设备及可读存储介质，便于提高用户数据的安全性。
4.第一方面，本技术实施例提供一种网络威胁检测方法，包括：获取通过浏览器下载的文件的来源信息；运行所述文件，并获取与进程对应的流量要素；其中，所述进程为与所述文件对应的进程；根据所述流量要素，确定所述进程是否为威胁进程；响应于所述进程为威胁进程，根据所述来源信息，确定威胁的来源。
5.根据本技术实施例的一种具体实现方式，所述获取通过浏览器下载的文件的来源信息，包括：跟踪浏览器的网络访问行为；其中，所述网络访问行为与通过所述浏览器下载所述文件对应；记录所述网络访问行为，形成所述文件的来源信息。
6.根据本技术实施例的一种具体实现方式，所述获取与所述进程对应的流量要素，包括：在操作系统的内核中，监控所述进程是否建立网络连接；响应于所述进程建立网络连接，则获取与所述进程对应的流量要素。
7.根据本技术实施例的一种具体实现方式，所述根据所述流量要素，确定所述进程是否为威胁进程，包括：根据预设的威胁判断策略和所述流量要素，确定所述流量要素是否为威胁要素；响应于所述流量要素为威胁要素，确定所述进程为威胁进程；响应于所述流量要素不为威胁要素，确定所述进程不是威胁进程。
8.根据本技术实施例的一种具体实现方式，所述威胁要素包括ip地址；所述方法还包括：将所述ip地址向云端发送，以使所述云端根据所述ip地址确定威胁的地理位置。
9.根据本技术实施例的一种具体实现方式，所述来源信息中包括至少两个统一资源定位符及所述至少两个统一资源定位符间的跳转顺序，所述方法还包括：将所述来源信息向云数据库发送，以使所述云数据库根据所述至少两个统一资源定位符间的跳转顺序，对所述至少两个资源定位符进行分类。
10.第二方面，本技术实施例提供的网络威胁检测装置，包括：第一获取模块，用于获取通过浏览器下载的文件的来源信息；第二获取模块，用于运行所述文件，并获取与进程对应的流量要素；其中，所述进程为与所述文件对应的进程；第一确定模块，用于根据所述流
量要素，确定所述进程是否为威胁进程；第二确定模块，用于响应于所述进程为威胁进程，根据所述来源信息，确定威胁的来源。
11.根据本技术实施例的一种具体实现方式，所述第一获取模块，具体用于：跟踪浏览器的网络访问行为；其中，所述网络访问行为与通过所述浏览器下载所述文件对应；记录所述网络访问行为，形成所述文件的来源信息。
12.根据本技术实施例的一种具体实现方式，所述第二获取模块，具体用于：在操作系统的内核中，监控所述进程是否建立网络连接；响应于所述进程建立网络连接，则获取与所述进程对应的流量要素。
13.根据本技术实施例的一种具体实现方式，所述第一确定模块，具体用于：根据预设的威胁判断策略和所述流量要素，确定所述流量要素是否为威胁要素；响应于所述流量要素为威胁要素，确定所述进程为威胁进程；响应于所述流量要素不为威胁要素，确定所述进程不是威胁进程。
14.根据本技术实施例的一种具体实现方式，所述威胁要素包括ip地址；所述装置还包括：第一发送模块，用于将所述ip地址向云端发送，以使所述云端根据所述ip地址确定威胁的地理位置。
15.根据本技术实施例的一种具体实现方式，所述来源信息中包括至少两个统一资源定位符及所述至少两个统一资源定位符间的跳转顺序，所述装置还包括：第二发送模块，用于将所述来源信息向云数据库发送，以使所述云数据库根据所述至少两个统一资源定位符间的跳转顺序，对所述至少两个资源定位符进行分类。
16.第三方面，本技术实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实现方式所述的网络威胁检测方法的方法。
17.第四方面，本技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实现方式所述的网络威胁检测方法。
18.本实施例的网络威胁检测方法、装置、电子设备及可读存储介质，由于获取通过浏览器下载的文件的来源信息，运行下载的文件并获取与进程对应的流量要素，根据流量要素，确定进程是否为威胁进程，在进程为威胁进程时，能够根据来源信息，确定威胁的来源，从而，可对威胁的来源采取相应的处置策略，从而，提高用户数据的安全性。
附图说明
19.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
20.图1为本技术一实施例提供的网络威胁检测方法的流程示意图；
21.图2为本技术又一实施例提供的网络威胁检测方法的流程示意图；
22.图3为本技术一实施例提供的网络威胁检测装置的结构示意图；
23.图4为本技术一实施例提供的电子设备的结构示意图。
具体实施方式
24.下面结合附图对本技术实施例进行详细描述。应当明确，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本技术保护的范围。
25.为使本领域技术人员更好地理解本技术实施例的技术构思、实施方案和有益效果，下面通过具体实施例进行详细说明。
26.本技术一实施例提供的一种网络威胁检测方法，包括：获取通过浏览器下载的文件的来源信息；运行所述文件，并获取与进程对应的流量要素；其中，所述进程为与所述文件对应的进程；根据所述流量要素，确定所述进程是否为威胁进程；响应于所述进程为威胁进程，根据所述来源信息，确定威胁的来源，便于提高用户数据的安全性。
27.图1为本技术一实施例提供的网络威胁检测方法的流程示意图，如图1所示，本实施例的网络威胁检测方法，可以包括：
28.s101、获取通过浏览器下载的文件的来源信息。
29.浏览器可为显示网站服务器或文件系统内的文件，并让用户与这些文件交互的一种应用软件。它用来显示在万维网或局域网等内的文字、图像及其他信息。这些文字或图像，可以是连接其他网址的超链接，用户可迅速及轻易地浏览各种信息。通过浏览器下载的文件可以为安装包、文档等等。来源信息可为下载文件所需的浏览器名称、利用的网址信息、在网址下涉及的超链接信息。例如可为下载一个pdf文件，对应的来源信息可以包括利用ie浏览器、通过输入www.xx.com、在该网址下通过一超链接进入下载文档的界面，在该界面中对文档进行下载。
30.来源信息可以以日志的形式存储。
31.s102、运行文件，并获取与进程对应的流量要素。
32.本实施例中，进程为与文件对应的进程。
33.运行文件产生对应的进程，对于下载文件为安装包的情况，可对安装包进行安装，之后运行安装包对应的软件。
34.在运行文件产生对应的进程后，获取与进程对应的流量要素，其中，流量要素可以包括数据包的大小、源ip地址、源端口、目的ip地址、目的端口、传输协议和/或协议内容。
35.s103、根据流量要素，确定进程是否为威胁进程。
36.根据与进程对应的流量要素，确定进程是否为威胁进程。当与进程对应的流量要素为威胁要素时，确定进程为威胁进程，当与进程对应的流量要素不为威胁要素，确定进程不是威胁进程。
37.s104、响应于进程为威胁进程，根据来源信息，确定威胁的来源。
38.当进程为威胁进程时，可根据进程对应的文件的来源信息，确定威胁的来源，在确定威胁来源后，即可以针对威胁的来源制定相应的处置策略，从威胁(病毒)的源头对威胁进行限制，如下载一个pdf文件，对应的来源信息包括：利用ie浏览器、通过输入www.xx.com、在该网址下通过一超链接进入下载文档的界面，在该界面中对文档进行下载，
在运行pdf文件时，产生威胁进程，则根据pdf文件的来源，可禁止使用下载pdf文件的超链接，以此提高用户数据的安全性。
39.本实施例，由于获取通过浏览器下载的文件的来源信息，运行下载的文件并获取与进程对应的流量要素，根据流量要素，确定进程是否为威胁进程，在进程为威胁进程时，能够根据来源信息，确定威胁的来源，从而，可对威胁的来源采取相应的处置策略，从而，提高用户数据的安全性，避免因难以确定威胁的来源而导致用户数据安全性较低的问题。
40.图2为本技术又一实施例提供的网络威胁检测方法的流程示意图，如图2所示，本技术又一实施例，与上述实施例基本相同，不同之处在于，本实施例的获取通过浏览器下载的文件的来源信息(s101)，可以包括：
41.s101a、跟踪浏览器的网络访问行为。
42.本实施例中，网络访问行为与通过浏览器下载文件对应。
43.网络访问行为可包括网络访问行为的操作和各操作间的先后顺序，如通过跟踪得到网络访问行为可为：在浏览器a中输入b网址、再通过超链接c下载安装包d，在对安装包d安装过程中，一段恶意代码e指向超链接f，通过超链接f下载恶意代码g，而恶意代码g能够控制鼠标。
44.s101b、记录网络访问行为，形成文件的来源信息。
45.对s101a中跟踪得到的网络访问行为进行记录，从而形成文件的来源信息。
46.本实施例，通过跟踪浏览器的网络访问行为，并记录网络访问行为，从而形成文件的来源信息，由于跟踪浏览器的网络访问行为，能够较为详尽地记录网络访问行为，进一步地，可以准确地采取相应的处置策略，进一步提高用户数据的安全性。
47.本技术又一实施例，与上述实施例基本相同，不同之处在于，本实施例的获取与进程对应的流量要素(s102)，可以包括：
48.s102a、在操作系统的内核中，监控进程是否建立网络连接。
49.在操作系统的内核中(ring0)，对是否有进程建立网络连接。在一些例子中，可根据进程是否有tcp协议的三次握手行为，如果有，则有进程建立网络连接。
50.s102b、响应于进程建立网络连接，则获取与进程对应的流量要素。
51.在进程建立网络连接后，可获取该进程对应的流量要素。
52.本实施例中，可在系统互连的每层模型设置监听程序以监听流量信息，从而在内核层获取流量要素。
53.本实施例，通过在操作系统的内核中，监控是否有进程建立网络连接，当有进程建立网络连接，则获取与联网的进程对应的流量要素，由于网络数据的通过网卡接收或发送，而网卡对应的网卡驱动设置在操作系统内核层，这样，能够更加可靠地获取联网的进程及获取与该进程对应的流量要素，进一步地，可以确定威胁要素及对应的进程，从而，为进一步提高用户数据的安全性提供基础。
54.本技术又一实施例，与上述实施例基本相同，不同之处在于，本实施例的根据流量要素，确定进程是否为威胁进程(s103)，可以包括：
55.s103a、根据预设的威胁判断策略和流量要素，确定流量要素是否为威胁要素。
56.预设的威胁判断策略可以依据网络环境制定。如办公环境不涉及到境外的ip地址，这样，预设的威胁判断策略可为境外的ip地址为威胁要素，这样，可根据该策略，确定流
量要素中的ip地址，是否为威胁要素。
57.s103b、响应于流量要素为威胁要素，确定进程为威胁进程。
58.如果流量要素为威胁要素，则与流量要素对应的进程为威胁进程。
59.s103c、响应于流量要素不为威胁要素，确定进程不是威胁进程。
60.如果流量要素不为威胁要素，则与流量要素对应的进程不是威胁进程。
61.为了确定威胁的地理位置，以获取更多的、与威胁相关的信息，在一些例子中，威胁要素可以包括ip地址；所述方法还包括：
62.s105、将ip地址向云端发送，以使云端根据ip地址确定威胁的地理位置。
63.在一些例子中，在云端可存储大量的ip地址与地理位置的对应关系，通过这样的对应关系，可以确定威胁要素中的ip地址对应的地理位置。
64.本实施例中，将ip地址向云端发送，以使云端根据ip地址确定威胁的地理位置，不但能够获取更多的与威胁相关的信息，以便于相关人员确定是否对该ip地址进程处理，还可以节省本地的计算资源。
65.在又一些例子中，来源信息中包括至少两个统一资源定位符及至少两个统一资源定位符间的跳转顺序，所述方法还包括：
66.s106、将来源信息向云数据库发送，以使云数据库根据至少两个统一资源定位符间的跳转顺序，对至少两个资源定位符进行分类。
67.本实施例，根据至少两个统一资源定位符间的跳转顺序，对至少两个资源定位符进行分类，具体可将至少两个资源定位符确定为威胁类，进一步地，可以依据该分类，制定相应的处理策略。例如存在本实施例中的至少两个统一资源定位符及其跳转顺序即可认为存在威胁的可能，根据一样的判断，可对存在这样的操作行为进行拦截，进一步，提高用户数据的安全性。
68.下面以一具体实施例，对本技术的方案进行详细说明。
69.本实施例的网络威胁检测方法，可以包括：
70.步骤1、跟踪浏览器的网络访问行为，当检测到浏览器下载软件安装包，并且接到用户指令安装时，形成一个关于该安装包获取来源的日志。
71.步骤2、当该软件运行时，在操作系统内核层，监控网络连接情况和io数据包的发送情况。
72.软件运行时，对应的产生进程，可对进程的网络连接情况及产生的流量数据包进行监控。
73.步骤3、将进程和对应的流量数据包发送至应用层，在应用层调取相应的软件来进行判断，进程是否异常。
74.可通过预设的判断规则和流量数据包中的流量要素，对进程是否异常进行判断。
75.步骤4、如果进程异常，则调取步骤1中的日志，确定用户的浏览和点击url的顺序，从而确定恶意代码的来源。
76.将上述日志上传至云数据库，根据日志中的统一资源定位符(url)的跳转顺序，确定url的跳转必然性，以此对相关的url进行分类。
77.步骤5、向云端发送ip信息，使云端确定每个ip地址的地理位置。
78.步骤6、根据ip查询云端的数据库，将地理位置一并显示出来，这样，可以便于相关
人员确定是否根据该信息对相应的进程进行处理；也可以根据预设的地理位置判定规则，确定是否关闭相应的进程。
79.本实施例，由于获取通过浏览器下载的文件的来源信息，运行下载的文件并获取与进程对应的流量要素，根据流量要素，确定进程是否为威胁进程，在进程为威胁进程时，能够根据来源信息，确定威胁的来源，从而，可对威胁的来源采取相应的处置策略，从而，提高用户数据的安全性，为进一步提高用户数据的安全性，可以通过跟踪浏览器的网络访问行为，并记录网络访问行为，从而形成文件的来源信息，在操作系统的内核中，监控进程是否建立网络连接并获取建立连接的进程对应的流量要素，可以更加可靠地获取流量数据，为进一步提高用户数据的安全性提供基础，为了简化确定进程是否为威胁进程，可通过预设的威胁判断策略对流量要素是否为威胁要素进行判断，如果是，则对应的进程为威胁进程，为了获取更多的与威胁相关的信息，以便于相关人员确定是否对该ip地址进程处理，可将ip地址向云端发送，以使云端根据ip地址确定威胁的地理位置，为进一步提高用户数据的安全性，可根据至少两个统一资源定位符间的跳转顺序，对至少两个资源定位符进行分类，根据分类结果制定相应的处置策略。
80.本技术一实施例提供的网络威胁检测装置，包括：第一获取装置，用于获取通过浏览器下载的文件的来源信息；第二获取装置，用于运行所述文件，并获取与进程对应的流量要素；其中，所述进程为与所述文件对应的进程；第一确定模块，用于根据所述流量要素，确定所述进程是否为威胁进程；第二确定模块，用于响应于所述进程为威胁进程，根据所述来源信息，确定威胁的来源。，便于提高用户数据的安全性。
81.图3为本技术一实施例提供的网络威胁检测装置的结构示意图，如图3所示，本实施例的网络威胁检测装置，可以包括：第一获取模块11，用于获取通过浏览器下载的文件的来源信息；第二获取模块12，用于运行所述文件，并获取与进程对应的流量要素；其中，所述进程为与所述文件对应的进程；第一确定模块13，用于根据所述流量要素，确定所述进程是否为威胁进程；第二确定模块14，用于响应于所述进程为威胁进程，根据所述来源信息，确定威胁的来源。
82.本实施例的装置，可以用于执行图1所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。
83.本实施例的装置，由于获取通过浏览器下载的文件的来源信息，运行下载的文件并获取与进程对应的流量要素，根据流量要素，确定进程是否为威胁进程，在进程为威胁进程时，能够根据来源信息，确定威胁的来源，从而，可对威胁的来源采取相应的处置策略，从而，提高用户数据的安全性，避免因难以确定威胁的来源而导致用户数据安全性较低的问题。
84.作为一可选实施方式，所述第一获取模块，具体用于：跟踪浏览器的网络访问行为；其中，所述网络访问行为与通过所述浏览器下载所述文件对应；记录所述网络访问行为，形成所述文件的来源信息。
85.作为一可选实施方式，所述第二获取模块，具体用于：在操作系统的内核中，监控所述进程是否建立网络连接；响应于所述进程建立网络连接，则获取与所述进程对应的流量要素。
86.作为一可选实施方式，所述第一确定模块，具体用于：根据预设的威胁判断策略和
所述流量要素，确定所述流量要素是否为威胁要素；响应于所述流量要素为威胁要素，确定所述进程为威胁进程；响应于所述流量要素不为威胁要素，确定所述进程不是威胁进程。
87.作为一可选实施方式，所述威胁要素包括ip地址；所述装置还包括：第一发送模块，用于将所述ip地址向云端发送，以使所述云端根据所述ip地址确定威胁的地理位置。
88.作为一可选实施方式，所述来源信息中包括至少两个统一资源定位符及所述至少两个统一资源定位符间的跳转顺序，所述装置还包括：第二发送模块，用于将所述来源信息向云数据库发送，以使所述云数据库根据所述至少两个统一资源定位符间的跳转顺序，对所述至少两个资源定位符进行分类。
89.上述实施例的装置，可以用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。
90.图4为本技术一实施例提供的电子设备的结构示意图，如图4所示，可以包括：壳体61、处理器62、存储器63、电路板64和电源电路65，其中，电路板64安置在壳体61围成的空间内部，处理器62和存储器63设置在电路板64上；电源电路65，用于为上述电子设备的各个电路或器件供电；存储器63用于存储可执行程序代码；处理器62通过读取存储器63中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述实施例提供的任一种网络威胁检测方法，因此也能实现相应的有益技术效果，前文已经进行了详细说明，此处不再赘述。
91.上述电子设备以多种形式存在，包括但不限于：
92.(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iphone)、多媒体手机、功能性手机，以及低端手机等。
93.(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：pda、mid和umpc设备等，例如ipad。
94.(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器(例如ipod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。
95.(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
96.(5)其他具有数据交互功能的电子设备。
97.相应的，本技术的实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述实施例提供的任一种网络威胁检测，因此也能实现相应的技术效果，前文已经进行了详细说明，此处不再赘述。
98.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
99.本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。
100.尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
101.为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本技术时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
102.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，rom)或随机存储记忆体(random access memory，ram)等。
103.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。