可以理解,本发明实施例对于风险对象的具体依据不加以限制。
[0055]在本发明的一种应用示例中,控制终端的用户发现APT攻击与QQ应用有关,故打算获知局域网内QQ的使用状态,则可以将QQ应用作为风险对象并制定相应的风险规则,该风险规则可用于扫描主机上是否安装有QQ、安装QQ的时间、安装QQ的版本、QQ的安装路径等。
[0056]在本发明的另一种应用示例中,控制终端的用户发现局域网中一台主机的速度变慢了,进一步研究发现该主机上多出了一个未知服务,故可以将该未知服务作为风险对象并制定相应的风险规则,该风险规则可用于扫描主机上是否存在该未知服务、该未知服务进入该主机的时间、该未知服务在该主机上的路径等。
[0057]在本发明的再一种应用示例中,控制终端的用户发现局域网的安全性与用户终端的密码有关,故可以将用户终端的密码作为风险对象并制定相应的风险规则,该风险规则可用于扫描用户终端的密码是否符合预置的复杂性要求等。
[0058]可以理解,上述制定风险规则的方式只是作为示例,实际上,本领域技术人员还可以根据实际应用需求采用其他制定风险规则的方式,如依据步骤104输出的安全性分析结果制定风险规则等,本发明实施例对于风险规则的具体制定方式不加以限制。
[0059]需要说明的是,本发明实施例可以向用户提供风险规则的输入接口,该输入接口可以支持检索式的检索,且可以支持与、或等逻辑运算,可以理解,本发明实施例对于用户输入风险规则的具体方式不加以限制。
[0060]在实际应用中,本发明实施例可以作为局域网的安全检测的辅助分析工具,例如,本发明实施例分析得到的安全状况可以作为未知病毒的判定依据,或者,本发明实施例还可以与传统的病毒特征库等杀毒软件结合使用,本发明实施例对于具体的应用场景不加以限制。
[0061]在实际应用中,用户终端可以依据上述风险规则在主机上进行扫描,得到的扫描结果具体可以包括:命中风险规则的命中结果,或者,命不中风险规则的命不中结果等。在本发明的一种可选实施例中,用户终端可以在得到扫描结果后向控制终端上报上述扫描结果,或者,用户终端还可以仅仅向控制终端上报命中结果,而可以不向控制终端上报命不中结果,因此可以节省命不中结果的传输资源。
[0062]综上,由于传统的病毒特征库相对于病毒具有一定的滞后性,故无法检测出未知病毒;而本发明实施例可以使得控制终端的用户根据局域网的当前安全需求和实际情况,灵活地制定相应的风险规则,并根据所述风险规则对应的扫描结果分析得到局域网的安全状况,上述局域网的安全状况具体可以包括:安全、可疑、危险等状况;因此,相对于传统的病毒特征库,本发明实施例能够通过风险规则更及时地检测出局域网的未知威胁和安全隐患,从而能够提高安全检测的及时性,且能够实现病毒的有效预防。
[0063]参照图2,示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程图,具体可以包括如下步骤:
[0064]步骤201、控制终端获取用户输入的风险规则;
[0065]步骤202、控制终端向局域网内的用户终端下发所述风险规则,以使所述用户终端依据所述风险规则在主机上进行扫描,以得到相应的扫描结果;
[0066]步骤203、控制终端接收所述局域网内的用户终端上报的扫描结果;
[0067]步骤204、控制终端依据所述局域网内的用户终端的扫描结果,对所述局域网的安全性进行分析;
[0068]相对于图1所示实施例,本实施例的所述风险规则具体可以包括:与风险对象相关的规则,则所述控制终端依据所述局域网内的用户终端的扫描结果,对所述局域网的安全性进行分析的步骤204,具体可以包括:
[0069]步骤241、控制终端依据所述局域网内的用户终端的扫描结果,分析得到所述风险对象的风险性。
[0070]本实施例可以风险对象为粒度,分析风险对象的风险性。例如,在风险对象为未知服务时,可以根据局域网内的所有用户终端的扫描结果,分析得到该未知服务的风险性,因此,相对于传统的病毒特征库,本发明实施例能够更及时地检测出局域网的风险对象。
[0071 ] 在本发明的一种可选实施例中,所述控制终端依据所述局域网内的用户终端的扫描结果,分析得到所述风险对象的风险性的步骤,具体可以包括:
[0072]步骤Al、控制终端依据所述局域网内的用户终端在一个时间段内的扫描结果,分析得到所述风险对象的生长趋势;
[0073]步骤A2、依据所述风险对象的生长趋势,判定所述风险对象的风险性。
[0074]对于某个文件而言,由于其未通过MD5 (信息摘要算法5,Message-DigestAlgorithm 5)的校验,故将其列为风险对象;假设局域网内的用户终端在一个时间段内的扫描结果表明,该文件在一周内从一台主机扩散到一千台主机,故可以依据该文件的生长趋势,判断该文件为未知隐患。其中,可以依据生长趋势对应的速率、风险对象的最大值等参数判定风险对象的风险性,本发明实施例对于风险对象的风险性的具体判定方法不加以限制。
[0075]在实际应用中,可以表格、柱状图、曲线等形式展现上述风险对象的生长趋势,以提高分析结果的直观性。另外,可以理解,上述分析得到所述风险对象的生长趋势只是作为可选实施例,实际上,本领域技术人员还可以根据实际应用需求,首先分析得到风险对象在局域网中的分布或比例、风险对象的生命周期等特性,再依据风险对象的特性判定所述风险对象的风险性,本发明实施例对于风险对象的特性不加以限制。
[0076]参照图3,示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程图,具体可以包括如下步骤:
[0077]步骤301、控制终端获取用户输入的风险规则;所述风险规则具体可以包括:与风险对象相关的规则;
[0078]步骤302、控制终端向局域网内的用户终端下发所述风险规则,以使所述用户终端依据所述风险规则在主机上进行扫描,以得到相应的扫描结果;
[0079]步骤303、控制终端接收所述局域网内的用户终端上报的扫描结果;
[0080]步骤304、控制终端依据所述局域网内的用户终端的扫描结果,对所述局域网的安全性进行分析;所述分析具体可以包括:控制终端依据所述局域网内的用户终端的扫描结果,分析得到所述风险对象的风险性;
[0081 ] 相对于图2所示实施例,本实施例的方法还可以包括:
[0082]步骤305、在所述风险对象的风险性符合预置条件时,生成用于清理所述风险对象的风险规则;
[0083]步骤306、将所生成的风险规则输入至所述控制终端向局域网内的用户终端下发所述风险规则的步骤302。
[0084]本发明实施例的预置条件可以为依据风险对象的风险性预置的条件,例如,在本发明的一种应用示例中,上述预置条件具体可以包括:安全、可疑、危险等风险等级对应的条件,其中,上述风险等级对应的预置条件可以包括如下条件中的任一:风险对象在局域网中的分布或比例、风险对象的生命周期、风险对象在一个时间段内的生长趋势等,本发明实施例对于具体的预置条件不加以限制。
[0085]在本发明的一种应用示例中,风险规则可用于扫描主机上是否安装有QQ、安装QQ的时间、安装QQ的版本、QQ的安装路径等,则在该风险规则对应的QQ应用的风险性符合预置条件时,可以生成用于清理QQ应用的风险规则,以使用户终端在主机上卸载QQ应用并删除QQ应用对应的文件和痕迹。
[0086]在本发明的另一种应用示例中,风险规则可用于扫描主机上是否存在该未知服务、该未知服务进入该主机的时间、该未知服务在该主机上的路径等,则在该风险规则对应的未知服务的风险性符合预置条件时,可以生成用于清理未知服务的风险规则,以使用户终端在自身的主机上清理掉该未知服务。
[0087]综上,本实施例生成并清理所述风险对象的风险规则,能够在及时地检测出局域网的未知威胁和安全隐患的基础上,进一步将局域网的未知威胁和安全隐患停止在萌芽状态,从而可以提高局域网的安全性。
[0088]参照图4,示出了根据本发明一个实施例的一种基于局域网的安全检测方法的步骤流程图,具体可以包括如下步骤:
[0089]步骤401、控制终端获取用户输入的风险规则;所述风险规则具体可以包括:与风险对象相关的规则;
[0090]步骤402、控制终端向局域网内的用户终端下发所述风险规则,以使所述用户终端依据所述风险规则在主机上进行扫描,以得到相应的扫描结果;
[0091]步骤403、控制终端接收所述局域网内的用户终端上报的扫描结果;
[0092]步骤404、控制终端依据所述局域网内的用户终端的扫描结果,对所述局域网的安全性进行分析;所述分析具体可以包括:控制终端依据所述局域网内的用户终端的扫描结果,分析得到所述风险对象的风险性;
[0093]相对于图2所示实施例,本实施例的方法还可以包括:
[0094]步骤405、在所述风险对象的风险性符合预置条件时,依据所述局域网内首次出现的风险对象的信息,对所述风险对象对应的攻击源进行追踪。
[0095]本实施例可以在遭到网络攻击的情况下,对上述网络攻击的攻击源进行追踪,以对新类型的网络攻击具有智能学习能力,并且还可以对网络攻击具有良好的识别和控制能力。
[0096]在实际应用中,可以采用入侵取证技术对上述风险对象