(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113746781A(43)申请公布日2021.12.03(21)申请号202010466922.7(22)申请日2020.05.28(71)申请人深信服科技股份有限公司地址518055广东省深圳市南山区学苑大道1001号南山智园A1栋一层(72)发明人周可李可胡炼董枫(74)专利代理机构深圳市深佳知识产权代理事务所(普通合伙)44285代理人夏欢(51)Int.Cl.H04L29/06(2006.01)权利要求书2页说明书10页附图4页(54)发明名称一种网络安全检测方法、装置、设备及可读存储介质(57)摘要本申请公开了一种网络安全检测方法、装置、设备及可读存储介质。本申请公开的方法包括：获取当前网络对应的文件特征信息和流量特征信息；利用目标算法检测文件特征信息和流量特征信息，获得检测结果；根据检测结果生成检测逻辑和检测库，并按照检测逻辑和检测库进行网络安全防护。本申请实现了网络威胁的发现到处理的闭环流程，有效地提升了网络安全和防御能力。相应地，本申请提供的一种网络安全检测装置、设备及可读存储介质，也同样具有上述技术效果。CN113746781ACN113746781A权利要求书1/2页1.一种网络安全检测方法，其特征在于，包括：获取当前网络对应的文件特征信息和流量特征信息；利用目标算法检测所述文件特征信息和所述流量特征信息，获得检测结果；根据所述检测结果生成检测逻辑和检测库，并按照所述检测逻辑和所述检测库进行网络安全防护。2.根据权利要求1所述的网络安全检测方法，其特征在于，所述获取文件特征信息和流量特征信息，包括：利用蜜罐捕获访问当前网络时产生的访问日志和文件；利用沙箱服务器分析所述文件，获得文件特征信息和分析日志；解析所述访问日志和所述分析日志，获得流量特征信息。3.根据权利要求2所述的网络安全检测方法，其特征在于，所述利用蜜罐捕获访问当前网络时产生的访问日志和文件，包括：利用代理服务器接收访问当前网络的请求；将所述请求按照访问端口类型导流至不同类型的蜜罐；利用所述不同类型的蜜罐捕获所述访问日志和所述文件。4.根据权利要求2所述的网络安全检测方法，其特征在于，所述利用沙箱服务器分析所述文件，获得文件特征信息和分析日志，包括：利用所述沙箱服务器分析所述文件对应的文件属性和文件行为，获得所述文件特征信息；其中，所述文件特征信息包括：文件属性特征和文件行为特征；所述文件属性特征包括：PE文件属性、注册表信息和互斥量；所述文件行为特征包括：定时任务、文件操作行为和文件注入行为；根据分析过程中产生的日志记录生成所述分析日志。5.根据权利要求2所述的网络安全检测方法，其特征在于，所述解析所述访问日志和所述分析日志，获得流量特征信息，包括：按照协议类型解析所述访问日志和所述分析日志，获得流量协议特征；所述流量协议特征包括：协议属性特征、IP、URL、端口和Domain；提取所述访问日志和所述分析日志中的流量行为特征，所述流量行为特征包括：字符串特征、内存特征、进程特征、文件操作特征、注册表特征和静态特征；所述流量特征信息包括所述流量协议特征和所述流量行为特征。6.根据权利要求1至5任一项所述的网络安全检测方法，其特征在于，所述按照所述检测逻辑和所述检测库进行网络安全防护，包括：若接收到访问请求，则提取所述访问请求包括的访问特征；利用所述检测库检测所述访问特征是否包含恶意信息；所述检测库包括：爆破彩虹表、恶意域名库、恶意URL库、恶意文件库和恶意mutex库；若是，则拦截所述访问请求；或将所述检测逻辑和所述检测库传输至终端设备，以使所述终端设备在接收到访问请求后，提取所述访问请求包括的访问特征，利用所述检测库检测所述访问特征是否包含恶意信息；若是，则拦截所述访问请求。2CN113746781A权利要求书2/2页7.根据权利要求1至5任一项所述的网络安全检测方法，其特征在于，所述利用目标算法检测所述文件特征信息和所述流量特征信息，获得检测结果之后，还包括：接收还原访问过程的请求；根据所述请求提取所述检测结果中的流量行为特征和文件行为特征；按照所述流量行为特征和所述文件行为特征还原访问过程。8.一种网络安全检测装置，其特征在于，包括：获取模块，用于获取当前网络对应的文件特征信息和流量特征信息；检测模块，用于利用目标算法检测所述文件特征信息和所述流量特征信息，获得检测结果；安全防护模块，用于根据所述检测结果生成检测逻辑和检测库，并按照所述检测逻辑和所述检测库进行网络安全防护。9.一种网络安全检测设备，其特征在于，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序，以实现如权利要求1至7任一项所述的网络安全检测方法。10.一种可读存储介质，其特征在于，