[发明专利]一种网络验伤方法及设备

说明书

本发明实施例提供一种网络验伤方法及设备，涉及网络安全领域。本发明实施例能够更加准确的分析出恶意流量的威胁等级。该方法包括：获取网络安全设备生成的恶意流量信息；恶意流量信息，用于确定网络安全设备从进出目标网络的数据流量中检测出的恶意流量；获取目标网络中处理恶意流量的目标终端设备的事件记录；事件记录中包括目标终端设备的操作记录以及进出目标终端设备的网络数据包记录；在事件记录查找与恶意流量相关的目标记录；根据目标记录，确定恶意流量的威胁等级。本发明应用于网络验伤。

技术领域

本发明涉及网络安全领域，尤其涉及一种网络验伤方法及设备。

背景技术

现有技术中，为了保证内部网络的数据安全性，一般会在内部网络与外部网络的出入口部署基于网络流量分析的网络安全设备。这些网络安全设备通过对进出内部网络的数据流量进行检测，来实现检测恶意文件的功能。但在检测到恶意文件后，网络安全设备并不能知道该恶意文件是否在终端设备上运行以及运行产生的具体危害，因此无法准确判断出恶意文件的威胁程度。

发明内容

本发明的的实施例提供一种网络验伤方法及设备，能够更加准确的分析出恶意流量的威胁等级。

第一方面，本发明提供一种网络验伤方法，应用于验伤服务器，该方法包括：获取网络安全设备生成的恶意流量信息；恶意流量信息，用于确定网络安全设备从进出目标网络的数据流量中检测出的恶意流量；获取目标网络中处理恶意流量的目标终端设备的事件记录；事件记录中包括目标终端设备的操作记录以及进出目标终端设备的网络数据包记录；在事件记录查找与恶意流量相关的目标记录；根据目标记录，确定恶意流量的威胁等级。

第二方面，本发明实施例提供一种验伤服务器，包括：获取单元，用于获取网络安全设备生成的恶意流量信息；恶意流量信息，用于确定网络安全设备从进出目标网络的数据流量中检测出的恶意流量；获取单元，还用于获取目标网络中处理恶意流量的目标终端设备的事件记录；事件记录中包括目标终端设备的操作记录以及进出目标终端设备的网络数据包记录；查询单元，用于在事件记录查找与恶意流量相关的目标记录；等级确定单元，用于根据目标记录，确定恶意流量的威胁等级。

本发明实施例中在网络安全设备对进出目标网络的数据流量检测并发现恶意流量后，通过获取网络安全设备生成的恶意流量信息可以确定该恶意流量。再通过获取处理该恶意流量的目标终端设备的事件记录，并从事件记录中查找与恶意流量相关的目标记录，从而可以确定恶意流量在目标终端设备上的运行情况。进而可以根据目标记录对恶意流量进行准确的威胁等级判断。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。

图1为一种网络构架的结构示意图；

图2为本发明实施例提供的一种网络构架的结构示意图；

图3为本发明实施例提供的一种探针程序的功能模块图；

图4为本发明实施例提供的一种网络安全设备的功能模块图；

图5为本发明实施例提供的一种验伤服务器的功能模块图；

图6为本发明实施例提供的一种网络验伤方法的流程示意图；

图7为本发明实施例提供的一种终端设备与验伤服务器之间的交互流程示意图；

图8为本发明实施例提供的一种验伤服务器的结构示意图；

图9为本发明实施例提供的另一种验伤服务器的结构示意图；

图10为本发明实施例提供的又一种验伤服务器的结构示意图。

具体实施方式