网络威胁检测方法、装置、系统、电子设备及存储介质制造方法及图纸

本发明专利技术涉及一种网络威胁检测方法、装置、系统、电子设备及存储介质，属于网络安全领域。该方法包括：在对原始报文进行检测时，先将原始报文还原成传输文件，然后启动虚拟运行环境运行传输文件，得到包括传输文件运行过程中所触发的中间行为的运行信息，然后通过比对运行信息与网络威胁黑名单库，来确定与原始报文对应的传输文件在运行过程中是否存在引起网络威胁的中间行为，并以此来确定原始报文是否存在网络威胁，从而避免传统的静态检测无法检测出动态流量或者存在变种病毒的流量所导致的网络威胁。

【技术实现步骤摘要】
网络威胁检测方法、装置、系统、电子设备及存储介质
本申请属于网络安全领域，具体涉及一种网络威胁检测方法、装置、系统、电子设备及存储介质。
技术介绍
随着网络技术的快速发展，网络安全也越来越受到人们的重视。在现有技术中，存在多种检测网络威胁的方法，可以对大多数网络流量的安全性进行检测，从而避免网络攻击对网络安全造成威胁。具体的，现有技术中的网络威胁检测方法，一般为静态检测法，主要通过已知存在网络威胁的报文所包括的报文特征来建立报文特征黑名单库，然后将需要进行网络威胁检测的报文所包括的报文特征与报文特征黑名单库进行匹配，若匹配成功则说明报文存在网络威胁。然而，在实际情况中，若存在网络威胁的网络流量为动态流量或者存在变种病毒，通过现有的静态检测法则无法成功检测出该网络威胁，从而导致网络漏洞，影响网络安全。
技术实现思路
有鉴于此，本申请的目的在于提供一种网络威胁检测方法、装置、系统、电子设备及存储介质，通过将流量还原成原始文件，并对原始文件进行模拟运行，从而获取到运行信息，并根据运行信息来确定是否存在网络威胁，可以检测出动态流量或者存在变种病毒的流量中所存在的网络威胁。本申请的实施例是这样实现的：第一方面，本申请实施例提供一种网络威胁检测方法，所述方法包括：对从网络接口获取到的原始报文进行解析，得到报文信息，所述报文信息包括与所述原始报文对应的会话标识及报文内容；将具备相同会话标识的原始报文所对应的报文内容进行拼接，得到与所述会话标识对应的传输文件；启动虚拟运行环境运行所述传输文件，并记录运行所述传输文件过程中所产生的运行信息；根据所述运行信息及预先获取的网络威胁黑名单库，确定所述原始报文是否存在网络威胁。在本实施例中，通过比对运行信息与网络威胁黑名单库，来确定与原始报文对应的传输文件在运行过程中是否存在引起网络威胁的中间行为，并以此来确定原始报文是否存在网络威胁，从而避免传统的静态检测无法检测出动态流量或者存在变种病毒的流量所导致的网络威胁。结合第一方面实施例，在一种可能的实施方式中，在所述网络威胁黑名单库内包括多种用于表征存在网络威胁的事件，所述根据所述运行信息及预先建立的网络威胁黑名单库，确定所述原始报文是否存在网络威胁，包括：在确定所述运行信息所包括的至少一项内容与所述网络威胁黑名单库所包括的任一事件完全一致时，确定所述原始报文存在网络威胁。结合第一方面实施例，在一种可能的实施方式中，所述运行信息包括运行所述传输文件时所访问的文件信息、运行所述传输文件时的运行轨迹路径信息中的至少一项内容。结合第一方面实施例，在一种可能的实施方式中，所述报文信息还包括与所述原始报文对应的报文特征，在所述对从网络接口获取到的原始报文进行解析之后，所述方法还包括：将所述报文特征与预先保存的报文特征黑名单库进行匹配；在确定所述报文特征所包括的至少一项内容与预先获取的报文特征黑名单库所包括的任一报文特征一致时，确定所述原始报文存在网络威胁。在这种实施方式中，可以从静态检测的维度来对原始报文进行网络威胁检测，从而降低漏检的概率，提高检测的准确度。结合第一方面实施例，在一种可能的实施方式中，在所述将具备相同会话标识的原始报文所对应的报文内容进行拼接，得到与所述会话标识对应的传输文件之后，所述方法还包括：对所述传输文件所采用的传输协议进行分析，得到与所述传输文件对应的传输行为；根据所述传输行为，生成与所述会话标识相关联的行为审计日志，以便后续可以通过查阅行为审计日志，确定容易产生网络威胁的网络行为。结合第一方面实施例，在一种可能的实施方式中，所述方法还包括：当确定存在网络威胁时，生成与所述会话标识相关联的攻击告警信息；通过所述会话标识，将所述行为审计日志、所述攻击告警信息进行关联，便于后续根据关联的内容，分析出潜在的安全风险。结合第一方面实施例，在一种可能的实施方式中，启动虚拟运行环境运行所述传输文件，包括：启动虚拟运行环境运行所述传输文件中所包括的二进制子文件，从而避免浪费计算资源。结合第一方面实施例，在一种可能的实施方式中，在所述启动虚拟运行环境运行所述传输文件之前，所述方法还包括：确定所述传输文件已被解压，从而确保可以成功运行传输文件。第二方面，本申请实施例提供一种网络威胁检测装置，所述装置包括：解析模块、拼接模块、运行模块以及检测模块。解析模块，用于对从网络接口获取到的原始报文进行解析，得到报文信息，所述报文信息包括与所述原始报文对应的会话标识及报文内容；拼接模块，用于将具备相同会话标识的原始报文所对应的报文内容进行拼接，得到与所述会话标识对应的传输文件；运行模块，用于启动虚拟运行环境运行所述传输文件，并记录运行所述传输文件过程中所产生的运行信息；检测模块，用于根据所述运行信息及预先获取的网络威胁黑名单库，确定所述原始报文是否存在网络威胁。结合第二方面实施例，在一种可能的实施方式中，在所述网络威胁黑名单库内包括多种用于表征存在网络威胁的事件，所述检测模块，用于在确定所述运行信息所包括的至少一项内容与所述网络威胁黑名单库所包括的任一事件完全一致时，确定所述原始报文存在网络威胁。结合第二方面实施例，在一种可能的实施方式中，所述运行信息包括运行所述传输文件时所访问的文件信息、运行所述传输文件时的运行轨迹路径信息中的至少一项内容。结合第二方面实施例，在一种可能的实施方式中，所述报文信息还包括与所述原始报文对应的报文特征，所述检测模块，还用于将所述报文特征与预先保存的报文特征黑名单库进行匹配；在确定所述报文特征所包括的至少一项内容与预先获取的报文特征黑名单库所包括的任一报文特征一致时，确定所述原始报文存在网络威胁。结合第二方面实施例，在一种可能的实施方式中，所述装置还包括分析模块，用于对所述传输文件所采用的传输协议进行分析，得到与所述传输文件对应的传输行为；根据所述传输行为，生成与所述会话标识相关联的行为审计日志。结合第二方面实施例，在一种可能的实施方式中，所述装置还包括关联模块，用于当确定存在网络威胁时，生成与所述会话标识相关联的攻击告警信息；通过所述会话标识，将所述行为审计日志、所述攻击告警信息进行关联。结合第二方面实施例，在一种可能的实施方式中，所述运行模块，用于启动虚拟运行环境运行所述传输文件中所包括的二进制子文件。结合第二方面实施例，在一种可能的实施方式中，所述装置还包括确定模块，用于确定所述传输文件已被解压。第三方面，本申请实施例还提供一种电子设备，包括：存储器和处理器，所述存储器和所述处理器连接；所述存储器用于存储程序；所述处理器调用存储于所述存储器中的程序，以执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法。第四方面，本申请实施例还提供一种非易失性计算机可读取存储介质(以下简称存储介质)，其上存储有计算机程序，所述计算机程序被计算机运行时执行上述第一方面实施例和/或结合第一方面实施例的任一种可能本文档来自技高网...

【技术保护点】
1.一种网络威胁检测方法，其特征在于，所述方法包括：/n对从网络接口获取到的原始报文进行解析，得到报文信息，所述报文信息包括与所述原始报文对应的会话标识及报文内容；/n将具备相同会话标识的原始报文所对应的报文内容进行拼接，得到与所述会话标识对应的传输文件；/n启动虚拟运行环境运行所述传输文件，并记录运行所述传输文件过程中所产生的运行信息；/n根据所述运行信息及预先获取的网络威胁黑名单库，确定所述原始报文是否存在网络威胁。/n

【技术特征摘要】
1.一种网络威胁检测方法，其特征在于，所述方法包括：
对从网络接口获取到的原始报文进行解析，得到报文信息，所述报文信息包括与所述原始报文对应的会话标识及报文内容；
将具备相同会话标识的原始报文所对应的报文内容进行拼接，得到与所述会话标识对应的传输文件；
启动虚拟运行环境运行所述传输文件，并记录运行所述传输文件过程中所产生的运行信息；
根据所述运行信息及预先获取的网络威胁黑名单库，确定所述原始报文是否存在网络威胁。


2.根据权利要求1所述的方法，其特征在于，在所述网络威胁黑名单库内包括多种用于表征存在网络威胁的事件，所述根据所述运行信息及预先建立的网络威胁黑名单库，确定所述原始报文是否存在网络威胁，包括：
在确定所述运行信息所包括的至少一项内容与所述网络威胁黑名单库所包括的任一事件完全一致时，确定所述原始报文存在网络威胁。


3.根据权利要求1或2所述的方法，其特征在于，所述运行信息包括运行所述传输文件时所访问的文件信息、运行所述传输文件时的运行轨迹路径信息中的至少一项内容。


4.根据权利要求1或2所述的方法，其特征在于，所述报文信息还包括与所述原始报文对应的报文特征，在所述对从网络接口获取到的原始报文进行解析之后，所述方法还包括：
将所述报文特征与预先获取的报文特征黑名单库进行匹配；
在确定所述报文特征所包括的至少一项内容与预先获取的报文特征黑名单库所包括的任一报文特征一致时，确定所述原始报文存在网络威胁。


5.根据权利要求1所述的方法，其特征在于，在所述将具备相同会话标识的原始报文所对应的报文内容进行拼接，得到与所述会话标识对应的传输文件之后，所述方法还包括：
对所述传输文件所采用的传输协议进行分析，得到与所述传输文件对应的传输行为；
根据所述传输行为，生成与所述会话标识相关联的行为审计日志。


6.根据权利要求5所述的方法，其特征在于，所述方法还包括：
当确定存在网络威胁时，生成与所述会话标识相关联的攻击告警信息；
通过所述会话标识，将所述行为审计日志、所述攻击告警信息进行关联。


7.根据权利要求1所述的方法，其特征在于，启动虚拟运行环境运行所述传输文件，包括：
启动虚拟运行环境运行所述传输文件中所包括的二进制子文件。


8.根据权利要求1所述的方法，其特征在于，在所述启动虚拟运行环境运行所述传输文件之前，所述方法还包括：
确定所述传输文件已被解压。


9.一种网络威胁检测装置，其特征在于，所述装置包括：
解析模块，用于对从网络接口获取到的原始报文进行...

【专利技术属性】
技术研发人员：刘勇，
申请(专利权)人：北京天融信网络安全技术有限公司，北京天融信科技有限公司，北京天融信软件有限公司，
类型：发明
国别省市：北京;11