The embodiment of the invention provides a security detection method and device based on LAN, which is applied to the server according to the process of behavior of the user terminal the LAN reported, get the corresponding series of process behavior; for malicious behavior or behavior of the target process sequence suspected malicious behavior, the hair the target process behavior sequence and the target process corresponding to the sequence of processing rules to the user terminal under threat. The embodiment of the invention can realize the more timely and effective threat processing for the target process behavior sequence through the above-mentioned threat processing rules, so that the security of the local area network can be improved.
【技术实现步骤摘要】
一种基于局域网的安全检测方法和装置
本专利技术涉及计算机安全
,特别是涉及一种基于局域网的安全检测方法和一种基于局域网的安全检测装置。
技术介绍
随着互联网的迅速普及,局域网已成为企业发展中必不可少的一部分。然而,在为企业带来便利的同时,局域网也面临着各种各样的进攻和威胁,如机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵等。现有基于局域网的安全检测方案大多通过在企业网内部的用户终端上分别安装杀毒软件客户端,由该杀毒软件客户端基于病毒特征库发现用户终端上的病毒数量和病毒危害程度。并且,现有方案可以通过如下过程实现病毒特征库的更新:企业网的管理员在检测到企业网中新出现的恶意程序后,可以将所述恶意程序作为病毒样本,分析得到该病毒样本的病毒特征,并将该病毒特征下发至用户终端,以实现对于用户终端侧病毒特征库的更新,进而实现对于新出现的恶意程序的查杀和隔离;其中,病毒特征就是从病毒体内不同位置提取的一系列字节,杀毒软件就是通过这些字节及位置信息来检验某个文件是否带有病毒的。专利技术人在实施本专利技术的过程中发现,现有方案至少存在如下问题:由于病毒特征库相对于病毒具有一定的滞后性,特别是随着计算机运行速度的大幅度提升,等到检测到恶意程序时,往往已经给企业网带来了无法弥补的损失,因此,现有方案属于事后补救的范畴,因此无法有效保证企业网的安全性。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于局域网的安全检测方法和一种基于局域网的安全检测装置。依据本专利技术的一个方面,提供了一种基于局域网的安全检测方法,应用于服 ...
【技术保护点】
一种基于局域网的安全检测方法,应用于服务器,包括:依据所述局域网内的用户终端上报的进程行为,得到对应的进程行为序列;针对存在恶意行为或者疑似恶意行为的目标进程行为序列,向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则。
【技术特征摘要】
1.一种基于局域网的安全检测方法,应用于服务器,包括:依据所述局域网内的用户终端上报的进程行为,得到对应的进程行为序列;针对存在恶意行为或者疑似恶意行为的目标进程行为序列,向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则。2.如权利要求1所述的方法,其特征在于,所述威胁处理规则包括:威胁遏制规则,和/或,附加监测规则;其中,所述威胁遏制规则用于杀掉所述目标进程行为序列对应的目标进程,所述附加监测规则用于附加采集所述目标进程行为序列对应目标进程的详情信息。3.如权利要求1所述的方法,其特征在于,所述威胁处理规则包括:附加监测规则,则所述方法还包括:接收所述用户终端依据所述附加监测规则上报的、所述目标进程行为序列对应目标进程的详情信息;依据所述目标进程的详情信息,判断所述目标进程行为序列是否存在恶意行为;当判定所述目标进程行为序列不存在恶意行为时,在决策树中添加所述附加监测规则对应的属性;或者,当判定所述目标进程行为序列存在恶意行为时,向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁遏制规则。4.如权利要求1所述的方法,其特征在于,通过如下步骤获取存在恶意行为或者疑似恶意行为的目标进程行为序列:判断所述进程行为序列是否符合预置的威胁情报规则,若是,则将所述进程行为序列作为存在恶意行为的目标进程行为序列;或者从所述进程行为序列对应进程中获取符合预置进程行为模式的目标进程,并依据所述目标进程的进程行为序列,判断所述进程行为序列是否存在恶意行为或者疑似恶意行为;或者利用决策树对所述进程行为序列进行分类,若所述决策树输出的分类结果为恶意,则依据用户的第一指令,将所述进程行为序列作为存在恶意行为的目标进程行为序列,或者,依据用户的第二指令,将所述进程行为序列作为存在疑似恶意行为的目标进程行为序列。5.如权利要求1所述的方法,其特征在于,所述依据所述局域网内的用户终端上报的进程行为,得到对应的进程行为序列的步骤,包括:依据所述局...
【专利技术属性】
技术研发人员:潘山,孟君,刘学忠,
申请(专利权)人:北京奇虎科技有限公司,北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。