CN108173878A - 终端检测响应系统及方法 - Google Patents

终端检测响应系统及方法 Download PDF

Info

Publication number
CN108173878A
CN108173878A CN201810105912.3A CN201810105912A CN108173878A CN 108173878 A CN108173878 A CN 108173878A CN 201810105912 A CN201810105912 A CN 201810105912A CN 108173878 A CN108173878 A CN 108173878A
Authority
CN
China
Prior art keywords
security
terminal
probe device
centre
security incident
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810105912.3A
Other languages
English (en)
Inventor
刘春华
路彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jess Safety Technology Co Ltd
Original Assignee
Beijing Jess Safety Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jess Safety Technology Co Ltd filed Critical Beijing Jess Safety Technology Co Ltd
Priority to CN201810105912.3A priority Critical patent/CN108173878A/zh
Publication of CN108173878A publication Critical patent/CN108173878A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)

Abstract

本发明提供的终端检测响应系统及方法,系统包括:安全中心和安装在各个终端上的探针设备,终端设置在网络中;探针设备,用于对所在的终端和网络进行安全行为监控,并把监控得到的安全事件发送给安全中心,安全事件包括用户进程,内核驱动和网络通讯;安全中心,用于根据安全事件,选择安全策略发送给探针设备,用来阻止安全事件中恶意软件的运行或者中断安全事件中有威胁的网络连接。本发明提供的终端检测响应系统及方法,在每个接入网络的终端上安装探针,通过探针第一时间发现某一个装有探针的终端上的可疑行为,大大缩短了响应时间。

Description

终端检测响应系统及方法
技术领域
本发明涉及网络安全领域,尤其涉及终端检测响应系统及方法领域。
背景技术
随着技术的普及,越来越多的终端设备接入网络,所面临的问题就是这些接入网络的终端都可能会受到入侵。现有的终端保护技术大体可以分为两类:第一类技术是依据文件的特征码来确定某个程序是否是病毒或恶意软件,早期的杀毒软件通常都用这种方式来保护终端。杀毒厂商会事先收集各种病毒的样本特征码保存在病毒库中,杀毒引擎会在扫描文件时和病毒库中的特征码做比较来判断该文件时表示病毒。这类杀毒软件的特点是占用系统资源较少,但缺乏发现新病毒的能力,遇到一些变种病毒则无能为力。
第二类技术是根据一个程序的行为来判断是否是病毒或恶意软件,比如会监控哪个进程写了注册表(Windows系统)或者修改了系统文件。这种技术的特点是可以有能力预防新的病毒和恶意软件,但缺点是容易有误报或者漏报的情况。有些安全厂商则做了改进,遇到修改系统注册表或者修改系统文件的行为,则提示用户,由用户来做判断是允许程序继续运行,还是中止本次操作,但这样存在的问题就是普通用户不可能对操作系统很熟悉,所以不同用户对同一安全事件的响应可能也不相同,从而给恶意软件有了可乘之机。
以上技术都是在终端电脑上依赖病毒库的方式预防,系统可能被新的变种病毒感染,依赖行为监测来预防,系统可能因为用户选错或者漏报而感染,由于很多病毒都有潜伏期,导致可能很久之后用户才会发现,等安全厂商获得病毒样本从而做出响应的时候,病毒已经大范围的肆虐了。由于从病毒开始散播到安全厂商发现病毒并获得病毒样本,在这个时间间隔里,病毒已经有机会大规模传播,这就造成安全厂商跟在病毒和恶意软件之后疲于奔命的状态。
因此,现有技术中的缺陷是,不能及时发现系统中的可疑安全威胁和恶意软件,影响接入网络的终端的安全使用。
发明内容
针对上述技术问题,本发明提供一种终端检测响应系统及方法,在每个接入网络的终端上安装探针,通过探针第一时间发现某一个装有探针的终端上的可疑行为,大大缩短了响应时间。
为解决上述技术问题,本发明提供的技术方案是:
第一方面,本发明提供一种终端检测响应系统,包括:安全中心和安装在各个终端上的探针设备,所述终端设置在网络中;
所述探针设备,用于对所在的终端和网络进行安全行为监控,并把监控得到的安全事件发送给安全中心,所述安全事件包括用户进程,内核驱动和网络通讯;
所述安全中心,用于根据所述安全事件,选择安全策略发送给所述探针设备,用来阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。
本发明提供的终端检测响应系统,其技术方案为:包括:安全中心和安装在各个终端上的探针设备,所述终端设置在网络中;所述探针设备,用于对所在的终端和网络进行安全行为监控,并把监控得到的安全事件发送给安全中心,所述安全事件包括用户进程,内核驱动和网络通讯;所述安全中心,用于根据所述安全事件,选择安全策略发送给所述探针设备,用来阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。
本发明提供的终端检测响应系统,在每个接入网络的终端上安装探针,通过探针第一时间发现某一个装有探针的终端上的可疑行为,大大缩短了响应时间。
进一步地,所述探针设备包括监控模块和第一通讯模块;
所述监控模块,用于根据所述安全监控任务,监控所述终端和网络的安全行为,得到安全事件;
所述第一通讯模块,用于进行所述探针设备和所述安全中心之间的通讯。
进一步地,所述第一通讯模块还用于对从所述探针设备向所述安全中心发送的安全事件做数据封装,对从所述安全中心发来的安全策略进行解析,发送给所述探针设备。
进一步地,所述探针设备还包括定时器,用于每隔预设时间执行设定的任务,对所述终端和安全中心进行监控。
进一步地,所述安全中心包括管理模块、第二通讯模块、处理模块和警告通知模块;
所述管理模块,用于管理所述探针设备、所述探针设备对应的终端和安全中心;
所述第二通讯模块,用于实现所述探针设备与所述安全中心之间的通讯;
所述处理模块,用于根据所述安全中心发送的安全策略,对所述安全策略对应的安全事件类型进行判断,如果为被处理过的安全事件类型,按照历史安全策略进行安全处理,如果为未被处理过的安全事件类型,发送至所述警告通知模块,并生成新的安全策略对所述未被处理过的安全事件进行处理;
所述警告通知模块,用于将所述未被处理过的安全事件告知安全管理员。
进一步地,所述第二通讯模块还用于处理所述探针设备的基本运维信息,包括所述探针设备上线和探针设备是否有版本需要升级。
第二方面,本发明提供一种终端检测响应方法,应用于第一方面所述的终端检测响应系统,包括:
步骤S1,通过安装在各个终端上的探针设备定时对所述终端进行安全监控任务下发,根据所述安全监控任务对所述终端和网络的安全行为进行监控,得到安全事件;
步骤S2,将所述安全事件发送给所述安全中心,所述安全中心对所述安全事件进行处理,得到安全策略,并将所述安全策略发送至对应探针设备上;
步骤S3,所述探针设备接收所述安全策略后,按照所述安全策略阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。
本发明提供的终端检测响应方法,其技术方案为:通过安装在各个终端上的探针设备定时对所述终端进行安全监控任务下发,根据所述安全监控任务对所述终端和网络的安全行为进行监控,得到安全事件;将所述安全事件发送给所述安全中心,所述安全中心对所述安全事件进行处理,得到安全策略,并将所述安全策略发送至对应探针设备上;所述探针设备接收所述安全策略后,按照所述安全策略阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。
本发明提供的终端检测响应方法,在每个接入网络的终端上安装探针,通过探针第一时间发现某一个装有探针的终端上的可疑行为,大大缩短了响应时间。
进一步地,所述步骤S1之后,还包括安全事件类型判断步骤:
对所述安全事件进行横向检索,判断所述安全事件是否为第一次出现,如果为第一次出现,判断为未知威胁,否则,判断为已知威胁。
进一步地,所述安全中心根据所述安全事件的类型,进行安全策略的分配:如果为未知威胁,将所述未知威胁保存至数据库,生成新的安全策略对所述未知威胁进行处理;
如果为已知威胁,按照历史安全策略通知所述探针设备对所述已知威胁进行处理。
进一步地,所述历史安全策略保存在安全策略数据库中,将所述新的安全策略保存至所述安全策略数据库中,对所述安全策略数据库进行更新。
本发明提供的终端检测响应系统及方法,与现有技术相比,有益效果为:
在每个接入网络的终端上安装探针,通过探针第一时间发现某一个装有探针的终端上的可疑行为,大大缩短了响应时间。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。
图1示出了本发明实施例所提供的一种终端检测响应系统的示意图;
图2示出了本发明实施例所提供的一种终端检测响应方法的流程图。
具体实施方式
下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案,因此只是作为示例,而不能以此来限制本发明的保护范围。
实施例一
第一方面,参见图1,本发明提供一种终端检测响应系统,包括:安全中心2和安装在各个终端上的探针设备,所述终端设置在网络中;
其中,终端包括个人计算机、服务器、手机、智能家电、ATM机等设备。
如图1所示,终端包括手机10至手机13,PC30至PC33,服务,20至服务器23,在所有手机,PC和服务器上都安装探针设备。
所述探针设备,用于对所在的终端和网络进行安全行为监控,并把监控得到的安全事件发送给安全中心2,所述安全事件包括用户进程,内核驱动和网络通讯;其中,安全事件包括但不限于可执行的文件,进程,注册表,配置信息。
其中,探针设备监控的安全行为:修改启动项,和可疑IP进行通讯,进行映像劫持,试图提升权限,读取敏感区文件,注册为常用软件插件,隐藏进程,下载黑客工具等。当检测到有安全事件,探针会将安全事件的相关信息发送给安全中心2,其中,安全事件的相关信息包括:该安全事件的行为发生者(可以是进程或内核驱动等),具体的安全事件,可疑进程的内存映像或者可执行文件,所涉及到的系统模块或文件,系统中当时登陆的用户等等。
所述安全中心2,用于根据所述安全事件,选择安全策略发送给所述探针设备,用来阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。
本发明提供的终端检测响应系统,在每个接入网络的终端上安装探针,通过探针第一时间发现某一个装有探针的终端上的可疑行为,大大缩短了响应时间。
其中,探针设备启动后,在后台运行,并主动和安全中心2建立TCP长连接,连接建立好后,安全中心2则认为该终端已在线,可以给该终端下发安全策略。
具体地,所述探针设备包括监控模块和第一通讯模块;
所述监控模块,用于根据所述安全监控任务,监控所述终端和网络的安全行为,得到安全事件;
所述第一通讯模块,用于进行所述探针设备和所述安全中心2之间的通讯。
其中,监控模块具体可监控:对注册表和安全相关的条目做写入操作,监控对系统重要文件的修改,监控应用程序提升权限等操作。在监控网络的安全行为时会监控比如连接可疑IP,发送有异常载荷的网络数据包,监听在安全策略配置外的其余网络端口。
优选地,所述第一通讯模块还用于对从所述探针设备向所述安全中心2发送的安全事件做数据封装,对从所述安全中心2发来的安全策略进行解析,发送给所述探针设备。
优选地,所述探针设备还包括定时器,用于每隔预设时间执行设定的任务,对所述终端和安全中心2进行监控。具体包括监控系统的CPU繁忙状态,硬盘剩余空间,并去安全中心2查询是否需要升级探针等等。
具体地,所述安全中心2包括管理模块、第二通讯模块、处理模块和警告通知模块;
所述管理模块,用于管理所述探针设备、所述探针设备对应的终端和安全中心2;
所述第二通讯模块,用于实现所述探针设备与所述安全中心2之间的通讯;
所述处理模块,用于根据所述安全中心2发送的安全策略,对所述安全策略对应的安全事件类型进行判断,如果为被处理过的安全事件类型,按照历史安全策略进行安全处理,如果为未被处理过的安全事件类型,发送至所述警告通知模块,并生成新的安全策略对所述未被处理过的安全事件进行处理;
所述警告通知模块,用于将所述未被处理过的安全事件告知安全管理员。
其中,安全事件的告知方式可以是邮件、短信等。
通过安全中心2,可接收来自探针设备的安全事件信息,也可自动或由安全管理员人工进行分析,最后把处理结果发送至所有探针上。
具体地,在安全中心2接收到探针设备监测到的可疑安全事件后,先在云端对该安全事件进行横向检索,查询该安全事件是否是在全网范围内第一次出现,如果该事件之前出现过,则安全中心2直接通知上传信息的探针设备,继续或终止该可疑事件的进程。如果该安全事件是首次出现,则判断为未知威胁,将安全事件信息加上时间戳保存进数据库,并通知管理员进行处置。安全管理员对事件进行分析,然后设定处置方式,之后全网所有探针都会按该方式处置该类安全事件。
通过这种方式,大大缩短了安全管理员发现了安全事件的时间,并只需安全管理员做一次安全分析,就可将相应的安全策略部署到全网所有设备中,避免了重复工作。
优选地,安全管理员可通过管理界面的设置,进行终端安全状态的查询,进而做出相应的操作,也可通过管理界面来设置新的安全策略下发给所有探针设备。
优选地,所述第二通讯模块还用于处理所述探针设备的基本运维信息,包括所述探针设备上线和探针设备是否有版本需要升级。
优选地,对某个未被处理过的安全事件类型,即未知威胁进行分析处理后,这一类的安全威胁都会以这种方式做处置,这样既可以有效防止这种安全威胁的变种,也可以缩短系统对类似安全威胁的响应时间。
其中,如何区分是同一类的安全威胁,可以通过安全事件本身的行为或者某一特点去定义。
第二方面,参见图2,本发明提供一种终端检测响应方法,应用于第一方面所述的终端检测响应系统,包括:
步骤S1,通过安装在各个终端上的探针设备定时对所述终端进行安全监控任务下发,根据所述安全监控任务对所述终端和网络的安全行为进行监控,得到安全事件;
步骤S2,将所述安全事件发送给所述安全中心2,所述安全中心2对所述安全事件进行处理,得到安全策略,并将所述安全策略发送至对应探针设备上;
步骤S3,所述探针设备接收所述安全策略后,按照所述安全策略阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。
本发明提供的终端检测响应方法,其技术方案为:通过安装在各个终端上的探针设备定时对所述终端进行安全监控任务下发,根据所述安全监控任务对所述终端和网络的安全行为进行监控,得到安全事件;将所述安全事件发送给所述安全中心2,所述安全中心2对所述安全事件进行处理,得到安全策略,并将所述安全策略发送至对应探针设备上;所述探针设备接收所述安全策略后,按照所述安全策略阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。
本发明提供的终端检测响应方法,在每个接入网络的终端上安装探针,通过探针第一时间发现某一个装有探针的终端上的可疑行为,大大缩短了响应时间。
优选地,所述步骤S1之后,还包括安全事件类型判断步骤:
对所述安全事件进行横向检索,判断所述安全事件是否为第一次出现,如果为第一次出现,判断为未知威胁,否则,判断为已知威胁。
优选地,所述安全中心2根据所述安全事件的类型,进行安全策略的分配:如果为未知威胁,将所述未知威胁保存至数据库,生成新的安全策略对所述未知威胁进行处理;
如果为已知威胁,按照历史安全策略通知所述探针设备对所述已知威胁进行处理。
其中,历史安全策略表示该类安全事件以前出现过,有对应处理该类安全事件的策略,直接调用即可,如果是新类型的安全事件,即监测到的是新类型的安全威胁事件,则通过安全管理员或其他方式生成新的安全策略,下发给该探针设备,按照新的安全策略去处理此类型的安全威胁,通过上述处理,可缩短响应时间。
优选地,所述历史安全策略保存在安全策略数据库中,将所述新的安全策略保存至所述安全策略数据库中,对所述安全策略数据库进行更新。
新的安全策略要直接存储在安全策略数据库中,便于下次再有类似的安全威胁出现时,直接从安全策略数据库中调取即可,进一步缩短响应时间。
本发明提供的终端检测响应系统及方法,与现有技术相比,有益效果为:
在每个接入网络的终端上安装探针,通过探针第一时间发现某一个装有探针的终端上的可疑行为,大大缩短了响应时间。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (10)

1.一种终端检测响应系统,其特征在于,包括:安全中心和安装在各个终端上的探针设备,所述终端设置在网络中;
所述探针设备,用于对所在的终端和网络进行安全行为监控,并把监控得到的安全事件发送给安全中心,所述安全事件包括用户进程,内核驱动和网络通讯;
所述安全中心,用于根据所述安全事件,选择安全策略发送给所述探针设备,用来阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。
2.根据权利要求1所述的系统,其特征在于,
所述探针设备包括监控模块和第一通讯模块;
所述监控模块,用于根据所述安全监控任务,监控所述终端和网络的安全行为,得到安全事件;
所述第一通讯模块,用于进行所述探针设备和所述安全中心之间的通讯。
3.根据权利要求2所述的系统,其特征在于,
所述第一通讯模块还用于对从所述探针设备向所述安全中心发送的安全事件做数据封装,对从所述安全中心发来的安全策略进行解析,发送给所述探针设备。
4.根据权利要求2所述的系统,其特征在于,
所述探针设备还包括定时器,用于每隔预设时间执行设定的任务,对所述终端和安全中心进行监控。
5.根据权利要求1所述的系统,其特征在于,
所述安全中心包括管理模块、第二通讯模块、处理模块和警告通知模块;
所述管理模块,用于管理所述探针设备、所述探针设备对应的终端和安全中心;
所述第二通讯模块,用于实现所述探针设备与所述安全中心之间的通讯;
所述处理模块,用于根据所述安全中心发送的安全策略,对所述安全策略对应的安全事件类型进行判断,如果为被处理过的安全事件类型,按照历史安全策略进行安全处理,如果为未被处理过的安全事件类型,发送至所述警告通知模块,并生成新的安全策略对所述未被处理过的安全事件进行处理;
所述警告通知模块,用于将所述未被处理过的安全事件告知安全管理员。
6.根据权利要求5所述的系统,其特征在于,
所述第二通讯模块还用于处理所述探针设备的基本运维信息,包括所述探针设备上线和探针设备是否有版本需要升级。
7.一种终端检测响应方法,应用于权利要求1~6所述的终端检测响应系统,其特征在于,包括:
步骤S1,通过安装在各个终端上的探针设备定时对所述终端进行安全监控任务下发,根据所述安全监控任务对所述终端和网络的安全行为进行监控,得到安全事件;
步骤S2,将所述安全事件发送给所述安全中心,所述安全中心对所述安全事件进行处理,得到安全策略,并将所述安全策略发送至对应探针设备上;
步骤S3,所述探针设备接收所述安全策略后,按照所述安全策略阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。
8.根据权利要求7所述的方法,其特征在于,
所述步骤S1之后,还包括安全事件类型判断步骤:
对所述安全事件进行横向检索,判断所述安全事件是否为第一次出现,如果为第一次出现,判断为未知威胁,否则,判断为已知威胁。
9.根据权利要求8所述的方法,其特征在于,
所述安全中心根据所述安全事件的类型,进行安全策略的分配:
如果为未知威胁,将所述未知威胁保存至数据库,生成新的安全策略对所述未知威胁进行处理;
如果为已知威胁,按照历史安全策略通知所述探针设备对所述已知威胁进行处理。
10.根据权利要求9所述的方法,其特征在于,
所述历史安全策略保存在安全策略数据库中,将所述新的安全策略保存至所述安全策略数据库中,对所述安全策略数据库进行更新。
CN201810105912.3A 2018-02-02 2018-02-02 终端检测响应系统及方法 Pending CN108173878A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810105912.3A CN108173878A (zh) 2018-02-02 2018-02-02 终端检测响应系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810105912.3A CN108173878A (zh) 2018-02-02 2018-02-02 终端检测响应系统及方法

Publications (1)

Publication Number Publication Date
CN108173878A true CN108173878A (zh) 2018-06-15

Family

ID=62513126

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810105912.3A Pending CN108173878A (zh) 2018-02-02 2018-02-02 终端检测响应系统及方法

Country Status (1)

Country Link
CN (1) CN108173878A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113194091A (zh) * 2021-04-28 2021-07-30 顶象科技有限公司 恶意流量入侵检测系统和硬件平台

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080235769A1 (en) * 2007-03-21 2008-09-25 Stacy Purcell System and method for adaptive tarpits using distributed virtual machines
CN101582883A (zh) * 2009-06-26 2009-11-18 西安电子科技大学 通用网络安全管理系统及其管理方法
US8028336B2 (en) * 2005-11-08 2011-09-27 Oracle America, Inc. Intrusion detection using dynamic tracing
CN102594783A (zh) * 2011-01-14 2012-07-18 中国科学院软件研究所 一种网络安全应急响应方法
CN103078759A (zh) * 2013-01-25 2013-05-01 北京润通丰华科技有限公司 计算节点的管理方法及装置、系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8028336B2 (en) * 2005-11-08 2011-09-27 Oracle America, Inc. Intrusion detection using dynamic tracing
US20080235769A1 (en) * 2007-03-21 2008-09-25 Stacy Purcell System and method for adaptive tarpits using distributed virtual machines
CN101582883A (zh) * 2009-06-26 2009-11-18 西安电子科技大学 通用网络安全管理系统及其管理方法
CN102594783A (zh) * 2011-01-14 2012-07-18 中国科学院软件研究所 一种网络安全应急响应方法
CN103078759A (zh) * 2013-01-25 2013-05-01 北京润通丰华科技有限公司 计算节点的管理方法及装置、系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113194091A (zh) * 2021-04-28 2021-07-30 顶象科技有限公司 恶意流量入侵检测系统和硬件平台

Similar Documents

Publication Publication Date Title
CN101147143B (zh) 向计算机系统和网络提供安全性的方法和装置
US9910981B2 (en) Malicious code infection cause-and-effect analysis
US9189621B2 (en) Malicious mobile code runtime monitoring system and methods
AU2002239889B2 (en) Computer security and management system
US7779468B1 (en) Intrusion detection and vulnerability assessment system, method and computer program product
US8832827B2 (en) System and method for detection and recovery of malfunction in mobile devices
US8291498B1 (en) Computer virus detection and response in a wide area network
US7062553B2 (en) Virus epidemic damage control system and method for network environment
US7882560B2 (en) Methods and apparatus providing computer and network security utilizing probabilistic policy reposturing
US8042180B2 (en) Intrusion detection based on amount of network traffic
US20040205419A1 (en) Multilevel virus outbreak alert based on collaborative behavior
US8266703B1 (en) System, method and computer program product for improving computer network intrusion detection by risk prioritization
US7832010B2 (en) Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus
US9219755B2 (en) Malicious mobile code runtime monitoring system and methods
US20080148381A1 (en) Methods, systems, and computer program products for automatically configuring firewalls
US20120005755A1 (en) Infection inspection system, infection inspection method, storage medium, and program
US20160232349A1 (en) Mobile malware detection and user notification
AU2002239889A1 (en) Computer security and management system
EP2788913B1 (en) Data center infrastructure management system incorporating security for managed infrastructure devices
GB2381722A (en) intrusion detection (id) system which uses signature and squelch values to prevent bandwidth (flood) attacks on a server
CN108173878A (zh) 终端检测响应系统及方法
KR101580624B1 (ko) 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법
KR101872605B1 (ko) 지능형 지속위협 환경의 네트워크 복구 시스템
JP2006330926A (ja) ウィルス感染検知装置
Kono et al. An unknown malware detection using execution registry access

Legal Events

Date Code Title Description
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20180615