CN110035062A - 一种网络验伤方法及设备 - Google Patents

Abstract

本发明实施例提供一种网络验伤方法及设备，涉及网络安全领域。本发明实施例能够更加准确的分析出恶意流量的威胁等级。该方法包括：获取网络安全设备生成的恶意流量信息；恶意流量信息，用于确定网络安全设备从进出目标网络的数据流量中检测出的恶意流量；获取目标网络中处理恶意流量的目标终端设备的事件记录；事件记录中包括目标终端设备的操作记录以及进出目标终端设备的网络数据包记录；在事件记录查找与恶意流量相关的目标记录；根据目标记录，确定恶意流量的威胁等级。本发明应用于网络验伤。

Description

一种网络验伤方法及设备

技术领域

本发明涉及网络安全领域，尤其涉及一种网络验伤方法及设备。

背景技术

现有技术中，为了保证内部网络的数据安全性，一般会在内部网络与外部网络的出入口部署基于网络流量分析的网络安全设备。这些网络安全设备通过对进出内部网络的数据流量进行检测，来实现检测恶意文件的功能。但在检测到恶意文件后，网络安全设备并不能知道该恶意文件是否在终端设备上运行以及运行产生的具体危害，因此无法准确判断出恶意文件的威胁程度。

发明内容

本发明的的实施例提供一种网络验伤方法及设备，能够更加准确的分析出恶意流量的威胁等级。

第一方面，本发明提供一种网络验伤方法，应用于验伤服务器，该方法包括：获取网络安全设备生成的恶意流量信息；恶意流量信息，用于确定网络安全设备从进出目标网络的数据流量中检测出的恶意流量；获取目标网络中处理恶意流量的目标终端设备的事件记录；事件记录中包括目标终端设备的操作记录以及进出目标终端设备的网络数据包记录；在事件记录查找与恶意流量相关的目标记录；根据目标记录，确定恶意流量的威胁等级。

第二方面，本发明实施例提供一种验伤服务器，包括：获取单元，用于获取网络安全设备生成的恶意流量信息；恶意流量信息，用于确定网络安全设备从进出目标网络的数据流量中检测出的恶意流量；获取单元，还用于获取目标网络中处理恶意流量的目标终端设备的事件记录；事件记录中包括目标终端设备的操作记录以及进出目标终端设备的网络数据包记录；查询单元，用于在事件记录查找与恶意流量相关的目标记录；等级确定单元，用于根据目标记录，确定恶意流量的威胁等级。

本发明实施例中在网络安全设备对进出目标网络的数据流量检测并发现恶意流量后，通过获取网络安全设备生成的恶意流量信息可以确定该恶意流量。再通过获取处理该恶意流量的目标终端设备的事件记录，并从事件记录中查找与恶意流量相关的目标记录，从而可以确定恶意流量在目标终端设备上的运行情况。进而可以根据目标记录对恶意流量进行准确的威胁等级判断。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。

图1为一种网络构架的结构示意图；

图2为本发明实施例提供的一种网络构架的结构示意图；

图3为本发明实施例提供的一种探针程序的功能模块图；

图4为本发明实施例提供的一种网络安全设备的功能模块图；

图5为本发明实施例提供的一种验伤服务器的功能模块图；

图6为本发明实施例提供的一种网络验伤方法的流程示意图；

图7为本发明实施例提供的一种终端设备与验伤服务器之间的交互流程示意图；

图8为本发明实施例提供的一种验伤服务器的结构示意图；

图9为本发明实施例提供的另一种验伤服务器的结构示意图；

图10为本发明实施例提供的又一种验伤服务器的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

首先，对本发明所涉及的技术术语进行介绍：

Gateway：网关设备，简称网关，又称网间连接器、协议转换器。网关在网络层以上实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连，是一种充当转换重任的计算机系统或设备。由于历史的原因，许多有关TCP/IP的文献把网络层使用的路由器也称为网关，在今天有很多局域网都是采用路由器来接入外部网络，这些路由器也称为网关。

IDS：Intrusion Detection System，入侵检测系统，依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

IPS：Intrusion Prevention System，入侵防御系统，能够监视网络的资料传输行为，能够即时的阻断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为，防火墙是一种简单的入侵防御系统。

在线部署：网络安全设备以串联方式接入到网络中的，局域网跟广域网数据交互是通过相应安全设备的。

旁路部署：网络安全设备只有一根线接到网络中，一般是交换机上，交换机将网络流量镜像后发给网络安全设备。

以下对本发明实施例的发明构思进行介绍：

如图1所示，为目前很多企业、单位所采用的网络结构。其中，在企业内有多个终端设备01(如图1中，终端011/012/013/014/015)，多个终端设备01构成了企业的内部局域网。同时，终端设备01通过网关设备02与外部网络进行连接。其中，网关设备02具体可以是在网络层使用的路由器等设备。

为了保证网络系统资源的机密性、完整性以及可用性，通常需要在内部网络连接外部网络的出入口部署基于网络流量分析的网络安全设备04。通常，网络安全设备的部署方式有两种：

1、在线部署，网络安全设备自身作为网关或者与企业已有网关串联的方式部署于内部网络出入口，网络安全设备可以通过数据包重组技术还原或者部分还原上传下载的文件，实现病毒检测功能，也可以实时分析网络流量，通过规则匹配实现IDS功能，还可以通过数据包阻断实现防火墙，病毒阻断等IPS等功能。例如图1中的在线安全设备041，在线安全设备041分别与网关设备02以及外部网络连接。用于对内部网络与外部网络之间的传输数据进行上述检测。

二：旁路部署,网络安全设备只有一根线接到网络中，一般是网关设备(如路由器、交换机等)上，网关设备将局域网跟广域网之间的进出流量镜像后发给网络安全设备，旁路部署可以在不影响网络性能的前提下实现跟在线部署类似的病毒检测，IDS等功能。例如，图1中的旁路安全设备042，旁路安全设备042只与网关设备02连接，而不用连接外部网络，不参与内外网络之间的数据传输，因此不影响网络性能。

针对上述现有技术，本发明中发现，无论是网络安全设备是在线部署或者是旁路部署，通常情况下都只能通过进出内部网络的流量，分析出流量的五元组信息(源IP、目的IP、源端口、目的端口以及传输协议)，这样就存在以下问题:

1、网络安全设备通过数据包重组发现某个终端设备IP下载了一个恶意文件，但是这个恶意文件落地后是否执行？执行之后有什么其他恶意行为？产生了多大危害？这些都无从知晓。

2、网络安全设备发现某个终端设备IP通过某个端口访问外网的恶意IP，URL或者Domain，那么究竟是这个终端设备上哪个恶意程序在访问外网恶意IP，URL或者Domain？这个恶意程序还有什么其他行为？是否已经在内网扩散？这些都无从知晓。

由此，网络安全设备在对恶意流量进行分析时，就无法准确评估恶意流量在内部网络中造成的伤害程度。

基于上述问题，本发明实施例提供一种网络验伤方法以及设备，能够根据从终端设备的事件记录中与恶意流量相关联的目标记录确定恶意流量的威胁等级，从而更详细的分析和评估网络中所有终端受伤害的程度，并提供详细验伤分析报告。

实施例一：

基于上述发明构思，本发明实施例提供一种网络构架，如图2所示，与现有技术类似，该网络中包括多个终端设备01(如图2中终端设备011-01n)构成企业、单位的内部网络，多个终端设备分别与网关设备02连接，网关设备02用于使内部网络中各终端设备01与外部网络进行数据传输。在一种实现方式中，内部网络中还可以包括一个或多个小型的局域网，该局域网内部也包括多个终端设备，局域网可以通过交换机或路由器与网关设备02连接，从而与外部网络进行数据传输。例如图2中终端设备014/015/01n通过路由器03连接网关设备02。另外，本发明实施例提供的网络构架还包括网络安全设备04(如图2中在线安全设备041和/或旁路安全设备042)，用于对进出内部网络的数据流量进行相应检测。

另外，如图2中，本发明实施例所提供的网络架构中还包括验伤服务器05，用于实现本发明实施例提供的网络验伤方法。需要说明的是，在图2所示的网络架构中，验伤服务器05为一个单独的服务器设备。在另一种实现方式中，还可以将验伤服务器05与网络安全设备04(如在线安全设备041或者旁路安全设备042)融合为一体，从而使融合之后的设备既能够完成网络安全设备04的功能还能够完成验伤服务器05的功能，对此本发明可以不做限制。即本发明中执行本发明所提供的网络验伤方法的主体为“验伤服务器”，但“验伤服务器”这个名称并不对本发明的保护范围进行限制。例如，当将验伤服务器05与网络安全设备04融合为一体时，融合后的设备也可以叫做“验伤服务器”或者叫“网络安全设备”或者其他名称，对此本发明可不做限制。

进一步的，在本发明实施例中，为了使验伤服务器05能够获取记录有终端设备01的操作记录以及进出终端设备的网络数据包记录。本发明实施例中还可以在每个终端设备上部署探针程序。探针程序用于记录终端设备01中应用程序行为并上传到验伤服务器05。

具体的，在一种实现方式中，如图3所示，为本发明所提供的一种探针程序的功能模块图。其中，该探针程序由内核态驱动程序和用户态应用程序组成。

其中，内核态驱动程序用于：

行为监控驱动：该模块用于在操作系统内核记录应用程序的文件操作(文件创建，文件打开，文件修改，文件属性修改等)，记录进程操作(进程创建，进程加载模块，进程关闭等)，记录注册表操作(注册表打开，修改等)。

网络驱动：截获该终端设备上所有进出的网络数据包。

用户态应用程序用于：

行为事件收集：该模块从内核收集行为监控驱动记录的文件操作，进程操作，注册表操作并且转换成结构化事件。

数据包分析引擎：该模块从内核收集网络驱动记录的数据包，分析出所用协议与五元组。

网络事件收集：该模块从数据包分析引擎获得协议与五元组，并且转换成结构化事件。

系统事件收集：该模块解析操作系统日志记录的事件，转换成结构化事件。

事件压缩/缓存：该模块把收集到的所有事件按固定时间间隔分类，并且压缩保存在内存中。

事件去重/排序/序列化：该模块把一段时间内的重复事件做归并，事件按时间排序，再序列化成特定格式保存在内存中。

事件上传：该模块把序列化好的事件打包压缩上传到验伤服务器。

设备/策略管理：该模块可以接收验伤服务器05的命令，配置和修改探针相应的策略。

自动威胁处理：该模块用于接收网络安全设备04的命令，对终端设备上发现的威胁做自动修复和处理，包括删除恶意文件，修复注册表，停止恶意进程，或者是对被注入恶意代码的合法进程做内存修复等操作。

另外，图4所示，为本发明实施例提供的一种网络安全设备的功能模块图。其中，该网络安全设备04具体用于：

威胁检测：该模块主要通过对数据流量的分析发现威胁，并且产生威胁日志。

提取线索：该模块从每条威胁日志中抽取出关键的线索，例如可以从勒索病毒，木马病毒，恶意代码，挖矿病毒，带毒邮件攻击等威胁告警中抽取出恶意文件名，文件SHA1等线索，可以从僵尸网络，钓鱼网站，挖矿网址等威胁告警中抽取中恶意IP,URL,域名等线索，将线索存入队列。

验伤请求：该模块按顺序将每条告警抽取出的线索送到验伤服务器05。

验伤报告收集：该模块每隔固定间隔向验伤服务器05查询验伤进展并收集验伤报告。

威胁响应：该模块根据验伤报告自动产生相应的指令，发送给终端设备01的探针程序做威胁修复操作。

另外，如图5所示，为本发明实施例提供的一种验伤服务器05的功能模块图。其中，验伤服务器05用于：

事件接收：该模块接收终端设备01的探针程序上传的事件并且存入数据库中。

探针管理：该模块管理所有的探针程序以及每个探针程序相应的策略。(比如可以设置探针使用带宽的上限，上传日志的间隔，应用程序的白名单等等。)

验伤请求管理：该模块接收网络安全设备04发送过来的验伤线索，可以是恶意文件名,文件SHA1,或者是恶意的外网IP,域名或者URL，把每个验伤请求存入验伤请求队列。

验伤处理：该模块是验伤核心模块，从验伤队列按先进先出的顺序获取验伤请求进行验伤。

具体的，针对某终端设备01上发现的恶意文件的验伤算法如下：我们通过不同的维度X1,X2,..Xn对该文件的威胁程度进行累计加分，X1+X2+X3+…Xn＝[80,100]高危，X1+X2+X3+…Xn＝[60,80)中危，X1+X2+X3+…Xn<60低危。

X1，表示网络安全设备04直接标注该文件为恶意文件，还是通过本地威胁情报/云端威胁情报查询到该文件为恶意文件，所占分值。

X2，表示该文件在该终端设备上有活跃进程以及自启动项，所占分值。

X3，表示该文件如果没有数字签名，所占分值。

X4，表示该文件如果来源于网络下载，所占分值。

X5，表示通过该文件SHA1在威胁情报中进行扩展,得到与此威胁相关联的其他恶意文件SHA1,并且在终端设备01上可以找到此恶意文件或进程，或者在威胁情报中得到与此威胁相关联的其他恶意IP/域名/URL，并且在终端设备01上可以找到访问这些恶意IP/域名/URL的恶意文件或进程，所占分值。所有需要统计的维度，以及每个维度所占的分值都可以通过内部配置文件进行调整。

针对某终端设备01上发现的恶意IP/域名/URL的验伤算法如下：我们通过不同的维度Y1,Y2,..Yn对该IP/域名/URL的威胁程度进行累计加分，Y1+Y2+Y3+…Yn＝[80,100]高危，Y1+Y2+Y3+…Yn＝[60,80)中危，Y1+Y2+Y3+…Yn<60低危。

Y1，表示网络安全设备04直接标注该IP/域名/URL为恶意,或者通过本地威胁情报/云端威胁情报查询到该IP/域名/URL为恶意，所占分值。

Y2，表示该终端设备01上有活跃进程与该IP/域名/URL通讯，所占分值。

Y3，表示通过该IP/域名/URL在威胁情报中进行扩展,得到与此威胁相关联的其他恶意文件SHA1,并且在终端设备01上可以找到此恶意文件或进程，或者在威胁情报中得到与此威胁相关联的其他恶意IP/域名/URL,并且在终端设备01上可以找到访问这些恶意IP/域名/URL的恶意文件或进程，所占分值。所有需要统计的维度，以及每个维度所占的分值都可以通过内部配置文件进行调整。

验伤报告生成：该模块将验伤结果转换成PDF文件，并且存入验伤结果队列，验伤结果中需要包含对验伤线索的威胁程度评估，以及通过威胁情报扩展的其他恶意文件，IP/域名/URL以及自启动项，以进程关联树的形式呈现在报告中，并且还需要给出所有受影响的终端列表。

验伤结果管理：该模块接收网络安全设备04发送过来的验伤结果查询请求，将验伤结果发送给对应的网络安全设备04。

实施例二：

基于上述网络架构以及上文所描述的网络中各设备的功能，本发明实施例提供一种网络验伤方法，如图6所示，该方法包括：

S101、目标网络中的各终端设备生成事件记录。

其中，事件记录中包括该终端设备的操作记录以及进出终端设备的数据包记录。

具体的，本发明实施例中所称目标网络，可以为上述实施例一中所描述的内部网络。内部网络通常为局域网，当然在某些场景下目标网络也可以是广域网，对此本发明不作限制。

以图2所示网络构架为例。终端设备通过探针程序，在操作系统内核记录应用程序的文件操作(如文件创建、文件打开、文件修改、文件属性修改等操作)，记录进程操作(如进程创建、进程加载、进程关闭)，记录注册表操作(注册表打开、修改等)；截获终端设备上进出的网络数据包记录；解析操作系统日志记录的事件等。并将上述记录进行压缩、去重、排序等操作，生成事件记录。

S102、网络安全设备对进出目标网络的数据流量进行检测，生成恶意流量信息。

其中，恶意流量信息，用于确定网络安全设备从进出目标网络的数据流量中检测出的恶意流量。示例性的，恶意流量信息中具体包括有恶意流量的文件SHA1(SecureHashAlgorithm，安全哈希算法)值，从而使之后接收恶意流量信息的验伤服务器能够根据该SHA1值确定恶意流量。

S103、验伤服务器获取网络安全设备生成的恶意流量信息。

具体的，在一种实现方式中，如图2所示，验伤服务器与网络安全设备为相互独立的设备。则S103具体包括：验伤服务器接收网络安全设备发送的恶意流量信息。其中，恶意流量信息，用于确定网络安全设备从进出目标网络的数据流量中检测出的恶意流量。

在另一种实现方式中，验伤服务器的功能以及网络安全设备的功能可以集成在一种设备中实现。则S103具体包括：读取设备存储空间中存储的恶意流量信息。

S104、获取目标网络中处理恶意流量的目标终端设备的事件记录。

其中，该事件记录中包括目标终端设备的操作记录以及进出目标终端设备的网络数据包记录。

具体的，由于目标网络中可能同时存在多个终端设备(如图2所示)，并且一个终端设备中所记录的事件记录中包括有各种各样的操作记录，有些与恶意流量相关，有些与恶意流量无关。因此，本发明实施例中，S104具体可以包括：

S1041、周期获取目标网络中各终端设备的事件记录。

在一种实现方式中，周期获取目标网络中各终端设备的事件记录，具体包括：通过目标网络中各终端设备的探针程序向验伤服务器发送事件记录。

进一步的，在通过目标网络中各终端设备的探针程序向验伤服务器发送事件记录之前，如图7所示，方法还包括：

S201、终端设备向验伤服务器发送注册请求，注册成功后返回结果。

S202、终端设备通过探针程序每隔固定时间会向验伤服务器发送心跳，验伤服务器更新探针状态，然后返回心跳响应，如果验伤服务器有新的探针程序的策略需要下发，会在心跳响应中下发。

S203、终端设备通过探针程序从内核态/用户态收集事件并且转化成事件记录并保存在内存中，每隔一个周期上传一次事件记录，验伤服务器收到事件，成功保存后返回结果。

S204、当探针程序需要卸载的时候，可以从验伤服务器端通过心跳响应下发卸载命令，终端设备接收到卸载命令后完成探针程序的卸载任务，并且发送卸载成功/失败命令给验伤服务器，验伤服务器更新探针状态。

S1042、根据恶意流量信息，从各终端设备的事件记录中选出目标终端设备的事件记录。其中，恶意流量信息中包含目标终端设备的标识。

具体的，考虑到在目标网络中可能存在多个处理过恶意流量的终端设备。因此，本发明实施例中，通过在恶意流量信息中增加目标终端设备的标识的方法，从而使验伤服务器能够根据恶意流量信息，确定处理该恶意流量的终端设备是哪个终端设备，从而在目标网络中各终端设备的事件记录中选出目标终端设备的事件记录。

其中，目标终端设备的标识可以包括目标终端设备的IP地址、MAC等信息。

S105、验伤服务器在事件记录中查找与恶意流量相关的目标记录。

具体的，目标记录中可以包括：因恶意流量所执行的应用程序的文件操作记录(如文件创建、文件打开、文件修改、文件属性修改等操作)，记录进程操作记录(如进程创建、进程加载、进程关闭)，记录注册表操作记录(注册表打开、修改等)；截获终端设备上进出的网络数据包记录；解析操作系统日志记录的事件记录等。

S106、根据目标记录，确定恶意流量的威胁等级。

具体的，在计算恶意流量的威胁等级时，考虑到不同恶意流量，由于其威胁因素不同，因此本发明实施例中对属于恶意文件的恶意流量，以及属于传输对端是恶意访问地址的恶意流量分别进行相应的评判方式。

具体的，若恶意流量为恶意文件，则根据目标记录，确定恶意流量的威胁等级，具体包括：

S106a1、根据目标记录，确定恶意流量在目标终端设备上的活跃进程、自启动项以及恶意文件的关联恶意文件的进程、恶意文件的关联恶意访问地址的关联进程。

S106a2、根据网络安全设备对恶意文件的检测结果，生成第一评分结果。

例如，网络安全设备通过数据流量检测到恶意文件后，有可能直接拦截流量，恶意文件未必会到达终端，这时候就不能算高危，第一评分结果的分值就会相对较低。如果恶意流量到达终端，则第一评分结果的分值就会相对较高。

S106a3、根据恶意流量在目标终端设备上的活跃进程以及自启动项，生成第二评分结果。

具体的，第二评分结果，可以根据恶意流量在目标终端设备上的活跃进程的个数、自启动项的个数、活跃进程或自启动项所占有资源大小，进行评分。

S106a4、根据恶意文件是否有数字签名，生成第三评分结果。

S106a5、根据恶意文件是否为网络下载，生成第四评分结果。

S106a6、根据目标终端设备上是否运行有恶意文件的关联恶意文件的进程，以及是否运行有恶意文件的关联恶意访问地址的关联进程，生成第五评分结果。

具体的，可以通过将恶意流量的SHA1值在威胁情报中进行扩展，得到与恶意流量相关联的其他恶意文件SHA1,并且在目标终端设备上可以找到此恶意文件或进程，或者在威胁情报中得到与此恶意流量相关联的其他恶意IP/域名/URL,并且在终端上可以找到访问这些恶意IP/域名/URL的恶意文件或进程。

其中，本发明实施例中，威胁情报指一种网络安全服务。威胁情报系统可以在云端也可以在本地，在使用时可以把恶意文件A的SHA1送到威胁情报系统，威胁情报系统可以找到跟该恶意文件相关联的其他恶意文件B的SHA1返回给验伤服务器，然后验伤服务器可以找到某终端设备上也有此恶意文件B。这时可以理解为网络安全设备发现的恶意文件A已经在本地终端执行过，并且产生了其他恶意文件B。我们也可以通过威胁情报系统得到与恶意文件A相关联的其他恶意IP/域名/URL，任何在终端上访问该关联恶意IP/域名/URL的进程均可视为恶意进程。

S106a7、根据第一评分结果、第二评分结果、第三评分结果、第四评分结果、第五评分结果，确定恶意流量的威胁等级。

具体的，可以对第一评分结果、第二评分结果、第三评分结果、第四评分结果、第五评分结果的分值进行加权求和，从而得到最终的评分结果。再根据最终评分结果确定恶意流量的威胁等级。

例如，将最终评分结果在[80,100]之间的恶意流量的威胁等级划分为高危，最终评分结果在[60,80)之间的恶意流量的威胁等级划分为中危，最终评分结果在小于60的恶意流量的威胁等级划分为低危。

另外，若恶意流量为传输对端是恶意访问地址的数据，则根据目标记录，确定恶意流量的威胁等级，具体包括：

S106b1、根据目标记录，确定与恶意访问地址进行通讯的活跃进程、在目标终端设备上运行的恶意访问地址的关联恶意文件的进程，以及恶意访问地址的关联恶意访问地址的关联进程。

S106b2、根据网络安全设备对恶意访问地址的检测结果，生成第六评分结果。

例如，网络安全设备通过流量检测到某终端访问恶意IP，有可能直接拦截，这样恶意IP就不会有返回的网络数据包到达终端，这时候第六评分结果的分值相对较低；如果恶意IP有返回网络数据包到达终端设备后，则第六评分结果的分值就会相对较高

S106b3、根据与恶意访问地址进行通讯的活跃进程，生成第七评分结果。

具体的，可以根据活跃进程的个数以及活跃进程占用资源的量，生成第七评分。

S106b4、根据目标终端设备上是否运行有恶意访问地址的关联恶意文件的进程，以及是否运行有恶意访问地址的关联恶意访问地址的关联进程，生成第八评分结果。

该恶意访问地址(如IP/域名/URL等)在威胁情报系统中进行扩展,得到与此恶意访问地址相关联的其他恶意文件SHA1,并且在终端上可以找到此恶意文件或进程，或者在威胁情报中得到与此威胁相关联的其他恶意IP/域名/URL,并且在终端上可以找到访问这些恶意IP/域名/URL的恶意文件或进程。

然后，根据上述信息，生成第八评分结果。

S106b5、根据第六评分结果、第七评分结果、第八评分结果，确定恶意流量的威胁等级。

与上述S106a7同理。具体的，可以对第六评分结果、第七评分结果、第八评分结果的分值进行加权求和，从而得到最终的评分结果。再根据最终评分结果确定恶意流量的威胁等级。

例如，将最终评分结果在[80,100]之间的恶意流量的威胁等级划分为高危，最终评分结果在[60,80)之间的恶意流量的威胁等级划分为中危，最终评分结果在小于60的恶意流量的威胁等级划分为低危。

在一种实现方式中，在确定恶意流量的威胁等级之后，该方法还包括：

S107、若恶意流量的威胁等级符合预设条件，则向目标终端设备发送修复指令；修复指令，用于指示目标终端设备修复处理恶意流量所执行的相应操作。

本发明实施例中在网络安全设备对进出目标网络的数据流量检测并发现恶意流量后，通过获取网络安全设备生成的恶意流量信息可以确定该恶意流量。再通过获取处理该恶意流量的目标终端设备的事件记录，并从事件记录中查找与恶意流量相关的目标记录，从而可以确定恶意流量在目标终端设备上的运行情况。进而可以根据目标记录对恶意流量进行准确的威胁等级判断。

实施例三：

本发明实施例提供一种验伤服务器，用于执行上述实施例一所提供的网络验伤方法。如图8所示，为本发明实施例提供的验伤服务器的一种可能的结构示意图。具体的，该验伤服务器30包括：获取单元301、查询单元302、等级确定单元303。其中，

获取单元301，用于获取网络安全设备生成的恶意流量信息；恶意流量信息，用于确定网络安全设备从进出目标网络的数据流量中检测出的恶意流量；

获取单元301，还用于获取目标网络中处理恶意流量的目标终端设备的事件记录；事件记录中包括目标终端设备的操作记录以及进出目标终端设备的网络数据包记录；

查询单元302，用于在事件记录查找与恶意流量相关的目标记录；

等级确定单元303，用于根据目标记录，确定恶意流量的威胁等级。

可选的，验伤服务器30还包括：发送单元304；

发送单元304，用于在等级确定单元303根据目标记录确定恶意流量的威胁等级后，若恶意流量的威胁等级符合预设条件，则向目标终端设备发送修复指令。

可选的，获取单元301，具体用于周期获取目标网络中各终端设备的事件记录；根据恶意流量信息，从各终端设备的事件记录中选出目标终端设备的事件记录；其中，恶意流量信息中包含目标终端设备的标识。

可选的，若恶意流量为恶意文件，则等级确定单元303，具体用于：

根据目标记录，确定恶意流量在目标终端设备上的活跃进程、自启动项以及恶意文件的关联恶意文件的进程、恶意文件的关联恶意访问地址的关联进程；

根据网络安全设备对恶意文件的检测结果，生成第一评分结果；

根据恶意流量在目标终端设备上的活跃进程以及自启动项，生成第二评分结果；

根据恶意文件是否有数字签名，生成第三评分结果；

根据恶意文件是否为网络下载，生成第四评分结果；

根据目标终端设备上是否运行有恶意文件的关联恶意文件的进程，以及是否运行有恶意文件的关联恶意访问地址的关联进程，生成第五评分结果；

根据第一评分结果、第二评分结果、第三评分结果、第四评分结果、第五评分结果，确定恶意流量的威胁等级。

可选的，若恶意流量为传输对端是恶意访问地址的数据，则等级确定单元303，具体用于：

根据目标记录，确定与恶意访问地址进行通讯的活跃进程、在目标终端设备上运行的恶意访问地址的关联恶意文件的进程，以及恶意访问地址的关联恶意访问地址的关联进程；

根据网络安全设备对恶意文件的检测结果，生成第六评分结果；

根据与恶意访问地址进行通讯的活跃进程，生成第七评分结果；

根据目标终端设备上是否运行有恶意访问地址的关联恶意文件的进程，以及是否运行有恶意访问地址的关联恶意访问地址的关联进程，生成第八评分结果；

根据第六评分结果、第七评分结果、第八评分结果，确定恶意流量的威胁等级。

本发明实施例中提供的验伤服务器中各模块的功能以及所产生的效果可以参照上述实施例二网络验伤方法中的对应的描述内容，在此不再赘述。

需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用集成的单元的情况下，图9示出了上述实施例中所涉及的验伤服务器的一种可能的结构示意图。验伤服务器40包括：处理模块401、通信模块402和存储模块403。处理模块401用于对验伤服务器40的动作进行控制管理，例如，处理模块401用于支持验伤服务器40执行图6中的过程S103-S105。通信模块402用于支持验伤服务器40与其他实体的通信。存储模块403用于存储应用服务器的程序代码和数据。

其中，处理模块401可以是处理器或控制器，例如可以是中央处理器(centralprocessing unit，CPU)，通用处理器，数字信号处理器(digital signal processor，DSP)，专用集成电路(application-specific integrated circuit，ASIC)，现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块402可以是收发器、收发电路或通信接口等。存储模块403可以是存储器。

当处理模块401为如图9所示的处理器，通信模块402为图9的收发器，存储模块403为图9的存储器时，本发明实施例所涉及的验伤服务器可以为如下的验伤服务器50。

参照图10所示，该验伤服务器50包括：处理器501、收发器502、存储器503和总线504。

其中，处理器501、收发器502、存储器503通过总线504相互连接；总线504可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

处理器501可以是一个通用中央处理器(Central Processing Unit，CPU)，微处理器，特定应用集成电路(Application-Specific Integrated Circuit，ASIC)，或一个或多个用于控制本发明方案程序执行的集成电路。

存储器503可以是只读存储器(Read-Only Memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(Random Access Memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(ElectricallyErasable Programmable Read-only Memory，EEPROM)、只读光盘(Compact Disc Read-Only Memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器503用于存储执行本发明方案的应用程序代码，并由处理器501来控制执行。收发器502用于接收外部设备输入的内容，处理器501用于执行存储器503中存储的应用程序代码，从而实现本发明实施例中提供的网络验伤方法。

应理解，在本发明的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户终端线(Digital Subscriber Line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，DVD)、或者半导体介质(例如固态硬盘(Solid State Disk，SSD))等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种网络验伤方法，应用于验伤服务器，其特征在于，包括：

获取网络安全设备生成的恶意流量信息；所述恶意流量信息，用于确定所述网络安全设备从进出目标网络的数据流量中检测出的恶意流量；

获取所述目标网络中处理所述恶意流量的目标终端设备的事件记录；所述事件记录中包括所述目标终端设备的操作记录以及进出所述目标终端设备的网络数据包记录；

在所述事件记录查找与所述恶意流量相关的目标记录；

根据所述目标记录，确定所述恶意流量的威胁等级。

2.根据权利要求1所述网络验伤方法，其特征在于，在确定所述恶意流量的威胁等级之后，所述方法还包括：

若所述恶意流量的威胁等级符合预设条件，则向所述目标终端设备发送修复指令；所述修复指令，用于指示所述目标终端设备修复处理所述恶意流量所执行的相应操作。

3.根据权利要求1所述网络验伤方法，其特征在于，所述获取所述目标网络中处理所述恶意流量的目标终端设备的事件记录，具体包括：

周期获取所述目标网络中各终端设备的事件记录；

根据所述恶意流量信息，从所述各终端设备的事件记录中选出所述目标终端设备的事件记录；其中，所述恶意流量信息中包含所述目标终端设备的标识。

4.根据权利要求1所述网络验伤方法，其特征在于，若所述恶意流量为恶意文件，则所述根据所述目标记录，确定所述恶意流量的威胁等级，具体包括：

根据所述目标记录，确定所述恶意流量在所述目标终端设备上的活跃进程、自启动项以及所述恶意文件的关联恶意文件的进程、所述恶意文件的关联恶意访问地址的关联进程；

根据所述网络安全设备对所述恶意文件的检测结果，生成第一评分结果；

根据所述恶意流量在所述目标终端设备上的活跃进程以及自启动项，生成第二评分结果；

根据所述恶意文件是否有数字签名，生成第三评分结果；

根据所述恶意文件是否为网络下载，生成第四评分结果；

根据所述目标终端设备上是否运行有所述恶意文件的关联恶意文件的进程，以及是否运行有所述恶意文件的关联恶意访问地址的关联进程，生成第五评分结果；

根据所述第一评分结果、所述第二评分结果、所述第三评分结果、所述第四评分结果、所述第五评分结果，确定所述恶意流量的威胁等级。

5.根据权利要求1所述网络验伤方法，其特征在于，若所述恶意流量为传输对端是恶意访问地址的数据，则所述根据所述目标记录，确定所述恶意流量的威胁等级，具体包括：

根据所述目标记录，确定与所述恶意访问地址进行通讯的活跃进程、在所述目标终端设备上运行的所述恶意访问地址的关联恶意文件的进程，以及所述恶意访问地址的关联恶意访问地址的关联进程；

根据所述网络安全设备对所述恶意访问地址的检测结果，生成第六评分结果；

根据所述目标终端设备与所述恶意访问地址进行通讯的活跃进程，生成第七评分结果；

根据所述目标终端设备上是否运行有所述恶意访问地址的关联恶意文件的进程，以及是否运行有所述恶意访问地址的关联恶意访问地址的关联进程，生成第八评分结果；

根据所述第六评分结果、所述第七评分结果、所述第八评分结果，确定所述恶意流量的威胁等级。

6.一种验伤服务器，其特征在于，包括：

获取单元，用于获取网络安全设备生成的恶意流量信息；所述恶意流量信息，用于确定所述网络安全设备从进出目标网络的数据流量中检测出的恶意流量；

所述获取单元，还用于获取所述目标网络中处理所述恶意流量的目标终端设备的事件记录；所述事件记录中包括所述目标终端设备的操作记录以及进出所述目标终端设备的网络数据包记录；

查询单元，用于在所述事件记录查找与所述恶意流量相关的目标记录；

等级确定单元，用于根据所述目标记录，确定所述恶意流量的威胁等级。

7.根据权利要求6所述验伤服务器，其特征在于，所述验伤服务器还包括：发送单元；

所述发送单元，用于在所述等级确定单元根据所述目标记录确定所述恶意流量的威胁等级后，若所述恶意流量的威胁等级符合预设条件，则向所述目标终端设备发送修复指令。

8.根据权利要求6所述验伤服务器，其特征在于，

所述获取单元，具体用于周期获取所述目标网络中各终端设备的事件记录；根据所述恶意流量信息，从所述各终端设备的事件记录中选出所述目标终端设备的事件记录；其中，所述恶意流量信息中包含所述目标终端设备的标识。

9.根据权利要求6所述验伤服务器，其特征在于，若所述恶意流量为恶意文件，则所述等级确定单元，具体用于

根据所述目标记录，确定所述恶意流量在所述目标终端设备上的活跃进程、自启动项以及所述恶意文件的关联恶意文件的进程、所述恶意文件的关联恶意访问地址的关联进程；

根据所述网络安全设备对所述恶意文件的检测结果，生成第一评分结果；

根据所述恶意流量在所述目标终端设备上的活跃进程以及自启动项，生成第二评分结果；

根据所述恶意文件是否有数字签名，生成第三评分结果；

根据所述恶意文件是否为网络下载，生成第四评分结果；

根据所述目标终端设备上是否运行有所述恶意文件的关联恶意文件的进程，以及是否运行有所述恶意文件的关联恶意访问地址的关联进程，生成第五评分结果；

根据所述第一评分结果、所述第二评分结果、所述第三评分结果、所述第四评分结果、所述第五评分结果，确定所述恶意流量的威胁等级。

10.根据权利要求6所述验伤服务器，其特征在于，若所述恶意流量为传输对端是恶意访问地址的数据，则所述等级确定单元，具体用于：

根据所述目标记录，确定与所述恶意访问地址进行通讯的活跃进程、在所述目标终端设备上运行的所述恶意访问地址的关联恶意文件的进程，以及所述恶意访问地址的关联恶意访问地址的关联进程；

根据所述网络安全设备对所述恶意访问地址的检测结果，生成第六评分结果；

根据所述目标终端设备与所述恶意访问地址进行通讯的活跃进程，生成第七评分结果；

根据所述目标终端设备上是否运行有所述恶意访问地址的关联恶意文件的进程，以及是否运行有所述恶意访问地址的关联恶意访问地址的关联进程，生成第八评分结果；

根据所述第六评分结果、所述第七评分结果、所述第八评分结果，确定所述恶意流量的威胁等级。