[發明專利]一種協同聯動發現Rootkit的方法及系統在審
| 申請號: | 201711474639.3 | 申請日: | 2017-12-29 |
| 公開(公告)號: | CN109474571A | 公開(公告)日: | 2019-03-15 |
| 發明(設計)人: | 李柏松;賈瓊;王小豐 | 申請(專利權)人: | 北京安天網絡安全技術有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/26 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 100195 北京市海淀區*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 網絡狀態信息 系統進程信息 網絡監測設備 反饋結果 網絡請求 主機安全 聯動 主機 發現 協同 上報 對比分析 接收主機 流量數據 設備發送 網絡行為 匹配 判定 檢測 響應 配合 網絡 | ||
1.一種協同聯動發現Rootkit的方法,其特征在于,部署于主機側,包括:
收集主機側的系統進程信息和對應的網絡狀態信息;
定期將所述系統進程信息和所述網絡狀態信息上報至網絡監測設備;
接收來自網絡監測設備的反饋結果,并基于反饋結果作出響應。
2.如權利要求1所述的方法,其特征在于,所述接收來自網絡監測設備的反饋結果,并基于反饋結果作出響應,具體包括:
接收到惡意網絡請求對應的五元組和相關進程信息,若驗證屬實則告警并給出進程名和惡意載荷位置;
接收到惡意網絡請求對應的五元組和對應的空進程信息,若驗證屬實則告警并給出五元組并提示需要人工取證;或者,
接收到惡意網絡請求對應的五元組,則直接告警存在Rootkit并提示需要人工取證。
3.一種協同聯動發現Rootkit的主機安全設備,其特征在于,部署于主機側,包括:
信息收集模塊,用于收集主機側的系統進程信息和對應的網絡狀態信息;
信息同步模塊,用于定期將所述系統進程信息和所述網絡狀態信息上報至網絡監測設備;
驗證模塊,用于接收來自網絡監測設備的反饋結果,并基于反饋結果作出響應。
4.如權利要求3所述的主機安全設備,其特征在于,所述驗證模塊,具體用于:
接收到惡意網絡請求對應的五元組和相關進程信息,若驗證屬實則告警并給出進程名和惡意載荷位置;
接收到惡意網絡請求對應的五元組和對應的空進程信息,若驗證屬實則告警并給出五元組并提示需要人工取證;或者
接收到惡意網絡請求對應的五元組,則直接告警存在Rootkit并提示需要人工取證。
5.一種協同聯動發現Rootkit的方法,其特征在于,部署于網絡側,包括:
接收主機側定期上報的系統進程信息和對應的網絡狀態信息,并與檢測流量數據對比分析,并判定是否存在惡意網絡請求;
根據惡意網絡請求與系統進程信息和網絡狀態信息的匹配情況,向主機安全設備發送反饋結果。
6.如權利要求5所述的方法,其特征在于,所述根據惡意網絡請求與系統進程信息和網絡狀態信息的匹配情況,向主機安全設備發送反饋結果,具體包括:
若所述惡意網絡請求存在于某主機提交的網絡狀態信息中,并能夠對應具體進程,則向主機安全設備反饋該惡意網絡請求對應的五元組和相關進程信息;
若所述惡意網絡請求存在于某主機提交的網絡狀態信息中,但不能對應具體進程,則向主機安全設備反饋該惡意網絡請求對應的五元組和對應的空進程信息;或者,
若所述惡意網絡請求不存在于主機安全設備提交的網絡狀態信息中,并不能對應具體進程,則反饋該惡意網絡請求對應的五元組。
7.一種協同聯動發現Rootkit的網絡監測設備,其特征在于,部署于網絡側,包括:
對比模塊,用于接收主機側定期上報的系統進程信息和對應的網絡狀態信息,并與檢測流量數據對比分析,并判定是否存在惡意網絡請求;
反饋模塊,用于根據惡意網絡請求與系統進程信息和網絡狀態信息的匹配情況,向主機安全設備發送反饋結果。
8.如權利要求7所述的網絡監測設備,其特征在于,所述反饋模塊,具體用于:
若所述惡意網絡請求存在于某主機提交的網絡狀態信息中,并能夠對應具體進程,則向主機安全設備反饋該惡意網絡請求對應的五元組和相關進程信息;
若所述惡意網絡請求存在于某主機提交的網絡狀態信息中,但不能對應具體進程,則向主機安全設備反饋該惡意網絡請求對應的五元組和對應的空進程信息;或者,
若所述惡意網絡請求不存在于主機安全設備提交的網絡狀態信息中,并不能對應具體進程,則反饋該惡意網絡請求對應的五元組。
9.一種協同聯動發現Rootkit的系統,其特征在于,包括權利要求3或4任一所述的主機安全設備和權利要求7或8任一所述的網絡監測設備。
10.一種非臨時性計算機可讀存儲介質,其上存儲有計算機程序,其特征在于,該程序被處理器執行時實現如權利要求1、2、5或6中任一所述的一種協同聯動發現Rootkit的方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京安天網絡安全技術有限公司,未經北京安天網絡安全技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201711474639.3/1.html,轉載請聲明來源鉆瓜專利網。
