网络威胁处理方法和装置制造方法及图纸

技术编号:15749854 阅读:169 留言:0更新日期:2017-07-03 15:27
本发明专利技术公开了一种网络威胁处理方法和装置,其中该方法包括:侦听网络设备的网络访问行为,并通过零拷贝技术获取网络数据报文;对获取到的网络数据报文进行全流量存储得到全流量的网络数据报文;对存储的网络数据报文进行还原处理;对还原处理后的网络数据报文的文件类型进行分析,并得到可移植执行体文件和/或非可移植执行体文件,对于PE文件以及非PE文件分别进行静态检测、半动态检测以及动态检测,从而确定是否具有恶意行为。通过本发明专利技术能够及时发现并处理新型网络威胁,包括已知攻击行为以及未知攻击行为,达到保证网络免受不安全的威胁的有益效果。

【技术实现步骤摘要】
网络威胁处理方法和装置
本专利技术涉及互联网应用
,尤其涉及一种网络威胁处理方法和装置。
技术介绍
随着信息社会的发展,网络信息安全越来越深入人们的生活。信息泄露、数据丢失、用户隐私泄露等信息安全事故频繁发生造成了重大的经济损失,并对社会产生了重大不良影响。甚至,信息安全事故会危及国家安全。随着科技的发展,网络威胁已经有了新的特点,传统网络威胁检测是通过签名特征来进行区别。新型网络威胁逐渐实现了从恶作剧向商业利益的属性转变、从个人向团伙组织的发起人转变,以及从普通病毒木马向高级持续性攻击(AdvancedPersistentThreat,以下简称APT)的技术转变。这些转变均使得网络信息安全遭受更大的威胁。新型网络威胁不仅手段隐蔽,并且现有技术中的安全防御体系无法掌握其漏洞以及技术。因此,传统的安全防御体系无法采取相应技术手段解决新型网络威胁,导致人们生产生活的信息受到了更为严峻的安全威胁,而这些安全威胁一旦真实发生,对经济、社会甚至国家安全会造成难以估计的毁灭性影响。因此,现有技术对于新兴的网络威胁无法做到及时有效发现。
技术实现思路
本专利技术的主要目的在于提供一种网络威胁处理方法和装置。根据本专利技术实施例提供了一种网络威胁处理方法,包括:侦听网络设备的网络访问行为,并通过零拷贝技术获取网络数据报文;对获取到的网络数据报文进行全流量存储得到全流量的网络数据报文;对存储的网络数据报文进行还原处理;对还原处理后的网络数据报文的文件类型进行分析,并得到可移植执行体文件和/或非可移植执行体文件,对于PE文件以及非PE文件分别进行静态检测、半动态检测以及动态检测,从而确定是否具有恶意行为。根据本专利技术实施例还提供了一种网络威胁处理装置,包括:侦听模块,配置为侦听网络设备的网络访问行为,并通过零拷贝技术获取网络数据报文;全流量存储模块,配置为对获取到的网络数据报文进行全流量存储得到全流量的网络数据报文;还原处理模块,配置为对存储的网络数据报文进行还原处理;检测模块,配置为对还原处理后的网络数据报文的文件类型进行分析,并得到可移植执行体文件和/或非可移植执行体文件,对于PE文件以及非PE文件分别进行静态检测、半动态检测以及动态检测,而确定是否具有恶意行为。根据本专利技术的技术方案,通过实时侦听网络设备的网络访问行为,并获取网络数据报文能够动态发现未知攻击的漏洞攻击以及未知攻击的隐秘信道等信息,并且能够快速检测未知攻击。另外,本专利技术实施例对获取的网络数据报文进行存储,形成大数据级别的历史数据,并对大数据进行分析挖掘,进而能够对高级、隐蔽的攻击进行检测,是解决对由于现有技术的限制而漏检的攻击进行补查的有效手段。综上,采用本专利技术实施例提供的网络威胁处理方法能够及时发现并处理新型网络威胁,包括已知攻击行为以及未知攻击行为,达到保证人们生产生活甚至国家安全不受网络信息不安全的威胁的有益效果。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了根据本专利技术一个实施例的网络威胁处理方法的处理流程图;图2示出了根据本专利技术一个实施例的本地检测引擎与云检测引擎组成“天眼系统”的结构框图;图3示出根据本专利技术一个优选实施例的网络威胁处理方法的处理流程图;图4示出了根据本专利技术一个实施例的实时分析模块的处理流程图;图5示出了根据本专利技术一个实施例的网络威胁处理装置的结构框图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。相关技术中提及,新型网络威胁不仅手段隐蔽,并且现有技术中的安全防御体系无法掌握其漏洞以及技术。因此,传统的安全防御体系无法采取相应技术手段解决新型网络威胁,导致人们生产生活的信息受到了更为严峻的安全威胁,而这些安全威胁一旦真实发生,对经济、社会甚至国家安全会造成难以估计的毁灭性影响。为解决上述技术问题,本专利技术实施例提出了一种网络威胁处理方法。图1示出了根据本专利技术一个实施例的网络威胁处理方法的处理流程图。参见图1,该流程至少包括步骤S102至步骤S106。步骤S102,侦听网络设备的网络访问行为,并通过零拷贝技术获取网络数据报文;步骤S104,对获取到的网络数据报文进行全流量存储得到全流量的网络数据报文;步骤S106,对存储的网络数据报文进行还原处理;步骤S108,对还原处理后的网络数据报文的文件类型进行分析,并得到可移植执行体文件和/或非可移植执行体文件,对于PE文件以及非PE文件分别进行静态检测、半动态检测以及动态检测,从而确定是否具有恶意行为。依据本专利技术实施例提供的网络威胁处理方法能够侦听网络设备的网络访问行为,获取网络数据报文,并通过对网络数据报文进行分析提取元数据,根据对元数据进行检测确定已知或者未知的攻击行为,解决现有技术中无法掌握新型网络威胁(包括已知攻击以及未知攻击)的漏洞及技术,进而无法采取相应技术手段解决新型网络威胁的问题。本专利技术实施例提供的网络威胁处理方法通过实时侦听网络设备的网络访问行为,并获取网络数据报文能够动态发现未知攻击的漏洞攻击以及未知攻击的隐秘信道等信息,并且能够快速检测未知攻击。另外,本专利技术实施例对获取的网络数据报文进行存储,形成大数据级别的历史数据,并对大数据进行分析挖掘,进而能够对高级、隐蔽的攻击进行检测,是解决对由于现有技术的限制而漏检的攻击进行补查的有效手段。综上,采用本专利技术实施例提供的网络威胁处理方法能够及时发现并处理新型网络威胁,包括已知攻击行为以及未知攻击行为,达到保证人们生产生活甚至国家安全不受网络信息不安全的威胁的有益效果。上文提及,本专利技术实施例能够检测并处理网络的攻击行为。另外,如图2所示,本专利技术实施例能够运用于本地检测引擎220,并结合现有技术中的云检测引擎230组成一个“天眼系统”(其中,“天眼”仅为系统名称,对本地检测引擎以及云检测引擎组成的系统的功能、属性以及作用等方面均不构成任何影响),对网络设备210中的网络威胁(包括网络攻击行为等)进行检测处理,做到对网络威胁“天网恢恢疏而不漏”,更加全面、广泛以及具体的处理网络威胁。现以运用于本地检测引擎220的网络威胁处理方法为例,对本专利技术实施例提供的网络威胁处理方法进行介绍。如图3所示的根据本专利技术一个优选实施例的网络威胁处理方法的处理流程图,包括以下步骤:步骤S302,侦听网络设备的网络访问行为。步骤S304,在侦听的过程中,实时执行获取网络数据报文。本专利技术实施例中,侦听网络设备的网络访问行为能够对网络设备的网络访问行为进行实时监测,保证及时获取网络设备的网络访问行为。进一步,能够保证任何攻击行为发生之前,本专利技术实施例能够及时检测到攻击行为并进行合理有效处理,保证网络安全。因此,本专利技术实施例在整个网络威胁处理流程中对网络设备的网络访问行为进行侦听,并实时执行步骤S304,获取网络数据报文。在本专利技术实施例中,本文档来自技高网...
网络威胁处理方法和装置

【技术保护点】
一种网络威胁处理方法,包括:侦听网络设备的网络访问行为,并通过零拷贝技术获取网络数据报文;对获取到的网络数据报文进行全流量存储得到全流量的网络数据报文;对存储的网络数据报文进行还原处理;对还原处理后的网络数据报文的文件类型进行分析,并得到可移植执行体文件和/或非可移植执行体文件,对于PE文件以及非PE文件分别进行静态检测、半动态检测以及动态检测,从而确定是否具有恶意行为。

【技术特征摘要】
1.一种网络威胁处理方法,包括:侦听网络设备的网络访问行为,并通过零拷贝技术获取网络数据报文;对获取到的网络数据报文进行全流量存储得到全流量的网络数据报文;对存储的网络数据报文进行还原处理;对还原处理后的网络数据报文的文件类型进行分析,并得到可移植执行体文件和/或非可移植执行体文件,对于PE文件以及非PE文件分别进行静态检测、半动态检测以及动态检测,从而确定是否具有恶意行为。2.根据权利要求1所述的方法,其中,所述通过零拷贝技术获取网络数据报文包括:将数据报文缓存至先进先出队列中,其中根据系统的CPU数量配置所述先进先出队列;基于直接内存访问技术,将先进先出队列中的数据报文传输至预配置的循环缓存区,并获取所述循环缓存区中的数据报文。3.根据权利要求1所述的方法,其中,还包括:基于深度包检测技术对应用层协议的网络数据报文进行检测,以消除误报;其中,所述应用层协议至少包括:HTTP协议、SMTP协议、PoP3协议。4.根据权利要求1所述的方法,其中,所述对存储的网络数据报文进行还原处理,包括:通过多线程下载所述网络数据报文的多个数据块,分别存储所述数据块的数据内容和块信息;读取所述数据内容和块信息并拼接为所述网络数据报文。5.根据权利要求1所述的方法,其中,还包括:对存储的网络数据报文进行分类,对于文件类数据报文,将其还原为文件,并对还原的文件选择相应的策略进行攻击检测,基于网络异常行为检测原理,检测出攻击行为;所述基于网络异常行为检测原理,检测出攻击行为,包括:提取所述网络数据报文的网络行为信息;对所述网络行为信息进行多维度网络行为统计;依据统计结果,利用决策树分类规则建立网络异常行为模型;使用所述网络异常行为模型确定出攻击行为。6.一种网络威胁处理装置,...

【专利技术属性】
技术研发人员:张聪张卓
申请(专利权)人:北京奇虎科技有限公司奇智软件北京有限公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1