网络攻击防护方法、装置、电子设备及可读存储介质与流程

本技术涉及计算机，具体涉及一种网络攻击防护方法、装置、电子设备及可读存储介质。

背景技术：

1、随着网络技术的发展，出现了网络安全技术，网络安全技术主要是为了维护计算机通信网络的安全，在发现恶意进程发起网络攻击时，需要对恶意进程进行拦截、阻断，以实现网络安全防护。

2、然而，恶意进程为了避开安全检测，可能会分成多个恶意进程发起多段网络攻击，由于每个恶意进程是相互独立的，若未能成功拦截所有的恶意进程，则无法成功地阻断多段网络攻击，从而无法实现全面、精准的网络安全防护。

技术实现思路

1、本技术实施例提供一种网络攻击防护方法、装置、电子设备和存储介质，能够提升应用程序的分包效率，降低分包复杂度和分包所需的人力资源消耗。

2、本技术实施例第一方面提供一种网络攻击防护方法，所述方法包括：

3、获取目标终端中至少一个进程的当前进程信息，并在所述当前进程信息中识别出针对所述进程的进程创建操作和进程退出操作对应的操作记录；

4、基于所述操作记录，构建所述目标终端对应的进程树，所述进程树包括多个节点，每一节点对应一个进程；

5、获取所述进程的关联网络地址，并将所述关联网络地址添加至对应的节点，得到目标进程树，所述关联网络地址包括所述进程发起网络通信时连接的网络地址；

6、当在所述进程中检测到风险进程时，在所述关联网络地址中查询所述风险进程对应的目标关联网络地址；

7、若未查询到所述目标关联网络地址，则在所述目标进程树中识别出所述风险进程对应的主进程，并对所述主进程对应的关联网络地址进行拦截。

8、相应地，本技术实施例第二方面提供一种网络攻击防护装置，所述装置包括：

9、操作记录识别单元，用于获取目标终端中至少一个进程的当前进程信息，并在所述当前进程信息中识别出针对所述进程的进程创建操作和进程退出操作对应的操作记录；

10、进程树构建单元，用于基于所述操作记录，构建所述目标终端对应的进程树，所述进程树包括多个节点，每一节点对应一个进程；

11、目标进程树构建单元，用于获取所述进程的关联网络地址，并将所述关联网络地址添加至对应的节点，得到目标进程树，所述关联网络地址包括所述进程发起网络通信时连接的网络地址；

12、地址查询单元，用于当在所述进程中检测到风险进程时，在所述关联网络地址中查询所述风险进程对应的目标关联网络地址；

13、地址拦截单元，用于若未查询到所述目标关联网络地址，则在所述目标进程树中识别出所述风险进程对应的主进程，并对所述主进程对应的关联网络地址进行拦截。

14、可选地，所述进程树构建单元，包括：

15、预设节点构建子单元，用于基于所述操作记录，构建包含多个节点的预设节点集合；

16、关联关系确定子单元，用于获取所述预设节点的进程与每个候选节点的进程的从属关系，确定所述多个节点之间的关联关系，所述候选节点为所述节点之外的其他节点；

17、进程树构建子单元，用于基于所述关联关系和所述多个节点，构建所述进程树。

18、可选地，所述预设节点构建子单元，包括：

19、预设节点更新子单元，用于在所述操作记录中识别出针对所述进程的目标操作，基于所述目标操作的操作类型，对所述预设节点集合进行更新；

20、目标节点集合确定子单元，用于返回执行在所述操作记录中识别出针对所述进程的目标操作的步骤，直至所述操作记录中的操作均为所述目标操作时，得到目标节点集合。

21、可选地，所述预设节点更新子单元还具体用于：

22、当所述目标操作为创建操作时，在所述预设节点集合创建所述进程对应的节点；

23、当所述目标操作为退出操作时，删除所述进程对应的节点。

24、可选地，所述目标进程树构建单元还具体用于：

25、当检测到所述进程的数据包发送操作，识别所述数据包发送操作的接收方；

26、识别所述接收方的网络地址，并将所述网络地址作为所述进程的关联网络地址。

27、可选地，所述目标进程树构建单元还具体用于：

28、建立所述进程与所述关联网络地址之间的关联关系；

29、基于关联关系，将所述关联网络地址的信息添加至所述进程对应的节点，对所述进程树进行更新，得到所述目标进程树。

30、可选地，所述地址拦截单元还具体用于：

31、在所述目标进程树中识别与所述风险进程对应的风险节点；

32、获取所述风险节点与连接节点的节点从属关系，所述连接节点为在所述目标进程树中与所述风险节点相连的节点；

33、根据所述节点从属关系，确定所述风险节点的主节点，将所述主节点对应的进程确定为所述主进程。

34、可选地，所述地址拦截单元，包括：

35、信息获取子单元，用于获取所述主进程的信息；

36、关联网络地址识别子单元，用于根据所述主进程的信息，在所述目标进程树中识别所述主进程的关联网络地址；

37、拦截配置文件构建子单元，用于构建关联网络地址对应的拦截配置文件，基于所述拦截配置文件对所述关联网络地址的目标数据包进行拦截。

38、可选地，所述拦截配置文件构建子单元还具体用于：

39、将所述拦截规则信息添加到所述拦截配置文件中；

40、加载所述拦截配置文件，以加载所述拦截规则信息；

41、当识别到所述目标数据包，对所述目标数据包进行拦截并丢弃。

42、可选地，所述装置还包括：

43、风险评估结果检测单元，用于检测所述主进程的风险评估结果；

44、拦截解除单元，用于当所述风险评估结果指示所述主进程不存在风险时，更新并重新加载所述拦截配置文件，放行所述主进程发送的数据包，以解除对所述主进程的关联网络地址的拦截操作。

45、可选地，所述地址查询单元还具体用于：

46、在所述目标进程树中查询与所述风险进程对应的风险节点；

47、识别所述风险节点对应的关联网络地址，得到所述目标关联网络地址。

48、可选地，所述装置还包括：

49、地址拦截第二单元，用于当所述风险进程存在所述目标关联网络地址，对所述风险进程的所述目标关联网络地址进行拦截。

50、可选地，所述装置还包括：

51、地址追查函数获取单元，用于获取网络地址追查函数；

52、触发逻辑获取单元，用于获取追查所述关联网络地址的触发逻辑；

53、触发逻辑添加单元，用于在所述网络地址追查函数中添加所述触发逻辑，得到目标网络地址追查函数；

54、函数调用单元，用于当检测到所述进程发起网络通信时，调用所述目标网络地址追查函数追查所述进程的关联网络地址。

55、本技术实施例第三方面提供的一种电子设备，包括：

56、处理器和存储介质；

57、所述处理器，用于实现各个指令；

58、所述存储介质用于储存多条指令，所述指令用于由处理器加载并执行以上所述的网络攻击防护方法。

59、本技术实施例第四方面还提供一种计算机可读存储介质，所述计算机可读存储介质存储有多条指令，所述指令适于处理器进行加载，以执行本技术实施例所提供的任一种网络攻击防护方法中的步骤。

60、本技术实施例第五方面还提供一种计算机程序产品，包括计算机程序或指令，所述计算机程序或指令被处理器执行时实现本技术实施例所提供的任一种网络攻击防护方法。

61、由此可知，应用本技术实施例，可以获取目标终端中至少一个进程的当前进程信息，并在当前进程信息中识别出进程对应的操作记录，使得可以通过进程的操作记录进一步地识别出进程的创建操作和退出操作，并基于进程的创建操作和退出操作来准确地构建进程树。并且，本技术实施例的方法还能够在进程产生网络活动时，准确地获取与该进程进行网络通信的关联网络地址，并将该关联网络地址记录在进程树的对应节点中，以构建具备进程节点和对应关联网络地址的目标进程树。

62、当检测到风险进程时，便可以在目标进程树中识别出该风险进程对应的主进程，以及该主进程的关联网络地址。由于多段网络攻击的多个进程通常寄生在同一个主进程中，因此通过切断该主进程的关联网络地址，能够全面、精确地阻断多段网络攻击，以提升网络安全防护的效果。