[发明专利]一种工业主机终端安全防护系统

权利要求书

1.一种工业主机终端安全防护系统，其特征在于，所述系统包括客户端和服务端，所述客户端与服务端采用C/S架构，通过在终端操作系统中安装轻量级Agent程序实时获取全量的内核级微粒度行为数据并进行上报，所述服务端管理采用B/S架构，根据采集的数据实现威胁行为检测、威胁告警、威胁识别、威胁分析和系统管理。

2.根据权利要求1所述的一种工业主机终端安全防护系统，其特征在于，所述服务端具体包括终端资产管理模块，用于对终端活动深度可视化，直观地展示终端资产受到的威胁风险，以及威胁事件在组织内部的感染范围；按照客户业务组织对终端进行分组以及批量管理，同时允许客户查看管理某台终端的详细信息，并支持自行导出终端数据。

3.根据权利要求1所述的一种工业主机终端安全防护系统，其特征在于，所述服务端具体包括威胁告警管理模块，所述威胁告警管理模块包括威胁溯源模块和威胁告警模块；

所述威胁溯源模块用于为告警提供可视化的上下文关联来还原攻击行为，利用全量的事件存储以及EIS终端免疫系统，为攻击源追踪取证提供依据，并结合威胁情报数据、终端威胁行为检测引擎、AI智能分析组件进行威胁识别，精确地拦截威胁并告警，还能对攻击进行调查和取证，形成威胁分析报告和情报数据，持续更新迭代的情报数据为事后的威胁溯源进一步提高丰富的数据支撑；

所述威胁告警模块用于提供实时的威胁告警信息，自动地对已知和未知威胁进行修复和处理脚本，从而减少事件影响范围；支持查看全网内所有终端产生的告警信息及其告警等级；允许客户处理来自终端的告警，以实现对全网内终端安全的威胁响应，同时允许查看系统与威胁事件相关的进程树和进程详情。

4.根据权利要求1所述的一种工业主机终端安全防护系统，其特征在于，所述服务端具体包括全网文件管理模块，所述全网文件管理模块用于查看和管理当前企业中所有安装了终端Agent程序后新添加的文件，且平台统一管理；支持查看文件的恶意程度和AI智能分析组件的扫描结果，允许修改全网文件列表中的文件类型，同时支持查看某个文件的MD5在企业内或全网范围内的分布，查看每个终端首次出现该文件的时间、主机、文件路径信息熵等信息，最终以实现EIS终端免疫系统的拦截或放过。

5.根据权利要求1所述的一种工业主机终端安全防护系统，其特征在于，所述服务端具体包括安全策略管理模块，所述安全策略管理模块包括安全策略配置模块、病毒防御策略配置模块以及终端免疫系统策略配置模块；

所述安全策略配置模块用于对安全策略进行编辑、新增和查看操作，以及在编辑、新增时，定制当前企业使用的规则和功能的开关配置，并将配置保存为安全策略下发至终端进行安全响应；

所述病毒防御策略配置模块用于对当前使用的规则进行自定义开关配置，拦截网内所有黑文件；同时开启隔离开关，针对AI智能分析组件的鉴定结果对病毒进行防御查杀，并能将该策略应用到目前企业组织结构中的不同分组；

所述终端免疫系统策略配置模块用于自定义开关配置终端免疫系统策略，为关键资产提供高级别保护策略；基于在本地自学习中建立本地文件基因信息数据库，实现为基因偏离筛选本地可执行文件，对系统试图装载到内存中准备执行的文件进行严格的基因偏离筛选，精确地截获存在的威胁事件；实现在未安装杀毒软件、未对操作系统进行补丁升级的情况下避免服务器等重要资产遭受未知威胁的危害，以减少不必要的威胁事件，并实现精确地截取黑白名单文件，为终端提供可靠的安全保护和免疫作用。