[发明专利]一种网络威胁的检测方法、装置、电子设备及存储介质

权利要求书

1.一种网络威胁的检测方法，其特征在于，包括：

确定待检测的目标用户名；

根据所述待检测的目标用户名，确定所述目标用户名在指定时间段内使用的互联网协议地址；

确定所述互联网协议地址所访问的定位标识；所述定位标识，包括远程互联网协议地址和网站域名中的至少一种；

根据预设的防火墙互联网协议地址黑名单和所述定位标识，确定所述目标用户名对应的终端设备的主机是否遭受网络威胁；其中，所述预设的防火墙互联网协议地址黑名单基于存在风险的历史访问记录对应的日志信息构建；

其中，在根据预设的防火墙互联网协议地址黑名单和所述定位标识，确定所述目标用户名对应的主机是否遭受网络威胁之前，还包括：

获取所述存在风险的历史访问记录对应的日志信息，得到日志信息集合；

调用预设的开源威胁情报库的应用程序接口执行：根据所述日志信息集合以及预设的开源威胁情报库，查询所述日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名；

根据所述目标互联网协议地址和所述目标网站域名，生成所述预设的防火墙访问黑名单。

2.如权利要求1所述的方法，其特征在于，所述存在风险的历史访问记录对应的日志信息包括以下至少一种：

网络准入系统的日志信息；

动态主机配置协议系统的日志信息；

域名系统的日志信息；

防火墙木马与远程被控威胁告警的日志信息。

3.如权利要求2所述的方法，其特征在于，所述预设的防火墙互联网协议地址黑名单基于存在风险的历史访问记录对应的日志信息构建，包括：

所述预设的防火墙互联网协议地址黑名单，通过对网络准入系统的日志信息、动态主机配置协议系统的日志信息、域名系统的日志信息以及防火墙木马与远程被控威胁告警的日志信息中的至少一种聚合分析得到。

4.如权利要求1所述的方法，其特征在于，获取所述存在风险的历史访问记录对应的日志信息，包括：

通过下一代系统日志工具服务创建用户数据包协议网络监听；

基于所述用户数据包协议网络监听获取所述存在风险的历史访问记录对应的日志信息。

5.如权利要求2所述的方法，其特征在于，根据所述待检测的目标用户名，确定所述目标用户名在指定时间段内使用的互联网协议地址，包括：

根据所述待检测的目标用户名在所述网络准入系统进行查询，确定所述目标用户名在指定时间段内使用的互联网协议地址。

6.如权利要求2所述的方法，其特征在于，确定所述互联网协议地址所访问的定位标识，包括：

基于所述互联网协议地址和所述动态主机配置协议系统，查询所述互联网协议地址对应的局域网地址；

基于所述局域网地址在所述动态主机配置协议系统进行查询，得到与所述局域网地址对应的动态互联网协议地址；

根据所述动态互联网协议地址和域名系统，确定所述互联网协议地址所访问的定位标识。

7.如权利要求2所述的方法，其特征在于，根据预设的防火墙互联网协议地址黑名单和所述定位标识，确定所述目标用户名对应的主机是否遭受网络威胁，包括：

若所述防火墙互联网协议地址黑名单包括所述定位标识，则确定所述目标用户名对应的主机遭受网络威胁；

若所述防火墙互联网协议地址黑名单不包括所述定位标识，则确定所述目标用户名对应的主机不遭受网络威胁。

8.如权利要求1所述的方法，其特征在于，所述方法还包括：

若确定所述目标用户名遭受网络威胁，则基于配置管理数据库和通信录系统，确定所述目标用户名对应的用户的联系方式；

根据所述用户的联系方式，向所述用户发送提示信息。