一种基于局域网的安全检测方法和装置的制造方法
【技术领域】
[0001]本发明涉及计算机安全技术领域,特别是涉及一种基于局域网的安全检测方法和一种基于局域网的安全检测装置。
【背景技术】
[0002]随着互联网的迅速普及,局域网已成为企业发展中必不可少的一部分。然而,在为企业带来便利的同时,局域网也面临着各种各样的进攻和威胁,如机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵等。
[0003]现有基于局域网的安全检测方案大多通过在企业网内部的终端上分别安装杀毒软件客户端,由该杀毒软件客户端基于病毒特征库发现终端上的病毒数量和病毒危害程度,并依据企业网内部所述终端的病毒数量和病毒危害程度进行企业网的安全评估。
[0004]对于病毒数量和病毒危害程度而言,尽管这种方法能够在一定程度上体现出企业网的安全状况,但是由于病毒特征库相对于病毒具有一定的滞后性,存在病毒的企业网已经处于危险状态,此种情况下的企业网已经属于不及格的网络环境,而对不及格的网络环境进行评分或进行检测,属于事后补救的范畴,因此无法有效保证企业网的安全性。
【发明内容】
[0005]鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于局域网的安全检测方法和一种基于局域网的安全检测装置。
[0006]依据本发明的一个方面,提供了一种基于局域网的安全检测方法,包括:
[0007]控制终端获取用户输入的风险规则;
[0008]控制终端向局域网内的用户终端下发所述风险规则,以使所述用户终端依据所述风险规则在主机上进行扫描,以得到相应的扫描结果;
[0009]控制终端接收所述局域网内的用户终端上报的扫描结果;
[0010]控制终端依据所述局域网内的用户终端的扫描结果,对所述局域网的安全性进行分析。
[0011]可选地,所述风险规则包括:与风险对象相关的规则,则所述控制终端依据所述局域网内的用户终端的扫描结果,对所述局域网的安全性进行分析的步骤,包括:
[0012]控制终端依据所述局域网内的用户终端的扫描结果,分析得到所述风险对象的风险性。
[0013]可选地,所述控制终端依据所述局域网内的用户终端的扫描结果,分析得到所述风险对象的风险性的步骤,包括:
[0014]控制终端依据所述局域网内的用户终端在一个时间段内的扫描结果,分析得到所述风险对象的生长趋势;
[0015]依据所述风险对象的生长趋势,判定所述风险对象的风险性。
[0016]可选地,所述方法还包括:
[0017]在所述风险对象的风险性符合预置条件时,生成用于清理所述风险对象的风险规则;
[0018]将所生成的风险规则输入至所述控制终端向局域网内的用户终端下发所述风险规则的步骤。
[0019]可选地,所述方法还包括:
[0020]在所述风险对象的风险性符合预置条件时,依据所述局域网内首次出现的风险对象的信息,对所述风险对象对应的攻击源进行追踪。
[0021 ] 可选地,所述方法还包括:
[0022]控制终端获取用户输入的修复规则,所述修复规则用于用户终端的扫描结果命中所述风险规则时的安全性修复;
[0023]控制终端向局域网内的用户终端下发所述修复规则,以使所述用户终端在扫描结果命中所述风险规则时进行安全性修复。
[0024]可选地,所述风险规则包括:与风险对象相关的规则,所述风险对象包括如下对象中的至少一种:
[0025]进程、服务、计划任务、安装应用、端口、文件、操作系统、注册表、用户账号和用户权限。
[0026]根据本发明的另一方面,提供了一种基于局域网的安全检测装置,应用于控制终端,包括:
[0027]获取模块,用于获取用户输入的风险规则;
[0028]下发模块,用于向局域网内的用户终端下发所述风险规则,以使所述用户终端依据所述风险规则在主机上进行扫描,以得到相应的扫描结果;
[0029]接收模块,用于接收所述局域网内的用户终端上报的扫描结果;及
[0030]分析模块,用于依据所述局域网内的用户终端的扫描结果,对所述局域网的安全性进行分析。
[0031]可选地,所述风险规则包括:与风险对象相关的规则,则所述分析模块,包括:
[0032]分析子模块,用于依据所述局域网内的用户终端的扫描结果,分析得到所述风险对象的风险性。
[0033]可选地,所述分析子模块,包括:
[0034]趋势分析单元,用于依据所述局域网内的用户终端在一个时间段内的扫描结果,分析得到所述风险对象的生长趋势;及
[0035]判定单元,用于依据所述风险对象的生长趋势,判定所述风险对象的风险性。
[0036]根据本发明实施例的一种基于局域网的安全检测方法和装置,可以使得控制终端的用户根据局域网的当前安全需求和实际情况,灵活地制定相应的风险规则,并根据所述风险规则对应的扫描结果分析得到局域网的安全状况,上述局域网的安全状况具体可以包括:安全、可疑、危险等状况;因此,相对于传统的病毒特征库,本发明实施例能够通过风险规则更及时地检测出局域网的未知威胁和安全隐患,从而能够提高安全检测的及时性,且能够实现病毒的有效预防。
[0037]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0038]通过阅读下文可选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出可选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0039]图1示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程不意图;
[0040]图2示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程不意图;
[0041]图3示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程不意图;
[0042]图4示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程不意图;
[0043]图5示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程示意图;以及
[0044]图6示出了根据本发明一个实施例的一种基于局域网的安全检测装置的结构示
O
【具体实施方式】
[0045]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0046]参照图1,示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程图,具体可以包括如下步骤:
[0047]步骤101、控制终端获取用户输入的风险规则;
[0048]步骤102、控制终端向局域网内的用户终端下发所述风险规则,以使所述用户终端依据所述风险规则在主机上进行扫描,以得到相应的扫描结果;
[0049]步骤103、控制终端接收所述局域网内的用户终端上报的扫描结果;
[0050]步骤104、控制终端依据所述局域网内的用户终端的扫描结果,对所述局域网的安全性进行分析。
[0051]本发明实施例可以应用于企业网、政府网、校园网等局域网中;在上述局域网中,所述控制终端是指局域网内用于控制其它用户终端进行安全检测的终端,所述用户终端是指局域网内响应控制终端的指令,与控制终端进行数据交互的终端。在实际应用中,可以在控制终端部署服务器代理模块,在用户终端部署软件客户端模块,以类似C/S(客户端/服务器)的架构,实现局域网内控制终端对用户终端的控制功能,以及,用户终端的控制响应及通信功能。其中,上述控制终端和上述用户终端之间可以通过标准协议或者私有协议进行通信,其中,私有协议具有封闭性和安全性高的优点;可以理解,本发明实施例对于控制终端与用户终端之间的具体通信方式不加以限制。
[0052]在实际应用中,控制终端的用户可以是网络管理员等具有一定的网络安全知识的高级用户,因此,控制终端的用户可以根据局域网的当前安全需求和实际情况,灵活地制定相应的风险规则,从而,可以根据所述风险规则对应的扫描结果分析得到局域网的安全状况。
[0053]在本发明的一种可选实施例中,所述风险规则具体可以包括:与风险对象相关的规则,所述风险对象具体可以包括如下对象中的至少一种:进程、服务、计划任务、安装应用、端口、文件、操作系统、注册表、用户账号和用户权限。可以理解,本发明实施例对于具体的风险对象和具体的风险规则不加以限制。
[0054]在本发明的一种可选实施例中,上述风险规则可以与APT(高级持续性威胁,Advanced Persistent Threat)攻击相关,传统APT攻击的变种多,更新快,故对于未知病毒而言并无样本可依,而本发明实施例中,控制终端的用户可以依据APT攻击的特性确定相应的风险对象,从而制定相应的风险规则。