(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111567145.6 (22)申请日 2021.12.20 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区玉泉山闵庄路3 号清华科技园玉泉慧谷1号楼 (72)发明人 孙鹏　肖新光　 (74)专利代理 机构 北京科衡知识产权代理有限 公司 11928 代理人 王淑静 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/06(2022.01) (54)发明名称 一种网络威胁检测方法、 装置、 电子设备及 可读存储介质 (57)摘要 本申请的实施例公开了一种网络威胁检测 方法、 装置、 电子设备及可读存储介质， 涉及网络 安全技术领域， 为便于提高用户数据的安全性而 发明。 所述方法， 包括： 获取通过浏览器下载的文 件的来源信息； 运行所述文件， 并获取与进程对 应的流量要素； 其中， 所述进程为与所述文件对 应的进程； 根据所述流量要素， 确定所述进程是 否为威胁进程； 响应于所述进程为威胁进程， 根 据所述来源信息， 确定威胁的来源。 本申请适用 于确定威胁来源。 权利要求书2页 说明书8页 附图3页 CN 114285618 A 2022.04.05 CN 114285618 A 1.一种网络威胁 检测方法， 其特 征在于， 包括： 获取通过浏览器下 载的文件的来源信息； 运行所述文件， 并获取与进程对应的流量要素； 其中， 所述进程为与所述文件对应的进 程； 根据所述 流量要素， 确定所述进程是否为 威胁进程； 响应于所述进程 为威胁进程， 根据所述 来源信息， 确定威胁的来源。 2.根据权利要求1所述的方法， 其特征在于， 所述获取通过浏览器下载的文件的来源信 息， 包括： 跟踪浏览器的网络访 问行为； 其中， 所述网络访 问行为与通过所述浏览器下载所述文 件对应； 记录所述网络访问行为， 形成所述文件的来源信息 。 3.根据权利要求1所述的方法， 其特征在于， 所述获取与所述进程对应的流量要素， 包 括： 在操作系统的内核中， 监控所述进程是否建立网络连接； 响应于所述进程建立网络连接， 则获取与所述进程对应的流 量要素。 4.根据权利要求1所述的方法， 其特征在于， 所述根据所述流量要素， 确定所述进程是 否为威胁进程， 包括： 根据预设的威胁判断策略和所述 流量要素， 确定所述 流量要素是否为威胁要素； 响应于所述 流量要素为 威胁要素， 确定所述进程 为威胁进程； 响应于所述 流量要素不 为威胁要素， 确定所述进程 不是威胁进程。 5.根据权利要求1所述的方法， 其特征在于， 所述威胁要素包括IP地址； 所述方法还包 括： 将所述IP地址向云端发送， 以使所述云端根据所述 IP地址确定威胁的地理位置 。 6.根据权利要求1所述的方法， 其特征在于， 所述来源信 息中包括至少两个统一资源定 位符及所述至少两个统一资源定位符间的跳转 顺序， 所述方法还 包括： 将所述来源信 息向云数据库发送， 以使所述云数据库根据 所述至少两个统一资源定位 符间的跳转 顺序， 对所述至少两个资源定位符进行分类。 7.一种网络威胁 检测装置， 其特 征在于， 包括： 第一获取模块， 用于获取通过浏览器下 载的文件的来源信息； 第二获取模块， 用于运行所述文件， 并获取与进程对应的流量要素； 其中， 所述进程为 与所述文件 对应的进程； 第一确定模块， 用于根据所述 流量要素， 确定所述进程是否为 威胁进程； 第二确定模块， 用于响应于所述进程为威胁进程， 根据所述来源信息， 确定威胁的来 源。 8.根据权利要求7 所述的装置， 其特 征在于， 所述第一获取模块， 具体用于： 跟踪浏览器的网络访 问行为； 其中， 所述网络访 问行为与通过所述浏览器下载所述文 件对应； 记录所述网络访问行为， 形成所述文件的来源信息 。 9.根据权利要求7 所述的装置， 其特 征在于， 所述第二获取模块， 具体用于：权　利　要　求　书 1/2 页 2 CN 114285618 A 2在操作系统的内核中， 监控所述进程是否建立网络连接； 响应于所述进程建立网络连接， 则获取与所述进程对应的流 量要素。 10.根据权利要求7 所述的装置， 其特 征在于， 所述第一确定模块， 具体用于： 根据预设的威胁判断策略和所述 流量要素， 确定所述 流量要素是否为威胁要素； 响应于所述 流量要素为 威胁要素， 确定所述进程 为威胁进程； 响应于所述 流量要素不 为威胁要素， 确定所述进程 不是威胁进程。 11.根据权利要求7所述的装置， 其特征在于， 所述威胁要素包括IP地址； 所述装置还包 括： 第一发送模块， 用于将所述IP地址向云端发送， 以使所述云端根据所述IP地址确定威 胁的地理位置 。 12.根据权利要求7所述的装置， 其特征在于， 所述来源信息中包括至少两个统一资源 定位符及所述至少两个统一资源定位符间的跳转 顺序， 所述装置还 包括： 第二发送模块， 用于将所述来源信息向云数据库发送， 以使所述云数据库根据所述至 少两个统一资源定位符间的跳转 顺序， 对所述至少两个资源定位符进行分类。 13.一种电子设备， 其特征在于， 所述电子设备包括： 壳体、 处理器、 存储器、 电路板和电 源电路， 其中， 电路板安置在壳体 围成的空间内部， 处理器和存储器设置在电路板上； 电源 电路， 用于为上述电子 设备的各个电路或器件供电； 存储器用于存储 可执行程序 代码； 处理 器通过读取存储器中存储的可执行程序代码来运行与可执行程序 代码对应的程序， 用于执 行前述权利要求1 ‑6任一项所述的网络威胁 检测的方法。 14.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有一个或者 多个程序， 所述一个或者多个程序可被一个或者多个处理器执行， 以实现前述权利要求 1‑6 任一项所述的网络威胁 检测的方法。权　利　要　求　书 2/2 页 3 CN 114285618 A 3