[发明专利]一种工业主机终端安全防护系统

说明书

本发明实施例公开了一种工业主机终端安全防护系统，集合行为监控、病毒查杀、远程调查取证、联动防御、风险态势展示等核心功能。采用领先的行为识别、多引擎样本鉴定、神经网络、诱捕、免疫等技术，实现了对已知、未知威胁的实时检测与处置，有效解决勒索、挖矿、免杀逃逸、无文件攻击等传统安全产品无法有效防御的威胁。通过轻量化的终端Agent程序实时获取全量的内核级微粒度行为数据对终端系统进行持续监控，并从中筛选出有助于客户进行威胁溯源的事件进行存储，实现了对威胁事件的快速分析以及响应(包括确定零号受害终端、攻击范围等)，以最小的资源开销获得最大程度的保护，全面提升客户的终端安全管理能力。

技术领域

本发明实施例涉及网络安全技术领域，具体涉及一种工业主机终端安全防护系统。

背景技术

网络通过打破时空界限、变革社会网络和经济驱动方式，已经成为当代经济繁荣、技术进步、社会意识的孵化器，也造成当前社会无法停止对网络的依赖性，网络安全问题的严重性逐渐凸显。病毒泛滥、系统漏洞、黑客攻击等诸多问题已经直接影响到网络安全。网络安全是国家安全的基础，没有网络安全就没有国家安全！

边界防护设备在网络的各个入口提供安全防护保障，但是对于病毒的横向传播和移动存储介质等来源于内部的威胁，网络边界的安全防护变得束手无策，终端作为信息资产的核心载体，终端安全防护的重要性变得极为突出。长期以来，基于签名和启发式的防病毒软件一直是广泛使用的终端安全产品，随着攻击手段的不断升级，日益严重的高级持续性威胁APT可轻易饶过传统的防病毒软件。当传统防病毒软件已不能发现与防御APT时，运用终端检测与响应技术构建的下一代终端安全防护技术已成为网络终端安全防护方案的标配。

发明内容

为此，本发明实施例提供一种工业主机终端安全防护系统，以解决传统防病毒软件已不能发现与防御APT，终端安全无法保障的问题。

为了实现上述目的，本发明实施例提供如下技术方案：一种工业主机终端安全防护系统，所述系统包括客户端和服务端，所述客户端与服务端采用C/S架构，通过在终端操作系统中安装轻量级Agent程序实时获取全量的内核级微粒度行为数据并进行上报，所述服务端管理采用B/S架构，根据采集的数据实现威胁行为检测、威胁告警、威胁识别、威胁分析和系统管理。

进一步地，所述服务端具体包括终端资产管理模块，用于对终端活动深度可视化，直观地展示终端资产受到的威胁风险，以及威胁事件在组织内部的感染范围；按照客户业务组织对终端进行分组以及批量管理，同时允许客户查看管理某台终端的详细信息，并支持自行导出终端数据。

进一步地，所述服务端具体包括威胁告警管理模块，所述威胁告警管理模块包括威胁溯源模块和威胁告警模块；

所述威胁溯源模块用于为告警提供可视化的上下文关联来还原攻击行为，利用全量的事件存储以及EIS终端免疫系统，为攻击源追踪取证提供依据，并结合威胁情报数据、终端威胁行为检测引擎、AI智能分析组件进行威胁识别，精确地拦截威胁并告警，还能对攻击进行调查和取证，形成威胁分析报告和情报数据，持续更新迭代的情报数据为事后的威胁溯源进一步提高丰富的数据支撑；

所述威胁告警模块用于提供实时的威胁告警信息，自动地对已知和未知威胁进行修复和处理脚本，从而减少事件影响范围；支持查看全网内所有终端产生的告警信息及其告警等级；允许客户处理来自终端的告警，以实现对全网内终端安全的威胁响应，同时允许查看系统与威胁事件相关的进程树和进程详情。

进一步地，所述服务端具体包括全网文件管理模块，所述全网文件管理模块用于查看和管理当前企业中所有安装了终端Agent程序后新添加的文件，且平台统一管理；支持查看文件的恶意程度和AI智能分析组件的扫描结果，允许修改全网文件列表中的文件类型，同时支持查看某个文件的MD5在企业内或全网范围内的分布，查看每个终端首次出现该文件的时间、主机、文件路径信息熵等信息，最终以实现EIS终端免疫系统的拦截或放过。