[发明专利]网络威胁检测方法、装置、设备及存储介质

权利要求书

1.一种网络威胁检测方法，其特征在于，包括：

根据网络流量检测网络攻击行为；

在检测到针对被监测的主机的网络攻击行为时，确定所述主机是否具有漏洞信息；

若所述主机具有漏洞信息，则将所述漏洞信息与所述网络攻击行为配置为关联信息，所述关联信息用于攻击事件的分析确认。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在检测到针对被监测主机的网络攻击行为后，获取所述主机的状态信息；

所述确定所述主机是否具有漏洞信息，包括：

根据所述状态信息确定所述主机是否具有漏洞信息。

3.根据权利要求2所述的方法，其特征在于，所述根据所述状态信息确定所述主机是否具有漏洞信息，包括：

将所述状态信息与漏洞信息库进行匹配；

当所述状态信息与所述漏洞信息库中的任一种或多种漏洞信息成功匹配时，确定所述主机具有漏洞信息。

4.根据权利要求3所述的方法，其特征在于，所述主机的状态信息至少包括如下任一种：

日志数据、文件状态和运行的软件版本信息。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

监控被监测各主机的状态信息；

根据各主机的状态信息分别确定各主机是否具有漏洞信息，并将具有漏洞信息的主机记录为存在安全隐患的主机；

所述确定所述主机是否具有漏洞信息，具体为：

从所述存在安全隐患的主机中查询所述主机，并在查询到所述主机时，确定所述主机具有漏洞信息。

6.根据权利要求1所述的方法，其特征在于，所述根据网络流量检测网络攻击行为，具体为：

确定所述网络流量的源IP地址和/或目的IP地址；

若所述网络流量的源IP地址和/或目的IP地址，不在预先配置的IP地址端口白名单中，则对所述网络流量进行入侵检测系统IDS检测，根据检测结果确定是否发生网络攻击行为，其中，所述网络攻击行为是针对所述网络流量的目的IP地址指示的主机进行的。

7.根据权利要求1～6中任一项所述的方法，其特征在于，所述方法还包括：

检测到针对被检测主机的网络攻击行为时，生成第一类报警信息；

确定主机具有漏洞信息时，生成第二类报警信息；

将针对同一主机生成的第一类报警信息和第二类报警信息，配置为相关联的报警信息，所述相关联的报警信息用于攻击事件的分析确认。

8.一种网络威胁检测方法，其特征在于，包括：

根据被监测主机的状态信息确定主机是否有漏洞信息；

在确定主机具有漏洞信息时，根据网络流量检测该主机是否受到网络攻击行为；

若检测到针对该主机的网络攻击行为，则将所述漏洞信息与所述网络攻击行为配置为关联信息，所述关联信息用于攻击事件的分析确认。

9.一种网络威胁检测装置，其特征在于，包括：

第一检测模块，用于根据网络流量检测网络攻击行为；

第二检测模块，用于在检测到针对被监测主机的网络攻击行为时，确定所述主机是否具有漏洞信息；

关联检测模块，用于若所述主机具有漏洞信息，则将所述漏洞信息与所述网络攻击行为配置为关联信息，所述关联信息用于攻击事件的分析确认。

10.根据权利要求9所述的装置，其特征在于，所述装置还包括：

获取模块，用于在检测到针对被监测主机的网络攻击行为后，获取所述主机的状态信息；

所述第二检测模块，用于根据所述状态信息确定所述主机是否具有漏洞信息。