终端安全检测与监测体系化方法与流程

本发明涉及信息安全领域，尤其涉及一种终端安全检测与监测体系化方法装置。

背景技术：

随着科学技术的不断发展创新，涌现了适用于各种类型应用场景终端设备，同时这种小型终端设备大量且迅速占领用户家庭，提供的功能层出不穷、日新月异为用户的生活增添了乐趣。

但往往事物有好的一面同时存放危险的一面，为了更好的为用户服务所有家庭终端设备都有一个共同的环境要求，即必须连接因特网网络，例如家庭智能网关、ap、高清智能机顶盒、网络摄像头等，“物物互联”在带来方便的同时不可避免会遭受到网络ddos攻击、后台漏洞入侵、信息数据劫持为代表的网络安全威胁，而设备生产厂家更注重功能的创意创新度，常常忽视了网络与信息的安全，会造成用户不可计量的损失。

技术实现要素：

本发明创造性地提出一个套体系化的终端安全检测与监测机制，从终端入网直至终端运行时完整生命周期的安全管控机制，由于当前用户家庭终端安全处于实际上的盲区，安全事件的发现总是来至用户的申告才能被发现，大量的事实表明安全事件对时效性有较强的要求，而实际可采取的防御手段常常较为滞后（发布安全补丁升级），容易造成用户的遭受到网络安全的侵害，因此实时的网络安全防御与监控是不得不面对，不得不考虑的问题。

本发明实现了对终端设备的入网检测与定期监测，促使将终端设备运行状况白盒化，通过监控终端设备的运行状态，并可以采用大数据分析算法分析，通过发现可能存在的安全异动事件，安全事件在得到确认后立即采取事件处置，实现在安全事件有一定的苗头趋时进行抑制，从而避免事件进一步造成损失。

为了解决现有技术存在的缺陷和不足的问题，本发明具体采用以下技术方案：

一种终端安全检测与监测体系化方法，其特征在于，包括以下步骤：

步骤s1：定义安全事件检测项；

步骤s2：建立终端设备基线库，包括：端口基线和进程基线；

步骤s3：建立安全事件处置预案库；

步骤s4：执行入网时检测，生成检测报告；

步骤s5：在终端设备运行的过程中进行监测，将采集的数据与基线比对，以确认是否产生安全事件预警，如产生安全事件预警，则根据安全事件的类型从安全事件处置预案库中匹配处置手段，并执行。

优选地，在步骤s1中，定义的安全事件检测项包括：ssh服务状态检测、telnet服务状态检测和端口检测。

优选地，在步骤s2中，建立终端设备基线库具体包括以下步骤：

步骤s21：确立终端设备分类最小维度：按照设备类型、终端厂家、终端型号进行分类后，再以终端设备的软件版本为最小分类维度对终端设备进行分类；

步骤s22：确立基线分类：基线的建立依据对终端设备安全要求为出发点，包括：端口基线和进程基线；

步骤s23：形成设备基线库。

优选地，步骤s4具体包括以下步骤：

步骤s41：启动外部辅助工具模拟网络环境；

步骤s42：主动向终端设备发起检测任务；

步骤s43：终端设备接收并执行检测任务，将诊断结果上报至管理平台；

步骤s44：诊断结果与基线进行比对，生成诊断结论；

步骤s45：返回诊断结论并生成检测报告。

优选地，步骤s43具体包括以下步骤：

步骤s431：指令交互模块接收到检测任务消息后，向终端设备下发检测任务；

步骤s432：终端设备的安全管理插件接收并执行检测任务；

步骤s433：终端设备的安全管理插件依据检测任务配置采集安全数据；

步骤s434：终端设备的安全管理插件将采集到的安全数据上报至管理平台的数据接收模块。

优选地，步骤s5具体包括以下步骤：

步骤s51：终端设备启动运行，同时进入运行时检测周期；

步骤s52：终端设备主动从管理平台拉取定时安全监控采集任务以及条件触发监控采集任务；

步骤s53：终端设备对于定时安全监控采集任务依据预设的时间，采集数据并上报数据；

步骤s54：终端设备对于条件触发监控采集任务依据触发条件，采集数据并上报数据；

步骤s55：管理平台在接收到采集数据后，将数据传入数据分析与监测模块进行分析；

步骤s56：数据分析与监测模块按设备类型，将数据与终端设备基线库中的基线进行比对，如果发现数据异常，则将确认为异常波动的数据发送给安全事件决策模块产生安全事件预警；

步骤s57：安全事件决策模块依据安全事件类型从安全事件处置预案库中匹配处置手段；

步骤s58：管理平台与终端设备的安全管理插件联动配合执行安全事件处置预案，实现安全事件的处理。

本发明及其优选方案以终端安全为切入点，从终端设备的入网检测到运行时监测提出了一整套解决方案：依托于管理平台和终端安全管理插件的联动，可实现监测终端设备的安全状态，管理平台从全网终端设备的运行情况通过数据分析方式发现非正常的安全环境异动，实现安全事件的预警、安全事件处置方案；从时效性方面看相比事后处理更及时。

附图说明

下面结合附图和具体实施方式对本发明进一步详细的说明：

图1为本发明实施例采用的各模块及工作流程示意图。

具体实施方式

为让本专利的特征和优点能更明显易懂，下文特举实施例，并配合附图，作详细说明如下：

名词释义：

1.基线：表示终端设备可允许环境、状态标准的统称。

2.检测项：终端设备在入网或者运行时的检查项目。

3.定时安全监控采集任务：以时间为条件触发安全监控数据采集。

4.条件触发监控采集任务：以特定为条件触发安全监控数据采集。

5.终端设备的安全管理插件：安装集成在终端设备侧实现对终端安全的监控采集、安全事件的处置功能。

如图1所示，本实施例的实现主要基于设置在终端设备的安全管理插件，以及管理平台，管理平台主要包括：安全事件决策模块、数据分析与监测模块、指令交互模块、数据接收模块等。

本实施例具体是通过以下步骤实现的：

步骤s1：定义安全事件检测项；

步骤s2：建立终端设备基线库，包括：端口基线和进程基线；

步骤s3：建立安全事件处置预案库；

步骤s4：执行入网时检测，生成检测报告；

步骤s5：在终端设备运行的过程中进行监测，将采集的数据与基线比对，以确认是否产生安全事件预警，如产生安全事件预警，则根据安全事件的类型从安全事件处置预案库中匹配处置手段，并执行。

通过步骤s1-步骤s3建立的终端设备基线库、安全事件处置预案库、以及安全事件检测项储存在管理平台的储存管理模块当中。

其中，在步骤s1中，定义的安全事件检测项包括：ssh服务状态检测、telnet服务状态检测和端口检测，也可以根据配合基线采集的具体项目自定义安全检测项目。

在步骤s2中，建立终端设备基线库具体包括以下步骤：

步骤s21：确立终端设备分类最小维度：首先按照设备类型、终端厂家、终端型号进行分类后，再以终端设备的软件版本为最小分类维度对终端设备进行分类；

步骤s22：确立基线分类：基线的建立依据对终端设备安全要求为出发点，一般包括：端口基线和进程基线；不同的终端可以拥有各自的特有基线，为后面的检测与监控提供标准。

步骤s23：形成设备基线库。

具体形成的设备基线库可以如表1提供的样例所示：

表1

在步骤s3中，建立安全事件处置预案库在于依据错误集设定一套诊断流程，即对每一类型的安全事件均预设有处置预案，可以以形如表2提供的样例所示储存在管理平台中：

表2

如图1所示，步骤s4具体包括以下步骤：

步骤s41：启动外部辅助工具模拟网络环境；

步骤s42：主动向终端设备发起检测任务；

步骤s43：终端设备接收并执行检测任务，将诊断结果上报至管理平台；

步骤s44：诊断结果与基线进行比对，进行二次加工处理，生成诊断结论；部分较为简单的诊断结果可以无需与基线进行比对，直接生成诊断结论；

步骤s45：返回诊断结论并生成检测报告。

更具体地，步骤s43具体包括以下步骤：

步骤s431：指令交互模块接收到检测任务消息后，向终端设备下发检测任务；

步骤s432：终端设备的安全管理插件接收并执行检测任务；

步骤s433：终端设备的安全管理插件依据检测任务配置采集安全数据；

步骤s434：终端设备的安全管理插件将采集到的安全数据上报至管理平台的数据接收模块。

如图1所示，步骤s5具体包括以下步骤：

步骤s51：终端设备启动运行，同时进入运行时检测周期；

步骤s52：终端设备主动从管理平台拉取定时安全监控采集任务以及条件触发监控采集任务；

步骤s53：终端设备对于定时安全监控采集任务依据预设的时间，采集数据并上报数据；

步骤s54：终端设备对于条件触发监控采集任务依据触发条件，采集数据并上报数据；

步骤s55：管理平台在接收到采集数据后，将数据传入数据分析与监测模块进行分析；部分数据还要先进行按规则清洗的预处理，筛选掉无关的冗余数据；

步骤s56：数据分析与监测模块按定义的设备类型、型号、软件版本规则，将数据与终端设备基线库中的基线进行比对，如果发现数据异常（包括异常波动），则将确认为异常波动的数据发送给安全事件决策模块产生安全事件预警；

步骤s57：安全事件决策模块依据安全事件类型从安全事件处置预案库中匹配处置手段；

步骤s58：管理平台与终端设备的安全管理插件联动配合执行安全事件处置预案，实现安全事件的处理。其中，安全事件的处理按照预设的优先级或人为干预的顺序执行。

本专利不局限于上述最佳实施方式，任何人在本专利的启示下都可以得出其它各种形式的终端安全检测与监测体系化方法，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本专利的涵盖范围。