本發明實施例提供一種網絡攻擊的檢測方法及電子設備，涉及網絡安全領域。本發明實施例能夠利用已知的惡意程序的行為記錄，對操作系統中未知的惡意程序進行檢測。該方法包括：獲取待檢測程序在操作系統中的行為記錄；根據待檢測程序在操作系統中的行為記錄，確定待檢測程序是否為可疑程序。本發明應用于檢測網絡攻擊。

技術領域

本發明涉及網絡安全領域，尤其涉及一種網絡攻擊的檢測方法及電子設備。

背景技術

隨著社會信息化的發展，互聯網已經深入到社會生活的各個方面。隨之而來的，網絡中的惡意軟件、惡意攻擊等問題對網絡安全有著很大的威脅。為了保證網絡安全，現有技術中通常采用通過檢測文件的哈希值的方式，來檢測病毒文件，并進行清理。

針對上述現有技術，本發明發明人發現，上述檢測方法只利用了孤立的對象即病毒文件本身進行判定，判定過程是上下文缺失的，進而只能對已知的攻擊進行檢測。一旦攻擊者只要對攻擊的某些參數稍作修改，例如進行病毒變種，就會使攻擊文件的哈希值發生改變，現有的檢測方法也就失效了。因此，目前急需一種能夠檢測未知攻擊的方法。

發明內容

本發明提供一種網絡攻擊的檢測方法及電子設備，能夠利用已知的惡意程序的行為記錄，對操作系統中未知的惡意程序進行檢測。

為達到上述目的，本發明的實施例采用如下技術方案：

第一方面，本發明實施例提供一種網絡攻擊的檢測方法，該方法包括：獲取待檢測程序在操作系統中的行為記錄；根據待檢測程序在操作系統中的行為記錄，確定待檢測程序是否為可疑程序。

可選的，根據待檢測程序在操作系統中的行為記錄，確定待檢測程序是否為可疑程序，具體包括：將待檢測程序在操作系統中的行為記錄與規則庫中的行為記錄進行對比，若待檢測程序在操作系統中的行為記錄與規則庫中的行為記錄相匹配，則確定待檢測程序為可疑程序；其中，規則庫中包括至少一種惡意程序在操作系統中的行為記錄。

可選的，在將待檢測程序在操作系統中的行為記錄與規則庫中的行為記錄進行對比之前，方法還包括：根據至少一種惡意程序在操作系統中的行為記錄，生成至少一種OpenIOC規則，將至少一種OpenIOC規則保存至OpenIOC規則庫中；將待檢測程序在操作系統中的行為記錄與規則庫中的行為記錄進行對比，若待檢測程序在操作系統中的行為記錄與規則庫中的行為記錄相匹配，則確定待檢測程序為可疑程序，具體包括：將至少一種OpenIOC規則轉換為結構化查詢語言SQL查詢語句；利用SQL查詢語句，判斷待檢測程序在操作系統中的行為記錄與至少一種惡意程序在操作系統中的行為記錄是否匹配，若匹配則確定待檢測程序為可疑程序。

可選的，獲取待檢測程序在操作系統中的行為記錄，具體包括：獲取操作系統的系統快照；從操作系統的系統快照中獲取待檢測程序在操作系統中的行為記錄。

第二方面，本發明實施例提供一種電子設備，包括：獲取單元，用于獲取待檢測程序在操作系統中的行為記錄；確定單元，用于根據待檢測程序在操作系統中的行為記錄，確定待檢測程序是否為可疑程序。

可選的，確定單元，具體用于將待檢測程序在操作系統中的行為記錄與規則庫中的行為記錄進行對比，若待檢測程序在操作系統中的行為記錄與規則庫中的行為記錄相匹配，則確定待檢測程序為可疑程序；其中，規則庫中包括至少一種惡意程序在操作系統中的行為記錄。

可選的，電子設備還包括：規則生成單元；規則生成單元，用于在確定單元將待檢測程序在操作系統中的行為記錄與規則庫中的行為記錄進行對比之前，根據至少一種惡意程序在操作系統中的行為記錄，生成至少一種OpenIOC規則，將至少一種OpenIOC規則保存至OpenIOC規則庫中；確定單元，具體用于將至少一種OpenIOC規則轉換為SQL查詢語句；利用SQL查詢語句，判斷待檢測程序在操作系統中的行為記錄與至少一種惡意程序在操作系統中的行為記錄是否匹配，若匹配則確定待檢測程序為可疑程序。