本發(fā)明涉及互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)攻擊的應(yīng)急排查方法及裝置。

背景技術(shù)：

當(dāng)前網(wǎng)絡(luò)攻擊日益頻繁，經(jīng)常有計算機遭受到網(wǎng)絡(luò)攻擊，在計算機遭受網(wǎng)絡(luò)攻擊后，需要對受害主機進行惡意文件的排查與攻擊的回溯，排查出被植入的惡意軟件并恢復(fù)計算機的正常運行，以及找出攻擊者可能的攻擊途徑和方法，避免再次被攻擊，這個過程被稱為應(yīng)急響應(yīng)。在應(yīng)急響應(yīng)過程中，需要對網(wǎng)絡(luò)攻擊進行應(yīng)急排查。

現(xiàn)有的應(yīng)急排查方法一般為應(yīng)急響應(yīng)工程師攜帶相關(guān)軟件工具，安裝到被攻擊主機中進行信息采集及排查并由工程師進行現(xiàn)場分析，或者將采集的信息取出后進行離線分析。這種技術(shù)方案需要在被攻擊的計算機中安裝軟件工具，由于不同的操作系統(tǒng)以及不同的CPU架構(gòu)中可能需要安裝不同的工具，不僅過程繁瑣而且計算機的運行環(huán)境有較大影響，導(dǎo)致應(yīng)急排查的準(zhǔn)確度低；此外，當(dāng)前的網(wǎng)絡(luò)環(huán)境下，攻擊的形式越來越多樣化，需要不斷的對軟件工具進行升級，而軟件的升級周期長，難以對新型的威脅進行實時的檢測。

技術(shù)實現(xiàn)要素：

本發(fā)明提供一種網(wǎng)絡(luò)攻擊的應(yīng)急排查方法及裝置，其主要目的在于解決現(xiàn)有技術(shù)中由于安裝軟件工具而導(dǎo)致應(yīng)急排查的準(zhǔn)確度低以及應(yīng)急軟件的升級難以滿足對新型威脅的檢測的技術(shù)問題。

為實現(xiàn)上述目的，本發(fā)明提供一種網(wǎng)絡(luò)攻擊的應(yīng)急排查方法，該網(wǎng)絡(luò)攻擊的應(yīng)急排查方法包括：

在接收到終端基于信息排查腳本發(fā)送的連接請求時，基于所述信息排查腳本與所述終端建立連接，并向所述終端下發(fā)信息收集插件；

接收所述終端基于所述信息收集插件收集的運行環(huán)境信息和權(quán)限信息，并將與所述運行環(huán)境信息和權(quán)限信息匹配的應(yīng)急排查插件添加至插件下發(fā)隊列中；

將所述插件下發(fā)隊列中的應(yīng)急排查插件下發(fā)至所述終端，以在所述終端的內(nèi)存中運行以進行應(yīng)急排查，并接收所述終端返回的排查結(jié)果；

在應(yīng)急排查結(jié)束后，根據(jù)所述終端所述插件下發(fā)隊列中的應(yīng)急排查插件對應(yīng)的排查結(jié)果生成應(yīng)急排查報告。

可選地，所述在應(yīng)急排查結(jié)束后，根據(jù)所述終端所述插件下發(fā)隊列中的應(yīng)急排查插件對應(yīng)的排查結(jié)果生成應(yīng)急排查報告的步驟之前，所述網(wǎng)絡(luò)攻擊的應(yīng)急排查方法還包括步驟：

當(dāng)接收到所述終端返回的排查結(jié)果時，對接收的排查結(jié)果進行分析；

在根據(jù)分析的結(jié)果確定有待排查信息需要排查時，將與所述待排查信息匹配的應(yīng)急排查插件添加至所述插件下發(fā)隊列。

可選地，所述將與所述待排查信息匹配的應(yīng)急排查插件添加至所述插件下發(fā)隊列的步驟之前，所述網(wǎng)絡(luò)攻擊的應(yīng)急排查方法還包括步驟：

在根據(jù)分析的結(jié)果確定有待排查信息需要排查時，判斷所述待排查信息對應(yīng)的應(yīng)急排查插件是否已經(jīng)下發(fā)至所述終端或者已經(jīng)在所述插件下發(fā)隊列中；

若否，則執(zhí)行將與所述待排查信息匹配的應(yīng)急排查插件添加至所述插件下發(fā)隊列的步驟。

可選地，所述網(wǎng)絡(luò)攻擊的應(yīng)急排查方法還包括：

在檢測到所述插件下發(fā)隊列中的應(yīng)急排查插件已全部下發(fā)、且下發(fā)的應(yīng)急排查插件均有對應(yīng)的排查結(jié)果返回時，判定應(yīng)急排查結(jié)束。

可選地，所述網(wǎng)絡(luò)攻擊的應(yīng)急排查方法還包括：

在應(yīng)急排查結(jié)束后，向所述終端發(fā)送腳本清除指令，以供所述終端基于接收到的所述腳本清除指令清除所述信息排查腳本。

此外，為實現(xiàn)上述目的，本發(fā)明還提供一種網(wǎng)絡(luò)攻擊的應(yīng)急排查裝置，該網(wǎng)絡(luò)攻擊的應(yīng)急排查裝置包括：

連接模塊，用于在接收到終端基于信息排查腳本發(fā)送的連接請求時，基于所述信息排查腳本與所述終端建立連接；

接收模塊，用于接收所述終端基于所述信息收集插件收集的運行環(huán)境信息和權(quán)限信息；

添加模塊，用于將與所述運行環(huán)境信息和權(quán)限信息匹配的應(yīng)急排查插件添加至插件下發(fā)隊列中；

下發(fā)模塊，用于將所述插件下發(fā)隊列中的應(yīng)急排查插件下發(fā)至所述終端，以在所述終端的內(nèi)存中運行以進行應(yīng)急排查；

所述接收模塊還用于：接收所述終端返回的排查結(jié)果；

生成模塊，用于在應(yīng)急排查結(jié)束后，根據(jù)所述終端所述插件下發(fā)隊列中的應(yīng)急排查插件對應(yīng)的排查結(jié)果生成應(yīng)急排查報告。

可選地，所述網(wǎng)絡(luò)攻擊的應(yīng)急排查裝置還包括：

確定模塊，用于當(dāng)接收到所述終端返回的排查結(jié)果時，對接收的排查結(jié)果進行分析。

所述添加模塊還用于：在根據(jù)分析的結(jié)果確定有待排查信息需要排查時，將與所述待排查信息匹配的應(yīng)急排查插件添加至所述插件下發(fā)隊列。

可選地，所述網(wǎng)絡(luò)攻擊的應(yīng)急排查裝置還包括：

第一判斷模塊，用于在根據(jù)分析的結(jié)果確定有待排查信息需要排查時，判斷所述待排查信息對應(yīng)的應(yīng)急排查插件是否已經(jīng)下發(fā)至所述終端或者已經(jīng)在所述插件下發(fā)隊列中；

所述添加模塊還用于：在所述待排查信息對應(yīng)的應(yīng)急排查插件未下發(fā)至所述終端或者不在所述插件下發(fā)隊列中時，將與所述待排查信息匹配的應(yīng)急排查插件添加至所述插件下發(fā)隊列。

可選地，所述網(wǎng)絡(luò)攻擊的應(yīng)急排查裝置還包括：

第二判斷模塊，用于在檢測到所述插件下發(fā)隊列中的應(yīng)急排查插件已全部下發(fā)、且下發(fā)的應(yīng)急排查插件均有對應(yīng)的排查結(jié)果返回時，判定應(yīng)急排查結(jié)束。

可選地，所述發(fā)送模塊還用于：在應(yīng)急排查結(jié)束后，向所述終端發(fā)送腳本清除指令，以供所述終端基于接收到的所述腳本清除指令清除所述信息排查腳本。

本發(fā)明提出的網(wǎng)絡(luò)攻擊的應(yīng)急排查方法及裝置，無需在終端上安裝軟件工具，也無需現(xiàn)場分析，只需要終端通過信息排查腳本與服務(wù)器建立連接，基于服務(wù)器下發(fā)的信息采集插件上報運行環(huán)境信息和權(quán)限信息，服務(wù)器將與終端的運行環(huán)境信息和權(quán)限信息匹配的應(yīng)急排查插件下發(fā)給終端，即可實現(xiàn)遠程應(yīng)急排查，并且本發(fā)明采用由服務(wù)器實時下發(fā)插件的方式，具有擴展性和可維護性，當(dāng)產(chǎn)生新型威脅時，只需添加新的插件即可快速應(yīng)用于應(yīng)急排查中，此外，本發(fā)明的插件運行在終端的內(nèi)存中，在磁盤中沒有安裝痕跡，對于終端的運行環(huán)境影響較小，提高了應(yīng)急排查的準(zhǔn)確度。

附圖說明

圖1為本發(fā)明網(wǎng)絡(luò)攻擊的應(yīng)急排查方法第一實施例的流程圖；

圖2為本發(fā)明網(wǎng)絡(luò)攻擊的應(yīng)急排查方法第二實施例的流程圖；

圖3為本發(fā)明網(wǎng)絡(luò)攻擊的應(yīng)急排查裝置第一實施例的功能模塊示意圖；

圖4為本發(fā)明網(wǎng)絡(luò)攻擊的應(yīng)急排查裝置第二實施例的功能模塊示意圖。

本發(fā)明目的的實現(xiàn)、功能特點及優(yōu)點將結(jié)合實施例，參照附圖做進一步說明。

具體實施方式

應(yīng)當(dāng)理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

本發(fā)明提供一種網(wǎng)絡(luò)攻擊的應(yīng)急排查方法。參照圖1所示，為本發(fā)明網(wǎng)絡(luò)攻擊的應(yīng)急排查方法第一實施例的流程圖。

在本實施例中，該網(wǎng)絡(luò)攻擊的應(yīng)急排查方法包括：

步驟S10，在接收到終端基于信息排查腳本發(fā)送的連接請求時，基于所述信息排查腳本與所述終端建立連接，并向所述終端下發(fā)信息收集插件。

步驟S20，接收所述終端基于所述信息收集插件收集的運行環(huán)境信息和權(quán)限信息，并將與所述運行環(huán)境信息和權(quán)限信息匹配的應(yīng)急排查插件添加至插件下發(fā)隊列中。

本發(fā)明實施例的執(zhí)行主體可以為服務(wù)器或?qū)Ｓ糜趯崿F(xiàn)該方法的設(shè)備等。下文中均以執(zhí)行主體為服務(wù)器為例對本發(fā)明實施例提供的方法進行說明。

一般情況下，攻擊者在入侵進入系統(tǒng)后，會在系統(tǒng)中留下一些入侵痕跡，如新添加的后門或賬戶，系統(tǒng)中記錄的日志也可能記錄攻擊者的一些操作和攻擊途徑等等。通過對系統(tǒng)中各種信息的排查分析可能可以找到攻擊者植入的惡意文件及攻擊途徑。例如，從系統(tǒng)日志、web日志、賬戶情況、進程情況、網(wǎng)絡(luò)通信狀況、文件分析、啟動項分析等方面進行排查等。

本發(fā)明的實施例中，在服務(wù)器預(yù)先建立插件庫，根據(jù)應(yīng)急排查過程中需要排查的項目制作各種對應(yīng)功能的應(yīng)急排查插件，并將建立的應(yīng)急排查插件存儲到預(yù)先建立的插件庫中，其中，插件庫中存儲的插件包括但不限于以下類型的插件：歷史命令排查插件、用戶賬號排查插件、進程狀況排查插件、網(wǎng)絡(luò)通信及端口使用情況排查插件、日志信息排查插件，以及各種類型的病毒排查插件等。其中，運行環(huán)境信息包括終端的操作系統(tǒng)類型、CPU(Central Processing Unit，中央處理器)架構(gòu)、環(huán)境變量以及磁盤的目錄信息等，權(quán)限信息為終端當(dāng)前訪問系統(tǒng)的賬戶信息，如管理員賬戶或者訪客賬戶等。插件庫中的每種插件分別包括與不同運行環(huán)境信息、權(quán)限信息匹配的多個插件，以歷史命令排查插件為例，假設(shè)操作系統(tǒng)類型包括windows系列操作系統(tǒng)、unix操作系統(tǒng)、linux操作系統(tǒng)，則需要在插件庫中預(yù)先存儲分別與這三個操作系統(tǒng)對應(yīng)的歷史命令排查插件。

預(yù)先編寫信息排查腳本，該腳本可以運行在終端上，具有與服務(wù)器建立連接，以及接收服務(wù)器發(fā)送的插件的功能，使用方便，在應(yīng)急排查時不需要在終端上安裝工具軟件。當(dāng)終端受到網(wǎng)絡(luò)攻擊需要進行應(yīng)急排查時，在該終端上運行該信息排查腳本，終端通過該信息排查腳本向服務(wù)器發(fā)送連接請求，以與服務(wù)器建立連接。服務(wù)器與終端成功建立連接后，向該終端下發(fā)信息收集插件，終端接收到的該信息采集插件后，可以直接在內(nèi)存中運行該插件，采集終端當(dāng)前的運行環(huán)境信息以及權(quán)限信息。

在該實施例中，在獲取到終端當(dāng)前的運行環(huán)境信息以及權(quán)限信息之后，從插件庫中，獲取與上述運行環(huán)境信息以及權(quán)限信息匹配的應(yīng)急排查插件，添加到插件下發(fā)隊列中。

步驟S30，將所述插件下發(fā)隊列中的應(yīng)急排查插件下發(fā)至所述終端，以在所述終端的內(nèi)存中運行以進行應(yīng)急排查，并接收所述終端返回的排查結(jié)果。

步驟S40，在應(yīng)急排查結(jié)束后，根據(jù)所述終端所述插件下發(fā)隊列中的應(yīng)急排查插件對應(yīng)的排查結(jié)果生成應(yīng)急排查報告。

不斷地將插件下發(fā)隊列中的應(yīng)急排查插件下發(fā)至終端，以在終端的內(nèi)存中運行，進行應(yīng)急排查。例如，可以按照預(yù)設(shè)的下發(fā)時間間隔進行定時地下發(fā)。直至隊列中的插件全部下發(fā)到終端。在排查結(jié)束之前，只要檢測到下發(fā)隊列中有未下發(fā)的插件，都會進行下發(fā)。在下發(fā)應(yīng)急排查插件時，可以先下發(fā)基礎(chǔ)安全排查插件，然后再根據(jù)這些基礎(chǔ)安全排查插件反饋的排查結(jié)果，判斷要下發(fā)哪些類型的病毒排查插件，其中，基礎(chǔ)安全檢測插件包括歷史命令排查插件、用戶賬號排查插件、進程狀況排查插件、網(wǎng)絡(luò)通信及端口使用情況排查插件、日志信息排查插件。終端在接收到上述插件后，在內(nèi)存中運行這些插件，運行的插件按照對應(yīng)的功能進行信息排查，以檢測終端上是否有新添加的后門或者賬戶，或者系統(tǒng)日志中記錄的攻擊者的操作和攻擊途徑等攻擊者留下的入侵痕跡，并將排查結(jié)果返回給服務(wù)器?；蛘?，在其他實施例中，根據(jù)終端返回的運行環(huán)境信息以及權(quán)限信息，將相關(guān)的全部應(yīng)急排查插件依次下發(fā)給終端進行應(yīng)急排查。

服務(wù)器在應(yīng)急排查結(jié)束后，可以根據(jù)各個應(yīng)急排查插件返回的排查結(jié)果生成應(yīng)急排查報告，其中，在檢測到所述插件下發(fā)隊列中的應(yīng)急排查插件已全部下發(fā)、且下發(fā)的應(yīng)急排查插件均有對應(yīng)的排查結(jié)果返回時，判定應(yīng)急排查結(jié)束。

進一步地，為了進一步減小對終端的運行環(huán)境的影響，在應(yīng)急排查結(jié)束后，服務(wù)器向終端發(fā)送腳本清除指令，終端根據(jù)接收到的腳本清除指令清除信息排查腳本。此外，為了進一步地提高應(yīng)急排查的準(zhǔn)確度，當(dāng)有新的威脅類型，或者新的排查方式出現(xiàn)時，可以編寫新的應(yīng)急排查插件添加到插件庫中以更新插件庫，以使后續(xù)的應(yīng)急排查的準(zhǔn)確度更高。

本實施例提出的網(wǎng)絡(luò)攻擊的應(yīng)急排查方法，無需在終端上安裝軟件工具，也無需現(xiàn)場分析，只需要終端通過信息排查腳本與服務(wù)器建立連接，基于服務(wù)器下發(fā)的信息采集插件上報運行環(huán)境信息和權(quán)限信息，服務(wù)器將與終端的運行環(huán)境信息和權(quán)限信息匹配的應(yīng)急排查插件下發(fā)給終端，即可實現(xiàn)遠程應(yīng)急排查，并且本發(fā)明采用由服務(wù)器實時下發(fā)插件的方式，具有擴展性和可維護性，當(dāng)產(chǎn)生新型威脅時，只需添加新的插件即可快速應(yīng)用于應(yīng)急排查中，此外，本發(fā)明的插件運行在終端的內(nèi)存中，在磁盤中沒有安裝痕跡，對于終端的運行環(huán)境影響較小，提高了應(yīng)急排查的準(zhǔn)確度。

基于第一實施例提出本發(fā)明網(wǎng)絡(luò)攻擊的應(yīng)急排查方法的第二實施例。在本實施例中，在步驟S30與步驟S40之間，該方法還包括：

步驟S50，當(dāng)接收到所述終端返回的排查結(jié)果時，對接收的排查結(jié)果進行分析。

步驟S60，在根據(jù)分析的結(jié)果確定有待排查信息需要排查時，將與所述待排查信息匹配的應(yīng)急排查插件添加至插件下發(fā)隊列。

在該實施例中，根據(jù)已經(jīng)下發(fā)的應(yīng)急排查插件返回的排查結(jié)果動態(tài)地添加新的應(yīng)急排查插件到建立的插件下發(fā)隊列，以對終端進行全面排查。

在獲取到與運行環(huán)境信息和權(quán)限信息匹配的應(yīng)急排查插件后，添加到該插件下發(fā)隊列中，并且，服務(wù)器在檢測到插件下發(fā)隊列中有應(yīng)急排查插件時，將插件下發(fā)隊列中的插件依次下發(fā)到終端。此外，終端接收到的應(yīng)急排查插件后，在內(nèi)存中運行，并將運行的結(jié)果作為排查結(jié)果發(fā)送到服務(wù)器，服務(wù)器在接收到排查結(jié)果后，對排查結(jié)果進行分析并根據(jù)分析結(jié)果確定待排查信息，其中，此處的待排查信息是指除了已經(jīng)下發(fā)或者已經(jīng)添加至插件下發(fā)隊列中的應(yīng)急排查插件能夠排查的信息之外的、還需要進行排查的信息。若有還需要排查的待排查信息，則從插件庫中獲取與上述待排查信息對應(yīng)的應(yīng)急排查插件并添加至插件下發(fā)隊列中。若沒有，則不再添加。

例如，服務(wù)器根據(jù)日志信息排查插件返回的針對終端的日志信息的排查結(jié)果，判斷需要對終端進行某種病毒進行排查，則該種病毒即為待排查信息，將插件庫中與該病毒對應(yīng)的排查插件添加至插件下發(fā)隊列。

進一步地，在根據(jù)分析結(jié)果確定待排查信息之后，判斷所述待排查信息對應(yīng)的應(yīng)急排查插件是否已經(jīng)下發(fā)至所述終端或者已經(jīng)在所述插件下發(fā)隊列中；若否，則將確定的應(yīng)急排查插件添加至所述插件下發(fā)隊列。若確定的插件已經(jīng)在插件下發(fā)隊列中或者已經(jīng)下發(fā)至終端，則不再重復(fù)添加。對于插件庫中的各種插件，可以根據(jù)插件可能返回的排查結(jié)果的不同，建立插件與排查信息之間的映射關(guān)系，服務(wù)器在接收到插件返回的排查結(jié)果時，可以根據(jù)排查結(jié)果確定需要排查的排查信息，進而結(jié)合上述映射關(guān)系確定要調(diào)用的插件，并添加至插件下發(fā)隊列。

本發(fā)明還提出一種網(wǎng)絡(luò)攻擊的應(yīng)急排查裝置。

參照圖3所示，為本發(fā)明網(wǎng)絡(luò)攻擊的應(yīng)急排查裝置第一實施例的功能模塊示意圖。

在該實施例中，該網(wǎng)絡(luò)攻擊的應(yīng)急排查裝置包括：

連接模塊10，用于在接收到終端基于信息排查腳本發(fā)送的連接請求時，基于所述信息排查腳本與所述終端建立連接；

接收模塊20，用于接收所述終端基于所述信息收集插件收集的運行環(huán)境信息和權(quán)限信息；

添加模塊30，用于將與所述運行環(huán)境信息和權(quán)限信息匹配的應(yīng)急排查插件添加至插件下發(fā)隊列中。

本發(fā)明實施例提出的裝置可以為服務(wù)器，也可以為其他專用于實現(xiàn)該方法的設(shè)備等。下文中均以服務(wù)器為例進行說明，實施例中的各個功能模塊均部署在該服務(wù)器中。

一般情況下，攻擊者在入侵進入系統(tǒng)后，會在系統(tǒng)中留下一些入侵痕跡，如新添加的后門或賬戶，系統(tǒng)中記錄的日志也可能記錄攻擊者的一些操作和攻擊途徑等等。通過對系統(tǒng)中各種信息的排查分析可能可以找到攻擊者植入的惡意文件及攻擊途徑。例如，從系統(tǒng)日志、web日志、賬戶情況、進程情況、網(wǎng)絡(luò)通信狀況、文件分析、啟動項分析等方面進行排查等。

本發(fā)明的實施例中，在服務(wù)器中預(yù)先建立插件庫，根據(jù)應(yīng)急排查過程中需要排查的項目制作各種對應(yīng)功能的應(yīng)急排查插件，并將建立的應(yīng)急排查插件存儲到預(yù)先建立的插件庫中，其中，插件庫中存儲的插件包括但不限于以下類型的插件：歷史命令排查插件、用戶賬號排查插件、進程狀況排查插件、網(wǎng)絡(luò)通信及端口使用情況排查插件、日志信息排查插件，以及各種類型的病毒排查插件等。其中，運行環(huán)境信息包括終端的操作系統(tǒng)類型、CPU(Central Processing Unit，中央處理器)架構(gòu)、環(huán)境變量以及磁盤的目錄信息等，權(quán)限信息為終端當(dāng)前訪問系統(tǒng)的賬戶信息，如管理員賬戶或者訪客賬戶等。插件庫中的每種插件分別包括與不同運行環(huán)境信息、權(quán)限信息匹配的多個插件，以歷史命令排查插件為例，假設(shè)操作系統(tǒng)類型包括windows系列操作系統(tǒng)、unix操作系統(tǒng)、linux操作系統(tǒng)，則需要在插件庫中預(yù)先存儲分別與這三個操作系統(tǒng)對應(yīng)的歷史命令排查插件。

預(yù)先編寫信息排查腳本，該腳本可以運行在終端上，具有與服務(wù)器建立連接，以及接收服務(wù)器發(fā)送的插件的功能，使用方便，在應(yīng)急排查時不需要在終端上安裝工具軟件。當(dāng)終端受到網(wǎng)絡(luò)攻擊需要進行應(yīng)急排查時，在該終端上運行該信息排查腳本，終端通過該信息排查腳本向服務(wù)器發(fā)送連接請求，以與服務(wù)器建立連接。服務(wù)器與終端成功建立連接后，下發(fā)模塊40向該終端下發(fā)信息收集插件，終端接收到的該信息采集插件后，可以直接在內(nèi)存中運行該插件，采集終端當(dāng)前的運行環(huán)境信息以及權(quán)限信息。

在該實施例中，在接收模塊20獲取到終端當(dāng)前的運行環(huán)境信息以及權(quán)限信息之后，添加模塊30從插件庫中，獲取與上述運行環(huán)境信息以及權(quán)限信息匹配的應(yīng)急排查插件，添加到插件下發(fā)隊列中。

下發(fā)模塊40，用于將所述插件下發(fā)隊列中的應(yīng)急排查插件下發(fā)至所述終端，以在所述終端的內(nèi)存中運行以進行應(yīng)急排查；

接收模塊20還用于：接收所述終端返回的排查結(jié)果。

生成模塊50，用于在應(yīng)急排查結(jié)束后，根據(jù)所述終端所述插件下發(fā)隊列中的應(yīng)急排查插件對應(yīng)的排查結(jié)果生成應(yīng)急排查報告。

下發(fā)模塊40不斷地將插件下發(fā)隊列中的應(yīng)急排查插件下發(fā)至終端，以在終端的內(nèi)存中運行，進行應(yīng)急排查。例如，可以按照預(yù)設(shè)的下發(fā)時間間隔進行定時地下發(fā)。直至隊列中的插件全部下發(fā)到終端。在排查結(jié)束之前，只要檢測到下發(fā)隊列中有未下發(fā)的插件，都會進行下發(fā)。在下發(fā)應(yīng)急排查插件時，可以先下發(fā)基礎(chǔ)安全排查插件，然后再根據(jù)這些基礎(chǔ)安全排查插件反饋的排查結(jié)果，判斷要下發(fā)哪些類型的病毒排查插件，其中，基礎(chǔ)安全檢測插件包括歷史命令排查插件、用戶賬號排查插件、進程狀況排查插件、網(wǎng)絡(luò)通信及端口使用情況排查插件、日志信息排查插件。終端在接收到上述插件后，在內(nèi)存中運行這些插件，運行的插件按照對應(yīng)的功能進行信息排查，以檢測終端上是否有新添加的后門或者賬戶，或者系統(tǒng)日志中記錄的攻擊者的操作和攻擊途徑等攻擊者留下的入侵痕跡，并將排查結(jié)果返回給服務(wù)器?；蛘?，在其他實施例中，根據(jù)終端返回的運行環(huán)境信息以及權(quán)限信息，將相關(guān)的全部應(yīng)急排查插件依次下發(fā)給終端進行應(yīng)急排查。

服務(wù)器在應(yīng)急排查結(jié)束后，生成模塊50根據(jù)各個應(yīng)急排查插件返回的排查結(jié)果生成應(yīng)急排查報告。進一步地，該裝置還包括第二判斷模塊，用于在檢測到所述插件下發(fā)隊列中的應(yīng)急排查插件已全部下發(fā)、且下發(fā)的應(yīng)急排查插件均有對應(yīng)的排查結(jié)果返回時，判定應(yīng)急排查結(jié)束。

進一步地，為了進一步減小對終端的運行環(huán)境的影響，在應(yīng)急排查結(jié)束后，下發(fā)模塊40向終端發(fā)送腳本清除指令，終端根據(jù)接收到的腳本清除指令清除信息排查腳本。此外，為了進一步地提高應(yīng)急排查的準(zhǔn)確度，當(dāng)有新的威脅類型，或者新的排查方式出現(xiàn)時，可以編寫新的應(yīng)急排查插件添加到插件庫中以更新插件庫，以使后續(xù)的應(yīng)急排查的準(zhǔn)確度更高。

本實施例提出的網(wǎng)絡(luò)攻擊的應(yīng)急排查裝置，無需在終端上安裝軟件工具，也無需現(xiàn)場分析，只需要終端通過信息排查腳本與服務(wù)器建立連接，基于服務(wù)器下發(fā)的信息采集插件上報運行環(huán)境信息和權(quán)限信息，服務(wù)器將與終端的運行環(huán)境信息和權(quán)限信息匹配的應(yīng)急排查插件下發(fā)給終端，即可實現(xiàn)遠程應(yīng)急排查，并且本發(fā)明采用由服務(wù)器實時下發(fā)插件的方式，具有擴展性和可維護性，當(dāng)產(chǎn)生新型威脅時，只需添加新的插件即可快速應(yīng)用于應(yīng)急排查中，此外，本發(fā)明的插件運行在終端的內(nèi)存中，在磁盤中沒有安裝痕跡，對于終端的運行環(huán)境影響較小，提高了應(yīng)急排查的準(zhǔn)確度。

基于第一實施例提出本發(fā)明網(wǎng)絡(luò)攻擊的應(yīng)急排查裝置的第二實施例。參照圖4所示，在本實施例中，該裝置還包括：

確定模塊60，用于當(dāng)接收到所述終端返回的排查結(jié)果時，對接收的排查結(jié)果進行分析。

添加模塊30還用于：在根據(jù)分析的結(jié)果確定有待排查信息需要排查時，將與所述待排查信息匹配的應(yīng)急排查插件添加至插件下發(fā)隊列。

在該實施例中，添加模塊30根據(jù)已經(jīng)下發(fā)的應(yīng)急排查插件返回的排查結(jié)果動態(tài)地添加新的應(yīng)急排查插件到建立的插件下發(fā)隊列，以對終端進行全面排查。

在獲取到與運行環(huán)境信息和權(quán)限信息匹配的應(yīng)急排查插件后，添加到該插件下發(fā)隊列中，并且，服務(wù)器在檢測到插件下發(fā)隊列中有應(yīng)急排查插件時，將插件下發(fā)隊列中的插件依次下發(fā)到終端。此外，終端接收到的應(yīng)急排查插件后，在內(nèi)存中運行，并將運行的結(jié)果作為排查結(jié)果發(fā)送到服務(wù)器，服務(wù)器在接收到排查結(jié)果后，對排查結(jié)果進行分析并根據(jù)分析結(jié)果確定待排查信息，其中，此處的待排查信息是指除了已經(jīng)下發(fā)或者已經(jīng)添加至插件下發(fā)隊列中的應(yīng)急排查插件能夠排查的信息之外的、還需要進行排查的信息。若有還需要排查的待排查信息，則從插件庫中獲取與上述待排查信息對應(yīng)的應(yīng)急排查插件并添加至插件下發(fā)隊列中。若沒有，則不再添加。

例如，服務(wù)器根據(jù)日志信息排查插件返回的針對終端的日志信息的排查結(jié)果，判斷需要對終端進行某種病毒進行排查，則該種病毒即為待排查信息，將插件庫中與將該病毒對應(yīng)的排查插件添加至插件下發(fā)隊列。

進一步地，該裝置還包括：

第一判斷模塊，用于在根據(jù)分析結(jié)果確定待排查信息之后，判斷所述待排查信息對應(yīng)的應(yīng)急排查插件是否已經(jīng)下發(fā)至所述終端或者已經(jīng)在所述插件下發(fā)隊列中；

添加模塊30還用于：在所述待排查信息對應(yīng)的應(yīng)急排查插件未下發(fā)至所述終端或者不在所述插件下發(fā)隊列中時，將與所述待排查信息匹配的應(yīng)急排查插件添加至所述插件下發(fā)隊列。若待排查信息對應(yīng)的應(yīng)急排查插件已經(jīng)在插件下發(fā)隊列中或者已經(jīng)下發(fā)至終端，則不再重復(fù)添加。對于插件庫中的各種插件，可以根據(jù)插件可能返回的排查結(jié)果的不同，建立插件與排查信息之間的映射關(guān)系，服務(wù)器在接收到插件返回的排查結(jié)果時，可以根據(jù)排查結(jié)果確定需要排查的排查信息，進而結(jié)合上述映射關(guān)系確定要調(diào)用的插件，并添加至插件下發(fā)隊列。

需要說明的是，在本文中，術(shù)語“包括”、“包含”或者其任何其他變體意在涵該非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者裝置不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者裝置所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括該要素的過程、方法、物品或者裝置中還存在另外的相同要素。

通過以上的實施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到上述實施例方法可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)，當(dāng)然也可以通過硬件，但很多情況下前者是更佳的實施方式。基于這樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)(如ROM/RAM、磁碟、光盤)中，包括若干指令用以使得一臺終端設(shè)備(可以是手機，計算機，云端服務(wù)器或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例的方法。

以上僅為本發(fā)明的優(yōu)選實施例，并非因此限制本發(fā)明的專利范圍，凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換，或直接或間接運用在其他相關(guān)的技術(shù)領(lǐng)域，均同理包括在本發(fā)明的專利保護范圍內(nèi)。