[发明专利]网络安全检测方法、终端及网络安全设备

权利要求书

1.一种网络安全检测方法，其特征在于，所述方法包括：

获取网络安全设备发送的定位满足预设条件的网络行为对应的目标文件的请求；

根据所述请求，确定所述网络行为所属进程的进程标识符；

从存储的进程链表中，确定所述进程标识符所属的目标进程链；

获取所述目标进程链中每一进程的属性信息，得到属性信息集合；

将所述属性信息集合反馈给所述网络安全设备，以使所述网络安全设备定位所述网络行为对应的目标文件；

其中，所述方法还包括：

监控每一所述进程，并获取每一所述进程对应的属性信息；

根据每一所述进程对应的属性信息，确定每一所述进程对应的关联进程；

根据每一所述进程的属性信息和对应的关联进程的属性信息，建立每一所述进程的进程链表并存储。

2.根据权利要求1所述的方法，其特征在于，所述根据所述请求，确定所述网络行为所属进程的进程标识符，包括：

确定所述网络行为携带的第一请求；

在所述第一请求为域名解析请求的情况下，确定所述域名解析请求的目标域名；

根据所述目标域名，确定响应所述域名解析请求的目的IP地址；

根据所述目的IP地址，在所述进程集合中确定目标进程；

根据所述目标进程的会话信息，确定所述目标进程的第一进程标识符；

将所述第一进程标识符，确定为所述网络行为所属进程的进程标识符。

3.根据权利要求2所述的方法，其特征在于，所述根据所述目的IP地址，在所述进程集合中确定目标进程，包括：

获取所述进程集合中每一进程的源IP地址；

将所述源IP地址与所述目的IP地址相匹配的进程，确定为所述目标进程。

4.根据权利要求1所述的方法，其特征在于，所述根据所述请求，确定所述网络行为所属进程的进程标识符，包括：

确定所述网络行为携带的第二请求；

在所述第二请求为域名绑定请求的情况下，获取所述域名绑定请求的映射关系；

根据所述映射关系，确定所述域名绑定请求所属进程的第二进程标识符；

将所述第二进程标识符，确定为所述网络行为所属进程的进程标识符。

5.根据权利要求4所述的方法，其特征在于，在所述第二请求为域名绑定请求的情况下，获取所述域名绑定请求的映射关系之前，所述方法还包括：

在检测到域名绑定请求的情况下，获取所述域名绑定请求所属进程的进程标识符；

建立所述域名绑定请求与所述域名绑定请求所属进程的进程标识符之间的对应关系，形成所述映射关系。

6.一种网络安全检测方法，其特征在于，所述方法包括：

在检测到满足预设条件的网络行为的情况下，向终端发送定位所述网络行为对应的目标文件的请求；

接收所述终端反馈的所述网络行为所属目标进程链的属性信息集合；

根据所述属性信息集合，定位所述网络行为对应的目标文件；

其中，所述网络行为所属目标进程链的属性信息集合是所述终端查询进程链表得到的；

所述进程链表是所述终端通过监控每一进程，并获取每一所述进程对应的属性信息；根据每一所述进程对应的属性信息，确定每一所述进程对应的关联进程；根据每一所述进程的属性信息和对应的关联进程的属性信息，建立每一所述进程的进程链表并存储得到的。