亚洲狠狠干,亚洲国产福利精品一区二区,国产八区,激情文学亚洲色图

安全檢測的方法、裝置及系統(tǒng)的制作方法

文檔序號:10572545閱讀:552來源:國知局
安全檢測的方法、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種安全檢測的方法、裝置及系統(tǒng),涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域,能夠解決現(xiàn)有對局域網(wǎng)內(nèi)終端進(jìn)行安全檢測時,無法有效地發(fā)現(xiàn)隱藏威脅的問題。本發(fā)明的方法包括:搜索平臺接收前端發(fā)送的搜索指令,所述搜索指令中攜帶有搜索范圍以及用于評估終端是否安全的搜索信息;根據(jù)所述搜索信息對所述搜索范圍內(nèi)的終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,所述終端信息包括終端行為信息和/或終端狀態(tài)信息;將所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識發(fā)送給所述前端,以便所述前端根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。本發(fā)明主要適用于檢測企業(yè)終端安全的場景中。
【專利說明】
安全檢測的方法、裝置及系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域,尤其涉及一種安全檢測的方法、裝置及系統(tǒng)。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展,在一個企業(yè)運營過程中,不僅需要有條理的管理員工,還需要有效地對員工使用的電腦進(jìn)行管理。
[0003]現(xiàn)有的對企業(yè)內(nèi)部終端進(jìn)行管理的具體內(nèi)容主要包括:設(shè)置員工的訪問權(quán)限;向終端下發(fā)安全掃描任務(wù)、企業(yè)軟件漏洞修復(fù)任務(wù)、軟件升級任務(wù)等。其中,當(dāng)企業(yè)管理員利用管理平臺向企業(yè)內(nèi)部終端下發(fā)安全掃描任務(wù)后,終端會啟動安裝的殺毒軟件進(jìn)行安全掃描以及病毒查殺操作?;诂F(xiàn)有的殺毒軟件進(jìn)行安全檢測時,主要依靠特征庫簽名、黑名單等方式發(fā)現(xiàn)威脅,但是這些方式僅能檢測出已有的威脅(例如黑名單中的病毒或者攻擊),而無法檢測出隱藏的其他威脅,并且若當(dāng)這些隱藏的威脅在企業(yè)內(nèi)部大量擴(kuò)散后,企業(yè)員工才發(fā)現(xiàn)重要文件受損或者被盜,將會給企業(yè)帶來重大損失。由此可知,如何更有效地對局域網(wǎng)內(nèi)的終端進(jìn)行安全檢測是當(dāng)今一大難題。

【發(fā)明內(nèi)容】

[0004]有鑒于此,本發(fā)明提供一種安全檢測的方法、裝置及系統(tǒng),其目的在于解決現(xiàn)有技術(shù)中對局域網(wǎng)內(nèi)終端進(jìn)行安全檢測時,無法有效地發(fā)現(xiàn)隱藏威脅的問題。
[0005]第一方面,本發(fā)明提供了一種安全檢測的方法,所述方法包括:
[0006]接收前端發(fā)送的搜索指令,所述搜索指令中攜帶有搜索范圍以及用于評估終端是否安全的搜索信息;
[0007]根據(jù)所述搜索信息對所述搜索范圍內(nèi)的終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,所述終端信息包括終端行為信息和/或終端狀態(tài)信息;
[0008]將所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識發(fā)送給所述前端,以便所述前端根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。
[0009]第二方面,本發(fā)明提供了一種安全檢測的方法,所述方法包括:
[0010]獲取搜索范圍以及用于評估終端是否安全的搜索信息;
[0011]將攜帶所述搜索范圍以及所述搜索信息的搜索指令發(fā)送給搜索平臺;
[0012]接收所述搜索平臺發(fā)送的、滿足所述搜索范圍以及所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,所述終端信息包括終端行為信息和/或終端狀態(tài)信息;
[0013]顯示所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,以便根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。
[0014]第三方面,本發(fā)明提供了一種安全檢測的裝置,所述裝置包括:
[0015]接收單元,用于接收前端發(fā)送的搜索指令,所述搜索指令中攜帶有搜索范圍以及用于評估終端是否安全的搜索信息;
[0016]搜索單元,用于根據(jù)所述搜索信息對所述搜索范圍內(nèi)的終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,所述終端信息包括終端行為信息和/或終端狀態(tài)信息;
[0017]發(fā)送單元,用于將所述搜索單元獲得的所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識發(fā)送給所述前端,以便所述前端根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。
[0018]第四方面,本發(fā)明提供了一種安全檢測的裝置,所述裝置包括:
[0019]獲取單元,用于獲取搜索范圍以及用于評估終端是否安全的搜索信息;
[0020]發(fā)送單元,用于將攜帶所述獲取單元獲得的所述搜索范圍以及所述搜索信息的搜索指令發(fā)送給搜索平臺;
[0021 ]接收單元,用于接收所述搜索平臺發(fā)送的、滿足所述搜索范圍以及所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,所述終端信息包括終端行為信息和/或終端狀態(tài)信息;
[0022]顯示單元,用于顯示所述接收單元接收的所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,以便根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。
[0023]第五方面,本發(fā)明提供了一種安全檢測的系統(tǒng),其特征在于,所述系統(tǒng)包括:搜索平臺以及前端;其中,所述搜索平臺包括如第三方面所述的裝置,所述前端包括如第四方面所述的裝置。
[0024]借由上述技術(shù)方案,本發(fā)明提供的安全檢測的方法、裝置及系統(tǒng),能夠當(dāng)管理員需要獲知局域網(wǎng)內(nèi)的終端是否安全時,管理員在前端的搜索界面輸入搜索范圍以及用于評估終端是否安全的搜索信息,前端接收到這些信息后,將這些信息上報給搜索平臺;搜索平臺接收到搜索范圍以及搜索信息后,開始對搜索范圍內(nèi)的終端進(jìn)行搜索,從而獲得滿足搜索信息的終端信息(包括終端行為信息和/或終端狀態(tài)信息)以及對應(yīng)的終端標(biāo)識,并將這些終端信息以及對應(yīng)的終端標(biāo)識反饋給前端進(jìn)行顯示,進(jìn)而管理員可以對顯示的搜索結(jié)果進(jìn)行綜合分析,及時發(fā)現(xiàn)并處理終端的異常行為。由此可知,與現(xiàn)有技術(shù)中僅能發(fā)現(xiàn)已知的威脅而無法及時發(fā)現(xiàn)隱藏的威脅相比,本發(fā)明通過對局域網(wǎng)內(nèi)終端的行為信息以及狀態(tài)信息進(jìn)行搜索并分析,不僅能夠及時發(fā)現(xiàn)已知的威脅,還能夠及時發(fā)現(xiàn)隱藏的威脅,從而提高了對局域網(wǎng)內(nèi)終端進(jìn)行安全檢測的有效性以及完善性。
[0025]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂,以下特舉本發(fā)明的【具體實施方式】。
【附圖說明】
[0026]通過閱讀下文優(yōu)選實施方式的詳細(xì)描述,各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的,而并不認(rèn)為是對本發(fā)明的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中:
[0027]圖1示出了本發(fā)明實施例提供的一種安全檢測的方法的流程圖;
[0028]圖2示出了本發(fā)明實施例提供的另一種安全檢測的方法的流程圖;
[0029]圖3示出了本發(fā)明實施例提供的一種安全檢測的裝置的組成框圖;
[0030]圖4示出了本發(fā)明實施例提供的另一種安全檢測的裝置的組成框圖;
[0031]圖5示出了本發(fā)明實施例提供的另一種安全檢測的裝置的組成框圖;
[0032]圖6示出了本發(fā)明實施例提供的另一種安全檢測的裝置的組成框圖;
[0033]圖7示出了本發(fā)明實施例提供的一種安全檢測的系統(tǒng)示意圖。
【具體實施方式】
[0034]下面將參照附圖更詳細(xì)地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例,然而應(yīng)當(dāng)理解,可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制。相反,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。
[0035]本發(fā)明實施例提供了一種安全檢測的方法,該方法主要應(yīng)用于搜索平臺側(cè),如圖1所示,該方法主要包括:
[0036]101、接收前端發(fā)送的搜索指令。
[0037]其中,搜索指令中攜帶有搜索范圍以及用于評估終端是否安全的搜索信息,且搜索信息包括至少一條。例如搜索信息可以為:操作系統(tǒng)信息、賬號信息、安裝的軟件列表、殺毒軟件、終端網(wǎng)絡(luò)IP(Internet Protocol,網(wǎng)間協(xié)議)行為審計、終端網(wǎng)絡(luò)DNS(Domain NameSystem,域名解析系統(tǒng))行為審計、當(dāng)前活動進(jìn)程、當(dāng)前程序聯(lián)網(wǎng)情況以及WEB(World WideWeb,萬維網(wǎng))訪問記錄。
[0038]當(dāng)管理員需要搜索局域網(wǎng)內(nèi)終端信息時,可以在前端的搜索界面中輸入需要搜索的搜索范圍以及待搜索的搜索信息,然后生成攜帶搜索范圍以及搜索信息的搜索指令,并將該搜索指令發(fā)送給搜索平臺,以便搜索平臺根據(jù)搜索指令進(jìn)行搜索操作。
[0039]需要說明的是,在實際應(yīng)用中,管理員可以在前端搜索界面設(shè)置搜索周期、搜索范圍以及搜索信息,以使得前端根據(jù)提前設(shè)置好的搜索范圍以及搜索信息定期生成搜索指令,下發(fā)給搜索平臺進(jìn)行搜索操作。
[0040]102、根據(jù)所述搜索信息對所述搜索范圍內(nèi)的終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識。
[0041]其中,終端信息為與搜索信息相對應(yīng)的搜索結(jié)果,主要包括:終端行為信息和/或終端狀態(tài)信息。終端行為信息用于描述終端的操作行為,例如終端拒絕修復(fù)前端發(fā)送的補(bǔ)丁,終端訪問過哪些網(wǎng)站等;終端狀態(tài)信息用于描述終端當(dāng)前的狀態(tài),例如終端當(dāng)前開啟了哪幾個進(jìn)程,終端的到目前為止安裝了哪些軟件等。
[0042]對局域網(wǎng)內(nèi)終端進(jìn)行搜索的具體實現(xiàn)方式可以為:搜索平臺向終端發(fā)送攜帶搜索信息的信息上報命令,以便終端根據(jù)信息上報命令中的內(nèi)容向搜索平臺上報對應(yīng)的信息;搜索平臺還可以讓終端上報終端日志,然后對終端日志進(jìn)行分析,獲得與搜索信息對應(yīng)的終端行為信息和/或終端狀態(tài)信息。
[0043]103、將所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識發(fā)送給所述前端,以便所述前端根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。
[0044]當(dāng)搜索平臺獲得搜索結(jié)果后,可以將搜索結(jié)果反饋給前端,以便前端將搜索結(jié)果顯示在搜索界面中,從而使得管理員對搜索結(jié)果進(jìn)行分析,判斷是否存在終端異常,進(jìn)而確定終端是否安全。
[0045]需要補(bǔ)充的是,在實際應(yīng)用中,管理員可以根據(jù)分析經(jīng)驗,編寫一套分析規(guī)則,供搜索平臺自動化分析搜索結(jié)果,從而提高分析效率。
[0046]本發(fā)明實施例提供的安全檢測的方法,能夠當(dāng)搜索平臺接收到前端發(fā)送的搜索范圍以及用于評估終端是否安全的搜索信息后,開始對搜索范圍內(nèi)的終端進(jìn)行搜索,從而獲得滿足搜索信息的終端信息(包括終端行為信息和/或終端狀態(tài)信息)以及對應(yīng)的終端標(biāo)識,并將這些終端信息以及對應(yīng)的終端標(biāo)識反饋給前端進(jìn)行顯示,進(jìn)而管理員可以對顯示的搜索結(jié)果進(jìn)行綜合分析,及時發(fā)現(xiàn)并處理終端的異常行為。由此可知,與現(xiàn)有技術(shù)中僅能發(fā)現(xiàn)已知的威脅而無法及時發(fā)現(xiàn)隱藏的威脅相比,本發(fā)明通過對局域網(wǎng)內(nèi)終端的行為信息以及狀態(tài)信息進(jìn)行搜索并分析,不僅能夠及時發(fā)現(xiàn)已知的威脅,還能夠及時發(fā)現(xiàn)隱藏的威脅,從而提尚了對局域網(wǎng)內(nèi)終端進(jìn)彳丁安全檢測的有效性以及完善性。
[0047]進(jìn)一步的,由于一般情況下,管理員基于前端搜索界面進(jìn)行搜索后,局域網(wǎng)內(nèi)的終端都是安全的,所以管理員持續(xù)盯著搜索界面進(jìn)行搜索十分消耗人力。因此,為了減少搜索次數(shù)、提高搜索效率,本發(fā)明實施例提供了以下方案:
[0048](a)在接收前端發(fā)送的搜索指令之前,搜索平臺根據(jù)預(yù)設(shè)采集規(guī)則,采集終端日志、防火墻日志以及前端日志。
[0049]由于通過防火墻日志可以分析出終端與終端之間的交互信息,通過前端日志可以分析出前端對終端下發(fā)的指令,以及各個終端對指令的響應(yīng)情況,所以本發(fā)明實施例為了提高對終端分析的完善性,在采集終端日志的同時,還采集了防火墻日志以及前端日志。
[0050]在實際應(yīng)用中,搜索平臺可以定期甚至實時采集終端日志、防火墻日志以及前端日志,以便及時獲得終端、防火墻以及前端產(chǎn)生的新操作;管理員還可以根據(jù)實際需求,通過前端向搜索平臺下發(fā)采集指令,使得搜索平臺在接收到前端發(fā)送的采集指令后,再采集終端日志、防火墻日志以及前端日志。
[0051 ] (b)通過將所述終端日志、所述防火墻日志以及所述前端日志與預(yù)設(shè)告警規(guī)則進(jìn)行匹配,確定威脅終端。
[0052]當(dāng)采集到終端日志、防火墻日志以及前端日志后,可以根據(jù)預(yù)設(shè)告警規(guī)則對這些日志進(jìn)行綜合分析,以判斷終端行為是否異常,從而判斷該終端是否為威脅終端。例如,若某終端訪問過一個可疑域名,則可以將該終端確定為威脅終端。又如,某終端曾多次拒絕前端下發(fā)的安全掃描指令,則可以將該終端確定為威脅終端。
[0053](C)將攜帶所述威脅終端的終端標(biāo)識的告警提示信息發(fā)送給所述前端。
[0054]前端接收并顯示搜索平臺發(fā)送的告警提示信息后,管理員獲知局域網(wǎng)內(nèi)存在受威脅的終端,從而立即進(jìn)入搜索界面進(jìn)行搜索,實現(xiàn)二次檢測,進(jìn)而提高了對局域網(wǎng)內(nèi)終端安全檢測的準(zhǔn)確性。
[0055]需要補(bǔ)充的是,當(dāng)搜索平臺根據(jù)搜索指令對終端進(jìn)行搜索時,可以直接從存儲終端日志、防火墻日志以及前端日志的數(shù)據(jù)庫中獲取滿足搜索范圍的日志,然后根據(jù)搜索信息對獲得的日志進(jìn)行解析,從中獲得滿足搜索信息的終端行為信息和/或者終端狀態(tài)信息,以及對應(yīng)的終端標(biāo)識。
[0056]需要說明的是,在實際應(yīng)用中,搜索平臺可以由數(shù)據(jù)庫、告警服務(wù)器以及搜索服務(wù)器組成;其中,數(shù)據(jù)庫用于存儲日志數(shù)據(jù),告警服務(wù)器用于根據(jù)預(yù)設(shè)告警規(guī)則對數(shù)據(jù)庫中的日志數(shù)據(jù)進(jìn)行進(jìn)行檢測,搜索服務(wù)器用于基于前端發(fā)送的搜索指令對終端進(jìn)行搜索。
[0057]進(jìn)一步的,當(dāng)前端接收到告警提示信息后,管理員可以著重針對告警提示信息中的威脅終端的終端行為信息以及終端狀態(tài)進(jìn)行搜索,以便進(jìn)一步確認(rèn)該終端是否安全;也可以對局域網(wǎng)內(nèi)的所有終端進(jìn)行搜索,以防止發(fā)生遺漏。
[0058]進(jìn)一步的,依據(jù)圖1所示的方法,本發(fā)明的另一個實施例還提供了一種安全檢測的方法,該方法主要應(yīng)用于前端,如圖2所示,該方法主要包括:
[0059]201、獲取搜索范圍以及用于評估終端是否安全的搜索信息。
[0060]當(dāng)管理員需要搜索終端信息時,可以在前端的搜索界面中輸入搜索范圍以及搜索信息,前端接收到這些信息后,可以生成搜索指令,并將搜索指令下發(fā)給搜索平臺進(jìn)行搜索。
[0061]在實際應(yīng)用中,管理員可以在搜索界面設(shè)置搜索周期、搜索范圍以及搜索信息,然后根據(jù)預(yù)置搜索周期獲取預(yù)置的搜索范圍以及預(yù)置的搜索信息,實現(xiàn)自動周期性地向搜索平臺發(fā)送搜索指令的功能,從而減少了管理員輸入搜索范圍、搜索信息的次數(shù),進(jìn)而避免了大量人力的消耗。
[0062]此外,當(dāng)員工發(fā)現(xiàn)其所使用的終端發(fā)生異常(即威脅終端)時,可以通過該終端向前端發(fā)送威脅告警信息;管理員看到威脅告警信息后,可以對局域網(wǎng)內(nèi)的所有終端進(jìn)行搜索,以便及時確定該威脅終端是否確實收到威脅,并及時搜索出局域網(wǎng)內(nèi)存在的其他威脅終端。
[0063]202、將攜帶所述搜索范圍以及所述搜索信息的搜索指令發(fā)送給搜索平臺。
[0064]203、接收所述搜索平臺發(fā)送的、滿足所述搜索范圍以及所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識。
[0065]其中,終端信息為與搜索信息相對應(yīng)的搜索結(jié)果,主要包括:包括終端行為信息和/或終端狀態(tài)信息。
[0066]204、顯示所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,以便根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。
[0067]當(dāng)前端接收到搜索平臺發(fā)送的搜索結(jié)果后,可以根據(jù)終端標(biāo)識,分組顯示出對應(yīng)終端的終端信息,并且還可以提取不同終端的共同特征,在另一組中進(jìn)行顯示,從而使得管理員能夠清楚地看出各自終端存在的問題以及他們共同存在的問題。
[0068]本發(fā)明實施例提供的安全檢測的方法,能夠當(dāng)管理員需要獲知局域網(wǎng)內(nèi)的終端是否安全時,管理員在前端的搜索界面輸入搜索范圍以及用于評估終端是否安全的搜索信息,前端接收到這些信息后,將這些信息上報給搜索平臺,以便搜索平臺接收到搜索范圍以及搜索信息后,能夠?qū)λ阉鞣秶鷥?nèi)的終端進(jìn)行搜索,獲得滿足搜索信息的終端信息(包括終端行為信息和/或終端狀態(tài)信息)以及對應(yīng)的終端標(biāo)識;然后前端接收并顯示搜索平臺發(fā)送的搜索結(jié)果,從而管理員可以對顯示的搜索結(jié)果進(jìn)行綜合分析,及時發(fā)現(xiàn)并處理終端的異常行為。由此可知,與現(xiàn)有技術(shù)中僅能發(fā)現(xiàn)已知的威脅而無法及時發(fā)現(xiàn)隱藏的威脅相比,本發(fā)明通過對局域網(wǎng)內(nèi)終端的行為信息以及狀態(tài)信息進(jìn)行搜索并分析,不僅能夠及時發(fā)現(xiàn)已知的威脅,還能夠及時發(fā)現(xiàn)隱藏的威脅,從而提高了對局域網(wǎng)內(nèi)終端進(jìn)行安全檢測的有效性以及完善性。
[0069]進(jìn)一步的,為了減少搜索次數(shù)、提高搜索效率,可以由搜索平臺定期(或者實時)采集終端日志、防火墻日志以及前端日志,并根據(jù)預(yù)設(shè)告警規(guī)則,檢測威脅終端,并在確定存在威脅終端時,將攜帶威脅終端的終端標(biāo)識的告警提示信息發(fā)送前端,以便前端接收并顯示搜索平臺發(fā)送的、攜帶威脅終端的終端標(biāo)識的告警提示信息以后,再由啟動搜索操作。
[0070]本發(fā)明實施例先通過搜索平臺實時根據(jù)預(yù)設(shè)告警規(guī)則對與終端相關(guān)的日志數(shù)據(jù)進(jìn)行分析,實現(xiàn)對終端的初步安全檢測,再通過初步安全檢測結(jié)果進(jìn)行搜索,實現(xiàn)二次檢測,能夠進(jìn)一步提尚安全檢測的準(zhǔn)確率。
[0071]進(jìn)一步的,當(dāng)前端接收到告警提示信息后,為了著重對告警提示信息中的威脅終端進(jìn)行搜索,前端可以自動將搜索范圍確定為威脅終端,使得管理員只需輸入搜索信息,從而減少了管理員輸入搜索范圍消耗的時間。
[0072]進(jìn)一步的,依據(jù)圖1所示的方法實施例,本發(fā)明的另一個實施例還提供了一種安全檢測的裝置,該裝置主要應(yīng)用于搜索平臺側(cè),如圖3所示,該裝置主要包括:接收單元31、搜索單元32以及發(fā)送單元33。其中,
[0073]接收單元31,用于接收前端發(fā)送的搜索指令,所述搜索指令中攜帶有搜索范圍以及用于評估終端是否安全的搜索信息;
[0074]搜索單元32,用于根據(jù)所述搜索信息對所述搜索范圍內(nèi)的終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,所述終端信息包括終端行為信息和/或終端狀態(tài)信息;
[0075]發(fā)送單元33,用于將所述搜索單元32獲得的所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識發(fā)送給所述前端,以便所述前端根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。
[0076]進(jìn)一步的,如圖4所示,所述裝置還包括:
[0077]采集單元34,用于在所述接收單元31接收前端發(fā)送的搜索指令之前,根據(jù)預(yù)設(shè)采集規(guī)則,采集終端日志、防火墻日志以及前端日志;
[0078]確定單元35,用于通過將所述采集單元34采集的所述終端日志、所述防火墻日志以及所述前端日志與預(yù)設(shè)告警規(guī)則進(jìn)行匹配,確定威脅終端;
[0079]所述發(fā)送單元33還用于將攜帶所述確定單元35確定的所述威脅終端的終端標(biāo)識的告警提示信息發(fā)送給所述前端。
[0080]進(jìn)一步的,所述搜索單元32用于根據(jù)所述搜索指令中的搜索信息對所述威脅終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識。
[0081 ]進(jìn)一步的,所述搜索單元32用于根據(jù)所述搜索指令中的搜索信息對采集的終端日志、防火墻日志以及前端日志進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識。
[0082I進(jìn)一步的,如圖4所示,所述采集單元34包括:
[0083]第一采集模塊341,用于定期采集所述終端日志、所述防火墻日志以及所述前端日志;
[0084]第二采集模塊342,用于在接收到所述前端發(fā)送的采集指令后,采集所述終端日志、所述防火墻日志以及所述前端日志。
[0085]進(jìn)一步的,所述接收單元31用于定期接收所述前端發(fā)送的搜索指令。
[0086]本發(fā)明實施例提供的安全檢測的裝置,能夠當(dāng)搜索平臺接收到前端發(fā)送的搜索范圍以及用于評估終端是否安全的搜索信息后,開始對搜索范圍內(nèi)的終端進(jìn)行搜索,從而獲得滿足搜索信息的終端信息(包括終端行為信息和/或終端狀態(tài)信息)以及對應(yīng)的終端標(biāo)識,并將這些終端信息以及對應(yīng)的終端標(biāo)識反饋給前端進(jìn)行顯示,進(jìn)而管理員可以對顯示的搜索結(jié)果進(jìn)行綜合分析,及時發(fā)現(xiàn)并處理終端的異常行為。由此可知,與現(xiàn)有技術(shù)中僅能發(fā)現(xiàn)已知的威脅而無法及時發(fā)現(xiàn)隱藏的威脅相比,本發(fā)明通過對局域網(wǎng)內(nèi)終端的行為信息以及狀態(tài)信息進(jìn)行搜索并分析,不僅能夠及時發(fā)現(xiàn)已知的威脅,還能夠及時發(fā)現(xiàn)隱藏的威脅,從而提尚了對局域網(wǎng)內(nèi)終端進(jìn)彳丁安全檢測的有效性以及完善性。
[0087]進(jìn)一步的,依據(jù)圖2所示的方法實施例,本發(fā)明的另一個實施例還提供了一種安全檢測的裝置,該裝置主要應(yīng)用于前端,如圖5所示,該裝置主要包括:獲取單元41、發(fā)送單元42、接收單元43以及顯示單元44。其中,
[0088]獲取單元41,用于獲取搜索范圍以及用于評估終端是否安全的搜索信息;
[0089]發(fā)送單元42,用于將攜帶所述獲取單元41獲得的所述搜索范圍以及所述搜索信息的搜索指令發(fā)送給搜索平臺;
[0090]接收單元43,用于接收所述搜索平臺發(fā)送的、滿足所述搜索范圍以及所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,所述終端信息包括終端行為信息和/或終端狀態(tài)信息;
[0091]顯示單元44,用于顯示所述接收單元43接收的所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,以便根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。
[0092]進(jìn)一步的,所述接收單元43用于在獲取搜索范圍以及用于評估終端是否安全的搜索信息之前,接收所述搜索平臺發(fā)送的、攜帶威脅終端的終端標(biāo)識的告警提示信息;
[0093]所述顯示單元44用于顯示包含所述威脅終端的終端標(biāo)識的所述告警提示信息。
[0094]進(jìn)一步的,所述獲取單元41用于將所述搜索范圍確定為所述威脅終端。
[°°95] 進(jìn)一步的,如圖6所示,所述獲取單元41包括:
[0096]第一獲取模塊411,用于根據(jù)預(yù)置搜索周期獲取預(yù)置的搜索范圍以及預(yù)置的搜索
?目息O
[0097I 進(jìn)一步的,如圖6所示,所述獲取單元41包括:
[0098]第二獲取模塊412,用于在接收到威脅終端上報的威脅告警信息后,獲取所述搜索范圍以及所述搜索信息。
[0099]本發(fā)明實施例提供的安全檢測的裝置,能夠當(dāng)管理員需要獲知局域網(wǎng)內(nèi)的終端是否安全時,管理員在前端的搜索界面輸入搜索范圍以及用于評估終端是否安全的搜索信息,前端接收到這些信息后,將這些信息上報給搜索平臺,以便搜索平臺接收到搜索范圍以及搜索信息后,能夠?qū)λ阉鞣秶鷥?nèi)的終端進(jìn)行搜索,獲得滿足搜索信息的終端信息(包括終端行為信息和/或終端狀態(tài)信息)以及對應(yīng)的終端標(biāo)識;然后前端接收并顯示搜索平臺發(fā)送的搜索結(jié)果,從而管理員可以對顯示的搜索結(jié)果進(jìn)行綜合分析,及時發(fā)現(xiàn)并處理終端的異常行為。由此可知,與現(xiàn)有技術(shù)中僅能發(fā)現(xiàn)已知的威脅而無法及時發(fā)現(xiàn)隱藏的威脅相比,本發(fā)明通過對局域網(wǎng)內(nèi)終端的行為信息以及狀態(tài)信息進(jìn)行搜索并分析,不僅能夠及時發(fā)現(xiàn)已知的威脅,還能夠及時發(fā)現(xiàn)隱藏的威脅,從而提高了對局域網(wǎng)內(nèi)終端進(jìn)行安全檢測的有效性以及完善性。
[0100]進(jìn)一步的,依據(jù)上述裝置實施例,本發(fā)明的另一個實施例還提供了一種安全檢測的系統(tǒng),如圖7所示,所述系統(tǒng)包括:搜索平臺51以及前端52;其中,所述搜索平臺51包括如圖3或4所示的裝置,所述前端52包括如圖5或6所示的裝置。
[0101]本發(fā)明提供的安全檢測的系統(tǒng),能夠當(dāng)管理員需要獲知局域網(wǎng)內(nèi)的終端是否安全時,管理員在前端的搜索界面輸入搜索范圍以及用于評估終端是否安全的搜索信息,前端接收到這些信息后,將這些信息上報給搜索平臺;搜索平臺接收到搜索范圍以及搜索信息后,開始對搜索范圍內(nèi)的終端進(jìn)行搜索,從而獲得滿足搜索信息的終端信息(包括終端行為信息和/或終端狀態(tài)信息)以及對應(yīng)的終端標(biāo)識,并將這些終端信息以及對應(yīng)的終端標(biāo)識反饋給前端進(jìn)行顯示,進(jìn)而管理員可以對顯示的搜索結(jié)果進(jìn)行綜合分析,及時發(fā)現(xiàn)并處理終端的異常行為。由此可知,與現(xiàn)有技術(shù)中僅能發(fā)現(xiàn)已知的威脅而無法及時發(fā)現(xiàn)隱藏的威脅相比,本發(fā)明通過對局域網(wǎng)內(nèi)終端的行為信息以及狀態(tài)信息進(jìn)行搜索并分析,不僅能夠及時發(fā)現(xiàn)已知的威脅,還能夠及時發(fā)現(xiàn)隱藏的威脅,從而提高了對局域網(wǎng)內(nèi)終端進(jìn)行安全檢測的有效性以及完善性。
[0102]本發(fā)明實施例還公開了:
[0103]Al、一種安全檢測的方法,所述方法包括:
[0104]接收前端發(fā)送的搜索指令,所述搜索指令中攜帶有搜索范圍以及用于評估終端是否安全的搜索信息;
[0105]根據(jù)所述搜索信息對所述搜索范圍內(nèi)的終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,所述終端信息包括終端行為信息和/或終端狀態(tài)信息;
[0106]將所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識發(fā)送給所述前端,以便所述前端根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。
[0107]A2、根據(jù)Al所述的方法,在接收前端發(fā)送的搜索指令之前,所述方法還包括:
[0108]根據(jù)預(yù)設(shè)采集規(guī)則,采集終端日志、防火墻日志以及前端日志;
[0109]通過將所述終端日志、所述防火墻日志以及所述前端日志與預(yù)設(shè)告警規(guī)則進(jìn)行匹配,確定威脅終端;
[0110]將攜帶所述威脅終端的終端標(biāo)識的告警提示信息發(fā)送給所述前端。
[0111]A3、根據(jù)A2所述的方法,根據(jù)所述搜索信息對所述搜索范圍內(nèi)的終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識包括:
[0112]根據(jù)所述搜索指令中的搜索信息對所述威脅終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識。
[0113]A4、根據(jù)A2所述的方法,根據(jù)所述搜索信息對所述搜索范圍內(nèi)的終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識包括:
[0114]根據(jù)所述搜索指令中的搜索信息對采集的終端日志、防火墻日志以及前端日志進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識。
[0115]A5、根據(jù)A2所述的方法,根據(jù)預(yù)設(shè)采集規(guī)則,采集終端日志、防火墻日志以及前端日志包括:
[0116]定期采集所述終端日志、所述防火墻日志以及所述前端日志;
[0117]或者,在接收到所述前端發(fā)送的采集指令后,采集所述終端日志、所述防火墻日志以及所述前端日志。
[0118]A6、根據(jù)Al至A5中任一項所述的方法,接收前端發(fā)送的搜索指令包括:
[0119]定期接收所述前端發(fā)送的搜索指令。
[0120]B7、一種安全檢測的方法,所述方法包括:
[0121 ]獲取搜索范圍以及用于評估終端是否安全的搜索信息;
[0122]將攜帶所述搜索范圍以及所述搜索信息的搜索指令發(fā)送給搜索平臺;
[0123]接收所述搜索平臺發(fā)送的、滿足所述搜索范圍以及所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,所述終端信息包括終端行為信息和/或終端狀態(tài)信息;
[0124]顯示所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,以便根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。
[0125]B8、根據(jù)B7所述的方法,在獲取搜索范圍以及用于評估終端是否安全的搜索信息之前,所述方法還包括:
[0126]接收所述搜索平臺發(fā)送的、攜帶威脅終端的終端標(biāo)識的告警提示信息;
[0127]顯示包含所述威脅終端的終端標(biāo)識的所述告警提示信息。
[0128]B9、根據(jù)B8所述的方法,獲取搜索范圍包括:
[0129]將所述搜索范圍確定為所述威脅終端。
[0130]B10、根據(jù)B7所述的方法,獲取搜索范圍以及用于評估終端是否安全的搜索信息包括:
[0131]根據(jù)預(yù)置搜索周期獲取預(yù)置的搜索范圍以及預(yù)置的搜索信息。
[0132]B11、根據(jù)B7至BlO中任一項所述的方法,獲取搜索范圍以及用于評估終端是否安全的搜索信息包括:
[0133]在接收到威脅終端上報的威脅告警信息后,獲取所述搜索范圍以及所述搜索信息。
[0134]C12、一種安全檢測的裝置,所述裝置包括:
[0135]接收單元,用于接收前端發(fā)送的搜索指令,所述搜索指令中攜帶有搜索范圍以及用于評估終端是否安全的搜索信息;
[0136]搜索單元,用于根據(jù)所述搜索信息對所述搜索范圍內(nèi)的終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,所述終端信息包括終端行為信息和/或終端狀態(tài)信息;
[0137]發(fā)送單元,用于將所述搜索單元獲得的所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識發(fā)送給所述前端,以便所述前端根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。
[0138]C13、根據(jù)C12所述的裝置,所述裝置還包括:
[0139]采集單元,用于在所述接收單元接收前端發(fā)送的搜索指令之前,根據(jù)預(yù)設(shè)采集規(guī)貝IJ,采集終端日志、防火墻日志以及前端日志;
[0140]確定單元,用于通過將所述采集單元采集的所述終端日志、所述防火墻日志以及所述前端日志與預(yù)設(shè)告警規(guī)則進(jìn)行匹配,確定威脅終端;
[0141 ]所述發(fā)送單元還用于將攜帶所述確定單元確定的所述威脅終端的終端標(biāo)識的告警提示信息發(fā)送給所述前端。
[0142]C14、根據(jù)C13所述的裝置,所述搜索單元用于根據(jù)所述搜索指令中的搜索信息對所述威脅終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識O
[0143]C15、根據(jù)C13所述的裝置,所述搜索單元用于根據(jù)所述搜索指令中的搜索信息對采集的終端日志、防火墻日志以及前端日志進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識。
[0144]C16、根據(jù)C13所述的裝置,所述采集單元包括:
[0145]第一采集模塊,用于定期采集所述終端日志、所述防火墻日志以及所述前端日志;
[0146]第二采集模塊,用于在接收到所述前端發(fā)送的采集指令后,采集所述終端日志、所述防火墻日志以及所述前端日志。
[0147]C17、根據(jù)C12至C16中任一項所述的裝置,所述接收單元用于定期接收所述前端發(fā)送的搜索指令。
[0148]Dl8、一種安全檢測的裝置,所述裝置包括:
[0149]獲取單元,用于獲取搜索范圍以及用于評估終端是否安全的搜索信息;
[0150]發(fā)送單元,用于將攜帶所述獲取單元獲得的所述搜索范圍以及所述搜索信息的搜索指令發(fā)送給搜索平臺;
[0151]接收單元,用于接收所述搜索平臺發(fā)送的、滿足所述搜索范圍以及所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,所述終端信息包括終端行為信息和/或終端狀態(tài)信息;
[0152]顯示單元,用于顯示所述接收單元接收的所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,以便根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。
[0153]D19、根據(jù)D18所述的裝置,所述接收單元用于在獲取搜索范圍以及用于評估終端是否安全的搜索信息之前,接收所述搜索平臺發(fā)送的、攜帶威脅終端的終端標(biāo)識的告警提不?目息;
[0154]所述顯示單元用于顯示包含所述威脅終端的終端標(biāo)識的所述告警提示信息。
[0155]D20、根據(jù)D19所述的裝置,所述獲取單元用于將所述搜索范圍確定為所述威脅終端。
[0156]D21、根據(jù)D18所述的裝置,所述獲取單元包括:
[0157]第一獲取模塊,用于根據(jù)預(yù)置搜索周期獲取預(yù)置的搜索范圍以及預(yù)置的搜索信息。
[0158]D22、根據(jù)D18至D21中任一項所述的裝置,所述獲取單元包括:
[0159]第二獲取模塊,用于在接收到威脅終端上報的威脅告警信息后,獲取所述搜索范圍以及所述搜索信息。
[0160]Ε23、一種安全檢測的系統(tǒng),所述系統(tǒng)包括:搜索平臺以及前端;其中,所述搜索平臺包括如C12至C17中任一項所述的裝置,所述前端包括如D18至D22中任一項所述的裝置。[0161 ]在上述實施例中,對各個實施例的描述都各有側(cè)重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關(guān)描述。
[0162]可以理解的是,上述方法及裝置中的相關(guān)特征可以相互參考。另外,上述實施例中的“第一”、“第二”等是用于區(qū)分各實施例,而并不代表各實施例的優(yōu)劣。
[0163]所屬領(lǐng)域的技術(shù)人員可以清楚地了解到,為描述的方便和簡潔,上述描述的系統(tǒng),裝置和單元的具體工作過程,可以參考前述方法實施例中的對應(yīng)過程,在此不再贅述。
[0164]在此提供的算法和顯示不與任何特定計算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外,本發(fā)明也不針對任何特定編程語言。應(yīng)當(dāng)明白,可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式。
[0165]在此處所提供的說明書中,說明了大量具體細(xì)節(jié)。然而,能夠理解,本發(fā)明的實施例可以在沒有這些具體細(xì)節(jié)的情況下實踐。在一些實例中,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù),以便不模糊對本說明書的理解。
[0166]類似地,應(yīng)當(dāng)理解,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個,在上面對本發(fā)明的示例性實施例的描述中,本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征。更確切地說,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此,遵循【具體實施方式】的權(quán)利要求書由此明確地并入該【具體實施方式】,其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例。
[0167]本領(lǐng)域那些技術(shù)人員可以理解,可以對實施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實施例不同的一個或多個設(shè)備中??梢园褜嵤├械哪K或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。
[0168]此外,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例。例如,在下面的權(quán)利要求書中,所要求保護(hù)的實施例的任意之一都可以以任意的組合方式來使用。
[0169]本發(fā)明的各個部件實施例可以以硬件實現(xiàn),或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn),或者以它們的組合實現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的安全檢測的方法、裝置及系統(tǒng)中的的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計算機(jī)程序和計算機(jī)程序產(chǎn)品)。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機(jī)可讀介質(zhì)上,或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供,或者以任何其他形式提供。
[0170]應(yīng)該注意的是上述實施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計出替換實施例。在權(quán)利要求中,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計算機(jī)來實現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序??蓪⑦@些單詞解釋為名稱。
【主權(quán)項】
1.一種安全檢測的方法,其特征在于,所述方法包括: 接收前端發(fā)送的搜索指令,所述搜索指令中攜帶有搜索范圍以及用于評估終端是否安全的搜索信息; 根據(jù)所述搜索信息對所述搜索范圍內(nèi)的終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,所述終端信息包括終端行為信息和/或終端狀態(tài)信息; 將所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識發(fā)送給所述前端,以便所述前端根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。2.根據(jù)權(quán)利要求1所述的方法,其特征在于,在接收前端發(fā)送的搜索指令之前,所述方法還包括: 根據(jù)預(yù)設(shè)采集規(guī)則,采集終端日志、防火墻日志以及前端日志; 通過將所述終端日志、所述防火墻日志以及所述前端日志與預(yù)設(shè)告警規(guī)則進(jìn)行匹配,確定威脅終端; 將攜帶所述威脅終端的終端標(biāo)識的告警提示信息發(fā)送給所述前端。3.根據(jù)權(quán)利要求2所述的方法,其特征在于,根據(jù)所述搜索信息對所述搜索范圍內(nèi)的終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識包括: 根據(jù)所述搜索指令中的搜索信息對所述威脅終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識。4.根據(jù)權(quán)利要求2所述的方法,其特征在于,根據(jù)所述搜索信息對所述搜索范圍內(nèi)的終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識包括: 根據(jù)所述搜索指令中的搜索信息對采集的終端日志、防火墻日志以及前端日志進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識。5.根據(jù)權(quán)利要求2所述的方法,其特征在于,根據(jù)預(yù)設(shè)采集規(guī)則,采集終端日志、防火墻日志以及前端日志包括: 定期采集所述終端日志、所述防火墻日志以及所述前端日志; 或者,在接收到所述前端發(fā)送的采集指令后,采集所述終端日志、所述防火墻日志以及所述前端日志。6.根據(jù)權(quán)利要求1至5中任一項所述的方法,其特征在于,接收前端發(fā)送的搜索指令包括: 定期接收所述前端發(fā)送的搜索指令。7.一種安全檢測的方法,其特征在于,所述方法包括: 獲取搜索范圍以及用于評估終端是否安全的搜索信息; 將攜帶所述搜索范圍以及所述搜索信息的搜索指令發(fā)送給搜索平臺; 接收所述搜索平臺發(fā)送的、滿足所述搜索范圍以及所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,所述終端信息包括終端行為信息和/或終端狀態(tài)信息; 顯示所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,以便根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。8.一種安全檢測的裝置,其特征在于,所述裝置包括: 接收單元,用于接收前端發(fā)送的搜索指令,所述搜索指令中攜帶有搜索范圍以及用于評估終端是否安全的搜索信息; 搜索單元,用于根據(jù)所述搜索信息對所述搜索范圍內(nèi)的終端進(jìn)行搜索,獲得滿足所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,所述終端信息包括終端行為信息和/或終端狀態(tài)信息; 發(fā)送單元,用于將所述搜索單元獲得的所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識發(fā)送給所述前端,以便所述前端根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。9.一種安全檢測的裝置,其特征在于,所述裝置包括: 獲取單元,用于獲取搜索范圍以及用于評估終端是否安全的搜索信息; 發(fā)送單元,用于將攜帶所述獲取單元獲得的所述搜索范圍以及所述搜索信息的搜索指令發(fā)送給搜索平臺; 接收單元,用于接收所述搜索平臺發(fā)送的、滿足所述搜索范圍以及所述搜索信息的終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,所述終端信息包括終端行為信息和/或終端狀態(tài)?目息; 顯示單元,用于顯示所述接收單元接收的所述終端信息以及所述終端信息對應(yīng)的終端標(biāo)識,以便根據(jù)所述終端信息中的終端行為信息和/或終端狀態(tài)信息判斷對應(yīng)的終端是否安全。10.—種安全檢測的系統(tǒng),其特征在于,所述系統(tǒng)包括:搜索平臺以及前端;其中,所述搜索平臺包括如權(quán)利要求8所述的裝置,所述前端包括如權(quán)利要求9所述的裝置。
【文檔編號】H04L12/26GK105933186SQ201610509837
【公開日】2016年9月7日
【申請日】2016年6月30日
【發(fā)明人】陳毓端, 張聰
【申請人】北京奇虎科技有限公司, 北京奇安信科技有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1