[发明专利]终端检测响应系统及方法

摘要

本发明提供的终端检测响应系统及方法，系统包括：安全中心和安装在各个终端上的探针设备，终端设置在网络中；探针设备，用于对所在的终端和网络进行安全行为监控，并把监控得到的安全事件发送给安全中心，安全事件包括用户进程，内核驱动和网络通讯；安全中心，用于根据安全事件，选择安全策略发送给探针设备，用来阻止安全事件中恶意软件的运行或者中断安全事件中有威胁的网络连接。本发明提供的终端检测响应系统及方法，在每个接入网络的终端上安装探针，通过探针第一时间发现某一个装有探针的终端上的可疑行为，大大缩短了响应时间。 1

主权项

1.一种终端检测响应系统，其特征在于，包括：安全中心和安装在各个终端上的探针设备，所述终端设置在网络中；

所述探针设备，用于对所在的终端和网络进行安全行为监控，并把监控得到的安全事件发送给安全中心，所述安全事件包括用户进程，内核驱动和网络通讯；

所述安全中心，用于根据所述安全事件，选择安全策略发送给所述探针设备，用来阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。

2.根据权利要求1所述的系统，其特征在于，

所述探针设备包括监控模块和第一通讯模块；

所述监控模块，用于根据所述安全监控任务，监控所述终端和网络的安全行为，得到安全事件；

所述第一通讯模块，用于进行所述探针设备和所述安全中心之间的通讯。

3.根据权利要求2所述的系统，其特征在于，

所述第一通讯模块还用于对从所述探针设备向所述安全中心发送的安全事件做数据封装，对从所述安全中心发来的安全策略进行解析，发送给所述探针设备。

4.根据权利要求2所述的系统，其特征在于，

所述探针设备还包括定时器，用于每隔预设时间执行设定的任务，对所述终端和安全中心进行监控。

5.根据权利要求1所述的系统，其特征在于，

所述安全中心包括管理模块、第二通讯模块、处理模块和警告通知模块；

所述管理模块，用于管理所述探针设备、所述探针设备对应的终端和安全中心；

所述第二通讯模块，用于实现所述探针设备与所述安全中心之间的通讯；

所述处理模块，用于根据所述安全中心发送的安全策略，对所述安全策略对应的安全事件类型进行判断，如果为被处理过的安全事件类型，按照历史安全策略进行安全处理，如果为未被处理过的安全事件类型，发送至所述警告通知模块，并生成新的安全策略对所述未被处理过的安全事件进行处理；

所述警告通知模块，用于将所述未被处理过的安全事件告知安全管理员。

6.根据权利要求5所述的系统，其特征在于，

所述第二通讯模块还用于处理所述探针设备的基本运维信息，包括所述探针设备上线和探针设备是否有版本需要升级。

7.一种终端检测响应方法，应用于权利要求1～6所述的终端检测响应系统，其特征在于，包括：

步骤S1，通过安装在各个终端上的探针设备定时对所述终端进行安全监控任务下发，根据所述安全监控任务对所述终端和网络的安全行为进行监控，得到安全事件；

步骤S2，将所述安全事件发送给所述安全中心，所述安全中心对所述安全事件进行处理，得到安全策略，并将所述安全策略发送至对应探针设备上；

步骤S3，所述探针设备接收所述安全策略后，按照所述安全策略阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。

8.根据权利要求7所述的方法，其特征在于，

所述步骤S1之后，还包括安全事件类型判断步骤：

对所述安全事件进行横向检索，判断所述安全事件是否为第一次出现，如果为第一次出现，判断为未知威胁，否则，判断为已知威胁。

9.根据权利要求8所述的方法，其特征在于，

所述安全中心根据所述安全事件的类型，进行安全策略的分配：

如果为未知威胁，将所述未知威胁保存至数据库，生成新的安全策略对所述未知威胁进行处理；

如果为已知威胁，按照历史安全策略通知所述探针设备对所述已知威胁进行处理。

10.根据权利要求9所述的方法，其特征在于，

所述历史安全策略保存在安全策略数据库中，将所述新的安全策略保存至所述安全策略数据库中，对所述安全策略数据库进行更新。