(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211283315.2 (22)申请日 2022.10.20 (71)申请人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 熊福魏　樊兴华　薛锋　陈杰　 赵林林　童兆丰　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 刘广 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络安全检测的方法、 设备、 装置、 电子 设备及介质 (57)摘要 本申请实施例提供一种网络安全检测的方 法、 设备、 装置、 电子设备及介质， 属于网络安全 领域， 该方法包括： 在确认任一主机请求连接的 地址属于安全地址的条件下， 获取在所述任一主 机上启动的与所述地址对应的进程得到进程信 息； 至少根据所述进程信息确认与所述地址对应 的设备是否属于具有攻击性的设备。 通过本申请 的一些实施例能够解决单纯地址检测导致的漏 报问题， 从而能够及时的发现具有攻击性的设 备， 进而提升网络的安全性。 权利要求书2页 说明书12页 附图3页 CN 115361235 A 2022.11.18 CN 115361235 A 1.一种网络安全检测的方法， 其特 征在于， 应用于网络安全设备， 所述方法包括： 在确认任一主机请求连接的地址属于安全地址的条件下， 获取在所述任一主机上启动 的与所述 地址对应的进程得到进程信息； 至少根据所述进程信息确认与所述 地址对应的设备 是否属于具有攻击性的设备。 2.根据权利要求1所述的方法， 其特征在于， 在所述确 认任一主机请求连接的地址属于 安全地址之后， 所述方法还 包括： 获取与所述 地址对应的设备对所述任一主机上文件的操作得到文件操作信息； 所述至少根据 所述进程信 息确认与 所述地址对应的设备是否属于具有攻击性的设备， 包括： 根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻 击性的设备。 3.根据权利要求2所述的方法， 其特征在于， 所述地址与至少一个进程信息相对应， 其 中， 所述至少一个进程信息中包括第i进程信息， 所述第i进程信息为所述至少一个进程信 息中的任意 一个， 所述第i进程信息中包括至少一个文件操作信息； 所述根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具 有攻击性的设备， 包括： 确认所述第i进程信息包括的所述至少一个文件操作信息中， 存在异常操作信息， 其 中， 所述异常操作至少包括读写敏感文件； 按照风险等级对所述异常操作信息进行评分， 获得评分结果； 确认所述评分结果满足预设条件， 则判断与所述地址对应的设备属于具有攻击性的设 备。 4.根据权利要求3所述的方法， 其特征在于， 所述按照 风险等级对所述异常操作信 息进 行评分， 获得评分结果， 包括： 获取与所述异常操作信息相对应的分值和权 重； 基于所述分值和权 重对所述异常操作信息进行加权平均， 获得评分值； 所述确认所述评分结果满足预设条件， 则判断与 所述地址对应的设备属于具有攻击性 的设备， 包括： 确认所述评分值大于预设评分阈值， 则判断与 所述地址对应的设备属于具有攻击性的 设备。 5.根据权利要求3 ‑4任一项所述的方法， 其特征在于， 在所述判断与所述地址对应的设 备属于具有攻击性的设备之后， 所述方法还 包括： 根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像， 其中， 所述攻击画像使用所述 地址对应的设备的攻击顺序进行表征； 基于所述 攻击画像对所述任一主机进行检测， 获得与所述任一主机对应的检测结果。 6.根据权利要求5所述的方法， 其特征在于， 所述根据所述进程信 息和所述文件操作信 息建立所述 地址对应的设备的攻击画像， 包括： 基于所述第i进程信息记录所述 地址对应的设备进行异常操作的操作顺序； 将所述操作顺序作为所述 地址对应的设备的攻击画像。 7.根据权利要求5所述的方法， 其特征在于， 在所述根据 所述进程信 息和所述文件操作权　利　要　求　书 1/2 页 2 CN 115361235 A 2信息建立所述 地址对应的设备的攻击画像之后， 所述方法还 包括： 按照所述攻击画像对所有的外网设备的访问进程进行检测， 获得符合所述攻击画像的 外网设备 所对应的异常地址， 其中， 所述外网设备与所述网络安全设备不属于同一网络； 将所述异常地址添加到威胁攻击库中。 8.根据权利要求3所述的方法， 其特征在于， 在所述判断与所述地址对应的设备属于具 有攻击性的设备之后， 所述方法还 包括： 对与所述异常操作信 息相关的文件进行隔离操作， 并且向所述地址对应的设备发送阻 断数据包。 9.一种网络安全检测的方法， 其特 征在于， 应用于任一主机上， 所述方法包括： 在确认本主机请求连接的地址属于安全地址的条件下， 获取在所述本主机上启动的与 所述地址对应的进程得到进程信息， 其中， 所述本主机为至少一个主机中的任意一个， 所述 至少一个主机与网络安全设备属于同一个局域网； 至少根据所述进程信息确认与所述 地址对应的设备 是否属于具有攻击性的设备。 10.一种网络安全检测的设备， 其特 征在于， 所述设备包括： 接收单元， 被配置为获取域名系统DNS解析服务器向第一网络中各主机发送的域名解 析响应报文； 处理单元， 被配置为确认所述 域名解析响应报文所携带的地址属于安全地址； 获取单元， 被配置为获取与所述 地址对应的进程得到进程信息； 安全性判别单元， 被配置为至少根据 所述进程信 息确认与所述地址对应的设备是否属 于具有攻击性的设备。 11.一种网络安全检测的装置， 其特 征在于， 所述装置包括： 信息获取模块， 被配置为在确认任一主机请求连接的地址属于安全地址的条件下， 获 取在所述任一主机上启动的与所述 地址对应的进程得到进程信息； 攻击检测模块， 被配置为至少根据 所述进程信 息确认与 所述地址对应的设备是否属于 具有攻击性的设备。 12.一种电子设备， 其特 征在于， 包括： 处 理器、 存储器和总线； 所述处理器通过所述总线与所述存储器相连， 所述存储器存储有计算机程序， 所述计 算机程序由所述处 理器执行时可实现如权利要求1 ‑9任一项所述方法。 13.一种计算机可读存储介质， 其特征在于， 该计算机可读存储介质上存储有计算机程 序， 该计算机程序被执 行时可实现如权利要求1 ‑9任一项所述方法。权　利　要　求　书 2/2 页 3 CN 115361235 A 3