一种基于局域网的安全检测方法和装置制造方法及图纸

本发明专利技术实施例提供了一种基于局域网的安全检测方法和装置，其中的应用于服务器的方法具体包括：依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列；针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则。本发明专利技术实施例能够通过上述威胁处理规则针对目标进程行为序列实现更及时更有效的威胁处理，因此可以提高局域网的安全性。

Security detection method and device based on LAN

The embodiment of the invention provides a security detection method and device based on LAN, which is applied to the server according to the process of behavior of the user terminal the LAN reported, get the corresponding series of process behavior; for malicious behavior or behavior of the target process sequence suspected malicious behavior, the hair the target process behavior sequence and the target process corresponding to the sequence of processing rules to the user terminal under threat. The embodiment of the invention can realize the more timely and effective threat processing for the target process behavior sequence through the above-mentioned threat processing rules, so that the security of the local area network can be improved.

【技术实现步骤摘要】
一种基于局域网的安全检测方法和装置
本专利技术涉及计算机安全
，特别是涉及一种基于局域网的安全检测方法和一种基于局域网的安全检测装置。
技术介绍
随着互联网的迅速普及，局域网已成为企业发展中必不可少的一部分。然而，在为企业带来便利的同时，局域网也面临着各种各样的进攻和威胁，如机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵等。现有基于局域网的安全检测方案大多通过在企业网内部的用户终端上分别安装杀毒软件客户端，由该杀毒软件客户端基于病毒特征库发现用户终端上的病毒数量和病毒危害程度。并且，现有方案可以通过如下过程实现病毒特征库的更新：企业网的管理员在检测到企业网中新出现的恶意程序后，可以将所述恶意程序作为病毒样本，分析得到该病毒样本的病毒特征，并将该病毒特征下发至用户终端，以实现对于用户终端侧病毒特征库的更新，进而实现对于新出现的恶意程序的查杀和隔离；其中，病毒特征就是从病毒体内不同位置提取的一系列字节，杀毒软件就是通过这些字节及位置信息来检验某个文件是否带有病毒的。专利技术人在实施本专利技术的过程中发现，现有方案至少存在如下问题：由于病毒特征库相对于病毒具有一定的滞后性，特别是随着计算机运行速度的大幅度提升，等到检测到恶意程序时，往往已经给企业网带来了无法弥补的损失，因此，现有方案属于事后补救的范畴，因此无法有效保证企业网的安全性。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于局域网的安全检测方法和一种基于局域网的安全检测装置。依据本专利技术的一个方面，提供了一种基于局域网的安全检测方法，应用于服务器，包括：依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列；针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则。根据本专利技术的另一方面，提供了一种基于局域网的安全检测方法，应用于用户终端，包括：接收服务器下发的目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则；对所述用户终端中的所述目标进程行为序列进行监测；当监测到所述目标进程行为序列时，执行所述目标进程行为序列对应的威胁处理规则。根据本专利技术的再一方面，提供了一种基于局域网的安全检测装置，应用于服务器，包括：序列生成模块，用于依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列；以及规则下发模块，用于针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则。根据本专利技术的又一方面，提供了一种基于局域网的安全检测装置，应用于用户终端，包括：接收模块，用于接收服务器下发的目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则；监测模块，用于对所述用户终端中的所述目标进程行为序列进行监测；以及规则执行模块，用于当监测到所述目标进程行为序列时，执行所述目标进程行为序列对应的威胁处理规则。根据本专利技术实施例的一种基于局域网的安全检测方法和装置，由于上述进程行为序列可用于表示预设时间段内按照时间先后顺序记录的连续性的进程行为，故通过实时分析某进程行为序列，可以判断该进程行为序列是否存在恶意行为或者疑似恶意行为；因此，相对于传统的病毒特征库是基于被病毒感染的病毒样本得到的、而病毒样本的发现需要一个较长的过程，本专利技术实施例能够基于进程行为序列更及时地检测出局域网的未知威胁和安全隐患，从而能够提高安全检测的及时性，且能够实现病毒的有效预防。并且，本专利技术实施例针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则，由用户终端执行上述威胁处理规则；相对于传统的病毒特征库从病毒样本中提取病毒特征的方式，本专利技术实施例可以通过上述威胁处理规则针对目标进程行为序列实现更及时更有效的的威胁处理，因此可以提高局域网的安全性。上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。附图说明通过阅读下文可选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出可选实施方式的目的，而并不认为是对本专利技术的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：图1示出了根据本专利技术一个实施例的一种基于局域网的安全检测方法的步骤流程示意图；图2示出了根据本专利技术一个实施例的一种进程树的结构示意图；图3示出了根据本专利技术一个实施例的一种基于局域网的安全检测方法的步骤流程示意图；图4示出了根据本专利技术一个实施例的一种基于局域网的安全检测方法的步骤流程示意图；图5示出了根据本专利技术一个实施例的一种基于局域网的安全检测方法的步骤流程示意图；图6示出了根据本专利技术一个实施例的一种基于局域网的安全检测装置的结构示意；以及图7示出了根据本专利技术一个实施例的一种基于局域网的安全检测装置的结构示意。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。参照图1，示出了根据本专利技术一个实施例的一种基于局域网的安全检测方法的步骤流程图，应用于服务器，具体可以包括如下步骤：步骤101、依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列；步骤102、针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则。本专利技术实施例可以应用于企业网、政府网、校园网等局域网中；在上述局域网中，所述服务器是指局域网内用于控制其它用户终端进行安全检测的设备，所述用户终端是指局域网内响应服务器的控制指令，与服务器进行数据交互的终端。在实际应用中，可以在服务器部署服务器代理模块，在用户终端部署软件客户端模块，以类似C/S(客户端/服务器，Client/Server)的架构，实现局域网内服务器对用户终端的控制功能，以及，用户终端的控制响应及通信功能。其中，上述服务器和上述用户终端之间可以通过标准协议或者私有协议进行通信，其中，私有协议具有封闭性和安全性高的优点；可以理解，本专利技术实施例对于服务器与用户终端之间的具体通信方式不加以限制。在实际应用中，服务器的用户可以是网络管理员等具有一定的网络安全知识的高级用户，因此，服务器的用户可以根据局域网的当前安全需求和实际情况，灵活地设置相应的控制指令。本专利技术实施例中，一种第一控制指令可用于指示用户终端向服务器上报进程行为，则用户终端在接收到该第一控制指令后，可以对本地进程的进程行为进行监测，并向服务器上报监测到的进程行为。可选地，本专利技术实施例可以在不影响用户对于用户终端的正常使用的情况下，捕获并上报用户终端的进程行为，故可以不影响用户的使用体验。可选地，上述进程行为可以包括但不限于：进程启停行为、内存行为以及变更行为中的至少一种。其中本文档来自技高网...

【技术保护点】
一种基于局域网的安全检测方法，应用于服务器，包括：依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列；针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则。

【技术特征摘要】
1.一种基于局域网的安全检测方法，应用于服务器，包括：依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列；针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则。2.如权利要求1所述的方法，其特征在于，所述威胁处理规则包括：威胁遏制规则，和/或，附加监测规则；其中，所述威胁遏制规则用于杀掉所述目标进程行为序列对应的目标进程，所述附加监测规则用于附加采集所述目标进程行为序列对应目标进程的详情信息。3.如权利要求1所述的方法，其特征在于，所述威胁处理规则包括：附加监测规则，则所述方法还包括：接收所述用户终端依据所述附加监测规则上报的、所述目标进程行为序列对应目标进程的详情信息；依据所述目标进程的详情信息，判断所述目标进程行为序列是否存在恶意行为；当判定所述目标进程行为序列不存在恶意行为时，在决策树中添加所述附加监测规则对应的属性；或者，当判定所述目标进程行为序列存在恶意行为时，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁遏制规则。4.如权利要求1所述的方法，其特征在于，通过如下步骤获取存在恶意行为或者疑似恶意行为的目标进程行为序列：判断所述进程行为序列是否符合预置的威胁情报规则，若是，则将所述进程行为序列作为存在恶意行为的目标进程行为序列；或者从所述进程行为序列对应进程中获取符合预置进程行为模式的目标进程，并依据所述目标进程的进程行为序列，判断所述进程行为序列是否存在恶意行为或者疑似恶意行为；或者利用决策树对所述进程行为序列进行分类，若所述决策树输出的分类结果为恶意，则依据用户的第一指令，将所述进程行为序列作为存在恶意行为的目标进程行为序列，或者，依据用户的第二指令，将所述进程行为序列作为存在疑似恶意行为的目标进程行为序列。5.如权利要求1所述的方法，其特征在于，所述依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列的步骤，包括：依据所述局...

【专利技术属性】
技术研发人员：潘山，孟君，刘学忠，
申请(专利权)人：北京奇虎科技有限公司，北京奇安信科技有限公司，
类型：发明
国别省市：北京,11