[發明專利]終端檢測響應系統及方法在審
| 申請號: | 201810105912.3 | 申請日: | 2018-02-02 |
| 公開(公告)號: | CN108173878A | 公開(公告)日: | 2018-06-15 |
| 發明(設計)人: | 劉春華;路彬 | 申請(專利權)人: | 北京杰思安全科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京酷愛智慧知識產權代理有限公司 11514 | 代理人: | 安娜 |
| 地址: | 100011 北京市朝*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 安全事件 安全中心 探針設備 響應系統 終端檢測 終端 探針 安全策略 安全行為 惡意軟件 接入網絡 可疑行為 內核驅動 網絡連接 網絡通訊 用戶進程 終端設置 監控 網絡 中斷 響應 威脅 發現 | ||
1.一種終端檢測響應系統,其特征在于,包括:安全中心和安裝在各個終端上的探針設備,所述終端設置在網絡中;
所述探針設備,用于對所在的終端和網絡進行安全行為監控,并把監控得到的安全事件發送給安全中心,所述安全事件包括用戶進程,內核驅動和網絡通訊;
所述安全中心,用于根據所述安全事件,選擇安全策略發送給所述探針設備,用來阻止所述安全事件中惡意軟件的運行或者中斷所述安全事件中有威脅的網絡連接。
2.根據權利要求1所述的系統,其特征在于,
所述探針設備包括監控模塊和第一通訊模塊;
所述監控模塊,用于根據所述安全監控任務,監控所述終端和網絡的安全行為,得到安全事件;
所述第一通訊模塊,用于進行所述探針設備和所述安全中心之間的通訊。
3.根據權利要求2所述的系統,其特征在于,
所述第一通訊模塊還用于對從所述探針設備向所述安全中心發送的安全事件做數據封裝,對從所述安全中心發來的安全策略進行解析,發送給所述探針設備。
4.根據權利要求2所述的系統,其特征在于,
所述探針設備還包括定時器,用于每隔預設時間執行設定的任務,對所述終端和安全中心進行監控。
5.根據權利要求1所述的系統,其特征在于,
所述安全中心包括管理模塊、第二通訊模塊、處理模塊和警告通知模塊;
所述管理模塊,用于管理所述探針設備、所述探針設備對應的終端和安全中心;
所述第二通訊模塊,用于實現所述探針設備與所述安全中心之間的通訊;
所述處理模塊,用于根據所述安全中心發送的安全策略,對所述安全策略對應的安全事件類型進行判斷,如果為被處理過的安全事件類型,按照歷史安全策略進行安全處理,如果為未被處理過的安全事件類型,發送至所述警告通知模塊,并生成新的安全策略對所述未被處理過的安全事件進行處理;
所述警告通知模塊,用于將所述未被處理過的安全事件告知安全管理員。
6.根據權利要求5所述的系統,其特征在于,
所述第二通訊模塊還用于處理所述探針設備的基本運維信息,包括所述探針設備上線和探針設備是否有版本需要升級。
7.一種終端檢測響應方法,應用于權利要求1~6所述的終端檢測響應系統,其特征在于,包括:
步驟S1,通過安裝在各個終端上的探針設備定時對所述終端進行安全監控任務下發,根據所述安全監控任務對所述終端和網絡的安全行為進行監控,得到安全事件;
步驟S2,將所述安全事件發送給所述安全中心,所述安全中心對所述安全事件進行處理,得到安全策略,并將所述安全策略發送至對應探針設備上;
步驟S3,所述探針設備接收所述安全策略后,按照所述安全策略阻止所述安全事件中惡意軟件的運行或者中斷所述安全事件中有威脅的網絡連接。
8.根據權利要求7所述的方法,其特征在于,
所述步驟S1之后,還包括安全事件類型判斷步驟:
對所述安全事件進行橫向檢索,判斷所述安全事件是否為第一次出現,如果為第一次出現,判斷為未知威脅,否則,判斷為已知威脅。
9.根據權利要求8所述的方法,其特征在于,
所述安全中心根據所述安全事件的類型,進行安全策略的分配:
如果為未知威脅,將所述未知威脅保存至數據庫,生成新的安全策略對所述未知威脅進行處理;
如果為已知威脅,按照歷史安全策略通知所述探針設備對所述已知威脅進行處理。
10.根據權利要求9所述的方法,其特征在于,
所述歷史安全策略保存在安全策略數據庫中,將所述新的安全策略保存至所述安全策略數據庫中,對所述安全策略數據庫進行更新。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京杰思安全科技有限公司,未經北京杰思安全科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810105912.3/1.html,轉載請聲明來源鉆瓜專利網。
