[发明专利]网络连接检测方法、装置、电子设备和存储介质

说明书

本申请提出一种网络连接检测方法、装置、电子设备和存储介质，其中，方法包括：将运行日志信息中的每一个进程与预设进程白名单表进行匹配，获取与预设进程白名单表匹配的进程，检测与预设进程白名单表匹配的进程是否存在内网网络连接，获取存在内网网络连接的进程，检测存在内网网络连接的进程是否存在外网网络连接，若存在外网网络连接的进程，则检测存在外网网络连接的进程对应的内网网络连接时间与外网网络连接时间是否重叠，若存在内网网络连接时间与外网网络连接时间重叠的进程且为主动连接，若存在主动连接的进程，则获取目标进程信息发送告警提示，由此，提高检测利用端口转发构建隧道的危险行为的准确性。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种网络连接检测方法、装置、电子设备和存储介质。

背景技术

通常，在网络攻击行为中，当攻击者获取一定权限后，在横向移动过程中，对于内网的业务系统，往往会通过在获取权限的主机上通过端口转发相关技术构建一个隧道，使得攻击者本地的黑客工具可以通过外网直接访问到内网的其他服务，从而进行横向移动。

相关技术中，通过流量监控等方式对网络攻击行为进行检测，存在检测能力和覆盖范围有限的技术问题。

发明内容

本申请旨在至少在一定程度上解决上述相关技术中的技术问题之一。

为此，本申请的第一个目的在于提出一种网络连接检测方法，解决了现有技术中针对网络连接行为检测的检测能力和覆盖范围有限，导致检测效率比较低和准确性比较差的技术问题，通过目标设备的运行日志信息来识别同一个进程是否同时维护了到外网的网络连接和到内网的网络连接，并且都是主动去建立到内网的连接和到外网的连接，来实时检测利用端口转发构建隧道的危险行为，提高检测的准确性。

本申请的第二个目的在于提出一种网络连接检测装置。

本申请的第二个目的在于提出一种计算机设备。

本申请的第四个目的在于提出一种非临时性计算机可读存储介质。

为达上述目的，本申请第一方面实施例提出了一种网络连接检测方法，包括：从预设数据库中获取目标设备的运行日志信息，将所述运行日志信息中的每一个进程与预设进程白名单表进行匹配；获取与预设进程白名单表匹配的进程，检测所述与预设进程白名单表匹配的进程是否存在内网网络连接；获取存在内网网络连接的进程，检测所述存在内网网络连接的进程是否存在外网网络连接；若存在外网网络连接的进程，则检测所述存在外网网络连接的进程对应的内网网络连接时间与外网网络连接时间是否重叠；若存在所述内网网络连接时间与所述外网网络连接时间重叠的进程，则检测所述内网网络连接时间与所述外网网络连接时间重叠的进程是否为主动连接；若存在主动连接的进程，则获取目标进程信息发送告警提示。

另外，本申请实施例的网络连接检测方法，还具有如下附加的技术特征：

可选地，在所述从预设数据库中获取目标设备的运行日志信息之前，包括：通过日志采集装置获取所述目标设备的运行日志信息；将所述目标设备的运行日志信息存储在所述预设数据库。

可选地，所述将所述运行日志信息中的每一个进程与预设进程白名单表进行匹配，包括：获取所述每一个进程的进程文件信息；对所述进程文件信息进行哈希处理，生成每一个进程对应的哈希值；判断所述每一个进程对应的哈希值是否存在所述预设进程白名单表中。

可选地，所述获取与预设进程白名单表匹配的进程，检测所述与预设进程白名单表匹配的进程是否存在内网网络连接，包括：获取与预设进程白名单表匹配的第一进程，以及所述第一进程对应的子进程；检测所述第一进程是否为预设内网网段类型；和/或，检测所述第一进程对应的子进程是否为所述预设内网网段类型。

可选地，所述获取存在内网网络连接的进程，检测所述存在内网网络连接的进程是否存在外网网络连接，包括：