本申请实施例提供一种网络威胁处理方法及装置,涉及网络安全技术领域,该网络威胁处理方法包括:当在目标主机中检测到网络威胁时,获取网络威胁的威胁信息;再判断是否能够根据预设的清理修复策略库获取到与威胁信息相匹配的目标清理修复策略;如果是,则获取目标清理修复策略;最后将目标清理修复策略下发至目标主机,以使目标主机根据目标清理修复策略对网络威胁进行自动清理和修复,能够对各种网络威胁进行处理,不限于木马威胁,适用性好,从而实现全面有效的网络安全防护。从而实现全面有效的网络安全防护。从而实现全面有效的网络安全防护。
【技术实现步骤摘要】
一种网络威胁处理方法及装置
[0001]本申请涉及网络安全
,具体而言,涉及一种网络威胁处理方法及装置。
技术介绍
[0002]随着互联网的不断发展,网络安全也越来越受到重视。攻击者通过网络威胁软件进行网络攻击,在将网络威胁软件植入到受害系统之后,会通过各种方式进行驻留,以期持久控制受害系统。现有的网络威胁处理方法,通常先对检测到的威胁样本进行检测,当检测到木马文件时,对木马文件进行隔离或删除。然而在实践中发现,现有的网络威胁不仅仅是木马威胁,还存在其他的恶意网络威胁,现有技术只能对木马威胁进行隔离或删除处理,无法对除木马威胁意外的恶意网络威胁进行应对处理。可见,现有方法只能对木马文件进行处理,适用性差,无法实现全面有效的网络安全防护。
技术实现思路
[0003]本申请实施例的目的在于提供一种网络威胁处理方法及装置,能够对各种网络威胁进行处理,不限于木马威胁,适用性好,从而实现全面有效的网络安全防护。
[0004]本申请实施例第一方面提供了一种网络威胁处理方法,包括:当在目标主机中检测到网络威胁时,获取所述网络威胁的威胁信息;判断是否能够根据预设的清理修复策略库获取到与所述威胁信息相匹配的目标清理修复策略;如果是,则获取所述目标清理修复策略;将所述目标清理修复策略下发至所述目标主机,以使所述目标主机根据所述目标清理修复策略对所述网络威胁进行自动清理和修复。
[0005]在上述实现过程中,当在目标主机中检测到网络威胁时,获取网络威胁的威胁信息;再判断是否能够根据预设的清理修复策略库获取到与威胁信息相匹配的目标清理修复策略;如果是,则获取目标清理修复策略;最后将目标清理修复策略下发至目标主机,以使目标主机根据目标清理修复策略对网络威胁进行自动清理和修复,能够对各种网络威胁进行处理,不限于木马威胁,适用性好,从而实现全面有效的网络安全防护。
[0006]进一步地,在所述获取所述网络威胁的威胁信息之前,所述方法还包括:获取白名单程序、恶意软件以及所述恶意软件的恶意软件信息;动态运行所述白名单程序,得到运行痕迹白名单库;通过预先部署的沙箱运行所述恶意软件,得到恶意软件运行痕迹;根据所述恶意软件运行痕迹和所述运行痕迹白名单库,生成与所述恶意软件信息相匹配的清理修复策略;根据与所述恶意软件信息相匹配的清理修复策略构建清理修复策略库。
[0007]在上述实现过程中,能够自动将提取的运行痕迹转化为清理修复策略库。
[0008]进一步地,所述清理修复策略包括清理策略和修复策略,其中,所述清理策略至少
包括清理与所述清理修复策略对应的恶意软件在主机上的恶意行为数据集合的策略,所述修复策略至少包括还原被修改的系统设置的策略。
[0009]进一步地,所述恶意软件运行痕迹包括运行进程相关数据、互斥体数、文件操作数据、注册表操作数据、服务操作数据、计划任务数据、更改的设置数据。
[0010]进一步地,所述方法还包括:当判断出无法获取到与所述威胁信息相匹配的目标清理修复策略时,获取所述网络威胁对应的威胁样本;通过预先部署的沙箱运行所述威胁样本,得到威胁样本运行痕迹;对所述威胁样本运行痕迹进行分析,得到新的清理修复策略;将所述新的清理修复策略下发至所述目标主机,以使所述目标主机根据所述新的清理修复策略对所述网络威胁进行自动清理和修复。
[0011]进一步地,所述方法还包括:根据所述新的清理修复策略和所述威胁信息对所述清理修复策略库进行更新。
[0012]在上述实施方式中,能够实现对清理修复策略库进行丰富更新,实现对新发现木马的自动清理。
[0013]本申请实施例第二方面提供了一种网络威胁处理装置,所述网络威胁处理装置包括:第一获取单元,用于当在目标主机中检测到网络威胁时,获取所述网络威胁的威胁信息;判断单元,用于判断是否能够根据预设的清理修复策略库获取到与所述威胁信息相匹配的目标清理修复策略;第二获取单元,用于当判断出能够获取到所述目标清理修复策略时,则获取所述目标清理修复策略;策略下发单元,用于将所述目标清理修复策略下发至所述目标主机,以使所述目标主机根据所述目标清理修复策略对所述网络威胁进行自动清理和修复。
[0014]在上述实现过程中,第一获取单元在目标主机中检测到网络威胁时,获取网络威胁的威胁信息;判断单元再判断是否能够根据预设的清理修复策略库获取到与威胁信息相匹配的目标清理修复策略;第二获取单元在判断单元判断出能够获取到与威胁信息相匹配的目标清理修复策略时,则获取该目标清理修复策略;最后策略下发单元将目标清理修复策略下发至目标主机,以使目标主机根据目标清理修复策略对网络威胁进行自动清理和修复,从而能够对各种网络威胁进行处理,不限于木马威胁,适用性好,从而实现全面有效的网络安全防护。
[0015]进一步地,所述网络威胁处理装置还包括:第三获取单元,用于在所述获取所述网络威胁的威胁信息之前,获取白名单程序、恶意软件以及所述恶意软件的恶意软件信息;运行单元,用于动态运行所述白名单程序,得到运行痕迹白名单库;以及通过预先部署的沙箱运行所述恶意软件,得到恶意软件运行痕迹;策略生成单元,用于根据所述恶意软件运行痕迹和所述运行痕迹白名单库,生成与所述恶意软件信息相匹配的清理修复策略;
构建单元,用于根据与所述恶意软件信息相匹配的清理修复策略构建清理修复策略库。
[0016]本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的网络威胁处理方法。
[0017]本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的网络威胁处理方法。
附图说明
[0018]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0019]图1为本申请实施例提供的一种网络威胁处理方法的流程示意图;图2为本申请实施例提供的另一种网络威胁处理方法的流程示意图;图3为本申请实施例提供的一种网络威胁处理装置的结构示意图;图4为本申请实施例提供的另一种网络威胁处理装置的结构示意图;图5为本申请实施例提供的一种网络威胁处理方法的整体流程图;图6是本申请实施例提供的一种运行痕迹白名单库的获取流程图;图7为本申请实施例提供的一种清理修复策略库的构建流程示意图。
具体实施方式
[0020]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
[0021]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络威胁处理方法,其特征在于,包括:当在目标主机中检测到网络威胁时,获取所述网络威胁的威胁信息;判断是否能够根据预设的清理修复策略库获取到与所述威胁信息相匹配的目标清理修复策略;如果是,则获取所述目标清理修复策略;将所述目标清理修复策略下发至所述目标主机,以使所述目标主机根据所述目标清理修复策略对所述网络威胁进行自动清理和修复。2.根据权利要求1所述的网络威胁处理方法,其特征在于,在所述获取所述网络威胁的威胁信息之前,所述方法还包括:获取白名单程序、恶意软件以及所述恶意软件的恶意软件信息;动态运行所述白名单程序,得到运行痕迹白名单库;通过预先部署的沙箱运行所述恶意软件,得到恶意软件运行痕迹;根据所述恶意软件运行痕迹和所述运行痕迹白名单库,生成与所述恶意软件信息相匹配的清理修复策略;根据与所述恶意软件信息相匹配的清理修复策略构建清理修复策略库。3.根据权利要求2所述的网络威胁处理方法,其特征在于,所述清理修复策略包括清理策略和修复策略,其中,所述清理策略至少包括清理与所述清理修复策略对应的恶意软件在主机上的恶意行为数据集合的策略,所述修复策略至少包括还原被修改的系统设置的策略。4.根据权利要求2所述的网络威胁处理方法,其特征在于,所述恶意软件运行痕迹包括运行进程相关数据、互斥体数、文件操作数据、注册表操作数据、服务操作数据、计划任务数据、更改的设置数据。5.根据权利要求1所述的网络威胁处理方法,其特征在于,所述方法还包括:当判断出无法获取到与所述威胁信息相匹配的目标清理修复策略时,获取所述网络威胁对应的威胁样本;通过预先部署的沙箱运行所述威胁样本,得到威胁样本运行痕迹;对所述威胁样本运行痕迹进行分析,得到新的清理修复策略;将所述新的清理修复策略下发至所述目标主机,以使所述目标主机根据所述新的清...
【专利技术属性】
技术研发人员:康吉金,曹剑锐,樊兴华,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。