[发明专利]网络安全检测方法、装置、设备及存储介质

说明书

本申请实施例提供一种网络安全检测方法、装置、设备及存储介质。该方法包括：获取所述电子设备的运行特征、流量特征和主机特征；对所述运行特征进行应用运行时自我防护RASP检测，得到至少一个第一子事件，以及对所述流量特征和所述主机特征进行安全检测，得到至少一个第二子事件；根据所述至少一个第一子事件和所述至少一个第二子事件，确定至少一个第一网络攻击事件；根据所述至少一个第一网络攻击事件，确定所述电子设备的目标安全检测结果。提高了网络安全检测的可靠性。

技术领域

本申请实施例涉及计算机安全领域，尤其涉及一种网络安全检测方法、装置、设备及存储介质。

背景技术

目前，黑客可以通过内存Webshell(内存后门)攻击电子设备，例如，黑客可以将内存Webshell存放到电子设备的内存中，并通过内存Webshell控制电子设备，以实现攻击电子设备。

电子设备可以进行安全检测以避免受到内存Webshell攻击。在相关技术中，电子设备可以通过如下方式进行安全检测：获取内存Webshell的特征，并根据内存Webshell的特征，在内存中进行特征检测，通过检测结果确定内存中是否存在内存Webshell。然而，在上述过程中，由于在实际的应用中，部分业务的业务特征与内存Webshell的特征较为相似，可能存在将业务特征确定为内存Webshell的特征的情况，导致网络安全检测可靠性较低。

发明内容

本申请实施例提供一种网络安全检测方法、装置、设备及存储介质，用以解决网络安全检测可靠性较低的问题。

第一方面，本申请实施例提供一种网络安全检测方法，应用于电子设备，所述方法包括：

获取所述电子设备的运行特征、流量特征和主机特征；

对所述运行特征进行应用运行时自我防护RASP检测，得到至少一个第一子事件，以及对所述流量特征和所述主机特征进行安全检测，得到至少一个第二子事件；

根据所述至少一个第一子事件和所述至少一个第二子事件，确定至少一个第一网络攻击事件；

根据所述至少一个第一网络攻击事件，确定所述电子设备的目标安全检测结果。

在一种可能的实施方式中，根据所述至少一个第一子事件和所述至少一个第二子事件，确定至少一个第一网络攻击事件，包括：

获取第一对应关系，所述第一对应关系包括多个网络攻击事件、以及每个网络攻击事件对应的至少一个子事件；

根据所述至少一个第一子事件、所述至少一个第二子事件和所述第一对应关系，确定所述至少一个第一网络攻击事件。

在一种可能的实施方式中，根据所述至少一个第一子事件、所述至少一个第二子事件和所述第一对应关系，确定所述至少一个第一网络攻击事件，包括：

根据所述至少一个第一子事件和所述第一对应关系，确定每个第一子事件对应的第二网络攻击事件，所述第二网络攻击事件对应的至少一个子事件中包括所述第一子事件；

根据所述至少一个第二子事件和所述第一对应关系，确定每个第二子事件对应的第三网络攻击事件，所述第三网络攻击事件对应的至少一个子事件中包括所述第二子事件；

确定所述至少一个第一网络攻击事件包括：每个第一子事件对应的第二网络攻击事件、以及每个第二子事件对应的第三网络攻击事件。

在一种可能的实施方式中，根据所述至少一个第一网络攻击事件，确定所述电子设备的目标安全检测结果，包括：

确定每个第一网络攻击事件的事件发生时刻；

根据所述至少一个第一网络攻击事件和每个第一网络攻击事件的事件发生时刻，生成所述电子设备对应的第一网络攻击链；