本发明专利技术实施例提供了一种基于局域网的安全检测方法和装置,应用于服务器,包括:从预先获取的文件传输事件中获取与异常文件相应的待分析文件传输事件;其中,所述文件传输事件为所述局域网内的用户终端上报的事件;对所述待分析文件传输事件的信息进行分析,以得到所述异常文件对应的传输来源和/或受影响用户终端。本发明专利技术实施例能够通过用户终端上报的文件传输事件,更及时地检测出局域网的未知威胁和安全隐患,从而能够提高安全检测的及时性。
【技术实现步骤摘要】
一种基于局域网的安全检测方法和装置
本专利技术涉及计算机安全
,特别是涉及一种基于局域网的安全检测方法和一种基于局域网的安全检测装置。
技术介绍
随着互联网的迅速普及,局域网已成为企业发展中必不可少的一部分。然而,在为企业带来便利的同时,局域网也面临着各种各样的进攻和威胁,如机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵等。现有基于局域网的安全检测方案大多通过在企业网内部的终端上分别安装杀毒软件客户端,由该杀毒软件客户端基于病毒特征库发现终端上的病毒数量和病毒危害程度,并依据企业网内部所述终端的病毒数量和病毒危害程度进行企业网的安全评估。对于病毒数量和病毒危害程度而言,尽管这种方法能够在一定程度上体现出企业网的安全状况,但是由于病毒特征库相对于病毒具有一定的滞后性,存在病毒的企业网已经处于危险状态,此种情况下的企业网已经属于不及格的网络环境,而对不及格的网络环境进行评分或进行检测,属于事后补救的范畴,因此无法有效保证企业网的安全性。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于局域网的安全检测方法和一种基于局域网的安全检测装置。依据本专利技术的一个方面,提供了一种基于局域网的安全检测方法,包括:从预先获取的文件传输事件中获取与异常文件相应的待分析文件传输事件;其中,所述文件传输事件为所述局域网内的用户终端上报的事件;对所述待分析文件传输事件的信息进行分析,以得到所述异常文件对应的传输来源和/或受影响用户终端。可选地,所述文件传输事件的信息包括如下信息中的至少一种:时间信息、渠道信息、文件信息、文件传输方向和终端信息。可选地,所述从预先获取的文件传输事件中获取与异常文件相应的待分析文件传输事件的步骤,包括:将所述异常文件的文件信息与所述文件传输事件的文件信息进行匹配,将匹配成功的文件传输事件作为待分析文件传输事件。可选地,所述对所述待分析文件传输事件的信息进行分析的步骤,包括:依据所述待分析文件传输事件的时间信息,从所述待分析文件传输事件中获取发生时间最早的目标文件传输事件,并依据所述目标文件传输事件的渠道信息,得到所述异常文件对应的传输来源;和/或依据所述待分析文件传输事件的终端信息,得到所述异常文件对应的受影响用户终端。可选地,通过如下步骤获取所述异常文件的信息:接收用户终端针对文件异常上报的异常文件信息;和/或依据用户终端上报的进程行为,检测所述进程行为对应的文件是否存在异常。可选地,所述依据用户终端上报的进程行为,检测所述进程行为对应的文件是否存在异常的步骤,包括:依据用户终端上报的进程行为,获取所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系;从所述进程树中获取符合预置进程模式的目标进程;依据所述目标进程的进程行为,检测所述目标进程的安全性。可选地,所述方法还包括:对所述异常文件对应的传输来源进行拦截处理;和/或对所述受影响用户终端进行修复处理。可选地,所述对所述异常文件对应的传输来源进行拦截处理的步骤,包括:针对所述异常文件对应的传输来源,设置相应的防火墙规则,以通过所述防火墙规则实现对于所述传输来源的拦截。可选地,所述对所述受影响用户终端进行修复处理的步骤,包括:在单个受影响用户终端上查杀所述异常文件对应的进程,若查杀成功,则在所有受影响用户终端上查杀所述异常文件对应的进程;或者在单个受影响用户终端上查杀所述异常文件对应的进程,若查杀失败,则针对各受影响用户终端进行数据备份后,更新各受影响用户终端的操作系统。可选地,所述方法还包括:接收用户终端上报的进程行为;检测所述进程行为是否包含针对文件的预置窃取行为。根据本专利技术的另一方面,提供了一种基于局域网的安全检测装置,应用于服务器,包括:传输事件获取模块,用于从预先获取的文件传输事件中获取与异常文件相应的待分析文件传输事件;其中,所述文件传输事件为所述局域网内的用户终端上报的事件;以及传输事件分析模块,用于对所述待分析文件传输事件的信息进行分析,以得到所述异常文件对应的传输来源和/或受影响用户终端。可选地,所述文件传输事件的信息包括如下信息中的至少一种:时间信息、渠道信息、文件信息、文件传输方向和终端信息。可选地,所述传输事件获取模块包括:匹配子模块,用于将所述异常文件的文件信息与所述文件传输事件的文件信息进行匹配,将匹配成功的文件传输事件作为待分析文件传输事件。可选地,所述传输事件分析模块包括:第一传输事件分子模块,用于依据所述待分析文件传输事件的时间信息,从所述待分析文件传输事件中获取发生时间最早的目标文件传输事件,并依据所述目标文件传输事件的渠道信息,得到所述异常文件对应的传输来源;和/或第二传输事件分子模块,用于依据所述待分析文件传输事件的终端信息,得到所述异常文件对应的受影响用户终端。可选地,所述装置还包括:用于获取所述异常文件的信息的异常获取模块:所述异常获取模块包括:接收子模块,用于接收用户终端针对文件异常上报的异常文件信息;和/或进程检测子模块,用于依据用户终端上报的进程行为,检测所述进程行为对应的文件是否存在异常。可选地,所述进程检测子模块,包括:进程树获取单元,用于依据用户终端上报的进程行为,获取所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系;目标进程获取单元,用于从所述进程树中获取符合预置进程模式的目标进程;依据所述目标进程的进程行为,检测所述目标进程的安全性。可选地,所述装置还包括:拦截模块,用于对所述异常文件对应的传输来源进行拦截处理;和/或修复模块,用于对所述受影响用户终端进行修复处理。可选地,所述拦截模块包括:防火墙拦截子模块,用于针对所述异常文件对应的传输来源,设置相应的防火墙规则,以通过所述防火墙规则实现对于所述传输来源的拦截。可选地,所述修复模块包括:第一修复子模块,用于在单个受影响用户终端上查杀所述异常文件对应的进程,若查杀成功,则在所有受影响用户终端上查杀所述异常文件对应的进程;或者第二修复子模块,用于在单个受影响用户终端上查杀所述异常文件对应的进程,若查杀失败,则针对各受影响用户终端进行数据备份后,更新各受影响用户终端的操作系统。可选地,所述装置还包括:进程行为接收模块,用于接收用户终端上报的进程行为;窃取检测模块,用于检测所述进程行为是否包含针对文件的预置窃取行为。根据本专利技术实施例的一种基于局域网的安全检测方法和装置,由于文件传输事件可用于表示用户终端侧文件的流转事件,用户终端侧的每个文件传输事件都被上报至服务器,故本专利技术实施例可以基于对与异常文件相关的待分析文件传输事件的信息的分析,得到异常文件对应的传输来源;因此,相对于传统的病毒特征库,本专利技术实施例能够通过用户终端上报的文件传输事件,更及时地检测出局域网的未知威胁和安全隐患,从而能够提高安全检测的及时性;进一步,能够尽早对所述异常文件对应的传输来源进行拦截处理,以实现对于异常文件的传播路径的封堵。另外,本专利技术实施例能够通过用户终端上报的文件传输事件,更及时地检测出局域网内受异常文件影响的受影响用户终端,故能够尽早地实现对于上述受影响终端的修复处理,这样,不仅能够及时阻止异常文件对于用户终端的影响,而且能够在一定程度上有效本文档来自技高网...
【技术保护点】
一种基于局域网的安全检测方法,应用于服务器,包括:从预先获取的文件传输事件中获取与异常文件相应的待分析文件传输事件;其中,所述文件传输事件为所述局域网内的用户终端上报的事件;对所述待分析文件传输事件的信息进行分析,以得到所述异常文件对应的传输来源和/或受影响用户终端。
【技术特征摘要】
1.一种基于局域网的安全检测方法,应用于服务器,包括:从预先获取的文件传输事件中获取与异常文件相应的待分析文件传输事件;其中,所述文件传输事件为所述局域网内的用户终端上报的事件;对所述待分析文件传输事件的信息进行分析,以得到所述异常文件对应的传输来源和/或受影响用户终端。2.如权利要求1所述的方法,其特征在于,所述文件传输事件的信息包括如下信息中的至少一种:时间信息、渠道信息、文件信息、文件传输方向和终端信息。3.如权利要求1或2所述的方法,其特征在于,所述从预先获取的文件传输事件中获取与异常文件相应的待分析文件传输事件的步骤,包括:将所述异常文件的文件信息与所述文件传输事件的文件信息进行匹配,将匹配成功的文件传输事件作为待分析文件传输事件。4.如权利要求1或2所述的方法,其特征在于,所述对所述待分析文件传输事件的信息进行分析的步骤,包括:依据所述待分析文件传输事件的时间信息,从所述待分析文件传输事件中获取发生时间最早的目标文件传输事件,并依据所述目标文件传输事件的渠道信息,得到所述异常文件对应的传输来源;和/或依据所述待分析文件传输事件的终端信息,得到所述异常文件对应的受影响用户终端。5.如权利要求1或2所述的方法,其特征在于,通过如下步骤获取所述异常文件的信息:接收用户终端针对文件异常上报的异常文件信息;和/或依据用户终端上报的进程行为,检测所述进程行为对应的文件是否存在异常。6.如权利要求5所述的方法,其特征在于,所述依据用户终端上报的进程行为...
【专利技术属性】
技术研发人员:潘山,孟君,刘学忠,
申请(专利权)人:北京奇虎科技有限公司,北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。