终端检测响应系统及方法与流程

本发明涉及网络安全领域，尤其涉及终端检测响应系统及方法领域。

背景技术：

随着技术的普及，越来越多的终端设备接入网络，所面临的问题就是这些接入网络的终端都可能会受到入侵。现有的终端保护技术大体可以分为两类：第一类技术是依据文件的特征码来确定某个程序是否是病毒或恶意软件，早期的杀毒软件通常都用这种方式来保护终端。杀毒厂商会事先收集各种病毒的样本特征码保存在病毒库中，杀毒引擎会在扫描文件时和病毒库中的特征码做比较来判断该文件时表示病毒。这类杀毒软件的特点是占用系统资源较少，但缺乏发现新病毒的能力，遇到一些变种病毒则无能为力。

第二类技术是根据一个程序的行为来判断是否是病毒或恶意软件，比如会监控哪个进程写了注册表(Windows系统)或者修改了系统文件。这种技术的特点是可以有能力预防新的病毒和恶意软件，但缺点是容易有误报或者漏报的情况。有些安全厂商则做了改进，遇到修改系统注册表或者修改系统文件的行为，则提示用户，由用户来做判断是允许程序继续运行，还是中止本次操作，但这样存在的问题就是普通用户不可能对操作系统很熟悉，所以不同用户对同一安全事件的响应可能也不相同，从而给恶意软件有了可乘之机。

以上技术都是在终端电脑上依赖病毒库的方式预防，系统可能被新的变种病毒感染，依赖行为监测来预防，系统可能因为用户选错或者漏报而感染，由于很多病毒都有潜伏期，导致可能很久之后用户才会发现，等安全厂商获得病毒样本从而做出响应的时候，病毒已经大范围的肆虐了。由于从病毒开始散播到安全厂商发现病毒并获得病毒样本，在这个时间间隔里，病毒已经有机会大规模传播，这就造成安全厂商跟在病毒和恶意软件之后疲于奔命的状态。

因此，现有技术中的缺陷是，不能及时发现系统中的可疑安全威胁和恶意软件，影响接入网络的终端的安全使用。

技术实现要素：

针对上述技术问题，本发明提供一种终端检测响应系统及方法，在每个接入网络的终端上安装探针，通过探针第一时间发现某一个装有探针的终端上的可疑行为，大大缩短了响应时间。

为解决上述技术问题，本发明提供的技术方案是：

第一方面，本发明提供一种终端检测响应系统，包括：安全中心和安装在各个终端上的探针设备，所述终端设置在网络中；

所述探针设备，用于对所在的终端和网络进行安全行为监控，并把监控得到的安全事件发送给安全中心，所述安全事件包括用户进程，内核驱动和网络通讯；

所述安全中心，用于根据所述安全事件，选择安全策略发送给所述探针设备，用来阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。

本发明提供的终端检测响应系统，其技术方案为：包括：安全中心和安装在各个终端上的探针设备，所述终端设置在网络中；所述探针设备，用于对所在的终端和网络进行安全行为监控，并把监控得到的安全事件发送给安全中心，所述安全事件包括用户进程，内核驱动和网络通讯；所述安全中心，用于根据所述安全事件，选择安全策略发送给所述探针设备，用来阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。

本发明提供的终端检测响应系统，在每个接入网络的终端上安装探针，通过探针第一时间发现某一个装有探针的终端上的可疑行为，大大缩短了响应时间。

进一步地，所述探针设备包括监控模块和第一通讯模块；

所述监控模块，用于根据所述安全监控任务，监控所述终端和网络的安全行为，得到安全事件；

所述第一通讯模块，用于进行所述探针设备和所述安全中心之间的通讯。

进一步地，所述第一通讯模块还用于对从所述探针设备向所述安全中心发送的安全事件做数据封装，对从所述安全中心发来的安全策略进行解析，发送给所述探针设备。

进一步地，所述探针设备还包括定时器，用于每隔预设时间执行设定的任务，对所述终端和安全中心进行监控。

进一步地，所述安全中心包括管理模块、第二通讯模块、处理模块和警告通知模块；

所述管理模块，用于管理所述探针设备、所述探针设备对应的终端和安全中心；

所述第二通讯模块，用于实现所述探针设备与所述安全中心之间的通讯；

所述处理模块，用于根据所述安全中心发送的安全策略，对所述安全策略对应的安全事件类型进行判断，如果为被处理过的安全事件类型，按照历史安全策略进行安全处理，如果为未被处理过的安全事件类型，发送至所述警告通知模块，并生成新的安全策略对所述未被处理过的安全事件进行处理；

所述警告通知模块，用于将所述未被处理过的安全事件告知安全管理员。

进一步地，所述第二通讯模块还用于处理所述探针设备的基本运维信息，包括所述探针设备上线和探针设备是否有版本需要升级。

第二方面，本发明提供一种终端检测响应方法，应用于第一方面所述的终端检测响应系统，包括：

步骤S1，通过安装在各个终端上的探针设备定时对所述终端进行安全监控任务下发，根据所述安全监控任务对所述终端和网络的安全行为进行监控，得到安全事件；

步骤S2，将所述安全事件发送给所述安全中心，所述安全中心对所述安全事件进行处理，得到安全策略，并将所述安全策略发送至对应探针设备上；

步骤S3，所述探针设备接收所述安全策略后，按照所述安全策略阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。

本发明提供的终端检测响应方法，其技术方案为：通过安装在各个终端上的探针设备定时对所述终端进行安全监控任务下发，根据所述安全监控任务对所述终端和网络的安全行为进行监控，得到安全事件；将所述安全事件发送给所述安全中心，所述安全中心对所述安全事件进行处理，得到安全策略，并将所述安全策略发送至对应探针设备上；所述探针设备接收所述安全策略后，按照所述安全策略阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。

本发明提供的终端检测响应方法，在每个接入网络的终端上安装探针，通过探针第一时间发现某一个装有探针的终端上的可疑行为，大大缩短了响应时间。

进一步地，所述步骤S1之后，还包括安全事件类型判断步骤：

对所述安全事件进行横向检索，判断所述安全事件是否为第一次出现，如果为第一次出现，判断为未知威胁，否则，判断为已知威胁。

进一步地，所述安全中心根据所述安全事件的类型，进行安全策略的分配：如果为未知威胁，将所述未知威胁保存至数据库，生成新的安全策略对所述未知威胁进行处理；

如果为已知威胁，按照历史安全策略通知所述探针设备对所述已知威胁进行处理。

进一步地，所述历史安全策略保存在安全策略数据库中，将所述新的安全策略保存至所述安全策略数据库中，对所述安全策略数据库进行更新。

本发明提供的终端检测响应系统及方法，与现有技术相比，有益效果为：

在每个接入网络的终端上安装探针，通过探针第一时间发现某一个装有探针的终端上的可疑行为，大大缩短了响应时间。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。

图1示出了本发明实施例所提供的一种终端检测响应系统的示意图；

图2示出了本发明实施例所提供的一种终端检测响应方法的流程图。

具体实施方式

下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案，因此只是作为示例，而不能以此来限制本发明的保护范围。

实施例一

第一方面，参见图1，本发明提供一种终端检测响应系统，包括：安全中心2和安装在各个终端上的探针设备，所述终端设置在网络中；

其中，终端包括个人计算机、服务器、手机、智能家电、ATM机等设备。

如图1所示，终端包括手机10至手机13，PC30至PC33，服务,20至服务器23，在所有手机，PC和服务器上都安装探针设备。

所述探针设备，用于对所在的终端和网络进行安全行为监控，并把监控得到的安全事件发送给安全中心2，所述安全事件包括用户进程，内核驱动和网络通讯；其中，安全事件包括但不限于可执行的文件，进程，注册表，配置信息。

其中，探针设备监控的安全行为：修改启动项，和可疑IP进行通讯，进行映像劫持，试图提升权限，读取敏感区文件，注册为常用软件插件，隐藏进程，下载黑客工具等。当检测到有安全事件，探针会将安全事件的相关信息发送给安全中心2，其中，安全事件的相关信息包括：该安全事件的行为发生者(可以是进程或内核驱动等)，具体的安全事件，可疑进程的内存映像或者可执行文件，所涉及到的系统模块或文件，系统中当时登陆的用户等等。

所述安全中心2，用于根据所述安全事件，选择安全策略发送给所述探针设备，用来阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。

本发明提供的终端检测响应系统，在每个接入网络的终端上安装探针，通过探针第一时间发现某一个装有探针的终端上的可疑行为，大大缩短了响应时间。

其中，探针设备启动后，在后台运行，并主动和安全中心2建立TCP长连接，连接建立好后，安全中心2则认为该终端已在线，可以给该终端下发安全策略。

具体地，所述探针设备包括监控模块和第一通讯模块；

所述监控模块，用于根据所述安全监控任务，监控所述终端和网络的安全行为，得到安全事件；

所述第一通讯模块，用于进行所述探针设备和所述安全中心2之间的通讯。

其中，监控模块具体可监控：对注册表和安全相关的条目做写入操作，监控对系统重要文件的修改，监控应用程序提升权限等操作。在监控网络的安全行为时会监控比如连接可疑IP，发送有异常载荷的网络数据包，监听在安全策略配置外的其余网络端口。

优选地，所述第一通讯模块还用于对从所述探针设备向所述安全中心2发送的安全事件做数据封装，对从所述安全中心2发来的安全策略进行解析，发送给所述探针设备。

优选地，所述探针设备还包括定时器，用于每隔预设时间执行设定的任务，对所述终端和安全中心2进行监控。具体包括监控系统的CPU繁忙状态，硬盘剩余空间，并去安全中心2查询是否需要升级探针等等。

具体地，所述安全中心2包括管理模块、第二通讯模块、处理模块和警告通知模块；

所述管理模块，用于管理所述探针设备、所述探针设备对应的终端和安全中心2；

所述第二通讯模块，用于实现所述探针设备与所述安全中心2之间的通讯；

所述处理模块，用于根据所述安全中心2发送的安全策略，对所述安全策略对应的安全事件类型进行判断，如果为被处理过的安全事件类型，按照历史安全策略进行安全处理，如果为未被处理过的安全事件类型，发送至所述警告通知模块，并生成新的安全策略对所述未被处理过的安全事件进行处理；

所述警告通知模块，用于将所述未被处理过的安全事件告知安全管理员。

其中，安全事件的告知方式可以是邮件、短信等。

通过安全中心2，可接收来自探针设备的安全事件信息，也可自动或由安全管理员人工进行分析，最后把处理结果发送至所有探针上。

具体地，在安全中心2接收到探针设备监测到的可疑安全事件后，先在云端对该安全事件进行横向检索，查询该安全事件是否是在全网范围内第一次出现，如果该事件之前出现过，则安全中心2直接通知上传信息的探针设备，继续或终止该可疑事件的进程。如果该安全事件是首次出现，则判断为未知威胁，将安全事件信息加上时间戳保存进数据库，并通知管理员进行处置。安全管理员对事件进行分析，然后设定处置方式，之后全网所有探针都会按该方式处置该类安全事件。

通过这种方式，大大缩短了安全管理员发现了安全事件的时间，并只需安全管理员做一次安全分析，就可将相应的安全策略部署到全网所有设备中，避免了重复工作。

优选地，安全管理员可通过管理界面的设置，进行终端安全状态的查询，进而做出相应的操作，也可通过管理界面来设置新的安全策略下发给所有探针设备。

优选地，所述第二通讯模块还用于处理所述探针设备的基本运维信息，包括所述探针设备上线和探针设备是否有版本需要升级。

优选地，对某个未被处理过的安全事件类型，即未知威胁进行分析处理后，这一类的安全威胁都会以这种方式做处置，这样既可以有效防止这种安全威胁的变种，也可以缩短系统对类似安全威胁的响应时间。

其中，如何区分是同一类的安全威胁，可以通过安全事件本身的行为或者某一特点去定义。

第二方面，参见图2，本发明提供一种终端检测响应方法，应用于第一方面所述的终端检测响应系统，包括：

步骤S1，通过安装在各个终端上的探针设备定时对所述终端进行安全监控任务下发，根据所述安全监控任务对所述终端和网络的安全行为进行监控，得到安全事件；

步骤S2，将所述安全事件发送给所述安全中心2，所述安全中心2对所述安全事件进行处理，得到安全策略，并将所述安全策略发送至对应探针设备上；

步骤S3，所述探针设备接收所述安全策略后，按照所述安全策略阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。

本发明提供的终端检测响应方法，其技术方案为：通过安装在各个终端上的探针设备定时对所述终端进行安全监控任务下发，根据所述安全监控任务对所述终端和网络的安全行为进行监控，得到安全事件；将所述安全事件发送给所述安全中心2，所述安全中心2对所述安全事件进行处理，得到安全策略，并将所述安全策略发送至对应探针设备上；所述探针设备接收所述安全策略后，按照所述安全策略阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。

本发明提供的终端检测响应方法，在每个接入网络的终端上安装探针，通过探针第一时间发现某一个装有探针的终端上的可疑行为，大大缩短了响应时间。

优选地，所述步骤S1之后，还包括安全事件类型判断步骤：

对所述安全事件进行横向检索，判断所述安全事件是否为第一次出现，如果为第一次出现，判断为未知威胁，否则，判断为已知威胁。

优选地，所述安全中心2根据所述安全事件的类型，进行安全策略的分配：如果为未知威胁，将所述未知威胁保存至数据库，生成新的安全策略对所述未知威胁进行处理；

如果为已知威胁，按照历史安全策略通知所述探针设备对所述已知威胁进行处理。

其中，历史安全策略表示该类安全事件以前出现过，有对应处理该类安全事件的策略，直接调用即可，如果是新类型的安全事件，即监测到的是新类型的安全威胁事件，则通过安全管理员或其他方式生成新的安全策略，下发给该探针设备，按照新的安全策略去处理此类型的安全威胁，通过上述处理，可缩短响应时间。

优选地，所述历史安全策略保存在安全策略数据库中，将所述新的安全策略保存至所述安全策略数据库中，对所述安全策略数据库进行更新。

新的安全策略要直接存储在安全策略数据库中，便于下次再有类似的安全威胁出现时，直接从安全策略数据库中调取即可，进一步缩短响应时间。

本发明提供的终端检测响应系统及方法，与现有技术相比，有益效果为：

在每个接入网络的终端上安装探针，通过探针第一时间发现某一个装有探针的终端上的可疑行为，大大缩短了响应时间。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。