本發(fā)明涉及一種終端惡意流量規(guī)則更新方法，終端惡意流量規(guī)則更新方法包括：在接收到安全網(wǎng)關(guān)設(shè)備發(fā)送的規(guī)則標(biāo)識(shí)為第一類規(guī)則標(biāo)識(shí)，且接收到的用戶流量中存在惡意文件時(shí)，云端服務(wù)器對(duì)惡意文件模擬運(yùn)行，并將惡意文件匹配的第二惡意流量規(guī)則以及規(guī)則標(biāo)識(shí)下發(fā)給安全網(wǎng)關(guān)設(shè)備，以供安全網(wǎng)關(guān)設(shè)備將云端服務(wù)器下發(fā)的第二惡意流量規(guī)則以及規(guī)則標(biāo)識(shí)添加至惡意流量規(guī)則數(shù)據(jù)庫中。本發(fā)明還提出一種云端服務(wù)器和安全網(wǎng)關(guān)。本發(fā)明云端服務(wù)器不斷根據(jù)安全網(wǎng)關(guān)上傳的用戶流量提取新的惡意流量規(guī)則更新安全網(wǎng)關(guān)中的數(shù)據(jù)庫，進(jìn)而使得網(wǎng)關(guān)設(shè)備中的惡意規(guī)則的數(shù)據(jù)不斷更新，從而當(dāng)有惡意攻擊行為時(shí)，能夠準(zhǔn)確將其識(shí)別出來。

技術(shù)領(lǐng)域

本發(fā)明涉及通信安全技術(shù)領(lǐng)域，尤其涉及一種終端惡意流量規(guī)則更新方法、云端服務(wù)器和安全網(wǎng)關(guān)。

背景技術(shù)

惡意軟件在運(yùn)行時(shí)，可以盜取用戶敏感信息，例如游戲賬號(hào)、網(wǎng)銀賬號(hào)、公司機(jī)密信息等，惡意軟件可以在用戶電腦植入后門來控制用戶電腦做非法事情，例如控制用戶電腦對(duì)外發(fā)起攻擊等，惡意軟件將用戶電腦作為跳板，感染公司內(nèi)部云端服務(wù)器，危害非常大。傳統(tǒng)的惡意軟件的流量識(shí)別裝置通過在安全網(wǎng)關(guān)設(shè)備中預(yù)存惡意流量規(guī)則庫來識(shí)別惡意流量，而安全網(wǎng)關(guān)設(shè)備中預(yù)存的惡意流量規(guī)則庫往往是根據(jù)現(xiàn)有的惡意軟件的外部流量特征生成的，對(duì)未知的惡意軟件無法識(shí)別，往往在出現(xiàn)新的惡意流量規(guī)則時(shí)通過人工維護(hù)該惡意流量規(guī)則庫，在時(shí)間上存在一定的滯后性，惡意流量規(guī)則庫無法及時(shí)更新，從而當(dāng)有惡意攻擊行為時(shí)，不能夠準(zhǔn)確將其識(shí)別出來，使得惡意網(wǎng)絡(luò)流量的識(shí)別不夠準(zhǔn)確。

發(fā)明內(nèi)容

本發(fā)明的主要目的是提供一種終端惡意流量規(guī)則更新方法、云端服務(wù)器和安全網(wǎng)關(guān)，旨在使得終端的惡意網(wǎng)絡(luò)流量的識(shí)別更加準(zhǔn)確。

本發(fā)明提出一種終端惡意流量規(guī)則更新方法，其特征在于，所述終端惡意流量規(guī)則更新方法包括以下步驟：

接收安全網(wǎng)關(guān)設(shè)備發(fā)送的用戶流量以及第一惡意流量規(guī)則的規(guī)則標(biāo)識(shí)；

在接收到的規(guī)則標(biāo)識(shí)為第一類規(guī)則標(biāo)識(shí)，且接收到的用戶流量中存在惡意文件時(shí)，所述云端服務(wù)器對(duì)所述惡意文件模擬運(yùn)行，確定所述惡意文件匹配的第二惡意流量規(guī)則；

所述云端服務(wù)器將匹配的所述第二惡意流量規(guī)則以及規(guī)則標(biāo)識(shí)下發(fā)給安全網(wǎng)關(guān)設(shè)備，以供所述安全網(wǎng)關(guān)設(shè)備將所述云端服務(wù)器下發(fā)的所述第二惡意流量規(guī)則以及規(guī)則標(biāo)識(shí)添加至所述惡意流量規(guī)則數(shù)據(jù)庫中。

優(yōu)選地，所述接收安全網(wǎng)關(guān)設(shè)備發(fā)送的用戶流量以及惡意流量規(guī)則的規(guī)則標(biāo)識(shí)的步驟之后，該方法包括：

在接收到的規(guī)則標(biāo)識(shí)為第一類規(guī)則標(biāo)識(shí)，且接收到的用戶流量中不存在惡意文件時(shí)，或者在接收到的規(guī)則標(biāo)識(shí)為第二類規(guī)則標(biāo)識(shí)時(shí)，所述云端服務(wù)器確定接收到的用戶流量是否與預(yù)設(shè)的白名單規(guī)則匹配；

在接收到的用戶流量與預(yù)設(shè)的白名單規(guī)則匹配時(shí)，所述云端服務(wù)器向所述安全網(wǎng)關(guān)設(shè)備下發(fā)惡意流量規(guī)則刪除指令，以供所述安全網(wǎng)關(guān)設(shè)備基于所述惡意流量規(guī)則刪除指令確定對(duì)應(yīng)的規(guī)則標(biāo)識(shí)，并刪除預(yù)存的惡意流量規(guī)則數(shù)據(jù)庫中該規(guī)則標(biāo)識(shí)所對(duì)應(yīng)的所述第一惡意流量規(guī)則。

優(yōu)選地，所述在接收到的規(guī)則標(biāo)識(shí)為第一類規(guī)則標(biāo)識(shí)，且接收到的用戶流量中不存在惡意文件時(shí)，或者在接收到的規(guī)則標(biāo)識(shí)為第二類規(guī)則標(biāo)識(shí)時(shí)，所述云端服務(wù)器確定接收到的用戶流量是否與預(yù)設(shè)的白名單規(guī)則匹配的步驟之后，所述終端惡意流量規(guī)則更新方法還包括：

在接收到的用戶流量與預(yù)設(shè)的白名單規(guī)則不匹配時(shí)，所述云端服務(wù)器由接收到的用戶流量中提取流量特征；

所述云端服務(wù)器將提取的流量特征添加至預(yù)設(shè)的特征庫中。

此外，為實(shí)現(xiàn)上述目的，本發(fā)明還提出一種終端惡意流量規(guī)則更新方法，所述終端惡意流量規(guī)則更新方法包括步驟：