[发明专利]一种网络攻击的检测方法及电子设备

说明书

本发明实施例提供一种网络攻击的检测方法及电子设备，涉及网络安全领域。本发明实施例能够利用已知的恶意程序的行为记录，对操作系统中未知的恶意程序进行检测。该方法包括：获取待检测程序在操作系统中的行为记录；根据待检测程序在操作系统中的行为记录，确定待检测程序是否为可疑程序。本发明应用于检测网络攻击。

技术领域

本发明涉及网络安全领域，尤其涉及一种网络攻击的检测方法及电子设备。

背景技术

随着社会信息化的发展，互联网已经深入到社会生活的各个方面。随之而来的，网络中的恶意软件、恶意攻击等问题对网络安全有着很大的威胁。为了保证网络安全，现有技术中通常采用通过检测文件的哈希值的方式，来检测病毒文件，并进行清理。

针对上述现有技术，本发明发明人发现，上述检测方法只利用了孤立的对象即病毒文件本身进行判定，判定过程是上下文缺失的，进而只能对已知的攻击进行检测。一旦攻击者只要对攻击的某些参数稍作修改，例如进行病毒变种，就会使攻击文件的哈希值发生改变，现有的检测方法也就失效了。因此，目前急需一种能够检测未知攻击的方法。

发明内容

本发明提供一种网络攻击的检测方法及电子设备，能够利用已知的恶意程序的行为记录，对操作系统中未知的恶意程序进行检测。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明实施例提供一种网络攻击的检测方法，该方法包括：获取待检测程序在操作系统中的行为记录；根据待检测程序在操作系统中的行为记录，确定待检测程序是否为可疑程序。

可选的，根据待检测程序在操作系统中的行为记录，确定待检测程序是否为可疑程序，具体包括：将待检测程序在操作系统中的行为记录与规则库中的行为记录进行对比，若待检测程序在操作系统中的行为记录与规则库中的行为记录相匹配，则确定待检测程序为可疑程序；其中，规则库中包括至少一种恶意程序在操作系统中的行为记录。

可选的，在将待检测程序在操作系统中的行为记录与规则库中的行为记录进行对比之前，方法还包括：根据至少一种恶意程序在操作系统中的行为记录，生成至少一种OpenIOC规则，将至少一种OpenIOC规则保存至OpenIOC规则库中；将待检测程序在操作系统中的行为记录与规则库中的行为记录进行对比，若待检测程序在操作系统中的行为记录与规则库中的行为记录相匹配，则确定待检测程序为可疑程序，具体包括：将至少一种OpenIOC规则转换为结构化查询语言SQL查询语句；利用SQL查询语句，判断待检测程序在操作系统中的行为记录与至少一种恶意程序在操作系统中的行为记录是否匹配，若匹配则确定待检测程序为可疑程序。

可选的，获取待检测程序在操作系统中的行为记录，具体包括：获取操作系统的系统快照；从操作系统的系统快照中获取待检测程序在操作系统中的行为记录。

第二方面，本发明实施例提供一种电子设备，包括：获取单元，用于获取待检测程序在操作系统中的行为记录；确定单元，用于根据待检测程序在操作系统中的行为记录，确定待检测程序是否为可疑程序。

可选的，确定单元，具体用于将待检测程序在操作系统中的行为记录与规则库中的行为记录进行对比，若待检测程序在操作系统中的行为记录与规则库中的行为记录相匹配，则确定待检测程序为可疑程序；其中，规则库中包括至少一种恶意程序在操作系统中的行为记录。

可选的，电子设备还包括：规则生成单元；规则生成单元，用于在确定单元将待检测程序在操作系统中的行为记录与规则库中的行为记录进行对比之前，根据至少一种恶意程序在操作系统中的行为记录，生成至少一种OpenIOC规则，将至少一种OpenIOC规则保存至OpenIOC规则库中；确定单元，具体用于将至少一种OpenIOC规则转换为SQL查询语句；利用SQL查询语句，判断待检测程序在操作系统中的行为记录与至少一种恶意程序在操作系统中的行为记录是否匹配，若匹配则确定待检测程序为可疑程序。