本發明提供了一種威脅處置方法、威脅處置工具和計算機可讀介質，該方法包括：獲取至少一種威脅關鍵信息；其中，威脅關鍵信息包括：進程、注冊表、服務和文件；針對每一種威脅關鍵信息，均執行：對該威脅關鍵信息進行關聯性檢索，獲得與該威脅關鍵信息相關的關聯威脅信息；從威脅處置方式中確定與當前威脅關鍵信息所對應的目標威脅處置方式；利用目標威脅處置方式，對關聯威脅信息進行處理。本方案能夠更加徹底的對威脅程序進行清除，提高對網絡威脅事件進行處置的有效性。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種威脅處置方法、威脅處置工具和計算機可讀介質。

背景技術

近年來，隨著互聯網的不斷普及和我國網民數量的不斷增加，木馬、病毒等僵尸程序等后門程序問題也越來越受到人們的關注。

傳統的基于主機的檢測手段(包括防病毒軟件、各種防火墻等)雖然可以有效地查殺木馬、病毒等僵尸程序，可以抵擋一些網絡攻擊，但是近幾年出現的頑固病毒一些殺毒軟件無法進行清除。此外，惡意代碼的快速迭代光靠殺毒軟件更新進行處置也已經力不從心。

因此，需要提供一種威脅處置方案，以提高對網絡威脅事件的處置效率。

發明內容

本發明要解決的問題在于傳統的基于主機的檢測手段在對現階段的木馬、病毒等僵尸程序無法進行徹底的處理。本發明通過提供了一種威脅處置方法、威脅處置工具和計算機可讀介質，能夠更加徹底的對威脅程序進行清除，提高對網絡威脅事件進行處置的有效性。

第一方面，本發明實施例提供了一種威脅處置方法，該方法包括：

獲取至少一種威脅關鍵信息；其中，所述威脅關鍵信息包括：進程、注冊表、服務和文件；

針對每一種威脅關鍵信息，均執行：

對該威脅關鍵信息進行關聯性檢索，獲得與該威脅關鍵信息相關的關聯威脅信息；

從威脅處置方式中確定與當前威脅關鍵信息所對應的目標威脅處置方式；

利用所述目標威脅處置方式，對所述關聯威脅信息進行處理。

在一種可能的實現方式中，所述對該威脅關鍵信息進行關聯性檢索，獲得與該威脅關鍵信息相關的關聯威脅信息，包括：

獲取所述威脅關鍵信息的目標文件名；

分別在進程、注冊表和系統文件層面檢索與所述目標文件名相同的信息，得到關聯信息；

計算所述威脅關鍵信息的哈希值，得到第一哈希值；

計算所述關聯信息中每一個文件的哈希值，得到至少一個第二哈希值；其中，所述第二哈希值用于表征與所述威脅關鍵信息的文件名相同的文件的哈希值；

將每一個所述第二哈希值和所述第一哈希值進行比較，并將所述第二哈希值與所述第一哈希值相等的所述關聯信息確定為關聯威脅信息。

在一種可能的實現方式中，在利用所述目標威脅處置方式，對所述關聯威脅信息進行處理之后，進一步包括：

在系統中建立所述威脅關鍵信息的免疫機制，以避免系統再次產生該威脅關鍵信息。

在一種可能的實現方式中，所述在系統中建立所述威脅關鍵信息的免疫機制，包括：

獲取所述目標文件名；

在系統中創建免疫目錄，并利用所述目標文件名對創建的所述免疫目錄進行命名。

在一種可能的實現方式中，

當所述威脅關鍵信息為進程時，所述威脅處置方式包括：結束進程、休眠進程和修改進程；

和/或，