本發明涉及一種終端惡意流量規則更新方法，終端惡意流量規則更新方法包括：在接收到安全網關設備發送的規則標識為第一類規則標識，且接收到的用戶流量中存在惡意文件時，云端服務器對惡意文件模擬運行，并將惡意文件匹配的第二惡意流量規則以及規則標識下發給安全網關設備，以供安全網關設備將云端服務器下發的第二惡意流量規則以及規則標識添加至惡意流量規則數據庫中。本發明還提出一種云端服務器和安全網關。本發明云端服務器不斷根據安全網關上傳的用戶流量提取新的惡意流量規則更新安全網關中的數據庫，進而使得網關設備中的惡意規則的數據不斷更新，從而當有惡意攻擊行為時，能夠準確將其識別出來。

技術領域

本發明涉及通信安全技術領域，尤其涉及一種終端惡意流量規則更新方法、云端服務器和安全網關。

背景技術

惡意軟件在運行時，可以盜取用戶敏感信息，例如游戲賬號、網銀賬號、公司機密信息等，惡意軟件可以在用戶電腦植入后門來控制用戶電腦做非法事情，例如控制用戶電腦對外發起攻擊等，惡意軟件將用戶電腦作為跳板，感染公司內部云端服務器，危害非常大。傳統的惡意軟件的流量識別裝置通過在安全網關設備中預存惡意流量規則庫來識別惡意流量，而安全網關設備中預存的惡意流量規則庫往往是根據現有的惡意軟件的外部流量特征生成的，對未知的惡意軟件無法識別，往往在出現新的惡意流量規則時通過人工維護該惡意流量規則庫，在時間上存在一定的滯后性，惡意流量規則庫無法及時更新，從而當有惡意攻擊行為時，不能夠準確將其識別出來，使得惡意網絡流量的識別不夠準確。

發明內容

本發明的主要目的是提供一種終端惡意流量規則更新方法、云端服務器和安全網關，旨在使得終端的惡意網絡流量的識別更加準確。

本發明提出一種終端惡意流量規則更新方法，其特征在于，所述終端惡意流量規則更新方法包括以下步驟：

接收安全網關設備發送的用戶流量以及第一惡意流量規則的規則標識；

在接收到的規則標識為第一類規則標識，且接收到的用戶流量中存在惡意文件時，所述云端服務器對所述惡意文件模擬運行，確定所述惡意文件匹配的第二惡意流量規則；

所述云端服務器將匹配的所述第二惡意流量規則以及規則標識下發給安全網關設備，以供所述安全網關設備將所述云端服務器下發的所述第二惡意流量規則以及規則標識添加至所述惡意流量規則數據庫中。

優選地，所述接收安全網關設備發送的用戶流量以及惡意流量規則的規則標識的步驟之后，該方法包括：

在接收到的規則標識為第一類規則標識，且接收到的用戶流量中不存在惡意文件時，或者在接收到的規則標識為第二類規則標識時，所述云端服務器確定接收到的用戶流量是否與預設的白名單規則匹配；

在接收到的用戶流量與預設的白名單規則匹配時，所述云端服務器向所述安全網關設備下發惡意流量規則刪除指令，以供所述安全網關設備基于所述惡意流量規則刪除指令確定對應的規則標識，并刪除預存的惡意流量規則數據庫中該規則標識所對應的所述第一惡意流量規則。

優選地，所述在接收到的規則標識為第一類規則標識，且接收到的用戶流量中不存在惡意文件時，或者在接收到的規則標識為第二類規則標識時，所述云端服務器確定接收到的用戶流量是否與預設的白名單規則匹配的步驟之后，所述終端惡意流量規則更新方法還包括：

在接收到的用戶流量與預設的白名單規則不匹配時，所述云端服務器由接收到的用戶流量中提取流量特征；

所述云端服務器將提取的流量特征添加至預設的特征庫中。

此外，為實現上述目的，本發明還提出一種終端惡意流量規則更新方法，所述終端惡意流量規則更新方法包括步驟：