CN105590053B - 启动项未知风险的检测方法及装置 - Google Patents
启动项未知风险的检测方法及装置 Download PDFInfo
- Publication number
- CN105590053B CN105590053B CN201510959337.XA CN201510959337A CN105590053B CN 105590053 B CN105590053 B CN 105590053B CN 201510959337 A CN201510959337 A CN 201510959337A CN 105590053 B CN105590053 B CN 105590053B
- Authority
- CN
- China
- Prior art keywords
- attribute information
- startup item
- item attribute
- profile
- startup
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 24
- 230000002159 abnormal effect Effects 0.000 claims abstract description 28
- 238000000034 method Methods 0.000 claims description 33
- 238000012217 deletion Methods 0.000 claims description 16
- 230000037430 deletion Effects 0.000 claims description 16
- 230000005540 biological transmission Effects 0.000 claims description 3
- 230000000875 corresponding effect Effects 0.000 description 47
- 241000700605 Viruses Species 0.000 description 8
- 230000008569 process Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 208000033748 Device issues Diseases 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 201000010099 disease Diseases 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 239000002574 poison Substances 0.000 description 1
- 231100000614 poison Toxicity 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种启动项未知风险的检测方法及装置,涉及信息安全技术领域。本发明的技术方案包括:扫描局域网内各个终端设备并获取第一启动项属性信息;确定第一启动项属性信息与第二启动项属性信息是否一致;第二启动项属性信息为检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息;若确定第一启动项属性信息与第二启动项属性信息不一致,则获取第一启动项属性信息与第二启动项属性信息的差异信息;若差异信息为预置文件,则确定预置文件是否为灰文件;若确定预置文件为灰文件且预置时间段内包含预置文件对应的终端设备数量符合预置异常数量阈值,则向包含预置文件的终端设备下发异常警示信息。应用于检测启动项未知风险的过程中。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种启动项未知风险的检测方法及装置。
背景技术
随着技术的发展,满足用户不同需求的应用程序大量涌现,许多应用程序为了能够响应用户的操作而快速启动,都选择了随操作系统启动而自动启动运行。所述开机启动项,就是指随操作系统启动在前台或者后台自动运行加载的程序,一般为windows系统电脑的开机启动项。
目前,许多应用程序的自动启动运行,确实给用户带来了诸多便利,但是,不是每个自动启动运行的应用程序对用户都有用,更甚者,一些病毒或者木马也随着操作系统启动而启动,病毒或者木马的自动启动给用户的电脑带了极大的安全威胁。因此,如何检测出开机启动项中存在的未知病毒或者木马成为目前亟待解决的问题。
发明内容
有鉴于此,本发明提供的一种启动项未知风险的检测方法及装置,主要目的在于检测出局域网内各个终端设备的启动项中存在的未知病毒或者木马。
依据本发明一个方面,本发明提供了一种启动项未知风险的检测方法,所述方法包括:
扫描局域网内各个终端设备,并获取第一启动项属性信息;其中,所述第一启动项属性信息为终端设备中启动项对应的属性信息,所述属性信息包括:注册表的位置信息、注册表的位置信息对应的参数值、参数值指向的预置文件;
确定所述第一启动项属性信息与第二启动项属性信息是否一致;所述第二启动项属性信息为检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息;
若确定所述第一启动项属性信息与所述第二启动项属性信息不一致,则获取所述第一启动项属性信息与所述第二启动项属性信息的差异信息;
若所述差异信息为所述预置文件,则确定所述预置文件是否为灰文件;
若确定所述预置文件为灰文件,且预置时间段内包含所述预置文件对应的终端设备数量符合预置异常数量阈值,则向包含所述预置文件的终端设备下发异常警示信息,以便所述终端设备将包含所述预置文件的启动项删除。
依据本发明另一个方面,本发明提供了一种启动项未知风险的检测装置,所述装置包括:
扫描单元,用于扫描局域网内各个终端设备;
第一获取单元,用于在所述扫描单元扫描局域网内各个终端设备的过程中,获取第一启动项属性信息;其中,所述第一启动项属性信息为终端设备中启动项对应的属性信息,所述属性信息包括:注册表的位置信息、注册表的位置信息对应的参数值、参数值指向的预置文件;
第一确定单元,用于确定所述第一获取单元获取的所述第一启动项属性信息与第二启动项属性信息是否一致;所述第二启动项属性信息为检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息;
第二获取单元,用于当所述第一确定单元确定所述第一启动项属性信息与所述第二启动项属性信息不一致时,获取所述第一启动项属性信息与所述第二启动项属性信息的差异信息;
第二确定单元,用于当所述第二获取单元获取的所述差异信息为所述预置文件时,确定所述预置文件是否为灰文件;
发送单元,用于当所述第二确定单元确定所述预置文件为灰文件,且预置时间段内包含所述预置文件对应的终端设备数量符合预置异常数量阈值时,向包含所述预置文件的终端设备下发异常警示信息,以便所述终端设备将包含所述预置文件的启动项删除。
借由上述技术方案,本发明提供的启动项未知风险的检测方法及装置,服务器在检测局域网中各个终端设备的启动项是否存在未知风险时,首先,扫描各个终端设备,并获取终端设备中启动项对应的第一启动项属性信息,其次,确定第一启动项属性信息与第二启动项属性信息是否一致,该第二启动项属性信息为服务器检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息;当确定该第一启动项属性信息与该第二启动项属性信息不一致时,获取该第一启动项属性信息与该第二启动项属性信息的差异信息;若该差异信息为该预置文件,则确定该预置文件是否为灰文件;若确定该预置文件为灰文件,且预置时间段内包含该预置文件对应的终端设备数量符合预置异常数量阈值,则向包含该预置文件的终端设备下发异常警示信息,以便该终端设备将包含该预置文件的启动项删除;本发明能够通过对启动项属性信息中预置文件的判断,确定终端设备中的启动项中是否存在未知风险,确保终端设备的安全。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种启动项未知风险的检测方法的流程图;
图2示出了本发明实施例提供的一种服务器确定第二启动项属性信息的方法流程图;
图3示出了本发明实施例提供的一种启动项未知风险的检测装置的组成框图;
图4示出了本发明实施例提供的另一种启动项未知风险的检测装置的组成框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供一种启动项未知风险的检测方法,该方法应用于防病毒体系的服务器侧,如图1所示,该方法包括:
101、服务器扫描局域网内各个终端设备,并获取第一启动项属性信息。
注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。
防病毒体系服务器在检测局域网内各个终端设备的启动项中是否存在未知风险时,首先,对各个终端设备进行扫描,获取终端设备中的第一启动项属性信息,其中,所述第一启动项属性信息为终端设备中启动项对应的属性信息,所述属性信息包括:注册表的位置信息、注册表的位置信息对应的参数值、参数值指向的预置文件、参数值指向的预置文件路径、终端设备的设备标识等等,本发明实施例对属性信息中包含的具体内容不进行限定。
在具体实施时,注册表中的位置信息是固定的,为了便于对注册表的位置信息进行管理,可以将注册表的位置信息进行编号,例如:编号名称为01、02、03…,或者,编号名称也可以为I、II、III等等,每个编号下的位置信息对应一个或者多个参数值,而参数值可能指向一个预置文件,也可能指向预置文件的文件路径。具体的本发明实施例对注册表位置信息的编号大小、编号名称以及编号下的位置信息对应的参数值的数量不进行限定。
102、服务器确定所述第一启动项属性信息与第二启动项属性信息是否一致。
基于步骤101获取的第一启动项属性信息,获取第二启动项属性信息,所述第二启动项属性信息为检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息,是服务器预先确定的。服务器将第一启动属性信息与第二启动属性信息进行比对,确定两者之间是否一致,若一致,则说明局域网内各个终端设备的启动项中不存在未知风险;若不一致,则说明局域网内各个终端设备的启动项中可能存在未知风险,继续执行步骤103。
103、若确定所述第一启动项属性信息与所述第二启动项属性信息不一致,则服务器获取所述第一启动项属性信息与所述第二启动项属性信息的差异信息。
当服务器确定第一启动项属性信息与第二启动项属性信息不一致时,获取第一启动项属性信息与所述第二启动项属性信息之间的差异信息;由步骤101可知,启动项对应的属性信息中包含注册表的位置信息、注册表的位置信息对应的参数值、所述参数值指向的预置文件,由于注册表中的位置信息是固定的,因此,第一启动项属性信息与第二启动项属性信息之间的差异信息为注册表中的位置信息的机率较小;而注册表的位置信息对应的参数值、所述参数值指向的预置文件确定为第一启动项属性信息与第二启动项属性信息之间的差异信息的机率较大,因此,在确定第一启动项属性信息与第二启动项属性信息之间的差异信息时,可以从启动项属性信息中的注册表的位置信息对应的参数值、所述参数值指向的预置文件着手。
104、若所述差异信息为所述预置文件,则服务器确定所述预置文件是否为灰文件。
当服务器确定差异信息为预置文件时,服务器首先确定该预置文件的安全等级,所述预置文件的安全等级包括:白名单文件、灰文件、黑名单文件;其中,灰文件即不属于白名单文件,也不属于黑名单文件中。
若确定预置文件为黑名单文件,则服务器直接将终端设备中的包含该黑名单文件(预置文件)的启动项删除;若确定预置文件为白名单文件,则服务器说明终端设备中包含预置文件的启动项中不存在任何未知风险;若服务器确定预置文件为灰文件,则还需要通过预置文件在局域网内的各个终端设备中启动项的覆盖率,确定包含预置文件的启动项中是否存在未知风险。其中,覆盖率为包含差异信息(预置文件)的终端设备数量占局域网中所有终端设备的百分比。
105、若确定所述预置文件为灰文件,且预置时间段内包含所述预置文件对应的终端设备数量符合预置异常数量阈值,则服务器向包含所述预置文件的终端设备下发异常警示信息。
当服务器确定预置文件为灰文件时,统计局域网内包含预置文件对应的终端设备的数量,若局域网内包含预置文件对应的终端设备的数量符合预置异常数量阈值,则确定包含预置文件的终端设备中的启动项中存在未知风险,需向包含预置文件对应的终端设备下发异常警示信息,以便所述终端设备根据该异常警示信息将包含所述预置文件的启动项删除;若局域网内包含预置文件对应的终端设备的数量不符合预置异常数量阈值,则说明包含预置文件的终端设备中的启动项中未存在未知风险。
需要说明的是,服务器在统计局域网内包含预置文件对应的终端设备的数量时,需要有一个时间段的限制,即在统计局域网内包含预置文件对应的终端设备的数量时,服务器统计的是预置时间段内包含预置文件对应的终端设备的数量,如此,能够精确统计包含预置文件对应的终端设备的数量。示例性的,若服务器扫描局域网内各个终端设备获取第一启动项属性信息的时间为2015年8月9日10:10,在服务器统计的是预置时间段内包含预置文件对应的终端设备的数量,可以统计2015年8月9日10:10到2015年8月9日10:15时间段内的包含预置文件对应的终端设备的数量,若服务器统计的是2015年8月8日任意时间段内的包含预置文件对应的终端设备的数量,则导致统计结果不正确。
在具体实施时,预置异常数量阈值是局域网运维人员根据经验值设置的,在设置预置异常数量阈值时,可以设置为少于或者等于10台;或者,设置为少于或者等于20台等等。示例性的,假设,预置异常数量阈值为少于10台,服务器统计局域网内包含预置文件对应的终端设备的数量为6台,6台终端设备小于10台终端设备,包含预置文件对应的终端设备的数量符合预置异常数量阈值,确定包含预置文件的终端设备中的启动项中存在未知风险。以上仅为示例性的举例,本发明实施例对预置异常数量阈值的具体设置方式不进行限定。
本发明实施例提供的启动项未知风险的检测方法,服务器在检测局域网中各个终端设备的启动项是否存在未知风险时,首先,扫描各个终端设备,并获取终端设备中启动项对应的第一启动项属性信息,其次,确定第一启动项属性信息与第二启动项属性信息是否一致,该第二启动项属性信息为服务器检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息;当确定该第一启动项属性信息与该第二启动项属性信息不一致时,获取该第一启动项属性信息与该第二启动项属性信息的差异信息;若该差异信息为该预置文件,则确定该预置文件是否为灰文件;若确定该预置文件为灰文件,且预置时间段内包含该预置文件对应的终端设备数量符合预置异常数量阈值,则向包含该预置文件的终端设备下发异常警示信息,以便该终端设备将包含该预置文件的启动项删除;本发明实施例能够通过对启动项属性信息中预置文件的判断,确定终端设备中的启动项中是否存在未知风险,确保终端设备的安全。
进一步的,作为对图1所示方法的扩展,服务器获取所述第一启动项属性信息与所述第二启动项属性信息的差异信息,若获取的差异信息为注册表的位置信息对应的参数值,则服务器根据第二启动项属性信息中的参数值配置第一启动项属性信息中的参数值。该些参数值不具备被病毒或者木马感染的表象,该些参数值的不同其在表现上为终端设备中的应用程序无法正常运行;或者,应用程序在运行过程中出现错误,例如,当参数值为与IE对应的参数值时,若第一启动项属性信息与所述第二启动项属性信息的参数值不同,可能导致终端设备中的IE无法正常启动,本发明实施例对参数值所对应的应用程序不进行限定。
进一步的,本发明实施例在检测启动项中是否存在位置风险的标准是第二启动项属性信息,因此,在服务器确定所述第一启动项属性信息与第二启动项属性信息是否一致之前,确定第二启动项属性信息,并将第二启动项属性信息存储至服务器本地。在服务器确定第二启动项属性信息时,可以采用但不局限于以下的方法进行,如图2所示,该方法包括:
201、服务器获取各个终端设备的启动项属性信息。
服务器在获取各个终端设备的启动项属性信息时,扫描局域网内各个终端设备,本步骤与步骤101不同的是,本步骤中,服务器在扫描各个终端设备的启动项属性信息时,将获取的启动项属性信息进行记录并存储;本步骤是执行步骤101的前提。
202、服务器解析所述启动项属性信息,并确定所述启动项属性中是否包含预置文件。
如步骤101所述,启动项属性信息包含注册表的位置信息、注册表的位置信息对应的参数值、参数值指向的预置文件;在服务器获取各个终端设备中的启动项属性信息之后,对获取的每个终端设备中的启动项属性信息进行解析,依次确定启动项属性信息中是否包含预置文件。需要说明的是,若启动项属性信息中的参数值指向的是预置文件的文件存储路径,服务器根据该文件存储路径获取相应的预置文件。
确定启动项属性信息中是否包含预置文件的目的在于,一般的病毒或者木马在启动运行时,将病毒或者木马的恶意程序代码依附于预置文件中,当包含预置文件的应用程序自动运行时,病毒或者木马也随之启动运行。
203、若确定所述启动项属性信息中包含预置文件,则确定所述预置文件是否为灰文件。
若确认所述预置文件为灰文件,则执行步骤204;若确认所述预置文件不为灰文件执行步骤208。
204、服务器统计包含所述预置文件对应的终端设备的预设数量。
当确定启动项属性信息中包含预置文件时,服务器统计包含所述预置文件对应的终端设备的预设数量,其目的在于,查看局域网中终端设备启动包含预置文件的启动项对应的预设数量。
在实施本发明实施例时,服务器未在文件的黑名单或者白名单中标识该预置文件的安全等级,当服务器确定启动项属性信息中无法确定该预置文件的安全等级,因此,需要通过统计包含所述预置文件对应的终端设备的预设数量来确定预置文件的安全性。
所述预设数量因局域网的不同而存在差异;或者,针对相同的局域网,在不同的时间段统计的预设数量也存在差异,本发明实施例对包含所述预置文件对应的终端设备的预设数量不进行限定。
205、确定所述预设数量是否超过预置数量阈值。
若所述预设数量超过预置数量阈值,则执行步骤206;若所述预设数量未超过预置数量阈值,则执行步骤207。
其中,所述预置数量阈值为局域网运维人员设置的经验值,在设置预置数量阈值时,需参考局域网内终端设备的总量。示例性的,若局域网中终端设备的总量为1000,在设置预置数量阈值时,则可以设置为800或者900;若局域网中终端设备的总量为5000,在设置预置数量阈值时,则可以设置为4600或者4500等等。本发明实施例对预置数量阈值的设置不进行限定。
206、服务器将所述预置文件配置为白名单文件,并将所述启动项属性信息确定所述第二启动项属性信息。
当服务器确定所述预设数量超过预置数量阈值时,说明局域网内的终端设备包含预置文件的启动项覆盖率较广,其可能的情况为服务器未在预置文件的黑名单或者白名单中标识该预置文件的安全等级,因此,需将预置文件配置为白名单文件,并将启动项属性信息确定问第二启动项属性信息,作为服务器检测局域网内终端设备的启动项中是否存在未知风险的基准数据信息。
207、服务器将所述预置文件所在的启动项删除。
当服务器确定所述预设数量未超过预置数量阈值,则说明局域网内的终端设备包含预置文件的启动项覆盖率不符合条件,服务器将包含预置文件的启动项删除,以防止病毒或者木马程序存在于预置文件中,而威胁终端设备的安全。
208、服务器确定所述预置文件是否为黑名单文件。
若确定所述预置文件为黑名单文件,则执行步骤207;若确定所述预置文件不为黑名单文件,则执行步骤209。
209、服务器将所述启动项属性信息确定所述第二启动项属性信息。
服务器确定预置文件既不是灰文件,也不是黑名单文件,说明预置文件为白名单文件,因此,服务器直接将包含预置文件的启动项属性信息确定为第二启动项属性信息。
进一步的,服务器在确定所述第一启动项属性信息与第二启动项属性信息是否一致,其具体实现过程如下,首先,服务器确定该第二启动项属性信息是否包含该第一启动项属性信息;若确定该第二启动项属性信息包含该第一启动项属性信息,则分别获取该第二启动项属性信息与该第一启动项属性信息中的该注册表的位置信息、该参数值、该预置文件;分别将该注册表的位置信息、该参数值、该预置文件进行比对,并确定该注册表的位置信息、该参数值、该预置文件是否一致。若确定所述第二启动项属性信息不包含所述第一启动项属性信息,则确定所述第一启动项属性信息是否为所述第二启动项属性信息。
示例性的,若第二启动项属性信息中包含20个属性信息,而第一启动项属性信息中包含24个属性信息,则说明第二启动项属性信息不包含所述第一启动项属性信息,即第二启动项属性信息少于第一启动项属性信息,服务器将第一启动项属性信息中多出的4个启动项属性信息根据图2所示的方法,确定多出的4个启动项属性信息是否能够确定为第二启动项属性信息,若能够确定,则将多出的4个启动项属性信息确定为第二启动项属性信息。
进一步的,作为对上述图1所示方法的实现,本发明另一实施例还提供了一种启动项未知风险的检测装置。该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。
本发明实施例还提供一种启动项未知风险的检测装置,如图3所示,该装置包括:
扫描单元31,用于扫描局域网内各个终端设备;
第一获取单元32,用于在所述扫描单元31扫描局域网内各个终端设备的过程中,获取第一启动项属性信息;其中,所述第一启动项属性信息为终端设备中启动项对应的属性信息,所述属性信息包括:注册表的位置信息、注册表的位置信息对应的参数值、参数值指向的预置文件;
第一确定单元33,用于确定所述第一获取单元32获取的所述第一启动项属性信息与第二启动项属性信息是否一致;所述第二启动项属性信息为检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息;
第二获取单元34,用于当所述第一确定单元33确定所述第一启动项属性信息与所述第二启动项属性信息不一致时,获取所述第一启动项属性信息与所述第二启动项属性信息的差异信息;
第二确定单元35,用于当所述第二获取单元34获取的所述差异信息为所述预置文件时,确定所述预置文件是否为灰文件;
发送单元36,用于当所述第二确定单元35确定所述预置文件为灰文件,且预置时间段内包含所述预置文件对应的终端设备数量符合预置异常数量阈值时,向包含所述预置文件的终端设备下发异常警示信息,以便所述终端设备将包含所述预置文件的启动项删除。
进一步的,如图4所示,所述装置还包括:
配置单元37,用于当所述第二获取单元34获取的所述差异信息为所述参数值时,根据所述第二启动项属性信息中的参数值配置所述第一启动项属性信息中的参数值。
进一步的,如图4所示,所述装置还包括:
第三确定单元38,用于在所述第一确定单元33确定所述第一启动项属性信息与第二启动项属性信息是否一致之前,确定所述第二启动项属性信息;
存储单元39,用于在所述第三确定单元38确定所述第二启动项属性信息之后,将所述第二启动项属性信息进行存储。
进一步的,如图4所示,所述第三确定单元38包括:
获取模块381,用于获取各个终端设备的启动项属性信息;
解析模块382,用于解析所述获取模块381获取的所述启动项属性信息;
第一确定模块383,用于在所述解析模块382解析所述启动项属性信息时,确定所述启动项属性信息中是否包含预置文件;
第二确定模块384,用于当所述第一确定模块383确定所述启动项属性信息中包含预置文件时,确定所述预置文件是否为灰文件;
统计模块385,用于当所述第二确定模块384确认所述预置文件为灰文件时,统计包含所述预置文件对应的终端设备的预设数量;
配置模块386,用于当所述统计模块385统计的所述预设数量超过预置数量阈值时,将所述预置文件配置为白名单文件;
第三确定模块387,用于在所述配置模块386将所述预置文件配置为白名单文件之后,将所述启动项属性信息确定所述第二启动项属性信息;
第一删除模块388,用于当所述统计模块387统计的所述预设数量未超过预置数量阈值时,将所述预置文件所在的启动项删除。
进一步的,如图4所示,所述第三确定单元38还包括:
第二删除模块389,用于当所述第一确定模块383确定所述预置文件为黑名单文件时,将所述预置文件所在的启动项删除;
第四确定模块3810,用于当所述第一确定模块383确定所述预置文件为白名单文件时,将所述启动项属性信息确定所述第二启动项属性信息。
进一步的,如图4所示,所述第一确定单元33包括:
第一确定模块331,用于确定所述第二启动项属性信息是否包含所述第一启动项属性信息;
获取模块332,用于当所述第一确定模块332确定所述第二启动项属性信息包含所述第一启动项属性信息时,分别获取所述第二启动项属性信息与所述第一启动项属性信息中的所述注册表的位置信息、所述参数值、所述预置文件;
比对模块333,用于分别将所述获取模块332获取的所述注册表的位置信息、所述参数值、所述预置文件进行比对;
第二确定模块334,用于在所述比对模块333分别将获取的所述注册表的位置信息、所述参数值、所述预置文件进行比对过程中,确定所述注册表的位置信息、所述参数值、所述预置文件是否一致。
进一步的,如图4所示,所述第一确定单元33还包括:
第三确定模块335,用于当所述第一确定模块331确定所述第二启动项属性信息不包含所述第一启动项属性信息时,确定所述第一启动项属性信息是否为所述第二启动项属性信息。
本发明实施例提供的启动项未知风险的检测装置,服务器在检测局域网中各个终端设备的启动项是否存在未知风险时,首先,扫描各个终端设备,并获取终端设备中启动项对应的第一启动项属性信息,其次,确定第一启动项属性信息与第二启动项属性信息是否一致,该第二启动项属性信息为服务器检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息;当确定该第一启动项属性信息与该第二启动项属性信息不一致时,获取该第一启动项属性信息与该第二启动项属性信息的差异信息;若该差异信息为该预置文件,则确定该预置文件是否为灰文件;若确定该预置文件为灰文件,且预置时间段内包含该预置文件对应的终端设备数量符合预置异常数量阈值,则向包含该预置文件的终端设备下发异常警示信息,以便该终端设备将包含该预置文件的启动项删除;本发明实施例能够通过对启动项属性信息中预置文件的判断,确定终端设备中的启动项中是否存在未知风险,确保终端设备的安全。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如确定网站内链接等级的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (12)
1.一种启动项未知风险的检测方法,其特征在于,包括:
扫描局域网内各个终端设备,并获取第一启动项属性信息;其中,所述第一启动项属性信息为终端设备中启动项对应的属性信息,所述属性信息包括:注册表的位置信息、注册表的位置信息对应的参数值、参数值指向的预置文件;
确定所述第一启动项属性信息与第二启动项属性信息是否一致;所述第二启动项属性信息为检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息;
若确定所述第一启动项属性信息与所述第二启动项属性信息不一致,则获取所述第一启动项属性信息与所述第二启动项属性信息的差异信息;
若所述差异信息为所述预置文件,则确定所述预置文件是否为灰文件;
若确定所述预置文件为灰文件,且预置时间段内包含所述预置文件对应的终端设备数量符合预置异常数量阈值,则向包含所述预置文件的终端设备下发异常警示信息,以便所述终端设备将包含所述预置文件的启动项删除。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述差异信息为所述参数值,则根据所述第二启动项属性信息中的参数值配置所述第一启动项属性信息中的参数值。
3.根据权利要求2所述的方法,其特征在于,在确定所述第一启动项属性信息与第二启动项属性信息是否一致之前,所述方法还包括:
确定所述第二启动项属性信息,并将所述第二启动项属性信息进行存储。
4.根据权利要求3所述的方法,其特征在于,确定所述第二启动项属性信息包括:
获取各个终端设备的启动项属性信息;
解析所述启动项属性信息,并确定所述启动项属性信息中是否包含预置文件;
若确定所述启动项属性信息中包含预置文件,则确定所述预置文件是否为灰文件;
若确认所述预置文件为灰文件,则统计包含所述预置文件对应的终端设备的预设数量;
若所述预设数量超过预置数量阈值,则将所述预置文件配置为白名单文件,并将所述启动项属性信息确定所述第二启动项属性信息;
若所述预设数量未超过预置数量阈值,则将所述预置文件所在的启动项删除。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
若确定所述预置文件为黑名单文件,则将所述预置文件所在的启动项删除;
若确定所述预置文件为白名单文件,则将所述启动项属性信息确定所述第二启动项属性信息。
6.根据权利要求1-5中任一项所述的方法,其特征在于,确定所述第一启动项属性信息与第二启动项属性信息是否一致包括:
确定所述第二启动项属性信息是否包含所述第一启动项属性信息;
若确定所述第二启动项属性信息包含所述第一启动项属性信息,则分别获取所述第二启动项属性信息与所述第一启动项属性信息中的所述注册表的位置信息、所述参数值、所述预置文件;
分别将所述注册表的位置信息、所述参数值、所述预置文件进行比对,并确定所述注册表的位置信息、所述参数值、所述预置文件是否一致。
7.一种启动项未知风险的检测装置,其特征在于,包括:
扫描单元,用于扫描局域网内各个终端设备;
第一获取单元,用于在所述扫描单元扫描局域网内各个终端设备的过程中,获取第一启动项属性信息;其中,所述第一启动项属性信息为终端设备中启动项对应的属性信息,所述属性信息包括:注册表的位置信息、注册表的位置信息对应的参数值、参数值指向的预置文件;
第一确定单元,用于确定所述第一获取单元获取的所述第一启动项属性信息与第二启动项属性信息是否一致;所述第二启动项属性信息为检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息;
第二获取单元,用于当所述第一确定单元确定所述第一启动项属性信息与所述第二启动项属性信息不一致时,获取所述第一启动项属性信息与所述第二启动项属性信息的差异信息;
第二确定单元,用于当所述第二获取单元获取的所述差异信息为所述预置文件时,确定所述预置文件是否为灰文件;
发送单元,用于当所述第二确定单元确定所述预置文件为灰文件,且预置时间段内包含所述预置文件对应的终端设备数量符合预置异常数量阈值时,向包含所述预置文件的终端设备下发异常警示信息,以便所述终端设备将包含所述预置文件的启动项删除。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
配置单元,用于当所述第二获取单元获取的所述差异信息为所述参数值时,根据所述第二启动项属性信息中的参数值配置所述第一启动项属性信息中的参数值。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第三确定单元,用于在所述第一确定单元确定所述第一启动项属性信息与第二启动项属性信息是否一致之前,确定所述第二启动项属性信息;
储存单元,用于在所述第三确定单元确定所述第二启动项属性信息之后,将所述第二启动项属性信息进行存储。
10.根据权利要求9所述的装置,其特征在于,所述第三确定单元包括:
获取模块,用于获取各个终端设备的启动项属性信息;
解析模块,用于解析所述获取模块获取的所述启动项属性信息;
第一确定模块,用于在所述解析模块解析所述启动项属性信息时,确定所述启动项属性信息中是否包含预置文件;
第二确定模块,用于当所述第一确定模块确定所述启动项属性信息中包含预置文件时,确定所述预置文件是否为灰文件;
统计模块,用于当所述第二确定模块确认所述预置文件为灰文件时,统计包含所述预置文件对应的终端设备的预设数量;
配置模块,用于当所述统计模块统计的所述预设数量超过预置数量阈值时,将所述预置文件配置为白名单文件;
第三确定模块,用于在所述配置模块将所述预置文件配置为白名单文件之后,将所述启动项属性信息确定所述第二启动项属性信息;
第一删除模块,用于当所述统计模块统计的所述预设数量未超过预置数量阈值时,将所述预置文件所在的启动项删除。
11.根据权利要求10所述的装置,其特征在于,所述第三确定单元还包括:
第二删除模块,用于当所述第一确定模块确定所述预置文件为黑名单文件时,将所述预置文件所在的启动项删除;
第四确定模块,用于当所述第一确定模块确定所述预置文件为白名单文件时,将所述启动项属性信息确定所述第二启动项属性信息。
12.根据权利要求7-11中任一项所述的装置,其特征在于,所述第一确定单元包括:
第一确定模块,用于确定所述第二启动项属性信息是否包含所述第一启动项属性信息;
获取模块,用于当所述第一确定模块确定所述第二启动项属性信息包含所述第一启动项属性信息时,分别获取所述第二启动项属性信息与所述第一启动项属性信息中的所述注册表的位置信息、所述参数值、所述预置文件;
比对模块,用于分别将所述获取模块获取的所述注册表的位置信息、所述参数值、所述预置文件进行比对;
第二确定模块,用于在所述比对模块分别将获取的所述注册表的位置信息、所述参数值、所述预置文件进行比对过程中,确定所述注册表的位置信息、所述参数值、所述预置文件是否一致。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510959337.XA CN105590053B (zh) | 2015-12-18 | 2015-12-18 | 启动项未知风险的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510959337.XA CN105590053B (zh) | 2015-12-18 | 2015-12-18 | 启动项未知风险的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105590053A CN105590053A (zh) | 2016-05-18 |
| CN105590053B true CN105590053B (zh) | 2018-11-09 |
Family
ID=55929628
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510959337.XA Active CN105590053B (zh) | 2015-12-18 | 2015-12-18 | 启动项未知风险的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105590053B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105933186A (zh) * | 2016-06-30 | 2016-09-07 | 北京奇虎科技有限公司 | 安全检测的方法、装置及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7895654B1 (en) * | 2005-06-27 | 2011-02-22 | Symantec Corporation | Efficient file scanning using secure listing of file modification times |
| CN102314577A (zh) * | 2011-09-23 | 2012-01-11 | 深圳市万兴软件有限公司 | 实时监控和保护注册表开机启动项方法 |
| CN103530557A (zh) * | 2013-03-12 | 2014-01-22 | Tcl集团股份有限公司 | 一种基于云端海量样本的病毒apk的扫描方法及系统 |
| CN103955644A (zh) * | 2014-04-25 | 2014-07-30 | 国家电网公司 | 一种基于终端自启动项的静态木马检测方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7337359B2 (en) * | 2004-06-28 | 2008-02-26 | Hewlett-Packard Development Company, L.P. | System and method for recovering a device state |
| JP2006260106A (ja) * | 2005-03-16 | 2006-09-28 | Ricoh Co Ltd | 情報処理システム、情報処理プログラム及び記録媒体 |
-
2015
- 2015-12-18 CN CN201510959337.XA patent/CN105590053B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7895654B1 (en) * | 2005-06-27 | 2011-02-22 | Symantec Corporation | Efficient file scanning using secure listing of file modification times |
| CN102314577A (zh) * | 2011-09-23 | 2012-01-11 | 深圳市万兴软件有限公司 | 实时监控和保护注册表开机启动项方法 |
| CN103530557A (zh) * | 2013-03-12 | 2014-01-22 | Tcl集团股份有限公司 | 一种基于云端海量样本的病毒apk的扫描方法及系统 |
| CN103955644A (zh) * | 2014-04-25 | 2014-07-30 | 国家电网公司 | 一种基于终端自启动项的静态木马检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105590053A (zh) | 2016-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104123496B (zh) | 一种流氓软件的拦截方法及装置、终端 | |
| CN105303112B (zh) | 组件调用漏洞的检测方法及装置 | |
| CN104780185A (zh) | 信息分享控制方法及装置 | |
| CN103116722A (zh) | 一种通知栏消息的处理方法、装置和系统 | |
| US20090327943A1 (en) | Identifying application program threats through structural analysis | |
| CN105095749B (zh) | 状态栏通知的接管方法及装置 | |
| CN111258914A (zh) | 自动化用例测试的弹窗处理方法、装置、设备及存储介质 | |
| WO2014012500A1 (en) | Method and device for processing messages | |
| CN111885005B (zh) | 一种容器云平台服务通信方法、装置、设备及介质 | |
| CN103581185A (zh) | 对抗免杀测试的云查杀方法、装置及系统 | |
| EP2932340B2 (de) | Analyse eines geräusches eines haushaltsgerätes | |
| CN104484176B (zh) | 一种安卓系统窗口对象获取方法和装置 | |
| CN109039812A (zh) | 端口检测方法、系统和计算机可读存储介质 | |
| CN109800569A (zh) | 程序鉴别方法及装置 | |
| CN105590053B (zh) | 启动项未知风险的检测方法及装置 | |
| CN105843675B (zh) | 线程退出方法和装置 | |
| CN105183488A (zh) | 网页脚本异常处理方法及装置 | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| CN108881929B (zh) | 一种设置直播间登录提示的方法和装置 | |
| CN107818260B (zh) | 保障系统安全的方法及装置 | |
| CN104881354B (zh) | 云盘监控方法及装置 | |
| CN109981573B (zh) | 安全事件响应方法及装置 | |
| CN107908525A (zh) | 告警处理方法、设备及可读存储介质 | |
| CN110516258A (zh) | 数据校验方法及装置、存储介质、电子装置 | |
| CN105930258A (zh) | 一种参数过滤的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Co-patentee after: QAX Technology Group Inc. Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Co-patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. |