技术特征:
1.一种网络威胁检测方法,其特征在于,包括:获取通过浏览器下载的文件的来源信息;运行所述文件,并获取与进程对应的流量要素;其中,所述进程为与所述文件对应的进程;根据所述流量要素,确定所述进程是否为威胁进程;响应于所述进程为威胁进程,根据所述来源信息,确定威胁的来源。2.根据权利要求1所述的方法,其特征在于,所述获取通过浏览器下载的文件的来源信息,包括:跟踪浏览器的网络访问行为;其中,所述网络访问行为与通过所述浏览器下载所述文件对应;记录所述网络访问行为,形成所述文件的来源信息。3.根据权利要求1所述的方法,其特征在于,所述获取与所述进程对应的流量要素,包括:在操作系统的内核中,监控所述进程是否建立网络连接;响应于所述进程建立网络连接,则获取与所述进程对应的流量要素。4.根据权利要求1所述的方法,其特征在于,所述根据所述流量要素,确定所述进程是否为威胁进程,包括:根据预设的威胁判断策略和所述流量要素,确定所述流量要素是否为威胁要素;响应于所述流量要素为威胁要素,确定所述进程为威胁进程;响应于所述流量要素不为威胁要素,确定所述进程不是威胁进程。5.根据权利要求1所述的方法,其特征在于,所述威胁要素包括ip地址;所述方法还包括:将所述ip地址向云端发送,以使所述云端根据所述ip地址确定威胁的地理位置。6.根据权利要求1所述的方法,其特征在于,所述来源信息中包括至少两个统一资源定位符及所述至少两个统一资源定位符间的跳转顺序,所述方法还包括:将所述来源信息向云数据库发送,以使所述云数据库根据所述至少两个统一资源定位符间的跳转顺序,对所述至少两个资源定位符进行分类。7.一种网络威胁检测装置,其特征在于,包括:第一获取模块,用于获取通过浏览器下载的文件的来源信息;第二获取模块,用于运行所述文件,并获取与进程对应的流量要素;其中,所述进程为与所述文件对应的进程;第一确定模块,用于根据所述流量要素,确定所述进程是否为威胁进程;第二确定模块,用于响应于所述进程为威胁进程,根据所述来源信息,确定威胁的来源。8.根据权利要求7所述的装置,其特征在于,所述第一获取模块,具体用于:跟踪浏览器的网络访问行为;其中,所述网络访问行为与通过所述浏览器下载所述文件对应;记录所述网络访问行为,形成所述文件的来源信息。9.根据权利要求7所述的装置,其特征在于,所述第二获取模块,具体用于:
在操作系统的内核中,监控所述进程是否建立网络连接;响应于所述进程建立网络连接,则获取与所述进程对应的流量要素。10.根据权利要求7所述的装置,其特征在于,所述第一确定模块,具体用于:根据预设的威胁判断策略和所述流量要素,确定所述流量要素是否为威胁要素;响应于所述流量要素为威胁要素,确定所述进程为威胁进程;响应于所述流量要素不为威胁要素,确定所述进程不是威胁进程。11.根据权利要求7所述的装置,其特征在于,所述威胁要素包括ip地址;所述装置还包括:第一发送模块,用于将所述ip地址向云端发送,以使所述云端根据所述ip地址确定威胁的地理位置。12.根据权利要求7所述的装置,其特征在于,所述来源信息中包括至少两个统一资源定位符及所述至少两个统一资源定位符间的跳转顺序,所述装置还包括:第二发送模块,用于将所述来源信息向云数据库发送,以使所述云数据库根据所述至少两个统一资源定位符间的跳转顺序,对所述至少两个资源定位符进行分类。13.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1-6任一项所述的网络威胁检测的方法。14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1-6任一项所述的网络威胁检测的方法。
技术总结
本申请的实施例公开了一种网络威胁检测方法、装置、电子设备及可读存储介质,涉及网络安全技术领域,为便于提高用户数据的安全性而发明。所述方法,包括:获取通过浏览器下载的文件的来源信息;运行所述文件,并获取与进程对应的流量要素;其中,所述进程为与所述文件对应的进程;根据所述流量要素,确定所述进程是否为威胁进程;响应于所述进程为威胁进程,根据所述来源信息,确定威胁的来源。本申请适用于确定威胁来源。于确定威胁来源。于确定威胁来源。
技术研发人员:孙鹏 肖新光
受保护的技术使用者:北京安天网络安全技术有限公司
技术研发日:2021.12.20
技术公布日:2022/4/5