本發(fā)明提出了一種網(wǎng)絡終端安全威脅預警方法、系統(tǒng)及網(wǎng)絡終端管理裝置，該方法包括：監(jiān)控各網(wǎng)絡終端的網(wǎng)絡流量數(shù)據(jù)，發(fā)現(xiàn)危險終端；獲取該危險終端及同一社區(qū)內(nèi)其余網(wǎng)絡終端的漏洞情況或者/和行為數(shù)據(jù)；分別計算危險終端與同一社區(qū)內(nèi)其余各網(wǎng)絡終端的漏洞相似度或者/和行為相似度，若存在網(wǎng)絡終端與危險終端的漏洞相似度達到預設第一閾值或者/和行為相似度達到預設第二閾值，則判斷該網(wǎng)絡終端存在安全風險。本方法發(fā)現(xiàn)了危險終端后能提前預警其余網(wǎng)絡終端是否存在安全風險，能減少網(wǎng)絡中安全威脅造成的損失，并且對用戶訪問位置來源文件的頻次沒有限制，用戶體驗佳。

技術領域

本發(fā)明涉及信息安全技術領域，特別涉及網(wǎng)絡終端安全威脅預警方法、系統(tǒng)及網(wǎng)絡終端管理裝置。

背景技術

網(wǎng)絡終端在使用網(wǎng)絡服務的時候，經(jīng)常會遭受到來自外部網(wǎng)絡的信息安全威脅，比如漏洞攻擊、勒索軟件攻擊、病毒攻擊等。現(xiàn)有的網(wǎng)絡終端安全威脅應對手段包括：(1)對所有網(wǎng)絡終端進行實時監(jiān)控，若發(fā)現(xiàn)存在大流量異常訪問，則判斷可能存在風險；(2) 阻止未經(jīng)授權就訪問數(shù)據(jù)的行為，對于未知來源的文件或者鏈接都避免隨意點擊打開；(3)部署好反惡意軟件和安全程序，并及時保持軟件的更新狀態(tài)。

上述方法要么在安全威脅產(chǎn)生后才進行相應處理，無法完全避免安全威脅造成的損失，要么要求用戶盡量減少對未知來源文件的訪問，極大影響用戶體驗。

發(fā)明內(nèi)容

鑒于上述問題，有必要提出一種網(wǎng)絡終端安全威脅預警方法以解決或部分解決上述問題，本發(fā)明提出的技術方案如下：

一種網(wǎng)絡終端安全威脅預警方法，包括以下步驟：

監(jiān)控各網(wǎng)絡終端的網(wǎng)絡流量數(shù)據(jù)，發(fā)現(xiàn)危險終端；

獲取該危險終端及同一社區(qū)內(nèi)其余網(wǎng)絡終端的漏洞情況或者/和行為數(shù)據(jù)；

分別計算危險終端與同一社區(qū)內(nèi)其余各網(wǎng)絡終端的漏洞相似度或者/和行為相似度，若存在網(wǎng)絡終端與危險終端的漏洞相似度達到預設第一閾值TH1或者/和行為相似度達到預設第二閾值TH2，則判斷該網(wǎng)絡終端存在安全風險。

進一步的，發(fā)現(xiàn)危險終端后利用社區(qū)發(fā)現(xiàn)算法將各網(wǎng)絡終端劃歸為不同社區(qū)；

或者，按預設時間間隔利用社區(qū)發(fā)現(xiàn)算法將各網(wǎng)絡終端劃歸為不同社區(qū)。

進一步的，獲取各網(wǎng)絡終端的網(wǎng)絡流量數(shù)據(jù)，當確定所述網(wǎng)絡流量數(shù)據(jù)中包含預設惡意數(shù)據(jù)時，判斷包含惡意數(shù)據(jù)的網(wǎng)絡終端為危險終端。

進一步的，利用社區(qū)發(fā)現(xiàn)算法將各網(wǎng)絡終端劃分為不同社區(qū)的內(nèi)容包括：

魯汶算法，或標簽傳播算法，或連通組件算法，或強連通組件，或平衡三角算法。

進一步的，利用社區(qū)發(fā)現(xiàn)算法將各網(wǎng)絡終端劃分為不同社區(qū)的方法具體包括：

從從網(wǎng)絡流量數(shù)據(jù)中提取預設屬性信息，所述預設屬性信息至少包括源IP地址、目的IP地址；

根據(jù)預設屬性信息得到各網(wǎng)絡終端的節(jié)點度，并計算網(wǎng)絡終端兩兩訪問的次數(shù)；

若根據(jù)兩網(wǎng)絡終端的節(jié)點度及兩兩訪問次數(shù)得到的模塊度范圍值滿足預設范圍，則判斷兩網(wǎng)絡終端屬于同一社區(qū)。

進一步的，計算危險終端與其余各網(wǎng)絡終端的漏洞相似度的內(nèi)容包括：

根據(jù)漏洞掃描結(jié)果，將每個網(wǎng)絡終端的漏洞情況分別生成一個漏洞集合；

將危險終端分別與一網(wǎng)絡終端的漏洞集合進行交集處理、并集處理，得到危險終端與該網(wǎng)絡終端的漏洞交集集合、漏洞并集集合；

將所述漏洞交集集合中漏洞數(shù)量除以漏洞并集集合中漏洞數(shù)量，得到危險終端與該網(wǎng)絡終端漏洞相似度。