[发明专利]一种网络攻击的检测方法及电子设备

权利要求书

1.一种网络攻击的检测方法，其特征在于，包括：

获取待检测程序在操作系统中的行为记录；

根据所述待检测程序在操作系统中的行为记录，确定所述待检测程序是否为可疑程序。

2.根据权利要求1所述网络攻击的检测方法，其特征在于，所述根据所述待检测程序在操作系统中的行为记录，确定所述待检测程序是否为可疑程序，具体包括：

将所述待检测程序在操作系统中的行为记录与规则库中的行为记录进行对比，若所述待检测程序在操作系统中的行为记录与规则库中的行为记录相匹配，则确定所述待检测程序为可疑程序；其中，所述规则库中包括至少一种恶意程序在操作系统中的行为记录。

3.根据权利要求2所述网络攻击的检测方法，其特征在于，在所述将所述待检测程序在操作系统中的行为记录与规则库中的行为记录进行对比之前，所述方法还包括：

根据所述至少一种恶意程序在操作系统中的行为记录，生成至少一种OpenIOC规则，将所述至少一种OpenIOC规则保存至OpenIOC规则库中；

所述将所述待检测程序在操作系统中的行为记录与规则库中的行为记录进行对比，若所述待检测程序在操作系统中的行为记录与规则库中的行为记录相匹配，则确定所述待检测程序为可疑程序，具体包括：

将所述至少一种OpenIOC规则转换为结构化查询语言SQL查询语句；

利用所述SQL查询语句，判断所述待检测程序在操作系统中的行为记录与所述至少一种恶意程序在操作系统中的行为记录是否匹配，若匹配则确定所述待检测程序为可疑程序。

4.根据权利要求1-3任一项所述网络攻击的检测方法，其特征在于，所述获取待检测程序在操作系统中的行为记录，具体包括：

获取所述操作系统的系统快照；

从所述操作系统的系统快照中获取待检测程序在操作系统中的行为记录。

5.一种电子设备，其特征在于，包括：

获取单元，用于获取待检测程序在操作系统中的行为记录；

确定单元，用于根据所述待检测程序在操作系统中的行为记录，确定所述待检测程序是否为可疑程序。

6.根据权利要求6所述电子设备，其特征在于，

所述确定单元，具体用于将所述待检测程序在操作系统中的行为记录与规则库中的行为记录进行对比，若所述待检测程序在操作系统中的行为记录与规则库中的行为记录相匹配，则确定所述待检测程序为可疑程序；其中，所述规则库中包括至少一种恶意程序在操作系统中的行为记录。

7.根据权利要求6所述电子设备，其特征在于，所述电子设备还包括：规则生成单元；

所述规则生成单元，用于在所述确定单元将所述待检测程序在操作系统中的行为记录与规则库中的行为记录进行对比之前，根据所述至少一种恶意程序在操作系统中的行为记录，生成至少一种OpenIOC规则，将所述至少一种OpenIOC规则保存至OpenIOC规则库中；

所述确定单元，具体用于将所述至少一种OpenIOC规则转换为SQL查询语句；利用所述SQL查询语句，判断所述待检测程序在操作系统中的行为记录与所述至少一种恶意程序在操作系统中的行为记录是否匹配，若匹配则确定所述待检测程序为可疑程序。

8.根据权利要求5-7任一项所述电子设备，其特征在于，

所述获取单元，具体用于获取所述操作系统的系统快照；从所述操作系统的系统快照中获取待检测程序在操作系统中的行为记录。

9.一种电子设备，其特征在于，包括：处理器、存储器、总线和通信接口；所述存储器用于存储计算机执行指令，所述处理器与所述存储器通过所述总线连接，当所述电子设备运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述电子设备执行如权利要求1-4中任一项所述网络攻击的检测方法。

10.一种计算机存储介质，其特征在于，包括指令，当其在电子设备上运行时，使得所述电子设备执行如权利要求1-4中任一项所述网络攻击的检测方法。