[发明专利]安全监控方法、装置及系统

权利要求书

1.一种安全监控方法，其特征在于，包括：

保存合法监控对象的特征信息；

在被监控设备上出现新的监控对象时，生成该新监控对象的特征信息；

比较新监控对象的特征信息与保存的合法监控对象的特征信息，根据比较结果确认新的监控对象是否安全。

2.如权利要求1所述的方法，其特征在于，所述监控对象为文件，所述特征信息为根据文件的二进制代码生成的特征码；

根据比较结果确认所述新的监控对象是否安全，具体为：

当比较结果为新文件的特征码与预先保存的合法文件的特征码一致时，确认所述新的文件合法；否则，确认所述新的文件非法或合法性待定。

3.如权利要求1所述的方法，其特征在于，所述监控对象为网络连接，所述特征信息包括网络连接的连接属性信息和通过该网络连接执行的进程的特征信息；

根据比较结果确认所述新的监控对象是否安全，具体为：

当比较结果为新的网络连接的连接属性信息和通过该网络连接执行的进程的特征信息，分别与预先保存的合法网络连接的相应信息相匹配时，确认所述新的网络连接安全；否则，确认所述新的网络连接不安全。

4.如权利要求3所述的方法，其特征在于，网络连接的连接属性信息包括：协议类型、地址、端口信息；

新的网络连接的连接属性信息与预先保存的合法网络连接的连接属性信息相匹配，包括：

新的网络连接的协议类型、端口号分别与合法网络连接的协议类型和端口号相同，源地址与合法网络连接的源地址相同或在其地址范围内，以及目的地址与合法网络连接的目的地址相同或在其地址范围内。

5.如权利要求3所述的方法，其特征在于，进程的特征信息为根据该进程的二进制代码生成的特征码；

通过新的网络连接执行的进程的特征信息与预先保存的合法网络连接的进程的特征信息相匹配，具体为：通过新的网络连接执行的进程的特征码与预先保存的合法网络连接的进程的特征码一致。

6.如权利要求1至5任一项所述的方法，其特征在于，确认新的监控对象不安全之后，还包括：启动安全告警。

7.一种安全监控装置，其特征在于，包括：

存储模块，用于保存合法监控对象的特征信息；

监控模块，用于在被监控设备上出现新的监控对象时，生成该新监控对象的特征信息；

确认模块，用于比较新监控对象的特征信息与保存的合法监控对象的特征信息，根据比较结果确认新的监控对象是否安全。

8.如权利要求7所述的装置，其特征在于，所述存储模块进一步用于，保存合法文件的特征信息；

所述监控模块进一步用于，在被监控设备上出现新的文件时，生成所述新的文件的特征信息；

确认模块进一步用于，将所述监控模块生成的特征信息与所述存储模块保存的合法文件的特征信息进行比较，并根据比较结果确认该新的文件是否合法。

9.如权利要求8所述的装置，其特征在于，所述特征信息为根据文件的二进制代码生成的特征码；

所述确认模块进一步用于，当比较结果为新的文件的特征码与保存的合法文件的特征码一致时，确认所述新的文件合法；否则，确认所述新的文件非法或合法性待定。

10.如权利要求7所述的装置，其特征在于，所述存储模块进一步用于，存储合法网络连接的连接属性信息和通过该网络连接执行的进程的特征信息；

所述监控模块进一步用于，在被监控设备上出现新的网络连接时，获取新的网络连接的连接属性信息，针对通过该网络连接执行的进程生成该进程的特征信息；

所述确认模块进一步用于，将获取的新的网络连接的连接属性信息和生成的进程的特征信息，与所述存储模块保存的合法网络连接的相应信息进行比较；当比较结果为匹配时，确认新的网络连接安全；否则，确认所述新的网络连接不安全。