本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域，特別是涉及一種基于局域網(wǎng)的威脅處理方法和一種基于局域網(wǎng)的威脅處理裝置。

背景技術(shù)：

隨著互聯(lián)網(wǎng)的迅速普及，局域網(wǎng)已成為企業(yè)發(fā)展中必不可少的一部分。然而，在為企業(yè)帶來便利的同時(shí)，局域網(wǎng)也面臨著各種各樣的進(jìn)攻和威脅，如機(jī)密泄漏、數(shù)據(jù)丟失、網(wǎng)絡(luò)濫用、身份冒用、非法入侵等。

目前，可以基于用戶終端上報(bào)和/或服務(wù)器分析的方式，獲得局域網(wǎng)內(nèi)的威脅情報(bào)，并針對(duì)受到該威脅情報(bào)攻擊的用戶終端進(jìn)行威脅處理。現(xiàn)有基于局域網(wǎng)的威脅處理方案，通常在受到該威脅情報(bào)攻擊的用戶終端上，對(duì)該威脅情報(bào)對(duì)應(yīng)的威脅文件進(jìn)行隔離處理。

發(fā)明人在實(shí)施本發(fā)明的過程中發(fā)現(xiàn)，現(xiàn)有基于局域網(wǎng)的威脅處理方案至少存在如下問題：對(duì)于例如感染型病毒的威脅而言，由于其具有頑固、再生能力強(qiáng)、插入系統(tǒng)進(jìn)程中等特點(diǎn)，故在對(duì)感染型病毒對(duì)應(yīng)的威脅文件進(jìn)行隔離處理后，用戶終端將不可避免地出現(xiàn)文件異常、系統(tǒng)功能異常等系統(tǒng)故障，這樣將影響用戶終端的正常使用；并且，當(dāng)受到該威脅情報(bào)攻擊的用戶終端的數(shù)量較多時(shí)，將導(dǎo)致局域網(wǎng)中的大量用戶終端出現(xiàn)系統(tǒng)故障，進(jìn)而給企業(yè)帶來不便。

技術(shù)實(shí)現(xiàn)要素：

鑒于上述問題，提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的一種基于局域網(wǎng)的威脅處理方法和一種基于局域網(wǎng)的威脅處理裝置。

依據(jù)本發(fā)明的一個(gè)方面，提供了一種基于局域網(wǎng)的威脅處理方法，包括：

針對(duì)局域網(wǎng)內(nèi)的目標(biāo)用戶終端，針對(duì)威脅進(jìn)程進(jìn)行威脅處理；其中，所述目標(biāo)用戶終端為所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的部分用戶終端；

在針對(duì)威脅進(jìn)程進(jìn)行威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，針對(duì)所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端，進(jìn)行與所述目標(biāo)用戶終端相同的威脅處理；

其中，所述針對(duì)局域網(wǎng)內(nèi)的目標(biāo)用戶終端，針對(duì)威脅進(jìn)程進(jìn)行威脅處理的步驟，包括：

在所述目標(biāo)用戶終端上，針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理；

在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則在所述目標(biāo)用戶終端上針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理。

可選地，所述第一威脅處理包括：隔離處理，所述第二威脅處理包括：系統(tǒng)修復(fù)處理或者系統(tǒng)重裝處理。

可選地，所述在所述目標(biāo)用戶終端上，針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理的步驟，包括：

在所述目標(biāo)用戶終端上，殺掉所述威脅進(jìn)程；

在殺掉所述威脅進(jìn)程后，在所述目標(biāo)用戶終端上對(duì)所述威脅進(jìn)程進(jìn)行隔離。

可選地，所述方法還包括：在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，監(jiān)測(cè)所述目標(biāo)用戶終端是否出現(xiàn)異常；

所述監(jiān)測(cè)所述目標(biāo)用戶終端是否出現(xiàn)異常的步驟，包括：

在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后的預(yù)設(shè)時(shí)間段內(nèi)，監(jiān)測(cè)所述目標(biāo)用戶終端的操作系統(tǒng)的工作情況，依據(jù)所述工作情況判斷所述目標(biāo)用戶終端是否出現(xiàn)異常；和/或

在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后的預(yù)設(shè)時(shí)間段內(nèi)，依據(jù)用戶的反饋信息，判斷所述目標(biāo)用戶終端是否出現(xiàn)異常。

可選地，所述針對(duì)局域網(wǎng)內(nèi)的目標(biāo)用戶終端，針對(duì)威脅進(jìn)程進(jìn)行威脅處理的步驟，還包括：

當(dāng)在所述目標(biāo)用戶終端上針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則在所述目標(biāo)用戶終端上對(duì)所述威脅進(jìn)程進(jìn)行第三威脅處理。

可選地，所述針對(duì)所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端，進(jìn)行與所述目標(biāo)用戶終端相同的威脅處理的步驟，包括：

當(dāng)針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，對(duì)所述威脅進(jìn)程進(jìn)行第一威脅處理；或者

當(dāng)針對(duì)威脅進(jìn)程進(jìn)行第二威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理；或者

當(dāng)對(duì)威脅進(jìn)程進(jìn)行第三威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，針對(duì)所述威脅進(jìn)程進(jìn)行第三威脅處理。

可選地，通過如下步驟獲取所述局域網(wǎng)內(nèi)的威脅進(jìn)程：

接收所述局域網(wǎng)內(nèi)的用戶終端上報(bào)的進(jìn)程行為；

依據(jù)所述進(jìn)程行為，建立所述用戶終端在不同時(shí)刻的進(jìn)程樹、以及所述進(jìn)程樹中各進(jìn)程與進(jìn)程行為之間的映射關(guān)系；

從所述進(jìn)程樹中獲取符合預(yù)置進(jìn)程行為模式的目標(biāo)進(jìn)程；

依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程。

可選地，所述預(yù)置進(jìn)程行為模式包括：

文件相關(guān)進(jìn)程啟動(dòng)了非操作系統(tǒng)進(jìn)程；和/或

進(jìn)程變更文件系統(tǒng)中第一文件后，訪問第二文件并加密。

可選地，所述依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程的步驟，包括：

針對(duì)所述目標(biāo)進(jìn)程發(fā)出相應(yīng)的告警信息，以使管理員用戶針對(duì)所述告警信息，依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程；和/或

將所述目標(biāo)進(jìn)程、或者所述目標(biāo)進(jìn)程的子孫進(jìn)程作為待分析進(jìn)程，依據(jù)所述待分析進(jìn)程的進(jìn)程行為的執(zhí)行參數(shù)，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程。

可選地，通過如下步驟確定所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端：

從預(yù)先獲取的文件傳輸事件中獲取與所述威脅進(jìn)程相應(yīng)的待分析文件傳輸事件；其中，所述文件傳輸事件為所述局域網(wǎng)內(nèi)的用戶終端上報(bào)的事件；

對(duì)所述待分析文件傳輸事件的信息進(jìn)行分析，以得到所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端。

根據(jù)本發(fā)明的另一方面，提供了一種基于局域網(wǎng)的威脅處理裝置，包括：

部分威脅處理模塊，用于針對(duì)局域網(wǎng)內(nèi)的目標(biāo)用戶終端，針對(duì)威脅進(jìn)程進(jìn)行威脅處理；其中，所述目標(biāo)用戶終端為所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的部分用戶終端；以及

全局威脅處理模塊，用于在針對(duì)威脅進(jìn)程進(jìn)行威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，針對(duì)所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端，進(jìn)行與所述目標(biāo)用戶終端相同的威脅處理；

其中，所述部分威脅處理模塊包括：

第一威脅處理子模塊，用于在所述目標(biāo)用戶終端上，針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理；

第二威脅處理子模塊，用于在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則在所述目標(biāo)用戶終端上針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理。

可選地，所述第一威脅處理包括：隔離處理，所述第二威脅處理包括：系統(tǒng)修復(fù)處理或者系統(tǒng)重裝處理。

可選地，所述第一威脅處理子模塊包括：

進(jìn)程查殺單元，用于在所述目標(biāo)用戶終端上，殺掉所述威脅進(jìn)程；

進(jìn)程隔離單元，用于在殺掉所述威脅進(jìn)程后，在所述目標(biāo)用戶終端上對(duì)所述威脅進(jìn)程進(jìn)行隔離。

可選地，所述裝置還包括：用于在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，監(jiān)測(cè)所述目標(biāo)用戶終端是否出現(xiàn)異常的異常監(jiān)測(cè)模塊；

所述異常監(jiān)測(cè)模塊包括：

第一異常監(jiān)測(cè)子模塊，用于在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后的預(yù)設(shè)時(shí)間段內(nèi)，監(jiān)測(cè)所述目標(biāo)用戶終端的操作系統(tǒng)的工作情況，依據(jù)所述工作情況判斷所述目標(biāo)用戶終端是否出現(xiàn)異常；和/或

第二異常監(jiān)測(cè)子模塊，用于在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后的預(yù)設(shè)時(shí)間段內(nèi)，依據(jù)用戶的反饋信息，判斷所述目標(biāo)用戶終端是否出現(xiàn)異常。

可選地，所述部分威脅處理模塊還包括：

第三威脅處理子模塊，用于當(dāng)在所述目標(biāo)用戶終端上針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則在所述目標(biāo)用戶終端上對(duì)所述威脅進(jìn)程進(jìn)行第三威脅處理。

可選地，所述全局威脅處理模塊包括：

第一全局威脅處理子模塊，用于當(dāng)針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，對(duì)所述威脅進(jìn)程進(jìn)行第一威脅處理；或者

第二全局威脅處理子模塊，用于當(dāng)針對(duì)威脅進(jìn)程進(jìn)行第二威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理；或者

第三全局威脅處理子模塊，用于當(dāng)對(duì)威脅進(jìn)程進(jìn)行第三威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，針對(duì)所述威脅進(jìn)程進(jìn)行第三威脅處理。

可選地，所述裝置還包括：用于獲取所述局域網(wǎng)內(nèi)的威脅進(jìn)程的威脅進(jìn)程獲取模塊；

所述威脅進(jìn)程獲取模塊包括：

接收子模塊，用于接收所述局域網(wǎng)內(nèi)的用戶終端上報(bào)的進(jìn)程行為；

建立子模塊，用于依據(jù)所述進(jìn)程行為，建立所述用戶終端在不同時(shí)刻的進(jìn)程樹、以及所述進(jìn)程樹中各進(jìn)程與進(jìn)程行為之間的映射關(guān)系；

目標(biāo)進(jìn)程獲取子模塊，用于從所述進(jìn)程樹中獲取符合預(yù)置進(jìn)程行為模式的目標(biāo)進(jìn)程；

威脅判斷子模塊，用于依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程。

可選地，所述預(yù)置進(jìn)程行為模式包括：

文件相關(guān)進(jìn)程啟動(dòng)了非操作系統(tǒng)進(jìn)程；和/或

進(jìn)程變更文件系統(tǒng)中第一文件后，訪問第二文件并加密。

可選地，所述威脅判斷子模塊包括：

第一威脅判斷單元，用于針對(duì)所述目標(biāo)進(jìn)程發(fā)出相應(yīng)的告警信息，以使管理員用戶針對(duì)所述告警信息，依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程；和/或

第二威脅判斷單元，用于將所述目標(biāo)進(jìn)程、或者所述目標(biāo)進(jìn)程的子孫進(jìn)程作為待分析進(jìn)程，依據(jù)所述待分析進(jìn)程的進(jìn)程行為的執(zhí)行參數(shù)，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程。

可選地，所述裝置還包括：用于確定所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端的終端確定模塊；

所述終端確定模塊包括：

傳輸事件獲取子模塊，用于從預(yù)先獲取的文件傳輸事件中獲取與所述威脅進(jìn)程相應(yīng)的待分析文件傳輸事件；其中，所述文件傳輸事件為所述局域網(wǎng)內(nèi)的用戶終端上報(bào)的事件；

傳輸事件分析子模塊，用于對(duì)所述待分析文件傳輸事件的信息進(jìn)行分析，以得到所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端。

根據(jù)本發(fā)明實(shí)施例的一種基于局域網(wǎng)的威脅處理方法和裝置，由于在確保威脅處理不會(huì)導(dǎo)致目標(biāo)用戶終端出現(xiàn)異常的情況下，才會(huì)針對(duì)局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端，進(jìn)行與所述目標(biāo)用戶終端相同的威脅處理，而上述目標(biāo)終端為局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的部分用戶終端，這樣，本發(fā)明實(shí)施例能夠?qū)⒁蛲{處理出現(xiàn)異常的用戶終端范圍控制至目標(biāo)用戶終端的范圍內(nèi)，因此能夠有效避免局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端因上述威脅處理而出現(xiàn)異常，進(jìn)而能夠有效保證局域網(wǎng)內(nèi)的大量用戶終端的可用性。

并且，本發(fā)明實(shí)施例在針對(duì)局域網(wǎng)內(nèi)的目標(biāo)用戶終端、針對(duì)威脅進(jìn)程進(jìn)行威脅處理的過程中，可以針對(duì)威脅進(jìn)程進(jìn)行反復(fù)的威脅處理，具體地，可以首先在所述目標(biāo)用戶終端上，針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理，在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后、若所述目標(biāo)用戶終端出現(xiàn)異常，則針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理；其中，上述第一威脅處理和第二威脅處理可以為不同的處理，由于本發(fā)明實(shí)施例可以通過對(duì)威脅進(jìn)程進(jìn)行反復(fù)的威脅處理，故能夠針對(duì)威脅進(jìn)程具備的頑固、再生能力強(qiáng)、插入系統(tǒng)進(jìn)程中等特點(diǎn)，通過反復(fù)的威脅處理得到不會(huì)導(dǎo)致目標(biāo)用戶終端出現(xiàn)異常的威脅處理手段，因此能夠成功實(shí)現(xiàn)目標(biāo)用戶終端的威脅處理，進(jìn)而能夠?qū)崿F(xiàn)局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端的威脅處理。

上述說明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說明書的內(nèi)容予以實(shí)施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂，以下特舉本發(fā)明的具體實(shí)施方式。

附圖說明

通過閱讀下文可選實(shí)施方式的詳細(xì)描述，各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出可選實(shí)施方式的目的，而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中，用相同的參考符號(hào)表示相同的部件。在附圖中：

圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于局域網(wǎng)的威脅處理方法的步驟流程示意圖；

圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于局域網(wǎng)的威脅處理方法的步驟流程示意圖；

圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于局域網(wǎng)的威脅處理方法的步驟流程示意圖；

圖4示出了本發(fā)明的一種進(jìn)程樹的結(jié)構(gòu)示意圖；

圖5示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于局域網(wǎng)的威脅處理方法的步驟流程示意圖；以及

圖6示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于局域網(wǎng)的威脅處理裝置的結(jié)構(gòu)示意。

具體實(shí)施方式

下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例。雖然附圖中顯示了本公開的示例性實(shí)施例，然而應(yīng)當(dāng)理解，可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反，提供這些實(shí)施例是為了能夠更透徹地理解本公開，并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。

參照?qǐng)D1，示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于局域網(wǎng)的威脅處理方法的步驟流程圖，具體可以包括如下步驟：

步驟101、針對(duì)局域網(wǎng)內(nèi)的目標(biāo)用戶終端，針對(duì)威脅進(jìn)程進(jìn)行威脅處理；其中，所述目標(biāo)用戶終端為所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的部分用戶終端；

步驟102、在針對(duì)威脅進(jìn)程進(jìn)行威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，針對(duì)所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端，進(jìn)行與所述目標(biāo)用戶終端相同的威脅處理；

其中，所述針對(duì)局域網(wǎng)內(nèi)的目標(biāo)用戶終端，針對(duì)威脅進(jìn)程進(jìn)行威脅處理的步驟101，可以包括：

步驟111、在所述目標(biāo)用戶終端上，針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理；

步驟112、在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則在所述目標(biāo)用戶終端上針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理。

本發(fā)明實(shí)施例可以應(yīng)用于企業(yè)網(wǎng)、政府網(wǎng)、校園網(wǎng)等局域網(wǎng)中；在上述局域網(wǎng)中，所述服務(wù)器是指局域網(wǎng)內(nèi)用于控制其它用戶終端進(jìn)行安全檢測(cè)的設(shè)備，所述用戶終端是指局域網(wǎng)內(nèi)響應(yīng)服務(wù)器的控制指令，與服務(wù)器進(jìn)行數(shù)據(jù)交互的終端。在實(shí)際應(yīng)用中，可以在服務(wù)器部署服務(wù)器代理模塊，在用戶終端部署軟件客戶端模塊，以類似C/S(客戶端/服務(wù)器，Client/Server)的架構(gòu)，實(shí)現(xiàn)局域網(wǎng)內(nèi)服務(wù)器對(duì)用戶終端的控制功能，以及，用戶終端的控制響應(yīng)及通信功能。其中，上述服務(wù)器和上述用戶終端之間可以通過標(biāo)準(zhǔn)協(xié)議或者私有協(xié)議進(jìn)行通信，其中，私有協(xié)議具有封閉性和安全性高的優(yōu)點(diǎn)；可以理解，本發(fā)明實(shí)施例對(duì)于服務(wù)器與用戶終端之間的具體通信方式不加以限制。

在實(shí)際應(yīng)用中，服務(wù)器的用戶可以是網(wǎng)絡(luò)管理員等具有一定的網(wǎng)絡(luò)安全知識(shí)的高級(jí)用戶，因此，服務(wù)器的用戶可以根據(jù)局域網(wǎng)的當(dāng)前安全需求和實(shí)際情況，靈活地設(shè)置相應(yīng)的控制指令。

本發(fā)明實(shí)施例中，威脅進(jìn)程可用于表示存在異常、或者存在威脅的進(jìn)程。本發(fā)明實(shí)施例的局域網(wǎng)的威脅處理方法，可以首先針對(duì)局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的部分用戶終端(也即目標(biāo)用戶終端)進(jìn)行威脅處理，在對(duì)威脅進(jìn)程進(jìn)行威脅處理后，若上述目標(biāo)用戶終端未出現(xiàn)異常，可以針對(duì)所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端進(jìn)行與所述目標(biāo)用戶終端相同的威脅處理；由于本發(fā)明實(shí)施例在確保威脅處理不會(huì)導(dǎo)致目標(biāo)用戶終端出現(xiàn)異常的情況下，才會(huì)針對(duì)局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端，進(jìn)行與所述目標(biāo)用戶終端相同的威脅處理；而上述目標(biāo)終端為局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的部分用戶終端，這樣，本發(fā)明實(shí)施例能夠?qū)⒁蛲{處理出現(xiàn)異常的用戶終端范圍控制至目標(biāo)用戶終端的范圍內(nèi)，因此能夠有效避免局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端因上述威脅處理而出現(xiàn)異常，進(jìn)而能夠有效保證局域網(wǎng)內(nèi)的大量用戶終端的可用性。

并且，本發(fā)明實(shí)施例在針對(duì)局域網(wǎng)內(nèi)的目標(biāo)用戶終端、針對(duì)威脅進(jìn)程進(jìn)行威脅處理的過程中，可以針對(duì)威脅進(jìn)程進(jìn)行反復(fù)的威脅處理，具體地，可以首先在所述目標(biāo)用戶終端上，針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理，在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后、若所述目標(biāo)用戶終端出現(xiàn)異常，則針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理；其中，上述第一威脅處理和第二威脅處理可以為不同的處理，由于本發(fā)明實(shí)施例可以通過對(duì)威脅進(jìn)程進(jìn)行反復(fù)的威脅處理，故能夠針對(duì)威脅進(jìn)程具備的頑固、再生能力強(qiáng)、插入系統(tǒng)進(jìn)程中等特點(diǎn)，通過反復(fù)的威脅處理得到不會(huì)導(dǎo)致目標(biāo)用戶終端出現(xiàn)異常的威脅處理手段，因此能夠成功實(shí)現(xiàn)目標(biāo)用戶終端的威脅處理，進(jìn)而能夠?qū)崿F(xiàn)局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端的威脅處理。

本發(fā)明實(shí)施例中，目標(biāo)用戶終端為局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的部分用戶終端，可以理解，服務(wù)器的用戶可以根據(jù)實(shí)際應(yīng)用需求確定上述目標(biāo)用戶終端的數(shù)目，例如，上述目標(biāo)用戶終端的數(shù)目可以為1、2、3甚至N/M等，其中，N為局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端的數(shù)目，M為大于等于2的正整數(shù)等等，本發(fā)明實(shí)施例對(duì)于上述目標(biāo)用戶終端的具體數(shù)目不加以限制。

本發(fā)明實(shí)施例中，一種第一控制指令可用于指示目標(biāo)用戶終端針對(duì)威脅進(jìn)程進(jìn)行威脅處理，該第一控制指令可以攜帶威脅進(jìn)程的信息、以及威脅處理的信息，其中，威脅進(jìn)程的信息可以包括：威脅進(jìn)程的名稱、PID(進(jìn)程標(biāo)識(shí)，progress identity)等消息，威脅處理的信息可以包括：威脅處理手段的信息，例如，第一威脅處理或者第二威脅處理的信息等等?？蛇x地，該第一控制指令可以包括：第一處理控制指令和第二處理控制指令等。服務(wù)器可以首先向目標(biāo)用戶終端下發(fā)第一處理控制指令，以指示目標(biāo)用戶終端針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理，該第一處理控制指令可以攜帶威脅進(jìn)程的信息、以及第一威脅處理的信息。接著，在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，服務(wù)器可以監(jiān)測(cè)所述目標(biāo)用戶終端是否出現(xiàn)異常，若是，則可以向目標(biāo)用戶終端下發(fā)第二處理控制指令，以指示目標(biāo)用戶終端針對(duì)威脅進(jìn)程進(jìn)行第二威脅處理。可以理解，若在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則可以向針對(duì)所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端發(fā)送上述第一處理控制指令?？梢岳斫?，本發(fā)明實(shí)施例對(duì)于服務(wù)器對(duì)目標(biāo)用戶終端或者全部用戶終端的具體控制流程不加以限制。

在本發(fā)明的一種可選實(shí)施例中，所述第一威脅處理可以包括：隔離處理，所述第二威脅處理可以包括：系統(tǒng)修復(fù)處理或者系統(tǒng)重裝處理。也即，在對(duì)威脅進(jìn)程進(jìn)行隔離處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則可以在所述目標(biāo)用戶終端上對(duì)所述威脅進(jìn)程進(jìn)行系統(tǒng)修復(fù)處理或者系統(tǒng)重裝處理。其中，上述隔離處理可用于威脅進(jìn)程進(jìn)行隔離，上述系統(tǒng)修復(fù)處理可用于修復(fù)受損的操作系統(tǒng)，上述系統(tǒng)重裝系統(tǒng)可用于更新操作系統(tǒng)。

進(jìn)一步可選地，所述在所述目標(biāo)用戶終端上，針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理的步驟111，可以包括：在所述目標(biāo)用戶終端上，殺掉所述威脅進(jìn)程；在殺掉所述威脅進(jìn)程后，在所述目標(biāo)用戶終端上對(duì)所述威脅進(jìn)程進(jìn)行隔離?？蛇x地，可以通過結(jié)束或者停止威脅進(jìn)程的方式，殺掉所述威脅進(jìn)程。可選地，可以通過禁止威脅進(jìn)程的方式，在所述目標(biāo)用戶終端上對(duì)所述威脅進(jìn)程進(jìn)行隔離?？梢岳斫猓景l(fā)明實(shí)施例對(duì)于殺掉所述威脅進(jìn)程、以及對(duì)所述威脅進(jìn)程進(jìn)行隔離的具體過程不加以限制。

在本發(fā)明的一種可選實(shí)施例中，本發(fā)明實(shí)施例的方法還可以包括：在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，監(jiān)測(cè)所述目標(biāo)用戶終端是否出現(xiàn)異常；

其中，所述監(jiān)測(cè)所述目標(biāo)用戶終端是否出現(xiàn)異常的步驟所采用的異常監(jiān)測(cè)方式，可以包括：

異常監(jiān)測(cè)方式1、在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后的預(yù)設(shè)時(shí)間段內(nèi)，監(jiān)測(cè)所述目標(biāo)用戶終端的操作系統(tǒng)的工作情況，依據(jù)所述工作情況判斷所述目標(biāo)用戶終端是否出現(xiàn)異常；和/或

異常監(jiān)測(cè)方式2、在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后的預(yù)設(shè)時(shí)間段內(nèi)，依據(jù)用戶的反饋信息，判斷所述目標(biāo)用戶終端是否出現(xiàn)異常。

其中，在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，所述目標(biāo)用戶終端出現(xiàn)異?？梢园ǎ耗繕?biāo)用戶終端的操作系統(tǒng)出現(xiàn)異常，例如，操作系統(tǒng)崩潰、或者操作系統(tǒng)的內(nèi)核陷入死循環(huán)也即死機(jī)等。

異常監(jiān)測(cè)方式1可以在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后的預(yù)設(shè)時(shí)間段內(nèi)，監(jiān)測(cè)所述目標(biāo)用戶終端的操作系統(tǒng)的工作情況，以依據(jù)所述工作情況判斷所述目標(biāo)用戶終端是否出現(xiàn)異常。可選地，異常監(jiān)測(cè)方式1可以監(jiān)測(cè)操作系統(tǒng)的資源利用率(如CPU、內(nèi)存、I/O設(shè)備的實(shí)際使用比例)、系統(tǒng)響應(yīng)時(shí)間(從輸入到響應(yīng)所需時(shí)間)等工作指標(biāo)，并依據(jù)該工作指標(biāo)判斷目標(biāo)用戶終端是否出現(xiàn)異常?？蛇x地，可以判斷監(jiān)測(cè)得到的工作指標(biāo)是否在預(yù)設(shè)指標(biāo)范圍內(nèi)，若否，則可以判定目標(biāo)用戶終端出現(xiàn)異常等等?？梢岳斫?，本發(fā)明實(shí)施例對(duì)于工作情況的具體監(jiān)測(cè)方式不加以限制。

異常監(jiān)測(cè)方式2可以依據(jù)用戶的反饋信息，判斷所述目標(biāo)用戶終端是否出現(xiàn)異常。其中，作為目標(biāo)用戶終端的用戶，其可以清楚地感知目標(biāo)用戶終端的異常(如操作系統(tǒng)崩潰、或者操作系統(tǒng)的內(nèi)核陷入死循環(huán)等)情況，故在感知目標(biāo)用戶終端的異常后，可以向目標(biāo)用戶終端發(fā)出相應(yīng)的反饋信息，以使目標(biāo)用戶終端向服務(wù)器上報(bào)上述反饋信息。

本發(fā)明實(shí)施例中，預(yù)設(shè)時(shí)間段可以為任意長(zhǎng)度的時(shí)間段，例如，該預(yù)設(shè)時(shí)間段的長(zhǎng)度可以為1天、2天甚至7天等，在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后的1天、2天甚至7天內(nèi)，若目標(biāo)用戶終端出現(xiàn)異常，都可以認(rèn)為是第一威脅處理引起的異常。

在本發(fā)明的一種可選實(shí)施例中，所述針對(duì)局域網(wǎng)內(nèi)的目標(biāo)用戶終端，針對(duì)威脅進(jìn)程進(jìn)行威脅處理的步驟，還可以包括：當(dāng)在所述目標(biāo)用戶終端上針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則在所述目標(biāo)用戶終端上對(duì)所述威脅進(jìn)程進(jìn)行第三威脅處理。其中，第三威脅處理可以為與第一威脅處理和第二威脅處理不同的處理。例如，第一威脅處理為隔離處理，第二威脅處理為系統(tǒng)修復(fù)處理，第三威脅處理為系統(tǒng)重裝處理等等。可選地，上述系統(tǒng)重裝處理過程可以包括：針對(duì)各目標(biāo)用戶終端進(jìn)行數(shù)據(jù)備份后，重裝各目標(biāo)用戶終端的操作系統(tǒng)；例如，可以將目標(biāo)用戶終端的用戶數(shù)據(jù)拷貝至非系統(tǒng)盤或者安全的移動(dòng)設(shè)備，并在目標(biāo)用戶終端上重裝系統(tǒng)?？梢岳斫?，本發(fā)明實(shí)施例對(duì)于具體的系統(tǒng)重裝處理過程不加以限制。

可以理解，在對(duì)威脅進(jìn)程進(jìn)行第二威脅處理后，也可以監(jiān)測(cè)所述目標(biāo)用戶終端是否出現(xiàn)異常，同理，在對(duì)威脅進(jìn)程進(jìn)行第三威脅處理后，也可以監(jiān)測(cè)所述目標(biāo)用戶終端是否出現(xiàn)異常。對(duì)于對(duì)威脅進(jìn)程進(jìn)行第二威脅處理或者第三威脅處理后的異常監(jiān)測(cè)過程而言，由于其與針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后的異常監(jiān)測(cè)過程類似，故在此不作贅述，相互參照即可。

在本發(fā)明的一種可選實(shí)施例中，所述針對(duì)所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端，進(jìn)行與所述目標(biāo)用戶終端相同的威脅處理的步驟102，可以實(shí)現(xiàn)與所述目標(biāo)用戶終端相同的威脅處理在局域網(wǎng)內(nèi)的同步，在實(shí)際應(yīng)用中，可以針對(duì)可以所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的、除上述目標(biāo)用戶終端之外的用戶終端進(jìn)行與所述目標(biāo)用戶終端相同的威脅處理，相應(yīng)的威脅處理過程可以包括：

當(dāng)針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，對(duì)所述威脅進(jìn)程進(jìn)行第一威脅處理；或者

當(dāng)對(duì)威脅進(jìn)程進(jìn)行第二威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理；或者

當(dāng)對(duì)威脅進(jìn)程進(jìn)行第三威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，針對(duì)所述威脅進(jìn)程進(jìn)行第三威脅處理。

綜上，本發(fā)明實(shí)施例的基于局域網(wǎng)的威脅處理方法，由于在確保威脅處理不會(huì)導(dǎo)致目標(biāo)用戶終端出現(xiàn)異常的情況下，才會(huì)針對(duì)局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端，進(jìn)行與所述目標(biāo)用戶終端相同的威脅處理，而上述目標(biāo)終端為局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的部分用戶終端，這樣，本發(fā)明實(shí)施例能夠?qū)⒁蛲{處理出現(xiàn)異常的用戶終端范圍控制至目標(biāo)用戶終端的范圍內(nèi)，因此能夠有效避免局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端因上述威脅處理而出現(xiàn)異常，進(jìn)而能夠有效保證局域網(wǎng)內(nèi)的大量用戶終端的可用性。

并且，本發(fā)明實(shí)施例在針對(duì)局域網(wǎng)內(nèi)的目標(biāo)用戶終端、針對(duì)威脅進(jìn)程進(jìn)行威脅處理的過程中，可以針對(duì)威脅進(jìn)程進(jìn)行反復(fù)的威脅處理，具體地，可以首先在所述目標(biāo)用戶終端上，針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理，在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后、若所述目標(biāo)用戶終端出現(xiàn)異常，則針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理；其中，上述第一威脅處理和第二威脅處理可以為不同的處理，由于本發(fā)明實(shí)施例可以通過對(duì)威脅進(jìn)程進(jìn)行反復(fù)的威脅處理，故能夠針對(duì)威脅進(jìn)程具備的頑固、再生能力強(qiáng)、插入系統(tǒng)進(jìn)程中等特點(diǎn)，通過反復(fù)的威脅處理得到不會(huì)導(dǎo)致目標(biāo)用戶終端出現(xiàn)異常的威脅處理手段，因此能夠成功實(shí)現(xiàn)目標(biāo)用戶終端的威脅處理，進(jìn)而能夠?qū)崿F(xiàn)局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端的威脅處理。

參照?qǐng)D2，示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于局域網(wǎng)的威脅處理方法的步驟流程圖，具體可以包括如下步驟：

步驟201、服務(wù)器從局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端中選擇部分用戶終端，作為目標(biāo)用戶終端；

步驟202、服務(wù)器向上述目標(biāo)用戶終端下發(fā)隔離處理控制指令，以指示目標(biāo)用戶終端進(jìn)行威脅進(jìn)程的隔離處理；

可選地，該隔離處理控制指令可以攜帶威脅進(jìn)程的信息、以及隔離處理的信息。

步驟203、目標(biāo)用戶終端在接收到上述隔離處理控制指令后，對(duì)威脅進(jìn)程進(jìn)行隔離處理；

步驟204、在目標(biāo)用戶終端對(duì)威脅進(jìn)程進(jìn)行隔離處理后，服務(wù)器監(jiān)測(cè)所述目標(biāo)用戶終端是否出現(xiàn)異常，若是，則執(zhí)行步驟207，否則執(zhí)行步驟205；

其中，在對(duì)威脅進(jìn)程進(jìn)行隔離處理后的預(yù)設(shè)時(shí)間段內(nèi)，服務(wù)器監(jiān)測(cè)所述目標(biāo)用戶終端是否出現(xiàn)異常。

步驟205、服務(wù)器向其他用戶終端發(fā)送隔離處理控制指令，以指示其他用戶終端進(jìn)行威脅進(jìn)程的隔離處理；

其中，其他用戶終端用于表示局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端中除了上述目標(biāo)用戶終端之外的用戶終端。

步驟206、在接收到上述隔離處理控制指令后，其他用戶終端對(duì)威脅進(jìn)程進(jìn)行隔離處理；

步驟207、服務(wù)器向上述目標(biāo)用戶終端發(fā)送系統(tǒng)修復(fù)處理控制指令，以指示目標(biāo)用戶終端進(jìn)行威脅進(jìn)程的系統(tǒng)修復(fù)處理；

步驟208、目標(biāo)用戶終端在接收到上述系統(tǒng)修復(fù)處理控制指令后，對(duì)威脅進(jìn)程進(jìn)行系統(tǒng)修復(fù)處理；

步驟209、在目標(biāo)用戶終端對(duì)威脅進(jìn)程進(jìn)行系統(tǒng)修復(fù)處理后，服務(wù)器監(jiān)測(cè)所述目標(biāo)用戶終端是否出現(xiàn)異常，若是，則執(zhí)行步驟212，否則執(zhí)行步驟210；

步驟210、服務(wù)器向其他用戶終端發(fā)送系統(tǒng)修復(fù)處理控制指令，以指示其他用戶終端進(jìn)行威脅進(jìn)程的系統(tǒng)修復(fù)處理；

步驟211、在接收到上述系統(tǒng)修復(fù)處理控制指令后，其他用戶終端對(duì)威脅進(jìn)程進(jìn)行系統(tǒng)修復(fù)處理；

步驟212、服務(wù)器向局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端發(fā)送系統(tǒng)重裝處理控制指令，以指示受到所述威脅進(jìn)程影響的全部用戶終端進(jìn)行威脅進(jìn)程的系統(tǒng)重裝處理；

步驟213、受到所述威脅進(jìn)程影響的全部目標(biāo)用戶終端在接收到上述系統(tǒng)重裝處理控制指令后，進(jìn)行系統(tǒng)重裝處理。

需要說明的是，由于系統(tǒng)重裝處理涉及操作系統(tǒng)的更新，通常不會(huì)引起用戶終端的異常，因此，本發(fā)明實(shí)施例在目標(biāo)用戶終端對(duì)威脅進(jìn)程進(jìn)行系統(tǒng)修復(fù)處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則可以直接針對(duì)受到所述威脅進(jìn)程影響的全部目標(biāo)用戶終端，進(jìn)行系統(tǒng)重裝處理。

綜上，本發(fā)明實(shí)施例的基于局域網(wǎng)的威脅處理方法，按照威脅進(jìn)程的隔離處理—系統(tǒng)修復(fù)處理—系統(tǒng)重裝處理的優(yōu)先級(jí)，針對(duì)威脅進(jìn)程進(jìn)行威脅處理；由于按照威脅處理所需時(shí)間成本從小到大的順序進(jìn)行威脅處理，因此能夠有效保證局域網(wǎng)內(nèi)的大量用戶終端的可用性，且能夠在一定程度上降低威脅處理所需的操作成本。

可以理解，上述威脅進(jìn)程的隔離處理—系統(tǒng)修復(fù)處理—系統(tǒng)重裝處理的優(yōu)先級(jí)只是作為本發(fā)明實(shí)施例的多種威脅處理的優(yōu)先級(jí)的可選實(shí)施例，實(shí)際上，本領(lǐng)域技術(shù)人員可以根據(jù)實(shí)際應(yīng)用需求采用多種威脅處理的其他優(yōu)先級(jí)，如隔離處理—系統(tǒng)重裝處理的優(yōu)先級(jí)等，可以理解，本發(fā)明實(shí)施例對(duì)于多種威脅處理的具體優(yōu)先級(jí)不加以限制。

在實(shí)際應(yīng)用中，服務(wù)器可以通過任意方式獲取局域網(wǎng)內(nèi)的威脅進(jìn)程。例如，可以通過用戶終端反饋的方式獲取局域網(wǎng)內(nèi)的威脅進(jìn)程。在本發(fā)明的一種應(yīng)用示例中，假設(shè)某用戶終端在下載某郵件附件“采購(gòu)表.doc”后出現(xiàn)系統(tǒng)異常，則用戶終端可以將該郵件附件“采購(gòu)表.doc”對(duì)應(yīng)的進(jìn)程作為威脅進(jìn)程上報(bào)。

在本發(fā)明的一種可選實(shí)施例中，可以依據(jù)用戶終端上報(bào)的進(jìn)程行為，檢測(cè)所述進(jìn)程行為對(duì)應(yīng)的進(jìn)程是否存在威脅。

參照?qǐng)D3，示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種局域網(wǎng)內(nèi)的威脅進(jìn)程的獲取方法的步驟流程圖，具體可以包括如下步驟：

步驟301、接收所述局域網(wǎng)內(nèi)的用戶終端上報(bào)的進(jìn)程行為；

步驟302、依據(jù)所述進(jìn)程行為，建立所述用戶終端在不同時(shí)刻的進(jìn)程樹、以及所述進(jìn)程樹中各進(jìn)程與進(jìn)程行為之間的映射關(guān)系；

步驟303、從所述進(jìn)程樹中獲取符合預(yù)置進(jìn)程行為模式的目標(biāo)進(jìn)程；

步驟304、依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程。

本發(fā)明實(shí)施例中，一種第二控制指令可用于指示用戶終端向服務(wù)器上報(bào)進(jìn)程行為，則用戶終端在接收到該第二控制指令后，可以對(duì)本地進(jìn)程的進(jìn)程行為進(jìn)行監(jiān)測(cè)，并向服務(wù)器上報(bào)監(jiān)測(cè)到的進(jìn)程行為。可選地，本發(fā)明實(shí)施例可以在不影響用戶對(duì)于用戶終端的正常使用的情況下，捕獲并上報(bào)用戶終端的進(jìn)程行為，故可以不影響用戶的使用體驗(yàn)。

可選地，上述進(jìn)程行為可以包括但不限于：進(jìn)程啟停行為、內(nèi)存行為以及變更行為中的至少一種。其中，上述內(nèi)存行為可以包括：進(jìn)程注入行為、文件訪問行為、以及網(wǎng)絡(luò)連接行為；上述網(wǎng)絡(luò)連接行為可以包括：URL(統(tǒng)一資源定位符，Uniform Resource Locator)訪問行為、IP(網(wǎng)絡(luò)之間互聯(lián)的協(xié)議，Internet Protocol)訪問、端口訪問、以及DNS(域名系統(tǒng)，Domain Name System)訪問等行為中的至少一種。上述變更行為可以包括：系統(tǒng)變更行為(注冊(cè)表的創(chuàng)建、刪除和修改)、賬戶變更(賬戶的創(chuàng)建、賬戶權(quán)限的變更)行為、以及文件變更行為。可以理解，本發(fā)明實(shí)施例對(duì)于具體的進(jìn)程行為不加以限制。

在接收到各用戶終端上報(bào)的進(jìn)程行為后，服務(wù)器可以對(duì)接收的進(jìn)程行為的信息進(jìn)行記錄?？蛇x地，進(jìn)程行為的信息可以包括但不限于：進(jìn)程的信息、進(jìn)程行為的執(zhí)行參數(shù)等字段的信息。

本發(fā)明實(shí)施例中，進(jìn)程樹是一種用戶終端上進(jìn)程之間的關(guān)系，其通常由父進(jìn)程和子進(jìn)程兩部分組成。一些程序進(jìn)程運(yùn)行后，會(huì)創(chuàng)建或調(diào)用其他進(jìn)程，這樣就組成了一個(gè)進(jìn)程樹。參照?qǐng)D4，示出了本發(fā)明的一種進(jìn)程樹的結(jié)構(gòu)示意圖，其中，節(jié)點(diǎn)A的子節(jié)點(diǎn)B和C是節(jié)點(diǎn)A創(chuàng)建或調(diào)用的子進(jìn)程，作為父進(jìn)程，節(jié)點(diǎn)B和節(jié)點(diǎn)C又分別創(chuàng)建或調(diào)用了各自的子進(jìn)程D、E、以及F和G。進(jìn)程樹中各進(jìn)程的信息可以包括：進(jìn)程名稱、進(jìn)程對(duì)應(yīng)程序的特征值、以及進(jìn)程的父進(jìn)程等等，可以理解，本發(fā)明實(shí)施例對(duì)于進(jìn)程樹中各進(jìn)程的具體信息不加以限制。在實(shí)際應(yīng)用中，進(jìn)程樹中各節(jié)點(diǎn)的名稱可以與各進(jìn)程的進(jìn)程名稱相同或者不同，本發(fā)明實(shí)施例主要以進(jìn)程樹中各節(jié)點(diǎn)的名稱可以與各進(jìn)程的進(jìn)程名稱相同為例進(jìn)行說明。

在本發(fā)明的一種可選實(shí)施例中，可以依據(jù)行程行為所包括的進(jìn)程啟停行為，建議上述用戶終端在不同時(shí)刻的進(jìn)程樹?？蛇x地，進(jìn)程啟停行為可以包括：各進(jìn)程的啟動(dòng)時(shí)間、停止時(shí)間、以及各進(jìn)程創(chuàng)建或調(diào)用的進(jìn)程等信息，這樣，可以依據(jù)進(jìn)程啟停行為獲得進(jìn)程樹中的各節(jié)點(diǎn)。例如，進(jìn)程A、進(jìn)程B和進(jìn)程C的啟動(dòng)時(shí)間分別為時(shí)刻1、時(shí)刻2和時(shí)刻3，假設(shè)進(jìn)程A為系統(tǒng)中第一個(gè)進(jìn)程，則可以得到進(jìn)程樹中的根節(jié)點(diǎn)A，假設(shè)進(jìn)程A創(chuàng)建或調(diào)用了進(jìn)程B和進(jìn)程C，則可以得到根節(jié)點(diǎn)A的子節(jié)點(diǎn)B和C，按照上述流程可以得到圖4所示的進(jìn)程樹。需要說明的是，進(jìn)程樹可以隨著進(jìn)程啟停行為的變化而變化，由此可以得到用戶終端在不同時(shí)刻的進(jìn)程樹，并且，通過對(duì)前后時(shí)刻的進(jìn)程樹進(jìn)行對(duì)比，可以得到進(jìn)程啟停行為的變化。

在本發(fā)明的另一種可選實(shí)施例中，本實(shí)施例的方法還可以包括：接收所述用戶終端上報(bào)的在某時(shí)刻的系統(tǒng)快照；則所述依據(jù)所述進(jìn)程行為，建立所述用戶終端在不同時(shí)刻的進(jìn)程樹的步驟302，可以包括：在所述系統(tǒng)快照的基礎(chǔ)上，依據(jù)上述進(jìn)程行為建立所述用戶終端在不同時(shí)刻的進(jìn)程樹。本發(fā)明實(shí)施例中，系統(tǒng)快照可用于表示用戶終端某時(shí)刻T的系統(tǒng)狀態(tài)，該系統(tǒng)狀態(tài)可以包括：某時(shí)刻T系統(tǒng)包含的進(jìn)程及其行為、注冊(cè)表、文件等狀態(tài)，可以認(rèn)為，該系統(tǒng)快照可以包含某時(shí)刻T的進(jìn)程樹，故本發(fā)明實(shí)施例在所述系統(tǒng)快照的基礎(chǔ)上，依據(jù)上述進(jìn)程行為建立所述用戶終端在不同時(shí)刻的進(jìn)程樹，能夠減少進(jìn)程樹的建立所需的運(yùn)算量，提高進(jìn)程樹的建立效率。

在本發(fā)明的再一種可選實(shí)施例中，所述系統(tǒng)快照可以為所述用戶終端在第一時(shí)刻T1的系統(tǒng)狀態(tài)，所述進(jìn)程行為可以包括：進(jìn)程啟停行為，則所述在所述系統(tǒng)快照的基礎(chǔ)上，依據(jù)上述進(jìn)程行為建立所述用戶終端在不同時(shí)刻的進(jìn)程樹的步驟，可以包括：依據(jù)所述第一時(shí)刻T1之后的進(jìn)程啟停行為，得到所述用戶終端在第二時(shí)刻T2的進(jìn)程樹。其中，T2晚于T1，也即，可以在上述系統(tǒng)快照對(duì)應(yīng)進(jìn)程樹1的基礎(chǔ)上，添加或者刪除節(jié)點(diǎn)，以得到T2時(shí)刻的進(jìn)程樹?？蛇x地，T1可以為操作系統(tǒng)啟動(dòng)完成后的任意時(shí)刻，例如，操作系統(tǒng)啟動(dòng)完成的時(shí)刻為T0，在T1為T0的下一時(shí)刻；當(dāng)然，本發(fā)明實(shí)施例對(duì)于具體的T1不加以限制。

在本發(fā)明的一種可選實(shí)施例中，所述進(jìn)程行為可以包括：進(jìn)程啟停行為和/或內(nèi)存行為和/或變更行為等進(jìn)程啟動(dòng)后產(chǎn)生的一系列行為，則所述依據(jù)所述進(jìn)程行為，建立所述進(jìn)程樹中各進(jìn)程與進(jìn)程行為之間的映射關(guān)系的步驟302，可以包括：針對(duì)所述進(jìn)程樹中各進(jìn)程，建立其與進(jìn)程啟停行為和/或內(nèi)存行為和/或變更行為之間的映射關(guān)系。

在步驟302建立用戶終端在不同時(shí)刻的進(jìn)程樹、以及所述進(jìn)程樹中各進(jìn)程與進(jìn)程行為之間的映射關(guān)系之后，步驟303可以從所述進(jìn)程樹中獲取符合預(yù)置進(jìn)程行為模式的目標(biāo)進(jìn)程。

預(yù)置行為模式可用于表示進(jìn)程行為的可疑行為模式或者惡意行為模式。在實(shí)際應(yīng)用中，本領(lǐng)域技術(shù)人員可以根據(jù)實(shí)際應(yīng)用需求確定所需的任意預(yù)置行為模式。在本發(fā)明的一種可選實(shí)施例中，上述預(yù)置行為模式可以為，文件相關(guān)進(jìn)程啟動(dòng)了非操作系統(tǒng)進(jìn)程，例如winword進(jìn)程啟動(dòng)了非微軟的子進(jìn)程，其中，winword進(jìn)程為文件相關(guān)進(jìn)程。在本發(fā)明的另一種可選實(shí)施例中，上述預(yù)置行為模式可以為，進(jìn)程變更文件系統(tǒng)中第一文件后，訪問第二文件并加密。例如，進(jìn)程變更MFT(大文件傳輸，Managed File Transfer)中的文件后，快速訪問辦公文檔；該預(yù)置行為模式屬于惡意進(jìn)程勒索軟件的行為，該惡意進(jìn)程首先刪除MFT中的文件記錄，以使文件記錄無(wú)法恢復(fù)，然后開始尋找文檔并進(jìn)行加密。

在實(shí)際應(yīng)用中，可以對(duì)進(jìn)程樹中各進(jìn)程進(jìn)行遍歷，并針對(duì)遍歷得到的當(dāng)前進(jìn)程，從上述映射關(guān)系中得到對(duì)應(yīng)的當(dāng)前進(jìn)程行為，并判斷該當(dāng)前行為模式是否符合預(yù)置行為模式，可以理解，本發(fā)明實(shí)施例對(duì)于從所述進(jìn)程樹中獲取符合預(yù)置進(jìn)程行為模式的目標(biāo)進(jìn)程的具體過程不加以限制。

步驟304可以依據(jù)步驟303得到的目標(biāo)進(jìn)程的進(jìn)程行為，依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程。

本發(fā)明實(shí)施例可以提供依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程的如下判斷方式；

判斷方式1、針對(duì)所述目標(biāo)進(jìn)程發(fā)出相應(yīng)的告警信息，以使管理員用戶針對(duì)所述告警信息，依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程；和/或

判斷方式2、將所述目標(biāo)進(jìn)程、或者所述目標(biāo)進(jìn)程的子孫進(jìn)程作為待分析進(jìn)程，依據(jù)所述待分析進(jìn)程的進(jìn)程行為的執(zhí)行參數(shù)，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程。

其中，判斷方式1可以針對(duì)所述目標(biāo)進(jìn)程發(fā)出相應(yīng)的告警信息，以使管理員用戶接收所述告警信息，并通過人工方式判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程。例如，可以通過人工方式對(duì)進(jìn)程行為進(jìn)行分析，并依據(jù)分析結(jié)果判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程，相應(yīng)的分析過程可以包括：行為行為的執(zhí)行參數(shù)等特定字段的排除和統(tǒng)計(jì)操作等。

判斷方式2可將所述目標(biāo)進(jìn)程、或者所述目標(biāo)進(jìn)程的子孫進(jìn)程作為待分析進(jìn)程，則所述待分析進(jìn)程的進(jìn)程行為的執(zhí)行參數(shù)可以表明目標(biāo)進(jìn)程執(zhí)行了產(chǎn)生了哪些行為，或者目標(biāo)進(jìn)程的子孫進(jìn)程產(chǎn)生了哪些行為，這樣，可以依據(jù)上述執(zhí)行參數(shù)判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程。

在本發(fā)明的一種可選實(shí)施例中，所述依據(jù)所述待分析進(jìn)程的進(jìn)程行為的執(zhí)行參數(shù)，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程的步驟，可以包括：

若所述執(zhí)行參數(shù)包含的命令行腳本環(huán)境參數(shù)涉及腳本加密行為，則所述目標(biāo)進(jìn)程的安全性檢測(cè)結(jié)果為不安全；和/或

若所述執(zhí)行參數(shù)包含的策略排除參數(shù)涉及繞過執(zhí)行限制策略的行為，則所述目標(biāo)進(jìn)程的安全性檢測(cè)結(jié)果為不安全。

其中，powershell可以為命令行腳本環(huán)境參數(shù)的一種示例，若powershell的運(yùn)行參數(shù)中包括例如enc的參數(shù)的腳本加密行為，可以認(rèn)為目標(biāo)進(jìn)程的安全性檢測(cè)結(jié)果為不安全。

Excludepolicy可以為策略排除參數(shù)的一種示例，若Excludepolicy涉及繞過執(zhí)行限制策略的行為，則可以認(rèn)為目標(biāo)進(jìn)程的安全性檢測(cè)結(jié)果為不安全。其中，執(zhí)行限制策略是一個(gè)組策略，在開啟限制的情況下，可以防止通過powershell執(zhí)行命令，然而有很多方法可以繞過執(zhí)行上述執(zhí)行限制策略，這讓惡意進(jìn)程有機(jī)可乘。本發(fā)明實(shí)施例在依據(jù)所述待分析進(jìn)程的進(jìn)程行為的待分析執(zhí)行參數(shù)，檢測(cè)所述目標(biāo)進(jìn)程的安全性的過程中，可以執(zhí)行待分析進(jìn)程的進(jìn)程行為的待分析執(zhí)行參數(shù)，在執(zhí)行限制策略開啟限制的情況下，若執(zhí)行上述待分析參數(shù)則會(huì)發(fā)出相應(yīng)的提示信息，而本發(fā)明實(shí)施例可以通過EDR(端點(diǎn)檢測(cè)響應(yīng)，endpoint detection and response)單元捕獲上述提示信息，若捕獲成功，可以認(rèn)為，Excludepolicy涉及繞過執(zhí)行限制策略的行為，進(jìn)一步認(rèn)為目標(biāo)進(jìn)程的安全性檢測(cè)結(jié)果為不安全。

可以理解，上述執(zhí)行參數(shù)包含的命令行腳本環(huán)境參數(shù)涉及腳本加密行為和執(zhí)行參數(shù)包含的策略排除參數(shù)涉及繞過執(zhí)行限制策略的行為對(duì)應(yīng)的檢測(cè)過程只是作為本發(fā)明的可選實(shí)施例，實(shí)際上，本領(lǐng)域技術(shù)人員還可以根據(jù)實(shí)際應(yīng)用需求，對(duì)執(zhí)行參數(shù)包含的其他行為進(jìn)行檢測(cè)，本發(fā)明實(shí)施例對(duì)于依據(jù)所述待分析進(jìn)程的進(jìn)程行為的執(zhí)行參數(shù)，檢測(cè)所述目標(biāo)進(jìn)程的安全性的具體過程不加以限制。另外，可以理解，本發(fā)明實(shí)施例中，目標(biāo)進(jìn)程的安全性檢測(cè)結(jié)果還可以包括：安全。

綜上，本發(fā)明實(shí)施例的基于局域網(wǎng)的安全檢測(cè)方法，基于用戶終端在不同時(shí)刻的進(jìn)程樹、以及所述進(jìn)程樹中各進(jìn)程與進(jìn)程行為之間的映射關(guān)系的分析，獲取符合預(yù)置進(jìn)程行為模式的目標(biāo)進(jìn)程，并依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，檢測(cè)所述目標(biāo)進(jìn)程的安全性；因此，相對(duì)于傳統(tǒng)的病毒特征庫(kù)，本發(fā)明實(shí)施例能夠通過不同時(shí)刻的進(jìn)程樹、所述進(jìn)程樹中各進(jìn)程與進(jìn)程行為之間的映射關(guān)系、以及表征進(jìn)程行為的可疑行為模式或者惡意行為模式的預(yù)置行為模式，更及時(shí)地檢測(cè)出局域網(wǎng)的未知威脅和安全隱患，從而能夠提高安全檢測(cè)的及時(shí)性，且能夠?qū)崿F(xiàn)病毒的有效預(yù)防。

在實(shí)際應(yīng)用中，服務(wù)器可以通過任意方式確定所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端。例如，可以通過用戶終端反饋的方式確定所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端。在本發(fā)明的一種應(yīng)用示例中，假設(shè)某用戶終端在下載某郵件附件“采購(gòu)表.doc”后出現(xiàn)系統(tǒng)異常，則用戶終端可以將該郵件附件“采購(gòu)表.doc”對(duì)應(yīng)的進(jìn)程作為威脅進(jìn)程上報(bào)；服務(wù)器則可以將該威脅進(jìn)程對(duì)應(yīng)的用戶終端作為局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端。

在本發(fā)明的一種可選實(shí)施例中，可以通過用戶終端上報(bào)的文件傳輸事件，更及時(shí)地檢測(cè)出局域網(wǎng)內(nèi)受威脅進(jìn)程影響的受影響用戶終端，故能夠盡早地實(shí)現(xiàn)對(duì)于上述受影響終端的修復(fù)處理，這樣，不僅能夠及時(shí)阻止威脅進(jìn)程對(duì)于用戶終端的影響，而且能夠在一定程度上有效保護(hù)用戶終端的用戶。

參照?qǐng)D5，示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種確定所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端方法的步驟流程圖，具體可以包括如下步驟：

步驟501、從預(yù)先獲取的文件傳輸事件中獲取與所述威脅進(jìn)程相應(yīng)的待分析文件傳輸事件；其中，所述文件傳輸事件為所述局域網(wǎng)內(nèi)的用戶終端上報(bào)的事件；

步驟502、對(duì)所述待分析文件傳輸事件的信息進(jìn)行分析，以得到所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端。

本發(fā)明實(shí)施例中，一種第三控制指令可用于指示用戶終端向服務(wù)器上報(bào)文件傳輸事件，則用戶終端在接收到該第三控制指令后，可以對(duì)本地的文件傳輸事件進(jìn)行監(jiān)測(cè)，并向服務(wù)器上報(bào)監(jiān)測(cè)到的文件傳輸事件。

本發(fā)明實(shí)施例中，文件傳輸事件可用于表示用戶終端側(cè)文件的流轉(zhuǎn)事件，可選地，文件傳輸事件的信息可以包括如下信息中的至少一種：時(shí)間信息、渠道信息、文件信息、文件傳輸方向和終端信息。其中，時(shí)間信息可用于表示文件傳輸事件的發(fā)生時(shí)間；渠道信息可用于表示文件傳輸事件的通道，可選地，該渠道信息可以為文件傳輸事件對(duì)應(yīng)的應(yīng)用程序信息或者網(wǎng)站信息；文件信息可用于標(biāo)識(shí)文件，可選地，該文件信息可以包括但不限于：文件名、文件路徑、文件特征，例如，該文件特征可以為例如MD5(消息摘要算法第5版，Message Digest Algorithm5)的特征，可以理解，本發(fā)明實(shí)施例對(duì)于具體的文件特征不加以限制；文件傳輸方向可以包括：入方向或者出方向；終端信息可用于表示發(fā)生文件傳輸事件的用戶終端的信息。

在本發(fā)明的一種應(yīng)用示例中，上述文件傳輸事件可以包括：瀏覽器文件傳輸、IM(即時(shí)通訊，Instant Messaging)文件傳輸、郵件附件文件傳輸、U盤(USB閃存盤，USB flash disk)文件傳輸、以及下載工具文件傳輸中的至少一種。用戶終端側(cè)的每個(gè)文件傳輸事件都被上報(bào)至服務(wù)器，同時(shí)上報(bào)的可以包括：各文件傳輸事件的信息。

在接收到各用戶終端上報(bào)的文件傳輸事件后，服務(wù)器可以對(duì)接收的文件傳輸事件的信息進(jìn)行記錄，需要說明的是，本發(fā)明實(shí)施例可以僅僅記錄文件傳輸事件的例如文件名、文件路徑、或者文件特征的文件信息；由于上述文件信息足以實(shí)現(xiàn)文件的文件傳播路徑的追蹤，故本發(fā)明實(shí)施例可以在不保存文件的情況下實(shí)現(xiàn)對(duì)于文件傳輸事件的信息的記錄，因此能夠節(jié)省服務(wù)器的存儲(chǔ)空間。

在獲取威脅進(jìn)程后，步驟501可以從預(yù)先獲取的文件傳輸事件中獲取與威脅進(jìn)程相應(yīng)的待分析文件傳輸事件?？蛇x地，可以將威脅進(jìn)程涉及的異常文件信息與各文件傳輸事件的信息進(jìn)行匹配，若匹配成功，則將匹配成功的文件傳輸事件作為待分析文件傳輸事件。例如，可以將異常文件的文件特征與文件傳輸事件的文件特征進(jìn)行匹配等等，可以理解，本發(fā)明實(shí)施例對(duì)于從預(yù)先獲取的文件傳輸事件中獲取與威脅進(jìn)程相應(yīng)的待分析文件傳輸事件的具體過程不加以限制。

步驟502可以對(duì)步驟501得到的待分析文件傳輸事件的信息進(jìn)行分析，以得到局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端。

由于文件傳輸事件可用于表示用戶終端側(cè)文件的流轉(zhuǎn)事件，用戶終端側(cè)的每個(gè)文件傳輸事件都被上報(bào)至服務(wù)器，故本發(fā)明實(shí)施例可以基于對(duì)與威脅進(jìn)程相關(guān)的待分析文件傳輸事件的信息的分析，得到局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端；也即，本發(fā)明實(shí)施例能夠通過用戶終端上報(bào)的文件傳輸事件，更及時(shí)地檢測(cè)出局域網(wǎng)內(nèi)受威脅進(jìn)程影響的受影響用戶終端，故能夠盡早地實(shí)現(xiàn)對(duì)于上述受影響終端的修復(fù)處理，這樣，不僅能夠及時(shí)阻止威脅進(jìn)程對(duì)于用戶終端的影響，而且能夠在一定程度上有效保護(hù)用戶終端的用戶。

在本發(fā)明的一種可選實(shí)施例中，上述對(duì)所述待分析文件傳輸事件的信息進(jìn)行分析的步驟502，可以包括：依據(jù)所述待分析文件傳輸事件的終端信息，得到所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端。由于待分析文件傳輸事件是與威脅進(jìn)程相應(yīng)的，故依據(jù)待分析文件傳輸事件的終端信息可以得到局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端。在本發(fā)明的一種應(yīng)用示例中，假設(shè)異常文件為“采購(gòu)表.doc”，其在局域網(wǎng)內(nèi)的第一個(gè)文件傳輸事件是通過郵箱的郵件附件傳輸?shù)模僭O(shè)第一個(gè)文件傳輸事件的用戶1進(jìn)一步通過IM方式產(chǎn)生了第二個(gè)文件傳輸事件，并將該異常文件發(fā)送給了用戶2，用戶2進(jìn)一步通過郵箱的郵件附件產(chǎn)生了第三個(gè)文件傳輸事件，并將該異常文件發(fā)送給了用戶3…進(jìn)一步，用戶1、用戶2和用戶3還觸發(fā)了其他文件傳輸事件，假設(shè)文件傳輸事件的數(shù)量為N，N為正整數(shù)，則本發(fā)明實(shí)施例可以認(rèn)為該N個(gè)文件傳輸事件對(duì)應(yīng)的終端均為受影響終端。

在本發(fā)明的另一種可選實(shí)施例中，本實(shí)施例的方法還可以包括：對(duì)所述受影響用戶終端進(jìn)行預(yù)警處理。例如，上述預(yù)警處理可以向存儲(chǔ)上述異常文件的用戶終端發(fā)送第一通知消息，對(duì)存儲(chǔ)上述異常文件的U盤發(fā)送第二通知消息等，以實(shí)現(xiàn)對(duì)于傳播路徑的封堵。

綜上，本發(fā)明實(shí)施例的基于局域網(wǎng)的安全檢測(cè)方法，由于文件傳輸事件可用于表示用戶終端側(cè)文件的流轉(zhuǎn)事件，用戶終端側(cè)的每個(gè)文件傳輸事件都被上報(bào)至服務(wù)器，故本發(fā)明實(shí)施例可以基于對(duì)與威脅進(jìn)程相關(guān)的待分析文件傳輸事件的信息的分析，更及時(shí)地檢測(cè)出局域網(wǎng)內(nèi)受威脅進(jìn)程影響的受影響用戶終端，故能夠盡早地實(shí)現(xiàn)對(duì)于上述受影響終端的修復(fù)處理，這樣，不僅能夠及時(shí)阻止威脅進(jìn)程對(duì)于用戶終端的影響，而且能夠在一定程度上有效保護(hù)用戶終端的用戶。

對(duì)于方法實(shí)施例，為了簡(jiǎn)單描述，故將其都表述為一系列的動(dòng)作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本發(fā)明實(shí)施例并不受所描述的動(dòng)作順序的限制，因?yàn)橐罁?jù)本發(fā)明實(shí)施例，某些步驟可以采用其他順序或者同時(shí)進(jìn)行。其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說明書中所描述的實(shí)施例均屬于可選實(shí)施例，所涉及的動(dòng)作并不一定是本發(fā)明實(shí)施例所必須的。

參照?qǐng)D6，示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于局域網(wǎng)的威脅處理裝置的結(jié)構(gòu)框圖，具體可以包括如下模塊：

部分威脅處理模塊601，用于針對(duì)局域網(wǎng)內(nèi)的目標(biāo)用戶終端，針對(duì)威脅進(jìn)程進(jìn)行威脅處理；其中，所述目標(biāo)用戶終端為所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的部分用戶終端；以及

全局威脅處理模塊602，用于在針對(duì)威脅進(jìn)程進(jìn)行威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，針對(duì)所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端，進(jìn)行與所述目標(biāo)用戶終端相同的威脅處理；

其中，所述部分威脅處理模塊601可以包括：

第一威脅處理子模塊611，用于在所述目標(biāo)用戶終端上，針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理；

第二威脅處理子模塊612，用于在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則在所述目標(biāo)用戶終端上針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理。

可選地，所述第一威脅處理可以包括：隔離處理，所述第二威脅處理可以包括：系統(tǒng)修復(fù)處理或者系統(tǒng)重裝處理。

可選地，所述第一威脅處理子模塊611可以包括：

進(jìn)程查殺單元，用于在所述目標(biāo)用戶終端上，殺掉所述威脅進(jìn)程；

進(jìn)程隔離單元，用于在殺掉所述威脅進(jìn)程后，在所述目標(biāo)用戶終端上對(duì)所述威脅進(jìn)程進(jìn)行隔離。

可選地，所述裝置還可以包括：用于在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，監(jiān)測(cè)所述目標(biāo)用戶終端是否出現(xiàn)異常的異常監(jiān)測(cè)模塊；

所述異常監(jiān)測(cè)模塊可以包括：

第一異常監(jiān)測(cè)子模塊，用于在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后的預(yù)設(shè)時(shí)間段內(nèi)，監(jiān)測(cè)所述目標(biāo)用戶終端的操作系統(tǒng)的工作情況，依據(jù)所述工作情況判斷所述目標(biāo)用戶終端是否出現(xiàn)異常；和/或

第二異常監(jiān)測(cè)子模塊，用于在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后的預(yù)設(shè)時(shí)間段內(nèi)，依據(jù)用戶的反饋信息，判斷所述目標(biāo)用戶終端是否出現(xiàn)異常。

可選地，所述部分威脅處理模塊601還可以包括：

第三威脅處理子模塊，用于當(dāng)在所述目標(biāo)用戶終端上針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則在所述目標(biāo)用戶終端上對(duì)所述威脅進(jìn)程進(jìn)行第三威脅處理。

可選地，所述全局威脅處理模塊602可以包括：

第一全局威脅處理子模塊，用于當(dāng)針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，對(duì)所述威脅進(jìn)程進(jìn)行第一威脅處理；或者

第二全局威脅處理子模塊，用于當(dāng)針對(duì)威脅進(jìn)程進(jìn)行第二威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理；或者

第三全局威脅處理子模塊，用于當(dāng)對(duì)威脅進(jìn)程進(jìn)行第三威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，針對(duì)所述威脅進(jìn)程進(jìn)行第三威脅處理。

可選地，所述裝置還可以包括：用于獲取所述局域網(wǎng)內(nèi)的威脅進(jìn)程的威脅進(jìn)程獲取模塊；

所述威脅進(jìn)程獲取模塊可以包括：

接收子模塊，用于接收所述局域網(wǎng)內(nèi)的用戶終端上報(bào)的進(jìn)程行為；

建立子模塊，用于依據(jù)所述進(jìn)程行為，建立所述用戶終端在不同時(shí)刻的進(jìn)程樹、以及所述進(jìn)程樹中各進(jìn)程與進(jìn)程行為之間的映射關(guān)系；

目標(biāo)進(jìn)程獲取子模塊，用于從所述進(jìn)程樹中獲取符合預(yù)置進(jìn)程行為模式的目標(biāo)進(jìn)程；

威脅判斷子模塊，用于依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程。

可選地，所述預(yù)置進(jìn)程行為模式可以包括：

文件相關(guān)進(jìn)程啟動(dòng)了非操作系統(tǒng)進(jìn)程；和/或

進(jìn)程變更文件系統(tǒng)中第一文件后，訪問第二文件并加密。

可選地，所述威脅判斷子模塊可以包括：

第一威脅判斷單元，用于針對(duì)所述目標(biāo)進(jìn)程發(fā)出相應(yīng)的告警信息，以使管理員用戶針對(duì)所述告警信息，依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程；和/或

第二威脅判斷單元，用于將所述目標(biāo)進(jìn)程、或者所述目標(biāo)進(jìn)程的子孫進(jìn)程作為待分析進(jìn)程，依據(jù)所述待分析進(jìn)程的進(jìn)程行為的執(zhí)行參數(shù)，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程。

可選地，所述裝置還可以包括：用于確定所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端的終端確定模塊；

所述終端確定模塊可以包括：

傳輸事件獲取子模塊，用于從預(yù)先獲取的文件傳輸事件中獲取與所述威脅進(jìn)程相應(yīng)的待分析文件傳輸事件；其中，所述文件傳輸事件為所述局域網(wǎng)內(nèi)的用戶終端上報(bào)的事件；

傳輸事件分析子模塊，用于對(duì)所述待分析文件傳輸事件的信息進(jìn)行分析，以得到所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端。

對(duì)于裝置實(shí)施例而言，由于其與方法實(shí)施例基本相似，所以描述的比較簡(jiǎn)單，相關(guān)之處參見方法實(shí)施例的部分說明即可。

在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述，構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外，本發(fā)明也不針對(duì)任何特定編程語(yǔ)言。應(yīng)當(dāng)明白，可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容，并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。

在此處所提供的說明書中，說明了大量具體細(xì)節(jié)。然而，能夠理解，本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中，并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù)，以便不模糊對(duì)本說明書的理解。

類似地，應(yīng)當(dāng)理解，為了精簡(jiǎn)本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)，在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中，本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對(duì)其的描述中。然而，并不應(yīng)將該公開的方法解釋成反映如下意圖：即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說，如下面的權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征。因此，遵循具體實(shí)施方式的權(quán)利要求書由此明確地并入該具體實(shí)施方式，其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。

本領(lǐng)域那些技術(shù)人員可以理解，可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中?？梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件，以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外，可以采用任何組合對(duì)本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述，本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來代替。

此外，本領(lǐng)域的技術(shù)人員能夠理解，盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征，但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如，在下面的權(quán)利要求書中，所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用。

本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)，或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)，或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP，Digital Signal Process)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的基于局域網(wǎng)的威脅處理方法和裝置中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如，計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上，或者可以具有一個(gè)或者多個(gè)信號(hào)的形式。這樣的信號(hào)可以從因特網(wǎng)平臺(tái)上下載得到，或者在載體信號(hào)上提供，或者以任何其他形式提供。

應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說明而不是對(duì)本發(fā)明進(jìn)行限制，并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中，不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包括”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中，這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序?？蓪⑦@些單詞解釋為名稱。

本發(fā)明公開了A1、一種基于局域網(wǎng)的威脅處理方法，包括：

針對(duì)局域網(wǎng)內(nèi)的目標(biāo)用戶終端，針對(duì)威脅進(jìn)程進(jìn)行威脅處理；其中，所述目標(biāo)用戶終端為所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的部分用戶終端；

在針對(duì)威脅進(jìn)程進(jìn)行威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，針對(duì)所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端，進(jìn)行與所述目標(biāo)用戶終端相同的威脅處理；

其中，所述針對(duì)局域網(wǎng)內(nèi)的目標(biāo)用戶終端，針對(duì)威脅進(jìn)程進(jìn)行威脅處理的步驟，包括：

在所述目標(biāo)用戶終端上，針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理；

在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則在所述目標(biāo)用戶終端上針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理。

A2、如A1所述的方法，所述第一威脅處理包括：隔離處理，所述第二威脅處理包括：系統(tǒng)修復(fù)處理或者系統(tǒng)重裝處理。

A3、如A2所述的方法，所述在所述目標(biāo)用戶終端上，針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理的步驟，包括：

在所述目標(biāo)用戶終端上，殺掉所述威脅進(jìn)程；

在殺掉所述威脅進(jìn)程后，在所述目標(biāo)用戶終端上對(duì)所述威脅進(jìn)程進(jìn)行隔離。

A4、如A1至A3中任一所述的方法，所述方法還包括：在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，監(jiān)測(cè)所述目標(biāo)用戶終端是否出現(xiàn)異常；

所述監(jiān)測(cè)所述目標(biāo)用戶終端是否出現(xiàn)異常的步驟，包括：

在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后的預(yù)設(shè)時(shí)間段內(nèi)，監(jiān)測(cè)所述目標(biāo)用戶終端的操作系統(tǒng)的工作情況，依據(jù)所述工作情況判斷所述目標(biāo)用戶終端是否出現(xiàn)異常；和/或

在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后的預(yù)設(shè)時(shí)間段內(nèi)，依據(jù)用戶的反饋信息，判斷所述目標(biāo)用戶終端是否出現(xiàn)異常。

A5、如A1所述的方法，所述針對(duì)局域網(wǎng)內(nèi)的目標(biāo)用戶終端，針對(duì)威脅進(jìn)程進(jìn)行威脅處理的步驟，還包括：

當(dāng)在所述目標(biāo)用戶終端上針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則在所述目標(biāo)用戶終端上對(duì)所述威脅進(jìn)程進(jìn)行第三威脅處理。

A6、如A1或A5所述的方法，所述針對(duì)所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端，進(jìn)行與所述目標(biāo)用戶終端相同的威脅處理的步驟，包括：

當(dāng)針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，對(duì)所述威脅進(jìn)程進(jìn)行第一威脅處理；或者

當(dāng)針對(duì)威脅進(jìn)程進(jìn)行第二威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理；或者

當(dāng)對(duì)威脅進(jìn)程進(jìn)行第三威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，針對(duì)所述威脅進(jìn)程進(jìn)行第三威脅處理。

A7、如A1或A2或A3或A5所述的方法，通過如下步驟獲取所述局域網(wǎng)內(nèi)的威脅進(jìn)程：

接收所述局域網(wǎng)內(nèi)的用戶終端上報(bào)的進(jìn)程行為；

依據(jù)所述進(jìn)程行為，建立所述用戶終端在不同時(shí)刻的進(jìn)程樹、以及所述進(jìn)程樹中各進(jìn)程與進(jìn)程行為之間的映射關(guān)系；

從所述進(jìn)程樹中獲取符合預(yù)置進(jìn)程行為模式的目標(biāo)進(jìn)程；

依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程。

A8、如A7所述的方法，所述預(yù)置進(jìn)程行為模式包括：

文件相關(guān)進(jìn)程啟動(dòng)了非操作系統(tǒng)進(jìn)程；和/或

進(jìn)程變更文件系統(tǒng)中第一文件后，訪問第二文件并加密。

A9、如A7所述的方法，所述依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程的步驟，包括：

針對(duì)所述目標(biāo)進(jìn)程發(fā)出相應(yīng)的告警信息，以使管理員用戶針對(duì)所述告警信息，依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程；和/或

將所述目標(biāo)進(jìn)程、或者所述目標(biāo)進(jìn)程的子孫進(jìn)程作為待分析進(jìn)程，依據(jù)所述待分析進(jìn)程的進(jìn)程行為的執(zhí)行參數(shù)，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程。

A10、如A1或A2或A3或A5所述的方法，通過如下步驟確定所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端：

從預(yù)先獲取的文件傳輸事件中獲取與所述威脅進(jìn)程相應(yīng)的待分析文件傳輸事件；其中，所述文件傳輸事件為所述局域網(wǎng)內(nèi)的用戶終端上報(bào)的事件；

對(duì)所述待分析文件傳輸事件的信息進(jìn)行分析，以得到所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端。

本發(fā)明公開了B11、一種基于局域網(wǎng)的威脅處理裝置，包括：

部分威脅處理模塊，用于針對(duì)局域網(wǎng)內(nèi)的目標(biāo)用戶終端，針對(duì)威脅進(jìn)程進(jìn)行威脅處理；其中，所述目標(biāo)用戶終端為所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的部分用戶終端；以及

全局威脅處理模塊，用于在針對(duì)威脅進(jìn)程進(jìn)行威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，針對(duì)所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端，進(jìn)行與所述目標(biāo)用戶終端相同的威脅處理；

其中，所述部分威脅處理模塊包括：

第一威脅處理子模塊，用于在所述目標(biāo)用戶終端上，針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理；

第二威脅處理子模塊，用于在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則在所述目標(biāo)用戶終端上針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理。

B12、如B11所述的裝置，所述第一威脅處理包括：隔離處理，所述第二威脅處理包括：系統(tǒng)修復(fù)處理或者系統(tǒng)重裝處理。

B13、如B12所述的裝置，所述第一威脅處理子模塊包括：

進(jìn)程查殺單元，用于在所述目標(biāo)用戶終端上，殺掉所述威脅進(jìn)程；

進(jìn)程隔離單元，用于在殺掉所述威脅進(jìn)程后，在所述目標(biāo)用戶終端上對(duì)所述威脅進(jìn)程進(jìn)行隔離。

B14、如B11至B13中任一所述的裝置，所述裝置還包括：用于在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，監(jiān)測(cè)所述目標(biāo)用戶終端是否出現(xiàn)異常的異常監(jiān)測(cè)模塊；

所述異常監(jiān)測(cè)模塊包括：

第一異常監(jiān)測(cè)子模塊，用于在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后的預(yù)設(shè)時(shí)間段內(nèi)，監(jiān)測(cè)所述目標(biāo)用戶終端的操作系統(tǒng)的工作情況，依據(jù)所述工作情況判斷所述目標(biāo)用戶終端是否出現(xiàn)異常；和/或

第二異常監(jiān)測(cè)子模塊，用于在針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后的預(yù)設(shè)時(shí)間段內(nèi)，依據(jù)用戶的反饋信息，判斷所述目標(biāo)用戶終端是否出現(xiàn)異常。

B15、如B11所述的裝置，所述部分威脅處理模塊還包括：

第三威脅處理子模塊，用于當(dāng)在所述目標(biāo)用戶終端上針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理后，若所述目標(biāo)用戶終端出現(xiàn)異常，則在所述目標(biāo)用戶終端上對(duì)所述威脅進(jìn)程進(jìn)行第三威脅處理。

B16、如B11或B15所述的裝置，所述全局威脅處理模塊包括：

第一全局威脅處理子模塊，用于當(dāng)針對(duì)威脅進(jìn)程進(jìn)行第一威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，對(duì)所述威脅進(jìn)程進(jìn)行第一威脅處理；或者

第二全局威脅處理子模塊，用于當(dāng)針對(duì)威脅進(jìn)程進(jìn)行第二威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，針對(duì)所述威脅進(jìn)程進(jìn)行第二威脅處理；或者

第三全局威脅處理子模塊，用于當(dāng)對(duì)威脅進(jìn)程進(jìn)行第三威脅處理后，若所述目標(biāo)用戶終端未出現(xiàn)異常，則在所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的全部用戶終端上，針對(duì)所述威脅進(jìn)程進(jìn)行第三威脅處理。

B17、如B11或B12或B13或B15所述的裝置，所述裝置還包括：用于獲取所述局域網(wǎng)內(nèi)的威脅進(jìn)程的威脅進(jìn)程獲取模塊；

所述威脅進(jìn)程獲取模塊包括：

接收子模塊，用于接收所述局域網(wǎng)內(nèi)的用戶終端上報(bào)的進(jìn)程行為；

建立子模塊，用于依據(jù)所述進(jìn)程行為，建立所述用戶終端在不同時(shí)刻的進(jìn)程樹、以及所述進(jìn)程樹中各進(jìn)程與進(jìn)程行為之間的映射關(guān)系；

目標(biāo)進(jìn)程獲取子模塊，用于從所述進(jìn)程樹中獲取符合預(yù)置進(jìn)程行為模式的目標(biāo)進(jìn)程；

威脅判斷子模塊，用于依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程。

B18、如B17所述的裝置，所述預(yù)置進(jìn)程行為模式包括：

文件相關(guān)進(jìn)程啟動(dòng)了非操作系統(tǒng)進(jìn)程；和/或

進(jìn)程變更文件系統(tǒng)中第一文件后，訪問第二文件并加密。

B19、如B17所述的裝置，所述威脅判斷子模塊包括：

第一威脅判斷單元，用于針對(duì)所述目標(biāo)進(jìn)程發(fā)出相應(yīng)的告警信息，以使管理員用戶針對(duì)所述告警信息，依據(jù)所述目標(biāo)進(jìn)程的進(jìn)程行為，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程；和/或

第二威脅判斷單元，用于將所述目標(biāo)進(jìn)程、或者所述目標(biāo)進(jìn)程的子孫進(jìn)程作為待分析進(jìn)程，依據(jù)所述待分析進(jìn)程的進(jìn)程行為的執(zhí)行參數(shù)，判斷所述目標(biāo)進(jìn)程是否為威脅進(jìn)程。

B20、如B11或B12或B13或B15所述的裝置，所述裝置還包括：用于確定所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端的終端確定模塊；

所述終端確定模塊包括：

傳輸事件獲取子模塊，用于從預(yù)先獲取的文件傳輸事件中獲取與所述威脅進(jìn)程相應(yīng)的待分析文件傳輸事件；其中，所述文件傳輸事件為所述局域網(wǎng)內(nèi)的用戶終端上報(bào)的事件；

傳輸事件分析子模塊，用于對(duì)所述待分析文件傳輸事件的信息進(jìn)行分析，以得到所述局域網(wǎng)內(nèi)受到所述威脅進(jìn)程影響的用戶終端。