1.本技术涉及网络安全技术领域，特别涉及一种网络安全检测的新方法、装置、设备及可读存储介质。

  2.目前，对于网络安全的检测停留于检测告警阶段，也就是在检测出现网络入侵等不安全事件后，仅针对不安全事件进行告警提示。此时技术人员短时间内不知道怎么处理，导致不能及时修复网络，网络也可能没法抵御后续其他攻击，因此降低了网络安全，这样使得网络安全检测可能形同虚设。

  3.因此，如何使网络安全检测发挥作用，提高网络安全，是本领域技术人员需要解决的问题。

  4.有鉴于此，本技术的目的在于提供一种网络安全检测方法、装置、设备及可读存储介质，以使网络安全检测发挥作用，提高网络安全。其具体方案如下：

  7.利用目标算法检测所述文件特征信息和所述流量特征信息，获得检测结果；

  8.根据所述检测结果生成检测逻辑和检测库，并按照所述检测逻辑和所述检测库进行网络安全防护。

  13.优选地，所述利用蜜罐捕获访问当前网络时产生的访问日志和文件，包括：

  17.优选地，所述利用沙箱服务器分析所述文件，获得文件特征信息和分析日志，包括：

  18.利用所述沙箱服务器分析所述文件对应的文件属性和文件行为，获得所述文件特征信息；

  19.其中，所述文件特征信息包括：文件属性特征和文件行为特征；所述文件属性特征包括：pe文件属性、注册表信息和互斥量；所述文件行为特征包括：定时任务、文件操作行为和文件注入行为；

  21.优选地，所述解析所述访问日志和所述分析日志，获得流量特征信息，包括：

  22.按照协议类型解析所述访问日志和所述分析日志，获得流量协议特征；所述流量协议特征包括：协议属性特征、ip、url、端口和domain；

  23.提取所述访问日志和所述分析日志中的流量行为特征，所述流量行为特征包括：字符串特征、内存特征、进程特征、文件操作特征、注册表特征和静态特征；

  25.优选地，所述按照所述检测逻辑和所述检测库进行网络安全防护，包括：

  27.利用所述检测库检测所述访问特征是否包含恶意信息；所述检测库包括：爆破彩虹表、恶意域名库、恶意url库、恶意文件库和恶意mutex库；

  29.优选地，所述按照所述检测逻辑和所述检测库进行网络安全防护，包括：

  30.将所述检测逻辑和所述检测库传输至终端设备，以使所述终端设备在接收到访问请求后，提取所述访问请求包括的访问特征，利用所述检测库检测所述访问特征是否包含恶意信息；若是，则拦截所述访问请求。

  31.优选地，所述利用目标算法检测所述文件特征信息和所述流量特征信息，获得检测结果之后，还包括：

  37.检测模块，用于利用目标算法检测所述文件特征信息和所述流量特征信息，获得检测结果；

  38.安全防护模块，用于根据所述检测结果生成检测逻辑和检测库，并按照所述检测逻辑和所述检测库进行网络安全防护。

  41.文件分析单元，用于利用沙箱服务器分析所述文件，获得文件特征信息和分析日志；

  42.日志分析单元，用于解析所述访问日志和所述分析日志，获得流量特征信息；

  45.处理器，用于执行所述计算机程序，以实现前述公开的网络安全检测方法。

  46.第四方面，本技术提供了一种可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述公开的网络安全检测方法。

  47.通过以上方案可知，本技术提供了一种网络安全检测方法，包括获取当前网络对应的文件特征信息和流量特征信息；利用目标算法检测所述文件特征信息和所述流量特征信息，获得检测结果；根据所述检测结果生成检测逻辑和检测库，并按照所述检测逻辑和所

  48.可见，该方法获取当前网络对应的文件特征信息和流量特征信息后，利用目标算法检测文件特征信息和流量特征信息，获得检测结果，最后根据检测结果生成检测逻辑和检测库，从而可按照检测逻辑和检测库进行网络安全防护。本技术对于网络对应的文件特征信息和流量特征信息进行检测后，生成检测结果，然后根据检测结果生成检测逻辑和检测库，从而可按照检测逻辑和检测库实时处理网络中的不安全事件，实现了网络威胁的发现到处理的闭环流程，有效地提升了网络安全和防御能力。

  49.相应地，本技术提供的一种网络安全检测装置、设备及可读存储介质，也同样具有上述技术效果。

  50.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

  57.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。

  58.目前，对于网络安全的检测停留于检测告警阶段，也就是在检测出现网络入侵等不安全事件后，仅针对不安全事件进行告警提示。此时技术人员短时间内不知道怎么样处理，导致不能及时修复网络，网络也可能没法抵御后续其他攻击，因此降低了网络安全，这样使得网络安全检验测试可能形同虚设。为此，本技术提供了一种网络安全检测方案，能够使网络安全检测发挥作用，提高网络安全。

  61.其中，文件特征信息包括：文件属性特征和文件行为特征；文件属性特征包括：pe文件属性、注册表信息和互斥量；文件行为特征包括：定时任务、文件操作行为和文件注入行为等。流量行为特征包括：字符串特征、内存特征、进程特征、文件操作特征、注册表特征和静态特征；流量特征信息包括流量协议特征和流量行为特征等。文件特征信息和流量特征信息一般可利用蜜罐捕获，或从系统日志中提取。

  62.s102、利用目标算法检测文件特征信息和流量特征信息，获得检测结果。

  63.在本实施例中，目标算法可以为行为模型匹配算法、文件图匹配算法、域名匹配算法或url匹配算法等。

  64.s103、根据检测结果生成检测逻辑和检测库，并按照检测逻辑和所述检测库进行网络安全防护。

  65.其中，检测库包括：爆破彩虹表、恶意域名库、恶意url库、恶意文件库和恶意mutex库。

  66.在一种具体实施方式中，按照检测逻辑和检测库进行网络安全防护，包括：若接收到访问请求，则提取访问请求包括的访问特征；利用检测库检测访问特征是否包含恶意信息；若是，则拦问请求。

  67.在一种具体实施方式中，按照检测逻辑和检测库进行网络安全防护，包括：将检测逻辑和检测库传输至终端设备，以使终端设备在接收到访问请求后，提取访问请求包括的访问特征，利用检测库检测访问特征是否包含恶意信息；若是，则拦问请求。

  68.在一种具体实施方式中，利用目标算法检测文件特征信息和流量特征信息，获得检测结果之后，还包括：接收还原访问过程的请求；根据请求提取检测结果中的流量行为特征和文件行为特征；按照流量行为特征和文件行为特征还原访问过程。还原访问过程有利于进行入侵事件溯源。

  69.可见，本技术实施例对于网络对应的文件特征信息和流量特征信息进行检测后，生成检测结果，然后根据检测结果生成检测逻辑和检测库，从而可按照检测逻辑和检测库实时处理网络中的不安全事件，实现了网络威胁的发现到处理的闭环流程，有效地提升了网络安全和防御能力。

  72.在一种具体实施方式中，利用蜜罐捕获访问当前网络时产生的访问日志和文件，包括：利用代理服务器接收访问当前网络的请求；将请求按照访问端口类型导流至不同类型的蜜罐；利用不同类型的蜜罐捕获访问日志和文件。

  73.具体的，在外网配置代理服务器，将不同类型的蜜罐中部署的蜜罐业务映射到外网，将代理服务器的ip和端口暴露在外网。代理服务器决定哪些业务可以映射外网，供攻击者扫描或入侵。

  在一种具体实施方式中，利用沙箱服务器分析文件，获得文件特征信息和分析日志，包括：利用沙箱服务器分析文件对应的文件属性和文件行为，获得文件特征信息；根据分析过程中产生的日志记录生成分析日志。其中，文件特征信息包括：文件属性特征和文件行为特征；文件属性特征包括：pe文件属性、注册表信息和互斥量；文件行为特征包括：定时任务、文件操作行为和文件注入行为。

  具体的，在蜜罐捕获到访问日志和文件后，定时将文件传输至沙箱服务器进行分析。沙箱服务器接收到文件后，将文件加密压缩并保存。待沙箱服务器中的检测进程有空闲时，利用空闲的检测进程检测文件，提取出文件的文件属性特征和文件行为特征。

  在一种具体实施方式中，解析访问日志和分析日志，获得流量特征信息，包括：按照协议类型解析访问日志和分析日志，获得流量协议特征；流量协议特征包括：协议属性特征、ip、url、端口和domain；提取访问日志和分析日志中的流量行为特征，流量行为特征包括：字符串特征、内存特征、进程特征、文件操作特征、注册表特征和静态特征；流量特征信息包括流量协议特征和流量行为特征。

  具体的，协议类型一般包括：tcp、dns、http、加密隧道等。提取流量特征信息时，可按照访问请求的先后顺序执行。其中，提取流量协议特征的具体过程包括：判断是否发起dns请求、是否发起加密隧道请求、是否发起http请求、是否发起tcp连接请求等。若发起dns请求，则提取dns访问的域名domain；若发起加密隧道请求，则记录加密隧道使用的协议；若发起http请求，则记录访问的url连接；若发起tcp连接请求，则记录tcp访问连接的源ip源端口，目的ip目的端口。协议属性特征包括：协议的次数、频率等；记录这些信息，并保存完整的交互流量信息。

  流量行为特征是否异常的判定过程包括：domain被标识为黑属性；url被标识为恶意；目的ip或者源ip被标识为恶意；对流量特征进行ids、ips检测，若存在横向爆破(如：ddos攻击，ssh快速/慢速爆破等)或漏洞，则判定存在入侵行为。漏洞可利用snort规则或waf规则进行检测。

  若字符串特征中存在挖矿关键字，爆破关键字，病毒家族关键字等恶意字符串，或存在挖矿的矿场地址、各类数字货币地址等，则判定存在恶意行为。

  文件操作特征包括：文件的名称、创建的文件路径、文件的md5值；文件的静态检测结果；文件pe结构包含的特殊字符串等。

  注册表特征包括：启动项创建等。若存在启动项创建行为或修改敏感配置项行为，则记录获取键路径和值。

  进程特征包括：注入行为特征、对抗行为特征、加密行为特征、系统遍历行为特征、删除文件行为特征等。若存在注入行为特征或对抗行为特征，则记录调用函数及其参数。若存在加密行为特征或系统遍历行为特征或删除文件行为特征，则记录调用函数及其参数及频次。

  在本实施例中，目标算法可以为行为模型匹配算法、文件图匹配算法、域名匹配算法或url匹配算法。其中，可以预先建立包含恶意url、恶意域名、恶意文件、恶意文件等恶意信息的数据库，利用该数据库对文件特征信息和流量特征信息进行检测和匹配，以确定文件特征信息和流量特征信息是否恶意，若恶意，则可以进一步确定其恶意程度。将文件特征信息和流量特征信息是否恶意、恶意程度等相关信息确定为检测结果并存储。检测结果中也包括失陷指标。

  s205、根据检测结果生成检测逻辑和检测库，并按照检测逻辑和检测库进行网络安全防护。

  其中，检测库包括：爆破彩虹表、恶意域名库、恶意url库、恶意文件库和恶意mutex库。

  需要说明的是，文件特征信息和流量特征信息包括的恶意信息所处的设备均可看作失陷指标ioc(indicator of compromise)。失陷指标通常指入侵指示器、失陷指标、失陷指示器等。其作为识别是否已经遭受恶意攻击的重要参照特征数据，通常包括主机活动中出现的文件、进程、注册表键值、系统服务以及网络上可观察到的域名、url、ip等。

  检测逻辑具体为：将访问特征与检测库进行对比；若检测库中存在访问特征，则确定访问特征包含恶意信息；若检测库中不存在访问特征，则确定访问特征不包含恶意信息。

  可见，本技术实施例对于网络对应的文件特征信息和流量特征信息进行检测后，生成检测结果，然后根据检测结果生成检测逻辑和检测库，从而可按照检测逻辑和检测库实时处理网络中的不安全事件，实现了网络威胁的发现到处理的闭环流程，有效地提升了网络安全和防御能力。

  下面对本技术实施例提供的一种网络安全检测方案进行介绍，下文描述的一种网络安全检测方案与上文描述的一种网络安全检测的新方法可以相互参照。

  请参见图3，图3为本实施例提供的网络安全检测的新方法流程图。图3所示的流程大致可分为：蜜罐业务模块、沙箱分析模块、日志分析模块和输出模块。

  具体的，蜜罐业务模块用于利用代理服务器导流访问请求至不同蜜罐，并利用蜜罐捕获日志、文件等信息。沙箱分析模块用于分析文件，同时生成分析日志。日志分析模块用于分析蜜罐捕获的日志和生成的分析日志。输出模块用于输出检测规则(即检测逻辑)给各个安全设备，以使各个安全设备根据检验测试规则进行安全防护。

  其中，若访问请求访问蜜罐时需要用户名和密码，那么可以在蜜罐中设置登录次数上限。即：不管用户名或密码是否正确，只要尝试登录次数超过登录次数上限，则允许访问请求访问蜜罐。如此可以增加可分析的数据量，更好的捕获“入侵成功”的相关信息。

  蜜罐业务模块利用蜜罐技术(honeypot)实现。蜜罐技术是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

  在本实施例中，可以在内网或外网部署适配于业务场景的蜜罐，利用虚拟机或者docker服务器保证蜜罐正常工作。蜜罐不直接提供外网访问服务。当访问暴露的蜜罐业务时，代理服务器将访问请求通过不一样的端口传输给对应的蜜罐进行处理。蜜罐检测到访问请求时，记录访问过程相关的信息，记录的信息包括登录的用户名和密码，注册表操作，创建服务，创建定时任务，落盘的文件及网络流量信息等。

  捕获的内容描述网络流量流量回溯用户名和密码可用于构建攻击者的爆破彩虹表文件收集入侵者下载的落盘文件和内容文件命令行收集入侵者执行的命令行进程行为入侵者遗留下的攻击工具的行为详细分析

  沙箱服务器接收到蜜罐发送的文件后，将文件加密压缩并保存。待沙箱服务器中的检测进程有空闲时，利用空闲的检测进程检测文件，提取出文件的文件属性特征和文件行为特征。文件属性特征如：pe文件属性：节区信息、pe头信息、字符串信息；注册表信息：创建服务注册表、启动项相关注册表、系统信息相关注册表等；文件运行时创建的互斥量。文件行为特征如：定时任务文件；文件操作：文件创建、删除等；文件运行时释放的流量信息；系统敏感api记录：进程注入行为、修改内存属性行为、提权行为等。若待检测的样本检测完毕，则关闭检测进程，并以日志方式输出检测结果。

  日志分析模块按照协议类型解析访问日志和分析日志，获得协议属性特征、ip、url、端口和domain等流量协议特征(即图2中的协议分析过程)。并从中提取字符串特征、内存特征、进程特征、文件操作特征、注册表特征和静态特征等流量行为特征(即图2中的特性分析过程)。流量协议特征即图2中的协议行为，流量行为特征即图2中的特性行为。

  输出模块以协议行为和特性行为为基础，确定各个特征是否恶意，并生成相应的ioc情报、检测库、检测逻辑(即检测规则，如yara、snort等)等信息。其中，检测库包括：爆破彩虹表、恶意域名库、恶意url库、恶意文件库和恶意mutex库。具体的，将检测出的恶意域名更新至恶意域名库；将恶意url更新至恶意url库；将恶意的文件的md5、sha-1或sha256更新至恶意文件库；将恶意软件的mutex更新至恶意mutex库。更新过程中，若检测库已存在相关信息，则不用再录入更新，以免重复。当然，还可以将文件使用的api关联到attck矩阵中，建立攻击手法ttps进行保存。

  可见，本实施例利用蜜罐实时捕获信息，并能够根据这一些信息生成安全设备可读的检测规则，可使安全设备实时处理网络中的不安全事件，实现了网络威胁的发现到处理的闭环流程，有效地提升了网络安全和防御能力。

  下面对本技术实施例提供的一种网络安全检测装置进行介绍，下文描述的一种网络安全检测装置与上文描述的一种网络安全检测的新方法可以相互参照。

  检测模块402，用于利用目标算法检测文件特征信息和流量特征信息，获得检测结果；

  安全防护模块403，用于根据检测结果生成检测逻辑和检测库，并按照检测逻辑和检测库进行网络安全防护。

  文件分析单元，用于利用沙箱服务器分析所述文件，获得文件特征信息和分析日志；

  沙箱分析子单元，用于利用沙箱服务器分析文件对应的文件属性和文件行为，获得文件特征信息；

  其中，文件特征信息包括：文件属性特征和文件行为特征；文件属性特征包括：pe文件属性、注册表信息和互斥量；文件行为特征包括：定时任务、文件操作行为和文件注入行为；

  协议解析子单元，用于按照协议类型解析访问日志和分析日志，获得流量协议特征；流量协议特征包括：协议属性特征、ip、url、端口和domain；

  流量解析子单元，用于提取访问日志和分析日志中的流量行为特征，流量行为特征包括：字符串特征、内存特征、进程特征、文件操作特征、注册表特征和静态特征；流量特征信息包括流量协议特征和流量行为特征。

  检测单元，用于利用检测库检测访问特征是否包含恶意信息；检测库包括：爆破彩虹表、恶意域名库、恶意url库、恶意文件库和恶意mutex库；

  将检测逻辑和检测库传输至终端设备，以使终端设备在接收到访问请求后，提取访问请求包括的访问特征，利用检测库检测访问特征是否包含恶意信息；若是，则拦问请求。

  其中，关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。

  可见，本实施例提供了一种网络安全检测装置，该装置可以实时处理网络中的不安全事件，实现了网络威胁的发现到处理的闭环流程，有效地提升了网络安全和防御能力。

  下面对本技术实施例提供的一种网络安全检测设备进行介绍，下文描述的一种网络安全检测设备与上文描述的一种网络安全检测的新方法及装置可以相互参照。

  处理器502，用于执行所述计算机程序，以实现上述任意实施例公开的方法。

  请参考图6，图6为本实施例提供的另一种网络安全检测设备示意图，该网络安全检测设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processing units，cpu)322(例如，一个或一个以上处理器)和存储器332，一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中，存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地，中央处理器322可以设置为与存储介质330通信，在网络安全检测设备301上执行存储介质330中的一系列指令操作。

  网络安全检测设备301还可以包括一个或一个以上电源326，一个或一个以上有线，一个或一个以上输入输出接口358，和/或，一个或一个以上操作系统341。例如，windows servertm，mac os xtm，unixtm，linuxtm，freebsdtm等。

  在图6中，应用程序342可以是执行网络安全检测的新方法的程序，数据344可以是执行网络安全检测方法所需的或产生的数据。

  上文所描述的网络安全检测方法中的步骤可以由网络安全检测设备的结构实现。

  下面对本技术实施例提供的一种可读存储介质进行介绍，下文描述的一种可读存储介质与上文描述的一种网络安全检测方法、装置及设备可以相互参照。

  一种可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述实施例公开的网络安全检测方法。关于该方法的具体步骤可以借鉴前述实施例中公开的相应内容，在此不再进行赘述。

  本技术涉及的“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图是在于覆盖不排他的包含，例如，包含了一系

  列步骤或单元的过程、方法或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对这些过程、方法或设备固有的其它步骤或单元。

  需要说明的是，在本技术中涉及“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员可以在一定程度上完成为基础，当技术方案的结合出现相互矛盾或没办法实现时应当认为这种技术方案的结合不存在，也不在本技术方面的要求的保护范围之内。

  本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。

  结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的可读存储介质中。

  本文中应用了具体个例对本技术的原理及实施方式来进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用场景范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。