CN108347422B - 一种终端侧与流量侧联动的安全防护方法及系统 - Google Patents
一种终端侧与流量侧联动的安全防护方法及系统 Download PDFInfo
- Publication number
- CN108347422B CN108347422B CN201710248319.XA CN201710248319A CN108347422B CN 108347422 B CN108347422 B CN 108347422B CN 201710248319 A CN201710248319 A CN 201710248319A CN 108347422 B CN108347422 B CN 108347422B
- Authority
- CN
- China
- Prior art keywords
- file
- flow
- module
- terminal side
- linkage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提出一种终端侧与流量侧联动的安全防护方法及系统,在对网内进行安全防护过程中,将终端侧与流量侧数据进行联合,实现终端侧黑名单库和网络侧黑名单库的动态互补更新,利用互补更新的黑名单库对网内文件进行联动检测,并对恶意文件进行报警和定点清除。本发明针对进入网内的文件,无论其落在终端侧还是流量侧,通过联动检测,但凡其特征存在在任何一侧的黑名单库中,都能被精确检出,有效提高检出率、维护网络环境安全。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种终端侧与流量侧联动的安全防护方法及系统。
背景技术
当今网络威胁已经上升到国家战略层面上,网络攻击也从针对大众的无明确目的的恶意攻击转变为目标明确的以发动信息战为目的的高级威胁攻击。传统反恶意程序软件多采用黑名单机制对未知威胁进行检测,依靠单纯的特征码扫描技术作为核心技术,这种检测机制在当今网络威胁态势下已无法达到针对未知威胁进行实时防御的目的。同时,现有的黑名单机制多是根据不同设备端设置不同黑名单库,在进行威胁检测时分别针对不同设备端进行特征匹配,而没有将黑名单库之间进行联动,这使得在一些应用场景下无法充分满足威胁的检出率。
发明内容
针对上述现有技术存在的缺陷,本发明提出一种终端侧与流量侧联动的安全防护方法及系统,在对网内进行安全防护过程中,将终端侧与流量侧数据进行联合,实现终端侧黑名单库和网络侧黑名单库的动态互补更新,利用互补更新的黑名单库对网内文件进行联动检测,并对恶意文件进行报警和定点清除。
具体发明内容包括:
一种终端侧与流量侧联动的安全防护方法,包括:
当有文件进入终端侧设备时,将文件上传至服务器进行云查杀,判断其是否存在恶意,若是则将文件特征发送给流量侧设备,否则放行文件;
流量侧设备接收服务器发送的文件特征,并将其与流量侧的黑名单库中的数据进行匹配,若匹配失败则将该文件特征加入流量侧的黑名单库;
同时,
流量侧设备捕获网内流量,将流量还原成文件,提取文件特征,并将其与流量侧的黑名单库中的数据进行匹配,判断相应文件是否存在恶意,若是则将相应文件特征发送给服务器,否则放行相应文件;
服务器接收流量侧设备发送的文件特征,将其与终端侧的黑名单库中的数据进行匹配,若匹配失败则将相应文件特征加入终端侧的黑名单库。
进一步地,还包括,根据所述终端侧的黑名单库、流量侧的黑名单库,对进入网内的文件进行联动检测,当检测出网内存在恶意文件时,进行报警,并定位恶意文件的位置,对恶意文件进行定点清除。
一种终端侧与流量侧联动的安全防护系统,包括:
部署在服务器的文件接收模块、云查杀模块、流量侧联动模块,
部署在流量侧设备的流量获取还原模块、特征匹配模块、终端侧联动模块;
其中,
文件接收模块,用于接收由终端侧设备上传给服务器的待检测文件;
云查杀模块,用于对待检测文件进行云查杀,判断其是否存在恶意,若是则将文件特征传递给流量侧联动模块,否则放行文件;
流量侧联动模块,用于将从云查杀模块得到的文件特征发送给终端侧联动模块,以及接收由终端侧联动模块发送的文件特征,并将接收的文件特征与保存在服务器端的终端侧黑名单库进行匹配,若匹配失败则将接收的文件特征加入终端侧黑名单库;
流量获取还原模块,用于流量侧设备捕获网内流量,将流量还原成文件,并提取文件特征;
特征匹配模块,用于将提取的文件特征与流量侧黑名单库中的数据进行匹配,判断相应文件是否存在恶意,若是则将相应文件特征传递给终端侧联动模块,否则放行相应文件;
终端侧联动模块,用于将从特征匹配模块得到的文件特征发送给流量侧联动模块,以及接收由流量侧联动模块发送的文件特征,并将接收的文件特征与流量侧黑名单库中的数据进行匹配,若匹配失败则将接收的文件特征加入流量侧黑名单库。
进一步地,还包括部署在服务器和流量侧设备的威胁预警模块,具体用于:当服务器和流量侧设备根据所述终端侧黑名单库、流量侧黑名单库,对进入网内的文件进行联动检测过程中,当检测出网内存在恶意文件时,进行报警,并定位恶意文件的位置,对恶意文件进行定点清除。
本发明的有益效果是:
本发明通过终端侧和流量侧的双向联动防护方法实现对网络安全的防护;
本发明通过互补更新终端侧和流量侧黑名单库的方式快速、动态的填补双侧特征库的短板,为网内安全检测提供更佳准确、全面的特征数据;
本发明针对进入网内的文件,无论其落在终端侧还是流量侧,通过联动检测,但凡其特征存在在任何一侧的黑名单库中,都能被精确检出,有效提高检出率、维护网络环境安全。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1、图2为本发明一种终端侧与流量侧联动的安全防护方法流程图;
图3为本发明一种终端侧与流量侧联动的安全防护系统结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了一种终端侧与流量侧联动的安全防护方法实施例,如图1、图2所示,包括:
S101:当有文件进入终端侧设备时,将文件上传至服务器进行云查杀;
S102:判断进入终端侧设备的文件是否存在恶意,若是则将文件特征发送给流量侧设备,否则放行文件;
S103:流量侧设备接收服务器发送的文件特征,并将其与流量侧的黑名单库中的数据进行匹配,若匹配失败则将该文件特征加入流量侧的黑名单库;
同时,
S201:流量侧设备捕获网内流量,将流量还原成文件,提取文件特征,并将其与流量侧的黑名单库中的数据进行匹配;
S202:判断相应文件是否存在恶意,若是则将相应文件特征发送给服务器,否则放行相应文件;
S203:服务器接收流量侧设备发送的文件特征,将其与终端侧的黑名单库中的数据进行匹配,若匹配失败则将相应文件特征加入终端侧的黑名单库。
优选地,还包括,根据所述终端侧的黑名单库、流量侧的黑名单库,对进入网内的文件进行联动检测,当检测出网内存在恶意文件时,进行报警,并定位恶意文件的位置,对恶意文件进行定点清除。
本发明还给出了一种终端侧与流量侧联动的安全防护系统实施例,如图3所示,包括:
部署在服务器的文件接收模块301、云查杀模块302、流量侧联动模块303,
部署在流量侧设备的流量获取还原模块304、特征匹配模块305、终端侧联动模块306;
其中,
文件接收模块301,用于接收由终端侧设备上传给服务器的待检测文件;
云查杀模块302,用于对待检测文件进行云查杀,判断其是否存在恶意,若是则将文件特征传递给流量侧联动模块303,否则放行文件;
流量侧联动模块303,用于将从云查杀模块302得到的文件特征发送给终端侧联动模块306,以及接收由终端侧联动模块306发送的文件特征,并将接收的文件特征与保存在服务器端的终端侧黑名单库进行匹配,若匹配失败则将接收的文件特征加入终端侧黑名单库;
流量获取还原模块304,用于流量侧设备捕获网内流量,将流量还原成文件,并提取文件特征;
特征匹配模块305,用于将提取的文件特征与流量侧黑名单库中的数据进行匹配,判断相应文件是否存在恶意,若是则将相应文件特征传递给终端侧联动模块306,否则放行相应文件;
终端侧联动模块306,用于将从特征匹配模块305得到的文件特征发送给流量侧联动模块303,以及接收由流量侧联动模块303发送的文件特征,并将接收的文件特征与流量侧黑名单库中的数据进行匹配,若匹配失败则将接收的文件特征加入流量侧黑名单库。
优选地,还包括部署在服务器和流量侧设备的威胁预警模块,具体用于:当服务器和流量侧设备根据所述终端侧黑名单库、流量侧黑名单库,对进入网内的文件进行联动检测过程中,当检测出网内存在恶意文件时,进行报警,并定位恶意文件的位置,对恶意文件进行定点清除。
本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。针对现有网络安全检测机制在当今网络威胁态势下已无法满足检测目的的问题,本发明提出一种终端侧与流量侧联动的安全防护方法及系统,在对网内进行安全防护过程中,将终端侧与流量侧数据进行联合,实现终端侧黑名单库和网络侧黑名单库的动态互补更新,利用互补更新的黑名单库对网内文件进行联动检测,并对恶意文件进行报警和定点清除。本发明通过终端侧和流量侧的双向联动防护方法实现对网络安全的防护;本发明通过互补更新终端侧和流量侧黑名单库的方式快速、动态的填补双侧特征库的短板,为网内安全检测提供更佳准确、全面的特征数据;本发明针对进入网内的文件,无论其落在终端侧还是流量侧,通过联动检测,但凡其特征存在在任何一侧的黑名单库中,都能被精确检出,有效提高检出率、维护网络环境安全。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (4)
1.一种终端侧与流量侧联动的安全防护方法,其特征在于,包括:
当有文件进入终端侧设备时,将文件上传至服务器进行云查杀,判断其是否存在恶意,若是则将文件特征发送给流量侧设备,否则放行文件;
流量侧设备接收服务器发送的文件特征,并将其与流量侧的黑名单库中的数据进行匹配,若匹配失败则将该文件特征加入流量侧的黑名单库;
同时,
流量侧设备捕获网内流量,将流量还原成文件,提取文件特征,并将其与流量侧的黑名单库中的数据进行匹配,判断相应文件是否存在恶意,若是则将相应文件特征发送给服务器,否则放行相应文件;
服务器接收流量侧设备发送的文件特征,将其与终端侧的黑名单库中的数据进行匹配,若匹配失败则将相应文件特征加入终端侧的黑名单库。
2.如权利要求1所述的方法,其特征在于,还包括,根据所述终端侧的黑名单库、流量侧的黑名单库,对进入网内的文件进行联动检测,当检测出网内存在恶意文件时,进行报警,并定位恶意文件的位置,对恶意文件进行定点清除。
3.一种终端侧与流量侧联动的安全防护系统,其特征在于,包括:
部署在服务器的文件接收模块、云查杀模块、流量侧联动模块,
部署在流量侧设备的流量获取还原模块、特征匹配模块、终端侧联动模块;
其中,
文件接收模块,用于接收由终端侧设备上传给服务器的待检测文件;
云查杀模块,用于对待检测文件进行云查杀,判断其是否存在恶意,若是则将文件特征传递给流量侧联动模块,否则放行文件;
流量侧联动模块,用于将从云查杀模块得到的文件特征发送给终端侧联动模块,以及接收由终端侧联动模块发送的文件特征,并将接收的文件特征与保存在服务器端的终端侧黑名单库进行匹配,若匹配失败则将接收的文件特征加入终端侧黑名单库;
流量获取还原模块,用于流量侧设备捕获网内流量,将流量还原成文件,并提取文件特征;
特征匹配模块,用于将提取的文件特征与流量侧黑名单库中的数据进行匹配,判断相应文件是否存在恶意,若是则将相应文件特征传递给终端侧联动模块,否则放行相应文件;
终端侧联动模块,用于将从特征匹配模块得到的文件特征发送给流量侧联动模块,以及接收由流量侧联动模块发送的文件特征,并将接收的文件特征与流量侧黑名单库中的数据进行匹配,若匹配失败则将接收的文件特征加入流量侧黑名单库。
4.如权利要求3所述的系统,其特征在于,还包括部署在服务器和流量侧设备的威胁预警模块,具体用于:当服务器和流量侧设备根据所述终端侧黑名单库、流量侧黑名单库,对进入网内的文件进行联动检测过程中,当检测出网内存在恶意文件时,进行报警,并定位恶意文件的位置,对恶意文件进行定点清除。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710248319.XA CN108347422B (zh) | 2017-04-17 | 2017-04-17 | 一种终端侧与流量侧联动的安全防护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710248319.XA CN108347422B (zh) | 2017-04-17 | 2017-04-17 | 一种终端侧与流量侧联动的安全防护方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108347422A CN108347422A (zh) | 2018-07-31 |
| CN108347422B true CN108347422B (zh) | 2020-04-24 |
Family
ID=62962752
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710248319.XA Active CN108347422B (zh) | 2017-04-17 | 2017-04-17 | 一种终端侧与流量侧联动的安全防护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108347422B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111245781A (zh) * | 2019-12-27 | 2020-06-05 | 广东睿江云计算股份有限公司 | 一种linux服务器动态封阻IP的方法及其系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101795295A (zh) * | 2010-03-11 | 2010-08-04 | 北京安天电子设备有限公司 | 一种基于点对点技术的局域网病毒库升级系统和方法 |
| CN105939328A (zh) * | 2016-01-27 | 2016-09-14 | 杭州迪普科技有限公司 | 网络攻击特征库的更新方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8595836B2 (en) * | 2008-12-25 | 2013-11-26 | Trusteer Ltd. | Functional patching/hooking detection and prevention |
-
2017
- 2017-04-17 CN CN201710248319.XA patent/CN108347422B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101795295A (zh) * | 2010-03-11 | 2010-08-04 | 北京安天电子设备有限公司 | 一种基于点对点技术的局域网病毒库升级系统和方法 |
| CN105939328A (zh) * | 2016-01-27 | 2016-09-14 | 杭州迪普科技有限公司 | 网络攻击特征库的更新方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108347422A (zh) | 2018-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104598824B (zh) | 一种恶意程序检测方法及其装置 | |
| US8683585B1 (en) | Using file reputations to identify malicious file sources in real time | |
| CN102523223B (zh) | 一种木马检测的方法及装置 | |
| CN108183888B (zh) | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 | |
| CN108390864B (zh) | 一种基于攻击链行为分析的木马检测方法及系统 | |
| CN104715196A (zh) | 智能手机应用程序的静态分析方法及系统 | |
| CN105262722A (zh) | 终端恶意流量规则更新方法、云端服务器和安全网关 | |
| CN107241304B (zh) | 一种DDoS攻击的检测方法及装置 | |
| CN102833636A (zh) | 基于智能电视的安防监控系统及其安防监控方法 | |
| CN104253785B (zh) | 危险网址识别方法、装置及系统 | |
| CN104850780A (zh) | 一种高级持续性威胁攻击的判别方法 | |
| CN108134816B (zh) | 对远程设备上的数据的访问 | |
| CN107463844B (zh) | Web木马检测方法及系统 | |
| CN103905373A (zh) | 一种基于云端的拦截网络攻击的方法及其装置 | |
| CN103428183A (zh) | 恶意网址的识别方法和装置 | |
| CN109815702B (zh) | 软件行为的安全检测方法、装置及设备 | |
| CN104794051A (zh) | 一种Android平台恶意软件自动化检测方法 | |
| CN103391520A (zh) | 一种拦截恶意短信的方法、终端、服务器及系统 | |
| CN104598820A (zh) | 一种基于特征行为分析的木马病检测方法 | |
| CN111049784A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN103632094A (zh) | 一种云计算大数据上传病毒防御系统 | |
| CN108347422B (zh) | 一种终端侧与流量侧联动的安全防护方法及系统 | |
| CN111400707A (zh) | 一种文件宏病毒检测方法、装置、设备及存储介质 | |
| CN104978523A (zh) | 一种基于网络热词识别的恶意样本捕获方法及系统 | |
| CN111049780A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Terminal side and traffic side linked security protection method and system Effective date of registration: 20200628 Granted publication date: 20200424 Pledgee: Zhongguancun Beijing technology financing Company limited by guarantee Pledgor: BEIJING ANTIY NETWORK TECHNOLOGY Co.,Ltd. Registration number: Y2020990000677 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20230210 Granted publication date: 20200424 Pledgee: Zhongguancun Beijing technology financing Company limited by guarantee Pledgor: BEIJING ANTIY NETWORK TECHNOLOGY Co.,Ltd. Registration number: Y2020990000677 |