本申請公開了一種網絡安全防御中的威脅追捕方法，包括：獲取威脅情報中更新后的網絡威脅特征信息；調用歷史生成并存儲的流量記錄數據庫，根據網絡威脅特征信息對流量記錄數據庫進行匹配查找；流量記錄數據庫中記錄有歷史網絡流量的流量特征元數據；若匹配查找成功，則根據與網絡威脅特征信息匹配的流量特征元數據確定網絡中的威脅活動信息。本申請通過建立流量記錄數據庫對網絡流量的流量特征元數據進行存儲，利用回溯檢測有效地提高了針對于網絡威脅的檢測能力，增強了網絡安全防御能力。本申請還公開了一種網絡安全防御中的威脅追捕裝置、設備及計算機可讀存儲介質，同樣具有上述有益效果。

技術領域

本申請涉及網絡安全技術領域，特別涉及一種網絡安全防御中的威脅追捕方法、裝置、設備及計算機可讀存儲介質。

背景技術

隨著網絡技術的迅速發展和廣泛應用，網絡安全問題也凸顯出其重要性。

由于網絡的開放性和網絡資源的共享性等因素，計算機網絡容易遭受各種病毒、黑客、惡意軟件等其他不軌行為的攻擊。在這些威脅中，不乏一些未知的、具有潛伏性的高級威脅，它們通常在入侵成功后具有較長的潛伏期，并沒有過多的威脅行為和威脅數據表現，難以被現有的網絡威脅檢測產品檢測出來。

事實上，每天都有大量的未知網絡威脅出現，因此，用于配合檢測網絡威脅的威脅情報也是需要不斷更新的，以便掌握新型網絡威脅的特征信息。但是，現有的網絡威脅檢測產品往往只能對網絡流量數據進行實時檢測而不具備回溯檢測能力，所以，一旦這些未知的潛伏威脅在實時檢測中沒有被發現之后，現有的網絡威脅檢測產品并不會對其再次進行檢測。也就是說，現有的網絡威脅檢測產品很容易令一些網絡威脅成為威脅情報更新不充分時的漏網之魚，而一旦這些未知網絡威脅進入潛伏期之后，就很難再被檢測出來，形成網絡安全隱患。

由此可見，采用何種網絡威脅檢測技術以便有效提高檢測能力以增強網絡安全防御能力，是本領域技術人員所亟待解決的技術問題。

發明內容

本申請的目的在于提供一種網絡安全防御中的威脅追捕方法、裝置、設備及計算機可讀存儲介質，以便有效地提高檢測能力進而增強網絡安全防御能力。

為解決上述技術問題，本申請提供一種網絡安全防御中的威脅追捕方法，包括：

獲取威脅情報中更新后的網絡威脅特征信息；

調用歷史生成并存儲的流量記錄數據庫，根據所述網絡威脅特征信息對所述流量記錄數據庫進行匹配查找；所述流量記錄數據庫中記錄有歷史網絡流量的流量特征元數據；

若所述匹配查找成功，則根據與所述網絡威脅特征信息匹配的所述流量特征元數據確定網絡中的威脅活動信息。

可選地，所述網絡威脅特征信息包括以下任意一種或者任意組合：

惡意IP地址、惡意統一資源定位符、惡意域名、惡意樣本MD5。

可選地，所述流量特征元數據包括以下任意一種或者任意組合：

NETFLOW元數據、HTTPFLOW元數據、DNSFLOW元數據、MAILFLOW元數據。

可選地，所述流量記錄數據庫的生成過程包括：

采集網絡流量的原始數據；

對所述原始數據進行內容解析以生成所述流量特征元數據；

對所述流量特征元數據進行過濾，以便清洗掉與當前已知網絡威脅特征信息匹配的所述流量特征元數據；

存儲所述流量特征元數據。

可選地，在所述對所述原始數據進行內容解析以生成所述流量特征元數據之后，還包括：

提取所述流量特征元數據的關鍵字段；