终端行为监测方法、装置、设备、介质和计算机程序产品制造方法及图纸

本申请涉及一种终端行为监测方法、装置、设备、介质和计算机程序产品，可用于信息安全技术领域，该方法包括：根据预设的互联网锚点地址对终端的行为进行探测，确定终端是否已连接互联网，若终端已连接互联网，则获取终端与互联网连接过程中的行为信息，对行为信息进行分析，获取终端对内部网络的威胁等级。采用本方法能够及时对终端行为进行监测分析，提高安全防护措施的效果。全防护措施的效果。全防护措施的效果。

【技术实现步骤摘要】
终端行为监测方法、装置、设备、介质和计算机程序产品


[0001]本申请涉及信息安全
，特别是涉及一种终端行为监测方法、装置、设备、介质和计算机程序产品。

技术介绍

[0002]随着金融行业的不断发展，金融交易过程中产生的数据越来越多，大量的交易数据都存储在内部服务器中。黑客或者病毒程序容易通过终端来攻击内部服务器，导致内部服务器中的数据泄露，造成了金融系统的安全受到威胁。
[0003]传统技术中通常采用防火墙、安全网关、部署终端安全产品等多种安全防护手段来阻止终端访问互联网。但传统技术的安全防护方法无法及时对终端行为进行监测分析，导致安全防护措施的效果较差。

技术实现思路

[0004]基于此，有必要针对上述技术问题，提供一种能够及时对终端行为进行监测分析，提高安全防护措施的效果的终端行为监测方法、装置、设备、介质和计算机程序产品。
[0005]第一方面，本申请提供了一种终端行为监测方法，所述方法包括：
[0006]根据预设的互联网锚点地址对终端的行为进行探测，确定所述终端是否已连接互联网；
[0007]若所述终端已连接互联网，则获取所述终端与所述互联网连接过程中的行为信息；
[0008]对所述行为信息进行分析，获取所述终端对内部网络的威胁等级。
[0009]在其中一个实施例中，所述对所述行为信息进行分析，获取所述终端对内部网络的威胁等级，包括：
[0010]对所述行为信息进行特征提取，得到所述终端的行为特征；
[0011]根据所述终端的行为特征判断所述终端是否存在异常行为，得到判断结果；所述异常行为包括病毒感染和/或攻击行为；
[0012]根据所述判断结果确定所述终端对所述内部网络的威胁等级。
[0013]在其中一个实施例中，所述根据所述终端的行为特征判断所述终端是否存在异常行为，得到判断结果，包括：
[0014]将所述终端的行为特征与恶意行为特征库中的各行为特征进行匹配；
[0015]若所述终端的行为特征与所述恶意行为特征库中的至少一个行为特征匹配，则确定所述判断结果为所述终端存在所述异常行为；
[0016]若所述终端的行为特征与所述恶意行为特征库中的所有行为特征均不匹配，则确定所述判断结果为所述终端不存在所述异常行为。
[0017]在其中一个实施例中，所述根据所述判断结果确定所述终端对所述内部网络的威胁等级，包括：
[0018]若所述判断结果表示所述终端不存在所述异常行为，则确定所述终端对所述内部网络的威胁等级为低等级威胁；
[0019]若所述判断结果表示所述终端存在所述异常行为，则根据所述异常行为确定所述终端对所述内部网络的威胁等级。
[0020]在其中一个实施例中，所述方法还包括：
[0021]若所述威胁等级为低等级威胁，则向所述终端发送第一控制指令；所述第一控制指令用于指示所述终端与所述互联网断开连接，并在确定与所述互联网断开连接之后访问所述内部网络。
[0022]在其中一个实施例中，所述根据所述异常行为确定所述终端对所述内部网络的威胁等级，包括：
[0023]若所述异常行为未对所述内部网络产生影响，则确定所述终端对所述内部网络的威胁等级为中等级威胁；
[0024]若所述异常行为对所述内部网络产生影响，则确定所述终端对所述内部网络的威胁等级为高等级威胁。
[0025]在其中一个实施例中，所述方法还包括：
[0026]若所述威胁等级为中等级威胁，则向所述终端发送第二控制指令；所述第二控制指令用于指示所述终端与所述互联网断开连接，并在确定所述终端不存在所述异常行为且与所述互联网断开连接之后，访问所述内部网络。
[0027]在其中一个实施例中，所述方法还包括：
[0028]若所述威胁等级为高等级威胁，则向所述终端发送第三控制指令；所述第三控制指令用于指示所述终端分别与所述互联网和所述内部网络断开连接，并在确定所述内部网络的设备中感染文件被清理、所述终端不存在所述异常行为且与所述互联网断开连接之后，访问所述内部网络。
[0029]在其中一个实施例中，所述方法还包括：
[0030]根据所述威胁等级生成告警信息；
[0031]将所述告警信息发送至监测管理平台进行保存和管理。
[0032]第二方面，本申请还提供了一种终端行为监测装置，所述装置包括：
[0033]确定模块，用于根据预设的互联网锚点地址对终端的行为进行探测，确定所述终端是否已连接互联网；
[0034]获取模块，用于在所述终端已连接互联网的情况下，则获取所述终端与所述互联网连接过程中的行为信息；
[0035]处理模块，用于对所述行为信息进行分析，获取所述终端对内部网络的威胁等级。
[0036]第三方面，本申请还提供了一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
[0037]根据预设的互联网锚点地址对终端的行为进行探测，确定所述终端是否已连接互联网；
[0038]若所述终端已连接互联网，则获取所述终端与所述互联网连接过程中的行为信息；
[0039]对所述行为信息进行分析，获取所述终端对内部网络的威胁等级。
[0040]第四方面，本申请还提供了一种计算机可读存储介质，所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
[0041]根据预设的互联网锚点地址对终端的行为进行探测，确定所述终端是否已连接互联网；
[0042]若所述终端已连接互联网，则获取所述终端与所述互联网连接过程中的行为信息；
[0043]对所述行为信息进行分析，获取所述终端对内部网络的威胁等级。
[0044]第五方面，本申请还提供了一种计算机程序产品，所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：
[0045]根据预设的互联网锚点地址对终端的行为进行探测，确定所述终端是否已连接互联网；
[0046]若所述终端已连接互联网，则获取所述终端与所述互联网连接过程中的行为信息；
[0047]对所述行为信息进行分析，获取所述终端对内部网络的威胁等级。
[0048]上述终端行为监测方法、装置、设备、介质和计算机程序产品，服务器根据预设的互联网锚点地址对终端的行为进行探测，可以确定终端是否已连接互联网，在终端已连接互联网的情况下，可以及时的获取终端与互联网连接过程中的行为信息，从而可以对行为信息进行及时分析，及时的获取终端对内部网络的威胁等级，通过主动的对与互联网连接的终端的行为进行监测分析，及时的确定终端对内部网络的威胁等级，相当于从源头上获取终端对内部网络的威胁等级，可以及时的针对不同威胁等级的终端行为进行干预，采取有效措施减少和避免终端对内部网络的威胁，提高安全防护措施的效果。
附图说明
[0049]图1本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种终端行为监测方法，其特征在于，所述方法包括：根据预设的互联网锚点地址对终端的行为进行探测，确定所述终端是否已连接互联网；若所述终端已连接互联网，则获取所述终端与所述互联网连接过程中的行为信息；对所述行为信息进行分析，获取所述终端对内部网络的威胁等级。2.根据权利要求1所述的方法，其特征在于，所述对所述行为信息进行分析，获取所述终端对内部网络的威胁等级，包括：对所述行为信息进行特征提取，得到所述终端的行为特征；根据所述终端的行为特征判断所述终端是否存在异常行为，得到判断结果；所述异常行为包括病毒感染和/或攻击行为；根据所述判断结果确定所述终端对所述内部网络的威胁等级。3.根据权利要求2所述的方法，其特征在于，所述根据所述终端的行为特征判断所述终端是否存在异常行为，得到判断结果，包括：将所述终端的行为特征与恶意行为特征库中的各行为特征进行匹配；若所述终端的行为特征与所述恶意行为特征库中的至少一个行为特征匹配，则确定所述判断结果为所述终端存在所述异常行为；若所述终端的行为特征与所述恶意行为特征库中的所有行为特征均不匹配，则确定所述判断结果为所述终端不存在所述异常行为。4.根据权利要求2或3所述的方法，其特征在于，所述根据所述判断结果确定所述终端对所述内部网络的威胁等级，包括：若所述判断结果表示所述终端不存在所述异常行为，则确定所述终端对所述内部网络的威胁等级为低等级威胁；若所述判断结果表示所述终端存在所述异常行为，则根据所述异常行为确定所述终端对所述内部网络的威胁等级。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：若所述威胁等级为低等级威胁，则向所述终端发送第一控制指令；所述第一控制指令用于指示所述终端与所述互联网断开连接，并在确定与所述互联网断开连接之后访问所述内部网络。6.根据权利要求4所述的方法，其特征在于，所述根据所述异常行为确定所述终端对所述内部网络的威胁等级，包括：若所述异常行为未对所述...

【专利技术属性】
技术研发人员：廉文秀，陈茜倩，
申请(专利权)人：中国工商银行股份有限公司，
类型：发明
国别省市：