[发明专利]一种网络威胁监测方法、装置、电子设备及可读存储介质

权利要求书

1.一种网络威胁监测方法，其特征在于，包括：

获取联网的进程对应的流量要素；

根据预设的威胁判断策略，确定所述流量要素是否为威胁要素；

响应于所述流量要素为威胁要素，查找与所述威胁要素对应的进程。

2.根据权利要求1所述的方法，其特征在于，所述获取联网的进程对应的流量要素，包括：

在操作系统的内核中，监控是否有进程建立网络连接；

响应于有进程建立网络连接，获取与联网的进程对应的流量要素。

3.根据权利要求1所述的方法，其特征在于，所述根据预设的威胁判断策略，确定所述流量要素是否为威胁要素，包括：

将所述进程对应的流量要素向预设的安全服务发送，以通过所述预设的安全服务中的威胁要素确定模块，确定所述流量要素是否为威胁要素。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

获取联网的进程的进程信息，其中，所述进程信息包括所述进程对应的内存信息、所述进程的环境变量和/或与所述进程对应的硬盘上的文件；

在所述查找与所述威胁要素对应的进程之后，所述方法还包括：

将所述进程对应的内存信息、所述进程的环境变量和/或与所述进程对应的硬盘上的文件向所述预设的安全服务发送，以通过所述预设的安全服务的威胁要素提取模块，提取所述进程对应的内存信息、所述进程的环境变量和/或与所述进程对应的硬盘上的文件中包括的威胁要素；

接收所述预设的安全服务发送的所述威胁要素。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

接收所述预设的安全服务发送的拦截规则，以使用所述拦截规则对威胁要素进行拦截，其中，所述拦截规则为根据所述威胁要素确定的规则。

6.根据权利要求3所述的方法，其特征在于，所述预设的安全服务运行于本地或服务端。

7.一种网络威胁监测装置，其特征在于，包括：

第一获取模块，用于获取联网的进程对应的流量要素；

确定模块，用于根据预设的威胁判断策略，确定所述流量要素是否为威胁要素；

查找模块，用于响应于所述流量要素为威胁要素，查找与所述威胁要素对应的进程。

8.根据权利要求7所述的装置，其特征在于，所述第一获取模块，具体用于：

在操作系统的内核中，监控是否有进程建立网络连接；

响应于有进程建立网络连接，获取与联网的进程对应的流量要素。

9.根据权利要求7所述的装置，其特征在于，所述确定模块，具体用于：

将所述进程对应的流量要素向预设的安全服务发送，以通过所述预设的安全服务中的威胁要素确定模块，确定所述流量要素是否为威胁要素。

10.根据权利要求9所述的装置，其特征在于，所述装置还包括：

第二获取模块，用于获取联网的进程的进程信息，其中，所述进程信息包括所述进程对应的内存信息、所述进程的环境变量和/或与所述进程对应的硬盘上的文件；

发送模块，用于在所述查找模块查找与所述威胁要素对应的进程之后，将所述进程对应的内存信息、所述进程的环境变量和/或与所述进程对应的硬盘上的文件向所述预设的安全服务发送，以通过所述预设的安全服务的威胁要素提取模块，提取所述进程对应的内存信息、所述进程的环境变量和/或与所述进程对应的硬盘上的文件中包括的威胁要素；

第一接收模块，用于接收所述预设的安全服务发送的所述威胁要素。

11.根据权利要求10所述的装置，其特征在于，所述装置还包括：

第二接收模块，用于接收所述预设的安全服务发送的拦截规则，以使用所述拦截规则对威胁要素进行拦截，其中，所述拦截规则为根据所述威胁要素确定的规则。