CN105933186A - 安全检测的方法、装置及系统 - Google Patents
安全检测的方法、装置及系统 Download PDFInfo
- Publication number
- CN105933186A CN105933186A CN201610509837.8A CN201610509837A CN105933186A CN 105933186 A CN105933186 A CN 105933186A CN 201610509837 A CN201610509837 A CN 201610509837A CN 105933186 A CN105933186 A CN 105933186A
- Authority
- CN
- China
- Prior art keywords
- terminal
- search
- information
- end message
- daily record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 55
- 238000000034 method Methods 0.000 claims abstract description 64
- 206010048669 Terminal state Diseases 0.000 abstract 2
- 230000000875 corresponding effect Effects 0.000 description 38
- 206010000117 Abnormal behaviour Diseases 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000033228 biological regulation Effects 0.000 description 5
- 239000000203 mixture Substances 0.000 description 5
- 230000003542 behavioural effect Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 241000287181 Sturnus vulgaris Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 238000001035 drying Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种安全检测的方法、装置及系统,涉及互联网技术领域,能够解决现有对局域网内终端进行安全检测时,无法有效地发现隐藏威胁的问题。本发明的方法包括:搜索平台接收前端发送的搜索指令,所述搜索指令中携带有搜索范围以及用于评估终端是否安全的搜索信息;根据所述搜索信息对所述搜索范围内的终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识,所述终端信息包括终端行为信息和/或终端状态信息;将所述终端信息以及所述终端信息对应的终端标识发送给所述前端,以便所述前端根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。本发明主要适用于检测企业终端安全的场景中。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种安全检测的方法、装置及系统。
背景技术
随着互联网技术的高速发展,在一个企业运营过程中,不仅需要有条理的管理员工,还需要有效地对员工使用的电脑进行管理。
现有的对企业内部终端进行管理的具体内容主要包括:设置员工的访问权限;向终端下发安全扫描任务、企业软件漏洞修复任务、软件升级任务等。其中,当企业管理员利用管理平台向企业内部终端下发安全扫描任务后,终端会启动安装的杀毒软件进行安全扫描以及病毒查杀操作。基于现有的杀毒软件进行安全检测时,主要依靠特征库签名、黑名单等方式发现威胁,但是这些方式仅能检测出已有的威胁(例如黑名单中的病毒或者攻击),而无法检测出隐藏的其他威胁,并且若当这些隐藏的威胁在企业内部大量扩散后,企业员工才发现重要文件受损或者被盗,将会给企业带来重大损失。由此可知,如何更有效地对局域网内的终端进行安全检测是当今一大难题。
发明内容
有鉴于此,本发明提供一种安全检测的方法、装置及系统,其目的在于解决现有技术中对局域网内终端进行安全检测时,无法有效地发现隐藏威胁的问题。
第一方面,本发明提供了一种安全检测的方法,所述方法包括:
接收前端发送的搜索指令,所述搜索指令中携带有搜索范围以及用于评估终端是否安全的搜索信息;
根据所述搜索信息对所述搜索范围内的终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识,所述终端信息包括终端行为信息和/或终端状态信息;
将所述终端信息以及所述终端信息对应的终端标识发送给所述前端,以便所述前端根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
第二方面,本发明提供了一种安全检测的方法,所述方法包括:
获取搜索范围以及用于评估终端是否安全的搜索信息;
将携带所述搜索范围以及所述搜索信息的搜索指令发送给搜索平台;
接收所述搜索平台发送的、满足所述搜索范围以及所述搜索信息的终端信息以及所述终端信息对应的终端标识,所述终端信息包括终端行为信息和/或终端状态信息;
显示所述终端信息以及所述终端信息对应的终端标识,以便根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
第三方面,本发明提供了一种安全检测的装置,所述装置包括:
接收单元,用于接收前端发送的搜索指令,所述搜索指令中携带有搜索范围以及用于评估终端是否安全的搜索信息;
搜索单元,用于根据所述搜索信息对所述搜索范围内的终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识,所述终端信息包括终端行为信息和/或终端状态信息;
发送单元,用于将所述搜索单元获得的所述终端信息以及所述终端信息对应的终端标识发送给所述前端,以便所述前端根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
第四方面,本发明提供了一种安全检测的装置,所述装置包括:
获取单元,用于获取搜索范围以及用于评估终端是否安全的搜索信息;
发送单元,用于将携带所述获取单元获得的所述搜索范围以及所述搜索信息的搜索指令发送给搜索平台;
接收单元,用于接收所述搜索平台发送的、满足所述搜索范围以及所述搜索信息的终端信息以及所述终端信息对应的终端标识,所述终端信息包括终端行为信息和/或终端状态信息;
显示单元,用于显示所述接收单元接收的所述终端信息以及所述终端信息对应的终端标识,以便根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
第五方面,本发明提供了一种安全检测的系统,其特征在于,所述系统包括:搜索平台以及前端;其中,所述搜索平台包括如第三方面所述的装置,所述前端包括如第四方面所述的装置。
借由上述技术方案,本发明提供的安全检测的方法、装置及系统,能够当管理员需要获知局域网内的终端是否安全时,管理员在前端的搜索界面输入搜索范围以及用于评估终端是否安全的搜索信息,前端接收到这些信息后,将这些信息上报给搜索平台;搜索平台接收到搜索范围以及搜索信息后,开始对搜索范围内的终端进行搜索,从而获得满足搜索信息的终端信息(包括终端行为信息和/或终端状态信息)以及对应的终端标识,并将这些终端信息以及对应的终端标识反馈给前端进行显示,进而管理员可以对显示的搜索结果进行综合分析,及时发现并处理终端的异常行为。由此可知,与现有技术中仅能发现已知的威胁而无法及时发现隐藏的威胁相比,本发明通过对局域网内终端的行为信息以及状态信息进行搜索并分析,不仅能够及时发现已知的威胁,还能够及时发现隐藏的威胁,从而提高了对局域网内终端进行安全检测的有效性以及完善性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种安全检测的方法的流程图;
图2示出了本发明实施例提供的另一种安全检测的方法的流程图;
图3示出了本发明实施例提供的一种安全检测的装置的组成框图;
图4示出了本发明实施例提供的另一种安全检测的装置的组成框图;
图5示出了本发明实施例提供的另一种安全检测的装置的组成框图;
图6示出了本发明实施例提供的另一种安全检测的装置的组成框图;
图7示出了本发明实施例提供的一种安全检测的系统示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种安全检测的方法,该方法主要应用于搜索平台侧,如图1所示,该方法主要包括:
101、接收前端发送的搜索指令。
其中,搜索指令中携带有搜索范围以及用于评估终端是否安全的搜索信息,且搜索信息包括至少一条。例如搜索信息可以为:操作系统信息、账号信息、安装的软件列表、杀毒软件、终端网络IP(Internet Protocol,网间协议)行为审计、终端网络DNS(Domain Name System,域名解析系统)行为审计、当前活动进程、当前程序联网情况以及WEB(World Wide Web,万维网)访问记录。
当管理员需要搜索局域网内终端信息时,可以在前端的搜索界面中输入需要搜索的搜索范围以及待搜索的搜索信息,然后生成携带搜索范围以及搜索信息的搜索指令,并将该搜索指令发送给搜索平台,以便搜索平台根据搜索指令进行搜索操作。
需要说明的是,在实际应用中,管理员可以在前端搜索界面设置搜索周期、搜索范围以及搜索信息,以使得前端根据提前设置好的搜索范围以及搜索信息定期生成搜索指令,下发给搜索平台进行搜索操作。
102、根据所述搜索信息对所述搜索范围内的终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识。
其中,终端信息为与搜索信息相对应的搜索结果,主要包括:终端行为信息和/或终端状态信息。终端行为信息用于描述终端的操作行为,例如终端拒绝修复前端发送的补丁,终端访问过哪些网站等;终端状态信息用于描述终端当前的状态,例如终端当前开启了哪几个进程,终端的到目前为止安装了哪些软件等。
对局域网内终端进行搜索的具体实现方式可以为:搜索平台向终端发送携带搜索信息的信息上报命令,以便终端根据信息上报命令中的内容向搜索平台上报对应的信息;搜索平台还可以让终端上报终端日志,然后对终端日志进行分析,获得与搜索信息对应的终端行为信息和/或终端状态信息。
103、将所述终端信息以及所述终端信息对应的终端标识发送给所述前端,以便所述前端根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
当搜索平台获得搜索结果后,可以将搜索结果反馈给前端,以便前端将搜索结果显示在搜索界面中,从而使得管理员对搜索结果进行分析,判断是否存在终端异常,进而确定终端是否安全。
需要补充的是,在实际应用中,管理员可以根据分析经验,编写一套分析规则,供搜索平台自动化分析搜索结果,从而提高分析效率。
本发明实施例提供的安全检测的方法,能够当搜索平台接收到前端发送的搜索范围以及用于评估终端是否安全的搜索信息后,开始对搜索范围内的终端进行搜索,从而获得满足搜索信息的终端信息(包括终端行为信息和/或终端状态信息)以及对应的终端标识,并将这些终端信息以及对应的终端标识反馈给前端进行显示,进而管理员可以对显示的搜索结果进行综合分析,及时发现并处理终端的异常行为。由此可知,与现有技术中仅能发现已知的威胁而无法及时发现隐藏的威胁相比,本发明通过对局域网内终端的行为信息以及状态信息进行搜索并分析,不仅能够及时发现已知的威胁,还能够及时发现隐藏的威胁,从而提高了对局域网内终端进行安全检测的有效性以及完善性。
进一步的,由于一般情况下,管理员基于前端搜索界面进行搜索后,局域网内的终端都是安全的,所以管理员持续盯着搜索界面进行搜索十分消耗人力。因此,为了减少搜索次数、提高搜索效率,本发明实施例提供了以下方案:
(a)在接收前端发送的搜索指令之前,搜索平台根据预设采集规则,采集终端日志、防火墙日志以及前端日志。
由于通过防火墙日志可以分析出终端与终端之间的交互信息,通过前端日志可以分析出前端对终端下发的指令,以及各个终端对指令的响应情况,所以本发明实施例为了提高对终端分析的完善性,在采集终端日志的同时,还采集了防火墙日志以及前端日志。
在实际应用中,搜索平台可以定期甚至实时采集终端日志、防火墙日志以及前端日志,以便及时获得终端、防火墙以及前端产生的新操作;管理员还可以根据实际需求,通过前端向搜索平台下发采集指令,使得搜索平台在接收到前端发送的采集指令后,再采集终端日志、防火墙日志以及前端日志。
(b)通过将所述终端日志、所述防火墙日志以及所述前端日志与预设告警规则进行匹配,确定威胁终端。
当采集到终端日志、防火墙日志以及前端日志后,可以根据预设告警规则对这些日志进行综合分析,以判断终端行为是否异常,从而判断该终端是否为威胁终端。例如,若某终端访问过一个可疑域名,则可以将该终端确定为威胁终端。又如,某终端曾多次拒绝前端下发的安全扫描指令,则可以将该终端确定为威胁终端。
(c)将携带所述威胁终端的终端标识的告警提示信息发送给所述前端。
前端接收并显示搜索平台发送的告警提示信息后,管理员获知局域网内存在受威胁的终端,从而立即进入搜索界面进行搜索,实现二次检测,进而提高了对局域网内终端安全检测的准确性。
需要补充的是,当搜索平台根据搜索指令对终端进行搜索时,可以直接从存储终端日志、防火墙日志以及前端日志的数据库中获取满足搜索范围的日志,然后根据搜索信息对获得的日志进行解析,从中获得满足搜索信息的终端行为信息和/或者终端状态信息,以及对应的终端标识。
需要说明的是,在实际应用中,搜索平台可以由数据库、告警服务器以及搜索服务器组成;其中,数据库用于存储日志数据,告警服务器用于根据预设告警规则对数据库中的日志数据进行进行检测,搜索服务器用于基于前端发送的搜索指令对终端进行搜索。
进一步的,当前端接收到告警提示信息后,管理员可以着重针对告警提示信息中的威胁终端的终端行为信息以及终端状态进行搜索,以便进一步确认该终端是否安全;也可以对局域网内的所有终端进行搜索,以防止发生遗漏。
进一步的,依据图1所示的方法,本发明的另一个实施例还提供了一种安全检测的方法,该方法主要应用于前端,如图2所示,该方法主要包括:
201、获取搜索范围以及用于评估终端是否安全的搜索信息。
当管理员需要搜索终端信息时,可以在前端的搜索界面中输入搜索范围以及搜索信息,前端接收到这些信息后,可以生成搜索指令,并将搜索指令下发给搜索平台进行搜索。
在实际应用中,管理员可以在搜索界面设置搜索周期、搜索范围以及搜索信息,然后根据预置搜索周期获取预置的搜索范围以及预置的搜索信息,实现自动周期性地向搜索平台发送搜索指令的功能,从而减少了管理员输入搜索范围、搜索信息的次数,进而避免了大量人力的消耗。
此外,当员工发现其所使用的终端发生异常(即威胁终端)时,可以通过该终端向前端发送威胁告警信息;管理员看到威胁告警信息后,可以对局域网内的所有终端进行搜索,以便及时确定该威胁终端是否确实收到威胁,并及时搜索出局域网内存在的其他威胁终端。
202、将携带所述搜索范围以及所述搜索信息的搜索指令发送给搜索平台。
203、接收所述搜索平台发送的、满足所述搜索范围以及所述搜索信息的终端信息以及所述终端信息对应的终端标识。
其中,终端信息为与搜索信息相对应的搜索结果,主要包括:包括终端行为信息和/或终端状态信息。
204、显示所述终端信息以及所述终端信息对应的终端标识,以便根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
当前端接收到搜索平台发送的搜索结果后,可以根据终端标识,分组显示出对应终端的终端信息,并且还可以提取不同终端的共同特征,在另一组中进行显示,从而使得管理员能够清楚地看出各自终端存在的问题以及他们共同存在的问题。
本发明实施例提供的安全检测的方法,能够当管理员需要获知局域网内的终端是否安全时,管理员在前端的搜索界面输入搜索范围以及用于评估终端是否安全的搜索信息,前端接收到这些信息后,将这些信息上报给搜索平台,以便搜索平台接收到搜索范围以及搜索信息后,能够对搜索范围内的终端进行搜索,获得满足搜索信息的终端信息(包括终端行为信息和/或终端状态信息)以及对应的终端标识;然后前端接收并显示搜索平台发送的搜索结果,从而管理员可以对显示的搜索结果进行综合分析,及时发现并处理终端的异常行为。由此可知,与现有技术中仅能发现已知的威胁而无法及时发现隐藏的威胁相比,本发明通过对局域网内终端的行为信息以及状态信息进行搜索并分析,不仅能够及时发现已知的威胁,还能够及时发现隐藏的威胁,从而提高了对局域网内终端进行安全检测的有效性以及完善性。
进一步的,为了减少搜索次数、提高搜索效率,可以由搜索平台定期(或者实时)采集终端日志、防火墙日志以及前端日志,并根据预设告警规则,检测威胁终端,并在确定存在威胁终端时,将携带威胁终端的终端标识的告警提示信息发送前端,以便前端接收并显示搜索平台发送的、携带威胁终端的终端标识的告警提示信息以后,再由启动搜索操作。
本发明实施例先通过搜索平台实时根据预设告警规则对与终端相关的日志数据进行分析,实现对终端的初步安全检测,再通过初步安全检测结果进行搜索,实现二次检测,能够进一步提高安全检测的准确率。
进一步的,当前端接收到告警提示信息后,为了着重对告警提示信息中的威胁终端进行搜索,前端可以自动将搜索范围确定为威胁终端,使得管理员只需输入搜索信息,从而减少了管理员输入搜索范围消耗的时间。
进一步的,依据图1所示的方法实施例,本发明的另一个实施例还提供了一种安全检测的装置,该装置主要应用于搜索平台侧,如图3所示,该装置主要包括:接收单元31、搜索单元32以及发送单元33。其中,
接收单元31,用于接收前端发送的搜索指令,所述搜索指令中携带有搜索范围以及用于评估终端是否安全的搜索信息;
搜索单元32,用于根据所述搜索信息对所述搜索范围内的终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识,所述终端信息包括终端行为信息和/或终端状态信息;
发送单元33,用于将所述搜索单元32获得的所述终端信息以及所述终端信息对应的终端标识发送给所述前端,以便所述前端根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
进一步的,如图4所示,所述装置还包括:
采集单元34,用于在所述接收单元31接收前端发送的搜索指令之前,根据预设采集规则,采集终端日志、防火墙日志以及前端日志;
确定单元35,用于通过将所述采集单元34采集的所述终端日志、所述防火墙日志以及所述前端日志与预设告警规则进行匹配,确定威胁终端;
所述发送单元33还用于将携带所述确定单元35确定的所述威胁终端的终端标识的告警提示信息发送给所述前端。
进一步的,所述搜索单元32用于根据所述搜索指令中的搜索信息对所述威胁终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识。
进一步的,所述搜索单元32用于根据所述搜索指令中的搜索信息对采集的终端日志、防火墙日志以及前端日志进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识。
进一步的,如图4所示,所述采集单元34包括:
第一采集模块341,用于定期采集所述终端日志、所述防火墙日志以及所述前端日志;
第二采集模块342,用于在接收到所述前端发送的采集指令后,采集所述终端日志、所述防火墙日志以及所述前端日志。
进一步的,所述接收单元31用于定期接收所述前端发送的搜索指令。
本发明实施例提供的安全检测的装置,能够当搜索平台接收到前端发送的搜索范围以及用于评估终端是否安全的搜索信息后,开始对搜索范围内的终端进行搜索,从而获得满足搜索信息的终端信息(包括终端行为信息和/或终端状态信息)以及对应的终端标识,并将这些终端信息以及对应的终端标识反馈给前端进行显示,进而管理员可以对显示的搜索结果进行综合分析,及时发现并处理终端的异常行为。由此可知,与现有技术中仅能发现已知的威胁而无法及时发现隐藏的威胁相比,本发明通过对局域网内终端的行为信息以及状态信息进行搜索并分析,不仅能够及时发现已知的威胁,还能够及时发现隐藏的威胁,从而提高了对局域网内终端进行安全检测的有效性以及完善性。
进一步的,依据图2所示的方法实施例,本发明的另一个实施例还提供了一种安全检测的装置,该装置主要应用于前端,如图5所示,该装置主要包括:获取单元41、发送单元42、接收单元43以及显示单元44。其中,
获取单元41,用于获取搜索范围以及用于评估终端是否安全的搜索信息;
发送单元42,用于将携带所述获取单元41获得的所述搜索范围以及所述搜索信息的搜索指令发送给搜索平台;
接收单元43,用于接收所述搜索平台发送的、满足所述搜索范围以及所述搜索信息的终端信息以及所述终端信息对应的终端标识,所述终端信息包括终端行为信息和/或终端状态信息;
显示单元44,用于显示所述接收单元43接收的所述终端信息以及所述终端信息对应的终端标识,以便根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
进一步的,所述接收单元43用于在获取搜索范围以及用于评估终端是否安全的搜索信息之前,接收所述搜索平台发送的、携带威胁终端的终端标识的告警提示信息;
所述显示单元44用于显示包含所述威胁终端的终端标识的所述告警提示信息。
进一步的,所述获取单元41用于将所述搜索范围确定为所述威胁终端。
进一步的,如图6所示,所述获取单元41包括:
第一获取模块411,用于根据预置搜索周期获取预置的搜索范围以及预置的搜索信息。
进一步的,如图6所示,所述获取单元41包括:
第二获取模块412,用于在接收到威胁终端上报的威胁告警信息后,获取所述搜索范围以及所述搜索信息。
本发明实施例提供的安全检测的装置,能够当管理员需要获知局域网内的终端是否安全时,管理员在前端的搜索界面输入搜索范围以及用于评估终端是否安全的搜索信息,前端接收到这些信息后,将这些信息上报给搜索平台,以便搜索平台接收到搜索范围以及搜索信息后,能够对搜索范围内的终端进行搜索,获得满足搜索信息的终端信息(包括终端行为信息和/或终端状态信息)以及对应的终端标识;然后前端接收并显示搜索平台发送的搜索结果,从而管理员可以对显示的搜索结果进行综合分析,及时发现并处理终端的异常行为。由此可知,与现有技术中仅能发现已知的威胁而无法及时发现隐藏的威胁相比,本发明通过对局域网内终端的行为信息以及状态信息进行搜索并分析,不仅能够及时发现已知的威胁,还能够及时发现隐藏的威胁,从而提高了对局域网内终端进行安全检测的有效性以及完善性。
进一步的,依据上述装置实施例,本发明的另一个实施例还提供了一种安全检测的系统,如图7所示,所述系统包括:搜索平台51以及前端52;其中,所述搜索平台51包括如图3或4所示的装置,所述前端52包括如图5或6所示的装置。
本发明提供的安全检测的系统,能够当管理员需要获知局域网内的终端是否安全时,管理员在前端的搜索界面输入搜索范围以及用于评估终端是否安全的搜索信息,前端接收到这些信息后,将这些信息上报给搜索平台;搜索平台接收到搜索范围以及搜索信息后,开始对搜索范围内的终端进行搜索,从而获得满足搜索信息的终端信息(包括终端行为信息和/或终端状态信息)以及对应的终端标识,并将这些终端信息以及对应的终端标识反馈给前端进行显示,进而管理员可以对显示的搜索结果进行综合分析,及时发现并处理终端的异常行为。由此可知,与现有技术中仅能发现已知的威胁而无法及时发现隐藏的威胁相比,本发明通过对局域网内终端的行为信息以及状态信息进行搜索并分析,不仅能够及时发现已知的威胁,还能够及时发现隐藏的威胁,从而提高了对局域网内终端进行安全检测的有效性以及完善性。
本发明实施例还公开了:
A1、一种安全检测的方法,所述方法包括:
接收前端发送的搜索指令,所述搜索指令中携带有搜索范围以及用于评估终端是否安全的搜索信息;
根据所述搜索信息对所述搜索范围内的终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识,所述终端信息包括终端行为信息和/或终端状态信息;
将所述终端信息以及所述终端信息对应的终端标识发送给所述前端,以便所述前端根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
A2、根据A1所述的方法,在接收前端发送的搜索指令之前,所述方法还包括:
根据预设采集规则,采集终端日志、防火墙日志以及前端日志;
通过将所述终端日志、所述防火墙日志以及所述前端日志与预设告警规则进行匹配,确定威胁终端;
将携带所述威胁终端的终端标识的告警提示信息发送给所述前端。
A3、根据A2所述的方法,根据所述搜索信息对所述搜索范围内的终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识包括:
根据所述搜索指令中的搜索信息对所述威胁终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识。
A4、根据A2所述的方法,根据所述搜索信息对所述搜索范围内的终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识包括:
根据所述搜索指令中的搜索信息对采集的终端日志、防火墙日志以及前端日志进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识。
A5、根据A2所述的方法,根据预设采集规则,采集终端日志、防火墙日志以及前端日志包括:
定期采集所述终端日志、所述防火墙日志以及所述前端日志;
或者,在接收到所述前端发送的采集指令后,采集所述终端日志、所述防火墙日志以及所述前端日志。
A6、根据A1至A5中任一项所述的方法,接收前端发送的搜索指令包括:
定期接收所述前端发送的搜索指令。
B7、一种安全检测的方法,所述方法包括:
获取搜索范围以及用于评估终端是否安全的搜索信息;
将携带所述搜索范围以及所述搜索信息的搜索指令发送给搜索平台;
接收所述搜索平台发送的、满足所述搜索范围以及所述搜索信息的终端信息以及所述终端信息对应的终端标识,所述终端信息包括终端行为信息和/或终端状态信息;
显示所述终端信息以及所述终端信息对应的终端标识,以便根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
B8、根据B7所述的方法,在获取搜索范围以及用于评估终端是否安全的搜索信息之前,所述方法还包括:
接收所述搜索平台发送的、携带威胁终端的终端标识的告警提示信息;
显示包含所述威胁终端的终端标识的所述告警提示信息。
B9、根据B8所述的方法,获取搜索范围包括:
将所述搜索范围确定为所述威胁终端。
B10、根据B7所述的方法,获取搜索范围以及用于评估终端是否安全的搜索信息包括:
根据预置搜索周期获取预置的搜索范围以及预置的搜索信息。
B11、根据B7至B10中任一项所述的方法,获取搜索范围以及用于评估终端是否安全的搜索信息包括:
在接收到威胁终端上报的威胁告警信息后,获取所述搜索范围以及所述搜索信息。
C12、一种安全检测的装置,所述装置包括:
接收单元,用于接收前端发送的搜索指令,所述搜索指令中携带有搜索范围以及用于评估终端是否安全的搜索信息;
搜索单元,用于根据所述搜索信息对所述搜索范围内的终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识,所述终端信息包括终端行为信息和/或终端状态信息;
发送单元,用于将所述搜索单元获得的所述终端信息以及所述终端信息对应的终端标识发送给所述前端,以便所述前端根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
C13、根据C12所述的装置,所述装置还包括:
采集单元,用于在所述接收单元接收前端发送的搜索指令之前,根据预设采集规则,采集终端日志、防火墙日志以及前端日志;
确定单元,用于通过将所述采集单元采集的所述终端日志、所述防火墙日志以及所述前端日志与预设告警规则进行匹配,确定威胁终端;
所述发送单元还用于将携带所述确定单元确定的所述威胁终端的终端标识的告警提示信息发送给所述前端。
C14、根据C13所述的装置,所述搜索单元用于根据所述搜索指令中的搜索信息对所述威胁终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识。
C15、根据C13所述的装置,所述搜索单元用于根据所述搜索指令中的搜索信息对采集的终端日志、防火墙日志以及前端日志进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识。
C16、根据C13所述的装置,所述采集单元包括:
第一采集模块,用于定期采集所述终端日志、所述防火墙日志以及所述前端日志;
第二采集模块,用于在接收到所述前端发送的采集指令后,采集所述终端日志、所述防火墙日志以及所述前端日志。
C17、根据C12至C16中任一项所述的装置,所述接收单元用于定期接收所述前端发送的搜索指令。
D18、一种安全检测的装置,所述装置包括:
获取单元,用于获取搜索范围以及用于评估终端是否安全的搜索信息;
发送单元,用于将携带所述获取单元获得的所述搜索范围以及所述搜索信息的搜索指令发送给搜索平台;
接收单元,用于接收所述搜索平台发送的、满足所述搜索范围以及所述搜索信息的终端信息以及所述终端信息对应的终端标识,所述终端信息包括终端行为信息和/或终端状态信息;
显示单元,用于显示所述接收单元接收的所述终端信息以及所述终端信息对应的终端标识,以便根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
D19、根据D18所述的装置,所述接收单元用于在获取搜索范围以及用于评估终端是否安全的搜索信息之前,接收所述搜索平台发送的、携带威胁终端的终端标识的告警提示信息;
所述显示单元用于显示包含所述威胁终端的终端标识的所述告警提示信息。
D20、根据D19所述的装置,所述获取单元用于将所述搜索范围确定为所述威胁终端。
D21、根据D18所述的装置,所述获取单元包括:
第一获取模块,用于根据预置搜索周期获取预置的搜索范围以及预置的搜索信息。
D22、根据D18至D21中任一项所述的装置,所述获取单元包括:
第二获取模块,用于在接收到威胁终端上报的威胁告警信息后,获取所述搜索范围以及所述搜索信息。
E23、一种安全检测的系统,所述系统包括:搜索平台以及前端;其中,所述搜索平台包括如C12至C17中任一项所述的装置,所述前端包括如D18至D22中任一项所述的装置。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的安全检测的方法、装置及系统中的的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种安全检测的方法,其特征在于,所述方法包括:
接收前端发送的搜索指令,所述搜索指令中携带有搜索范围以及用于评估终端是否安全的搜索信息;
根据所述搜索信息对所述搜索范围内的终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识,所述终端信息包括终端行为信息和/或终端状态信息;
将所述终端信息以及所述终端信息对应的终端标识发送给所述前端,以便所述前端根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
2.根据权利要求1所述的方法,其特征在于,在接收前端发送的搜索指令之前,所述方法还包括:
根据预设采集规则,采集终端日志、防火墙日志以及前端日志;
通过将所述终端日志、所述防火墙日志以及所述前端日志与预设告警规则进行匹配,确定威胁终端;
将携带所述威胁终端的终端标识的告警提示信息发送给所述前端。
3.根据权利要求2所述的方法,其特征在于,根据所述搜索信息对所述搜索范围内的终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识包括:
根据所述搜索指令中的搜索信息对所述威胁终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识。
4.根据权利要求2所述的方法,其特征在于,根据所述搜索信息对所述搜索范围内的终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识包括:
根据所述搜索指令中的搜索信息对采集的终端日志、防火墙日志以及前端日志进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识。
5.根据权利要求2所述的方法,其特征在于,根据预设采集规则,采集终端日志、防火墙日志以及前端日志包括:
定期采集所述终端日志、所述防火墙日志以及所述前端日志;
或者,在接收到所述前端发送的采集指令后,采集所述终端日志、所述防火墙日志以及所述前端日志。
6.根据权利要求1至5中任一项所述的方法,其特征在于,接收前端发送的搜索指令包括:
定期接收所述前端发送的搜索指令。
7.一种安全检测的方法,其特征在于,所述方法包括:
获取搜索范围以及用于评估终端是否安全的搜索信息;
将携带所述搜索范围以及所述搜索信息的搜索指令发送给搜索平台;
接收所述搜索平台发送的、满足所述搜索范围以及所述搜索信息的终端信息以及所述终端信息对应的终端标识,所述终端信息包括终端行为信息和/或终端状态信息;
显示所述终端信息以及所述终端信息对应的终端标识,以便根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
8.一种安全检测的装置,其特征在于,所述装置包括:
接收单元,用于接收前端发送的搜索指令,所述搜索指令中携带有搜索范围以及用于评估终端是否安全的搜索信息;
搜索单元,用于根据所述搜索信息对所述搜索范围内的终端进行搜索,获得满足所述搜索信息的终端信息以及所述终端信息对应的终端标识,所述终端信息包括终端行为信息和/或终端状态信息;
发送单元,用于将所述搜索单元获得的所述终端信息以及所述终端信息对应的终端标识发送给所述前端,以便所述前端根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
9.一种安全检测的装置,其特征在于,所述装置包括:
获取单元,用于获取搜索范围以及用于评估终端是否安全的搜索信息;
发送单元,用于将携带所述获取单元获得的所述搜索范围以及所述搜索信息的搜索指令发送给搜索平台;
接收单元,用于接收所述搜索平台发送的、满足所述搜索范围以及所述搜索信息的终端信息以及所述终端信息对应的终端标识,所述终端信息包括终端行为信息和/或终端状态信息;
显示单元,用于显示所述接收单元接收的所述终端信息以及所述终端信息对应的终端标识,以便根据所述终端信息中的终端行为信息和/或终端状态信息判断对应的终端是否安全。
10.一种安全检测的系统,其特征在于,所述系统包括:搜索平台以及前端;其中,所述搜索平台包括如权利要求8所述的装置,所述前端包括如权利要求9所述的装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610509837.8A CN105933186A (zh) | 2016-06-30 | 2016-06-30 | 安全检测的方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610509837.8A CN105933186A (zh) | 2016-06-30 | 2016-06-30 | 安全检测的方法、装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105933186A true CN105933186A (zh) | 2016-09-07 |
Family
ID=56829831
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610509837.8A Pending CN105933186A (zh) | 2016-06-30 | 2016-06-30 | 安全检测的方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105933186A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
CN109962886A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 网络终端威胁的检测方法及装置 |
CN113839912A (zh) * | 2020-06-24 | 2021-12-24 | 极客信安(北京)科技有限公司 | 主被动结合进行异常主机分析的方法、装置、介质和设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105207826A (zh) * | 2015-10-26 | 2015-12-30 | 南京联成科技发展有限公司 | 一种基于Tachyou的Spark大数据平台的安全攻击告警定位系统 |
CN105262777A (zh) * | 2015-11-13 | 2016-01-20 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
CN105488412A (zh) * | 2015-06-19 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 基于android终端日志的恶意代码检测方法及系统 |
CN105553957A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 基于大数据的网络安全态势感知预警方法和系统 |
CN105590053A (zh) * | 2015-12-18 | 2016-05-18 | 北京奇虎科技有限公司 | 启动项未知风险的检测方法及装置 |
-
2016
- 2016-06-30 CN CN201610509837.8A patent/CN105933186A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105488412A (zh) * | 2015-06-19 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 基于android终端日志的恶意代码检测方法及系统 |
CN105207826A (zh) * | 2015-10-26 | 2015-12-30 | 南京联成科技发展有限公司 | 一种基于Tachyou的Spark大数据平台的安全攻击告警定位系统 |
CN105262777A (zh) * | 2015-11-13 | 2016-01-20 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
CN105553957A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 基于大数据的网络安全态势感知预警方法和系统 |
CN105590053A (zh) * | 2015-12-18 | 2016-05-18 | 北京奇虎科技有限公司 | 启动项未知风险的检测方法及装置 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109962886A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 网络终端威胁的检测方法及装置 |
CN109962886B (zh) * | 2017-12-22 | 2021-10-29 | 北京安天网络安全技术有限公司 | 网络终端威胁的检测方法及装置 |
CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
CN108763031B (zh) * | 2018-04-08 | 2022-05-24 | 奇安信科技集团股份有限公司 | 一种基于日志的威胁情报检测方法及装置 |
CN113839912A (zh) * | 2020-06-24 | 2021-12-24 | 极客信安(北京)科技有限公司 | 主被动结合进行异常主机分析的方法、装置、介质和设备 |
CN113839912B (zh) * | 2020-06-24 | 2023-08-22 | 极客信安(北京)科技有限公司 | 主被动结合进行异常主机分析的方法、装置、介质和设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11757945B2 (en) | Collaborative database and reputation management in adversarial information environments | |
Sapienza et al. | Early warnings of cyber threats in online discussions | |
CN106411578B (zh) | 一种适应于电力行业的网站监控系统及方法 | |
CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
CN104509034B (zh) | 模式合并以识别恶意行为 | |
CN113486351A (zh) | 一种民航空管网络安全检测预警平台 | |
US8813228B2 (en) | Collective threat intelligence gathering system | |
CN106357689B (zh) | 威胁数据的处理方法及系统 | |
CN106650436B (zh) | 一种基于局域网的安全检测方法和装置 | |
US10642906B2 (en) | Detection of coordinated cyber-attacks | |
US20190044961A1 (en) | System and methods for computer network security involving user confirmation of network connections | |
CN103763124A (zh) | 一种互联网用户行为分析预警系统及方法 | |
CN105391729A (zh) | 基于模糊测试的web漏洞自动挖掘方法 | |
US11968239B2 (en) | System and method for detection and mitigation of data source compromises in adversarial information environments | |
CN104811447A (zh) | 一种基于攻击关联的安全检测方法和系统 | |
Husák et al. | Towards predicting cyber attacks using information exchange and data mining | |
CN105933186A (zh) | 安全检测的方法、装置及系统 | |
CN116662989A (zh) | 一种安全数据解析方法及系统 | |
CN104579819B (zh) | 网络安全检测方法以及装置 | |
US10897472B1 (en) | IT computer network threat analysis, detection and containment | |
CN114301659A (zh) | 网络攻击预警方法、系统、设备及存储介质 | |
Zawoad et al. | Phish-net: investigating phish clusters using drop email addresses | |
Erlansari et al. | Early Intrusion Detection System (IDS) using Snort and Telegram approach | |
US20080072321A1 (en) | System and method for automating network intrusion training | |
Laurenza et al. | An architecture for semi-automatic collaborative malware analysis for cis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Applicant after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Applicant after: QAX Technology Group Inc. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Applicant before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160907 |