本發(fā)明提供的終端檢測(cè)響應(yīng)系統(tǒng)及方法，系統(tǒng)包括：安全中心和安裝在各個(gè)終端上的探針設(shè)備，終端設(shè)置在網(wǎng)絡(luò)中；探針設(shè)備，用于對(duì)所在的終端和網(wǎng)絡(luò)進(jìn)行安全行為監(jiān)控，并把監(jiān)控得到的安全事件發(fā)送給安全中心，安全事件包括用戶進(jìn)程，內(nèi)核驅(qū)動(dòng)和網(wǎng)絡(luò)通訊；安全中心，用于根據(jù)安全事件，選擇安全策略發(fā)送給探針設(shè)備，用來(lái)阻止安全事件中惡意軟件的運(yùn)行或者中斷安全事件中有威脅的網(wǎng)絡(luò)連接。本發(fā)明提供的終端檢測(cè)響應(yīng)系統(tǒng)及方法，在每個(gè)接入網(wǎng)絡(luò)的終端上安裝探針，通過(guò)探針第一時(shí)間發(fā)現(xiàn)某一個(gè)裝有探針的終端上的可疑行為，大大縮短了響應(yīng)時(shí)間。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及終端檢測(cè)響應(yīng)系統(tǒng)及方法領(lǐng)域。

背景技術(shù)

隨著技術(shù)的普及，越來(lái)越多的終端設(shè)備接入網(wǎng)絡(luò)，所面臨的問(wèn)題就是這些接入網(wǎng)絡(luò)的終端都可能會(huì)受到入侵。現(xiàn)有的終端保護(hù)技術(shù)大體可以分為兩類：第一類技術(shù)是依據(jù)文件的特征碼來(lái)確定某個(gè)程序是否是病毒或惡意軟件，早期的殺毒軟件通常都用這種方式來(lái)保護(hù)終端。殺毒廠商會(huì)事先收集各種病毒的樣本特征碼保存在病毒庫(kù)中，殺毒引擎會(huì)在掃描文件時(shí)和病毒庫(kù)中的特征碼做比較來(lái)判斷該文件時(shí)表示病毒。這類殺毒軟件的特點(diǎn)是占用系統(tǒng)資源較少，但缺乏發(fā)現(xiàn)新病毒的能力，遇到一些變種病毒則無(wú)能為力。

第二類技術(shù)是根據(jù)一個(gè)程序的行為來(lái)判斷是否是病毒或惡意軟件，比如會(huì)監(jiān)控哪個(gè)進(jìn)程寫了注冊(cè)表(Windows系統(tǒng))或者修改了系統(tǒng)文件。這種技術(shù)的特點(diǎn)是可以有能力預(yù)防新的病毒和惡意軟件，但缺點(diǎn)是容易有誤報(bào)或者漏報(bào)的情況。有些安全廠商則做了改進(jìn)，遇到修改系統(tǒng)注冊(cè)表或者修改系統(tǒng)文件的行為，則提示用戶，由用戶來(lái)做判斷是允許程序繼續(xù)運(yùn)行，還是中止本次操作，但這樣存在的問(wèn)題就是普通用戶不可能對(duì)操作系統(tǒng)很熟悉，所以不同用戶對(duì)同一安全事件的響應(yīng)可能也不相同，從而給惡意軟件有了可乘之機(jī)。

以上技術(shù)都是在終端電腦上依賴病毒庫(kù)的方式預(yù)防，系統(tǒng)可能被新的變種病毒感染，依賴行為監(jiān)測(cè)來(lái)預(yù)防，系統(tǒng)可能因?yàn)橛脩暨x錯(cuò)或者漏報(bào)而感染，由于很多病毒都有潛伏期，導(dǎo)致可能很久之后用戶才會(huì)發(fā)現(xiàn)，等安全廠商獲得病毒樣本從而做出響應(yīng)的時(shí)候，病毒已經(jīng)大范圍的肆虐了。由于從病毒開始散播到安全廠商發(fā)現(xiàn)病毒并獲得病毒樣本，在這個(gè)時(shí)間間隔里，病毒已經(jīng)有機(jī)會(huì)大規(guī)模傳播，這就造成安全廠商跟在病毒和惡意軟件之后疲于奔命的狀態(tài)。

因此，現(xiàn)有技術(shù)中的缺陷是，不能及時(shí)發(fā)現(xiàn)系統(tǒng)中的可疑安全威脅和惡意軟件，影響接入網(wǎng)絡(luò)的終端的安全使用。

發(fā)明內(nèi)容

針對(duì)上述技術(shù)問(wèn)題，本發(fā)明提供一種終端檢測(cè)響應(yīng)系統(tǒng)及方法，在每個(gè)接入網(wǎng)絡(luò)的終端上安裝探針，通過(guò)探針第一時(shí)間發(fā)現(xiàn)某一個(gè)裝有探針的終端上的可疑行為，大大縮短了響應(yīng)時(shí)間。

為解決上述技術(shù)問(wèn)題，本發(fā)明提供的技術(shù)方案是：

第一方面，本發(fā)明提供一種終端檢測(cè)響應(yīng)系統(tǒng)，包括：安全中心和安裝在各個(gè)終端上的探針設(shè)備，所述終端設(shè)置在網(wǎng)絡(luò)中；

所述探針設(shè)備，用于對(duì)所在的終端和網(wǎng)絡(luò)進(jìn)行安全行為監(jiān)控，并把監(jiān)控得到的安全事件發(fā)送給安全中心，所述安全事件包括用戶進(jìn)程，內(nèi)核驅(qū)動(dòng)和網(wǎng)絡(luò)通訊；

所述安全中心，用于根據(jù)所述安全事件，選擇安全策略發(fā)送給所述探針設(shè)備，用來(lái)阻止所述安全事件中惡意軟件的運(yùn)行或者中斷所述安全事件中有威脅的網(wǎng)絡(luò)連接。

本發(fā)明提供的終端檢測(cè)響應(yīng)系統(tǒng)，其技術(shù)方案為：包括：安全中心和安裝在各個(gè)終端上的探針設(shè)備，所述終端設(shè)置在網(wǎng)絡(luò)中；所述探針設(shè)備，用于對(duì)所在的終端和網(wǎng)絡(luò)進(jìn)行安全行為監(jiān)控，并把監(jiān)控得到的安全事件發(fā)送給安全中心，所述安全事件包括用戶進(jìn)程，內(nèi)核驅(qū)動(dòng)和網(wǎng)絡(luò)通訊；所述安全中心，用于根據(jù)所述安全事件，選擇安全策略發(fā)送給所述探針設(shè)備，用來(lái)阻止所述安全事件中惡意軟件的運(yùn)行或者中斷所述安全事件中有威脅的網(wǎng)絡(luò)連接。

本發(fā)明提供的終端檢測(cè)響應(yīng)系統(tǒng)，在每個(gè)接入網(wǎng)絡(luò)的終端上安裝探針，通過(guò)探針第一時(shí)間發(fā)現(xiàn)某一個(gè)裝有探針的終端上的可疑行為，大大縮短了響應(yīng)時(shí)間。