一种基于局域网的安全检测方法和装置与流程

文档序号：11156184阅读：254来源：国知局

本发明涉及计算机安全技术领域，特别是涉及一种基于局域网的安全检测方法和一种基于局域网的安全检测装置。

背景技术：

随着互联网的迅速普及，局域网已成为企业发展中必不可少的一部分。然而，在为企业带来便利的同时，局域网也面临着各种各样的进攻和威胁，如机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵等。

现有基于局域网的安全检测方案大多通过在企业网内部的用户终端上分别安装杀毒软件客户端，由该杀毒软件客户端基于病毒特征库发现用户终端上的病毒数量和病毒危害程度。并且，现有方案可以通过如下过程实现病毒特征库的更新：企业网的管理员在检测到企业网中新出现的恶意程序后，可以将所述恶意程序作为病毒样本，分析得到该病毒样本的病毒特征，并将该病毒特征下发至用户终端，以实现对于用户终端侧病毒特征库的更新，进而实现对于新出现的恶意程序的查杀和隔离；其中，病毒特征就是从病毒体内不同位置提取的一系列字节，杀毒软件就是通过这些字节及位置信息来检验某个文件是否带有病毒的。

发明人在实施本发明的过程中发现，现有方案至少存在如下问题：由于病毒特征库相对于病毒具有一定的滞后性，特别是随着计算机运行速度的大幅度提升，等到检测到恶意程序时，往往已经给企业网带来了无法弥补的损失，因此，现有方案属于事后补救的范畴，因此无法有效保证企业网的安全性。

技术实现要素：

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于局域网的安全检测方法和一种基于局域网的安全检测装置。

依据本发明的一个方面，提供了一种基于局域网的安全检测方法，应用于服务器，包括：

依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列；

针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则。

根据本发明的另一方面，提供了一种基于局域网的安全检测方法，应用于用户终端，包括：

接收服务器下发的目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则；

对所述用户终端中的所述目标进程行为序列进行监测；

当监测到所述目标进程行为序列时，执行所述目标进程行为序列对应的威胁处理规则。

根据本发明的再一方面，提供了一种基于局域网的安全检测装置，应用于服务器，包括：

序列生成模块，用于依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列；以及

规则下发模块，用于针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则。

根据本发明的又一方面，提供了一种基于局域网的安全检测装置，应用于用户终端，包括：

接收模块，用于接收服务器下发的目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则；

监测模块，用于对所述用户终端中的所述目标进程行为序列进行监测；以及

规则执行模块，用于当监测到所述目标进程行为序列时，执行所述目标进程行为序列对应的威胁处理规则。

根据本发明实施例的一种基于局域网的安全检测方法和装置，由于上述进程行为序列可用于表示预设时间段内按照时间先后顺序记录的连续性的进程行为，故通过实时分析某进程行为序列，可以判断该进程行为序列是否存在恶意行为或者疑似恶意行为；因此，相对于传统的病毒特征库是基于被病毒感染的病毒样本得到的、而病毒样本的发现需要一个较长的过程，本发明实施例能够基于进程行为序列更及时地检测出局域网的未知威胁和安全隐患，从而能够提高安全检测的及时性，且能够实现病毒的有效预防。

并且，本发明实施例针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则，由用户终端执行上述威胁处理规则；相对于传统的病毒特征库从病毒样本中提取病毒特征的方式，本发明实施例可以通过上述威胁处理规则针对目标进程行为序列实现更及时更有效的的威胁处理，因此可以提高局域网的安全性。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文可选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出可选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程示意图；

图2示出了根据本发明一个实施例的一种进程树的结构示意图；

图3示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程示意图；

图4示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程示意图；

图5示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程示意图；

图6示出了根据本发明一个实施例的一种基于局域网的安全检测装置的结构示意；以及

图7示出了根据本发明一个实施例的一种基于局域网的安全检测装置的结构示意。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

参照图1，示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程图，应用于服务器，具体可以包括如下步骤：

步骤101、依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列；

步骤102、针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则。

本发明实施例可以应用于企业网、政府网、校园网等局域网中；在上述局域网中，所述服务器是指局域网内用于控制其它用户终端进行安全检测的设备，所述用户终端是指局域网内响应服务器的控制指令，与服务器进行数据交互的终端。在实际应用中，可以在服务器部署服务器代理模块，在用户终端部署软件客户端模块，以类似C/S(客户端/服务器，Client/Server)的架构，实现局域网内服务器对用户终端的控制功能，以及，用户终端的控制响应及通信功能。其中，上述服务器和上述用户终端之间可以通过标准协议或者私有协议进行通信，其中，私有协议具有封闭性和安全性高的优点；可以理解，本发明实施例对于服务器与用户终端之间的具体通信方式不加以限制。

在实际应用中，服务器的用户可以是网络管理员等具有一定的网络安全知识的高级用户，因此，服务器的用户可以根据局域网的当前安全需求和实际情况，灵活地设置相应的控制指令。

本发明实施例中，一种第一控制指令可用于指示用户终端向服务器上报进程行为，则用户终端在接收到该第一控制指令后，可以对本地进程的进程行为进行监测，并向服务器上报监测到的进程行为。可选地，本发明实施例可以在不影响用户对于用户终端的正常使用的情况下，捕获并上报用户终端的进程行为，故可以不影响用户的使用体验。

可选地，上述进程行为可以包括但不限于：进程启停行为、内存行为以及变更行为中的至少一种。其中，上述内存行为可以包括：进程注入行为、文件访问行为、以及网络连接行为；上述网络连接行为可以包括：URL(统一资源定位符，Uniform Resource Locator)访问行为、IP(网络之间互联的协议，Internet Protocol)访问、端口访问、以及DNS(域名系统，Domain Name System)访问等行为中的至少一种。上述变更行为可以包括：系统变更行为(注册表的创建、删除和修改)、账户变更(账户的创建、账户权限的变更)行为、以及文件变更行为。可以理解，本发明实施例对于具体的进程行为不加以限制。

在接收到各用户终端上报的进程行为后，服务器可以对接收的进程行为的信息进行记录。可选地，进程行为的信息可以包括但不限于：进程的信息、进程行为的执行参数等字段的信息。

在实际应用中，步骤101可以依据用户终端上报的进程行为，得到对应的进程行为序列，该进程行为序列可用于表示预设时间段内按照时间先后顺序记录的连续性的进程行为。可选地，该预设时间段可以起始于用户终端的开机启动等任意时刻，止于进程行为发生变化、或者用户终端的关机等任意时刻，可以理解，本发明实施例对于具体的预设时间段不加以限制。

在本发明的一种可选实施例中，可以通过进程树来描述上述进程行为序列，相应地，上述依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列的步骤101，可以包括：依据所述局域网内的用户终端上报的进程行为，建立所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系；依据所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系，得到对应的进程行为序列。

进程树是一种用户终端上进程之间的关系，其通常由父进程和子进程两部分组成。一些程序进程运行后，会创建或调用其他进程，这样就组成了一个进程树。参照图2，示出了本发明的一种进程树的结构示意图，其中，节点A的子节点B和C是节点A创建或调用的子进程，作为父进程，节点B和节点C又分别创建或调用了各自的子进程D、E、以及F和G。进程树中各进程的信息可以包括：进程名称、进程对应程序的特征值、以及进程的父进程等等，可以理解，本发明实施例对于进程树中各进程的具体信息不加以限制。在实际应用中，进程树中各节点的名称可以与各进程的进程名称相同或者不同，本发明实施例主要以进程树中各节点的名称可以与各进程的进程名称相同为例进行说明。

在本发明的一种可选实施例中，可以依据行程行为所包括的进程启停行为，建议上述用户终端在不同时刻的进程树。可选地，进程启停行为可以包括：各进程的启动时间、停止时间、以及各进程创建或调用的进程等信息，这样，可以依据进程启停行为获得进程树中的各节点。例如，进程A、进程B和进程C的启动时间分别为时刻1、时刻2和时刻3，假设进程A为系统中第一个进程，则可以得到进程树中的根节点A，假设进程A创建或调用了进程B和进程C，则可以得到根节点A的子节点B和C，按照上述流程可以得到图4所示的进程树。需要说明的是，进程树可以随着进程启停行为的变化而变化，由此可以得到用户终端在不同时刻的进程树，并且，通过对前后时刻的进程树进行对比，可以得到进程启停行为的变化。

在本发明的另一种可选实施例中，本实施例的方法还可以包括：接收所述用户终端上报的在某时刻的系统快照；则所述依据所述进程行为，建立所述用户终端在不同时刻的进程树的步骤，可以包括：在所述系统快照的基础上，依据上述进程行为建立所述用户终端在不同时刻的进程树。本发明实施例中，系统快照可用于表示用户终端某时刻T的系统状态，该系统状态可以包括：某时刻T系统包含的进程及其行为、注册表、文件等状态，可以认为，该系统快照可以包含某时刻T的进程树，故本发明实施例在所述系统快照的基础上，依据上述进程行为建立所述用户终端在不同时刻的进程树，能够减少进程树的建立所需的运算量，提高进程树的建立效率。

在本发明的再一种可选实施例中，所述系统快照可以为所述用户终端在第一时刻T1的系统状态，所述进程行为可以包括：进程启停行为，则所述在所述系统快照的基础上，依据上述进程行为建立所述用户终端在不同时刻的进程树的步骤，可以包括：依据所述第一时刻T1之后的进程启停行为，得到所述用户终端在第二时刻T2的进程树。其中，T2晚于T1，也即，可以在上述系统快照对应进程树1的基础上，添加或者删除节点，以得到T2时刻的进程树。可选地，T1可以为操作系统启动完成后的任意时刻，例如，操作系统启动完成的时刻为T0，在T1为T0的下一时刻；当然，本发明实施例对于具体的T1不加以限制。

在本发明的一种可选实施例中，所述进程行为可以包括：进程启停行为和/或内存行为和/或变更行为等进程启动后产生的一系列行为，则所述依据所述进程行为，建立所述进程树中各进程与进程行为之间的映射关系的步骤，可以包括：针对所述进程树中各进程，建立其与进程启停行为和/或内存行为和/或变更行为之间的映射关系。

由于步骤101得到的该进程行为序列可用于表示预设时间段内按照时间先后顺序记录的连续性的进程行为，故通过分析某进程行为序列，可以判断该进程行为序列是否存在恶意行为或者疑似恶意行为，若是，则可以将该进程行为序列作为目标进程行为序列。

本发明实施例可以提供存在恶意行为或者疑似恶意行为的目标进程行为序列的如下获取方案：

获取方案1、判断所述进程行为序列是否符合预置的威胁情报规则，若是，则将所述进程行为序列作为存在恶意行为的目标进程行为序列。

获取方案1可以利用预置的威胁情报规则获取存在恶意行为的目标进程行为序列，该预置的威胁情报规则可以定义有预置的恶意对象，故可以将上述进程行为序列包含的进程对象与预置的恶意对象进行匹配，若匹配成功，则可以将所述进程行为序列作为存在恶意行为的目标进程行为序列。可选地，上述恶意对象可以包括：恶意进程、恶意URL、恶意DNS、恶意IP等。

获取方案2、从所述进程行为序列对应进程中获取符合预置进程行为模式的目标进程，并依据所述目标进程的进程行为序列，判断所述进程行为序列是否存在恶意行为或者疑似恶意行为。

预置行为模式可用于表示进程行为的可疑行为模式或者恶意行为模式。在实际应用中，本领域技术人员可以根据实际应用需求确定所需的任意预置行为模式。在本发明的一种可选实施例中，上述预置行为模式可以为，文件相关进程启动了非操作系统进程，例如winword进程启动了非微软的子进程，其中，winword进程为文件相关进程。在本发明的另一种可选实施例中，上述预置行为模式可以为，进程变更文件系统中第一文件后，访问第二文件并加密。例如，进程变更MFT(大文件传输，Managed File Transfer)中的文件后，快速访问办公文档；该预置行为模式属于恶意进程勒索软件的行为，该恶意进程首先删除MFT中的文件记录，以使文件记录无法恢复，然后开始寻找文档并进行加密。

在实际应用中，可以对进程树中各进程进行遍历，并针对遍历得到的当前进程，从上述映射关系中得到对应的当前进程行为，并判断该当前行为模式是否符合预置行为模式，可以理解，本发明实施例对于从所述进程树中获取符合预置进程行为模式的目标进程的具体过程不加以限制。

本发明实施例可以提供依据依据所述目标进程的进程行为序列，判断所述进程行为序列是否存在恶意行为或者疑似恶意行为的如下判断方式；

判断方式1、针对所述目标进程发出相应的告警信息，以使管理员用户针对所述告警信息，依据所述目标进程的进程行为序列，判断所述进程行为序列是否存在恶意行为或者疑似恶意行为；和/或

判断方式2、将所述目标进程、或者所述目标进程的子孙进程作为待分析进程，依据所述待分析进程的进程行为的执行参数，判断所述进程行为序列是否存在恶意行为或者疑似恶意行为。

其中，判断方式1可以针对所述目标进程发出相应的告警信息，以使管理员用户接收所述告警信息，并通过人工方式判断目标进程的进程行为序列是否存在恶意行为或者疑似恶意行为。例如，可以通过人工方式对进程行为进行分析，并依据分析结果判断所述目标进程的进程行为序列是否存在恶意行为或者疑似恶意行为，相应的分析过程可以包括：行为行为的执行参数等特定字段的排除和统计操作等。

判断方式2可将所述目标进程、或者所述目标进程的子孙进程作为待分析进程，则所述待分析进程的进程行为的执行参数可以表明目标进程执行了产生了哪些行为，或者目标进程的子孙进程产生了哪些行为，这样，可以依据上述执行参数判断目标进程的进程行为序列是否存在恶意行为或者疑似恶意行为。

在本发明的一种可选实施例中，所述依据所述待分析进程的进程行为的执行参数，目标进程的进程行为序列是否存在恶意行为或者疑似恶意行为的步骤，可以包括：

若所述执行参数包含的命令行脚本环境参数涉及脚本加密行为，则判定目标进程的进程行为序列存在恶意行为或者疑似恶意行为；和/或

若所述执行参数包含的策略排除参数涉及绕过执行限制策略的行为，则判定目标进程的进程行为序列存在恶意行为或者疑似恶意行为。

其中，powershell可以为命令行脚本环境参数的一种示例，若powershell的运行参数中包括例如enc的参数的脚本加密行为，可以认为目标进程的进程行为序列存在恶意行为或者疑似恶意行为。

Excludepolicy可以为策略排除参数的一种示例，若Excludepolicy涉及绕过执行限制策略的行为，则可以认为目标进程的进程行为序列存在恶意行为或者疑似恶意行为。其中，执行限制策略是一个组策略，在开启限制的情况下，可以防止通过powershell执行命令，然而有很多方法可以绕过执行上述执行限制策略，这让恶意进程有机可乘。本发明实施例在依据所述待分析进程的进程行为的待分析执行参数，目标进程的进程行为序列是否存在恶意行为或者疑似恶意行为的过程中，可以执行待分析进程的进程行为的待分析执行参数，在执行限制策略开启限制的情况下，若执行上述待分析参数则会发出相应的提示信息，而本发明实施例可以通过EDR(端点检测响应，endpoint detection and response)单元捕获上述提示信息，若捕获成功，可以认为，Excludepolicy涉及绕过执行限制策略的行为，进一步认为，目标进程的进程行为序列存在恶意行为或者疑似恶意行为。

可以理解，上述执行参数包含的命令行脚本环境参数涉及脚本加密行为和执行参数包含的策略排除参数涉及绕过执行限制策略的行为对应的检测过程只是作为本发明的可选实施例，实际上，本领域技术人员还可以根据实际应用需求，对执行参数包含的其他行为进行检测，本发明实施例对于依据所述待分析进程的进程行为的执行参数，检测所述目标进程的安全性的具体过程不加以限制。

获取方案3、利用决策树(Decision Tree)对所述进程行为序列进行分类，若所述决策树输出的分类结果为恶意，则依据用户的第一指令，将所述进程行为序列作为存在恶意行为的目标进程行为序列，或者，依据用户的第二指令，将所述进程行为序列作为存在疑似恶意行为的目标进程行为序列。

决策树是一种树形结构，其中每个内部节点表示一个属性上的测试，每个分支代表一个测试输出，每个叶节点代表一种类别。在通过机器学习方式来实现决策树时，决策树能够对新出现的对象给出正确的分类，具体到本发明实施例，决策树输出的分类结果可以包括：恶意和非恶意。

在本发明的一种可选实施例中，决策树可用于描述至少一种属性与分类结果之间的映射关系，则对应的训练数据集可以包括各属性的属性值，以及样本的正确分类结果。可以理解，本领域技术人员可以根据实际应用需求，在决策树上添加能够影响分类结果的属性，可选地，决策树的属性可以包括：获取方案1所采用的进程对象、或者获取方案2所采用的行为模式或者执行参数等，可以理解，本发明实施例对于决策树所包含的具体属性不加以限制。

本发明实施例中，为了保证目标进程行为序列的获取精度，用户可以对决策树输出的分类结果进行进一步判断，具体地，在所述决策树输出的分类结果为恶意时，若用户确认该分类结果，则可以触发第一指令，以将所述进程行为序列作为存在恶意行为的目标进程行为序列；或者，在所述决策树输出的分类结果为恶意时，若用户对该分类结果存在异议，则可以触发第二指令，以将所述进程行为序列作为存在疑似恶意行为的目标进程行为序列。

综上，本发明实施例中，对于存在恶意行为的目标进程行为序列，其安全性已经被确定为恶意行为；对于存在疑似恶意行为的目标进程行为序列，其安全性还被确定，还需要进一步监测其行为，以判断其安全性。

在实际应用中，步骤102可以依据目标进程行为序列的安全性，确定对应的威胁处理规则，并向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则，以使用户终端针对目标进程行为序列执行对应的威胁处理规则，以实现对于目标进程行为序列的及时处理。

在本发明的一种可选实施例中，所述威胁处理规则可以包括：威胁遏制规则，和/或，附加监测规则；其中，所述威胁遏制规则用于杀掉所述目标进程行为序列对应的目标进程，所述附加监测规则用于附加采集所述目标进程行为序列对应目标进程的详情信息。其中，相对于步骤101的进程行为用于描述进程的粗略信息，上述详情信息可用于描述进程的详情信息，故可以作为判断目标进程行为序列的安全性的有效依据。可选地，上述详情信息可以包括：进程入口点信息、进程内存信息等信息，例如，该进程内容信息可以包括：进程的Dump(转存)文件，Dump文件是进程的内存镜像，在实际应用中，可以通过调试器把内存中运行的进程的数据，从内存中抓取出来，然后保存到Dump文件中，也即，Dump文件可用于保存进程的执行状态。

可选地，存在恶意行为的目标进程行为序列对应的威胁处理规则可以为威胁遏制规则，存在疑似恶意行为的目标进程行为序列对应的威胁处理规则可以为附加监测规则，或者，存在恶意行为的目标进程行为序列对应的威胁处理规则也可以为附加监测规则，可以理解，本领域技术人员可以根据依据目标进程行为序列的安全性，确定对应的任意威胁处理规则，可以理解，本发明实施例对于目标进程行为序列对应的具体威胁处理规则不加以限制。

在本发明的另一种可选实施例中，所述威胁处理规则可以包括：附加监测规则，则所述方法还可以包括：

接收所述用户终端依据所述附加监测规则上报的、所述目标进程行为序列对应目标进程的详情信息；

依据所述目标进程的详情信息，判断所述目标进程行为序列是否存在恶意行为；

当判定所述目标进程行为序列不存在恶意行为时，在决策树中添加所述附加监测规则对应的属性；或者，当判定所述目标进程行为序列存在恶意行为时，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁遏制规则。

由于上述详情信息可用于描述进程的详情信息，故可以作为判断目标进程行为序列的安全性的有效依据，从而可以依据所述目标进程的详情信息，判断所述目标进程行为序列是否存在恶意行为，本发明实施例对于具体的判断过程不加以限制。

本发明实施例中，对于存在恶意行为或者疑似恶意行为的目标进程行为序列，其可能被决策树分类为恶意，故本发明实施例在依据所述目标进程的详情信息，得到更为精确的判断结果后，若该判断结果为非恶意也即不存在恶意行为，可以在决策树中添加所述附加监测规则对应的属性，以提高决策树的分类结果的精确性。通过本发明实施例的附加监测规则，可以使决策树越来越复杂和准确。

当判定所述目标进程行为序列存在恶意行为时，可以向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁遏制规则，以通过该威胁遏制规则杀掉所述目标进程行为序列对应的目标进程。

在本发明的一种应用示例中，假设某进程行为序列为“winword进程创建了子进程，该子进程没有微软签名”，若决策树针对该进程行为序列输出的分类结果为“恶意”，且管理员确认该分类结果，则可以将该进程行为序列作为存在威胁行为的目标进程行为，并向用户终端下发该进程进行序列及其对应的进程遏制规则，由用户终端执行该进程遏制规则，以实现对于存在恶意行为的目标进程行为序列的遏制。

或者，若管理员对该分类结果存在异议，则可以将该进程行为序列作为存在疑似威胁行为的目标进程行为，并向用户终端下发该进程进行序列及其对应的附加监测规则，由用户终端执行该附加监测规则，并向服务器上报对应目标进程的详情信息；在接收到目标进程的详情信息后，若通过分析该详情信息确认winword进程的子进程的签名为Adobe(奥多比)的签名，而Adobe的签名为合法的签名，故可以确认该进程行为序列不存在威胁行为，故可以在决策树中添加所述附加监测规则对应的属性，以提高决策树的分类结果的精确性。

需要说明的是，本发明实施例中威胁处理规则的下发与传统病毒库中病毒特征的下发为不同的思路：传统病毒库是在发现被感染的病毒样本后，通过分析病毒样本从中提取病毒特征，也即，传统病毒库是从底层细节开始分析的过程；而本发明实施例的威胁处理规则的处理为由上至下的处理过程，即根据进程行为序列确定存在恶意行为或者疑似恶意行为的目标进程行为序列，并向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则，本发明实施例的威胁处理规则针对的是进程行为序列而非病毒样本。

综上，本发明实施例的基于局域网的安全检测方法，由于上述进程行为序列可用于表示预设时间段内按照时间先后顺序记录的连续性的进程行为，故通过实时分析某进程行为序列，可以判断该进程行为序列是否存在恶意行为或者疑似恶意行为；因此，相对于传统的病毒特征库是基于被病毒感染的病毒样本得到的、而病毒样本的发现需要一个较长的过程，本发明实施例能够基于进程行为序列更及时地检测出局域网的未知威胁和安全隐患，从而能够提高安全检测的及时性，且能够实现病毒的有效预防。

另外，在实际应用中，上述威胁处理规则可以包括：威胁遏制规则，和/或，附加监测规则；其中，所述威胁遏制规则用于杀掉所述目标进程行为序列对应的目标进程，以实现对于恶意进程的遏制；所述附加监测规则用于附加采集所述目标进程行为序列对应目标进程的详情信息，上述详情信息可用于描述进程的详情信息，故可以作为判断目标进程行为序列的安全性的有效依据，进而能够提高恶意进程的判断结果的准确度。

参照图3，示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程图，应用于用户终端，具体可以包括如下步骤：

步骤301、接收服务器下发的目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则；

步骤302、对所述用户终端中的所述目标进程行为序列进行监测；

步骤303、当监测到所述目标进程行为序列时，执行所述目标进程行为序列对应的威胁处理规则。

在实际应用中，用户终端可以针对上述目标进程行为序列设置相应的监测点，以对所述用户终端中的所述目标进程行为序列进行监测。例如，目标进程行为序列为“winword进程创建了子进程，该子进程没有微软签名”，则对应的监测点可以为“winword进程的启动”、或者“winword进程创建子进程”等事件，可以理解，本发明实施例对于对所述用户终端中的所述目标进程行为序列进行监测的具体过程不加以限制。

在本发明的一种可选实施例中，所述威胁处理规则可以包括：威胁遏制规则，则所述执行所述目标进程行为序列对应的威胁处理规则的步骤303，可以包括：当监测到所述目标进程行为序列时，依据所述威胁遏制规则杀掉所述目标进程行为序列对应的目标进程。例如，目标进程行为序列为“winword进程创建了子进程，该子进程没有微软签名”，则对应的目标进程可以为“winword进程的没有微软签名的子进程”。可选地，服务器在下发的威胁遏制规则可以同时包含目标进程的信息，可以理解，本发明实施例对于目标进程的具体获取方式不加以限制。

在本发明的另一种可选实施例中，所述威胁处理规则可以包括：附加监测规则，则所述执行所述目标进程行为序列对应的威胁处理规则的步骤303，可以包括：当监测到所述目标进程行为序列时，附加采集所述目标进程行为序列对应目标进程的详情信息；向所述服务器上报所述目标进程的详情信息。

相对于进程行为用于描述进程的粗略信息，上述详情信息可用于描述进程的详情信息，故可以作为判断目标进程行为序列的安全性的有效依据。可选地，上述详情信息可以包括：进程入口点信息、进程内存信息等信息，例如，该进程内容信息可以包括：进程的Dump文件。

综上，本发明实施例的基于局域网的安全检测方法，针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则，由用户终端执行上述威胁处理规则；相对于传统的病毒特征库从病毒样本中提取病毒特征的方式，本发明实施例可以通过上述威胁处理规则针对目标进程行为序列实现更及时更有效的的威胁处理，因此可以提高局域网的安全性。

参照图4，示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程图，具体可以包括如下步骤：

步骤401、用户终端在操作系统启动完成后，监测本地进程的进程行为，并向服务器上报监测得到的进程行为；

在实际应用中，在本地进程的进程行为发生变化时，可以触发进程行为的上报，可以理解，本发明实施例对于向服务器上报监测得到的进程行为的具体触发条件不加以限制。

步骤402、服务器依据上述进程行为，得到预设时间段内按照时间先后顺序记录的连续性的进程行为，作为进程行为序列；

在实际应用中，针对同一用户终端的不同预设时间段，可以得到不同的进程行为序列；或者，针对不同用户终端，可以得到不同的进程行为序列，本发明实施例可以针对不同的进程行为序列进行安全性的检测。

步骤403、服务器检测各进程行为序列的安全性，对应的安全性检测结果可以包括：存在恶意行为、疑似存在恶意行为、或者不存在恶意行为；

步骤404、服务器针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则；

步骤405、用户终端依据所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则，对所述用户终端中的所述目标进程行为序列进行监测；

步骤406、用户终端当监测到所述目标进程行为序列时，执行所述目标进程行为序列对应的威胁处理规则。

在实际应用中，上述威胁处理规则可以包括：威胁遏制规则，和/或，附加监测规则；其中，所述威胁遏制规则用于杀掉所述目标进程行为序列对应的目标进程，以实现对于恶意进程的遏制；所述附加监测规则用于附加采集所述目标进程行为序列对应目标进程的详情信息，上述详情信息可用于描述进程的详情信息，故可以作为判断目标进程行为序列的安全性的有效依据，也即可以对步骤403得到的安全性检测结果进行修正，进而能够提高恶意进程的判断结果的准确度。例如，若步骤403通过决策树得到对应的安全性检测结果，则当判定所述目标进程行为序列不存在恶意行为时，可以在决策树中添加所述附加监测规则对应的属性。

参照图5，示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程图，应用于服务器，具体可以包括如下步骤：

步骤501、依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列；

步骤502、针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则；

相对于图1所示方法实施例，本实施例的方法还可以包括：

步骤503、针对存在恶意行为或者疑似恶意行为的目标进程行为序列，获取其涉及的异常文件，并从预先获取的文件传输事件中获取与所述异常文件相应的待分析文件传输事件；其中，所述文件传输事件为所述局域网内的用户终端上报的事件；

步骤504、对所述待分析文件传输事件的信息进行分析，以得到所述异常文件对应的传输来源和/或受影响用户终端。

本发明实施例中，一种第二控制指令可用于指示用户终端向服务器上报文件传输事件，则用户终端在接收到该第二控制指令后，可以对本地的文件传输事件进行监测，并向服务器上报监测到的文件传输事件。

本发明实施例中，文件传输事件可用于表示用户终端侧文件的流转事件，可选地，文件传输事件的信息可以包括如下信息中的至少一种：时间信息、渠道信息、文件信息、文件传输方向和终端信息。其中，时间信息可用于表示文件传输事件的发生时间；渠道信息可用于表示文件传输事件的通道，可选地，该渠道信息可以为文件传输事件对应的应用程序信息或者网站信息；文件信息可用于标识文件，可选地，该文件信息可以包括但不限于：文件名、文件路径、文件特征，例如，该文件特征可以为例如MD5(消息摘要算法第5版，Message Digest Algorithm5)的特征，可以理解，本发明实施例对于具体的文件特征不加以限制；文件传输方向可以包括：入方向或者出方向；终端信息可用于表示发生文件传输事件的用户终端的信息。

在本发明的一种应用示例中，上述文件传输事件可以包括：浏览器文件传输、IM(即时通讯，Instant Messaging)文件传输、邮件附件文件传输、U盘(USB闪存盘，USB flash disk)文件传输、以及下载工具文件传输中的至少一种。用户终端侧的每个文件传输事件都被上报至服务器，同时上报的可以包括：各文件传输事件的信息。

在接收到各用户终端上报的文件传输事件后，服务器可以对接收的文件传输事件的信息进行记录，需要说明的是，本发明实施例可以仅仅记录文件传输事件的例如文件名、文件路径、或者文件特征的文件信息；由于上述文件信息足以实现文件的文件传播路径的追踪，故本发明实施例可以在不保存文件的情况下实现对于文件传输事件的信息的记录，因此能够节省服务器的存储空间。

步骤503可以针对存在恶意行为或者疑似恶意行为的目标进程行为序列，获取其涉及的异常文件。例如，目标进程行为序列为“winword进程创建了子进程，该子进程没有微软签名”，则“winword进程的没有微软签名的子进程”对应的文件可以为异常文件。

在获取异常文件的信息后，步骤503可以从预先获取的文件传输事件中获取与异常文件相应的待分析文件传输事件，具体地，可以将异常文件的信息与各文件传输事件的信息进行匹配，若匹配成功，则将匹配成功的文件传输事件作为待分析文件传输事件。。例如，可以将异常文件的文件特征与文件传输事件的文件特征进行匹配等等，可以理解，本发明实施例对于从预先获取的文件传输事件中获取与异常文件相应的待分析文件传输事件的具体过程不加以限制。

步骤504可以对步骤503得到的待分析文件传输事件的信息进行分析，以得到所述异常文件对应的传输来源和/或受影响用户终端。

由于文件传输事件可用于表示用户终端侧文件的流转事件，用户终端侧的每个文件传输事件都被上报至服务器，故本发明实施例可以基于对与异常文件相关的待分析文件传输事件的信息的分析，得到异常文件对应的传输来源；因此，相对于传统的病毒特征库，本发明实施例能够通过用户终端上报的文件传输事件，更及时地检测出局域网的未知威胁和安全隐患，从而能够提高安全检测的及时性；进一步，能够尽早对所述异常文件对应的传输来源进行拦截处理，以实现对于异常文件的传播路径的封堵。

另外，本发明实施例能够通过用户终端上报的文件传输事件，更及时地检测出局域网内受异常文件影响的受影响用户终端，故能够尽早地实现对于上述受影响终端的修复处理，这样，不仅能够及时阻止异常文件对于用户终端的影响，而且能够在一定程度上有效保护用户终端的用户。

在本发明的一种可选实施例中，上述对所述待分析文件传输事件的信息进行分析的步骤504，可以包括：依据所述待分析文件传输事件的时间信息，从所述待分析文件传输事件中获取发生时间最早的目标文件传输事件，并依据所述目标文件传输事件的渠道信息，得到所述异常文件对应的传输来源。由于时间信息可用于表示文件传输事件的发生时间，故可以依据各分析文件传输事件的时间信息，从多个待分析文件传输事件中获取发生时间最早的目标文件传输事件，作为传播来源对应的文件传输事件，进一步，可以依据目标文件传输事件的渠道信息，得到所述异常文件对应的传输来源。

在本发明的一种应用示例中，假设异常文件为“采购表.doc”，则可以依据该异常文件对应待分析文件传输文件的时间信息，获得其中发生时间最早的目标文件传输事件，该目标文件传输事件也即局域网内首次发生的与该异常文件有关的事件。例如，该异常文件的方向为入方向，该异常文件通过浏览器、邮箱、或者U盘等渠道进入了局域网，则可以依据上述渠道信息得到对应的传输来源。可选地，上述传输来源可以包括但不限于：威胁URL、威胁邮箱联系人、威胁IP、威胁DNS、或者分析得到的威胁病毒特征等。

在本发明的另一种可选实施例中，本实施例的方法还可以包括：对所述异常文件对应的传输来源进行拦截处理。对所述异常文件对应的传输来源进行拦截处理，可以实现对于异常文件的传播路径的封堵。

可选地，所述对所述异常文件对应的传输来源进行拦截处理的步骤，可以包括：针对所述异常文件对应的传输来源，设置相应的防火墙规则，以通过所述防火墙规则实现对于所述传输来源的拦截。例如，可以针对威胁URL、威胁邮箱联系人、威胁IP、威胁DNS等，设置对应的防火墙规则，以实现对于威胁URL、威胁邮箱联系人、威胁IP、威胁DNS等传输来源的拦截，例如可以阻止威胁邮箱联系人发送的邮件。

可以理解，上述通过所述防火墙规则实现对于所述传输来源的拦截只是作为可选实施例，实际上，本领域技术人员对于具体的拦截处理方式不加以限制，例如对于威胁病毒特征而言，还可以通过病毒特征库进行威胁病毒特征的拦截处理等等，可以理解，实现对于传输来源的拦截的任意拦截处理方式均在本发明实施例的保护范围之内。

在本发明的一种可选实施例中，上述对所述待分析文件传输事件的信息进行分析的步骤504，可以包括：依据所述待分析文件传输事件的终端信息，得到所述异常文件对应的受影响用户终端。由于待分析文件传输事件是与异常文件相应的，故依据待分析文件传输事件的终端信息可以得到异常文件对应的受影响用户终端。在本发明的一种应用示例中，假设异常文件为“采购表.doc”，其在局域网内的第一个文件传输事件是通过邮箱的邮件附件传输的，假设第一个文件传输事件的用户1进一步通过IM方式产生了第二个文件传输事件，并将该异常文件发送给了用户2，用户2进一步通过邮箱的邮件附件产生了第三个文件传输事件，并将该异常文件发送给了用户3…进一步，用户1、用户2和用户3还触发了其他文件传输事件，假设文件传输事件的数量为N，N为正整数，则本发明实施例可以认为该N个文件传输事件对应的终端均为受影响终端。

在本发明的另一种可选实施例中，本实施例的方法还可以包括：对所述受影响用户终端进行预警处理。例如，上述预警处理可以向存储上述异常文件的用户终端发送第一通知消息，对存储上述异常文件的U盘发送第二通知消息等，以实现对于传播路径的封堵。

在本发明的再一种可选实施例中，本实施例的方法还可以包括：对所述受影响用户终端进行威胁处理，相应的威胁处理过程可以包括：

向目标用户终端发送威胁处理指令，所述威胁处理指令用于指示所述目标用户终端针对所述目标进程行为序列对应的目标进程进行威胁处理；其中，所述目标用户终端为所述局域网内的部分受影响用户终端；

在针对所述目标进程进行第一威胁处理后，若所述目标用户终端未出现异常，则向全部受影响用户终端发送所述威胁处理指令，以在全部受影响用户终端上进行与所述目标用户终端相同的威胁处理。

本发明实施例中，威胁处理指令可用于指示目标用户终端针对目标进程进行威胁处理，该威胁处理指令可以携带目标进程的信息、以及威胁处理的信息，其中，目标进程的信息可以包括：目标进程的名称、PID(进程标识，progress identity)等消息，威胁处理的信息可以包括：威胁处理手段的信息，

由于本发明实施例在确保威胁处理不会导致目标用户终端出现异常的情况下，才会针对局域网内受到所述目标进程影响的全部用户终端，进行与所述目标用户终端相同的威胁处理，而上述目标终端为局域网内受到所述目标进程影响的部分用户终端，这样，本发明实施例能够将因威胁处理出现异常的用户终端范围控制至目标用户终端的范围内，因此能够有效避免局域网内受到所述目标进程影响的全部用户终端因上述威胁处理而出现异常，进而能够有效保证局域网内的大量用户终端的可用性。

在本发明的又一种可选实施例中，所述向目标用户终端发送威胁处理指令的步骤，可以包括：向目标用户终端发送第一威胁处理指令，所述第一威胁处理指令用于指示所述目标用户终端针对所述目标进程行为序列对应的目标进程进行第一威胁处理；在针对所述目标进程进行第一威胁处理后，若所述目标用户终端出现异常，则向目标用户终端发送第二威胁处理指令，所述第二威胁处理指令用于指示所述目标用户终端针对所述目标进程行为序列对应的目标进程进行第二威胁处理。

由于本发明实施例在针对局域网内的目标用户终端、针对目标进程进行威胁处理的过程中，可以针对目标进程进行反复的威胁处理，具体地，可以首先在所述目标用户终端上，针对目标进程进行第一威胁处理，在针对目标进程进行第一威胁处理后、若所述目标用户终端出现异常，则针对所述目标进程进行第二威胁处理；其中，上述第一威胁处理和第二威胁处理可以为不同的处理，由于本发明实施例可以通过对目标进程进行反复的威胁处理，故能够针对目标进程具备的顽固、再生能力强、插入系统进程中等特点，通过反复的威胁处理得到不会导致目标用户终端出现异常的威胁处理手段，因此能够成功实现目标用户终端的威胁处理，进而能够实现局域网内受到所述目标进程影响的全部用户终端的威胁处理。

可以理解，当在所述目标用户终端上针对所述威胁进程进行第二威胁处理后，若所述目标用户终端出现异常，则向目标用户终端发送第二威胁处理指令，所述第二威胁处理指令用于指示所述目标用户终端针对所述目标进程行为序列对应的目标进程进行第三威胁处理。

在本发明的一种可选实施例中，所述第一威胁处理可以包括：隔离处理，所述第二威胁处理可以包括：系统修复处理或者系统重装处理。也即，在对威胁进程进行隔离处理后，若所述目标用户终端出现异常，则可以在所述目标用户终端上对所述威胁进程进行系统修复处理或者系统重装处理。其中，上述隔离处理可用于威胁进程进行隔离，上述系统修复处理可用于修复受损的操作系统，上述系统重装系统可用于更新操作系统。

综上，本发明实施例的基于局域网的安全检测方法，由于文件传输事件可用于表示用户终端侧文件的流转事件，用户终端侧的每个文件传输事件都被上报至服务器，故本发明实施例可以基于对与异常文件相关的待分析文件传输事件的信息的分析，得到异常文件对应的传输来源；因此，相对于传统的病毒特征库，本发明实施例能够通过用户终端上报的文件传输事件，更及时地检测出局域网的未知威胁和安全隐患，从而能够提高安全检测的及时性；进一步，能够尽早对所述异常文件对应的传输来源进行拦截处理，以实现对于异常文件的传播路径的封堵。

并且，由于本发明实施例在确保威胁处理不会导致目标用户终端出现异常的情况下，才会针对局域网内受到所述目标进程影响的全部用户终端，进行与所述目标用户终端相同的威胁处理，而上述目标终端为局域网内受到所述目标进程影响的部分用户终端，这样，本发明实施例能够将因威胁处理出现异常的用户终端范围控制至目标用户终端的范围内，因此能够有效避免局域网内受到所述目标进程影响的全部用户终端因上述威胁处理而出现异常，进而能够有效保证局域网内的大量用户终端的可用性。

对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作并不一定是本发明实施例所必须的。

参照图6，示出了根据本发明一个实施例的一种基于局域网的安全检测装置的结构框图，该装置应用于服务器，具体可以包括如下模块：

序列生成模块601，用于依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列；以及

规则下发模块602，用于针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则。

可选地，所述威胁处理规则可以包括：威胁遏制规则，和/或，附加监测规则；其中，所述威胁遏制规则用于杀掉所述目标进程行为序列对应的目标进程，所述附加监测规则用于附加采集所述目标进程行为序列对应目标进程的详情信息。

可选地，所述威胁处理规则可以包括：附加监测规则，则所述装置还可以包括：

详情接收模块，用于接收所述用户终端依据所述附加监测规则上报的、所述目标进程行为序列对应目标进程的详情信息；

判断模块，用于依据所述目标进程的详情信息，判断所述目标进程行为序列是否存在恶意行为；

添加模块，用于当判定所述目标进程行为序列不存在恶意行为时，在决策树中添加所述附加监测规则对应的属性；或者，

遏制规则下发模块，用于当判定所述目标进程行为序列存在恶意行为时，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁遏制规则。

可选地，所述装置还可以包括：用于获取存在恶意行为或者疑似恶意行为的目标进程行为序列的目标序列获取模块；

所述目标序列获取模块可以包括：

第一判断子模块，用于判断所述进程行为序列是否符合预置的威胁情报规则，若是，则将所述进程行为序列作为存在恶意行为的目标进程行为序列；或者

第二判断子模块，用于从所述进程行为序列对应进程中获取符合预置进程行为模式的目标进程，并依据所述目标进程的进程行为序列，判断所述进程行为序列是否存在恶意行为或者疑似恶意行为；或者

分类子模块，用于利用决策树对所述进程行为序列进行分类，若所述决策树输出的分类结果为恶意，则依据用户的第一指令，将所述进程行为序列作为存在恶意行为的目标进程行为序列，或者，依据用户的第二指令，将所述进程行为序列作为存在疑似恶意行为的目标进程行为序列。

可选地，所述序列生成模块可以包括：

进程树建立子模块，用于依据所述局域网内的用户终端上报的进程行为，建立所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系；

进程树分析子模块，用于依据所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系，得到对应的进程行为序列。

可选地，所述装置还可以包括：

快照接收模块，用于接收所述用户终端上报的在某时刻的系统快照；

则所述进程树建立子模块可以包括：

建立单元，用于在所述系统快照的基础上，依据上述进程行为建立所述用户终端在不同时刻的进程树。

可选地，所述装置还可以包括：

事件获取模块，用于针对存在恶意行为或者疑似恶意行为的目标进程行为序列，获取其涉及的异常文件，并从预先获取的文件传输事件中获取与所述异常文件相应的待分析文件传输事件；其中，所述文件传输事件为所述局域网内的用户终端上报的事件；

事件分析模块，用于对所述待分析文件传输事件的信息进行分析，以得到所述异常文件对应的传输来源和/或受影响用户终端。

可选地，所述装置还可以包括：

第一指令发送模块，用于向目标用户终端发送威胁处理指令，所述威胁处理指令用于指示所述目标用户终端针对所述目标进程行为序列对应的目标进程进行威胁处理；其中，所述目标用户终端为所述局域网内的部分受影响用户终端；

第二指令发送模块，用于在针对所述目标进程进行第一威胁处理后，若所述目标用户终端未出现异常，则向全部受影响用户终端发送所述威胁处理指令，以在全部受影响用户终端上进行与所述目标用户终端相同的威胁处理。

可选地，所述第一指令发送模块可以包括：

第一处理指令发送子模块，用于向目标用户终端发送第一威胁处理指令，所述第一威胁处理指令用于指示所述目标用户终端针对所述目标进程行为序列对应的目标进程进行第一威胁处理；

第二处理指令发送子模块，用于在针对所述目标进程进行第一威胁处理后，若所述目标用户终端出现异常，则向目标用户终端发送第二威胁处理指令，所述第二威胁处理指令用于指示所述目标用户终端针对所述目标进程行为序列对应的目标进程进行第二威胁处理。

可选地，所述第一威胁处理可以包括：隔离处理，所述第二威胁处理可以包括：系统修复处理或者系统重装处理。

参照图7，示出了根据本发明一个实施例的一种基于局域网的安全检测装置的结构框图，该装置应用于用户终端，具体可以包括如下模块：

接收模块701，用于接收服务器下发的目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则；

监测模块702，用于对所述用户终端中的所述目标进程行为序列进行监测；以及

规则执行模块703，用于当监测到所述目标进程行为序列时，执行所述目标进程行为序列对应的威胁处理规则。

可选地，所述威胁处理规则可以包括：威胁遏制规则，则所述规则执行模块可以包括：

查杀子模块，用于当监测到所述目标进程行为序列时，依据所述威胁遏制规则杀掉所述目标进程行为序列对应的目标进程。

可选地，所述威胁处理规则可以包括：附加监测规则，则所述规则执行模块可以包括：

采集子模块，用于当监测到所述目标进程行为序列时，附加采集所述目标进程行为序列对应目标进程的详情信息；

上报子模块，用于向所述服务器上报所述目标进程的详情信息。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP，Digital Signal Process)来实现根据本发明实施例的基于局域网的安全检测方法和装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网平台上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

本发明公开了A1、一种基于局域网的安全检测方法，应用于服务器，包括：

依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列；

针对存在恶意行为或者疑似恶意行为的目标进程行为序列，向用户终端下发所述目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则。

A2、如A1所述的方法，所述威胁处理规则包括：威胁遏制规则，和/或，附加监测规则；其中，所述威胁遏制规则用于杀掉所述目标进程行为序列对应的目标进程，所述附加监测规则用于附加采集所述目标进程行为序列对应目标进程的详情信息。

A3、如A1所述的方法，所述威胁处理规则包括：附加监测规则，则所述方法还包括：

接收所述用户终端依据所述附加监测规则上报的、所述目标进程行为序列对应目标进程的详情信息；

依据所述目标进程的详情信息，判断所述目标进程行为序列是否存在恶意行为；

A4、如A1所述的方法，通过如下步骤获取存在恶意行为或者疑似恶意行为的目标进程行为序列：

判断所述进程行为序列是否符合预置的威胁情报规则，若是，则将所述进程行为序列作为存在恶意行为的目标进程行为序列；或者

从所述进程行为序列对应进程中获取符合预置进程行为模式的目标进程，并依据所述目标进程的进程行为序列，判断所述进程行为序列是否存在恶意行为或者疑似恶意行为；或者

利用决策树对所述进程行为序列进行分类，若所述决策树输出的分类结果为恶意，则依据用户的第一指令，将所述进程行为序列作为存在恶意行为的目标进程行为序列，或者，依据用户的第二指令，将所述进程行为序列作为存在疑似恶意行为的目标进程行为序列。

A5、如A1所述的方法，所述依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列的步骤，包括：

依据所述局域网内的用户终端上报的进程行为，建立所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系；

依据所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系，得到对应的进程行为序列。

A6、如A5所述的方法，所述方法还包括：

接收所述用户终端上报的在某时刻的系统快照；

则所述依据所述进程行为，建立所述用户终端在不同时刻的进程树的步骤，包括：

在所述系统快照的基础上，依据上述进程行为建立所述用户终端在不同时刻的进程树。

A7、如A1至A6中任一所述的方法，所述方法还包括：

针对存在恶意行为或者疑似恶意行为的目标进程行为序列，获取其涉及的异常文件，并从预先获取的文件传输事件中获取与所述异常文件相应的待分析文件传输事件；其中，所述文件传输事件为所述局域网内的用户终端上报的事件；

对所述待分析文件传输事件的信息进行分析，以得到所述异常文件对应的传输来源和/或受影响用户终端。

A8、如A7所述的方法，所述方法还包括：

A9、如A8所述的方法，所述向目标用户终端发送威胁处理指令的步骤，包括：

向目标用户终端发送第一威胁处理指令，所述第一威胁处理指令用于指示所述目标用户终端针对所述目标进程行为序列对应的目标进程进行第一威胁处理；

在针对所述目标进程进行第一威胁处理后，若所述目标用户终端出现异常，则向目标用户终端发送第二威胁处理指令，所述第二威胁处理指令用于指示所述目标用户终端针对所述目标进程行为序列对应的目标进程进行第二威胁处理。

A10、如A9所述的方法，所述第一威胁处理包括：隔离处理，所述第二威胁处理包括：系统修复处理或者系统重装处理。

本发明公开了B11、一种基于局域网的安全检测方法，应用于用户终端，包括：

接收服务器下发的目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则；

对所述用户终端中的所述目标进程行为序列进行监测；

当监测到所述目标进程行为序列时，执行所述目标进程行为序列对应的威胁处理规则。

B12、如B11所述的方法，所述威胁处理规则包括：威胁遏制规则，则所述执行所述目标进程行为序列对应的威胁处理规则的步骤，包括：

当监测到所述目标进程行为序列时，依据所述威胁遏制规则杀掉所述目标进程行为序列对应的目标进程。

B13、如B11所述的方法，所述威胁处理规则包括：附加监测规则，则所述执行所述目标进程行为序列对应的威胁处理规则的步骤，包括：

当监测到所述目标进程行为序列时，附加采集所述目标进程行为序列对应目标进程的详情信息；

向所述服务器上报所述目标进程的详情信息。

本发明公开了C14、一种基于局域网的安全检测装置，应用于服务器，包括：

序列生成模块，用于依据所述局域网内的用户终端上报的进程行为，得到对应的进程行为序列；以及

C15、如C14所述的装置，所述威胁处理规则包括：威胁遏制规则，和/或，附加监测规则；其中，所述威胁遏制规则用于杀掉所述目标进程行为序列对应的目标进程，所述附加监测规则用于附加采集所述目标进程行为序列对应目标进程的详情信息。

C16、如C14所述的装置，所述威胁处理规则包括：附加监测规则，则所述装置还包括：

详情接收模块，用于接收所述用户终端依据所述附加监测规则上报的、所述目标进程行为序列对应目标进程的详情信息；

判断模块，用于依据所述目标进程的详情信息，判断所述目标进程行为序列是否存在恶意行为；

添加模块，用于当判定所述目标进程行为序列不存在恶意行为时，在决策树中添加所述附加监测规则对应的属性；或者，

C17、如C14所述的装置，所述装置还包括：用于获取存在恶意行为或者疑似恶意行为的目标进程行为序列的目标序列获取模块；

所述目标序列获取模块包括：

C18、如C14所述的装置，所述序列生成模块包括：

进程树分析子模块，用于依据所述用户终端在不同时刻的进程树、以及所述进程树中各进程与进程行为之间的映射关系，得到对应的进程行为序列。

C19、如C18所述的装置，所述装置还包括：

快照接收模块，用于接收所述用户终端上报的在某时刻的系统快照；

则所述进程树建立子模块包括：

建立单元，用于在所述系统快照的基础上，依据上述进程行为建立所述用户终端在不同时刻的进程树。

C20、如C14至19中任一所述的装置，所述装置还包括：

事件分析模块，用于对所述待分析文件传输事件的信息进行分析，以得到所述异常文件对应的传输来源和/或受影响用户终端。

C21、如C20所述的装置，所述装置还包括：

C22、如C21所述的装置，所述第一指令发送模块包括：

C23、如C22所述的装置，所述第一威胁处理包括：隔离处理，所述第二威胁处理包括：系统修复处理或者系统重装处理。

本发明公开了D24、一种基于局域网的安全检测装置，应用于用户终端，包括：

接收模块，用于接收服务器下发的目标进程行为序列、以及所述目标进程行为序列对应的威胁处理规则；

监测模块，用于对所述用户终端中的所述目标进程行为序列进行监测；以及

规则执行模块，用于当监测到所述目标进程行为序列时，执行所述目标进程行为序列对应的威胁处理规则。

D25、如D24所述的装置，所述威胁处理规则包括：威胁遏制规则，则所述规则执行模块包括：

查杀子模块，用于当监测到所述目标进程行为序列时，依据所述威胁遏制规则杀掉所述目标进程行为序列对应的目标进程。

D26、如D24所述的装置，所述威胁处理规则包括：附加监测规则，则所述规则执行模块包括：

采集子模块，用于当监测到所述目标进程行为序列时，附加采集所述目标进程行为序列对应目标进程的详情信息；

上报子模块，用于向所述服务器上报所述目标进程的详情信息。

完整全部详细技术资料下载

当前第1页1 2 3

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：潘山;孟君;刘学忠
技术所有人：北京奇虎科技有限公司;北京奇安信科技有限公司
我是此专利的发明人

上一篇：webshell检测方法和装置与制造工艺
上一篇：一种保护系统安全的方法及装置与制造工艺

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、李老师：1.计算力学 2.无损检测
2、毕老师：机构动力学与控制
3、袁老师：1.计算机视觉 2.无线网络及物联网
4、王老师：1.计算机网络安全 2.计算机仿真技术
5、王老师：1.网络安全；物联网安全、大数据安全 2.安全态势感知、舆情分析和控制 3.区块链及应用
如您是高校老师，可以点此联系我们加入专家库。