本發明的實施例公開一種網絡威脅監測方法、裝置及電子設備，包括：在電子設備的操作系統的內核中，實時監控各進程的網絡連接的建立，以及通過網絡連接傳輸的IO數據包；基于監控得到的IO數據包，獲取各進程的聯網信息，聯網信息包括網絡連接的對端IP信息；針對各進程的對端IP信息，分別確定各進程中每個進程的網絡連接的首個IO數據包是否為攻擊載荷，得到表示該進程的網絡連接是否具有攻擊威脅的攻擊威脅信息；對應展示各進程的進程信息、聯網信息和攻擊威脅信息。采用本發明實施例提供的方案，可以使得管理人員更及時的發現網絡威脅，避免造成進一步的網絡安全損失。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種網絡威脅監測方法、裝置及電子設備。

背景技術

當前的網絡世界中存在大量各種類型病毒，其中不乏一些rootkit類病毒，這類病毒可能具有合法的證書簽名，或者，具備殺毒軟件防護，可以確保自身不被殺毒軟件查殺，并得以在操作系統(如：windows操作系統)中執行、

同時，這類病毒還會隱藏自己，使得用戶在操作系統的任務管理器(或一些第三方任務查看器)中無法發現他們的存在，但是卻在秘密的竊取用戶使用的電子設備里的數據，對用戶的網絡安全形成了極大威脅。

發明內容

有鑒于此，本發明實施例提供一種網絡威脅監測方法、裝置及電子設備，用以解決現有技術中無法及時發現網絡威脅的問題。

第一方面，本發明實施例提供一種網絡威脅監測方法，應用于電子設備，包括：

在所述電子設備的操作系統的內核中，實時監控各進程的網絡連接的建立，以及通過所述網絡連接傳輸的IO數據包；

基于監控得到的所述IO數據包，獲取所述各進程的聯網信息，所述聯網信息包括所述網絡連接的對端IP信息；

針對所述各進程的所述對端IP信息，分別確定所述各進程中每個進程的網絡連接的首個IO數據包是否為攻擊載荷，得到表示該進程的網絡連接是否具有攻擊威脅的攻擊威脅信息；

對應展示所述各進程的進程信息、所述聯網信息和所述攻擊威脅信息。

根據本發明實施例的一種具體實現方式，還包括：

當攻擊威脅信息表示進程的網絡連接具有攻擊威脅時，針對具有攻擊威脅的進程的對端IP進行封禁處理。

根據本發明實施例的一種具體實現方式，所述針對所述各進程的所述對端IP信息，分別確定所述各進程中每個進程的網絡連接的首個IO數據包是否為攻擊載荷，包括：

向蜜罐服務器發送所述各進程的網絡連接的首個IO數據包，使得所述蜜罐服務器采用蜜罐技術，分別確定每個進程的網絡連接的首個IO數據包是否為攻擊載荷，得到表示該進程的網絡連接是否具有攻擊威脅的攻擊威脅信息；

接收所述蜜罐服務器返回的所述各進程的所述攻擊威脅信息。

根據本發明實施例的一種具體實現方式，還包括：

將具有攻擊威脅的進程的網絡連接，轉向所述蜜罐服務器，使得所述蜜罐服務器對該網絡連接進行網絡威脅跟蹤處理。

第二方面，本發明實施例還提供一種網絡威脅監測裝置，應用于電子設備，包括：

進程監控模塊，用于在所述電子設備的操作系統的內核中，實時監控各進程的網絡連接的建立，以及通過所述網絡連接傳輸的IO數據包；

信息獲取模塊，用于基于監控得到的所述IO數據包，獲取所述各進程的聯網信息，所述聯網信息包括所述網絡連接的對端IP信息；

威脅判斷模塊，用于針對所述各進程的所述對端IP信息，分別確定所述各進程中每個進程的網絡連接的首個IO數據包是否為攻擊載荷，得到表示該進程的網絡連接是否具有攻擊威脅的攻擊威脅信息；