網(wǎng)絡(luò)威脅處理方法及設(shè)備的制作方法【專利摘要】本發(fā)明提供了一種網(wǎng)絡(luò)威脅處理方法及設(shè)備。其中,該方法包括:偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文;對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析,提取元數(shù)據(jù);檢測元數(shù)據(jù)并確定攻擊行為,其中,攻擊行為包括已知的攻擊行為和/或未知的攻擊行為。采用本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法能夠及時發(fā)現(xiàn)并處理新型網(wǎng)絡(luò)威脅,包括已知攻擊行為以及未知攻擊行為,達(dá)到保證網(wǎng)絡(luò)免受不安全的威脅的有益效果?!緦@f明】網(wǎng)絡(luò)威脅處理方法及設(shè)備【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及互聯(lián)網(wǎng)應(yīng)用領(lǐng)域,特別是涉及一種網(wǎng)絡(luò)威脅處理方法及設(shè)備。【
背景技術(shù):
】[0002]隨著信息社會的發(fā)展,網(wǎng)絡(luò)信息安全越來越深入人們的生活。信息泄露、數(shù)據(jù)丟失、用戶隱私泄露等信息安全事故頻繁發(fā)生造成了重大的經(jīng)濟(jì)損失,并對社會產(chǎn)生了重大不良影響。甚至,信息安全事故會危及國家安全。例如,2012年,我國涉密單位發(fā)現(xiàn)一個已經(jīng)潛伏長達(dá)7年之久的惡意代碼,2013年5月,韓國多家銀行和電視臺遭遇黑客攻擊,網(wǎng)絡(luò)大面積癱瘓。[0003]隨著科技的發(fā)展,網(wǎng)絡(luò)威脅已經(jīng)有了新的特點。新型網(wǎng)絡(luò)威脅逐漸實現(xiàn)了從惡作劇向商業(yè)利益的屬性轉(zhuǎn)變、從個人向團(tuán)伙組織的發(fā)起人轉(zhuǎn)變,以及從普通病毒木馬向高級持續(xù)性攻擊(AdvancedPersistentThreat,以下簡稱APT)的技術(shù)轉(zhuǎn)變。這些轉(zhuǎn)變均使得網(wǎng)絡(luò)信息安全遭受更大的威脅。新型網(wǎng)絡(luò)威脅不僅手段隱蔽,并且現(xiàn)有技術(shù)中的安全防御體系無法掌握其漏洞以及技術(shù)。因此,傳統(tǒng)的安全防御體系無法采取相應(yīng)技術(shù)手段解決新型網(wǎng)絡(luò)威脅,導(dǎo)致人們生產(chǎn)生活的信息受到了更為嚴(yán)峻的安全威脅,而這些安全威脅一旦真實發(fā)生,對經(jīng)濟(jì)、社會甚至國家安全會造成難以估計的毀滅性影響?!?br/>發(fā)明內(nèi)容】[0004]鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的網(wǎng)絡(luò)威脅處理方法和相應(yīng)的設(shè)備。[0005]依據(jù)本發(fā)明的一個方面,提供了一種網(wǎng)絡(luò)威脅處理方法,包括:偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文;對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析,提取元數(shù)據(jù);檢測所述元數(shù)據(jù)并確定攻擊行為,其中,所述攻擊行為包括已知的攻擊行為和/或未知的攻擊行為。[0006]可選地,所述對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析,包括:對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類;針對每一類別,選擇相應(yīng)的策略檢測攻擊行為。[0007]可選地,所述對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類,包括:根據(jù)各網(wǎng)絡(luò)數(shù)據(jù)報文的屬性,將獲取的數(shù)據(jù)分為文件類數(shù)據(jù)報文和/或非文件類數(shù)據(jù)報文。[0008]可選地,所述針對每一類別,選擇相應(yīng)的策略檢測攻擊行為,包括:對于所述文件類數(shù)據(jù)報文,將其還原為文件;對還原的文件進(jìn)行檢測,檢測所述文件是否具有惡意行為。[0009]可選地,所述對還原的文件進(jìn)行檢測,包括:利用沙箱檢測方式對還原的文件進(jìn)行檢測。[0010]可選地,檢測所述文件是否具有惡意行為,包括:基于網(wǎng)絡(luò)異常行為檢測原理,檢測所述文件是否具有惡意行為。[0011]可選地,所述針對每一類別,選擇相應(yīng)的策略檢測攻擊行為,包括:對于所述非文件類數(shù)據(jù)報文,基于網(wǎng)絡(luò)異常行為檢測原理,檢測出攻擊行為。[0012]可選地,所述基于網(wǎng)絡(luò)異常行為檢測原理,檢測出攻擊行為,包括:提取所述元數(shù)據(jù)的網(wǎng)絡(luò)行為信息;對所述網(wǎng)絡(luò)行為信息進(jìn)行多維度網(wǎng)絡(luò)行為統(tǒng)計;依據(jù)統(tǒng)計結(jié)果,利用決策樹分類規(guī)則建立網(wǎng)絡(luò)異常行為模型;使用所述網(wǎng)絡(luò)異常行為模型確定出攻擊行為。[0013]可選地,所述網(wǎng)絡(luò)威脅處理方法還包括:對捕捉到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲,以備后續(xù)分析使用。[0014]可選地,所述網(wǎng)絡(luò)威脅處理方法還包括:當(dāng)存儲的網(wǎng)絡(luò)數(shù)據(jù)報文的數(shù)量級到達(dá)大數(shù)據(jù)級別時,對存儲的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行基于大數(shù)據(jù)分析的攻擊檢測,確定攻擊行為;和/或?qū)σ汛_定的攻擊行為,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯。[0015]可選地,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯的操作,包括下列至少之一:定位攻擊行為的攻擊源;還原攻擊行為相對應(yīng)的訪問行為;還原攻擊行為相對應(yīng)在的訪問內(nèi)容。[0016]可選地,檢測所述元數(shù)據(jù)并確定出攻擊行為之后,還包括:根據(jù)未知的攻擊行為,對所述網(wǎng)絡(luò)設(shè)備上使用的安全裝置進(jìn)行升級,使其能夠防御所述未知的攻擊行為。[0017]可選地,所述檢測所述元數(shù)據(jù)并確定攻擊行為包括:通過本地檢測引擎和/或云檢測引擎檢測所述元數(shù)據(jù)并確定攻擊行為。[0018]依據(jù)本發(fā)明的另一個方面,還提供了一種網(wǎng)絡(luò)威脅處理設(shè)備,包括:偵聽模塊,配置為偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文;數(shù)據(jù)提取模塊,配置為對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析,提取元數(shù)據(jù);確定模塊,配置為檢測所述元數(shù)據(jù)并確定出攻擊行為,其中,所述攻擊行為包括已知的攻擊行為和/或未知的攻擊行為。[0019]可選地,所述數(shù)據(jù)提取模塊還配置為:對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類;針對每一類別,選擇相應(yīng)的策略檢測出攻擊行為。[0020]可選地,所述數(shù)據(jù)提取模塊還配置為:根據(jù)各網(wǎng)絡(luò)數(shù)據(jù)報文的屬性,將獲取的數(shù)據(jù)分為文件類數(shù)據(jù)報文和/或非文件類數(shù)據(jù)報文。[0021]可選地,所述數(shù)據(jù)提取模塊還配置為:對于所述文件類數(shù)據(jù)報文,將其還原為文件;對還原的文件進(jìn)行檢測,檢測所述文件是否具有惡意行為。[0022]可選地,所述數(shù)據(jù)提取模塊還配置為:利用沙箱檢測方式對還原的文件進(jìn)行檢測。[0023]可選地,所述數(shù)據(jù)提取模塊還配置為:基于網(wǎng)絡(luò)異常行為檢測原理,檢測所述文件是否具有惡意行為。[0024]可選地,所述數(shù)據(jù)提取模塊還配置為:對于所述非文件類數(shù)據(jù)報文,基于網(wǎng)絡(luò)異常行為檢測原理,檢測出攻擊行為。[0025]可選地,所述數(shù)據(jù)提取模塊還配置為:提取所述元數(shù)據(jù)的網(wǎng)絡(luò)行為信息;對所述網(wǎng)絡(luò)行為信息進(jìn)行多維度網(wǎng)絡(luò)行為統(tǒng)計;依據(jù)統(tǒng)計結(jié)果,利用決策樹分類規(guī)則建立網(wǎng)絡(luò)異常行為模型;使用所述網(wǎng)絡(luò)異常行為模型確定出攻擊行為。[0026]可選地,所述網(wǎng)絡(luò)威脅處理設(shè)備還包括:備份模塊,配置為對捕捉到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲,以備后續(xù)分析使用。[0027]可選地,所述備份模塊還配置為:當(dāng)存儲的網(wǎng)絡(luò)數(shù)據(jù)報文的數(shù)量級到達(dá)大數(shù)據(jù)級別時,對存儲的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行基于大數(shù)據(jù)分析的攻擊檢測,確定攻擊行為;和/或?qū)σ汛_定的攻擊行為,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯。[0028]可選地,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯的操作,包括下列至少之一:定位攻擊行為的攻擊源;還原攻擊行為相對應(yīng)的訪問行為;還原攻擊行為相對應(yīng)在的訪問內(nèi)容。[0029]可選地,所述網(wǎng)絡(luò)威脅處理設(shè)備還包括:升級模塊,配置為檢測所述元數(shù)據(jù)并確定出攻擊行為之后,根據(jù)未知的攻擊行為,對所述網(wǎng)絡(luò)設(shè)備上使用的安全裝置進(jìn)行升級,使其能夠防御所述未知的攻擊行為。[0030]可選地,所述檢測所述元數(shù)據(jù)并確定攻擊行為包括:通過本地檢測引擎和/或云檢測引擎檢測所述元數(shù)據(jù)并確定攻擊行為。[0031]依據(jù)本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法能夠偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,獲取網(wǎng)絡(luò)數(shù)據(jù)報文,并通過對網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析提取元數(shù)據(jù),根據(jù)對元數(shù)據(jù)進(jìn)行檢測確定已知或者未知的攻擊行為,解決現(xiàn)有技術(shù)中無法掌握新型網(wǎng)絡(luò)威脅(包括已知攻擊以及未知攻擊)的漏洞及技術(shù),進(jìn)而無法采取相應(yīng)技術(shù)手段解決新型網(wǎng)絡(luò)威脅的問題。本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法通過實時偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文能夠動態(tài)發(fā)現(xiàn)未知攻擊的漏洞攻擊以及未知攻擊的隱秘信道等信息,并且能夠快速檢測未知攻擊。另外,本發(fā)明實施例對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行存儲,形成大數(shù)據(jù)級別的歷史數(shù)據(jù),并對大數(shù)據(jù)進(jìn)行分析挖掘,進(jìn)而能夠?qū)Ω呒?、隱蔽的攻擊進(jìn)行檢測,是解決對由于現(xiàn)有技術(shù)的限制而漏檢的攻擊進(jìn)行補(bǔ)查的有效手段。綜上,采用本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法能夠及時發(fā)現(xiàn)并處理新型網(wǎng)絡(luò)威脅,包括已知攻擊行為以及未知攻擊行為,達(dá)到保證人們生產(chǎn)生活甚至國家安全不受網(wǎng)絡(luò)信息不安全的威脅的有益效果。[0032]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂,以下特舉本發(fā)明的【具體實施方式】。[0033]根據(jù)下文結(jié)合附圖對本發(fā)明具體實施例的詳細(xì)描述,本領(lǐng)域技術(shù)人員將會更加明了本發(fā)明的上述以及其他目的、優(yōu)點和特征?!緦@綀D】【附圖說明】[0034]通過閱讀下文優(yōu)選實施方式的詳細(xì)描述,各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的,而并不認(rèn)為是對本發(fā)明的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中:[0035]圖1示出了根據(jù)本發(fā)明一個實施例的網(wǎng)絡(luò)威脅處理方法的處理流程圖;[0036]圖2示出了根據(jù)本發(fā)明一個實施例的本地檢測引擎與云檢測引擎組成“天眼系統(tǒng)”的結(jié)構(gòu)圖;[0037]圖3示出了根據(jù)本發(fā)明一個優(yōu)選實施例的網(wǎng)絡(luò)威脅處理方法的處理流程圖;[0038]圖4示出了根據(jù)本發(fā)明一個實施例的實時分析模塊的處理流程圖;[0039]圖5示出了根據(jù)本發(fā)明一個優(yōu)選實施例的實時分析模塊的處理流程圖;[0040]圖6示出了根據(jù)本發(fā)明一個實施例的利用沙箱檢測方式對文件進(jìn)行檢測的流程圖;[0041]圖7示出了根據(jù)本發(fā)明一個優(yōu)選實施例的利用沙箱檢測方式對文件進(jìn)行檢測的流程圖;[0042]圖8示出了根據(jù)本發(fā)明一個實施例的將實時分析模塊以及沙箱檢測模塊組合之后的結(jié)構(gòu)流程圖;[0043]圖9示出了根據(jù)本發(fā)明一個實施例的已知/未知攻擊檢測模塊的處理流程圖;[0044]圖10示出了根據(jù)本發(fā)明一個實施例的基于大數(shù)據(jù)分析的攻擊檢測與回溯模塊的處理流程圖;[0045]圖11示出了根據(jù)本發(fā)明一個優(yōu)選實施例的建立網(wǎng)絡(luò)異常行為模型并據(jù)此確定攻擊行為的流程圖;[0046]圖12示出了根據(jù)本發(fā)明一個優(yōu)選實施例的威脅感知的結(jié)構(gòu)圖;[0047]圖13示出了根據(jù)本發(fā)明一個實施例的全面檢測時文件告警、行為告警以及郵件告警的界面示意圖;[0048]圖14示出了根據(jù)本發(fā)明一個實施例的文件告警的詳細(xì)告警信息界面圖;[0049]圖15示出了根據(jù)本發(fā)明一個實施例的對告警信息進(jìn)行告警分析的界面圖;[0050]圖16不出了根據(jù)本發(fā)明一個實施例的對告警信息進(jìn)行分析的日志報表;[0051]圖17示出了根據(jù)本發(fā)明一個實施例的用戶管理的界面圖;[0052]圖18示出了根據(jù)本發(fā)明一個實施例的配置管理的界面圖;以及[0053]圖19示出了根據(jù)本發(fā)明一個實施例的網(wǎng)絡(luò)威脅處理設(shè)備的結(jié)構(gòu)示意圖。【具體實施方式】[0054]下面將參照附圖更詳細(xì)地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例,然而應(yīng)當(dāng)理解,可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制。相反,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。[0055]相關(guān)技術(shù)中提及,新型網(wǎng)絡(luò)威脅不僅手段隱蔽,并且現(xiàn)有技術(shù)中的安全防御體系無法掌握其漏洞以及技術(shù)。因此,傳統(tǒng)的安全防御體系無法采取相應(yīng)技術(shù)手段解決新型網(wǎng)絡(luò)威脅,導(dǎo)致人們生產(chǎn)生活的信息受到了更為嚴(yán)峻的安全威脅,而這些安全威脅一旦真實發(fā)生,對經(jīng)濟(jì)、社會甚至國家安全會造成難以估計的毀滅性影響。[0056]為解決上述技術(shù)問題,本發(fā)明實施例提出了一種網(wǎng)絡(luò)威脅處理方法。圖1示出了根據(jù)本發(fā)明一個實施例的網(wǎng)絡(luò)威脅處理方法的處理流程圖。參見圖1,該流程至少包括步驟S102至步驟S106。[0057]步驟S102、偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文。[0058]步驟S104、對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析,提取元數(shù)據(jù)。[0059]步驟S106、檢測元數(shù)據(jù)并確定攻擊行為,其中,攻擊行為包括已知的攻擊行為和/或未知的攻擊行為。[0060]依據(jù)本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法能夠偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,獲取網(wǎng)絡(luò)數(shù)據(jù)報文,并通過對網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析提取元數(shù)據(jù),根據(jù)對元數(shù)據(jù)進(jìn)行檢測確定已知或者未知的攻擊行為,解決現(xiàn)有技術(shù)中無法掌握新型網(wǎng)絡(luò)威脅(包括已知攻擊以及未知攻擊)的漏洞及技術(shù),進(jìn)而無法采取相應(yīng)技術(shù)手段解決新型網(wǎng)絡(luò)威脅的問題。本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法通過實時偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文能夠動態(tài)發(fā)現(xiàn)未知攻擊的漏洞攻擊以及未知攻擊的隱秘信道等信息,并且能夠快速檢測未知攻擊。另外,本發(fā)明實施例對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行存儲,形成大數(shù)據(jù)級別的歷史數(shù)據(jù),并對大數(shù)據(jù)進(jìn)行分析挖掘,進(jìn)而能夠?qū)Ω呒墶㈦[蔽的攻擊進(jìn)行檢測,是解決對由于現(xiàn)有技術(shù)的限制而漏檢的攻擊進(jìn)行補(bǔ)查的有效手段。綜上,采用本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法能夠及時發(fā)現(xiàn)并處理新型網(wǎng)絡(luò)威脅,包括已知攻擊行為以及未知攻擊行為,達(dá)到保證人們生產(chǎn)生活甚至國家安全不受網(wǎng)絡(luò)信息不安全的威脅的有益效果。[0061]上文提及,本發(fā)明實施例能夠檢測并處理網(wǎng)絡(luò)的攻擊行為。另外,如圖2所示,本發(fā)明實施例能夠運(yùn)用于本地檢測引擎220,并結(jié)合現(xiàn)有技術(shù)中的云檢測引擎230組成一個“天眼系統(tǒng)”(其中,“天眼”僅為系統(tǒng)名稱,對本地檢測引擎以及云檢測引擎組成的系統(tǒng)的功能、屬性以及作用等方面均不構(gòu)成任何影響),對網(wǎng)絡(luò)設(shè)備210中的網(wǎng)絡(luò)威脅(包括網(wǎng)絡(luò)攻擊行為等)進(jìn)行檢測處理,做到對網(wǎng)絡(luò)威脅“天網(wǎng)恢恢疏而不漏”,更加全面、廣泛以及具體的處理網(wǎng)絡(luò)威脅。[0062]現(xiàn)以運(yùn)用于本地檢測引擎220的網(wǎng)絡(luò)威脅處理方法為例,對本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法進(jìn)行介紹。如圖3所示的根據(jù)本發(fā)明一個優(yōu)選實施例的網(wǎng)絡(luò)威脅處理方法的處理流程圖,首先執(zhí)行步驟S302,偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為。在偵聽的過程中,實時執(zhí)行步驟S304,獲取網(wǎng)絡(luò)數(shù)據(jù)報文。本發(fā)明實施例中,偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為能夠?qū)W(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為進(jìn)行實時監(jiān)測,保證及時獲取網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為。進(jìn)一步,能夠保證任何攻擊行為發(fā)生之前,本發(fā)明實施例能夠及時檢測到攻擊行為并進(jìn)行合理有效處理,保證網(wǎng)絡(luò)安全。因此,本發(fā)明實施例在整個網(wǎng)絡(luò)威脅處理流程中對網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為進(jìn)行偵聽,并實時執(zhí)行步驟S304,獲取網(wǎng)絡(luò)數(shù)據(jù)報文。[0063]獲取到網(wǎng)絡(luò)數(shù)據(jù)報文之后,執(zhí)行步驟S306,對網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析。本發(fā)明實施例中,對獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析可以是分析網(wǎng)絡(luò)數(shù)據(jù)報文的源網(wǎng)絡(luò)地址,還可以是分析網(wǎng)絡(luò)數(shù)據(jù)報文的目的地址等。優(yōu)選地,本發(fā)明實施例中,為在后續(xù)操作中能夠準(zhǔn)確對網(wǎng)絡(luò)數(shù)據(jù)報文中的攻擊行為進(jìn)行檢測和處理,在對獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析時,對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類。并且,針對每一類別,本發(fā)明實施例選擇相應(yīng)的策略檢測攻擊行為。在對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類時,本發(fā)明實施例可以根據(jù)源地址或者目的地址或者其他任意信息將網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類,并根據(jù)分類結(jié)果選擇相應(yīng)的策略檢測攻擊行為。由于根據(jù)網(wǎng)絡(luò)數(shù)據(jù)報文的數(shù)據(jù)能夠更加全面以及準(zhǔn)確地對網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類,因此,優(yōu)選地,本發(fā)明實施例中根據(jù)各網(wǎng)絡(luò)數(shù)據(jù)報文的屬性,將獲取的數(shù)據(jù)分為文件類數(shù)據(jù)報文和/或非文件類數(shù)據(jù)報文。即,根據(jù)對獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文的分析,網(wǎng)絡(luò)數(shù)據(jù)報文可以是文件類數(shù)據(jù)報文,可以是非文件類數(shù)據(jù)報文,還可以是文件類數(shù)據(jù)報文以及非文件類數(shù)據(jù)報文的組合。[0064]對網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類之后,執(zhí)行如圖3所示的步驟S308,確定網(wǎng)絡(luò)數(shù)據(jù)報文是否為文件類數(shù)據(jù)報文。若是,執(zhí)行步驟S310,將確定的文件類數(shù)據(jù)報文還原為文件。之后,對還原的文件進(jìn)行檢測,檢測文件是否具有惡意行為。在對文件進(jìn)行檢測的過程中,為保證將被檢測的文件完全與正在運(yùn)行的程序隔離,進(jìn)而保證檢測過程中被檢測文件不會出現(xiàn)攻擊行為,本發(fā)明實施例利用沙箱檢測方式對還原的文件進(jìn)行檢測,如圖3中的步驟S312所示。其中,對文件的檢測為基于網(wǎng)絡(luò)異常行為檢測原理,檢測文件是否具有惡意行為。若根據(jù)步驟S308的判斷,網(wǎng)絡(luò)數(shù)據(jù)報文為非文件類數(shù)據(jù)報文,則直接執(zhí)行步驟S314,基于網(wǎng)絡(luò)異常行為檢測原理,檢測網(wǎng)絡(luò)數(shù)據(jù)報文的已知攻擊行為和/或未知攻擊行為。當(dāng)網(wǎng)絡(luò)數(shù)據(jù)報文為文件類數(shù)據(jù)報文以及非文件類數(shù)據(jù)報文的組合時,將網(wǎng)絡(luò)數(shù)據(jù)報文分為文件類數(shù)據(jù)報文部分以及非文件類數(shù)據(jù)報文部分,并分別按照上文提及的步驟進(jìn)行操作,在此不作贅述。[0065]另外,如圖3中的步驟S316所示,本發(fā)明實施例中,獲取到網(wǎng)絡(luò)數(shù)據(jù)報文之后,除了對獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析之外,為保證在后續(xù)分析中能夠及時獲取歷史網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行對比,以便更深層次分析網(wǎng)絡(luò)數(shù)據(jù)報文達(dá)到更加高效地網(wǎng)絡(luò)威脅處理性能,本發(fā)明實施例還可以對捕捉到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲(即步驟S316)。并且,當(dāng)存儲的網(wǎng)絡(luò)數(shù)據(jù)報文的數(shù)量級到達(dá)大數(shù)據(jù)級別時,本發(fā)明實施例對存儲的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行大數(shù)據(jù)分析的攻擊檢測,確定攻擊行為,和/或?qū)σ汛_定的攻擊行為,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯。優(yōu)選地,本發(fā)明實施例中,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯的操作可以是定位攻擊行為的攻擊源、還原攻擊行為相對應(yīng)的方位行為以及還原攻擊行為相對應(yīng)在的訪問內(nèi)容等能夠?qū)粜袨檫M(jìn)行分析的其中一項或者幾項任意操作,本發(fā)明實施例對此并不加以限定。[0066]當(dāng)根據(jù)如圖3所示的網(wǎng)絡(luò)威脅處理方法的處理流程檢測元數(shù)據(jù)并確定出攻擊行為之后,本發(fā)明實施例還可以根據(jù)未知的攻擊行為,對網(wǎng)絡(luò)設(shè)備上使用的安全裝置進(jìn)行升級,使網(wǎng)絡(luò)設(shè)備上使用的安全裝置能夠防御未知的攻擊行為。并且,本文中曾提及能夠?qū)⒈镜貦z測引擎以及云檢測引擎組成“天眼系統(tǒng)”對網(wǎng)絡(luò)設(shè)備中的網(wǎng)絡(luò)威脅進(jìn)行檢測處理(具體請見附圖2及其對應(yīng)說明)。因此,需要說明的是,本發(fā)明實施例能夠通過本地檢測引擎和/或云檢測引擎檢測元數(shù)據(jù)并確定攻擊行為。[0067]上文根據(jù)圖3所示的流程圖對本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法進(jìn)行了介紹,為更加深入清晰地闡述本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法,現(xiàn)使用優(yōu)選實施例對本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法中的幾個模塊進(jìn)行進(jìn)一步介紹。具體地,現(xiàn)對本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法中的實時分析模塊(即圖3所示的步驟S306中提及的對網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析的部分,現(xiàn)簡稱為實時分析模塊)、沙箱檢測模塊(即圖3所示的步驟S312中提及的沙箱檢測部分,現(xiàn)簡稱沙箱模塊)、已知/未知攻擊檢測模塊(即圖3所示的步驟S314中提及的檢測已知/未知攻擊行為部分,現(xiàn)簡稱已知/未知攻擊檢測模塊)以及基于大數(shù)據(jù)分析的攻擊檢測與回溯模塊(即圖3所示的步驟318中提及的攻擊檢測和回溯部分,現(xiàn)簡稱基于大數(shù)據(jù)分析的攻擊檢測與回溯模塊)。[0068]首先介紹實時分析模塊。如圖4所示的實時分析模塊的處理流程圖。首先,對Ethernet(以太網(wǎng))/VLAN(虛擬局域網(wǎng))/MPLS(多協(xié)議標(biāo)簽交換)等任意二層協(xié)議進(jìn)行解析。其次,進(jìn)一步對TCP/IP協(xié)議進(jìn)行解析。最后,對應(yīng)用層協(xié)議進(jìn)行識別。圖5示出了根據(jù)本發(fā)明一個優(yōu)選實施例的實時分析模塊的處理流程圖。本優(yōu)選實施例為一個webmail(即網(wǎng)絡(luò)郵件)內(nèi)容解析的實施例。如圖5所示,首先對超文本傳送協(xié)議進(jìn)行解析。其次,進(jìn)入對應(yīng)用層協(xié)議的識別,識別到該應(yīng)用為網(wǎng)絡(luò)郵件。進(jìn)而對網(wǎng)絡(luò)郵件進(jìn)行解析得到文本以及用以支持郵件中附加數(shù)據(jù)(如聲音文件、視頻文件等)的MME(即多用途互聯(lián)網(wǎng)郵件擴(kuò)展)。其中,文本文件為能夠直接檢測的元數(shù)據(jù)。而對于MIME則需要進(jìn)行進(jìn)一步解析。[0069]對需要繼續(xù)解析的文件進(jìn)行解壓縮得到不同格式的文件,如圖5所示的便攜文檔(PortableDocumentFormat,以下簡稱F1DF)格式的文件以及PPT(微軟公司設(shè)計的一種演示文稿軟件)格式的文件。其中,對PPT格式的文件進(jìn)一步解析能夠得到可檢測的元數(shù)據(jù),如圖5所示的文本文件以及Excel(—種試算表軟件)格式的文件。而對PDF格式的文件進(jìn)行解析時,得到可直接檢測的文本文件以及不可直接檢測的Deflate(—種無損數(shù)據(jù)壓縮算法)格式的文件。對于Deflate格式的文件則需要進(jìn)一步解析,直至得到全部可檢測的元數(shù)據(jù),則實時解析結(jié)束。需要說明的是,在圖5中,較粗的箭頭指向為一條延伸的實時解析路徑,按照該實時解析路徑能夠最終提取網(wǎng)絡(luò)數(shù)據(jù)報文的元數(shù)據(jù)。[0070]其次介紹沙箱檢測模塊。如圖6示出了根據(jù)本發(fā)明一個實施例的利用沙箱檢測方式對文件進(jìn)行檢測的流程圖。獲取到網(wǎng)絡(luò)數(shù)據(jù)報文(即圖6中的樣本)之后,首先對網(wǎng)絡(luò)數(shù)據(jù)報文的文件類型進(jìn)行分析,并得到可移植執(zhí)行體文件(PortableExecute,以下簡稱PE文件)和/或非可移植執(zhí)行體文件(以下簡稱非PE文件)。對于PE文件以及非PE文件分別進(jìn)行靜態(tài)檢測、半動態(tài)檢測以及動態(tài)檢測過程,并根據(jù)檢測結(jié)果進(jìn)行惡意行為分析。圖7示出了根據(jù)本發(fā)明一個優(yōu)選實施例的利用沙箱檢測方式對文件進(jìn)行檢測的流程圖。如圖7所示,當(dāng)獲取到網(wǎng)絡(luò)數(shù)據(jù)報文之后,若判斷獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文為文件類數(shù)據(jù)報文,則將文件類數(shù)據(jù)報文還原為文件。例如,圖7中示出的郵件附件還原、web(網(wǎng)絡(luò))文件還原以及FTP(文件傳輸協(xié)議)文件還原等等。還原之后,對文件進(jìn)行靜態(tài)攻擊代碼初篩,即圖6中對文件進(jìn)行靜態(tài)檢測的過程。[0071]當(dāng)靜態(tài)檢測完畢之后,若檢測出攻擊代碼,則確定文件具有惡意行為,繼而進(jìn)行相應(yīng)處理。若沒有檢測出靜態(tài)攻擊代碼,則利用沙箱對文件進(jìn)行半動態(tài)以及動態(tài)檢測。如圖7所示,將應(yīng)用程序的還原文件,如Office(微軟公司的一款辦公軟件)、H)F、Flash(—種集動畫創(chuàng)作與應(yīng)用程序開發(fā)于一身的創(chuàng)作軟件)以及其他任意應(yīng)用的還原文件放入沙箱進(jìn)行檢測。根據(jù)沙箱檢測,能夠動態(tài)獲取各個應(yīng)用的還原文件是否具有惡意行為的信息,還可以動態(tài)獲取各個應(yīng)用的還原文件的可疑程度。例如,在2013年10月18日22時27分10秒時,在文件名稱為“啦啦生活網(wǎng)”的壓縮文件中,其啟動宿主進(jìn)程,注入代碼的操作行為可疑程度為4個星,其設(shè)置遠(yuǎn)程線程上下文的操作行為可疑程度為3個星,其在其他進(jìn)程中申請內(nèi)存的操作行為可疑程度為一個星。其中,星的個數(shù)越多代表可疑程度越高,則其操作行為是惡意行為的可能性越高。需要說明的是,本優(yōu)選實施例中提及的時間、軟件名稱、文件名稱以及可疑程度評定方法等均為示例,均無法代表實際運(yùn)用中能夠出現(xiàn)的各個信息詳情。[0072]圖4至圖7及各個附圖的相應(yīng)文字說明介紹了實時分析模塊以及沙箱檢測模塊。圖8示出了根據(jù)本發(fā)明一個實施例的將實時分析模塊以及沙箱檢測模塊組合之后的結(jié)構(gòu)流程圖。參見圖8,對文件進(jìn)行解壓縮得到可檢測的元數(shù)據(jù)。其中,若文件為PE文件,則首先對文件進(jìn)行云查殺,例如使用奇虎支持向量機(jī)(QihooSupportVectorMachine,以下簡稱QVM)或者云AVE引擎。通過云查殺的PE文件利用沙箱(即圖8中的Sandbox)檢測方式進(jìn)行再次完整分析檢測。對于非PE文件,如圖8中示出的富文本格式(RichTextFormat,以下簡稱為RTF格式)、PDF格式、Doc(—種文件擴(kuò)展名)格式、docx(—種文件擴(kuò)展名)格式以及excel格式等等,若文件為能夠繼續(xù)解壓縮的文檔,則返回繼續(xù)進(jìn)行解壓縮操作,若文件為可檢測的元數(shù)據(jù),則進(jìn)行QEX靜態(tài)分析、填充數(shù)據(jù)(shellcode)半動態(tài)檢測以及IightVM輕量動態(tài)分析。之后,利用沙箱檢測對通過以上三種檢測的元數(shù)據(jù)再次進(jìn)行檢測。在對文件是否具有惡意行為的檢測時,優(yōu)選地,本發(fā)明實施例中,可以將惡意行為的危險等級分為三個等級。第一,高危,即能夠確認(rèn)元數(shù)據(jù)為惡意代碼,如確定的木馬樣本、明顯的惡意行為或者能夠觸發(fā)的漏洞利用等。第二,中危,即存在疑似惡意行為,但無法確定的,或者疑似漏洞利用,但尚沒有確定的惡意行為,例如發(fā)現(xiàn)樣本會訪問以下敏感的位置,或者樣本導(dǎo)致程序崩潰,但沒有觸發(fā)執(zhí)行。第三,低危,即非經(jīng)過確認(rèn)的無惡意文件,可能會危害系統(tǒng)安全,可以理解為存在風(fēng)險的文件。[0073]對實時分析模塊以及沙箱檢測模塊介紹完畢之后,對已知/未知攻擊檢測模塊進(jìn)行介紹。當(dāng)對獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文判斷為非文件類數(shù)據(jù)報文之后,本發(fā)明實施例基于網(wǎng)絡(luò)異常行為檢測原理,對已知/未知攻擊行為進(jìn)行檢測。如圖9所示,首先對在網(wǎng)絡(luò)數(shù)據(jù)報文中提取出的元數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)行為信息的提取。其次,對提取到的網(wǎng)絡(luò)行為信息進(jìn)行多維度的網(wǎng)絡(luò)行為統(tǒng)計。之后,依據(jù)統(tǒng)計結(jié)果,利用決策樹分類規(guī)則建立網(wǎng)絡(luò)異常行為模型,并使用網(wǎng)絡(luò)異常行為模型確定攻擊行為。[0074]另外,在進(jìn)行上文提及的網(wǎng)絡(luò)異常行為模型的建立時,本發(fā)明實施例使用存儲的網(wǎng)絡(luò)數(shù)據(jù)報文。在對本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法進(jìn)行介紹時提及,本發(fā)明實施例中,對捕捉到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲,當(dāng)存儲的網(wǎng)絡(luò)數(shù)據(jù)報文的數(shù)量級到達(dá)大數(shù)據(jù)級別時,可以對已確定的攻擊行為,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯。因此,下面首先介紹基于大數(shù)據(jù)分析的攻擊檢測與回溯模塊,其次,介紹使用存儲的網(wǎng)絡(luò)數(shù)據(jù)報文建立網(wǎng)絡(luò)異常行為模型。[0075]如圖10所示的基于大數(shù)據(jù)分析的攻擊檢測與回溯模塊,本發(fā)明實施例對捕捉到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲,得到全流量數(shù)據(jù),例如網(wǎng)絡(luò)的訪問記錄信息、網(wǎng)絡(luò)的所有對內(nèi)對外的web訪問請求以及網(wǎng)絡(luò)或者郵件傳輸?shù)奈募???梢圆捎镁垲愃惴▽θ髁繑?shù)據(jù)進(jìn)行分析,可以對全流量數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)以及規(guī)則提取操作,還可以對全流量數(shù)據(jù)進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析操作等。通過以上多維度的網(wǎng)絡(luò)行為分析統(tǒng)計,能夠建立網(wǎng)絡(luò)異常行為模型以及確定攻擊關(guān)系。繼而,通過建立的網(wǎng)絡(luò)異常行為模型以及確定的攻擊關(guān)系能夠進(jìn)行已知攻擊檢測、未知攻擊檢測以及APT攻擊過程回溯等操作。[0076]對基于大數(shù)據(jù)分析的攻擊檢測與回溯模塊介紹完畢之后,圖11示出了根據(jù)本發(fā)明一個優(yōu)選實施例的建立網(wǎng)絡(luò)異常行為模型并據(jù)此確定攻擊行為的流程圖。如圖11所示,通過偵聽網(wǎng)絡(luò)流量、獲取終端日志以及獲取設(shè)備日志等行為能夠獲取到網(wǎng)絡(luò)數(shù)據(jù)報文。將獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲。當(dāng)存儲的網(wǎng)絡(luò)數(shù)據(jù)報文的數(shù)量級到達(dá)大數(shù)據(jù)級別時,進(jìn)行大數(shù)據(jù)挖掘計算以及歷史數(shù)據(jù)行為分析。其中,對歷史數(shù)據(jù)進(jìn)行行為分析之后得到的分析結(jié)果能夠加入行為模型庫以備后續(xù)分析使用,而通過大數(shù)據(jù)挖掘計算能夠提取網(wǎng)絡(luò)行為模型,也可以將提取的網(wǎng)絡(luò)行為模型加入行為模型庫。另外,行為模型庫能夠反過來作為歷史數(shù)據(jù)行為分析的歷史數(shù)據(jù)。通過對歷史數(shù)據(jù)行為的分析能夠獲取到漏洞利用攻擊、可疑行為、APT過程以及隱蔽信道等未知攻擊的信息。進(jìn)一步,能夠檢測并確定已知或者未知的攻擊行為。[0077]例如,在本申請的一個實施例中,服務(wù)器接收客戶端的主動訪問,為客戶端提供各種應(yīng)答服務(wù),服務(wù)器僅在有限的情形中主動發(fā)起訪問行為,如獲取系統(tǒng)補(bǔ)丁等,如果偵聽到的流量中服務(wù)器主動訪問歐洲某DNS服務(wù)器,則服務(wù)器的訪問操作與其歷史數(shù)據(jù)行為不符,說明存在可疑行為,需要進(jìn)行進(jìn)一步的檢測。[0078]上文對本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法以及其中具體的模塊信息進(jìn)行了介紹,為將本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法闡述得更加直觀、清楚,現(xiàn)提供一個具體實施例。[0079]實施例一[0080]圖12示出了根據(jù)本發(fā)明一個優(yōu)選實施例的威脅感知的結(jié)構(gòu)圖。參見圖12,本發(fā)明實施例通過本地檢測引擎(如特征庫升級包、漏洞補(bǔ)丁包以及軟件升級包)以及云檢測引擎相結(jié)合進(jìn)行威脅感知管理。其中通過全面維護(hù)系統(tǒng)(TotalSolutionMaintenance,以下簡稱TSM)進(jìn)行的威脅感知管理包括報警、分析、管理與配置以及數(shù)據(jù)來源(DataBase)。而通過微型搜索引擎(TinySearchEngine,以下簡稱TSE)進(jìn)行的威脅感知管理包括捕包、報文預(yù)處理以及并行威脅檢測。圖13至圖18示出了根據(jù)本發(fā)明一個實施例的網(wǎng)絡(luò)威脅處理的界面圖。其中,圖13示出了全面檢測時文件告警、行為告警以及郵件告警的界面示意圖。并且,本發(fā)明實施例的告警界面圖中提示用戶當(dāng)前被告警的文件或者行為或者郵件的危險等級、告警時間等信息。圖14示出了根據(jù)本發(fā)明一個實施例的文件告警的詳細(xì)告警信息界面圖。如圖14所示,用戶能夠在該界面中獲知針對該文件的危險等級、告警時間、源網(wǎng)絡(luò)互連協(xié)議(InternetProtoco,以下簡稱IP)地址、目的IP地址、文件類型、文件大小以及關(guān)于該文件的歷史記錄等信息,方便用戶了解存在威脅的文件的詳細(xì)信息,并進(jìn)一步作出相應(yīng)判斷及處理。圖15示出了根據(jù)本發(fā)明一個實施例的對告警信息進(jìn)行告警分析的界面圖。如圖15所示,本發(fā)明實施例能夠基于檢測到的大量異常告警信息,對未知威脅或者攻擊行為進(jìn)行全面分析以及有效定位。圖16示出了根據(jù)本發(fā)明一個實施例的對告警信息進(jìn)行分析的日志報表。如圖16所示,用戶能夠根據(jù)時間不同查找不同時段中對網(wǎng)絡(luò)訪問行為的告警趨勢。如圖16中示出了,用戶能夠查找最近24內(nèi)的告警趨勢以及攻擊主機(jī)次數(shù)的前十名(TOPlO)以及告警趨勢和攻擊主機(jī)次數(shù)前十名相應(yīng)的統(tǒng)計圖。另外,圖17示出了根據(jù)本發(fā)明一個實施例的用戶管理的界面圖以及圖18示出了根據(jù)本發(fā)明一個實施例的配置管理的界面圖,因此,本發(fā)明實施例能夠根據(jù)不同用戶進(jìn)行功能不同的個性化設(shè)置,進(jìn)一步更加高效地幫助不同用戶進(jìn)行不同范圍不同深度的網(wǎng)絡(luò)威脅處理,提升用戶體驗。[0081]基于上文各優(yōu)選實施例提供的網(wǎng)絡(luò)威脅處理方法,基于同一發(fā)明構(gòu)思,本發(fā)明實施例提供了一種網(wǎng)絡(luò)威脅處理設(shè)備,用于實現(xiàn)上述網(wǎng)絡(luò)威脅處理方法。[0082]圖19示出了根據(jù)本發(fā)明一個實施例的網(wǎng)絡(luò)威脅處理設(shè)備的結(jié)構(gòu)示意圖。參見圖19,本發(fā)明實施例的網(wǎng)絡(luò)威脅處理設(shè)備至少包括:偵聽模塊1910、數(shù)據(jù)提取模塊1920以及確定模塊1930。[0083]現(xiàn)介紹本發(fā)明實施例的網(wǎng)絡(luò)威脅處理設(shè)備的各器件或組成的功能以及各部分間的連接關(guān)系:[0084]偵聽模塊1910,配置為偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文。[0085]數(shù)據(jù)提取模塊1920,與偵聽模塊1910相耦合,配置為對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析,提取元數(shù)據(jù)。[0086]確定模塊1930,與數(shù)據(jù)提取模塊1920相耦合,配置為檢測元數(shù)據(jù)并確定出攻擊行為,其中,攻擊行為包括已知的攻擊行為和/或未知的攻擊行為。[0087]依據(jù)本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法能夠偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,獲取網(wǎng)絡(luò)數(shù)據(jù)報文,并通過對網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析提取元數(shù)據(jù),根據(jù)對元數(shù)據(jù)進(jìn)行檢測確定已知或者未知的攻擊行為,解決現(xiàn)有技術(shù)中無法掌握新型網(wǎng)絡(luò)威脅(包括已知攻擊以及未知攻擊)的漏洞及技術(shù),進(jìn)而無法采取相應(yīng)技術(shù)手段解決新型網(wǎng)絡(luò)威脅的問題。本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法通過實時偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文能夠動態(tài)發(fā)現(xiàn)未知攻擊的漏洞攻擊以及未知攻擊的迷信隱秘信道,并且能夠快速檢測未知攻擊。另外,本發(fā)明實施例對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行存儲,形成大數(shù)據(jù)級別的歷史數(shù)據(jù),并對大數(shù)據(jù)進(jìn)行分析挖掘,進(jìn)而能夠?qū)Ω呒?、隱蔽的攻擊進(jìn)行檢測,是解決對由于現(xiàn)有技術(shù)的限制而漏檢的攻擊進(jìn)行補(bǔ)查的有效手段。綜上,采用本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法能夠及時發(fā)現(xiàn)并處理新型網(wǎng)絡(luò)威脅,包括已知攻擊行為以及未知攻擊行為,達(dá)到保證人們生產(chǎn)生活甚至國家安全不受網(wǎng)絡(luò)信息不安全的威脅的有益效果。[0088]在一個優(yōu)選的實施例中,數(shù)據(jù)提取模塊1920還配置為:[0089]對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類;[0090]針對每一類別,選擇相應(yīng)的策略檢測出攻擊行為。[0091]在一個優(yōu)選的實施例中,數(shù)據(jù)提取模塊1920還配置為:根據(jù)各網(wǎng)絡(luò)數(shù)據(jù)報文的屬性,將獲取的數(shù)據(jù)分為文件類數(shù)據(jù)報文和/或非文件類數(shù)據(jù)報文。[0092]在一個優(yōu)選的實施例中,數(shù)據(jù)提取模塊1920還配置為:對于文件類數(shù)據(jù)報文,將其還原為文件;[0093]對還原的文件進(jìn)行檢測,檢測文件是否具有惡意行為。[0094]在一個優(yōu)選的實施例中,數(shù)據(jù)提取模塊1920還配置為:利用沙箱檢測方式對還原的文件進(jìn)行檢測。[0095]在一個優(yōu)選的實施例中,數(shù)據(jù)提取模塊1920還配置為:[0096]基于網(wǎng)絡(luò)異常行為檢測原理,檢測文件是否具有惡意行為。[0097]在一個優(yōu)選的實施例中,數(shù)據(jù)提取模塊1920還配置為:[0098]對于非文件類數(shù)據(jù)報文,[0099]基于網(wǎng)絡(luò)異常行為檢測原理,檢測出攻擊行為。[0100]在一個優(yōu)選的實施例中,數(shù)據(jù)提取模塊1920還配置為:提取元數(shù)據(jù)的網(wǎng)絡(luò)行為信息;[0101]對網(wǎng)絡(luò)行為信息進(jìn)行多維度網(wǎng)絡(luò)行為統(tǒng)計;[0102]依據(jù)統(tǒng)計結(jié)果,利用決策樹分類規(guī)則建立網(wǎng)絡(luò)異常行為模型;[0103]使用網(wǎng)絡(luò)異常行為模型確定出攻擊行為。[0104]在一個優(yōu)選的實施例中,網(wǎng)絡(luò)威脅處理設(shè)備還包括:[0105]備份模塊1940,配置為對捕捉到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲,以備后續(xù)分析使用。[0106]在一個優(yōu)選的實施例中,備份模塊1940還配置為:當(dāng)存儲的網(wǎng)絡(luò)數(shù)據(jù)報文的數(shù)量級到達(dá)大數(shù)據(jù)級別時,對存儲的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行基于大數(shù)據(jù)分析的攻擊檢測,確定攻擊行為;和/或[0107]對已確定的攻擊行為,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯。[0108]在一個優(yōu)選的實施例中,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯的操作,包括下列至少之一:[0109]定位攻擊行為的攻擊源;[0110]還原攻擊行為相對應(yīng)的訪問行為;[0111]還原攻擊行為相對應(yīng)在的訪問內(nèi)容。[0112]在一個優(yōu)選的實施例中,網(wǎng)絡(luò)威脅處理設(shè)備還包括:[0113]升級模塊1950,配置為檢測元數(shù)據(jù)并確定出攻擊行為之后,根據(jù)未知的攻擊行為,對網(wǎng)絡(luò)設(shè)備上使用的安全裝置進(jìn)行升級,使其能夠防御未知的攻擊行為。[0114]在一個優(yōu)選的實施例中,當(dāng)確定一個攻擊行為后,生成告警信息(例如被攻擊終端、攻擊源、攻擊樣本等),并傳送至網(wǎng)絡(luò)設(shè)備上的安全防御裝置,由安全防御裝置進(jìn)行進(jìn)一步的檢測和查殺。[0115]在一個優(yōu)選的實施例中,檢測元數(shù)據(jù)并確定攻擊行為包括:通過本地檢測引擎和/或云檢測引擎檢測元數(shù)據(jù)并確定攻擊行為。[0116]在一個優(yōu)選的實施例中優(yōu)先采用本地檢測引擎(在某些環(huán)境中,如無法連接外網(wǎng)時),當(dāng)無法確定攻擊行為時,發(fā)送至云檢測引擎進(jìn)行進(jìn)一步檢測,此時,云檢測引擎作為本地檢測引擎的一個補(bǔ)充。[0117]根據(jù)上述任意一個優(yōu)選實施例或多個優(yōu)選實施例的組合,本發(fā)明實施例能夠達(dá)到如下有益效果:[0118]依據(jù)本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法能夠偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,獲取網(wǎng)絡(luò)數(shù)據(jù)報文,并通過對網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析提取元數(shù)據(jù),根據(jù)對元數(shù)據(jù)進(jìn)行檢測確定已知或者未知的攻擊行為,解決現(xiàn)有技術(shù)中無法掌握新型網(wǎng)絡(luò)威脅(包括已知攻擊以及未知攻擊)的漏洞及技術(shù),進(jìn)而無法采取相應(yīng)技術(shù)手段解決新型網(wǎng)絡(luò)威脅的問題。本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法通過實時偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文能夠動態(tài)發(fā)現(xiàn)未知攻擊的漏洞攻擊以及未知攻擊的隱秘信道等信息,并且能夠快速檢測未知攻擊。另外,本發(fā)明實施例對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行存儲,形成大數(shù)據(jù)級別的歷史數(shù)據(jù),并對大數(shù)據(jù)進(jìn)行分析挖掘,進(jìn)而能夠?qū)Ω呒?、隱蔽的攻擊進(jìn)行檢測,是解決對由于現(xiàn)有技術(shù)的限制而漏檢的攻擊進(jìn)行補(bǔ)查的有效手段。綜上,采用本發(fā)明實施例提供的網(wǎng)絡(luò)威脅處理方法能夠及時發(fā)現(xiàn)并處理新型網(wǎng)絡(luò)威脅,包括已知攻擊行為以及未知攻擊行為,達(dá)到保證人們生產(chǎn)生活甚至國家安全不受網(wǎng)絡(luò)信息不安全的威脅的有益效果。[0119]本發(fā)明的實施例還公開了:[0120]Al、一種網(wǎng)絡(luò)威脅處理方法,包括:偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文;對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析,提取元數(shù)據(jù);檢測所述元數(shù)據(jù)并確定攻擊行為,其中,所述攻擊行為包括已知的攻擊行為和/或未知的攻擊行為。[0121]A2、根據(jù)Al所述的方法,其中,所述對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析,包括:對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類;針對每一類別,選擇相應(yīng)的策略檢測攻擊行為。[0122]A3、根據(jù)A2所述的方法,其中,所述對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類,包括:根據(jù)各網(wǎng)絡(luò)數(shù)據(jù)報文的屬性,將獲取的數(shù)據(jù)分為文件類數(shù)據(jù)報文和/或非文件類數(shù)據(jù)報文。[0123]A4、根據(jù)A3所述的方法,其中,所述針對每一類別,選擇相應(yīng)的策略檢測攻擊行為,包括:對于所述文件類數(shù)據(jù)報文,將其還原為文件;對還原的文件進(jìn)行檢測,檢測所述文件是否具有惡意行為。[0124]A5、根據(jù)A4所述的方法,其中,所述對還原的文件進(jìn)行檢測,包括:利用沙箱檢測方式對還原的文件進(jìn)行檢測。[0125]A6、根據(jù)A4或A5所述的方法,其中,檢測所述文件是否具有惡意行為,包括:基于網(wǎng)絡(luò)異常行為檢測原理,檢測所述文件是否具有惡意行為。[0126]A7、根據(jù)A3所述的方法,其中,所述針對每一類別,選擇相應(yīng)的策略檢測攻擊行為,包括:對于所述非文件類數(shù)據(jù)報文,基于網(wǎng)絡(luò)異常行為檢測原理,檢測出攻擊行為。[0127]AS、根據(jù)A7所述的方法,其中,所述基于網(wǎng)絡(luò)異常行為檢測原理,檢測出攻擊行為,包括:提取所述元數(shù)據(jù)的網(wǎng)絡(luò)行為信息;對所述網(wǎng)絡(luò)行為信息進(jìn)行多維度網(wǎng)絡(luò)行為統(tǒng)計;依據(jù)統(tǒng)計結(jié)果,利用決策樹分類規(guī)則建立網(wǎng)絡(luò)異常行為模型;使用所述網(wǎng)絡(luò)異常行為模型確定出攻擊行為。[0128]A9、根據(jù)Al至AS任一項所述的方法,其中,還包括:對捕捉到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲,以備后續(xù)分析使用。[0129]A10、根據(jù)A9所述的方法,其中,還包括:當(dāng)存儲的網(wǎng)絡(luò)數(shù)據(jù)報文的數(shù)量級到達(dá)大數(shù)據(jù)級別時,對存儲的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行基于大數(shù)據(jù)分析的攻擊檢測,確定攻擊行為;和/或?qū)σ汛_定的攻擊行為,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯。[0130]AU、根據(jù)AlO所述的方法,其中,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯的操作,包括下列至少之一:定位攻擊行為的攻擊源;還原攻擊行為相對應(yīng)的訪問行為;還原攻擊行為相對應(yīng)在的訪問內(nèi)容。[0131]A12、根據(jù)Al至All任一項所述的方法,其中,檢測所述元數(shù)據(jù)并確定出攻擊行為之后,還包括:根據(jù)未知的攻擊行為,對所述網(wǎng)絡(luò)設(shè)備上使用的安全裝置進(jìn)行升級,使其能夠防御所述未知的攻擊行為。[0132]A13、根據(jù)Al至A12任一項所述的方法,其中,所述檢測所述元數(shù)據(jù)并確定攻擊行為包括:通過本地檢測引擎和/或云檢測引擎檢測所述元數(shù)據(jù)并確定攻擊行為。[0133]本發(fā)明的實施例還公開了:[0134]B14、一種網(wǎng)絡(luò)威脅處理設(shè)備,包括:偵聽模塊,配置為偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文;數(shù)據(jù)提取模塊,配置為對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析,提取元數(shù)據(jù);確定模塊,配置為檢測所述元數(shù)據(jù)并確定出攻擊行為,其中,所述攻擊行為包括已知的攻擊行為和/或未知的攻擊行為。[0135]B15、根據(jù)B14所述的設(shè)備,其中,所述數(shù)據(jù)提取模塊還配置為:對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類;針對每一類別,選擇相應(yīng)的策略檢測出攻擊行為。[0136]B16、根據(jù)B15所述的設(shè)備,其中,所述數(shù)據(jù)提取模塊還配置為:根據(jù)各網(wǎng)絡(luò)數(shù)據(jù)報文的屬性,將獲取的數(shù)據(jù)分為文件類數(shù)據(jù)報文和/或非文件類數(shù)據(jù)報文。[0137]B17、根據(jù)B16所述的設(shè)備,其中,所述數(shù)據(jù)提取模塊還配置為:對于所述文件類數(shù)據(jù)報文,將其還原為文件;對還原的文件進(jìn)行檢測,檢測所述文件是否具有惡意行為。[0138]B18、根據(jù)B17所述的設(shè)備,其中,所述數(shù)據(jù)提取模塊還配置為:利用沙箱檢測方式對還原的文件進(jìn)行檢測。[0139]B19、根據(jù)B17或B18所述的設(shè)備,其中,所述數(shù)據(jù)提取模塊還配置為:基于網(wǎng)絡(luò)異常行為檢測原理,檢測所述文件是否具有惡意行為。[0140]B20、根據(jù)B16所述的設(shè)備,其中,所述數(shù)據(jù)提取模塊還配置為:對于所述非文件類數(shù)據(jù)報文,基于網(wǎng)絡(luò)異常行為檢測原理,檢測出攻擊行為。[0141]B21、根據(jù)B20所述的設(shè)備,其中,所述數(shù)據(jù)提取模塊還配置為:提取所述元數(shù)據(jù)的網(wǎng)絡(luò)行為信息;對所述網(wǎng)絡(luò)行為信息進(jìn)行多維度網(wǎng)絡(luò)行為統(tǒng)計;依據(jù)統(tǒng)計結(jié)果,利用決策樹分類規(guī)則建立網(wǎng)絡(luò)異常行為模型;使用所述網(wǎng)絡(luò)異常行為模型確定出攻擊行為。[0142]B22、根據(jù)B14至B21任一項所述的設(shè)備,其中,還包括:備份模塊,配置為對捕捉到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲,以備后續(xù)分析使用。[0143]B23、根據(jù)B22所述的設(shè)備,其中,所述備份模塊還配置為:當(dāng)存儲的網(wǎng)絡(luò)數(shù)據(jù)報文的數(shù)量級到達(dá)大數(shù)據(jù)級別時,對存儲的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行基于大數(shù)據(jù)分析的攻擊檢測,確定攻擊行為;和/或?qū)σ汛_定的攻擊行為,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯。[0144]B24、根據(jù)B23所述的設(shè)備,其中,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯的操作,包括下列至少之一:定位攻擊行為的攻擊源;還原攻擊行為相對應(yīng)的訪問行為;還原攻擊行為相對應(yīng)在的訪問內(nèi)容。[0145]B25、根據(jù)B14至B24任一項所述的設(shè)備,其中,還包括:升級模塊,配置為檢測所述元數(shù)據(jù)并確定出攻擊行為之后,根據(jù)未知的攻擊行為,對所述網(wǎng)絡(luò)設(shè)備上使用的安全裝置進(jìn)行升級,使其能夠防御所述未知的攻擊行為。[0146]B26、根據(jù)B14至B25任一項所述的設(shè)備,其中,所述檢測所述元數(shù)據(jù)并確定攻擊行為包括:通過本地檢測引擎和/或云檢測引擎檢測所述元數(shù)據(jù)并確定攻擊行為。[0147]在此處所提供的說明書中,說明了大量具體細(xì)節(jié)。然而,能夠理解,本發(fā)明的實施例可以在沒有這些具體細(xì)節(jié)的情況下實踐。在一些實例中,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù),以便不模糊對本說明書的理解。[0148]類似地,應(yīng)當(dāng)理解,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個,在上面對本發(fā)明的示例性實施例的描述中,本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征。更確切地說,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此,遵循【具體實施方式】的權(quán)利要求書由此明確地并入該【具體實施方式】,其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例。[0149]本領(lǐng)域那些技術(shù)人員可以理解,可以對實施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實施例不同的一個或多個設(shè)備中。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。[0150]此外,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此的一些實施例包括其它實施例中所包括的某些特征而不是其它特征,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例。例如,在權(quán)利要求書中,所要求保護(hù)的實施例的任意之一都可以以任意的組合方式來使用。[0151]本發(fā)明的各個部件實施例可以以硬件實現(xiàn),或者以在一個或者多個處理器上運(yùn)行的軟件模塊實現(xiàn),或者以它們的組合實現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)威脅處理設(shè)備中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計算機(jī)程序和計算機(jī)程序產(chǎn)品)。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機(jī)可讀介質(zhì)上,或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供,或者以任何其他形式提供。[0152]應(yīng)該注意的是上述實施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計出替換實施例。在權(quán)利要求中,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計算機(jī)來實現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序??蓪⑦@些單詞解釋為名稱。[0153]至此,本領(lǐng)域技術(shù)人員應(yīng)認(rèn)識到,雖然本文已詳盡示出和描述了本發(fā)明的多個示例性實施例,但是,在不脫離本發(fā)明精神和范圍的情況下,仍可根據(jù)本發(fā)明公開的內(nèi)容直接確定或推導(dǎo)出符合本發(fā)明原理的許多其他變型或修改。因此,本發(fā)明的范圍應(yīng)被理解和認(rèn)定為覆蓋了所有這些其他變型或修改。【權(quán)利要求】1.一種網(wǎng)絡(luò)威脅處理方法,包括:偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文;對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析,提取元數(shù)據(jù);檢測所述元數(shù)據(jù)并確定攻擊行為,其中,所述攻擊行為包括已知的攻擊行為和/或未知的攻擊行為。2.根據(jù)權(quán)利要求1所述的方法,其中,所述對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析,包括:對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類;針對每一類別,選擇相應(yīng)的策略檢測攻擊行為。3.根據(jù)權(quán)利要求2所述的方法,其中,所述對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類,包括:根據(jù)各網(wǎng)絡(luò)數(shù)據(jù)報文的屬性,將獲取的數(shù)據(jù)分為文件類數(shù)據(jù)報文和/或非文件類數(shù)據(jù)報文。4.根據(jù)權(quán)利要求3所述的方法,其中,所述針對每一類別,選擇相應(yīng)的策略檢測攻擊行為,包括:對于所述文件類數(shù)據(jù)報文,將其還原為文件;對還原的文件進(jìn)行檢測,檢測所述文件是否具有惡意行為。5.根據(jù)權(quán)利要求4所述的方法,其中,所述對還原的文件進(jìn)行檢測,包括:利用沙箱檢測方式對還原的文件進(jìn)行檢測。6.根據(jù)權(quán)利要求4或5所述的方法,其中,檢測所述文件是否具有惡意行為,包括:基于網(wǎng)絡(luò)異常行為檢測原理,檢測所述文件是否具有惡意行為。7.根據(jù)權(quán)利要求3所述的方法,其中,所述針對每一類別,選擇相應(yīng)的策略檢測攻擊行為,包括:對于所述非文件類數(shù)據(jù)報文,基于網(wǎng)絡(luò)異常行為檢測原理,檢測出攻擊行為。8.根據(jù)權(quán)利要求7所述的方法,其中,所述基于網(wǎng)絡(luò)異常行為檢測原理,檢測出攻擊行為,包括:提取所述元數(shù)據(jù)的網(wǎng)絡(luò)行為信息;對所述網(wǎng)絡(luò)行為信息進(jìn)行多維度網(wǎng)絡(luò)行為統(tǒng)計;依據(jù)統(tǒng)計結(jié)果,利用決策樹分類規(guī)則建立網(wǎng)絡(luò)異常行為模型;使用所述網(wǎng)絡(luò)異常行為模型確定出攻擊行為。9.根據(jù)權(quán)利要求1至8任一項所述的方法,其中,還包括:對捕捉到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲,以備后續(xù)分析使用。10.一種網(wǎng)絡(luò)威脅處理設(shè)備,包括:偵聽模塊,配置為偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文;數(shù)據(jù)提取模塊,配置為對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析,提取元數(shù)據(jù);確定模塊,配置為檢測所述元數(shù)據(jù)并確定出攻擊行為,其中,所述攻擊行為包括已知的攻擊行為和/或未知的攻擊行為?!疚臋n編號】H04L29/06GK103825888SQ201410053974【公開日】2014年5月28日申請日期:2014年2月17日優(yōu)先權(quán)日:2014年2月17日【發(fā)明者】張聰,張卓申請人:北京奇虎科技有限公司,奇智軟件(北京)有限公司