之间的差异信息时,可以从启动项属性信息中的注册表的位置信息对应的参数值、所述参数值指向的预置文件着手。
[0035]104、若所述差异信息为所述预置文件,则服务器确定所述预置文件是否为灰文件。
[0036]当服务器确定差异信息为预置文件时,服务器首先确定该预置文件的安全等级,所述预置文件的安全等级包括:白名单文件、灰文件、黑名单文件;其中,灰文件即不属于白名单文件,也不属于黑名单文件中。
[0037]若确定预置文件为黑名单文件,则服务器直接将终端设备中的包含该黑名单文件(预置文件)的启动项删除;若确定预置文件为白名单文件,则服务器说明终端设备中包含预置文件的启动项中不存在任何未知风险;若服务器确定预置文件为灰文件,则还需要通过预置文件在局域网内的各个终端设备中启动项的覆盖率,确定包含预置文件的启动项中是否存在未知风险。其中,覆盖率为包含差异信息(预置文件)的终端设备数量占局域网中所有终端设备的百分比。
[0038]105、若确定所述预置文件为灰文件,且预置时间段内包含所述预置文件对应的终端设备数量符合预置异常数量阈值,则服务器向包含所述预置文件的终端设备下发异常警示信息。
[0039]当服务器确定预置文件为灰文件时,统计局域网内包含预置文件对应的终端设备的数量,若局域网内包含预置文件对应的终端设备的数量符合预置异常数量阈值,则确定包含预置文件的终端设备中的启动项中存在未知风险,需向包含预置文件对应的终端设备下发异常警示信息,以便所述终端设备根据该异常警示信息将包含所述预置文件的启动项删除;若局域网内包含预置文件对应的终端设备的数量不符合预置异常数量阈值,则说明包含预置文件的终端设备中的启动项中未存在未知风险。
[0040]需要说明的是,服务器在统计局域网内包含预置文件对应的终端设备的数量时,需要有一个时间段的限制,即在统计局域网内包含预置文件对应的终端设备的数量时,月艮务器统计的是预置时间段内包含预置文件对应的终端设备的数量,如此,能够精确统计包含预置文件对应的终端设备的数量。示例性的,若服务器扫描局域网内各个终端设备获取第一启动项属性信息的时间为2015年8月9日10:10,在服务器统计的是预置时间段内包含预置文件对应的终端设备的数量,可以统计2015年8月9日1:1O到2015年8月9日10: 15时间段内的包含预置文件对应的终端设备的数量,若服务器统计的是2015年8月8日任意时间段内的包含预置文件对应的终端设备的数量,则导致统计结果不正确。
[0041]在具体实施时,预置异常数量阈值是局域网运维人员根据经验值设置的,在设置预置异常数量阈值时,可以设置为少于或者等于10台;或者,设置为少于或者等于20台等等。示例性的,假设,预置异常数量阈值为少于10台,服务器统计局域网内包含预置文件对应的终端设备的数量为6台,6台终端设备小于10台终端设备,包含预置文件对应的终端设备的数量符合预置异常数量阈值,确定包含预置文件的终端设备中的启动项中存在未知风险。以上仅为示例性的举例,本发明实施例对预置异常数量阈值的具体设置方式不进行限定。
[0042]本发明实施例提供的启动项未知风险的检测方法,服务器在检测局域网中各个终端设备的启动项是否存在未知风险时,首先,扫描各个终端设备,并获取终端设备中启动项对应的第一启动项属性信息,其次,确定第一启动项属性信息与第二启动项属性信息是否一致,该第二启动项属性信息为服务器检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息;当确定该第一启动项属性信息与该第二启动项属性信息不一致时,获取该第一启动项属性信息与该第二启动项属性信息的差异信息;若该差异信息为该预置文件,则确定该预置文件是否为灰文件;若确定该预置文件为灰文件,且预置时间段内包含该预置文件对应的终端设备数量符合预置异常数量阈值,则向包含该预置文件的终端设备下发异常警示信息,以便该终端设备将包含该预置文件的启动项删除;本发明实施例能够通过对启动项属性信息中预置文件的判断,确定终端设备中的启动项中是否存在未知风险,确保终端设备的安全。
[0043]进一步的,作为对图1所示方法的扩展,服务器获取所述第一启动项属性信息与所述第二启动项属性信息的差异信息,若获取的差异信息为注册表的位置信息对应的参数值,则服务器根据第二启动项属性信息中的参数值配置第一启动项属性信息中的参数值。该些参数值不具备被病毒或者木马感染的表象,该些参数值的不同其在表现上为终端设备中的应用程序无法正常运行;或者,应用程序在运行过程中出现错误,例如,当参数值为与IE对应的参数值时,若第一启动项属性信息与所述第二启动项属性信息的参数值不同,可能导致终端设备中的IE无法正常启动,本发明实施例对参数值所对应的应用程序不进行限定。
[0044]进一步的,本发明实施例在检测启动项中是否存在位置风险的标准是第二启动项属性信息,因此,在服务器确定所述第一启动项属性信息与第二启动项属性信息是否一致之前,确定第二启动项属性信息,并将第二启动项属性信息存储至服务器本地。在服务器确定第二启动项属性信息时,可以采用但不局限于以下的方法进行,如图2所示,该方法包括:
[0045]201、服务器获取各个终端设备的启动项属性信息。
[0046]服务器在获取各个终端设备的启动项属性信息时,扫描局域网内各个终端设备,本步骤与步骤101不同的是,本步骤中,服务器在扫描各个终端设备的启动项属性信息时,将获取的启动项属性信息进行记录并存储;本步骤是执行步骤101的前提。
[0047]202、服务器解析所述启动项属性信息,并确定所述启动项属性中是否包含预置文件。
[0048]如步骤101所述,启动项属性信息包含注册表的位置信息、注册表的位置信息对应的参数值、参数值指向的预置文件;在服务器获取各个终端设备中的启动项属性信息之后,对获取的每个终端设备中的启动项属性信息进行解析,依次确定启动项属性信息中是否包含预置文件。需要说明的是,若启动项属性信息中的参数值指向的是预置文件的文件存储路径,服务器根据该文件存储路径获取相应的预置文件。
[0049]确定启动项属性信息中是否包含预置文件的目的在于,一般的病毒或者木马在启动运行时,将病毒或者木马的恶意程序代码依附于预置文件中,当包含预置文件的应用程序自动运行时,病毒或者木马也随之启动运行。
[0050]203、若确定所述启动项属性信息中包含预置文件,则确定所述预置文件是否为灰文件。
[0051 ]若确认所述预置文件为灰文件,则执行步骤204;若确认所述预置文件不为灰文件执行步骤208。
[0052]204、服务器统计包含所述预置文件对应的终端设备的预设数量。
[0053]当确定启动项属性信息中包含预置文件时,服务器统计包含所述预置文件对应的终端设备的预设数量,其目的在于,查看局域网中终端设备启动包含预置文件的启动项对应的预设数量。
[0054]在实施本发明实施例时,服务器未在文件的黑名单或者白名单中标识该预置文件的安全等级,当服务器确定启动项属性信息中无法确定该预置文件的安全等级,因此,需要通过统计包含所述预置文件对应的终端设备的预设数量来确定预置文件的安全性。
[0055]所述预设数量因局域网的不同而存在差异;或者,针对相同的局域网,在不同的时间段统计的预设数量也存在差异,本发明实施例对包含所述预置文件对应的终端设备的预设数量不进行限定。
[0056]205、确定所述预设数量是否超过预置数量阈值。
[0057]若所述预设数量超过预置数量阈值,则执行步骤206;若所述预设数量未超过预置数量阈值,则执行步骤207。
[0058]其中,所述预置数量阈值为局域网运维人员设置的经验值,在设置预置数量阈值时,需参考局域网内终端设备的总量。示例性的,若局域网中终端设备的总量为1000,在设置预置数量阈值时,则可以设置为800或者900;若局域网中终端设备的总量为5000,在设置预置数量阈值时,则可以设置为4600或者4500等等。本发明实施例对预置数量阈值的设置不进行限定。
[0059]206、服务器将所述预置文件配置为白名单文件,并将所述启动项属性信息确定所述第二启动项属性信息。
[0060]当服务器确定所述预设数量超过预置数量阈值时,说明局域网内的终端设备包含预置文件的启动项覆盖率较广,其可能的情况为服务器未在预置文件的黑名单或者白名单中标识该预置文件的安全等级,因此,需将预置文件配置为白名单文件,并将启动项属性信息确定问第二启动项属性信息,作为服务器检测局域网内终端设备的启动项中是否存在未知风险的基准数据信息。
[0061]207、服务器将所述预置文件所在的启动项删除。
[0062]当服务器确定所述预设数量未超过预置数量阈值,则说明局域网内的终端设备包含预置文件的启动项覆盖率不符合条件,服务器将包含预置文件的启动项