(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111564274.X (22)申请日 2021.12.20 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区玉泉山闵庄路3 号清华科技园玉泉慧谷1号楼 (72)发明人 孙鹏　肖新光　 (74)专利代理 机构 北京科衡知识产权代理有限 公司 11928 代理人 王淑静 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络威胁监测方法、 装置、 电子设备及 可读存储介质 (57)摘要 本申请的实施例公开了一种网络威胁监测 方法、 装置、 电子设备及可读存储介质， 涉及网络 安全技术领域， 为便于提高用户数据的安全性而 发明。 所述方法， 包括： 获取联网的进程对应的流 量要素； 根据预设的威胁判断策略， 确定所述流 量要素是否为威胁要素； 响应于所述流量要素为 威胁要素， 查找与所述威胁要素对应的进程。 本 申请适用于查找威胁要素对应的进程。 权利要求书2页 说明书8页 附图2页 CN 114285617 A 2022.04.05 CN 114285617 A 1.一种网络威胁监测方法， 其特 征在于， 包括： 获取联网的进程对应的流 量要素； 根据预设的威胁判断策略， 确定所述 流量要素是否为威胁要素； 响应于所述 流量要素为 威胁要素， 查找与所述 威胁要素对应的进程。 2.根据权利要求1所述的方法， 其特征在于， 所述获取联网的进程对应的流量要素， 包 括： 在操作系统的内核中， 监控是否有 进程建立网络连接； 响应于有 进程建立网络连接， 获取与联网的进程对应的流 量要素。 3.根据权利要求1所述的方法， 其特征在于， 所述根据预设的威胁判断策略， 确定所述 流量要素是否为威胁要素， 包括： 将所述进程对应的流量要素向预设的安全服务发送， 以通过所述预设的安全服务中的 威胁要素确定模块， 确定所述 流量要素是否为威胁要素。 4.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 获取联网的进程的进程信 息， 其中， 所述进程信息包括所述进程对应的内存信 息、 所述 进程的环境变量和/或与所述进程对应的硬 盘上的文件； 在所述查找与所述 威胁要素对应的进程之后， 所述方法还 包括： 将所述进程对应的内存信息、 所述进程的环境变量和/或与所述进程对应的硬盘上的 文件向所述预设的安全服务发送， 以通过所述预设的安全服务的威胁要素提取模块， 提取 所述进程对应的内存信息、 所述进程的环境变量和/或与所述进程对应的硬盘上 的文件中 包括的威胁要素； 接收所述预设的安全服 务发送的所述 威胁要素。 5.根据权利要求 4所述的方法， 其特 征在于， 所述方法还 包括： 接收所述预设的安全服务发送的拦截规则， 以使用所述拦截规则对威胁要素进行拦 截， 其中， 所述 拦截规则为 根据所述 威胁要素确定的规则。 6.根据权利要求3所述的方法， 其特征在于， 所述预设的安全服务运行于本地或服务 端。 7.一种网络威胁监测装置， 其特 征在于， 包括： 第一获取模块， 用于获取 联网的进程对应的流 量要素； 确定模块， 用于根据预设的威胁判断策略， 确定所述 流量要素是否为威胁要素； 查找模块， 用于响应于所述 流量要素为 威胁要素， 查找与所述 威胁要素对应的进程。 8.根据权利要求7 所述的装置， 其特 征在于， 所述第一获取模块， 具体用于： 在操作系统的内核中， 监控是否有 进程建立网络连接； 响应于有 进程建立网络连接， 获取与联网的进程对应的流 量要素。 9.根据权利要求7 所述的装置， 其特 征在于， 所述确定模块， 具体用于： 将所述进程对应的流量要素向预设的安全服务发送， 以通过所述预设的安全服务中的 威胁要素确定模块， 确定所述 流量要素是否为威胁要素。 10.根据权利要求9所述的装置， 其特 征在于， 所述装置还 包括： 第二获取模块， 用于获取联网的进程的进程信 息， 其中， 所述进程信 息包括所述进程对 应的内存信息、 所述进程的环境变量和/或与所述进程对应的硬 盘上的文件；权　利　要　求　书 1/2 页 2 CN 114285617 A 2发送模块， 用于在所述查找模块查找与所述威胁要素对应的进程之后， 将所述进程对 应的内存信息、 所述进程的环境变量和/或与所述进程对应的硬盘上 的文件向所述预设的 安全服务发送， 以通过所述预设的安全服务的威胁要素提取模块， 提取所述进程对应的内 存信息、 所述进程的环境变量和/或与所述进程对应的硬 盘上的文件中包括的威胁要素； 第一接收模块， 用于 接收所述预设的安全服 务发送的所述 威胁要素。 11.根据权利要求10所述的装置， 其特 征在于， 所述装置还 包括： 第二接收模块， 用于接收所述预设的安全服务发送的拦截规则， 以使用所述拦截规则 对威胁要素进行拦截， 其中， 所述 拦截规则为 根据所述 威胁要素确定的规则。 12.根据权利要求9所述的装置， 其特征在于， 所述预设的安全服务运行于本地或服务 端。 13.一种电子设备， 其特征在于， 所述电子设备包括： 壳体、 处理器、 存储器、 电路板和电 源电路， 其中， 电路板安置在壳体 围成的空间内部， 处理器和存储器设置在电路板上； 电源 电路， 用于为上述电子 设备的各个电路或器件供电； 存储器用于存储 可执行程序 代码； 处理 器通过读取存储器中存储的可执行程序代码来运行与可执行程序 代码对应的程序， 用于执 行前述权利要求1 ‑6任一项所述的网络威胁监测方法。 14.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有一个或者 多个程序， 所述一个或者多个程序可被一个或者多个处理器执行， 以实现前述权利要求 1‑6 任一项所述的网络威胁监测方法。权　利　要　求　书 2/2 页 3 CN 114285617 A 3