本發明提出一種終端側與流量側聯動的安全防護方法及系統，在對網內進行安全防護過程中，將終端側與流量側數據進行聯合，實現終端側黑名單庫和網絡側黑名單庫的動態互補更新，利用互補更新的黑名單庫對網內文件進行聯動檢測，并對惡意文件進行報警和定點清除。本發明針對進入網內的文件，無論其落在終端側還是流量側，通過聯動檢測，但凡其特征存在在任何一側的黑名單庫中，都能被精確檢出，有效提高檢出率、維護網絡環境安全。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種終端側與流量側聯動的安全防護方法及系統。

背景技術

當今網絡威脅已經上升到國家戰略層面上，網絡攻擊也從針對大眾的無明確目的的惡意攻擊轉變為目標明確的以發動信息戰為目的的高級威脅攻擊。傳統反惡意程序軟件多采用黑名單機制對未知威脅進行檢測，依靠單純的特征碼掃描技術作為核心技術，這種檢測機制在當今網絡威脅態勢下已無法達到針對未知威脅進行實時防御的目的。同時，現有的黑名單機制多是根據不同設備端設置不同黑名單庫，在進行威脅檢測時分別針對不同設備端進行特征匹配，而沒有將黑名單庫之間進行聯動，這使得在一些應用場景下無法充分滿足威脅的檢出率。

發明內容

針對上述現有技術存在的缺陷，本發明提出一種終端側與流量側聯動的安全防護方法及系統，在對網內進行安全防護過程中，將終端側與流量側數據進行聯合，實現終端側黑名單庫和網絡側黑名單庫的動態互補更新，利用互補更新的黑名單庫對網內文件進行聯動檢測，并對惡意文件進行報警和定點清除。

具體發明內容包括：

一種終端側與流量側聯動的安全防護方法，包括：

當有文件進入終端側設備時，將文件上傳至服務器進行云查殺，判斷其是否存在惡意，若是則將文件特征發送給流量側設備，否則放行文件；

流量側設備接收服務器發送的文件特征，并將其與流量側的黑名單庫中的數據進行匹配，若匹配失敗則將該文件特征加入流量側的黑名單庫；

同時，

流量側設備捕獲網內流量，將流量還原成文件，提取文件特征，并將其與流量側的黑名單庫中的數據進行匹配，判斷相應文件是否存在惡意，若是則將相應文件特征發送給服務器，否則放行相應文件；

服務器接收流量側設備發送的文件特征，將其與終端側的黑名單庫中的數據進行匹配，若匹配失敗則將相應文件特征加入終端側的黑名單庫。

進一步地，還包括，根據所述終端側的黑名單庫、流量側的黑名單庫，對進入網內的文件進行聯動檢測，當檢測出網內存在惡意文件時，進行報警，并定位惡意文件的位置，對惡意文件進行定點清除。

一種終端側與流量側聯動的安全防護系統，包括：

部署在服務器的文件接收模塊、云查殺模塊、流量側聯動模塊，

部署在流量側設備的流量獲取還原模塊、特征匹配模塊、終端側聯動模塊；

其中，

文件接收模塊，用于接收由終端側設備上傳給服務器的待檢測文件；

云查殺模塊，用于對待檢測文件進行云查殺，判斷其是否存在惡意，若是則將文件特征傳遞給流量側聯動模塊，否則放行文件；

流量側聯動模塊，用于將從云查殺模塊得到的文件特征發送給終端側聯動模塊，以及接收由終端側聯動模塊發送的文件特征，并將接收的文件特征與保存在服務器端的終端側黑名單庫進行匹配，若匹配失敗則將接收的文件特征加入終端側黑名單庫；

流量獲取還原模塊，用于流量側設備捕獲網內流量，將流量還原成文件，并提取文件特征；