1.一种基于局域网的威胁处理方法,应用于服务器,包括:
向所述局域网内的用户终端下发威胁处置任务,以使所述用户终端对所述威胁处置任务对应的威胁对象进行处置操作;
针对符合预置回滚条件的目标处置操作,向对应的用户终端下发处理回滚任务,以使所述用户终端对所述处理回滚任务对应的目标处置操作进行回滚。
2.如权利要求1所述的方法,其特征在于,通过如下步骤检测所述威胁对象:
接收所述局域网内的用户终端上报的进程行为;
依据所述进程行为,建立所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系;
从所述进程树中获取符合预置进程行为模式的目标进程;
依据所述目标进程的进程行为,判断所述目标进程是否为威胁对象。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:
接收所述用户终端上报的在某时刻的系统快照;
则所述依据所述进程行为,建立所述用户终端在不同时刻的进程树的步骤,包括:
在所述系统快照的基础上,依据上述进程行为建立所述用户终端在不同时刻的进程树。
4.如权利要求2所述的方法,其特征在于,所述进程行为包括:进程启停行为和/或内存行为和/或变更行为,则所述依据所述进程行为,建立所述进程树中各进程与进程行为之间的映射关系的步骤,包括:
针对所述进程树中各进程,建立其与进程启停行为和/或内存行为和/或变更行为之间的映射关系。
5.如权利要求2至4中任一所述的方法,其特征在于,所述预置进程行为模式包括:
文件相关进程启动了非操作系统进程;和/或
进程变更文件系统中第一文件后,访问第二文件并加密。
6.如权利要求2至4中任一所述的方法,其特征在于,所述依据所述目标进程的进程行为,判断所述目标进程是否为威胁对象的步骤,包括:
针对所述目标进程发出相应的告警信息,以使管理员用户针对所述告警信息,依据所述目标进程的进程行为,判断所述目标进程是否为威胁对象;和/或
将所述目标进程、或者所述目标进程的子孙进程作为待分析进程,依据所述待分析进程的进程行为的执行参数,判断所述目标进程是否为威胁对象。
7.如权利要求6所述的方法,其特征在于,所述依据所述待分析进程的进程行为的执行参数,判断所述目标进程是否为威胁对象的步骤,包括:
若所述执行参数包含的命令行脚本环境参数涉及脚本加密行为,则所述目标进程的安全性检测结果为不安全;和/或
若所述执行参数包含的策略排除参数涉及绕过执行限制策略的行为,则所述目标进程的安全性检测结果为不安全。
8.一种基于局域网的威胁处理方法,应用于用户终端,包括:
接收服务器下发的威胁处置任务;
对所述威胁处置任务对应的威胁对象进行处置操作;
接收服务器针对符合预置回滚条件的目标处置操作下发的处理回滚任务;
对所述处理回滚任务对应的目标处置操作进行回滚。
9.一种基于局域网的威胁处理装置,应用于服务器,包括:
第一任务下发模块,用于向所述局域网内的用户终端下发威胁处置任务,以使所述用户终端对所述威胁处置任务对应的威胁对象进行处置操作;以及
第二任务下发模块,用于针对符合预置回滚条件的目标处置操作,向对应的用户终端下发处理回滚任务,以使所述用户终端对所述处理回滚任务对应的目标处置操作进行回滚。
10.一种基于局域网的威胁处理装置,应用于用户终端,包括:
第一接收模块,用于接收服务器下发的威胁处置任务;
处置操作模块,用于对所述威胁处置任务对应的威胁对象进行处置操作;
第二接收模块,用于接收服务器针对符合预置回滚条件的目标处置操作下发的处理回滚任务;以及
处置回滚模块,用于对所述处理回滚任务对应的目标处置操作进行回滚。