一种基于局域网的威胁处理方法和装置与流程

本发明涉及计算机安全技术领域，特别是涉及一种基于局域网的威胁处理方法和一种基于局域网的威胁处理装置。

背景技术：

随着互联网的迅速普及，局域网已成为企业发展中必不可少的一部分。然而，在为企业带来便利的同时，局域网也面临着各种各样的进攻和威胁，如机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵等。

现有基于局域网的威胁处理方案大多通过在企业网内部的终端上分别安装杀毒软件客户端，由该杀毒软件客户端基于病毒特征库发现终端上的病毒数量和病毒危害程度，并依据企业网内部所述终端的病毒数量和病毒危害程度进行企业网的安全评估。

对于病毒数量和病毒危害程度而言，尽管这种方法能够在一定程度上体现出企业网的安全状况，但是由于病毒特征库相对于病毒具有一定的滞后性，存在病毒的企业网已经处于危险状态，此种情况下的企业网已经属于不及格的网络环境，而对不及格的网络环境进行评分或进行检测，属于事后补救的范畴，因此无法有效保证企业网的安全性。

技术实现要素：

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于局域网的威胁处理方法和一种基于局域网的威胁处理装置。

依据本发明的一个方面，提供了一种基于局域网的威胁处理方法，应用于服务器，包括：

向所述局域网内的用户终端下发威胁处置任务，以使所述用户终端对所述威胁处置任务对应的威胁对象进行处置操作；

针对符合预置回滚条件的目标处置操作，向对应的用户终端下发处理回滚任务，以使所述用户终端对所述处理回滚任务对应的目标处置操作进行回滚。

依据本发明的另一方面，提供了一种基于局域网的威胁处理方法，应用于用户终端，包括：

接收服务器下发的威胁处置任务；

对所述威胁处置任务对应的威胁对象进行处置操作；

接收服务器针对符合预置回滚条件的目标处置操作下发的处理回滚任务；

对所述处理回滚任务对应的目标处置操作进行回滚。

根据本发明的再一方面，提供了一种基于局域网的威胁处理装置，应用于服务器，包括：

第一任务下发模块，用于向所述局域网内的用户终端下发威胁处置任务，以使所述用户终端对所述威胁处置任务对应的威胁对象进行处置操作；以及

第二任务下发模块，用于针对符合预置回滚条件的目标处置操作，向对应的用户终端下发处理回滚任务，以使所述用户终端对所述处理回滚任务对应的目标处置操作进行回滚。

根据本发明的又一方面，提供了一种基于局域网的威胁处理装置，应用于用户终端，包括：

第一接收模块，用于接收服务器下发的威胁处置任务；

处置操作模块，用于对所述威胁处置任务对应的威胁对象进行处置操作；

第二接收模块，用于接收服务器针对符合预置回滚条件的目标处置操作下发的处理回滚任务；以及

处置回滚模块，用于对所述处理回滚任务对应的目标处置操作进行回滚。

根据本发明实施例的一种基于局域网的威胁处理方法和装置，可以检测出局域网内的威胁对象，并向所述局域网内的用户终端下发威胁处置任务，以使所述用户终端对所述威胁处置任务对应的威胁对象进行处置操作；由于上述威胁对象为操作系统中存在威胁的对象，上述威胁对象的检测可以不受病毒特征库相对于病毒具有一定的滞后性的限制，因此本发明实施例能够更及时地检测出局域网的未知威胁对象，从而能够提高安全检测的及时性，且能够实现病毒的有效预防。

并且，为了解决威胁对象的错误处置导致的耗费人工成本的问题，本发明实施例针对符合预置回滚条件的目标处置操作，向对应的用户终端下发处理回滚任务，以使所述用户终端对所述处理回滚任务对应的目标处置操作进行回滚。上述回滚的对象为处置操作，由此可以在节省人力成本的情况下，自动解决错误处置问题，也即可以提高错误处置的处理效率。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文可选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出可选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本发明一个实施例的一种基于局域网的威胁处理方法的步骤流程示意图；

图2示出了根据本发明一个实施例的一种基于局域网的威胁处理方法的步骤流程示意图；

图3示出了本发明的一种进程树的结构示意图；

图4示出了根据本发明一个实施例的一种基于局域网的威胁处理方法的步骤流程示意图；

图5示出了根据本发明一个实施例的一种基于局域网的威胁处理方法的步骤流程示意图；

图6示出了根据本发明一个实施例的一种基于局域网的威胁处理方法的步骤流程示意图；

图7示出了根据本发明一个实施例的一种基于局域网的威胁处理装置的结构示意；以及

图8示出了根据本发明一个实施例的一种基于局域网的威胁处理装置的结构示意。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本发明实施例可以检测出局域网内的威胁对象，向所述局域网内的用户终端下发威胁处置任务，以使所述用户终端对所述威胁处置任务对应的威胁对象进行处置操作。上述威胁对象可以包括：存在威胁的系统对象、或者存在威胁的非系统对象等，其中，上述系统对象可以包括：进程，对应的处置操作可以包括：将存在威胁的进程放入隔离区等；上述系统对象可以包括：URL(统一资源定位符，Uniform Resource Locator)访问行为、IP(网络之间互联的协议，Internet Protocol)访问、端口访问、DNS(域名系统，Domain Name System)、邮箱地址、或者邮件附件等，则对应处置操作包括：通过防火墙规则拦截存在威胁的URL、IP、或者DNS等，通过邮件服务器拦截某邮箱地址，通过邮件服务器撤销存在威胁的附件等。可以理解，本发明实施例对于具体的威胁对象及其处理操作不加以限制。

发明人在实施本发明的过程中发现，威胁对象的检测技术不完善导致容易出现威胁对象误报(也即将不存在威胁的对象作为威胁对象)的现象，或者，管理员的失误等原因导致容易出现此种情况下，将进一步导致威胁对象的错误处置，例如将不存在威胁的进程隔离就属于一种错误处置。或者，管理员的失误等其他原因也容易导致威胁对象的错误处置。在出现错误处置时，若采用人工方式进行错误处置的处理，将耗费较多的人力成本，且导致错误处置的处理效率较低。

为了提高错误处置的处理效率，本发明实施例针对符合预置回滚条件的目标处置操作，向对应的用户终端下发处理回滚任务，以使所述用户终端对所述处理回滚任务对应的目标处置操作进行回滚。上述回滚的对象为处置操作，由此可以在节省人力成本的情况下，自动解决错误处置问题。

参照图1，示出了根据本发明一个实施例的一种基于局域网的威胁处理方法的步骤流程图，应用于服务器，具体可以包括如下步骤：

步骤101、向所述局域网内的用户终端下发威胁处置任务，以使所述用户终端对所述威胁处置任务对应的威胁对象进行处置操作；

步骤102、针对符合预置回滚条件的目标处置操作，向对应的用户终端下发处理回滚任务，以使所述用户终端对所述处理回滚任务对应的目标处置操作进行回滚。

本发明实施例可以应用于企业网、政府网、校园网等局域网中；在上述局域网中，所述服务器是指局域网内用于控制其它用户终端进行安全检测的设备，所述用户终端是指局域网内响应服务器的控制指令，与服务器进行数据交互的终端。在实际应用中，可以在服务器部署服务器代理模块，在用户终端部署软件客户端模块，以类似C/S(客户端/服务器，Client/Server)的架构，实现局域网内服务器对用户终端的控制功能，以及，用户终端的控制响应及通信功能。其中，上述服务器和上述用户终端之间可以通过标准协议或者私有协议进行通信，其中，私有协议具有封闭性和安全性高的优点；可以理解，本发明实施例对于服务器与用户终端之间的具体通信方式不加以限制。

在实际应用中，服务器的用户可以是网络管理员等具有一定的网络安全知识的高级用户，因此，服务器的用户可以根据局域网的当前安全需求和实际情况，灵活地设置相应的控制指令。其中，上述威胁处置任务、处理回滚任务都可以具有对应的控制指令。

在本发明的一种可选实施例中，上述威胁处置任务的信息可以包括：威胁对象的信息(如威胁对象在用户终端中的路径、威胁对象的文件特征如MD5特征等)、以及处置操作的信息等，上述威胁对象的信息可以定位到用户终端中的威胁对象，上述处置操作的信息可以使得用户终端明确处置操作，可以理解，本发明实施例对于威胁处置任务的具体信息不加以限制。

在实际应用中，对于管理员下发过的威胁处置任务，在通常情况下，在要威胁对象的样本被删除之前，均可以对威胁处置任务对应的处置操作进行回滚。为了方便起见，本发明实施例通过符合预置回滚条件的目标处置操作表示需要进行回滚的处置操作。其中，上述目标处理操作可以包括：威胁对象误报、管理员失误等原因引起的错误处置操作，可以理解，管理员可以预置上述目标处理操作，本发明实施例对于具体的目标处置操作不加以限制。

在本发明的另一种可选实施例中，上述处理回滚任务的信息可以包括：威胁对象的信息、或者目标处置操作的信息、或者威胁处理任务的信息等，以使用户终端实现对于目标处置操作的定位，可以理解，本发明实施例对于处理回滚任务的具体信息不加以限制。

在本发明的一种应用示例中，假设目标处置操作为，将存在威胁的进程隔离等，则对应的回滚可以将该存在威胁的进程从隔离区还原；假设目标处置操作为，通过防火墙规则拦截存在威胁的URL、IP、或者DNS等，则对应的回滚可以将存在威胁的URL、IP、或者DNS从防火墙规则中移除等，本发明实施例对于具体的回滚操作不加以限制。

参照图2，示出了根据本发明一个实施例的一种基于局域网的威胁处理方法的步骤流程图，应用于服务器，可用于检测威胁对象，具体可以包括如下步骤：

步骤201、接收所述局域网内的用户终端上报的进程行为；

步骤202、依据所述进程行为，建立所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系；

步骤203、从所述进程树中获取符合预置进程行为模式的目标进程；

步骤204、依据所述目标进程的进程行为，判断所述目标进程是否为威胁对象。

本发明实施例中，进程树可用于作为恶意对象的检测依据，在进程树的分析过程中，可以从不同时刻的进程树中获取存在恶意行为的进程树，并确定恶意对象在用户终端中的路径、文件特征等信息。

一种第一控制指令可用于指示用户终端向服务器上报进程行为，则用户终端在接收到该第一控制指令后，可以对本地进程的进程行为进行监测，并向服务器上报监测到的进程行为。可选地，本发明实施例可以在不影响用户对于用户终端的正常使用的情况下，捕获并上报用户终端的进程行为，故可以不影响用户的使用体验。

可选地，上述进程行为可以包括但不限于：进程启停行为、内存行为以及变更行为中的至少一种。其中，上述内存行为可以包括：进程注入行为、文件访问行为、以及网络连接行为；上述网络连接行为可以包括：URL访问行为、IP访问、端口访问、以及DNS访问等行为中的至少一种。上述变更行为可以包括：系统变更行为(注册表的创建、删除和修改)、账户变更(账户的创建、账户权限的变更)行为、以及文件变更行为。可以理解，本发明实施例对于具体的进程行为不加以限制。

在接收到各用户终端上报的进程行为后，服务器可以对接收的进程行为的信息进行记录。可选地，进程行为的信息可以包括但不限于：进程的信息、进程行为的执行参数等字段的信息。

本发明实施例中，进程树是一种用户终端上进程之间的关系，其通常由父进程和子进程两部分组成。一些程序进程运行后，会创建或调用其他进程，这样就组成了一个进程树。参照图3，示出了本发明的一种进程树的结构示意图，其中，节点A的子节点B和C是节点A创建或调用的子进程，作为父进程，节点B和节点C又分别创建或调用了各自的子进程D、E、以及F和G。进程树中各进程的信息可以包括：进程名称、进程对应程序的特征值、以及进程的父进程等等，可以理解，本发明实施例对于进程树中各进程的具体信息不加以限制。在实际应用中，进程树中各节点的名称可以与各进程的进程名称相同或者不同，本发明实施例主要以进程树中各节点的名称可以与各进程的进程名称相同为例进行说明。

在本发明的一种可选实施例中，可以依据行程行为所包括的进程启停行为，建议上述用户终端在不同时刻的进程树。可选地，进程启停行为可以包括：各进程的启动时间、停止时间、以及各进程创建或调用的进程等信息，这样，可以依据进程启停行为获得进程树中的各节点。例如，进程A、进程B和进程C的启动时间分别为时刻1、时刻2和时刻3，假设进程A为系统中第一个进程，则可以得到进程树中的根节点A，假设进程A创建或调用了进程B和进程C，则可以得到根节点A的子节点B和C，按照上述流程可以得到图2所示的进程树。需要说明的是，进程树可以随着进程启停行为的变化而变化，由此可以得到用户终端在不同时刻的进程树，并且，通过对前后时刻的进程树进行对比，可以得到进程启停行为的变化。

在本发明的另一种可选实施例中，本实施例的方法还可以包括：接收所述用户终端上报的在某时刻的系统快照；则所述依据所述进程行为，建立所述用户终端在不同时刻的进程树的步骤202，可以包括：在所述系统快照的基础上，依据上述进程行为建立所述用户终端在不同时刻的进程树。本发明实施例中，系统快照可用于表示用户终端某时刻T的系统状态，该系统状态可以包括：某时刻T系统包含的进程及其行为、注册表、文件等状态，可以认为，该系统快照可以包含某时刻T的进程树，故本发明实施例在所述系统快照的基础上，依据上述进程行为建立所述用户终端在不同时刻的进程树，能够减少进程树的建立所需的运算量，提高进程树的建立效率。

在本发明的再一种可选实施例中，所述系统快照可以为所述用户终端在第一时刻T1的系统状态，所述进程行为可以包括：进程启停行为，则所述在所述系统快照的基础上，依据上述进程行为建立所述用户终端在不同时刻的进程树的步骤，可以包括：依据所述第一时刻T1之后的进程启停行为，得到所述用户终端在第二时刻T2的进程树。其中，T2晚于T1，也即，可以在上述系统快照对应进程树1的基础上，添加或者删除节点，以得到T2时刻的进程树。可选地，T1可以为操作系统启动完成后的任意时刻，例如，操作系统启动完成的时刻为T0，在T1为T0的下一时刻；当然，本发明实施例对于具体的T1不加以限制。

在本发明的一种可选实施例中，所述进程行为可以包括：进程启停行为和/或内存行为和/或变更行为等进程启动后产生的一系列行为，则所述依据所述进程行为，建立所述进程树中各进程与进程行为之间的映射关系的步骤202，可以包括：针对所述进程树中各进程，建立其与进程启停行为和/或内存行为和/或变更行为之间的映射关系。

在步骤202建立用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系之后，步骤203可以从所述进程树中获取符合预置进程行为模式的目标进程。

预置行为模式可用于表示进程行为的可疑行为模式或者恶意行为模式。在实际应用中，本领域技术人员可以根据实际应用需求确定所需的任意预置行为模式。在本发明的一种可选实施例中，上述预置行为模式可以为，文件相关进程启动了非操作系统进程，例如winword进程启动了非微软的子进程，其中，winword进程为文件相关进程。在本发明的另一种可选实施例中，上述预置行为模式可以为，进程变更文件系统中第一文件后，访问第二文件并加密。例如，进程变更MFT(大文件传输，Managed File Transfer)中的文件后，快速访问办公文档；该预置行为模式属于恶意进程勒索软件的行为，该恶意进程首先删除MFT中的文件记录，以使文件记录无法恢复，然后开始寻找文档并进行加密。

在实际应用中，可以对进程树中各进程进行遍历，并针对遍历得到的当前进程，从上述映射关系中得到对应的当前进程行为，并判断该当前行为模式是否符合预置行为模式，可以理解，本发明实施例对于从所述进程树中获取符合预置进程行为模式的目标进程的具体过程不加以限制。

步骤204可以依据步骤203得到的目标进程的进程行为，判断所述目标进程是否为威胁对象。

本发明实施例可以提供依据所述目标进程的进程行为，判断所述目标进程是否为威胁对象的如下检测方式；

检测方式1、针对所述目标进程发出相应的告警信息，以使管理员用户针对所述告警信息，依据所述目标进程的进程行为，判断所述目标进程是否为威胁对象；和/或

检测方式2、将所述目标进程、或者所述目标进程的子孙进程作为待分析进程，依据所述待分析进程的进程行为的执行参数，判断所述目标进程是否为威胁对象。

其中，检测方式1可以针对所述目标进程发出相应的告警信息，以使管理员用户接收所述告警信息，并通过人工方式检测目标进程的安全性。例如，可以通过人工方式对进程行为进行分析，并依据分析结果判断目标进程的安全性，相应的分析过程可以包括：行为行为的执行参数等特定字段的排除和统计操作等。

检测方式2可将所述目标进程、或者所述目标进程的子孙进程作为待分析进程，则所述待分析进程的进程行为的执行参数可以表明目标进程执行了产生了哪些行为，或者目标进程的子孙进程产生了哪些行为，这样，可以依据上述执行参数判断所述目标进程是否为威胁对象。

在本发明的一种可选实施例中，所述依据所述待分析进程的进程行为的执行参数，判断所述目标进程是否为威胁对象的步骤，可以包括：

若所述执行参数包含的命令行脚本环境参数涉及脚本加密行为，则所述目标进程的安全性检测结果为不安全；和/或

若所述执行参数包含的策略排除参数涉及绕过执行限制策略的行为，则所述目标进程的安全性检测结果为不安全。

其中，powershell可以为命令行脚本环境参数的一种示例，若powershell的运行参数中包括例如enc的参数的脚本加密行为，可以认为目标进程的安全性检测结果为不安全。

Excludepolicy可以为策略排除参数的一种示例，若Excludepolicy涉及绕过执行限制策略的行为，则可以认为目标进程的安全性检测结果为不安全。其中，执行限制策略是一个组策略，在开启限制的情况下，可以防止通过powershell执行命令，然而有很多方法可以绕过执行上述执行限制策略，这让恶意进程有机可乘。本发明实施例在依据所述待分析进程的进程行为的待分析执行参数，判断所述目标进程是否为威胁对象的过程中，可以执行待分析进程的进程行为的待分析执行参数，在执行限制策略开启限制的情况下，若执行上述待分析参数则会发出相应的提示信息，而本发明实施例可以通过EDR(端点检测响应，endpoint detection and response)单元捕获上述提示信息，若捕获成功，可以认为，Excludepolicy涉及绕过执行限制策略的行为，进一步认为目标进程的安全性检测结果为不安全。

可以理解，上述执行参数包含的命令行脚本环境参数涉及脚本加密行为和执行参数包含的策略排除参数涉及绕过执行限制策略的行为对应的检测过程只是作为本发明的可选实施例，实际上，本领域技术人员还可以根据实际应用需求，对执行参数包含的其他行为进行检测，本发明实施例对于依据所述待分析进程的进程行为的执行参数，判断所述目标进程是否为威胁对象的具体过程不加以限制。另外，可以理解，本发明实施例中，目标进程的安全性检测结果还可以包括：安全。

综上，本发明实施例的基于局域网的威胁处理方法，可以检测出局域网内的威胁对象，并向所述局域网内的用户终端下发威胁处置任务，以使所述用户终端对所述威胁处置任务对应的威胁对象进行处置操作；由于上述威胁对象为操作系统中存在威胁的对象，上述威胁对象的检测可以不受病毒特征库相对于病毒具有一定的滞后性的限制，因此本发明实施例能够更及时地检测出局域网的未知威胁对象，从而能够提高安全检测的及时性，且能够实现病毒的有效预防。

并且，为了解决威胁对象的错误处置导致的耗费人工成本的问题，本发明实施例针对符合预置回滚条件的目标处置操作，向对应的用户终端下发处理回滚任务，以使所述用户终端对所述处理回滚任务对应的目标处置操作进行回滚。上述回滚的对象为处置操作，由此可以在节省人力成本的情况下，自动解决错误处置问题，也即可以提高错误处置的处理效率。

另外，本发明实施例还可以依据用户终端上报的进程行为，建立所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系，并从所述进程树中获取符合预置进程行为模式的目标进程，进而依据所述目标进程的进程行为，判断所述目标进程是否为威胁对象；其中，上述预置行为模式可用于表示进程行为的可疑行为模式或者恶意行为模式，由于本发明实施例基于用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系的分析，获取符合预置进程行为模式的目标进程，并依据所述目标进程的进程行为，判断所述目标进程是否为威胁对象；因此，相对于传统的病毒特征库，本发明实施例能够通过不同时刻的进程树、所述进程树中各进程与进程行为之间的映射关系、以及表征进程行为的可疑行为模式或者恶意行为模式的预置行为模式，更及时地检测出局域网的未知威胁和安全隐患，从而能够提高安全检测的及时性，且能够实现病毒的有效预防。

参照图4，示出了根据本发明一个实施例的一种基于局域网的威胁处理方法的步骤流程图，应用于用户终端，具体可以包括如下步骤：

步骤401、接收服务器下发的威胁处置任务；

步骤402、对所述威胁处置任务对应的威胁对象进行处置操作；

步骤403、接收服务器针对符合预置回滚条件的目标处置操作下发的处理回滚任务；

步骤404、对所述处理回滚任务对应的目标处置操作进行回滚。

在实际应用中，用户终端可以依据服务器下发的威胁处置任务，定位到对应的威胁对象，并对该威胁对象进行处置操作。

需要说明的是，本发明实施例的目标处置操作与目标处置操作的回滚可以相应的操作。假设目标处置操作为，将存在威胁的进程放入隔离区等，则对应的回滚可以将该存在威胁的进程从隔离区还原；假设目标处置操作为，通过防火墙规则拦截存在威胁的URL、IP、或者DNS等，则对应的回滚可以将存在威胁的URL、IP、或者DNS从防火墙规则中移除等，本发明实施例对于具体的目标处置操作与回滚操作不加以限制。

在本发明的一种可选实施例中，在所述对所述处理回滚任务对应的目标处置操作进行回滚的步骤之前，所述方法还可以包括：向用户发出所述处理回滚任务对应的目标处置操作的回滚提示信息；依据用户对于所述回滚提示信息的确认操作，对所述处理回滚任务对应的目标处置操作进行回滚。上述回滚提示信息可以保证回滚操作的精确度。

综上，本发明实施例的基于局域网的威胁处理方法，用户终端可以针对符合预置回滚条件的目标处置操作进行回滚。上述回滚的对象为处置操作，由此可以在节省人力成本的情况下，自动解决错误处置问题，也即可以提高错误处置的处理效率。

参照图5，示出了根据本发明一个实施例的一种基于局域网的威胁处理方法的步骤流程图，应用于服务器，具体可以包括如下步骤：

步骤501、接收所述局域网内的用户终端上报的进程行为；

步骤502、依据所述进程行为，建立所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系；

步骤503、从所述进程树中获取符合预置进程行为模式的目标进程；

步骤504、依据所述目标进程的进程行为，判断所述目标进程是否为威胁对象；

相对于图2所示方法实施例，本实施例的方法还可以包括：

步骤505、若所述目标进程为威胁对象，则获取所述目标进程所涉及的异常文件，并从预先获取的文件传输事件中获取与所述异常文件相应的待分析文件传输事件；其中，所述文件传输事件为所述局域网内的用户终端上报的事件；

步骤506、对所述待分析文件传输事件的信息进行分析，以得到所述异常文件对应的传输来源和/或受影响用户终端。

本发明实施例中，一种第二控制指令可用于指示用户终端向服务器上报文件传输事件，则用户终端在接收到该第二控制指令后，可以对本地的文件传输事件进行监测，并向服务器上报监测到的文件传输事件。

本发明实施例中，文件传输事件可用于表示用户终端侧文件的流转事件，可选地，文件传输事件的信息可以包括如下信息中的至少一种：时间信息、渠道信息、文件信息、文件传输方向和终端信息。其中，时间信息可用于表示文件传输事件的发生时间；渠道信息可用于表示文件传输事件的通道，可选地，该渠道信息可以为文件传输事件对应的应用程序信息或者网站信息；文件信息可用于标识文件，可选地，该文件信息可以包括但不限于：文件名、文件路径、文件特征，例如，该文件特征可以为例如MD5(消息摘要算法第5版，Message Digest Algorithm5)的特征，可以理解，本发明实施例对于具体的文件特征不加以限制；文件传输方向可以包括：入方向或者出方向；终端信息可用于表示发生文件传输事件的用户终端的信息。

在本发明的一种应用示例中，上述文件传输事件可以包括：浏览器文件传输、IM(即时通讯，Instant Messaging)文件传输、邮件附件文件传输、U盘(USB闪存盘，USB flash disk)文件传输、以及下载工具文件传输中的至少一种。用户终端侧的每个文件传输事件都被上报至服务器，同时上报的可以包括：各文件传输事件的信息。

在接收到各用户终端上报的文件传输事件后，服务器可以对接收的文件传输事件的信息进行记录，需要说明的是，本发明实施例可以仅仅记录文件传输事件的例如文件名、文件路径、或者文件特征的文件信息；由于上述文件信息足以实现文件的文件传播路径的追踪，故本发明实施例可以在不保存文件的情况下实现对于文件传输事件的信息的记录，因此能够节省服务器的存储空间。

在获取异常文件的信息后，步骤505可以从预先获取的文件传输事件中获取与异常文件相应的待分析文件传输事件，具体地，可以将异常文件的信息与各文件传输事件的信息进行匹配，若匹配成功，则将匹配成功的文件传输事件作为待分析文件传输事件。。例如，可以将异常文件的文件特征与文件传输事件的文件特征进行匹配等等，可以理解，本发明实施例对于从预先获取的文件传输事件中获取与异常文件相应的待分析文件传输事件的具体过程不加以限制。

步骤506可以对步骤505得到的待分析文件传输事件的信息进行分析，以得到所述异常文件对应的传输来源和/或受影响用户终端。

由于文件传输事件可用于表示用户终端侧文件的流转事件，用户终端侧的每个文件传输事件都被上报至服务器，故本发明实施例可以基于对与异常文件相关的待分析文件传输事件的信息的分析，得到异常文件对应的传输来源；因此，相对于传统的病毒特征库，本发明实施例能够通过用户终端上报的文件传输事件，更及时地检测出局域网的未知威胁和安全隐患，从而能够提高安全检测的及时性；进一步，能够尽早对所述异常文件对应的传输来源进行拦截处理，以实现对于异常文件的传播路径的封堵。

另外，本发明实施例能够通过用户终端上报的文件传输事件，更及时地检测出局域网内受异常文件影响的受影响用户终端，故能够尽早地实现对于上述受影响终端的修复处理，这样，不仅能够及时阻止异常文件对于用户终端的影响，而且能够在一定程度上有效保护用户终端的用户。

在本发明的一种可选实施例中，上述对所述待分析文件传输事件的信息进行分析的步骤506，可以包括：依据所述待分析文件传输事件的时间信息，从所述待分析文件传输事件中获取发生时间最早的目标文件传输事件，并依据所述目标文件传输事件的渠道信息，得到所述异常文件对应的传输来源。由于时间信息可用于表示文件传输事件的发生时间，故可以依据各分析文件传输事件的时间信息，从多个待分析文件传输事件中获取发生时间最早的目标文件传输事件，作为传播来源对应的文件传输事件，进一步，可以依据目标文件传输事件的渠道信息，得到所述异常文件对应的传输来源。

在本发明的一种应用示例中，假设异常文件为“采购表.doc”，则可以依据该异常文件对应待分析文件传输文件的时间信息，获得其中发生时间最早的目标文件传输事件，该目标文件传输事件也即局域网内首次发生的与该异常文件有关的事件。例如，该异常文件的方向为入方向，该异常文件通过浏览器、邮箱、或者U盘等渠道进入了局域网，则可以依据上述渠道信息得到对应的传输来源。可选地，上述传输来源可以包括但不限于：威胁URL、威胁邮箱联系人、威胁IP、威胁DNS、或者分析得到的威胁病毒特征等。

在本发明的另一种可选实施例中，本实施例的方法还可以包括：对所述异常文件对应的传输来源进行拦截处理。对所述异常文件对应的传输来源进行拦截处理，可以实现对于异常文件的传播路径的封堵。

可选地，所述对所述异常文件对应的传输来源进行拦截处理的步骤，可以包括：针对所述异常文件对应的传输来源，设置相应的防火墙规则，以通过所述防火墙规则实现对于所述传输来源的拦截。例如，可以针对威胁URL、威胁邮箱联系人、威胁IP、威胁DNS等，设置对应的防火墙规则，以实现对于威胁URL、威胁邮箱联系人、威胁IP、威胁DNS等传输来源的拦截，例如可以阻止威胁邮箱联系人发送的邮件。

可以理解，上述通过所述防火墙规则实现对于所述传输来源的拦截只是作为可选实施例，实际上，本领域技术人员对于具体的拦截处理方式不加以限制，例如对于威胁病毒特征而言，还可以通过病毒特征库进行威胁病毒特征的拦截处理等等，可以理解，实现对于传输来源的拦截的任意拦截处理方式均在本发明实施例的保护范围之内。

在本发明的一种可选实施例中，上述对所述待分析文件传输事件的信息进行分析的步骤506，可以包括：依据所述待分析文件传输事件的终端信息，得到所述异常文件对应的受影响用户终端。由于待分析文件传输事件是与异常文件相应的，故依据待分析文件传输事件的终端信息可以得到异常文件对应的受影响用户终端。在本发明的一种应用示例中，假设异常文件为“采购表.doc”，其在局域网内的第一个文件传输事件是通过邮箱的邮件附件传输的，假设第一个文件传输事件的用户1进一步通过IM方式产生了第二个文件传输事件，并将该异常文件发送给了用户2，用户2进一步通过邮箱的邮件附件产生了第三个文件传输事件，并将该异常文件发送给了用户3…进一步，用户1、用户2和用户3还触发了其他文件传输事件，假设文件传输事件的数量为N，N为正整数，则本发明实施例可以认为该N个文件传输事件对应的终端均为受影响终端。

在本发明的另一种可选实施例中，本实施例的方法还可以包括：对所述受影响用户终端进行预警处理。例如，上述预警处理可以向存储上述异常文件的用户终端发送第一通知消息，对存储上述异常文件的U盘发送第二通知消息等，以实现对于传播路径的封堵。

在本发明的再一种可选实施例中，本实施例的方法还可以包括：对所述受影响用户终端进行修复处理。可选地，上述修复处理可以：召回已经传输的异常文件，例如，可以对通过邮件附件传输的异常文件进行召回等等。

在本发明的又一种可选实施例中，对所述受影响用户终端进行修复处理对应的修复方式，可以包括：

修复方式1、在单个受影响用户终端上查杀所述异常文件对应的进程，若查杀成功，则在所有受影响用户终端上查杀所述异常文件对应的进程；或者

修复方式2、在单个受影响用户终端上查杀所述异常文件对应的进程，若查杀失败，则针对各受影响用户终端进行数据备份后，更新各受影响用户终端的操作系统。

其中，修复方式1可以尝试在单个受影响用户终端上查杀所述异常文件对应的进程，并根据查杀结果判断是否能够实现异常文件对应的进程的隔离，若是，则认为查杀成功，故可以在所有受影响用户终端上同步上述异常文件对应的进程的查杀操作。

修复方式2则适用于查杀失败的情形，具体地，可以针对各受影响用户终端进行数据备份后，更新各受影响用户终端的操作系统；例如，可以将受影响用户终端的用户数据拷贝至非系统盘或者安全的移动设备，并在受影响用户终端上重装系统。

需要说明的是，在执行上述修复方式1和/或修复方式2的过程中，可以通过前述步骤101向受影响用户终端下发相应的威胁处置任务。并且，在向受影响用户终端下发相应的威胁处置任务之后，若发现威胁处置任务对应的处置操作存在错误，则可以将存在错误的处置操作作为符合预置回滚条件的目标处置操作，并向对应的用户终端下发处理回滚任务，以使所述用户终端对所述处理回滚任务对应的目标处置操作进行回滚。

综上，本发明实施例的基于局域网的威胁处理方法，由于文件传输事件可用于表示用户终端侧文件的流转事件，用户终端侧的每个文件传输事件都被上报至服务器，故本发明实施例可以基于对与异常文件相关的待分析文件传输事件的信息的分析，得到异常文件对应的传输来源；因此，相对于传统的病毒特征库，本发明实施例能够通过用户终端上报的文件传输事件，更及时地检测出局域网的未知威胁和安全隐患，从而能够提高安全检测的及时性；进一步，能够尽早对所述异常文件对应的传输来源进行拦截处理，以实现对于异常文件的传播路径的封堵。

另外，本发明实施例能够通过用户终端上报的文件传输事件，更及时地检测出局域网内受异常文件影响的受影响用户终端，故能够尽早地实现对于上述受影响终端的修复处理，这样，不仅能够及时阻止异常文件对于用户终端的影响，而且能够在一定程度上有效保护用户终端的用户。

参照图6，示出了根据本发明一个实施例的一种基于局域网的威胁处理方法的步骤流程图，具体可以包括如下步骤：

步骤601、用户终端在操作系统启动完成后，捕获本地的系统快照，并向服务器上报上述系统快照；

步骤602、用户终端监测本地进程的进程行为，并向服务器上报监测得到的进程行为；

在实际应用中，在本地进程的进程行为发生变化时，可以触发进程行为的上报，可以理解，本发明实施例对于向服务器上报监测得到的进程行为的具体触发条件不加以限制。

步骤603、服务器在所述系统快照的基础上，依据上述进程行为建立所述用户终端在不同时刻的进程树；

步骤604、服务器针对所述进程树中各进程，建立其与进程启停行为和/或内存行为和/或变更行为之间的映射关系；

步骤605、服务器从所述进程树中获取符合预置进程行为模式的目标进程；

步骤606、服务器依据所述目标进程的进程行为，判断所述目标进程是否为威胁对象。

在本发明的一种可选实施例中，本实施例的方法还可以包括：

步骤607、用户终端对本地的文件传输事件进行监测，并向服务器上报监测到的文件传输事件及该文件传输事件的信息；

步骤608、服务器对用户终端上报的文件传输事件进行记录；

步骤609、若所述目标进程为威胁对象，则服务器获取所述目标进程所涉及的异常文件，并从预先获取的文件传输事件中获取与所述异常文件相应的待分析文件传输事件；

步骤610、服务器对所述待分析文件传输事件的信息进行分析，以得到所述异常文件对应的传输来源和/或受影响用户终端。

综上，本发明实施例的基于局域网的威胁处理方法，由于基于用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系的分析，获取符合预置进程行为模式的目标进程，并依据所述目标进程的进程行为，判断所述目标进程是否为威胁对象；因此，相对于传统的病毒特征库，本发明实施例能够通过不同时刻的进程树、所述进程树中各进程与进程行为之间的映射关系、以及表征进程行为的可疑行为模式或者恶意行为模式的预置行为模式，更及时地检测出局域网的未知威胁和安全隐患，从而能够提高安全检测的及时性，且能够实现病毒的有效预防。

并且，由于文件传输事件可用于表示用户终端侧文件的流转事件，用户终端侧的每个文件传输事件都被上报至服务器，故本发明实施例可以基于对与异常文件相关的待分析文件传输事件的信息的分析，得到异常文件对应的传输来源；因此，相对于传统的病毒特征库，本发明实施例能够通过用户终端上报的文件传输事件，更及时地检测出局域网的未知威胁和安全隐患，从而能够提高安全检测的及时性；进一步，能够尽早对所述异常文件对应的传输来源进行拦截处理，以实现对于异常文件的传播路径的封堵。

另外，本发明实施例能够通过用户终端上报的文件传输事件，更及时地检测出局域网内受异常文件影响的受影响用户终端，故能够尽早地实现对于上述受影响终端的修复处理，这样，不仅能够及时阻止异常文件对于用户终端的影响，而且能够在一定程度上有效保护用户终端的用户。

对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作并不一定是本发明实施例所必须的。

参照图7，示出了根据本发明一个实施例的一种基于局域网的威胁处理装置的结构框图，应用于服务器，具体可以包括如下模块：

第一任务下发模块701，用于向所述局域网内的用户终端下发威胁处置任务，以使所述用户终端对所述威胁处置任务对应的威胁对象进行处置操作；以及

第二任务下发模块702，用于针对符合预置回滚条件的目标处置操作，向对应的用户终端下发处理回滚任务，以使所述用户终端对所述处理回滚任务对应的目标处置操作进行回滚。

可选地，所述装置还可以包括：

进程行为接收模块，用于接收所述局域网内的用户终端上报的进程行为；

建立模块，用于依据所述进程行为，建立所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系；

目标进程获取模块，用于从所述进程树中获取符合预置进程行为模式的目标进程；以及

安全检测模块，用于依据所述目标进程的进程行为，判断所述目标进程是否为威胁对象。

上述进程行为接收模块、建立模块、建立模块和安全检测模块相互配合，用于检测局域网内的威胁对象。当然，本领域技术人员可以根据实际应用需求，采用其他方式检测局域网内的威胁对象，如通过五元组检测存在威胁的IP等，本发明实施例对于检测局域网内的威胁对象的具体方式不加以限制。

可选地，所述装置还可以包括：

快照接收模块，用于接收所述用户终端上报的在某时刻的系统快照；

则所述建立模块可以包括：

建立子模块，用于在所述系统快照的基础上，依据上述进程行为建立所述用户终端在不同时刻的进程树。

可选地，所述系统快照可以为所述用户终端在第一时刻的系统状态，所述进程行为可以包括：进程启停行为，则所述建立子模块可以包括：

进程树建立单元，用于依据所述第一时刻之后的进程启停行为，得到所述用户终端在第二时刻的进程树。

可选地，所述进程行为可以包括：进程启停行为和/或内存行为和/或变更行为，则所述建立模块可以包括：

映射建立子模块，用于针对所述进程树中各进程，建立其与进程启停行为和/或内存行为和/或变更行为之间的映射关系。

可选地，所述预置进程行为模式可以包括：

文件相关进程启动了非操作系统进程；和/或

进程变更文件系统中第一文件后，访问第二文件并加密。

可选地，所述安全检测模块可以包括：

第一判断子模块，用于针对所述目标进程发出相应的告警信息，以使管理员用户针对所述告警信息，依据所述目标进程的进程行为，判断所述目标进程是否为威胁对象；和/或

第二判断子模块，用于将所述目标进程、或者所述目标进程的子孙进程作为待分析进程，依据所述待分析进程的进程行为的执行参数，判断所述目标进程是否为威胁对象。

可选地，所述第二判断子模块可以包括：

第一执行参数检测单元，用于在所述执行参数包含的命令行脚本环境参数涉及脚本加密行为时，所述目标进程的安全性检测结果为不安全；和/或

第二执行参数检测单元，用于在所述执行参数包含的策略排除参数涉及绕过执行限制策略的行为时，所述目标进程的安全性检测结果为不安全。

可选地，所述装置还可以包括：

传输事件获取模块，用于在所述目标进程的安全性检测结果为不安全时，获取所述目标进程所涉及的异常文件，并从预先获取的文件传输事件中获取与所述异常文件相应的待分析文件传输事件；其中，所述文件传输事件为所述局域网内的用户终端上报的事件；

传输事件分析模块，用于对所述待分析文件传输事件的信息进行分析，以得到所述异常文件对应的传输来源和/或受影响用户终端。

可选地，所述传输事件分析模块可以包括：

第一传输事件分子模块，用于依据所述待分析文件传输事件的时间信息，从所述待分析文件传输事件中获取发生时间最早的目标文件传输事件，并依据所述目标文件传输事件的渠道信息，得到所述异常文件对应的传输来源；和/或

第二传输事件分子模块，用于依据所述待分析文件传输事件的终端信息，得到所述异常文件对应的受影响用户终端。

可选地，所述文件传输事件的信息可以包括如下信息中的至少一种：时间信息、渠道信息、文件信息、文件传输方向和终端信息。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

参照图8，示出了根据本发明一个实施例的一种基于局域网的威胁处理装置的结构框图，应用于用户终端，具体可以包括如下模块：

第一接收模块801，用于接收服务器下发的威胁处置任务；

处置操作模块802，用于对所述威胁处置任务对应的威胁对象进行处置操作；

第二接收模块803，用于接收服务器针对符合预置回滚条件的目标处置操作下发的处理回滚任务；以及

处置回滚模块804，用于对所述处理回滚任务对应的目标处置操作进行回滚。

可选地，所述装置还可以包括：

提示模块，用于在所述处理回滚模块对所述处理回滚任务对应的目标处置操作进行回滚之前，向用户发出所述处理回滚任务对应的目标处置操作的回滚提示信息；

则所述处置回滚模块804，具体用于依据用户对于所述回滚提示信息的确认操作，对所述处理回滚任务对应的目标处置操作进行回滚。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP，Digital Signal Process)来实现根据本发明实施例的基于局域网的威胁处理方法和装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网平台上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

本发明公开了A1、一种基于局域网的威胁处理方法，应用于服务器，包括：

向所述局域网内的用户终端下发威胁处置任务，以使所述用户终端对所述威胁处置任务对应的威胁对象进行处置操作；

针对符合预置回滚条件的目标处置操作，向对应的用户终端下发处理回滚任务，以使所述用户终端对所述处理回滚任务对应的目标处置操作进行回滚。

A2、如A1所述的方法，通过如下步骤检测所述威胁对象：

接收所述局域网内的用户终端上报的进程行为；

依据所述进程行为，建立所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系；

从所述进程树中获取符合预置进程行为模式的目标进程；

依据所述目标进程的进程行为，判断所述目标进程是否为威胁对象。

A3、如A2所述的方法，所述方法还包括：

接收所述用户终端上报的在某时刻的系统快照；

则所述依据所述进程行为，建立所述用户终端在不同时刻的进程树的步骤，包括：

在所述系统快照的基础上，依据上述进程行为建立所述用户终端在不同时刻的进程树。

A4、如A2所述的方法，所述进程行为包括：进程启停行为和/或内存行为和/或变更行为，则所述依据所述进程行为，建立所述进程树中各进程与进程行为之间的映射关系的步骤，包括：

针对所述进程树中各进程，建立其与进程启停行为和/或内存行为和/或变更行为之间的映射关系。

A5、如A2至A4中任一所述的方法，所述预置进程行为模式包括：

文件相关进程启动了非操作系统进程；和/或

进程变更文件系统中第一文件后，访问第二文件并加密。

A6、如A2至A4中任一所述的方法，所述依据所述目标进程的进程行为，判断所述目标进程是否为威胁对象的步骤，包括：

针对所述目标进程发出相应的告警信息，以使管理员用户针对所述告警信息，依据所述目标进程的进程行为，判断所述目标进程是否为威胁对象；和/或

将所述目标进程、或者所述目标进程的子孙进程作为待分析进程，依据所述待分析进程的进程行为的执行参数，判断所述目标进程是否为威胁对象。

A7、如A6所述的方法，所述依据所述待分析进程的进程行为的执行参数，判断所述目标进程是否为威胁对象的步骤，包括：

若所述执行参数包含的命令行脚本环境参数涉及脚本加密行为，则所述目标进程的安全性检测结果为不安全；和/或

若所述执行参数包含的策略排除参数涉及绕过执行限制策略的行为，则所述目标进程的安全性检测结果为不安全。

A8、如A2至A4中任一所述的方法，所述方法还包括：

若所述目标进程为威胁对象，则获取所述目标进程所涉及的异常文件，并从预先获取的文件传输事件中获取与所述异常文件相应的待分析文件传输事件；其中，所述文件传输事件为所述局域网内的用户终端上报的事件；

对所述待分析文件传输事件的信息进行分析，以得到所述异常文件对应的传输来源和/或受影响用户终端。

A9、如A8所述的方法，所述对所述待分析文件传输事件的信息进行分析的步骤，包括：

依据所述待分析文件传输事件的时间信息，从所述待分析文件传输事件中获取发生时间最早的目标文件传输事件，并依据所述目标文件传输事件的渠道信息，得到所述异常文件对应的传输来源；和/或

依据所述待分析文件传输事件的终端信息，得到所述异常文件对应的受影响用户终端。

A10、如A8所述的方法，所述文件传输事件的信息包括如下信息中的至少一种：时间信息、渠道信息、文件信息、文件传输方向和终端信息。

本发明公开了B11、一种基于局域网的威胁处理方法，应用于用户终端，包括：

接收服务器下发的威胁处置任务；

对所述威胁处置任务对应的威胁对象进行处置操作；

接收服务器针对符合预置回滚条件的目标处置操作下发的处理回滚任务；

对所述处理回滚任务对应的目标处置操作进行回滚。

B12、如B11所述的方法，在所述对所述处理回滚任务对应的目标处置操作进行回滚的步骤之前，所述方法还包括：

向用户发出所述处理回滚任务对应的目标处置操作的回滚提示信息；

依据用户对于所述回滚提示信息的确认操作，对所述处理回滚任务对应的目标处置操作进行回滚。

本发明公开了C13、一种基于局域网的威胁处理装置，应用于服务器，包括：

第一任务下发模块，用于向所述局域网内的用户终端下发威胁处置任务，以使所述用户终端对所述威胁处置任务对应的威胁对象进行处置操作；以及

第二任务下发模块，用于针对符合预置回滚条件的目标处置操作，向对应的用户终端下发处理回滚任务，以使所述用户终端对所述处理回滚任务对应的目标处置操作进行回滚。

C14、如C13所述的装置，所述装置还包括：

进程行为接收模块，用于接收所述局域网内的用户终端上报的进程行为；

建立模块，用于依据所述进程行为，建立所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系；

目标进程获取模块，用于从所述进程树中获取符合预置进程行为模式的目标进程；以及

安全检测模块，用于依据所述目标进程的进程行为，判断所述目标进程是否为威胁对象。

C15、如C14所述的装置，所述装置还包括：

快照接收模块，用于接收所述用户终端上报的在某时刻的系统快照；

则所述建立模块包括：

建立子模块，用于在所述系统快照的基础上，依据上述进程行为建立所述用户终端在不同时刻的进程树。

C16、如C14所述的装置，所述进程行为包括：进程启停行为和/或内存行为和/或变更行为，则所述建立模块包括：

映射建立子模块，用于针对所述进程树中各进程，建立其与进程启停行为和/或内存行为和/或变更行为之间的映射关系。

C17、如C14至C16中任一所述的装置，所述预置进程行为模式包括：

文件相关进程启动了非操作系统进程；和/或

进程变更文件系统中第一文件后，访问第二文件并加密。

C18、如C14至C16中任一所述的装置，所述安全检测模块包括：

第一判断子模块，用于针对所述目标进程发出相应的告警信息，以使管理员用户针对所述告警信息，依据所述目标进程的进程行为，判断所述目标进程是否为威胁对象；和/或

第二判断子模块，用于将所述目标进程、或者所述目标进程的子孙进程作为待分析进程，依据所述待分析进程的进程行为的执行参数，判断所述目标进程是否为威胁对象。

C19、如C18所述的装置，所述第二判断子模块包括：

第一执行参数检测单元，用于在所述执行参数包含的命令行脚本环境参数涉及脚本加密行为时，所述目标进程的安全性检测结果为不安全；和/或

第二执行参数检测单元，用于在所述执行参数包含的策略排除参数涉及绕过执行限制策略的行为时，所述目标进程的安全性检测结果为不安全。

C20、如C14至C16中任一所述的装置，所述装置还包括：

传输事件获取模块，用于在所述目标进程的安全性检测结果为不安全时，获取所述目标进程所涉及的异常文件，并从预先获取的文件传输事件中获取与所述异常文件相应的待分析文件传输事件；其中，所述文件传输事件为所述局域网内的用户终端上报的事件；

传输事件分析模块，用于对所述待分析文件传输事件的信息进行分析，以得到所述异常文件对应的传输来源和/或受影响用户终端。

C21、如C20所述的装置，所述传输事件分析模块包括：

第一传输事件分子模块，用于依据所述待分析文件传输事件的时间信息，从所述待分析文件传输事件中获取发生时间最早的目标文件传输事件，并依据所述目标文件传输事件的渠道信息，得到所述异常文件对应的传输来源；和/或

第二传输事件分子模块，用于依据所述待分析文件传输事件的终端信息，得到所述异常文件对应的受影响用户终端。

C22、如C20所述的装置，所述文件传输事件的信息包括如下信息中的至少一种：时间信息、渠道信息、文件信息、文件传输方向和终端信息。

本发明公开了D23、一种基于局域网的威胁处理装置，应用于用户终端，包括：

第一接收模块，用于接收服务器下发的威胁处置任务；

处置操作模块，用于对所述威胁处置任务对应的威胁对象进行处置操作；

第二接收模块，用于接收服务器针对符合预置回滚条件的目标处置操作下发的处理回滚任务；以及

处置回滚模块，用于对所述处理回滚任务对应的目标处置操作进行回滚。

D24、如D23所述的装置，所述装置还包括：

提示模块，用于在所述处理回滚模块对所述处理回滚任务对应的目标处置操作进行回滚之前，向用户发出所述处理回滚任务对应的目标处置操作的回滚提示信息；

则所述处置回滚模块，具体用于依据用户对于所述回滚提示信息的确认操作，对所述处理回滚任务对应的目标处置操作进行回滚。