发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的在局域网中处理恶意程序的方法及装置。
依据本发明的一方面,提供了一种在局域网中处理恶意程序的方法,应用于由多台服务器组成的局域网,各服务器上运行大量可访问局域网的客户端,包括:
利用所述局域网的安全防火墙实时监控所述大量客户端访问所述局域网的行为,得到海量行为结果;
对所述海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为;
查找到所述至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止所述客户端运行。
可选地,对所述海量行为结果进行筛选,判断其中访问网络的行为结果与设定行为结果产生异常的至少一个行为,包括:
在所述海量行为结果中,筛选出各个客户端的访问网络的行为结果;
根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
可选地,对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为,包括:
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配;
若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
可选地,各个客户端的设定行为结果列表由各个网络访问节点的设定行为结果组成;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为,包括:
对于各个客户端,将该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果进行比对;
若该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果不相同,则该客户端的当前访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
可选地,由各服务器系统中的钩子hook记录各个客户端的访问网络的行为结果,并分析各个客户端的访问网络的行为结果生成各个客户端的设定行为结果列表。
可选地,在停止所述客户端运行之后,还包括:
将所述客户端放入预置的沙箱运行;或者,
卸载所述客户端。
可选地,将所述客户端放入预置的沙箱运行之后,还包括:
监控所述客户端后续的访问网络的行为结果;
若监控到所述客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止所述客户端运行,并卸载所述客户端。
依据本发明的另一方面,还提供了一种在局域网中处理恶意程序的装置,应用于由多台服务器组成的局域网,各服务器上运行大量可访问局域网的客户端,包括:
监控模块,适于利用所述局域网的安全防火墙实时监控所述大量客户端访问所述局域网的行为,得到海量行为结果;
判断模块,适于对所述海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为;
处理模块,适于查找到所述至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止所述客户端运行。
可选地,所述判断模块还适于:
在所述海量行为结果中,筛选出各个客户端的访问网络的行为结果;
根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
可选地,所述判断模块还适于:
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配;
若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
可选地,各个客户端的设定行为结果列表由各个网络访问节点的设定行为结果组成;
所述判断模块还适于:
对于各个客户端,将该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果进行比对;
若该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果不相同,则该客户端的当前访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
可选地,所述装置还包括:
生成模块,适于由各服务器系统中的钩子hook记录各个客户端的访问网络的行为结果,并分析各个客户端的访问网络的行为结果生成各个客户端的设定行为结果列表。
可选地,所述处理模块还适于:
将所述客户端放入预置的沙箱运行;或者,
卸载所述客户端。
可选地,所述处理模块还适于:
将所述客户端放入预置的沙箱运行之后,监控所述客户端后续的访问网络的行为结果;
若监控到所述客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止所述客户端运行,并卸载所述客户端。
本发明实施例提供了在局域网中处理恶意程序的方案,该局域网由多台服务器组成,各服务器上运行大量可访问局域网的客户端。首先,利用局域网中的安全防火墙实时监控大量客户端访问局域网的行为,得到海量行为结果。随后,对海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为。之后,查找到至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止客户端运行。一般情况下,各个客户端访问局域网的行为结果是固定的,不会发生变化,一旦发生变化,则可以判断该行为结果对应的行为即为异常行为。因而,本发明实施例通过对海量访问局域网的行为结果的筛选,能够判断出其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为。也就是说,通过对海量访问局域网的行为结果的筛选,能够判断出表面上运行客户端的正常代码,但会同时在运行其他代码的行为,进而对这些行为进行有效地处理,实现对局域网中恶意程序处理的目的。并且,本发明实施例利用局域网中的安全防火墙对大量客户端访问局域网的行为进行监控,无需加入额外的硬件,也不需要服务器去监控处理,能够节省各服务器的系统资源。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为解决上述技术问题,本发明实施例提供了一种在局域网中处理恶意程序的方法,该方法可以应用于由多台服务器组成的局域网,各服务器上运行大量可访问局域网的客户端。图1示出了根据本发明一实施例的在局域网中处理恶意程序的方法的流程图。参见图1,该方法至少可以包括步骤S102至步骤S106。
步骤S102,利用局域网的安全防火墙实时监控大量客户端访问局域网的行为,得到海量行为结果。
步骤S104,对海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为。
步骤S106,查找到至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止客户端运行。
本发明实施例提供了在局域网中处理恶意程序的方案,该局域网由多台服务器组成,各服务器上运行大量可访问局域网的客户端。首先,利用局域网中的安全防火墙实时监控大量客户端访问局域网的行为,得到海量行为结果。随后,对海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为。之后,查找到至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止客户端运行。一般情况下,各个客户端访问局域网的行为结果是固定的,不会发生变化,一旦发生变化,则可以判断该行为结果对应的行为即为异常行为。因而,本发明实施例通过对海量访问局域网的行为结果的筛选,能够判断出其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为。也就是说,通过对海量访问局域网的行为结果的筛选,能够判断出表面上运行客户端的正常代码,但会同时在运行其他代码的行为,进而对这些行为进行有效地处理,实现对局域网中恶意程序处理的目的。并且,本发明实施例利用局域网中的安全防火墙对大量客户端访问局域网的行为进行监控,无需加入额外的硬件,也不需要服务器去监控处理,能够节省各服务器的系统资源。
本发明实施例中,可以预置一套拦截点,根据各拦截点预先收集各个客户端的访问局域网络的行为结果(例如各拦截点有个区域向系统写目录、向系统敏感目录写文件、向自身目录写文件、向其他客户端写文件等行为的行为结果),生成各个客户端的设定行为结果列表,并建立各个客户端与设定行为结果列表的对应关系。这里,可以由各服务器系统中的hook(钩子)记录各个客户端的访问网络的行为结果,并分析各个客户端的访问网络的行为结果生成各个客户端的设定行为结果列表。例如,各服务器系统中的hook在预定的时间间隔内记录各个客户端的访问网络的行为结果,分析这些行为结果,生成非常完善的设定行为结果列表。这里的hook点可以是主动防御内核的入口点,主动防御在进行恶意程序防御时,不以文件特征值作为判断恶意程序的依据,而是从最原始的定义出发,直接将程序的行为作为判断恶意程序的依据。其中衍生出在本地使用特征库、在本地设置行为阈值、以及在本地启发式杀毒的方式来判别、拦截恶意程序的行为,从而一定程度上达到保护用户设备的目的。
此时,上文步骤S104可选地实施为在海量行为结果中,筛选出各个客户端的访问网络的行为结果,随后根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表。对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
进一步,对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的至少一个行为。反之,若匹配成功,则确定该客户端的访问网络的行为结果对应的行为是正常行为。
以客户端1为例,客户端1的访问网络的行为结果为aa、bb、ccc,该客户端1的设定行为结果列表为aaa、bbb、ccc,将客户端1的访问网络的行为结果(aa、bb、ccc)与设定的行为结果列表(aaa、bbb、ccc)进行匹配,未匹配到aa、bb,则确定匹配失败,可以判断该客户端1被恶意程序截持。需要说明的是,此处仅是示意性的,并不限制本发明。
另外,对于各个客户端,若设定行为结果列表由各个网络访问节点的设定行为结果组成,也就是说,设定行为结果列表中的设定行为结果对应了相应的网络访问节点。那么,对于各个客户端,可以将该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果进行比对,若该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果不相同,则该客户端的当前访问网络的行为结果对应的行为即为确定出的至少一个行为。
以客户端2为例,客户端2的各个网络访问节点的访问网络的行为结果分别为a、b、e、c,该客户端2的设定行为结果列表中的设定行为结果依次为a、b、c,将客户端2的访问网络的行为结果(a、b、e、c)与设定的行为结果列表(a、b、c)依次进行比对,通过比对发现客户端2的访问网络的行为结果“e”与设定的行为结果列表中的“c”不相同,则可以判断该客户端2被恶意程序截持。需要说明的是,此处仅是示意性的,并不限制本发明。
为了进一步确定客户端是否被恶意程序截持,还可以利用主动防御中以HIPS(Host-basedIntrusionPreventionSystem,基于主机的入侵防御系统)为例,包括AD(ApplicationDefend,应用程序防御体系)、RD(RegistryDefend,注册表防御体系)和FD(FileDefend,文件防御体系),通过可定制的规则对服务器上运行的客户端、注册表的读写操作、以及文件读写操作进行判断并确定允许或禁止,从而确定出客户端是否被恶意程序截持,并且各个防御体系的工作顺序没有先后之分。
在本发明另一实施例中,在步骤S106中通知相应客户端被恶意程序截持,停止客户端运行之后,可以将客户端放入预置的沙箱运行,并监控客户端后续的访问网络的行为结果,或者还可以卸载客户端。进一步,若监控到客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止客户端运行,并卸载客户端。若监控到客户端后续的访问网络的行为结果与设定行为结果未产生异常,则认为客户端未被恶意程序截持,而此前的异常行为可能是其他原因,如网络不稳定、局域网中服务器上的数据资源发生变化等。
下面将通过一具体实施例来详细介绍本发明的在局域网中处理恶意程序的方法的实现过程。该实施例中,局域网由多台服务器组成,各服务器上运行大量可访问局域网的客户端,通过局域网的安全防火墙实时监控大量客户端访问局域网的行为。
图2示出了根据本发明另一实施例的在局域网中处理恶意程序的方法的流程图。参见图2,该方法至少可以包括步骤S202至步骤S214。
步骤S202,利用局域网的安全防火墙实时监控大量客户端访问局域网的行为,得到海量行为结果。
步骤S204,在海量行为结果中,筛选出各个客户端的访问网络的行为结果。
步骤S206,根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表。
本发明实施例中,可以预先收集各个客户端的访问局域网络的行为结果,生成各个客户端的设定行为结果列表,并建立各个客户端与设定行为结果列表的对应关系。这里,可以由各服务器系统中的hook(钩子)记录各个客户端的访问网络的行为结果,并分析各个客户端的访问网络的行为结果生成各个客户端的设定行为结果列表。例如,各服务器系统中的hook在预定的时间间隔内记录各个客户端的访问网络的行为结果,分析这些行为结果,生成非常完善的设定行为结果列表。
步骤S208,对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
该步骤中,对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的至少一个行为。反之,若匹配成功,则确定该客户端的访问网络的行为结果对应的行为是正常行为。
进一步,对于各个客户端,若设定行为结果列表由各个网络访问节点的设定行为结果组成,也就是说,设定行为结果列表中的设定行为结果对应了相应的网络访问节点。那么,对于各个客户端,可以将该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果进行比对,若该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果不相同,则该客户端的当前访问网络的行为结果对应的行为即为确定出的至少一个行为。
步骤S210,查找到至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止客户端运行。
步骤S212,将客户端放入预置的沙箱运行,并监控客户端后续的访问网络的行为结果。
这里,客户端的访问网络的行为即是由属于该客户端的进程所发起的网络访问行为,其行为结果如数据包等。网络访问行为的种类繁多,包括HTTP访问(常见的有下载文件或上传信息),SMTP请求(例如收发电子邮件),DNS请求(解析域名对应的IP地址等信息)等等。
可选地,驱动层截获客户端发起的网络访问请求的数据包可以采用以下几种方式:
(1)通过在服务器注册协议驱动或者创建过滤驱动,截获客户端发起的网络访问请求的数据包。
在客户端访问网络的过程中,操作系统在处理相关数据时,会使用一些协议驱动或过滤驱动来获取网络访问行为的数据,所以可通过在服务器注册协议驱动或者创建与操作系统相似的过滤驱动,截获客户端发起的网络访问请求的数据包。具体地,可通过向NDIS(NetworkDriverInterfaceSpecification,网络驱动客户端接口规范)注册协议驱动,或者在Afd.sys(AncillaryFunctionDriverforwinsock,winsock的辅助功能驱动)的驱动设备栈、Tdi.sys(TransportDispatchInterface,传输分配接口)的驱动设备栈或Tcpip.sys(TransmissionControlProtocol/InternetProtocol,传输控制/网络通讯协议)的驱动设备栈上创建与操作系统相似的过滤驱动,截获客户端发起的网络访问请求的数据包。
以在Afd.sys的驱动设备栈上创建过滤驱动为例,当发送网络访问请求的数据包时,系统原本调用的Afd.sys的驱动分发函数会先调用创建的过滤驱动的分发函数,利用这种方法来截获数据包。
(2)利用操作系统提供的应用客户端编程接口函数截获客户端发起的网络访问请求的数据包。
以应用客户端编程接口函数为钩子(hook)函数为例,利用操作系统提供的hook函数截获WindowsSSDT(SystemServicesDescriptorTable,系统服务描述符表)提供的接口函数(如NtDeviceIoControl函数)、或者Tcpip.sys驱动提供的服务函数、或者NDIS.sys提供的导出函数,获得客户端发起的网络访问请求的数据包。
(3)通过接管客户端调用网络编程接口函数(Winsock)的请求,截获客户端发起的网络访问请求的数据包。
(4)利用注册防火墙回调的方式,截获客户端发起的网络访问请求的数据包。
步骤S214,若监控到客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止客户端运行,并卸载客户端。
由于各个客户端访问局域网的行为结果是固定的,不会发生变化,一旦发生变化,则可以判断该行为结果对应的行为即为异常行为。本发明实施例通过对海量访问局域网的行为结果的筛选,能够判断出其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为,进而查找到至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止客户端运行,并将客户端放入预置的沙箱运行,并监控客户端后续的访问网络的行为结果。若监控到客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止客户端运行,并卸载该客户端,从而实现有效地对局域网中恶意程序处理的目的。若监控到客户端后续的访问网络的行为结果与设定行为结果未产生异常,则将该客户端导出沙箱运行。
需要说明的是,实际应用中,上述所有可选实施方式可以采用结合的方式任意组合,形成本发明的可选实施例,在此不再一一赘述。
基于同一发明构思,本发明实施例还提供了一种在局域网中处理恶意程序的装置,应用于由多台服务器组成的局域网,各服务器上运行大量可访问局域网的客户端。图3示出了根据本发明一实施例的在局域网中处理恶意程序的装置的结构示意图。如图3所示,该装置至少可以包括:监控模块310、判断模块320以及处理模块330。
现介绍本发明实施例的在局域网中处理恶意程序的装置的各组成或器件的功能以及各部分间的连接关系:
监控模块310,适于利用局域网的安全防火墙实时监控大量客户端访问局域网的行为,得到海量行为结果;
判断模块320,与监控模块310相耦合,适于对海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为;
处理模块330,与判断模块320相耦合,适于查找到至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止客户端运行。
在本发明一实施例中,上述判断模块320还适于:
在海量行为结果中,筛选出各个客户端的访问网络的行为结果;
根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
在本发明一实施例中,上述判断模块320还适于:
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配;
若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的至少一个行为。
在本发明一实施例中,各个客户端的设定行为结果列表由各个网络访问节点的设定行为结果组成,上述判断模块320还适于:
对于各个客户端,将该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果进行比对;
若该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果不相同,则该客户端的当前访问网络的行为结果对应的行为即为确定出的至少一个行为。
在本发明一实施例中,如图4所示,上文图3展示的装置还可以包括:
生成模块340,与判断模块320相耦合,适于由各服务器系统中的钩子hook记录各个客户端的访问网络的行为结果,并分析各个客户端的访问网络的行为结果生成各个客户端的设定行为结果列表。
在本发明一实施例中,上述处理模块330还适于:
将客户端放入预置的沙箱运行;或者,
卸载客户端。
在本发明一实施例中,上述处理模块330还适于:
将客户端放入预置的沙箱运行之后,监控客户端后续的访问网络的行为结果;
若监控到客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止客户端运行,并卸载客户端。
根据上述任意一个优选实施例或多个优选实施例的组合,本发明实施例能够达到如下有益效果:
本发明实施例提供了在局域网中处理恶意程序的方案,该局域网由多台服务器组成,各服务器上运行大量可访问局域网的客户端。首先,利用局域网中的安全防火墙实时监控大量客户端访问局域网的行为,得到海量行为结果。随后,对海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为。之后,查找到至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止客户端运行。一般情况下,各个客户端访问局域网的行为结果是固定的,不会发生变化,一旦发生变化,则可以判断该行为结果对应的行为即为异常行为。因而,本发明实施例通过对海量访问局域网的行为结果的筛选,能够判断出其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为。也就是说,通过对海量访问局域网的行为结果的筛选,能够判断出表面上运行客户端的正常代码,但会同时在运行其他代码的行为,进而对这些行为进行有效地处理,实现对局域网中恶意程序处理的目的。并且,本发明实施例利用局域网中的安全防火墙对大量客户端访问局域网的行为进行监控,无需加入额外的硬件,也不需要服务器去监控处理,能够节省各服务器的系统资源。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的在局域网中处理恶意程序的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。
本发明实施例公开了:A1、一种在局域网中处理恶意程序的方法,应用于由多台服务器组成的局域网,各服务器上运行大量可访问局域网的客户端,包括:
利用所述局域网的安全防火墙实时监控所述大量客户端访问所述局域网的行为,得到海量行为结果;
对所述海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为;
查找到所述至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止所述客户端运行。
A2、根据A1所述的方法,其中,对所述海量行为结果进行筛选,判断其中访问网络的行为结果与设定行为结果产生异常的至少一个行为,包括:
在所述海量行为结果中,筛选出各个客户端的访问网络的行为结果;
根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
A3、根据A2所述的方法,其中,对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为,包括:
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配;
若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
A4、根据A2所述的方法,其中,各个客户端的设定行为结果列表由各个网络访问节点的设定行为结果组成;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为,包括:
对于各个客户端,将该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果进行比对;
若该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果不相同,则该客户端的当前访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
A5、根据A2-A4任一项所述的方法,其中,由各服务器系统中的钩子hook记录各个客户端的访问网络的行为结果,并分析各个客户端的访问网络的行为结果生成各个客户端的设定行为结果列表。
A6、根据A1-A5任一项所述的方法,其中,在停止所述客户端运行之后,还包括:
将所述客户端放入预置的沙箱运行;或者,
卸载所述客户端。
A7、根据A6所述的方法,其中,将所述客户端放入预置的沙箱运行之后,还包括:
监控所述客户端后续的访问网络的行为结果;
若监控到所述客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止所述客户端运行,并卸载所述客户端。
B8、一种在局域网中处理恶意程序的装置,应用于由多台服务器组成的局域网,各服务器上运行大量可访问局域网的客户端,包括:
监控模块,适于利用所述局域网的安全防火墙实时监控所述大量客户端访问所述局域网的行为,得到海量行为结果;
判断模块,适于对所述海量行为结果进行筛选,判断其中访问网络的界面正常,但访问网络的行为结果与设定行为结果产生异常的至少一个行为;
处理模块,适于查找到所述至少一个行为对应的客户端,并通知相应客户端被恶意程序截持,停止所述客户端运行。
B9、根据B8所述的装置,其中,所述判断模块还适于:
在所述海量行为结果中,筛选出各个客户端的访问网络的行为结果;
根据预先建立的客户端与设定行为结果列表的对应关系,查找各个客户端的设定行为结果列表;
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配,确定出该客户端的访问网络的行为结果与设定行为结果产生异常的至少一个行为。
B10、根据B9所述的装置,其中,所述判断模块还适于:
对于各个客户端,将该客户端的访问网络的行为结果与设定行为结果列表进行匹配;
若匹配失败,则该客户端的访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
B11、根据B9所述的装置,其中,各个客户端的设定行为结果列表由各个网络访问节点的设定行为结果组成;
所述判断模块还适于:
对于各个客户端,将该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果进行比对;
若该客户端的当前访问网络的行为结果与当前访问网络节点的设定行为结果不相同,则该客户端的当前访问网络的行为结果对应的行为即为确定出的所述至少一个行为。
B12、根据B9-B11任一项所述的装置,其中,还包括:
生成模块,适于由各服务器系统中的钩子hook记录各个客户端的访问网络的行为结果,并分析各个客户端的访问网络的行为结果生成各个客户端的设定行为结果列表。
B13、根据B8-B12任一项所述的装置,其中,所述处理模块还适于:
将所述客户端放入预置的沙箱运行;或者,
卸载所述客户端。
B14、根据B13所述的装置,其中,所述处理模块还适于:
将所述客户端放入预置的沙箱运行之后,监控所述客户端后续的访问网络的行为结果;
若监控到所述客户端后续的访问网络的行为结果与设定行为结果产生异常,则停止所述客户端运行,并卸载所述客户端。