[发明专利]网络终端威胁的检测方法及装置

说明书

本发明公开了一种网络终端威胁的检测方法及装置，其中，方法其包括：检测当前使用环境场景；根据当前使用环境场景生成信息采集指令，其中，信息采集指令包括至少一个维度的检测因素及与至少一个维度的检测因素对应的多个向量检查因子，并发送信息采集指令至网络的每个终端；接收每个终端根据信息采集指令生成的信息追溯包；根据每个终端的信息追溯包判定网络中威胁终端及不安全因素。该方法可以从多维度、多向量进行信息采集，从而提供更全面、多样化的、可分析数据，大大提升信息追溯功能，有效提高检测的灵活性和可靠性，有效提高检测的效率。

技术领域

本发明涉及网络安全技术领域，特别涉及一种网络终端威胁的检测方法及装置。

背景技术

目前，网络中存在越来越多样化的病毒威胁，且触发方式、攻击行为、感染手段等技术都在不断的提升，严重威胁网络安全。

然而，相关技术的一些威胁检测技术过于单一，只能对网络行为、文件行为进行检测及数据采集，造成威胁检测数据采集方式不够全面、采集难度大、采集效率低等问题，进而导致依靠这些数据所做的威胁分析就可能存在漏洞、不全面，可靠性差，从而极大的影响分析能力，且适应场景灵活性差。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的一个目的在于提出一种网络终端威胁的检测方法，该方法可以有效提高检测的灵活性和可靠性，有效提高检测的效率。

本发明的另一个目的在于提出一种网络终端威胁的检测装置。

为达到上述目的，本发明一方面实施例提出了一种网络终端威胁的检测方法，包括以下步骤：检测当前使用环境场景；根据所述当前使用环境场景生成信息采集指令，其中，所述信息采集指令包括至少一个维度的检测因素及与所述至少一个维度的检测因素对应的多个向量检查因子，并发送所述信息采集指令至网络的每个终端；接收所述每个终端根据所述信息采集指令生成的信息追溯包；根据所述每个终端的信息追溯包判定所述网络中威胁终端及不安全因素。

本发明实施例的网络终端威胁的检测方法，可以从多维度、多向量进行信息采集，且可以根据当前使用环境场景生成信息采集指令，从而提供更全面、多样化的、可分析数据，大大提升信息追溯功能，有效提高检测的灵活性和可靠性，有效提高检测的效率。

另外，根据本发明上述实施例的网络终端威胁的检测方法还可以具有以下附加的技术特征：

进一步地，在本发明的一个实施例中，所述信息采集指令还包括采集周期和上报方式，使得所述终端根据所述采集周期和上报方式上报所述信息追溯包。

进一步地，在本发明的一个实施例中，在根据所述当前使用环境场景生成所述信息采集指令之前，还包括：获取所述每个终端的安全级别；根据所述每个终端的安全级别得到所述每个终端对应的所述信息采集指令。

进一步地，在本发明的一个实施例中，所述根据所述每个终端的信息追溯包判定所述网络中威胁终端及不安全因素，进一步包括：根据所述信息追溯包得到当前威胁信息，所述威胁信息包括威胁态势、威胁向量元素比例、预测威胁传播路径、威胁等级及规模中的一种或多种；通过图表呈现所述当前威胁信息。

进一步地，在本发明的一个实施例中，检测因素包括内存检查、环境检查和文件检查中的一种或多种，向量检查因子包括内存钩子、内存互斥量、端口、启动项、挂载驱动、移动介质使用、访问网址记录、进程权限、计划任务、进程启动链条、注册表位置和文件名及路径中的一种或多种。