[发明专利]终端恶意流量规则更新方法、云端服务器和安全网关

权利要求书

1.一种终端恶意流量规则更新方法，其特征在于，所述终端恶意流量规则更新方法包括以下步骤：

接收安全网关设备发送的用户流量以及所述用户流量匹配的第一恶意流量规则的规则标识；

在接收到的规则标识为第一类规则标识，且接收到的用户流量中存在恶意文件时，云端服务器对所述恶意文件模拟运行，确定所述恶意文件匹配的第二恶意流量规则；

所述云端服务器将匹配的所述第二恶意流量规则以及规则标识下发给安全网关设备，以供所述安全网关设备将所述云端服务器下发的所述第二恶意流量规则以及规则标识添加至所述恶意流量规则数据库中。

2.根据权利要求1所述的方法，其特征在于，所述接收安全网关设备发送的用户流量以及所述用户流量匹配的第一恶意流量规则的规则标识的步骤之后，该方法还包括：

在接收到的规则标识为第一类规则标识，且接收到的用户流量中不存在恶意文件时，或者在接收到的规则标识为第二类规则标识时，所述云端服务器确定接收到的用户流量是否与预设的白名单规则匹配；

在接收到的用户流量与预设的白名单规则匹配时，所述云端服务器向所述安全网关设备下发恶意流量规则删除指令，以供所述安全网关设备基于所述恶意流量规则删除指令确定对应的规则标识，并删除预存的恶意流量规则数据库中该规则标识所对应的所述第一恶意流量规则。

3.根据权利要求2所述的方法，其特征在于，所述在接收到的规则标识为第一类规则标识，且接收到的用户流量中不存在恶意文件时，或者在接收到的规则标识为第二类规则标识时，所述云端服务器确定接收到的用户流量是否与预设的白名单规则匹配的步骤之后，所述终端恶意流量规则更新方法还包括：

在接收到的用户流量与预设的白名单规则不匹配时，所述云端服务器由接收到的用户流量中提取流量特征；

所述云端服务器将提取的流量特征添加至预设的特征库中。

4.一种终端恶意流量规则更新方法，其特征在于，所述终端恶意流量规则更新方法包括步骤：

当接收到的用户流量与预设的恶意流量规则数据库中的第一恶意流量规则匹配时，安全网关设备将用户流量以及匹配到的所述第一恶意流量规则的规则标识发送至云端服务器，以供所述云端服务器基于接收到的用户流量以及规则标识向所述安全网关反馈第二恶意流量规则以及规则标识下发给安全网关设备；

所述安全网关将所述云端服务器下发的所述第二恶意流量规则以及规则标识添加至恶意流量规则数据库中。

5.如权利要求4所述的方法，其特征在于，所述当接收到的用户流量与预设的恶意流量规则数据库中的第一恶意流量规则匹配时，安全网关设备将用户流量以及匹配到的所述第一恶意流量规则的规则标识发送至云端服务器的步骤包括：

当接收到的用户流量与预设的恶意流量规则数据库中的所述第一恶意流量规则匹配时，所述安全网关确定数据包匹配的所述第一恶意流量规则的级别；

在该数据包匹配的所述第一恶意流量规则的级别为危险级别时，所述安全网关设备丢弃该接收到的用户流量及/或向用户端发送告警信息，并生成攻击日志；

所述安全网关设备将所述用户流量以及匹配到的所述第一恶意流量规则的规则标识发送至云端服务器。

6.根据权利要求5所述的方法，其特征在于，当接收到的用户流量与预设的恶意流量规则数据库中的所述第一恶意流量规则匹配时，所述安全网关确定该数据包匹配的所述第一恶意流量规则的级别的步骤之后，所述当接收到的用户流量与预设的恶意流量规则数据库中的第一恶意流量规则匹配时，安全网关设备将用户流量以及匹配到的所述第一恶意流量规则的规则标识发送至云端服务器的步骤包括：

在该数据包匹配的所述第一恶意流量规则的类型为普通级别，且所述用户流量匹配的所述第一恶意流量规则数量大于等于预设阀值时，所述安全网关设备丢弃该所述用户流量及/或向用户端发送告警信息，并生成攻击日志；

所述安全网关设备将所述用户流量以及匹配到的所述第一恶意流量规则对应的规则标识发送至云端服务器。