[发明专利]网络终端威胁的检测方法及装置

权利要求书

1.一种网络终端威胁的检测方法，其特征在于，包括以下步骤：

检测当前使用环境场景；所述使用环境包括：端口对是否开启、硬件驱动是否正常；

根据所述当前使用环境场景生成信息采集指令，其中，所述信息采集指令包括至少一个维度的检测因素及与所述至少一个维度的检测因素对应的多个向量检查因子，并发送所述信息采集指令至网络的每个终端；

接收所述每个终端根据所述信息采集指令生成的信息追溯包；以及

根据所述每个终端的信息追溯包判定所述网络中威胁终端及不安全因素。

2.根据权利要求1所述的网络终端威胁的检测方法，其特征在于，所述信息采集指令还包括采集周期和上报方式，使得所述终端根据所述采集周期和上报方式上报所述信息追溯包。

3.根据权利要求1或2所述的网络终端威胁的检测方法，其特征在于，在根据所述当前使用环境场景生成所述信息采集指令之前，还包括：

获取所述每个终端的安全级别；

根据所述每个终端的安全级别得到所述每个终端对应的所述信息采集指令。

4.根据权利要求1所述的网络终端威胁的检测方法，其特征在于，所述根据所述每个终端的信息追溯包判定所述网络中威胁终端及不安全因素，进一步包括：

根据所述信息追溯包得到当前威胁信息，所述威胁信息包括威胁态势、威胁向量元素比例、预测威胁传播路径、威胁等级及规模中的一种或多种；

通过图表呈现所述当前威胁信息。

5.根据权利要求1-4任一项所述的网络终端威胁的检测方法，其特征在于，检测因素包括内存检查、环境检查和文件检查中的一种或多种，向量检查因子包括内存钩子、内存互斥量、端口、启动项、挂载驱动、移动介质使用、访问网址记录、进程权限、计划任务、进程启动链条、注册表位置和文件名及路径中的一种或多种。

6.一种网络终端威胁的检测装置，其特征在于，包括：

检测模块，用于检测当前使用环境场景；所述使用环境包括：端口对是否开启、硬件驱动是否正常；

生成模块，用于根据所述当前使用环境场景生成信息采集指令，其中，所述信息采集指令包括至少一个维度的检测因素及与所述至少一个维度的检测因素对应的多个向量检查因子，并发送所述信息采集指令至网络的每个终端；

接收模块，用于接收所述每个终端根据所述信息采集指令生成的信息追溯包；以及

分析模块，用于根据所述每个终端的信息追溯包判定所述网络中威胁终端及不安全因素。

7.根据权利要求6所述的网络终端威胁的检测装置，其特征在于，所述信息采集指令还包括采集周期和上报方式，使得所述终端根据所述采集周期和上报方式上报所述信息追溯包。

8.根据权利要求6或7所述的网络终端威胁的检测装置，其特征在于，所述生成模块还用于获取所述每个终端的安全级别，且根据所述每个终端的安全级别得到所述每个终端对应的所述信息采集指令。

9.根据权利要求6所述的网络终端威胁的检测装置，其特征在于，所述分析模块还用于根据所述信息追溯包得到当前威胁信息，所述威胁信息包括威胁态势、威胁向量元素比例、预测威胁传播路径、威胁等级及规模中的一种或多种，并通过图表呈现所述当前威胁信息。

10.根据权利要求6-9任一项所述的网络终端威胁的检测装置，其特征在于，检测因素包括内存检查、环境检查和文件检查中的一种或多种，向量检查因子包括内存钩子、内存互斥量、端口、启动项、挂载驱动、移动介质使用、访问网址记录、进程权限、计划任务、进程启动链条、注册表位置和文件名及路径中的一种或多种。