[发明专利]网络异常检测的方法和装置

权利要求书

1.一种网络异常检测的方法，其特征在于，包括：

获取多个检测项，其中，所述多个检测项包括浏览器的动态链接库文件，且所述多个检测项还包括网络连接状态信息、网络配置信息、浏览器配置信息中的一种或多种；

分别提取所述多个检测项的特征信息；以及

根据所述多个检测项分别对应的特征信息对所述多个检测项进行检测以获取至少一个异常项，当所述检测项为所述浏览器的动态链接库文件时，所述特征信息为文件特征和签名信息，所述根据所述多个检测项分别对应的特征信息对所述多个检测项进行检测以获取至少一个异常项，包括：

根据所述文件特征和签名信息对所述浏览器的动态链接库文件进行存在性验证、完整性验证和安全性验证，其中，如果所述浏览器的动态链接库文件的签名信息为无效数字签名，则根据所述动态链接库文件的行为特征查询行为特征库，如果所述动态链接库文件的行为特征为安全行为特征，则所述动态链接库文件通过安全性验证；

如果所述浏览器的动态链接库文件未通过所述存在性验证、完整性验证和安全性验证中的至少一项，则所述浏览器的动态链接库文件为异常项；

根据所述异常项对应的修复策略对所述异常项进行修复，包括：当浏览器的动态链接库文件异常时，获取浏览器的版本信息，检测系统备份文件中是否有与所述版本信息匹配的动态链接库文件，若有，则用其替换异常项对应的浏览器的动态链接库文件，否则从服务器下载对应版本的动态链接库文件进行修复，修复完成后调用注册程序注册修复后的动态链接库文件。

2.如权利要求1所述的方法，其特征在于，当所述检测项为所述网络配置信息时，所述特征信息为本地域名解析服务器DNS地址，

所述根据所述多个检测项分别对应的特征信息对所述多个检测项进行检测以获取至少一个异常项，包括：

判断所述本地DNS地址是否在黑名单中；

如果在所述黑名单中，则所述本地DNS地址为异常项。

3.如权利要求2所述的方法，其特征在于，所述根据所述异常项对应的修复策略对所述异常项进行修复，包括：

清除所述本地DNS地址，并自动分配新的DNS地址；或

将所述本地DNS地址修改为公用DNS地址。

4.如权利要求1所述的方法，其特征在于，当所述检测项为所述网络配置信息时，所 述特征信息为LSP分层服务提供商完整性信息，

所述根据所述多个检测项分别对应的特征信息对所述多个检测项进行检测以获取至少一个异常项，包括：

根据所述LSP完整性信息判断LSP链中是否存在断链；

如果存在，则所述LSP链为异常项。

5.如权利要求4所述的方法，其特征在于，所述根据所述异常项对应的修复策略对所述异常项进行修复，包括：

将所述断链对应的文件信息从所述LSP链中移除；

如果移除失败，则对所述LSP链进行初始化。

6.如权利要求1所述的方法，其特征在于，当所述检测项为所述网络配置信息时，所述特征信息为网络连接相关文件和/或注册表的访问权限，

所述根据所述多个检测项分别对应的特征信息对所述多个检测项进行检测以获取至少一个异常项，包括：

根据所述访问权限获取访问权限高于预设权限阈值的网络连接相关文件和/或注册表，并将所述访问权限高于预设权限阈值的网络连接相关文件和/或注册表作为所述异常项。

7.如权利要求6所述的方法，其特征在于，所述根据所述异常项对应的修复策略对所述异常项进行修复，包括：

修改所述访问权限高于预设权限阈值的网络连接相关文件和/或注册表的访问权限，以使所述异常项的访问权限低于所述预设权限阈值。

8.如权利要求1所述的方法，其特征在于，当所述检测项为所述浏览器配置信息时，所述特征信息为超文本传输协议HTTP的指向文件信息，

所述根据所述多个检测项分别对应的特征信息对所述多个检测项进行检测以获取至少一个异常项，包括：

根据所述HTTP的指向文件信息对所述HTTP的指向文件进行存在性验证、完整性验证和安全性验证；

如果所述HTTP的指向文件未通过所述存在性验证、完整性验证和安全性验证中的至少一种，则所述HTTP的指向文件为所述异常项。