(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111567321.6 (22)申请日 2021.12.20 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区玉泉山闵庄路3 号清华科技园玉泉慧谷1号楼 (72)发明人 孙鹏　 (74)专利代理 机构 北京科衡知识产权代理有限 公司 11928 代理人 王淑静 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络威胁监测方法、 装置及电子设备 (57)摘要 本发明的实施例公开一种网络威胁监测方 法、 装置及电子设备， 包括： 在电子设备的操作系 统的内核中， 实时监控各进程的网络连接的建 立， 以及通过网络连接传输的IO数据包； 基于监 控得到的IO数据包， 获取各进程的联网信息， 联 网信息包括网络连接的对端 IP信息； 基于 各进程 的对端IP信息， 分别确定 各进程中每个进程的流 量监测信息， 流量监测 信息表示进程是否存在流 量异常； 对应展示各进程的进程信息、 联网信息 和流量监测信息。 采用本发明实施例提供的方 案， 可以使得管理人员更及时的发现网络威胁， 避免造成进一 步的网络安全损失。 权利要求书2页 说明书6页 附图4页 CN 114285621 A 2022.04.05 CN 114285621 A 1.一种网络威胁监测方法， 其特 征在于， 应用于电子设备， 包括： 在所述电子设备的操作系统的内核中， 实时监控各进程的网络连接的建立， 以及通过 所述网络连接传输的IO数据包； 基于监控得到的所述IO数据包， 获取所述各进程的联网信息， 所述联网信息包括所述 网络连接的对端IP信息； 基于所述各进程的所述对端IP信息， 分别确定所述各进程中每个进程的流量监测信 息， 所述流量监测信息表示进程是否存在流 量异常； 对应展示所述各进程的进程信息、 所述联网信息和所述 流量监测信息 。 2.根据权利要求1所述的方法， 其特 征在于， 还 包括： 当所述流量监测信息表示进程存在流 量异常时， 针对流 量异常的进程， 进行报警提 示。 3.根据权利要求1所述的方法， 其特征在于， 所述基于所述各进程的所述联网信息， 分 别确定所述各进程中每 个进程的流 量监测信息， 包括： 向流量监测设备发送所述各进程的所述对端IP信息， 使得所述流量监测设备基于所述 各进程的所述对端IP信息， 分别确定每个进程是否存在流量异常， 得到表示该进程是否存 在流量异常的流 量监测信息； 接收所述 流量监测设备返回的所述各进程的所述 流量监测信息 。 4.根据权利要求1 ‑3任一所述的方法， 其特征在于， 所述联网信 息还至少包括如下信 息 之一： 端口号， 网络协议， IO数据包的进出 方向， IO数据包的数据量。 5.一种网络威胁监测装置， 其特 征在于， 应用于电子设备， 包括： 进程监控模块， 用于在所述电子设备的操作系统的内核中， 实时监控各进程的网络连 接的建立， 以及通过 所述网络连接传输的IO数据包； 信息获取模块， 用于基于监控得到的所述IO数据包， 获取所述各进程的联网信息， 所述 联网信息包括所述网络连接的对端IP信息； 流量监测模块， 用于基于所述各进程的所述对端IP信息， 分别确定所述各进程中每个 进程的流 量监测信息， 所述 流量监测信息表示进程是否存在流 量异常； 信息展示模块， 用于对应展示所述各进程的进程信息、 所述联网信息和所述流量监测 信息。 6.根据权利要求5所述的装置， 其特 征在于， 还 包括： 威胁报警模块， 用于当所述流量监测信息表示进程存在流量异常时， 针对流量异常的 进程， 进行报警提 示。 7.根据权利要求5所述的装置， 其特征在于， 所述流量监测模块， 具体用于向流量监测 设备发送所述各进程的所述对端IP信息， 使得所述流量监测设备基于所述各进程的所述对 端IP信息， 分别确定每个进程是否存在流量异常， 得到表示该进程是否存在流量异常的流 量监测信息； 以及接收所述 流量监测设备返回的所述各进程的所述 流量监测信息 。 8.根据权利要求5 ‑7任一所述的装置， 其特征在于， 所述联网信 息还至少包括如下信 息 之一： 端口号， 网络协议， IO数据包的进出 方向， IO数据包的数据量。 9.一种电子设备， 其特征在于， 所述电子设备包括： 壳体、 处理器、 存储器、 电路板和电权　利　要　求　书 1/2 页 2 CN 114285621 A 2源电路， 其中， 电路板安置在壳体 围成的空间内部， 处理器和存储器设置在电路板上； 电源 电路， 用于为上述电子 设备的各个电路或器件供电； 存储器用于存储 可执行程序 代码； 处理 器通过读取存储器中存储的可执行程序代码来运行与可执行程序 代码对应的程序， 用于执 行权利要求1 ‑4任一所述的方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有一个或者 多个程序， 所述一个或者多个程序可被一个或者多个处理器执行， 以实现权利要求 1‑4任一 所述的方法。权　利　要　求　书 2/2 页 3 CN 114285621 A 3