本發(fā)明涉及計算機安全技術(shù)領(lǐng)域，特別是涉及一種基于局域網(wǎng)的安全檢測方法和一種基于局域網(wǎng)的安全檢測裝置。

背景技術(shù)：

隨著互聯(lián)網(wǎng)的迅速普及，局域網(wǎng)已成為企業(yè)發(fā)展中必不可少的一部分。然而，在為企業(yè)帶來便利的同時，局域網(wǎng)也面臨著各種各樣的進攻和威脅，如機密泄漏、數(shù)據(jù)丟失、網(wǎng)絡(luò)濫用、身份冒用、非法入侵等。

現(xiàn)有基于局域網(wǎng)的安全檢測方案大多通過在企業(yè)網(wǎng)內(nèi)部的用戶終端上分別安裝殺毒軟件客戶端，由該殺毒軟件客戶端基于病毒特征庫發(fā)現(xiàn)用戶終端上的病毒數(shù)量和病毒危害程度。并且，現(xiàn)有方案可以通過如下過程實現(xiàn)病毒特征庫的更新：企業(yè)網(wǎng)的管理員在檢測到企業(yè)網(wǎng)中新出現(xiàn)的惡意程序后，可以將所述惡意程序作為病毒樣本，分析得到該病毒樣本的病毒特征，并將該病毒特征下發(fā)至用戶終端，以實現(xiàn)對于用戶終端側(cè)病毒特征庫的更新，進而實現(xiàn)對于新出現(xiàn)的惡意程序的查殺和隔離；其中，病毒特征就是從病毒體內(nèi)不同位置提取的一系列字節(jié)，殺毒軟件就是通過這些字節(jié)及位置信息來檢驗?zāi)硞€文件是否帶有病毒的。

發(fā)明人在實施本發(fā)明的過程中發(fā)現(xiàn)，現(xiàn)有方案至少存在如下問題：由于病毒特征庫相對于病毒具有一定的滯后性，特別是隨著計算機運行速度的大幅度提升，等到檢測到惡意程序時，往往已經(jīng)給企業(yè)網(wǎng)帶來了無法彌補的損失，因此，現(xiàn)有方案屬于事后補救的范疇，因此無法有效保證企業(yè)網(wǎng)的安全性。

技術(shù)實現(xiàn)要素：

鑒于上述問題，提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的一種基于局域網(wǎng)的安全檢測方法和一種基于局域網(wǎng)的安全檢測裝置。

依據(jù)本發(fā)明的一個方面，提供了一種基于局域網(wǎng)的安全檢測方法，應(yīng)用于服務(wù)器，包括：

依據(jù)所述局域網(wǎng)內(nèi)的用戶終端上報的進程行為，得到對應(yīng)的進程行為序列；

針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則。

根據(jù)本發(fā)明的另一方面，提供了一種基于局域網(wǎng)的安全檢測方法，應(yīng)用于用戶終端，包括：

接收服務(wù)器下發(fā)的目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則；

對所述用戶終端中的所述目標(biāo)進程行為序列進行監(jiān)測；

當(dāng)監(jiān)測到所述目標(biāo)進程行為序列時，執(zhí)行所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則。

根據(jù)本發(fā)明的再一方面，提供了一種基于局域網(wǎng)的安全檢測裝置，應(yīng)用于服務(wù)器，包括：

序列生成模塊，用于依據(jù)所述局域網(wǎng)內(nèi)的用戶終端上報的進程行為，得到對應(yīng)的進程行為序列；以及

規(guī)則下發(fā)模塊，用于針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則。

根據(jù)本發(fā)明的又一方面，提供了一種基于局域網(wǎng)的安全檢測裝置，應(yīng)用于用戶終端，包括：

接收模塊，用于接收服務(wù)器下發(fā)的目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則；

監(jiān)測模塊，用于對所述用戶終端中的所述目標(biāo)進程行為序列進行監(jiān)測；以及

規(guī)則執(zhí)行模塊，用于當(dāng)監(jiān)測到所述目標(biāo)進程行為序列時，執(zhí)行所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則。

根據(jù)本發(fā)明實施例的一種基于局域網(wǎng)的安全檢測方法和裝置，由于上述進程行為序列可用于表示預(yù)設(shè)時間段內(nèi)按照時間先后順序記錄的連續(xù)性的進程行為，故通過實時分析某進程行為序列，可以判斷該進程行為序列是否存在惡意行為或者疑似惡意行為；因此，相對于傳統(tǒng)的病毒特征庫是基于被病毒感染的病毒樣本得到的、而病毒樣本的發(fā)現(xiàn)需要一個較長的過程，本發(fā)明實施例能夠基于進程行為序列更及時地檢測出局域網(wǎng)的未知威脅和安全隱患，從而能夠提高安全檢測的及時性，且能夠?qū)崿F(xiàn)病毒的有效預(yù)防。

并且，本發(fā)明實施例針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則，由用戶終端執(zhí)行上述威脅處理規(guī)則；相對于傳統(tǒng)的病毒特征庫從病毒樣本中提取病毒特征的方式，本發(fā)明實施例可以通過上述威脅處理規(guī)則針對目標(biāo)進程行為序列實現(xiàn)更及時更有效的的威脅處理，因此可以提高局域網(wǎng)的安全性。

上述說明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說明書的內(nèi)容予以實施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂，以下特舉本發(fā)明的具體實施方式。

附圖說明

通過閱讀下文可選實施方式的詳細描述，各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出可選實施方式的目的，而并不認為是對本發(fā)明的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中：

圖1示出了根據(jù)本發(fā)明一個實施例的一種基于局域網(wǎng)的安全檢測方法的步驟流程示意圖；

圖2示出了根據(jù)本發(fā)明一個實施例的一種進程樹的結(jié)構(gòu)示意圖；

圖3示出了根據(jù)本發(fā)明一個實施例的一種基于局域網(wǎng)的安全檢測方法的步驟流程示意圖；

圖4示出了根據(jù)本發(fā)明一個實施例的一種基于局域網(wǎng)的安全檢測方法的步驟流程示意圖；

圖5示出了根據(jù)本發(fā)明一個實施例的一種基于局域網(wǎng)的安全檢測方法的步驟流程示意圖；

圖6示出了根據(jù)本發(fā)明一個實施例的一種基于局域網(wǎng)的安全檢測裝置的結(jié)構(gòu)示意；以及

圖7示出了根據(jù)本發(fā)明一個實施例的一種基于局域網(wǎng)的安全檢測裝置的結(jié)構(gòu)示意。

具體實施方式

下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例，然而應(yīng)當(dāng)理解，可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，并且能夠?qū)⒈竟_的范圍完整的傳達給本領(lǐng)域的技術(shù)人員。

參照圖1，示出了根據(jù)本發(fā)明一個實施例的一種基于局域網(wǎng)的安全檢測方法的步驟流程圖，應(yīng)用于服務(wù)器，具體可以包括如下步驟：

步驟101、依據(jù)所述局域網(wǎng)內(nèi)的用戶終端上報的進程行為，得到對應(yīng)的進程行為序列；

步驟102、針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則。

本發(fā)明實施例可以應(yīng)用于企業(yè)網(wǎng)、政府網(wǎng)、校園網(wǎng)等局域網(wǎng)中；在上述局域網(wǎng)中，所述服務(wù)器是指局域網(wǎng)內(nèi)用于控制其它用戶終端進行安全檢測的設(shè)備，所述用戶終端是指局域網(wǎng)內(nèi)響應(yīng)服務(wù)器的控制指令，與服務(wù)器進行數(shù)據(jù)交互的終端。在實際應(yīng)用中，可以在服務(wù)器部署服務(wù)器代理模塊，在用戶終端部署軟件客戶端模塊，以類似C/S(客戶端/服務(wù)器，Client/Server)的架構(gòu)，實現(xiàn)局域網(wǎng)內(nèi)服務(wù)器對用戶終端的控制功能，以及，用戶終端的控制響應(yīng)及通信功能。其中，上述服務(wù)器和上述用戶終端之間可以通過標(biāo)準(zhǔn)協(xié)議或者私有協(xié)議進行通信，其中，私有協(xié)議具有封閉性和安全性高的優(yōu)點；可以理解，本發(fā)明實施例對于服務(wù)器與用戶終端之間的具體通信方式不加以限制。

在實際應(yīng)用中，服務(wù)器的用戶可以是網(wǎng)絡(luò)管理員等具有一定的網(wǎng)絡(luò)安全知識的高級用戶，因此，服務(wù)器的用戶可以根據(jù)局域網(wǎng)的當(dāng)前安全需求和實際情況，靈活地設(shè)置相應(yīng)的控制指令。

本發(fā)明實施例中，一種第一控制指令可用于指示用戶終端向服務(wù)器上報進程行為，則用戶終端在接收到該第一控制指令后，可以對本地進程的進程行為進行監(jiān)測，并向服務(wù)器上報監(jiān)測到的進程行為?？蛇x地，本發(fā)明實施例可以在不影響用戶對于用戶終端的正常使用的情況下，捕獲并上報用戶終端的進程行為，故可以不影響用戶的使用體驗。

可選地，上述進程行為可以包括但不限于：進程啟停行為、內(nèi)存行為以及變更行為中的至少一種。其中，上述內(nèi)存行為可以包括：進程注入行為、文件訪問行為、以及網(wǎng)絡(luò)連接行為；上述網(wǎng)絡(luò)連接行為可以包括：URL(統(tǒng)一資源定位符，Uniform Resource Locator)訪問行為、IP(網(wǎng)絡(luò)之間互聯(lián)的協(xié)議，Internet Protocol)訪問、端口訪問、以及DNS(域名系統(tǒng)，Domain Name System)訪問等行為中的至少一種。上述變更行為可以包括：系統(tǒng)變更行為(注冊表的創(chuàng)建、刪除和修改)、賬戶變更(賬戶的創(chuàng)建、賬戶權(quán)限的變更)行為、以及文件變更行為?？梢岳斫?，本發(fā)明實施例對于具體的進程行為不加以限制。

在接收到各用戶終端上報的進程行為后，服務(wù)器可以對接收的進程行為的信息進行記錄?？蛇x地，進程行為的信息可以包括但不限于：進程的信息、進程行為的執(zhí)行參數(shù)等字段的信息。

在實際應(yīng)用中，步驟101可以依據(jù)用戶終端上報的進程行為，得到對應(yīng)的進程行為序列，該進程行為序列可用于表示預(yù)設(shè)時間段內(nèi)按照時間先后順序記錄的連續(xù)性的進程行為?？蛇x地，該預(yù)設(shè)時間段可以起始于用戶終端的開機啟動等任意時刻，止于進程行為發(fā)生變化、或者用戶終端的關(guān)機等任意時刻，可以理解，本發(fā)明實施例對于具體的預(yù)設(shè)時間段不加以限制。

在本發(fā)明的一種可選實施例中，可以通過進程樹來描述上述進程行為序列，相應(yīng)地，上述依據(jù)所述局域網(wǎng)內(nèi)的用戶終端上報的進程行為，得到對應(yīng)的進程行為序列的步驟101，可以包括：依據(jù)所述局域網(wǎng)內(nèi)的用戶終端上報的進程行為，建立所述用戶終端在不同時刻的進程樹、以及所述進程樹中各進程與進程行為之間的映射關(guān)系；依據(jù)所述用戶終端在不同時刻的進程樹、以及所述進程樹中各進程與進程行為之間的映射關(guān)系，得到對應(yīng)的進程行為序列。

進程樹是一種用戶終端上進程之間的關(guān)系，其通常由父進程和子進程兩部分組成。一些程序進程運行后，會創(chuàng)建或調(diào)用其他進程，這樣就組成了一個進程樹。參照圖2，示出了本發(fā)明的一種進程樹的結(jié)構(gòu)示意圖，其中，節(jié)點A的子節(jié)點B和C是節(jié)點A創(chuàng)建或調(diào)用的子進程，作為父進程，節(jié)點B和節(jié)點C又分別創(chuàng)建或調(diào)用了各自的子進程D、E、以及F和G。進程樹中各進程的信息可以包括：進程名稱、進程對應(yīng)程序的特征值、以及進程的父進程等等，可以理解，本發(fā)明實施例對于進程樹中各進程的具體信息不加以限制。在實際應(yīng)用中，進程樹中各節(jié)點的名稱可以與各進程的進程名稱相同或者不同，本發(fā)明實施例主要以進程樹中各節(jié)點的名稱可以與各進程的進程名稱相同為例進行說明。

在本發(fā)明的一種可選實施例中，可以依據(jù)行程行為所包括的進程啟停行為，建議上述用戶終端在不同時刻的進程樹?？蛇x地，進程啟停行為可以包括：各進程的啟動時間、停止時間、以及各進程創(chuàng)建或調(diào)用的進程等信息，這樣，可以依據(jù)進程啟停行為獲得進程樹中的各節(jié)點。例如，進程A、進程B和進程C的啟動時間分別為時刻1、時刻2和時刻3，假設(shè)進程A為系統(tǒng)中第一個進程，則可以得到進程樹中的根節(jié)點A，假設(shè)進程A創(chuàng)建或調(diào)用了進程B和進程C，則可以得到根節(jié)點A的子節(jié)點B和C，按照上述流程可以得到圖4所示的進程樹。需要說明的是，進程樹可以隨著進程啟停行為的變化而變化，由此可以得到用戶終端在不同時刻的進程樹，并且，通過對前后時刻的進程樹進行對比，可以得到進程啟停行為的變化。

在本發(fā)明的另一種可選實施例中，本實施例的方法還可以包括：接收所述用戶終端上報的在某時刻的系統(tǒng)快照；則所述依據(jù)所述進程行為，建立所述用戶終端在不同時刻的進程樹的步驟，可以包括：在所述系統(tǒng)快照的基礎(chǔ)上，依據(jù)上述進程行為建立所述用戶終端在不同時刻的進程樹。本發(fā)明實施例中，系統(tǒng)快照可用于表示用戶終端某時刻T的系統(tǒng)狀態(tài)，該系統(tǒng)狀態(tài)可以包括：某時刻T系統(tǒng)包含的進程及其行為、注冊表、文件等狀態(tài)，可以認為，該系統(tǒng)快照可以包含某時刻T的進程樹，故本發(fā)明實施例在所述系統(tǒng)快照的基礎(chǔ)上，依據(jù)上述進程行為建立所述用戶終端在不同時刻的進程樹，能夠減少進程樹的建立所需的運算量，提高進程樹的建立效率。

在本發(fā)明的再一種可選實施例中，所述系統(tǒng)快照可以為所述用戶終端在第一時刻T1的系統(tǒng)狀態(tài)，所述進程行為可以包括：進程啟停行為，則所述在所述系統(tǒng)快照的基礎(chǔ)上，依據(jù)上述進程行為建立所述用戶終端在不同時刻的進程樹的步驟，可以包括：依據(jù)所述第一時刻T1之后的進程啟停行為，得到所述用戶終端在第二時刻T2的進程樹。其中，T2晚于T1，也即，可以在上述系統(tǒng)快照對應(yīng)進程樹1的基礎(chǔ)上，添加或者刪除節(jié)點，以得到T2時刻的進程樹?？蛇x地，T1可以為操作系統(tǒng)啟動完成后的任意時刻，例如，操作系統(tǒng)啟動完成的時刻為T0，在T1為T0的下一時刻；當(dāng)然，本發(fā)明實施例對于具體的T1不加以限制。

在本發(fā)明的一種可選實施例中，所述進程行為可以包括：進程啟停行為和/或內(nèi)存行為和/或變更行為等進程啟動后產(chǎn)生的一系列行為，則所述依據(jù)所述進程行為，建立所述進程樹中各進程與進程行為之間的映射關(guān)系的步驟，可以包括：針對所述進程樹中各進程，建立其與進程啟停行為和/或內(nèi)存行為和/或變更行為之間的映射關(guān)系。

由于步驟101得到的該進程行為序列可用于表示預(yù)設(shè)時間段內(nèi)按照時間先后順序記錄的連續(xù)性的進程行為，故通過分析某進程行為序列，可以判斷該進程行為序列是否存在惡意行為或者疑似惡意行為，若是，則可以將該進程行為序列作為目標(biāo)進程行為序列。

本發(fā)明實施例可以提供存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列的如下獲取方案：

獲取方案1、判斷所述進程行為序列是否符合預(yù)置的威脅情報規(guī)則，若是，則將所述進程行為序列作為存在惡意行為的目標(biāo)進程行為序列。

獲取方案1可以利用預(yù)置的威脅情報規(guī)則獲取存在惡意行為的目標(biāo)進程行為序列，該預(yù)置的威脅情報規(guī)則可以定義有預(yù)置的惡意對象，故可以將上述進程行為序列包含的進程對象與預(yù)置的惡意對象進行匹配，若匹配成功，則可以將所述進程行為序列作為存在惡意行為的目標(biāo)進程行為序列?？蛇x地，上述惡意對象可以包括：惡意進程、惡意URL、惡意DNS、惡意IP等。

獲取方案2、從所述進程行為序列對應(yīng)進程中獲取符合預(yù)置進程行為模式的目標(biāo)進程，并依據(jù)所述目標(biāo)進程的進程行為序列，判斷所述進程行為序列是否存在惡意行為或者疑似惡意行為。

預(yù)置行為模式可用于表示進程行為的可疑行為模式或者惡意行為模式。在實際應(yīng)用中，本領(lǐng)域技術(shù)人員可以根據(jù)實際應(yīng)用需求確定所需的任意預(yù)置行為模式。在本發(fā)明的一種可選實施例中，上述預(yù)置行為模式可以為，文件相關(guān)進程啟動了非操作系統(tǒng)進程，例如winword進程啟動了非微軟的子進程，其中，winword進程為文件相關(guān)進程。在本發(fā)明的另一種可選實施例中，上述預(yù)置行為模式可以為，進程變更文件系統(tǒng)中第一文件后，訪問第二文件并加密。例如，進程變更MFT(大文件傳輸，Managed File Transfer)中的文件后，快速訪問辦公文檔；該預(yù)置行為模式屬于惡意進程勒索軟件的行為，該惡意進程首先刪除MFT中的文件記錄，以使文件記錄無法恢復(fù)，然后開始尋找文檔并進行加密。

在實際應(yīng)用中，可以對進程樹中各進程進行遍歷，并針對遍歷得到的當(dāng)前進程，從上述映射關(guān)系中得到對應(yīng)的當(dāng)前進程行為，并判斷該當(dāng)前行為模式是否符合預(yù)置行為模式，可以理解，本發(fā)明實施例對于從所述進程樹中獲取符合預(yù)置進程行為模式的目標(biāo)進程的具體過程不加以限制。

本發(fā)明實施例可以提供依據(jù)依據(jù)所述目標(biāo)進程的進程行為序列，判斷所述進程行為序列是否存在惡意行為或者疑似惡意行為的如下判斷方式；

判斷方式1、針對所述目標(biāo)進程發(fā)出相應(yīng)的告警信息，以使管理員用戶針對所述告警信息，依據(jù)所述目標(biāo)進程的進程行為序列，判斷所述進程行為序列是否存在惡意行為或者疑似惡意行為；和/或

判斷方式2、將所述目標(biāo)進程、或者所述目標(biāo)進程的子孫進程作為待分析進程，依據(jù)所述待分析進程的進程行為的執(zhí)行參數(shù)，判斷所述進程行為序列是否存在惡意行為或者疑似惡意行為。

其中，判斷方式1可以針對所述目標(biāo)進程發(fā)出相應(yīng)的告警信息，以使管理員用戶接收所述告警信息，并通過人工方式判斷目標(biāo)進程的進程行為序列是否存在惡意行為或者疑似惡意行為。例如，可以通過人工方式對進程行為進行分析，并依據(jù)分析結(jié)果判斷所述目標(biāo)進程的進程行為序列是否存在惡意行為或者疑似惡意行為，相應(yīng)的分析過程可以包括：行為行為的執(zhí)行參數(shù)等特定字段的排除和統(tǒng)計操作等。

判斷方式2可將所述目標(biāo)進程、或者所述目標(biāo)進程的子孫進程作為待分析進程，則所述待分析進程的進程行為的執(zhí)行參數(shù)可以表明目標(biāo)進程執(zhí)行了產(chǎn)生了哪些行為，或者目標(biāo)進程的子孫進程產(chǎn)生了哪些行為，這樣，可以依據(jù)上述執(zhí)行參數(shù)判斷目標(biāo)進程的進程行為序列是否存在惡意行為或者疑似惡意行為。

在本發(fā)明的一種可選實施例中，所述依據(jù)所述待分析進程的進程行為的執(zhí)行參數(shù)，目標(biāo)進程的進程行為序列是否存在惡意行為或者疑似惡意行為的步驟，可以包括：

若所述執(zhí)行參數(shù)包含的命令行腳本環(huán)境參數(shù)涉及腳本加密行為，則判定目標(biāo)進程的進程行為序列存在惡意行為或者疑似惡意行為；和/或

若所述執(zhí)行參數(shù)包含的策略排除參數(shù)涉及繞過執(zhí)行限制策略的行為，則判定目標(biāo)進程的進程行為序列存在惡意行為或者疑似惡意行為。

其中，powershell可以為命令行腳本環(huán)境參數(shù)的一種示例，若powershell的運行參數(shù)中包括例如enc的參數(shù)的腳本加密行為，可以認為目標(biāo)進程的進程行為序列存在惡意行為或者疑似惡意行為。

Excludepolicy可以為策略排除參數(shù)的一種示例，若Excludepolicy涉及繞過執(zhí)行限制策略的行為，則可以認為目標(biāo)進程的進程行為序列存在惡意行為或者疑似惡意行為。其中，執(zhí)行限制策略是一個組策略，在開啟限制的情況下，可以防止通過powershell執(zhí)行命令，然而有很多方法可以繞過執(zhí)行上述執(zhí)行限制策略，這讓惡意進程有機可乘。本發(fā)明實施例在依據(jù)所述待分析進程的進程行為的待分析執(zhí)行參數(shù)，目標(biāo)進程的進程行為序列是否存在惡意行為或者疑似惡意行為的過程中，可以執(zhí)行待分析進程的進程行為的待分析執(zhí)行參數(shù)，在執(zhí)行限制策略開啟限制的情況下，若執(zhí)行上述待分析參數(shù)則會發(fā)出相應(yīng)的提示信息，而本發(fā)明實施例可以通過EDR(端點檢測響應(yīng)，endpoint detection and response)單元捕獲上述提示信息，若捕獲成功，可以認為，Excludepolicy涉及繞過執(zhí)行限制策略的行為，進一步認為，目標(biāo)進程的進程行為序列存在惡意行為或者疑似惡意行為。

可以理解，上述執(zhí)行參數(shù)包含的命令行腳本環(huán)境參數(shù)涉及腳本加密行為和執(zhí)行參數(shù)包含的策略排除參數(shù)涉及繞過執(zhí)行限制策略的行為對應(yīng)的檢測過程只是作為本發(fā)明的可選實施例，實際上，本領(lǐng)域技術(shù)人員還可以根據(jù)實際應(yīng)用需求，對執(zhí)行參數(shù)包含的其他行為進行檢測，本發(fā)明實施例對于依據(jù)所述待分析進程的進程行為的執(zhí)行參數(shù)，檢測所述目標(biāo)進程的安全性的具體過程不加以限制。

獲取方案3、利用決策樹(Decision Tree)對所述進程行為序列進行分類，若所述決策樹輸出的分類結(jié)果為惡意，則依據(jù)用戶的第一指令，將所述進程行為序列作為存在惡意行為的目標(biāo)進程行為序列，或者，依據(jù)用戶的第二指令，將所述進程行為序列作為存在疑似惡意行為的目標(biāo)進程行為序列。

決策樹是一種樹形結(jié)構(gòu)，其中每個內(nèi)部節(jié)點表示一個屬性上的測試，每個分支代表一個測試輸出，每個葉節(jié)點代表一種類別。在通過機器學(xué)習(xí)方式來實現(xiàn)決策樹時，決策樹能夠?qū)π鲁霈F(xiàn)的對象給出正確的分類，具體到本發(fā)明實施例，決策樹輸出的分類結(jié)果可以包括：惡意和非惡意。

在本發(fā)明的一種可選實施例中，決策樹可用于描述至少一種屬性與分類結(jié)果之間的映射關(guān)系，則對應(yīng)的訓(xùn)練數(shù)據(jù)集可以包括各屬性的屬性值，以及樣本的正確分類結(jié)果?？梢岳斫?，本領(lǐng)域技術(shù)人員可以根據(jù)實際應(yīng)用需求，在決策樹上添加能夠影響分類結(jié)果的屬性，可選地，決策樹的屬性可以包括：獲取方案1所采用的進程對象、或者獲取方案2所采用的行為模式或者執(zhí)行參數(shù)等，可以理解，本發(fā)明實施例對于決策樹所包含的具體屬性不加以限制。

本發(fā)明實施例中，為了保證目標(biāo)進程行為序列的獲取精度，用戶可以對決策樹輸出的分類結(jié)果進行進一步判斷，具體地，在所述決策樹輸出的分類結(jié)果為惡意時，若用戶確認該分類結(jié)果，則可以觸發(fā)第一指令，以將所述進程行為序列作為存在惡意行為的目標(biāo)進程行為序列；或者，在所述決策樹輸出的分類結(jié)果為惡意時，若用戶對該分類結(jié)果存在異議，則可以觸發(fā)第二指令，以將所述進程行為序列作為存在疑似惡意行為的目標(biāo)進程行為序列。

綜上，本發(fā)明實施例中，對于存在惡意行為的目標(biāo)進程行為序列，其安全性已經(jīng)被確定為惡意行為；對于存在疑似惡意行為的目標(biāo)進程行為序列，其安全性還被確定，還需要進一步監(jiān)測其行為，以判斷其安全性。

在實際應(yīng)用中，步驟102可以依據(jù)目標(biāo)進程行為序列的安全性，確定對應(yīng)的威脅處理規(guī)則，并向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則，以使用戶終端針對目標(biāo)進程行為序列執(zhí)行對應(yīng)的威脅處理規(guī)則，以實現(xiàn)對于目標(biāo)進程行為序列的及時處理。

在本發(fā)明的一種可選實施例中，所述威脅處理規(guī)則可以包括：威脅遏制規(guī)則，和/或，附加監(jiān)測規(guī)則；其中，所述威脅遏制規(guī)則用于殺掉所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程，所述附加監(jiān)測規(guī)則用于附加采集所述目標(biāo)進程行為序列對應(yīng)目標(biāo)進程的詳情信息。其中，相對于步驟101的進程行為用于描述進程的粗略信息，上述詳情信息可用于描述進程的詳情信息，故可以作為判斷目標(biāo)進程行為序列的安全性的有效依據(jù)?？蛇x地，上述詳情信息可以包括：進程入口點信息、進程內(nèi)存信息等信息，例如，該進程內(nèi)容信息可以包括：進程的Dump(轉(zhuǎn)存)文件，Dump文件是進程的內(nèi)存鏡像，在實際應(yīng)用中，可以通過調(diào)試器把內(nèi)存中運行的進程的數(shù)據(jù)，從內(nèi)存中抓取出來，然后保存到Dump文件中，也即，Dump文件可用于保存進程的執(zhí)行狀態(tài)。

可選地，存在惡意行為的目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則可以為威脅遏制規(guī)則，存在疑似惡意行為的目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則可以為附加監(jiān)測規(guī)則，或者，存在惡意行為的目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則也可以為附加監(jiān)測規(guī)則，可以理解，本領(lǐng)域技術(shù)人員可以根據(jù)依據(jù)目標(biāo)進程行為序列的安全性，確定對應(yīng)的任意威脅處理規(guī)則，可以理解，本發(fā)明實施例對于目標(biāo)進程行為序列對應(yīng)的具體威脅處理規(guī)則不加以限制。

在本發(fā)明的另一種可選實施例中，所述威脅處理規(guī)則可以包括：附加監(jiān)測規(guī)則，則所述方法還可以包括：

接收所述用戶終端依據(jù)所述附加監(jiān)測規(guī)則上報的、所述目標(biāo)進程行為序列對應(yīng)目標(biāo)進程的詳情信息；

依據(jù)所述目標(biāo)進程的詳情信息，判斷所述目標(biāo)進程行為序列是否存在惡意行為；

當(dāng)判定所述目標(biāo)進程行為序列不存在惡意行為時，在決策樹中添加所述附加監(jiān)測規(guī)則對應(yīng)的屬性；或者，當(dāng)判定所述目標(biāo)進程行為序列存在惡意行為時，向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅遏制規(guī)則。

由于上述詳情信息可用于描述進程的詳情信息，故可以作為判斷目標(biāo)進程行為序列的安全性的有效依據(jù)，從而可以依據(jù)所述目標(biāo)進程的詳情信息，判斷所述目標(biāo)進程行為序列是否存在惡意行為，本發(fā)明實施例對于具體的判斷過程不加以限制。

本發(fā)明實施例中，對于存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，其可能被決策樹分類為惡意，故本發(fā)明實施例在依據(jù)所述目標(biāo)進程的詳情信息，得到更為精確的判斷結(jié)果后，若該判斷結(jié)果為非惡意也即不存在惡意行為，可以在決策樹中添加所述附加監(jiān)測規(guī)則對應(yīng)的屬性，以提高決策樹的分類結(jié)果的精確性。通過本發(fā)明實施例的附加監(jiān)測規(guī)則，可以使決策樹越來越復(fù)雜和準(zhǔn)確。

當(dāng)判定所述目標(biāo)進程行為序列存在惡意行為時，可以向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅遏制規(guī)則，以通過該威脅遏制規(guī)則殺掉所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程。

在本發(fā)明的一種應(yīng)用示例中，假設(shè)某進程行為序列為“winword進程創(chuàng)建了子進程，該子進程沒有微軟簽名”，若決策樹針對該進程行為序列輸出的分類結(jié)果為“惡意”，且管理員確認該分類結(jié)果，則可以將該進程行為序列作為存在威脅行為的目標(biāo)進程行為，并向用戶終端下發(fā)該進程進行序列及其對應(yīng)的進程遏制規(guī)則，由用戶終端執(zhí)行該進程遏制規(guī)則，以實現(xiàn)對于存在惡意行為的目標(biāo)進程行為序列的遏制。

或者，若管理員對該分類結(jié)果存在異議，則可以將該進程行為序列作為存在疑似威脅行為的目標(biāo)進程行為，并向用戶終端下發(fā)該進程進行序列及其對應(yīng)的附加監(jiān)測規(guī)則，由用戶終端執(zhí)行該附加監(jiān)測規(guī)則，并向服務(wù)器上報對應(yīng)目標(biāo)進程的詳情信息；在接收到目標(biāo)進程的詳情信息后，若通過分析該詳情信息確認winword進程的子進程的簽名為Adobe(奧多比)的簽名，而Adobe的簽名為合法的簽名，故可以確認該進程行為序列不存在威脅行為，故可以在決策樹中添加所述附加監(jiān)測規(guī)則對應(yīng)的屬性，以提高決策樹的分類結(jié)果的精確性。

需要說明的是，本發(fā)明實施例中威脅處理規(guī)則的下發(fā)與傳統(tǒng)病毒庫中病毒特征的下發(fā)為不同的思路：傳統(tǒng)病毒庫是在發(fā)現(xiàn)被感染的病毒樣本后，通過分析病毒樣本從中提取病毒特征，也即，傳統(tǒng)病毒庫是從底層細節(jié)開始分析的過程；而本發(fā)明實施例的威脅處理規(guī)則的處理為由上至下的處理過程，即根據(jù)進程行為序列確定存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，并向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則，本發(fā)明實施例的威脅處理規(guī)則針對的是進程行為序列而非病毒樣本。

綜上，本發(fā)明實施例的基于局域網(wǎng)的安全檢測方法，由于上述進程行為序列可用于表示預(yù)設(shè)時間段內(nèi)按照時間先后順序記錄的連續(xù)性的進程行為，故通過實時分析某進程行為序列，可以判斷該進程行為序列是否存在惡意行為或者疑似惡意行為；因此，相對于傳統(tǒng)的病毒特征庫是基于被病毒感染的病毒樣本得到的、而病毒樣本的發(fā)現(xiàn)需要一個較長的過程，本發(fā)明實施例能夠基于進程行為序列更及時地檢測出局域網(wǎng)的未知威脅和安全隱患，從而能夠提高安全檢測的及時性，且能夠?qū)崿F(xiàn)病毒的有效預(yù)防。

并且，本發(fā)明實施例針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則，由用戶終端執(zhí)行上述威脅處理規(guī)則；相對于傳統(tǒng)的病毒特征庫從病毒樣本中提取病毒特征的方式，本發(fā)明實施例可以通過上述威脅處理規(guī)則針對目標(biāo)進程行為序列實現(xiàn)更及時更有效的的威脅處理，因此可以提高局域網(wǎng)的安全性。

另外，在實際應(yīng)用中，上述威脅處理規(guī)則可以包括：威脅遏制規(guī)則，和/或，附加監(jiān)測規(guī)則；其中，所述威脅遏制規(guī)則用于殺掉所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程，以實現(xiàn)對于惡意進程的遏制；所述附加監(jiān)測規(guī)則用于附加采集所述目標(biāo)進程行為序列對應(yīng)目標(biāo)進程的詳情信息，上述詳情信息可用于描述進程的詳情信息，故可以作為判斷目標(biāo)進程行為序列的安全性的有效依據(jù)，進而能夠提高惡意進程的判斷結(jié)果的準(zhǔn)確度。

參照圖3，示出了根據(jù)本發(fā)明一個實施例的一種基于局域網(wǎng)的安全檢測方法的步驟流程圖，應(yīng)用于用戶終端，具體可以包括如下步驟：

步驟301、接收服務(wù)器下發(fā)的目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則；

步驟302、對所述用戶終端中的所述目標(biāo)進程行為序列進行監(jiān)測；

步驟303、當(dāng)監(jiān)測到所述目標(biāo)進程行為序列時，執(zhí)行所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則。

在實際應(yīng)用中，用戶終端可以針對上述目標(biāo)進程行為序列設(shè)置相應(yīng)的監(jiān)測點，以對所述用戶終端中的所述目標(biāo)進程行為序列進行監(jiān)測。例如，目標(biāo)進程行為序列為“winword進程創(chuàng)建了子進程，該子進程沒有微軟簽名”，則對應(yīng)的監(jiān)測點可以為“winword進程的啟動”、或者“winword進程創(chuàng)建子進程”等事件，可以理解，本發(fā)明實施例對于對所述用戶終端中的所述目標(biāo)進程行為序列進行監(jiān)測的具體過程不加以限制。

在本發(fā)明的一種可選實施例中，所述威脅處理規(guī)則可以包括：威脅遏制規(guī)則，則所述執(zhí)行所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則的步驟303，可以包括：當(dāng)監(jiān)測到所述目標(biāo)進程行為序列時，依據(jù)所述威脅遏制規(guī)則殺掉所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程。例如，目標(biāo)進程行為序列為“winword進程創(chuàng)建了子進程，該子進程沒有微軟簽名”，則對應(yīng)的目標(biāo)進程可以為“winword進程的沒有微軟簽名的子進程”?？蛇x地，服務(wù)器在下發(fā)的威脅遏制規(guī)則可以同時包含目標(biāo)進程的信息，可以理解，本發(fā)明實施例對于目標(biāo)進程的具體獲取方式不加以限制。

在本發(fā)明的另一種可選實施例中，所述威脅處理規(guī)則可以包括：附加監(jiān)測規(guī)則，則所述執(zhí)行所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則的步驟303，可以包括：當(dāng)監(jiān)測到所述目標(biāo)進程行為序列時，附加采集所述目標(biāo)進程行為序列對應(yīng)目標(biāo)進程的詳情信息；向所述服務(wù)器上報所述目標(biāo)進程的詳情信息。

相對于進程行為用于描述進程的粗略信息，上述詳情信息可用于描述進程的詳情信息，故可以作為判斷目標(biāo)進程行為序列的安全性的有效依據(jù)?？蛇x地，上述詳情信息可以包括：進程入口點信息、進程內(nèi)存信息等信息，例如，該進程內(nèi)容信息可以包括：進程的Dump文件。

綜上，本發(fā)明實施例的基于局域網(wǎng)的安全檢測方法，針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則，由用戶終端執(zhí)行上述威脅處理規(guī)則；相對于傳統(tǒng)的病毒特征庫從病毒樣本中提取病毒特征的方式，本發(fā)明實施例可以通過上述威脅處理規(guī)則針對目標(biāo)進程行為序列實現(xiàn)更及時更有效的的威脅處理，因此可以提高局域網(wǎng)的安全性。

另外，在實際應(yīng)用中，上述威脅處理規(guī)則可以包括：威脅遏制規(guī)則，和/或，附加監(jiān)測規(guī)則；其中，所述威脅遏制規(guī)則用于殺掉所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程，以實現(xiàn)對于惡意進程的遏制；所述附加監(jiān)測規(guī)則用于附加采集所述目標(biāo)進程行為序列對應(yīng)目標(biāo)進程的詳情信息，上述詳情信息可用于描述進程的詳情信息，故可以作為判斷目標(biāo)進程行為序列的安全性的有效依據(jù)，進而能夠提高惡意進程的判斷結(jié)果的準(zhǔn)確度。

參照圖4，示出了根據(jù)本發(fā)明一個實施例的一種基于局域網(wǎng)的安全檢測方法的步驟流程圖，具體可以包括如下步驟：

步驟401、用戶終端在操作系統(tǒng)啟動完成后，監(jiān)測本地進程的進程行為，并向服務(wù)器上報監(jiān)測得到的進程行為；

在實際應(yīng)用中，在本地進程的進程行為發(fā)生變化時，可以觸發(fā)進程行為的上報，可以理解，本發(fā)明實施例對于向服務(wù)器上報監(jiān)測得到的進程行為的具體觸發(fā)條件不加以限制。

步驟402、服務(wù)器依據(jù)上述進程行為，得到預(yù)設(shè)時間段內(nèi)按照時間先后順序記錄的連續(xù)性的進程行為，作為進程行為序列；

在實際應(yīng)用中，針對同一用戶終端的不同預(yù)設(shè)時間段，可以得到不同的進程行為序列；或者，針對不同用戶終端，可以得到不同的進程行為序列，本發(fā)明實施例可以針對不同的進程行為序列進行安全性的檢測。

步驟403、服務(wù)器檢測各進程行為序列的安全性，對應(yīng)的安全性檢測結(jié)果可以包括：存在惡意行為、疑似存在惡意行為、或者不存在惡意行為；

步驟404、服務(wù)器針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則；

步驟405、用戶終端依據(jù)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則，對所述用戶終端中的所述目標(biāo)進程行為序列進行監(jiān)測；

步驟406、用戶終端當(dāng)監(jiān)測到所述目標(biāo)進程行為序列時，執(zhí)行所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則。

在實際應(yīng)用中，上述威脅處理規(guī)則可以包括：威脅遏制規(guī)則，和/或，附加監(jiān)測規(guī)則；其中，所述威脅遏制規(guī)則用于殺掉所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程，以實現(xiàn)對于惡意進程的遏制；所述附加監(jiān)測規(guī)則用于附加采集所述目標(biāo)進程行為序列對應(yīng)目標(biāo)進程的詳情信息，上述詳情信息可用于描述進程的詳情信息，故可以作為判斷目標(biāo)進程行為序列的安全性的有效依據(jù)，也即可以對步驟403得到的安全性檢測結(jié)果進行修正，進而能夠提高惡意進程的判斷結(jié)果的準(zhǔn)確度。例如，若步驟403通過決策樹得到對應(yīng)的安全性檢測結(jié)果，則當(dāng)判定所述目標(biāo)進程行為序列不存在惡意行為時，可以在決策樹中添加所述附加監(jiān)測規(guī)則對應(yīng)的屬性。

參照圖5，示出了根據(jù)本發(fā)明一個實施例的一種基于局域網(wǎng)的安全檢測方法的步驟流程圖，應(yīng)用于服務(wù)器，具體可以包括如下步驟：

步驟501、依據(jù)所述局域網(wǎng)內(nèi)的用戶終端上報的進程行為，得到對應(yīng)的進程行為序列；

步驟502、針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則；

相對于圖1所示方法實施例，本實施例的方法還可以包括：

步驟503、針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，獲取其涉及的異常文件，并從預(yù)先獲取的文件傳輸事件中獲取與所述異常文件相應(yīng)的待分析文件傳輸事件；其中，所述文件傳輸事件為所述局域網(wǎng)內(nèi)的用戶終端上報的事件；

步驟504、對所述待分析文件傳輸事件的信息進行分析，以得到所述異常文件對應(yīng)的傳輸來源和/或受影響用戶終端。

本發(fā)明實施例中，一種第二控制指令可用于指示用戶終端向服務(wù)器上報文件傳輸事件，則用戶終端在接收到該第二控制指令后，可以對本地的文件傳輸事件進行監(jiān)測，并向服務(wù)器上報監(jiān)測到的文件傳輸事件。

本發(fā)明實施例中，文件傳輸事件可用于表示用戶終端側(cè)文件的流轉(zhuǎn)事件，可選地，文件傳輸事件的信息可以包括如下信息中的至少一種：時間信息、渠道信息、文件信息、文件傳輸方向和終端信息。其中，時間信息可用于表示文件傳輸事件的發(fā)生時間；渠道信息可用于表示文件傳輸事件的通道，可選地，該渠道信息可以為文件傳輸事件對應(yīng)的應(yīng)用程序信息或者網(wǎng)站信息；文件信息可用于標(biāo)識文件，可選地，該文件信息可以包括但不限于：文件名、文件路徑、文件特征，例如，該文件特征可以為例如MD5(消息摘要算法第5版，Message Digest Algorithm5)的特征，可以理解，本發(fā)明實施例對于具體的文件特征不加以限制；文件傳輸方向可以包括：入方向或者出方向；終端信息可用于表示發(fā)生文件傳輸事件的用戶終端的信息。

在本發(fā)明的一種應(yīng)用示例中，上述文件傳輸事件可以包括：瀏覽器文件傳輸、IM(即時通訊，Instant Messaging)文件傳輸、郵件附件文件傳輸、U盤(USB閃存盤，USB flash disk)文件傳輸、以及下載工具文件傳輸中的至少一種。用戶終端側(cè)的每個文件傳輸事件都被上報至服務(wù)器，同時上報的可以包括：各文件傳輸事件的信息。

在接收到各用戶終端上報的文件傳輸事件后，服務(wù)器可以對接收的文件傳輸事件的信息進行記錄，需要說明的是，本發(fā)明實施例可以僅僅記錄文件傳輸事件的例如文件名、文件路徑、或者文件特征的文件信息；由于上述文件信息足以實現(xiàn)文件的文件傳播路徑的追蹤，故本發(fā)明實施例可以在不保存文件的情況下實現(xiàn)對于文件傳輸事件的信息的記錄，因此能夠節(jié)省服務(wù)器的存儲空間。

步驟503可以針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，獲取其涉及的異常文件。例如，目標(biāo)進程行為序列為“winword進程創(chuàng)建了子進程，該子進程沒有微軟簽名”，則“winword進程的沒有微軟簽名的子進程”對應(yīng)的文件可以為異常文件。

在獲取異常文件的信息后，步驟503可以從預(yù)先獲取的文件傳輸事件中獲取與異常文件相應(yīng)的待分析文件傳輸事件，具體地，可以將異常文件的信息與各文件傳輸事件的信息進行匹配，若匹配成功，則將匹配成功的文件傳輸事件作為待分析文件傳輸事件。。例如，可以將異常文件的文件特征與文件傳輸事件的文件特征進行匹配等等，可以理解，本發(fā)明實施例對于從預(yù)先獲取的文件傳輸事件中獲取與異常文件相應(yīng)的待分析文件傳輸事件的具體過程不加以限制。

步驟504可以對步驟503得到的待分析文件傳輸事件的信息進行分析，以得到所述異常文件對應(yīng)的傳輸來源和/或受影響用戶終端。

由于文件傳輸事件可用于表示用戶終端側(cè)文件的流轉(zhuǎn)事件，用戶終端側(cè)的每個文件傳輸事件都被上報至服務(wù)器，故本發(fā)明實施例可以基于對與異常文件相關(guān)的待分析文件傳輸事件的信息的分析，得到異常文件對應(yīng)的傳輸來源；因此，相對于傳統(tǒng)的病毒特征庫，本發(fā)明實施例能夠通過用戶終端上報的文件傳輸事件，更及時地檢測出局域網(wǎng)的未知威脅和安全隱患，從而能夠提高安全檢測的及時性；進一步，能夠盡早對所述異常文件對應(yīng)的傳輸來源進行攔截處理，以實現(xiàn)對于異常文件的傳播路徑的封堵。

另外，本發(fā)明實施例能夠通過用戶終端上報的文件傳輸事件，更及時地檢測出局域網(wǎng)內(nèi)受異常文件影響的受影響用戶終端，故能夠盡早地實現(xiàn)對于上述受影響終端的修復(fù)處理，這樣，不僅能夠及時阻止異常文件對于用戶終端的影響，而且能夠在一定程度上有效保護用戶終端的用戶。

在本發(fā)明的一種可選實施例中，上述對所述待分析文件傳輸事件的信息進行分析的步驟504，可以包括：依據(jù)所述待分析文件傳輸事件的時間信息，從所述待分析文件傳輸事件中獲取發(fā)生時間最早的目標(biāo)文件傳輸事件，并依據(jù)所述目標(biāo)文件傳輸事件的渠道信息，得到所述異常文件對應(yīng)的傳輸來源。由于時間信息可用于表示文件傳輸事件的發(fā)生時間，故可以依據(jù)各分析文件傳輸事件的時間信息，從多個待分析文件傳輸事件中獲取發(fā)生時間最早的目標(biāo)文件傳輸事件，作為傳播來源對應(yīng)的文件傳輸事件，進一步，可以依據(jù)目標(biāo)文件傳輸事件的渠道信息，得到所述異常文件對應(yīng)的傳輸來源。

在本發(fā)明的一種應(yīng)用示例中，假設(shè)異常文件為“采購表.doc”，則可以依據(jù)該異常文件對應(yīng)待分析文件傳輸文件的時間信息，獲得其中發(fā)生時間最早的目標(biāo)文件傳輸事件，該目標(biāo)文件傳輸事件也即局域網(wǎng)內(nèi)首次發(fā)生的與該異常文件有關(guān)的事件。例如，該異常文件的方向為入方向，該異常文件通過瀏覽器、郵箱、或者U盤等渠道進入了局域網(wǎng)，則可以依據(jù)上述渠道信息得到對應(yīng)的傳輸來源。可選地，上述傳輸來源可以包括但不限于：威脅URL、威脅郵箱聯(lián)系人、威脅IP、威脅DNS、或者分析得到的威脅病毒特征等。

在本發(fā)明的另一種可選實施例中，本實施例的方法還可以包括：對所述異常文件對應(yīng)的傳輸來源進行攔截處理。對所述異常文件對應(yīng)的傳輸來源進行攔截處理，可以實現(xiàn)對于異常文件的傳播路徑的封堵。

可選地，所述對所述異常文件對應(yīng)的傳輸來源進行攔截處理的步驟，可以包括：針對所述異常文件對應(yīng)的傳輸來源，設(shè)置相應(yīng)的防火墻規(guī)則，以通過所述防火墻規(guī)則實現(xiàn)對于所述傳輸來源的攔截。例如，可以針對威脅URL、威脅郵箱聯(lián)系人、威脅IP、威脅DNS等，設(shè)置對應(yīng)的防火墻規(guī)則，以實現(xiàn)對于威脅URL、威脅郵箱聯(lián)系人、威脅IP、威脅DNS等傳輸來源的攔截，例如可以阻止威脅郵箱聯(lián)系人發(fā)送的郵件。

可以理解，上述通過所述防火墻規(guī)則實現(xiàn)對于所述傳輸來源的攔截只是作為可選實施例，實際上，本領(lǐng)域技術(shù)人員對于具體的攔截處理方式不加以限制，例如對于威脅病毒特征而言，還可以通過病毒特征庫進行威脅病毒特征的攔截處理等等，可以理解，實現(xiàn)對于傳輸來源的攔截的任意攔截處理方式均在本發(fā)明實施例的保護范圍之內(nèi)。

在本發(fā)明的一種可選實施例中，上述對所述待分析文件傳輸事件的信息進行分析的步驟504，可以包括：依據(jù)所述待分析文件傳輸事件的終端信息，得到所述異常文件對應(yīng)的受影響用戶終端。由于待分析文件傳輸事件是與異常文件相應(yīng)的，故依據(jù)待分析文件傳輸事件的終端信息可以得到異常文件對應(yīng)的受影響用戶終端。在本發(fā)明的一種應(yīng)用示例中，假設(shè)異常文件為“采購表.doc”，其在局域網(wǎng)內(nèi)的第一個文件傳輸事件是通過郵箱的郵件附件傳輸?shù)?，假設(shè)第一個文件傳輸事件的用戶1進一步通過IM方式產(chǎn)生了第二個文件傳輸事件，并將該異常文件發(fā)送給了用戶2，用戶2進一步通過郵箱的郵件附件產(chǎn)生了第三個文件傳輸事件，并將該異常文件發(fā)送給了用戶3…進一步，用戶1、用戶2和用戶3還觸發(fā)了其他文件傳輸事件，假設(shè)文件傳輸事件的數(shù)量為N，N為正整數(shù)，則本發(fā)明實施例可以認為該N個文件傳輸事件對應(yīng)的終端均為受影響終端。

在本發(fā)明的另一種可選實施例中，本實施例的方法還可以包括：對所述受影響用戶終端進行預(yù)警處理。例如，上述預(yù)警處理可以向存儲上述異常文件的用戶終端發(fā)送第一通知消息，對存儲上述異常文件的U盤發(fā)送第二通知消息等，以實現(xiàn)對于傳播路徑的封堵。

在本發(fā)明的再一種可選實施例中，本實施例的方法還可以包括：對所述受影響用戶終端進行威脅處理，相應(yīng)的威脅處理過程可以包括：

向目標(biāo)用戶終端發(fā)送威脅處理指令，所述威脅處理指令用于指示所述目標(biāo)用戶終端針對所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程進行威脅處理；其中，所述目標(biāo)用戶終端為所述局域網(wǎng)內(nèi)的部分受影響用戶終端；

在針對所述目標(biāo)進程進行第一威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則向全部受影響用戶終端發(fā)送所述威脅處理指令，以在全部受影響用戶終端上進行與所述目標(biāo)用戶終端相同的威脅處理。

本發(fā)明實施例中，威脅處理指令可用于指示目標(biāo)用戶終端針對目標(biāo)進程進行威脅處理，該威脅處理指令可以攜帶目標(biāo)進程的信息、以及威脅處理的信息，其中，目標(biāo)進程的信息可以包括：目標(biāo)進程的名稱、PID(進程標(biāo)識，progress identity)等消息，威脅處理的信息可以包括：威脅處理手段的信息，

由于本發(fā)明實施例在確保威脅處理不會導(dǎo)致目標(biāo)用戶終端出現(xiàn)異常的情況下，才會針對局域網(wǎng)內(nèi)受到所述目標(biāo)進程影響的全部用戶終端，進行與所述目標(biāo)用戶終端相同的威脅處理，而上述目標(biāo)終端為局域網(wǎng)內(nèi)受到所述目標(biāo)進程影響的部分用戶終端，這樣，本發(fā)明實施例能夠?qū)⒁蛲{處理出現(xiàn)異常的用戶終端范圍控制至目標(biāo)用戶終端的范圍內(nèi)，因此能夠有效避免局域網(wǎng)內(nèi)受到所述目標(biāo)進程影響的全部用戶終端因上述威脅處理而出現(xiàn)異常，進而能夠有效保證局域網(wǎng)內(nèi)的大量用戶終端的可用性。

在本發(fā)明的又一種可選實施例中，所述向目標(biāo)用戶終端發(fā)送威脅處理指令的步驟，可以包括：向目標(biāo)用戶終端發(fā)送第一威脅處理指令，所述第一威脅處理指令用于指示所述目標(biāo)用戶終端針對所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程進行第一威脅處理；在針對所述目標(biāo)進程進行第一威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則向目標(biāo)用戶終端發(fā)送第二威脅處理指令，所述第二威脅處理指令用于指示所述目標(biāo)用戶終端針對所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程進行第二威脅處理。

由于本發(fā)明實施例在針對局域網(wǎng)內(nèi)的目標(biāo)用戶終端、針對目標(biāo)進程進行威脅處理的過程中，可以針對目標(biāo)進程進行反復(fù)的威脅處理，具體地，可以首先在所述目標(biāo)用戶終端上，針對目標(biāo)進程進行第一威脅處理，在針對目標(biāo)進程進行第一威脅處理后、若所述目標(biāo)用戶終端出現(xiàn)異常，則針對所述目標(biāo)進程進行第二威脅處理；其中，上述第一威脅處理和第二威脅處理可以為不同的處理，由于本發(fā)明實施例可以通過對目標(biāo)進程進行反復(fù)的威脅處理，故能夠針對目標(biāo)進程具備的頑固、再生能力強、插入系統(tǒng)進程中等特點，通過反復(fù)的威脅處理得到不會導(dǎo)致目標(biāo)用戶終端出現(xiàn)異常的威脅處理手段，因此能夠成功實現(xiàn)目標(biāo)用戶終端的威脅處理，進而能夠?qū)崿F(xiàn)局域網(wǎng)內(nèi)受到所述目標(biāo)進程影響的全部用戶終端的威脅處理。

可以理解，當(dāng)在所述目標(biāo)用戶終端上針對所述威脅進程進行第二威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則向目標(biāo)用戶終端發(fā)送第二威脅處理指令，所述第二威脅處理指令用于指示所述目標(biāo)用戶終端針對所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程進行第三威脅處理。

在本發(fā)明的一種可選實施例中，所述第一威脅處理可以包括：隔離處理，所述第二威脅處理可以包括：系統(tǒng)修復(fù)處理或者系統(tǒng)重裝處理。也即，在對威脅進程進行隔離處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則可以在所述目標(biāo)用戶終端上對所述威脅進程進行系統(tǒng)修復(fù)處理或者系統(tǒng)重裝處理。其中，上述隔離處理可用于威脅進程進行隔離，上述系統(tǒng)修復(fù)處理可用于修復(fù)受損的操作系統(tǒng)，上述系統(tǒng)重裝系統(tǒng)可用于更新操作系統(tǒng)。

綜上，本發(fā)明實施例的基于局域網(wǎng)的安全檢測方法，由于文件傳輸事件可用于表示用戶終端側(cè)文件的流轉(zhuǎn)事件，用戶終端側(cè)的每個文件傳輸事件都被上報至服務(wù)器，故本發(fā)明實施例可以基于對與異常文件相關(guān)的待分析文件傳輸事件的信息的分析，得到異常文件對應(yīng)的傳輸來源；因此，相對于傳統(tǒng)的病毒特征庫，本發(fā)明實施例能夠通過用戶終端上報的文件傳輸事件，更及時地檢測出局域網(wǎng)的未知威脅和安全隱患，從而能夠提高安全檢測的及時性；進一步，能夠盡早對所述異常文件對應(yīng)的傳輸來源進行攔截處理，以實現(xiàn)對于異常文件的傳播路徑的封堵。

并且，由于本發(fā)明實施例在確保威脅處理不會導(dǎo)致目標(biāo)用戶終端出現(xiàn)異常的情況下，才會針對局域網(wǎng)內(nèi)受到所述目標(biāo)進程影響的全部用戶終端，進行與所述目標(biāo)用戶終端相同的威脅處理，而上述目標(biāo)終端為局域網(wǎng)內(nèi)受到所述目標(biāo)進程影響的部分用戶終端，這樣，本發(fā)明實施例能夠?qū)⒁蛲{處理出現(xiàn)異常的用戶終端范圍控制至目標(biāo)用戶終端的范圍內(nèi)，因此能夠有效避免局域網(wǎng)內(nèi)受到所述目標(biāo)進程影響的全部用戶終端因上述威脅處理而出現(xiàn)異常，進而能夠有效保證局域網(wǎng)內(nèi)的大量用戶終端的可用性。

對于方法實施例，為了簡單描述，故將其都表述為一系列的動作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本發(fā)明實施例并不受所描述的動作順序的限制，因為依據(jù)本發(fā)明實施例，某些步驟可以采用其他順序或者同時進行。其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說明書中所描述的實施例均屬于可選實施例，所涉及的動作并不一定是本發(fā)明實施例所必須的。

參照圖6，示出了根據(jù)本發(fā)明一個實施例的一種基于局域網(wǎng)的安全檢測裝置的結(jié)構(gòu)框圖，該裝置應(yīng)用于服務(wù)器，具體可以包括如下模塊：

序列生成模塊601，用于依據(jù)所述局域網(wǎng)內(nèi)的用戶終端上報的進程行為，得到對應(yīng)的進程行為序列；以及

規(guī)則下發(fā)模塊602，用于針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則。

可選地，所述威脅處理規(guī)則可以包括：威脅遏制規(guī)則，和/或，附加監(jiān)測規(guī)則；其中，所述威脅遏制規(guī)則用于殺掉所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程，所述附加監(jiān)測規(guī)則用于附加采集所述目標(biāo)進程行為序列對應(yīng)目標(biāo)進程的詳情信息。

可選地，所述威脅處理規(guī)則可以包括：附加監(jiān)測規(guī)則，則所述裝置還可以包括：

詳情接收模塊，用于接收所述用戶終端依據(jù)所述附加監(jiān)測規(guī)則上報的、所述目標(biāo)進程行為序列對應(yīng)目標(biāo)進程的詳情信息；

判斷模塊，用于依據(jù)所述目標(biāo)進程的詳情信息，判斷所述目標(biāo)進程行為序列是否存在惡意行為；

添加模塊，用于當(dāng)判定所述目標(biāo)進程行為序列不存在惡意行為時，在決策樹中添加所述附加監(jiān)測規(guī)則對應(yīng)的屬性；或者，

遏制規(guī)則下發(fā)模塊，用于當(dāng)判定所述目標(biāo)進程行為序列存在惡意行為時，向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅遏制規(guī)則。

可選地，所述裝置還可以包括：用于獲取存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列的目標(biāo)序列獲取模塊；

所述目標(biāo)序列獲取模塊可以包括：

第一判斷子模塊，用于判斷所述進程行為序列是否符合預(yù)置的威脅情報規(guī)則，若是，則將所述進程行為序列作為存在惡意行為的目標(biāo)進程行為序列；或者

第二判斷子模塊，用于從所述進程行為序列對應(yīng)進程中獲取符合預(yù)置進程行為模式的目標(biāo)進程，并依據(jù)所述目標(biāo)進程的進程行為序列，判斷所述進程行為序列是否存在惡意行為或者疑似惡意行為；或者

分類子模塊，用于利用決策樹對所述進程行為序列進行分類，若所述決策樹輸出的分類結(jié)果為惡意，則依據(jù)用戶的第一指令，將所述進程行為序列作為存在惡意行為的目標(biāo)進程行為序列，或者，依據(jù)用戶的第二指令，將所述進程行為序列作為存在疑似惡意行為的目標(biāo)進程行為序列。

可選地，所述序列生成模塊可以包括：

進程樹建立子模塊，用于依據(jù)所述局域網(wǎng)內(nèi)的用戶終端上報的進程行為，建立所述用戶終端在不同時刻的進程樹、以及所述進程樹中各進程與進程行為之間的映射關(guān)系；

進程樹分析子模塊，用于依據(jù)所述用戶終端在不同時刻的進程樹、以及所述進程樹中各進程與進程行為之間的映射關(guān)系，得到對應(yīng)的進程行為序列。

可選地，所述裝置還可以包括：

快照接收模塊，用于接收所述用戶終端上報的在某時刻的系統(tǒng)快照；

則所述進程樹建立子模塊可以包括：

建立單元，用于在所述系統(tǒng)快照的基礎(chǔ)上，依據(jù)上述進程行為建立所述用戶終端在不同時刻的進程樹。

可選地，所述裝置還可以包括：

事件獲取模塊，用于針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，獲取其涉及的異常文件，并從預(yù)先獲取的文件傳輸事件中獲取與所述異常文件相應(yīng)的待分析文件傳輸事件；其中，所述文件傳輸事件為所述局域網(wǎng)內(nèi)的用戶終端上報的事件；

事件分析模塊，用于對所述待分析文件傳輸事件的信息進行分析，以得到所述異常文件對應(yīng)的傳輸來源和/或受影響用戶終端。

可選地，所述裝置還可以包括：

第一指令發(fā)送模塊，用于向目標(biāo)用戶終端發(fā)送威脅處理指令，所述威脅處理指令用于指示所述目標(biāo)用戶終端針對所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程進行威脅處理；其中，所述目標(biāo)用戶終端為所述局域網(wǎng)內(nèi)的部分受影響用戶終端；

第二指令發(fā)送模塊，用于在針對所述目標(biāo)進程進行第一威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則向全部受影響用戶終端發(fā)送所述威脅處理指令，以在全部受影響用戶終端上進行與所述目標(biāo)用戶終端相同的威脅處理。

可選地，所述第一指令發(fā)送模塊可以包括：

第一處理指令發(fā)送子模塊，用于向目標(biāo)用戶終端發(fā)送第一威脅處理指令，所述第一威脅處理指令用于指示所述目標(biāo)用戶終端針對所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程進行第一威脅處理；

第二處理指令發(fā)送子模塊，用于在針對所述目標(biāo)進程進行第一威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則向目標(biāo)用戶終端發(fā)送第二威脅處理指令，所述第二威脅處理指令用于指示所述目標(biāo)用戶終端針對所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程進行第二威脅處理。

可選地，所述第一威脅處理可以包括：隔離處理，所述第二威脅處理可以包括：系統(tǒng)修復(fù)處理或者系統(tǒng)重裝處理。

參照圖7，示出了根據(jù)本發(fā)明一個實施例的一種基于局域網(wǎng)的安全檢測裝置的結(jié)構(gòu)框圖，該裝置應(yīng)用于用戶終端，具體可以包括如下模塊：

接收模塊701，用于接收服務(wù)器下發(fā)的目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則；

監(jiān)測模塊702，用于對所述用戶終端中的所述目標(biāo)進程行為序列進行監(jiān)測；以及

規(guī)則執(zhí)行模塊703，用于當(dāng)監(jiān)測到所述目標(biāo)進程行為序列時，執(zhí)行所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則。

可選地，所述威脅處理規(guī)則可以包括：威脅遏制規(guī)則，則所述規(guī)則執(zhí)行模塊可以包括：

查殺子模塊，用于當(dāng)監(jiān)測到所述目標(biāo)進程行為序列時，依據(jù)所述威脅遏制規(guī)則殺掉所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程。

可選地，所述威脅處理規(guī)則可以包括：附加監(jiān)測規(guī)則，則所述規(guī)則執(zhí)行模塊可以包括：

采集子模塊，用于當(dāng)監(jiān)測到所述目標(biāo)進程行為序列時，附加采集所述目標(biāo)進程行為序列對應(yīng)目標(biāo)進程的詳情信息；

上報子模塊，用于向所述服務(wù)器上報所述目標(biāo)進程的詳情信息。

對于裝置實施例而言，由于其與方法實施例基本相似，所以描述的比較簡單，相關(guān)之處參見方法實施例的部分說明即可。

在此提供的算法和顯示不與任何特定計算機、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述，構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外，本發(fā)明也不針對任何特定編程語言。應(yīng)當(dāng)明白，可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容，并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式。

在此處所提供的說明書中，說明了大量具體細節(jié)。然而，能夠理解，本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐。在一些實例中，并未詳細示出公知的方法、結(jié)構(gòu)和技術(shù)，以便不模糊對本說明書的理解。

類似地，應(yīng)當(dāng)理解，為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個，在上面對本發(fā)明的示例性實施例的描述中，本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而，并不應(yīng)將該公開的方法解釋成反映如下意圖：即所要求保護的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征。更確切地說，如下面的權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此，遵循具體實施方式的權(quán)利要求書由此明確地并入該具體實施方式，其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例。

本領(lǐng)域那些技術(shù)人員可以理解，可以對實施例中的設(shè)備中的模塊進行自適應(yīng)性地改變并且把它們設(shè)置在與該實施例不同的一個或多個設(shè)備中?？梢园褜嵤├械哪K或單元或組件組合成一個模塊或單元或組件，以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外，可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進行組合。除非另外明確陳述，本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。

此外，本領(lǐng)域的技術(shù)人員能夠理解，盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征，但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例。例如，在下面的權(quán)利要求書中，所要求保護的實施例的任意之一都可以以任意的組合方式來使用。

本發(fā)明的各個部件實施例可以以硬件實現(xiàn)，或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn)，或者以它們的組合實現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP，Digital Signal Process)來實現(xiàn)根據(jù)本發(fā)明實施例的基于局域網(wǎng)的安全檢測方法和裝置中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如，計算機程序和計算機程序產(chǎn)品)。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機可讀介質(zhì)上，或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網(wǎng)平臺上下載得到，或者在載體信號上提供，或者以任何其他形式提供。

應(yīng)該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制，并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計出替換實施例。在權(quán)利要求中，不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包括”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計算機來實現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中，這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序?？蓪⑦@些單詞解釋為名稱。

本發(fā)明公開了A1、一種基于局域網(wǎng)的安全檢測方法，應(yīng)用于服務(wù)器，包括：

依據(jù)所述局域網(wǎng)內(nèi)的用戶終端上報的進程行為，得到對應(yīng)的進程行為序列；

針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則。

A2、如A1所述的方法，所述威脅處理規(guī)則包括：威脅遏制規(guī)則，和/或，附加監(jiān)測規(guī)則；其中，所述威脅遏制規(guī)則用于殺掉所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程，所述附加監(jiān)測規(guī)則用于附加采集所述目標(biāo)進程行為序列對應(yīng)目標(biāo)進程的詳情信息。

A3、如A1所述的方法，所述威脅處理規(guī)則包括：附加監(jiān)測規(guī)則，則所述方法還包括：

接收所述用戶終端依據(jù)所述附加監(jiān)測規(guī)則上報的、所述目標(biāo)進程行為序列對應(yīng)目標(biāo)進程的詳情信息；

依據(jù)所述目標(biāo)進程的詳情信息，判斷所述目標(biāo)進程行為序列是否存在惡意行為；

當(dāng)判定所述目標(biāo)進程行為序列不存在惡意行為時，在決策樹中添加所述附加監(jiān)測規(guī)則對應(yīng)的屬性；或者，當(dāng)判定所述目標(biāo)進程行為序列存在惡意行為時，向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅遏制規(guī)則。

A4、如A1所述的方法，通過如下步驟獲取存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列：

判斷所述進程行為序列是否符合預(yù)置的威脅情報規(guī)則，若是，則將所述進程行為序列作為存在惡意行為的目標(biāo)進程行為序列；或者

從所述進程行為序列對應(yīng)進程中獲取符合預(yù)置進程行為模式的目標(biāo)進程，并依據(jù)所述目標(biāo)進程的進程行為序列，判斷所述進程行為序列是否存在惡意行為或者疑似惡意行為；或者

利用決策樹對所述進程行為序列進行分類，若所述決策樹輸出的分類結(jié)果為惡意，則依據(jù)用戶的第一指令，將所述進程行為序列作為存在惡意行為的目標(biāo)進程行為序列，或者，依據(jù)用戶的第二指令，將所述進程行為序列作為存在疑似惡意行為的目標(biāo)進程行為序列。

A5、如A1所述的方法，所述依據(jù)所述局域網(wǎng)內(nèi)的用戶終端上報的進程行為，得到對應(yīng)的進程行為序列的步驟，包括：

依據(jù)所述局域網(wǎng)內(nèi)的用戶終端上報的進程行為，建立所述用戶終端在不同時刻的進程樹、以及所述進程樹中各進程與進程行為之間的映射關(guān)系；

依據(jù)所述用戶終端在不同時刻的進程樹、以及所述進程樹中各進程與進程行為之間的映射關(guān)系，得到對應(yīng)的進程行為序列。

A6、如A5所述的方法，所述方法還包括：

接收所述用戶終端上報的在某時刻的系統(tǒng)快照；

則所述依據(jù)所述進程行為，建立所述用戶終端在不同時刻的進程樹的步驟，包括：

在所述系統(tǒng)快照的基礎(chǔ)上，依據(jù)上述進程行為建立所述用戶終端在不同時刻的進程樹。

A7、如A1至A6中任一所述的方法，所述方法還包括：

針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，獲取其涉及的異常文件，并從預(yù)先獲取的文件傳輸事件中獲取與所述異常文件相應(yīng)的待分析文件傳輸事件；其中，所述文件傳輸事件為所述局域網(wǎng)內(nèi)的用戶終端上報的事件；

對所述待分析文件傳輸事件的信息進行分析，以得到所述異常文件對應(yīng)的傳輸來源和/或受影響用戶終端。

A8、如A7所述的方法，所述方法還包括：

向目標(biāo)用戶終端發(fā)送威脅處理指令，所述威脅處理指令用于指示所述目標(biāo)用戶終端針對所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程進行威脅處理；其中，所述目標(biāo)用戶終端為所述局域網(wǎng)內(nèi)的部分受影響用戶終端；

在針對所述目標(biāo)進程進行第一威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則向全部受影響用戶終端發(fā)送所述威脅處理指令，以在全部受影響用戶終端上進行與所述目標(biāo)用戶終端相同的威脅處理。

A9、如A8所述的方法，所述向目標(biāo)用戶終端發(fā)送威脅處理指令的步驟，包括：

向目標(biāo)用戶終端發(fā)送第一威脅處理指令，所述第一威脅處理指令用于指示所述目標(biāo)用戶終端針對所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程進行第一威脅處理；

在針對所述目標(biāo)進程進行第一威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則向目標(biāo)用戶終端發(fā)送第二威脅處理指令，所述第二威脅處理指令用于指示所述目標(biāo)用戶終端針對所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程進行第二威脅處理。

A10、如A9所述的方法，所述第一威脅處理包括：隔離處理，所述第二威脅處理包括：系統(tǒng)修復(fù)處理或者系統(tǒng)重裝處理。

本發(fā)明公開了B11、一種基于局域網(wǎng)的安全檢測方法，應(yīng)用于用戶終端，包括：

接收服務(wù)器下發(fā)的目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則；

對所述用戶終端中的所述目標(biāo)進程行為序列進行監(jiān)測；

當(dāng)監(jiān)測到所述目標(biāo)進程行為序列時，執(zhí)行所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則。

B12、如B11所述的方法，所述威脅處理規(guī)則包括：威脅遏制規(guī)則，則所述執(zhí)行所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則的步驟，包括：

當(dāng)監(jiān)測到所述目標(biāo)進程行為序列時，依據(jù)所述威脅遏制規(guī)則殺掉所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程。

B13、如B11所述的方法，所述威脅處理規(guī)則包括：附加監(jiān)測規(guī)則，則所述執(zhí)行所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則的步驟，包括：

當(dāng)監(jiān)測到所述目標(biāo)進程行為序列時，附加采集所述目標(biāo)進程行為序列對應(yīng)目標(biāo)進程的詳情信息；

向所述服務(wù)器上報所述目標(biāo)進程的詳情信息。

本發(fā)明公開了C14、一種基于局域網(wǎng)的安全檢測裝置，應(yīng)用于服務(wù)器，包括：

序列生成模塊，用于依據(jù)所述局域網(wǎng)內(nèi)的用戶終端上報的進程行為，得到對應(yīng)的進程行為序列；以及

規(guī)則下發(fā)模塊，用于針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則。

C15、如C14所述的裝置，所述威脅處理規(guī)則包括：威脅遏制規(guī)則，和/或，附加監(jiān)測規(guī)則；其中，所述威脅遏制規(guī)則用于殺掉所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程，所述附加監(jiān)測規(guī)則用于附加采集所述目標(biāo)進程行為序列對應(yīng)目標(biāo)進程的詳情信息。

C16、如C14所述的裝置，所述威脅處理規(guī)則包括：附加監(jiān)測規(guī)則，則所述裝置還包括：

詳情接收模塊，用于接收所述用戶終端依據(jù)所述附加監(jiān)測規(guī)則上報的、所述目標(biāo)進程行為序列對應(yīng)目標(biāo)進程的詳情信息；

判斷模塊，用于依據(jù)所述目標(biāo)進程的詳情信息，判斷所述目標(biāo)進程行為序列是否存在惡意行為；

添加模塊，用于當(dāng)判定所述目標(biāo)進程行為序列不存在惡意行為時，在決策樹中添加所述附加監(jiān)測規(guī)則對應(yīng)的屬性；或者，

遏制規(guī)則下發(fā)模塊，用于當(dāng)判定所述目標(biāo)進程行為序列存在惡意行為時，向用戶終端下發(fā)所述目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅遏制規(guī)則。

C17、如C14所述的裝置，所述裝置還包括：用于獲取存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列的目標(biāo)序列獲取模塊；

所述目標(biāo)序列獲取模塊包括：

第一判斷子模塊，用于判斷所述進程行為序列是否符合預(yù)置的威脅情報規(guī)則，若是，則將所述進程行為序列作為存在惡意行為的目標(biāo)進程行為序列；或者

第二判斷子模塊，用于從所述進程行為序列對應(yīng)進程中獲取符合預(yù)置進程行為模式的目標(biāo)進程，并依據(jù)所述目標(biāo)進程的進程行為序列，判斷所述進程行為序列是否存在惡意行為或者疑似惡意行為；或者

分類子模塊，用于利用決策樹對所述進程行為序列進行分類，若所述決策樹輸出的分類結(jié)果為惡意，則依據(jù)用戶的第一指令，將所述進程行為序列作為存在惡意行為的目標(biāo)進程行為序列，或者，依據(jù)用戶的第二指令，將所述進程行為序列作為存在疑似惡意行為的目標(biāo)進程行為序列。

C18、如C14所述的裝置，所述序列生成模塊包括：

進程樹建立子模塊，用于依據(jù)所述局域網(wǎng)內(nèi)的用戶終端上報的進程行為，建立所述用戶終端在不同時刻的進程樹、以及所述進程樹中各進程與進程行為之間的映射關(guān)系；

進程樹分析子模塊，用于依據(jù)所述用戶終端在不同時刻的進程樹、以及所述進程樹中各進程與進程行為之間的映射關(guān)系，得到對應(yīng)的進程行為序列。

C19、如C18所述的裝置，所述裝置還包括：

快照接收模塊，用于接收所述用戶終端上報的在某時刻的系統(tǒng)快照；

則所述進程樹建立子模塊包括：

建立單元，用于在所述系統(tǒng)快照的基礎(chǔ)上，依據(jù)上述進程行為建立所述用戶終端在不同時刻的進程樹。

C20、如C14至19中任一所述的裝置，所述裝置還包括：

事件獲取模塊，用于針對存在惡意行為或者疑似惡意行為的目標(biāo)進程行為序列，獲取其涉及的異常文件，并從預(yù)先獲取的文件傳輸事件中獲取與所述異常文件相應(yīng)的待分析文件傳輸事件；其中，所述文件傳輸事件為所述局域網(wǎng)內(nèi)的用戶終端上報的事件；

事件分析模塊，用于對所述待分析文件傳輸事件的信息進行分析，以得到所述異常文件對應(yīng)的傳輸來源和/或受影響用戶終端。

C21、如C20所述的裝置，所述裝置還包括：

第一指令發(fā)送模塊，用于向目標(biāo)用戶終端發(fā)送威脅處理指令，所述威脅處理指令用于指示所述目標(biāo)用戶終端針對所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程進行威脅處理；其中，所述目標(biāo)用戶終端為所述局域網(wǎng)內(nèi)的部分受影響用戶終端；

第二指令發(fā)送模塊，用于在針對所述目標(biāo)進程進行第一威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則向全部受影響用戶終端發(fā)送所述威脅處理指令，以在全部受影響用戶終端上進行與所述目標(biāo)用戶終端相同的威脅處理。

C22、如C21所述的裝置，所述第一指令發(fā)送模塊包括：

第一處理指令發(fā)送子模塊，用于向目標(biāo)用戶終端發(fā)送第一威脅處理指令，所述第一威脅處理指令用于指示所述目標(biāo)用戶終端針對所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程進行第一威脅處理；

第二處理指令發(fā)送子模塊，用于在針對所述目標(biāo)進程進行第一威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則向目標(biāo)用戶終端發(fā)送第二威脅處理指令，所述第二威脅處理指令用于指示所述目標(biāo)用戶終端針對所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程進行第二威脅處理。

C23、如C22所述的裝置，所述第一威脅處理包括：隔離處理，所述第二威脅處理包括：系統(tǒng)修復(fù)處理或者系統(tǒng)重裝處理。

本發(fā)明公開了D24、一種基于局域網(wǎng)的安全檢測裝置，應(yīng)用于用戶終端，包括：

接收模塊，用于接收服務(wù)器下發(fā)的目標(biāo)進程行為序列、以及所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則；

監(jiān)測模塊，用于對所述用戶終端中的所述目標(biāo)進程行為序列進行監(jiān)測；以及

規(guī)則執(zhí)行模塊，用于當(dāng)監(jiān)測到所述目標(biāo)進程行為序列時，執(zhí)行所述目標(biāo)進程行為序列對應(yīng)的威脅處理規(guī)則。

D25、如D24所述的裝置，所述威脅處理規(guī)則包括：威脅遏制規(guī)則，則所述規(guī)則執(zhí)行模塊包括：

查殺子模塊，用于當(dāng)監(jiān)測到所述目標(biāo)進程行為序列時，依據(jù)所述威脅遏制規(guī)則殺掉所述目標(biāo)進程行為序列對應(yīng)的目標(biāo)進程。

D26、如D24所述的裝置，所述威脅處理規(guī)則包括：附加監(jiān)測規(guī)則，則所述規(guī)則執(zhí)行模塊包括：

采集子模塊，用于當(dāng)監(jiān)測到所述目標(biāo)進程行為序列時，附加采集所述目標(biāo)進程行為序列對應(yīng)目標(biāo)進程的詳情信息；

上報子模塊，用于向所述服務(wù)器上報所述目標(biāo)進程的詳情信息。