CN117692155A - 局域网络的安全管控方法、装置、介质及设备 - Google Patents
局域网络的安全管控方法、装置、介质及设备 Download PDFInfo
- Publication number
- CN117692155A CN117692155A CN202211076160.5A CN202211076160A CN117692155A CN 117692155 A CN117692155 A CN 117692155A CN 202211076160 A CN202211076160 A CN 202211076160A CN 117692155 A CN117692155 A CN 117692155A
- Authority
- CN
- China
- Prior art keywords
- target
- detected
- program
- features
- local area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 230000006399 behavior Effects 0.000 claims description 119
- 238000007726 management method Methods 0.000 claims description 43
- 238000001514 detection method Methods 0.000 claims description 36
- 238000004590 computer program Methods 0.000 claims description 8
- 230000003542 behavioural effect Effects 0.000 claims description 7
- 238000004422 calculation algorithm Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 description 17
- 230000002093 peripheral effect Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 8
- 238000013461 design Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000002452 interceptive effect Effects 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种局域网络的安全管控方法、局域网络的安全管控装置、计算机可读存储介质及电子设备,涉及网络安全技术领域。该方法包括:收集关于目标局域网络对应的可执行程序,获取关于上述可执行程序的程序特征以及每个程序特征对应的行为特征,得到目标局域网络对应的特征库。对于该目标局域网络中的待检测目标,将其与特征库进行匹配。在待检测目标的程序特征与特征库中的目标程序特征相匹配,且待检测目标的行为特征与目标程序特征对应的行为特征不匹配的情况下,则确定上述待检测目标属于非法类型,并发出警报和/或阻止待检测目标运行。本技术方案能够提升对局域网络的安全管控效率,从而有效保障网络安全。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种局域网络的安全管控方法及装置、计算机可读存储介质及电子设备。
背景技术
随着计算机技术的不断发展,网络安全已成为人们日益关注的问题。其中,对进程行为的监控属于重要的计算机监控技术之一。当前对局域网络的安全管理一般是采用黑名单机制,具体为收集网络内所有的非法程序、非法行为等得到黑名单。再基于所收集的黑名单内容来判断当前进程行为是否为合法进程,以及进一步地是否需要进行拦截管控。
然而,相关技术提供方法所面临以下问题,网内进程行为层出不穷,难以实现全部收集,因此黑名单中的内容也会随之越来越多,进而导致对局域网络的安全管控效率低,无法有效保障网络安全。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种局域网络的安全管控方法、局域网络的安全管控装置、计算机可读存储介质及电子设备,能够至少在一定程度上提升对局域网络的安全管控效率,从而有效保障网络安全。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一个方面,提供一种局域网络的安全管控方法,该方法包括:收集关于目标局域网络对应的可执行程序,其中,上述可执行程序来自所有连接上述目标局域网络的目标主机;获取关于上述可执行程序的程序特征,以及每个上述程序特征对应的行为特征,得到上述目标局域网络对应的特征库;对于上述目标局域网络中的待检测目标,上述待检测目标为运行在上述目标主机的程序;将上述待检测目标与上述特征库中进行匹配;以及,在上述待检测目标的程序特征与上述特征库中的目标程序特征相匹配,且上述待检测目标的行为特征与上述目标程序特征对应的行为特征不匹配的情况下,则确定上述待检测目标属于非法类型,并发出警报和/或阻止上述待检测目标运行。
在示例性的实施例中,基于前述方案,上述方法还包括:在上述待检测目标的程序特征与上述特征库中的目标程序特征相匹配,且上述待检测目标的行为特征与上述目标程序特征对应的行为特征也匹配的情况下,则确定上述待检测目标属于合法类型,并保持运行上述待检测目标。
在示例性的实施例中,基于前述方案,上述方法还包括:在上述待检测目标的程序特征与上述特征库中的目标程序特征不匹配的情况下,则保持运行上述待检测目标,且确定上述待检测目标为升级类型的程序或新增类型的程序;以及,在上述待检测目标为升级类型的程序,且确定上述检测目标属于合法类型的情况下,则获取上述待检测目标的程序特征和行为特征,并将上述待检测目标的程序特征和行为特征汇总至上述特征库;在所述待检测目标为升级类型的程序,且确定所述检测目标属于非法类型的情况下,则发出警报和/或阻止所述待检测目标运行。
在示例性的实施例中,基于前述方案,上述方法还包括:在上述待检测目标为新增类型的程序的情况下,则确定上述待检测目标属于待定类型;以及,在确定上述待检测目标属于待定类型的情况下,将上述待检测目标的运行权限降低在受控范围内,且发出警报。
在示例性的实施例中,基于前述方案,上述方法还包括:在确定上述待检测目标属于待定类型且确定上述检测目标属于合法类型的情况下,则获取上述待检测目标的程序特征和行为特征,并将上述待检测目标的程序特征和行为特征汇总至上述特征库;在确定所述检测目标属于待定类型且确定所述检测目标属于非法类型的情况下,则发出警报和/或阻止所述待检测目标运行。
在示例性的实施例中,基于前述方案,上述将待检测目标的运行权限降低在受控范围内,包括:禁止上述待检测目标访问外部设备,和/或禁止上述待检测目标访问上述目标局域网络的特定区域。
在示例性的实施例中,基于前述方案,上述程序特征包括以下信息的一种或多种:可执行程序的名称、文件信息摘要算法MD5、文件大小,以及数字签名;以及,上述行为特征包括以下信息的一种或多种:本地行为特征、外接设备行为特征,以及网络行为特征。
在示例性的实施例中,基于前述方案,上述本地行为特征包括以下信息的一种或多种:访问的本地目录的读写方式、访问的本地目录的频度、访问的本地文件的读写方式、访问的本地文件的频度,以及对扫描性质的可执行程序的标记;上述外接设备行为特征包括以下信息的一种或多种:执行程序是否有外部设备访问行为、所访问外部设备的类型,以对外设设备的访问方式;以及,上述网络行为特征包括以下信息的一种或多种:可执行程序是否有网络访问行为、访问网络的交互协议类型、是否设有监听端口、通讯端口数量以及端口号,以及网络通讯的数据包头特征信息。
根据本公开的另一个方面,提供一种局域网络的安全管控装置,该装置包括:程序收集模块、特征库确定模块、目标确定模块、匹配模块,以及管控模块。
其中,上述程序收集模块,用于收集关于目标局域网络对应的可执行程序,其中,所述可执行程序来自所有连接所述目标局域网络的目标主机;上述特征库确定模块,用于获取关于所述可执行程序的程序特征,以及每个所述程序特征对应的行为特征,得到所述目标局域网络对应的特征库;上述目标确定模块,用于对于所述目标局域网络中的待检测目标,所述待检测目标为运行在所述目标主机的程序;上述匹配模块,用于将所述待检测目标与所述特征库中进行匹配;以及,上述管控模块,用于在所述待检测目标的程序特征与所述特征库中的目标程序特征相匹配,且所述待检测目标的行为特征与所述目标程序特征对应的行为特征不匹配的情况下,则确定所述待检测目标属于非法类型,并发出警报和/或阻止所述待检测目标运行。
根据本公开的再一个方面,提供一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述实施例中的局域网络的安全管控方法。
根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如上述实施例中的局域网络的安全管控方法。
本公开的实施例所提供的局域网络的安全管控方法、局域网络的安全管控装置、计算机可读存储介质及电子设备,具备以下技术效果:
本技术方案先收集关于目标局域网络对应的可执行程序,进一步地获取关于上述可执行程序的程序特征,以及每个程序特征对应的行为特征,得到上述目标局域网络对应的特征库。然后,对于该目标局域网络中的待检测目标,将其与特征库进行匹配。在待检测目标的程序特征与特征库中的目标程序特征相匹配,且待检测目标的行为特征与目标程序特征对应的行为特征不匹配的情况下,则确定上述待检测目标属于非法类型,并发出警报和/或阻止所述待检测目标运行。本技术方案将可执行程序的程序特征以及行为特征进行收集并形成特征库,基于特征库监控该局域网内待检测目标是否合法,该方式提升对局域网络的安全管控效率,从而有效保障网络安全,从而有效缓解了相关技术基于黑名单进行安全管控的滞后性以及效率低的问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开一示例性实施例中局域网络的安全管控方法的流程示意图。
图2示出本公开另一示例性实施例中局域网络的安全管控方法的流程示意图。
图3示出了可以应用本公开一实施例的局域网络的安全管控装置的结构示意图。
图4示出了根据本公开的另一实施例的局域网络的安全管控装置的结构示意图。
图5示出了适于用来实现本公开实施例的电子设备的结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚,下面将结合附图对本公开实施例方式作进一步地详细描述。
下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
相关技术还提供一种恶意进程的识别方案,具体地,是判断进程是否具备驻留和自我复制等能力。然而该方式主要适用于病毒检测,从而在局域网络的安全管控过程中存在应用范围窄的问题。
针对于相关技术中存在的问题,提供了本技术方案。以下先对本公开提供的局域网络的安全管控方法实施例的进行详细阐述:
图1和图2分别示出本公开示例性实施例中局域网络的安全管控方法的流程示意图。以下结合图2对图1所示实施例的具体实施方式进行介绍:
在S110中,收集关于目标局域网络对应的可执行程序,其中,上述可执行程序来自所有连接上述目标局域网络的目标主机。
本技术方案用于对任一局域网的安全管控。本实施例中,上述目标局域网络为任一待安全管控的局域网,本技术方案可以并行地对多个局域网络进行安全管控。以下实施例中对其中一个局域网络(目标局域网络)的安全管控进行说明。本实施例中,对于连接至上述目标局域网络的主机记作“目标主机”。其中,可执行程序(executable program,EXEFile)是可在操作系统存储空间中浮动定位的二进制可执行程序,可执行程序可加载到内存中,由操作系统加载并执行。特定的CPU指令集(如X86指令集)对应的不同平台之间的可执行程序不可直接移植运行。
本实施例中,获取连接至上述目标局域网络的所有目标主机中的可执行程序,用于确定上述目标局域网络对用的特征库。其中,本实施例基于特征库实现对目标局域网络的安全管控,具体将在下述实施例进行详细说明。
在S120中,获取关于上述可执行程序的程序特征,以及每个上述程序特征对应的行为特征,得到上述目标局域网络对应的特征库。
本实施例中的提供的特征库中的特征能够反映相关程序的常规操作(预期行为,或原本的功能设计思路),进一步地,将待检测目标与特征库进行比对,来判断待检测目标是否偏离相关程序的常规操作(预期行为,或原本的功能设计思路),从而实现对当前程序的检测。特征库中的特征具体如下:
在示例性的实施例中,上述程序特征包括以下信息的一种或多种:可执行程序的名称、文件信息摘要算法(Message-Digest Algorithm,MD5)、文件大小,以及数字签名。进一步地,对于每一程序特征,确定其所对应的行为特征。具体的,上述行为特征包括以下信息的一种或多种:本地行为特征、外接设备行为特征,以及网络行为特征。
其中,本地行为特征包括以下信息的一种或多种:访问的本地目录的读写方式、访问的本地目录的频度、访问的本地文件的读写方式、访问的本地文件的频度,以及对扫描性质的可执行程序的标记。上述外接设备行为特征包括以下信息的一种或多种:执行程序是否有外部设备访问行为、所访问外部设备的类型,以对外设设备的访问方式。其中,上述外部设备包括U盘、光盘、蓝牙、红外等,上述访问方式包括只读、只写或读写。
上述网络行为特征包括以下信息的一种或多种:可执行程序是否有网络访问行为、访问网络的交互协议类型、是否设有监听端口、通讯端口数量以及端口号,以及网络通讯的数据包头特征信息。其中,上述交互协议包括传输控制协议(Transmission ControlProtocol,TCP)、中文名是用户数据报协议(User Datagram Protocol,UDP)、互联网控制协议(Internet Control Message Protocol,ICMP)、简单邮件传输协议(Simple MailTransfer Protocol,SMTP)等。
本实施例中,基于上述可执行程序确定的上述程序特征以及行为特征来确定特征库。其中,基于进程特征及相应行为特征形成的特征库对目标具有网络的本地行为、外设行为和网络行为进行监控和保护。
在S130中,对于上述目标局域网络中的待检测目标,上述待检测目标为运行在上述目标主机的程序。
在示例性的实施例中,上述待检测目标可以为运行在上述目标主机的任一程序。且本技术方案可以并行地对同一局域网络的多个程序进行安全管控。以下实施例中对其中一个可执行程序进行说明。本实施例中,将来自上述目标局域网络的任一个可执行程序记作“待检测目标”。
在S140中,将上述待检测目标与上述特征库中进行匹配。其中,具体地匹配方式包括:将待检测目标的程序特征与特征库中所有的程序特征进行匹配;在存在于待检测目标的程序特征相匹配的目标程序特征的情况下,再将待检测目标的行为特征与上述目标程序特征对应的行为特征进行匹配。
本说明书实施例基于特征库监控行为是否合法的方式简单有效,具有较高的可控性且尽量全面的实现对目标局域网络的控制,有效缓解相关技术中基于黑名单方式所存在的滞后和低效的问题。
在示例性的实施例中,在S210中,确定特征库中是否存在与待检测目标的程序特征相匹配的目标程序特征。
在示例性的实施例中,先获取待检测目标的程序特征,并与上述特征库中当前包含的所有程序特征进行相似度计算。获取特征库中与上述待检测目标的程序特征之间相似度最大值,并在相似度最大值大于预设值的情况下,认为当前特征库中存在与上述待检测目标的程序特征相匹配的程序特征,并将相似度最大值对应的程序特征记作“目标程序特征”作为于上述待检测目标的程序特征相匹配的特征。
本实施例中通过判断当前进程行为是否与该进程的常规操作(预期行为,或原本的功能设计思路)有偏离实现对当前程序的检测,而不局限于病毒检测,从而本技术方案可用于更广泛的安全检测。
在S210中判断到:特征库中存在与待检测目标的程序特征相匹配的目标程序特征,说明在特征库中存在与当前检测的程序相同或相似的程序,需要进一步查看待检测目标的行为是否与特征库中对应程序的行为(逾期行为)一致,进而实现对当前程序的安全性检测。即,执行S220:待检测目标的行为特征与上述目标程序特征对应的行为特征是否匹配。
若待检测目标的行为特征与上述目标程序特征对应的行为特征不匹配,说明待检测目标的行为与对该程序的预期行为不一致,即,该待检测目标有较高的概率是非法类型的程序,从而执行S150:确定上述待检测目标属于非法类型,并发出警报和/或阻止上述待检测目标运行。进而及时阻止非法类型程序的持续运行,有利于保证网络安全。还可以同时发出警报,以使管理人员对待检测目标进行人工确认,从而在保障网络安全的同时,也降低了管理人员的工作量。
若待检测目标的行为特征与上述目标程序特征对应的行为特征相匹配,说明待检测目标的行为与对该程序的预期行为一致,即,该待检测目标有较高的概率是合法类型的程序,从而执行S230:确定上述待检测目标属于合法类型,并保持运行上述待检测目标。可见,本技术方案对于较高的概率是合法类型的程序的运行并不加以阻止,进而保证网络中机器的运行通畅。
在S210中判断到:特征库中不存在与待检测目标的程序特征相匹配的程序特征,这种情况下说明当前检测的程序并非之前出现过的程序,则其可能是新增类型的程序(若公司新引进的程序),还可能是之前程序的升级程序,则需执行S240:保持运行待检测目标,且确定上述待检测目标为升级类型的程序或新增类型的程序。
若待检测目标的属于新增类型,则执行S250和S260。
在S250中,确定上述待检测目标属于待定类型;在确定上述待检测目标属于待定类型的情况下,将上述待检测目标的运行权限降低在受控范围内,且发出警报。本实施例中,对于未来得及添加至特征库的可执行程序,提供受限运行机制,保障正常业务开展的同时,避免高风险行为的发生,并且主动报警提醒管理员进行处理,加强了管理的主动性。
在S260中,在确定上述待检测目标属于待定类型且确定上述检测目标属于合法类型的情况下,则获取上述待检测目标的程序特征和行为特征,并将上述待检测目标的程序特征和行为特征汇总至上述特征库。通过将合法的可执行程序的特征添加至特征库的方式,来丰富特征库,有利于提升对待检测目标的检测准确度。
若待检测目标的属于新增类型,即假如待检测目标的文件名与公司最近引进的一套程序的文件名一致,说明当前检测的程序为新增类型(未存在于特征库中),且与新引进程序的注册文件名一致,则可以确定当前检测的程序为合法类型的程序,则执行S250’。
在S250’中,确定上述检测目标属于合法类型的情况下,则获取上述待检测目标的程序特征和行为特征,并将上述待检测目标的程序特征和行为特征汇总至上述特征库。在确定升级类型的待检测目标属于合法类型的情况下,同上所述,通过将合法的可执行程序的特征添加至特征库的方式,来丰富特征库,有利于提升对待检测目标的检测准确度。
在示例性的实施例中,在待检测目标为新增类型的情况下,若当前检测的程序的文件名中包含繁体字、多个字符字母等,与最近引进程序的注册文件名差距很大,说明待检测目标大概率为非法类型的程序,则需要发出警报和/或阻止上述待检测目标运行,从而提升对局域网络的安全管控效率,进而有效保障网络安全。
本说明书实施例提供的局域网络的安全管控方案,将可执行程序的程序特征以及行为特征进行收集并形成特征库,基于特征库监控该局域网内待检测目标是否合法,该方式提升对局域网络的安全管控效率,从而有效保障网络安全,从而有效缓解了相关技术基于黑名单进行安全管控的滞后性以及效率低的问题。
在检测过程中对于未来得及添加至特征库的可执行程序,提供受限运行机制,保障正常业务开展的同时,避免高风险行为的发生,并且主动报警提醒管理员进行处理,加强了管理的主动性。进一步地,本说明书实施例还将未来得及添加至特征库且合法的可执行程序添加至特征库,从而来丰富特征库,有利于提升对待检测目标的检测准确度。
同时,相较于相关技术中仅适用于病毒检测,本说明书实施例所提供的方案中地检测范围更宽泛(包括:系统、网络和外设),通过判断进程行为是否与该进程的常规操作(预期行为,或原本的功能设计思路)有偏离实现对当前程序的检测,而不局限于病毒检测,从而本技术方案可用于更广泛的安全检测。
需要注意的是,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本公开装置实施例,可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节,请参照本公开方法实施例。
其中,图3示出了可以应用本公开一实施例的局域网络的安全管控装置的结构示意图。请参见图3,该图所示的局域网络的安全管控装置可以通过软件、硬件或者两者的结合实现成为电子设备的全部或一部分,还可以作为独立的模块集成于电子设备中或服务器上。
本公开实施例中的局域网络的安全管控装置300包括:程序收集模块310、特征库确定模块320、目标确定模块330、匹配模块340,以及管控模块350。
其中,上述程序收集模块310,用于收集关于目标局域网络对应的可执行程序,其中,上述可执行程序来自所有连接上述目标局域网络的目标主机;上述特征库确定模块320,用于获取关于上述可执行程序的程序特征,以及每个上述程序特征对应的行为特征,得到上述目标局域网络对应的特征库;上述目标确定模块330,用于对于上述目标局域网络中的待检测目标,上述待检测目标为运行在上述目标主机的程序;上述匹配模块340,用于将上述待检测目标与上述特征库中进行匹配;以及,上述管控模块350,用于在上述待检测目标的程序特征与上述特征库中的目标程序特征相匹配,且上述待检测目标的行为特征与上述目标程序特征对应的行为特征不匹配的情况下,则确定上述待检测目标属于非法类型,并发出警报和/或阻止上述待检测目标运行。
在示例性的实施例中,图4示意性示出了根据本公开另一示例性的实施例中局域网络的安全管控装置的结构图。请参见图4:
在示例性的实施例中,基于前述方案,上述管控模块350,还用于:在上述待检测目标的程序特征与上述特征库中的目标程序特征相匹配,且上述待检测目标的行为特征与上述目标程序特征对应的行为特征也匹配的情况下,则确定上述待检测目标属于合法类型,并保持运行上述待检测目标。
在示例性的实施例中,基于前述方案,上述局域网络的安全管控装置300还包括:特征库更新模块360。
其中,上述管控模块350,还用于:在上述待检测目标的程序特征与上述特征库中的目标程序特征不匹配的情况下,则保持运行上述待检测目标,且确定上述待检测目标为升级类型的程序或新增类型的程序;
上述特征库更新模块360,用于:在上述待检测目标为升级类型的程序,且确定上述检测目标属于合法类型的情况下,则获取上述待检测目标的程序特征和行为特征,并将上述待检测目标的程序特征和行为特征汇总至上述特征库;在上述待检测目标为升级类型的程序,且确定上述检测目标属于非法类型的情况下,则发出警报和/或阻止上述待检测目标运行。
在示例性的实施例中,基于前述方案,上述管控模块350,还用于:在上述待检测目标为新增类型的程序的情况下,则确定上述待检测目标属于待定类型;以及,在确定上述待检测目标属于待定类型的情况下,将上述待检测目标的运行权限降低在受控范围内,且发出警报。
在示例性的实施例中,基于前述方案,上述特征库更新模块360,还用于:在确定上述待检测目标属于待定类型且确定上述检测目标属于合法类型的情况下,则获取上述待检测目标的程序特征和行为特征,并将上述待检测目标的程序特征和行为特征汇总至上述特征库;在确定上述检测目标属于待定类型且确定上述检测目标属于非法类型的情况下,则发出警报和/或阻止上述待检测目标运行。
在示例性的实施例中,基于前述方案,上述管控模块350,具体用于:禁止上述待检测目标访问外部设备,和/或禁止上述待检测目标访问上述目标局域网络的特定区域。
在示例性的实施例中,基于前述方案,上述程序特征包括以下信息的一种或多种:可执行程序的名称、文件信息摘要算法MD5、文件大小,以及数字签名;以及,上述行为特征包括以下信息的一种或多种:本地行为特征、外接设备行为特征,以及网络行为特征。
在示例性的实施例中,基于前述方案,上述本地行为特征包括以下信息的一种或多种:访问的本地目录的读写方式、访问的本地目录的频度、访问的本地文件的读写方式、访问的本地文件的频度,以及对扫描性质的可执行程序的标记;上述外接设备行为特征包括以下信息的一种或多种:执行程序是否有外部设备访问行为、所访问外部设备的类型,以对外设设备的访问方式;以及,上述网络行为特征包括以下信息的一种或多种:可执行程序是否有网络访问行为、访问网络的交互协议类型、是否设有监听端口、通讯端口数量以及端口号,以及网络通讯的数据包头特征信息。
需要说明的是,上述实施例提供的局域网络的安全管控装置在执行局域网络的安全管控方法时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的局域网络的安全管控装置与局域网络的安全管控方法实施例属于同一构思,因此对于本公开装置实施例中未披露的细节,请参照本公开上述的局域网络的安全管控方法的实施例,这里不再赘述。
上述本公开实施例序号仅仅为了描述,不代表实施例的优劣。
本公开实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述任一实施例方法的步骤。其中,计算机可读存储介质可以包括但不限于任何类型的盘,包括软盘、光盘、DVD、CD-ROM、微型驱动器以及磁光盘、ROM、RAM、EPROM、EEPROM、DRAM、VRAM、闪速存储器设备、磁卡或光卡、纳米系统(包括分子存储器IC),或适合于存储指令和/或数据的任何类型的媒介或设备。
本公开实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现上述任一实施例方法的步骤。
图5示意性示出了根据本公开一示例性的实施例中电子设备的结构图。请参见图5所示,电子设备500包括有:处理器501和存储器502。
本公开实施例中,处理器501为计算机系统的控制中心,可以是实体机的处理器,也可以是虚拟机的处理器。处理器501可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器501可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable LogicArray,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器501也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(CentralProcessing Unit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。
在本公开实施例中,所述处理器501具体用于:
收集关于目标局域网络对应的可执行程序,其中,上述可执行程序来自所有连接上述目标局域网络的目标主机;获取关于上述可执行程序的程序特征,以及每个上述程序特征对应的行为特征,得到上述目标局域网络对应的特征库;对于上述目标局域网络中的待检测目标,上述待检测目标为运行在上述目标主机的程序;将上述待检测目标与上述特征库中进行匹配;以及,在上述待检测目标的程序特征与上述特征库中的目标程序特征相匹配,且上述待检测目标的行为特征与上述目标程序特征对应的行为特征不匹配的情况下,则确定上述待检测目标属于非法类型,并发出警报和/或阻止上述待检测目标运行。
进一步地,上述处理器501还具体用于:
在上述待检测目标的程序特征与上述特征库中的目标程序特征相匹配,且上述待检测目标的行为特征与上述目标程序特征对应的行为特征也匹配的情况下,则确定上述待检测目标属于合法类型,并保持运行上述待检测目标。
进一步地,上述处理器501还具体用于:
在上述待检测目标的程序特征与上述特征库中的目标程序特征不匹配的情况下,则保持运行上述待检测目标,且确定上述待检测目标为升级类型的程序或新增类型的程序;以及,
在上述待检测目标为升级类型的程序,且确定上述检测目标属于合法类型的情况下,则获取上述待检测目标的程序特征和行为特征,并将上述待检测目标的程序特征和行为特征汇总至上述特征库;在上述待检测目标为升级类型的程序,且确定上述检测目标属于非法类型的情况下,则发出警报和/或阻止上述待检测目标运行。
进一步地,上述处理器501还具体用于:
在上述待检测目标为新增类型的程序的情况下,则确定上述待检测目标属于待定类型;以及,在确定上述待检测目标属于待定类型的情况下,将上述待检测目标的运行权限降低在受控范围内,且发出警报。
进一步地,上述处理器501还具体用于:
在确定上述待检测目标属于待定类型且确定上述检测目标属于合法类型的情况下,则获取上述待检测目标的程序特征和行为特征,并将上述待检测目标的程序特征和行为特征汇总至上述特征库;在确定上述检测目标属于待定类型且确定上述检测目标属于非法类型的情况下,则发出警报和/或阻止上述待检测目标运行。
进一步地,上述将待检测目标的运行权限降低在受控范围内,包括:禁止上述待检测目标访问外部设备,和/或禁止上述待检测目标访问上述目标局域网络的特定区域。
进一步地,上述程序特征包括以下信息的一种或多种:可执行程序的名称、文件信息摘要算法MD5、文件大小,以及数字签名;以及,上述行为特征包括以下信息的一种或多种:本地行为特征、外接设备行为特征,以及网络行为特征。
进一步地,上述本地行为特征包括以下信息的一种或多种:访问的本地目录的读写方式、访问的本地目录的频度、访问的本地文件的读写方式、访问的本地文件的频度,以及对扫描性质的可执行程序的标记;上述外接设备行为特征包括以下信息的一种或多种:执行程序是否有外部设备访问行为、所访问外部设备的类型,以对外设设备的访问方式;以及,上述网络行为特征包括以下信息的一种或多种:可执行程序是否有网络访问行为、访问网络的交互协议类型、是否设有监听端口、通讯端口数量以及端口号,以及网络通讯的数据包头特征信息。
存储器502可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器502还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在本公开的一些实施例中,存储器502中的非暂态的计算机可读存储介质用于存储至少一个指令,该至少一个指令用于被处理器501所执行以实现本公开实施例中的方法。
一些实施例中,电子设备500还包括有:外围设备接口503和至少一个外围设备。处理器501、存储器502和外围设备接口503之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口503相连。具体地,外围设备包括:显示屏504、摄像头505和音频电路506中的至少一种。
外围设备接口503可被用于将I/O(Input/Output,输入/输出)相关的至少一个外围设备连接到处理器501和存储器502。在本公开的一些实施例中,处理器501、存储器502和外围设备接口503被集成在同一芯片或电路板上;在本公开的一些其他实施例中,处理器501、存储器502和外围设备接口503中的任意一个或两个可以在单独的芯片或电路板上实现。本公开实施例对此不作具体限定。
显示屏504用于显示UI(User Interface,用户界面)。该UI可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏504是触摸显示屏时,显示屏504还具有采集在显示屏504的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器501进行处理。此时,显示屏504还可以用于提供虚拟按钮和/或虚拟键盘,也称软按钮和/或软键盘。在本公开的一些实施例中,显示屏504可以为一个,设置电子设备500的前面板;在本公开的另一些实施例中,显示屏504可以为至少两个,分别设置在电子设备500的不同表面或呈折叠设计;在本公开的再一些实施例中,显示屏504可以是柔性显示屏,设置在电子设备500的弯曲表面上或折叠面上。甚至,显示屏504还可以设置成非矩形的不规则图形,也即异形屏。显示屏504可以采用LCD(Liquid Crystal Display,液晶显示屏)、OLED(OrganicLight-Emitting Diode,有机发光二极管)等材质制备。
摄像头505用于采集图像或视频。可选地,摄像头505包括前置摄像头和后置摄像头。通常,前置摄像头设置在电子设备的前面板,后置摄像头设置在电子设备的背面。在一些实施例中,后置摄像头为至少两个,分别为主摄像头、景深摄像头、广角摄像头、长焦摄像头中的任意一种,以实现主摄像头和景深摄像头融合实现背景虚化功能、主摄像头和广角摄像头融合实现全景拍摄以及VR(Virtual Reality,虚拟现实)拍摄功能或者其它融合拍摄功能。在本公开的一些实施例中,摄像头505还可以包括闪光灯。闪光灯可以是单色温闪光灯,也可以是双色温闪光灯。双色温闪光灯是指暖光闪光灯和冷光闪光灯的组合,可以用于不同色温下的光线补偿。
音频电路506可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波,并将声波转换为电信号输入至处理器501进行处理。出于立体声采集或降噪的目的,麦克风可以为多个,分别设置在电子设备500的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。
电源507用于为电子设备500中的各个组件进行供电。电源507可以是交流电、直流电、一次性电池或可充电电池。当电源507包括可充电电池时,该可充电电池可以是有线充电电池或无线充电电池。有线充电电池是通过有线线路充电的电池,无线充电电池是通过无线线圈充电的电池。该可充电电池还可以用于支持快充技术。
本公开实施例中示出的电子设备结构框图并不构成对电子设备500的限定,电子设备500可以包括比图示更多或更少的组件,或者组合某些组件,或者采用不同的组件布置。
在本公开的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本公开中的具体含义。此外,在本公开的描述中,除非另有说明,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
以上所述,仅为本公开的具体实施方式,但本公开的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本公开的保护范围之内。因此,依本公开权利要求所作的等同变化,仍属本公开所涵盖的范围。
Claims (10)
1.一种局域网络的安全管控方法,其特征在于,所述方法包括:
收集关于目标局域网络对应的可执行程序,其中,所述可执行程序来自所有连接所述目标局域网络的目标主机;
获取关于所述可执行程序的程序特征,以及每个所述程序特征对应的行为特征,得到所述目标局域网络对应的特征库;
对于所述目标局域网络中的待检测目标,所述待检测目标为运行在所述目标主机的程序;
将所述待检测目标与所述特征库中进行匹配;
在所述待检测目标的程序特征与所述特征库中的目标程序特征相匹配,且所述待检测目标的行为特征与所述目标程序特征对应的行为特征不匹配的情况下,则确定所述待检测目标属于非法类型,并发出警报和/或阻止所述待检测目标运行。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述待检测目标的程序特征与所述特征库中的目标程序特征相匹配,且所述待检测目标的行为特征与所述目标程序特征对应的行为特征也匹配的情况下,则确定所述待检测目标属于合法类型,并保持运行所述待检测目标。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述待检测目标的程序特征与所述特征库中的目标程序特征不匹配的情况下,则保持运行所述待检测目标,且确定所述待检测目标为升级类型的程序或新增类型的程序;
在所述待检测目标为升级类型的程序,且确定所述检测目标属于合法类型的情况下,则获取所述待检测目标的程序特征和行为特征,并将所述待检测目标的程序特征和行为特征汇总至所述特征库;
在所述待检测目标为升级类型的程序,且确定所述检测目标属于非法类型的情况下,则发出警报和/或阻止所述待检测目标运行。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在所述待检测目标为新增类型的程序的情况下,则确定所述待检测目标属于待定类型;
在确定所述待检测目标属于待定类型的情况下,将所述待检测目标的运行权限降低在受控范围内,且发出警报。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
在确定所述待检测目标属于待定类型且确定所述检测目标属于合法类型的情况下,则获取所述待检测目标的程序特征和行为特征,并将所述待检测目标的程序特征和行为特征汇总至所述特征库;
在确定所述检测目标属于待定类型且确定所述检测目标属于非法类型的情况下,则发出警报和/或阻止所述待检测目标运行。
6.根据权利要求4所述的方法,其特征在于,所述将待检测目标的运行权限降低在受控范围内,包括:
禁止所述待检测目标访问外部设备,和/或禁止所述待检测目标访问所述目标局域网络的特定区域。
7.根据权利要求1至6中任意一项所述的方法,其特征在于,
所述程序特征包括以下信息的一种或多种:可执行程序的名称、文件信息摘要算法MD5、文件大小,以及数字签名;
所述行为特征包括以下信息的一种或多种:本地行为特征、外接设备行为特征,以及网络行为特征。
8.一种局域网络的安全管控装置,其特征在于,所述装置包括:
程序收集模块,用于收集关于目标局域网络对应的可执行程序,其中,所述可执行程序来自所有连接所述目标局域网络的目标主机;
特征库确定模块,用于获取关于所述可执行程序的程序特征,以及每个所述程序特征对应的行为特征,得到所述目标局域网络对应的特征库;
目标确定模块,用于对于所述目标局域网络中的待检测目标,所述待检测目标为运行在所述目标主机的程序;
匹配模块,用于将所述待检测目标与所述特征库中进行匹配;
管控模块,用于在所述待检测目标的程序特征与所述特征库中的目标程序特征相匹配,且所述待检测目标的行为特征与所述目标程序特征对应的行为特征不匹配的情况下,则确定所述待检测目标属于非法类型,并发出警报和/或阻止所述待检测目标运行。
9.一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在计算机或处理器上运行时,使得所述计算机或处理器执行如权利要求1至7中任意一项所述的局域网络的安全管控方法。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时实现如权利要求1至7中任意一项所述的局域网络的安全管控方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211076160.5A CN117692155A (zh) | 2022-09-02 | 2022-09-02 | 局域网络的安全管控方法、装置、介质及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211076160.5A CN117692155A (zh) | 2022-09-02 | 2022-09-02 | 局域网络的安全管控方法、装置、介质及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117692155A true CN117692155A (zh) | 2024-03-12 |
Family
ID=90132519
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211076160.5A Pending CN117692155A (zh) | 2022-09-02 | 2022-09-02 | 局域网络的安全管控方法、装置、介质及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117692155A (zh) |
-
2022
- 2022-09-02 CN CN202211076160.5A patent/CN117692155A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10185825B2 (en) | System and method for generating rules for detecting modified or corrupted external devices | |
CN100489823C (zh) | 用于禁用通用串行总线端口的方法和设备 | |
EP3084671B1 (en) | Automatic strong identity generation for cluster nodes | |
CN109873804A (zh) | 基于行为的服务识别方法、装置、设备及可读存储介质 | |
US20070277241A1 (en) | Method and system to scan firmware for malware | |
CN109840419B (zh) | 计算机装置及辨识其软件容器行为是否异常的方法 | |
CN110417710B (zh) | 攻击数据捕获方法、装置及存储介质 | |
EP3646180A1 (en) | Camera usage notification | |
CN106778295A (zh) | 文件存储、显示方法、装置及终端 | |
US10146963B2 (en) | Systems and methods for dynamic external input/output port screening | |
CN109791593B (zh) | 基于配置数据修改对服务的访问 | |
CN114528598A (zh) | 文件系统的文件完整性的确定方法、装置及电子设备 | |
US11023575B2 (en) | Security sanitization of USB devices | |
CN111262737B (zh) | 一种端口配置管理方法、装置、存储介质及终端 | |
US11520938B2 (en) | Root level controls to enable privacy mode for device cameras | |
US9817989B2 (en) | Access control of external memory | |
CN117692155A (zh) | 局域网络的安全管控方法、装置、介质及设备 | |
CN111651763A (zh) | 进程监控方法、装置、电子设备及存储介质 | |
CN111767261A (zh) | 调试日志输出方法、装置、存储介质及电子设备 | |
CN110851831A (zh) | 病毒处理方法、装置、计算机设备及计算机可读存储介质 | |
US10659599B2 (en) | Certificate loading method and related product | |
US11620412B2 (en) | Preventing damage from malicious hardware | |
US20240232006A9 (en) | Memory management method for security and electronic device therefor | |
US20170171107A1 (en) | Communication method and the client for multiple processes | |
US20240012947A1 (en) | Encrypted enclave to protect from platform nonvolatile storage attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |