CN111092886A - 一种终端防御方法、系统、设备及计算机可读存储介质 - Google Patents
一种终端防御方法、系统、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111092886A CN111092886A CN201911303160.2A CN201911303160A CN111092886A CN 111092886 A CN111092886 A CN 111092886A CN 201911303160 A CN201911303160 A CN 201911303160A CN 111092886 A CN111092886 A CN 111092886A
- Authority
- CN
- China
- Prior art keywords
- file
- threat
- information
- terminal
- agent terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种终端防御方法、系统、设备及计算机可读存储介质,应用于管理平台,获取威胁文件的文件指纹信息;基于威胁文件的文件指纹信息分别判断连接的各代理终端中是否包含该威胁文件;若是,发送第一处置任务至包含威胁文件的代理终端,以使包含威胁文件的代理终端根据第一处置任务对该威胁文件进行处置;若否,发送第二处置任务至未包含威胁文件的代理终端,以使未包含威胁文件的代理终端根据第二处置任务执行防御操作。管理平台向代理终端发送相应的处置任务,使得代理终端基于处置任务防御威胁文件,为终端提供了新的防御方式,提高了终端对威胁的防御能力。本申请提供的终端防御系统、设备及计算机可读存储介质也解决了相应技术问题。
Description
技术领域
本申请涉及计算机安全技术领域,更具体地说,涉及一种终端防御方法、系统、设备及计算机可读存储介质。
背景技术
当前,在针对企业内网的终端安全防护系统,在应对新威胁以及传播到内网的蠕虫、勒索等广泛传播式病毒,均依靠本地引擎+云查情报的形式进行防御,防御的重心为单点/单机自我防护。这样,当新威胁进入终端,且当前主机未及时更新病毒库,尤其是在内网离线环境时,新威胁基本会被绕过而无法防御,进而传播到整个内网。
综上所述,如何提高终端对威胁的防御能力是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种终端防御方法,其能在一定程度上解决如何提高终端对威胁的防御能力的技术问题。本申请还提供了一种终端防御系统、设备及计算机可读存储介质。
为了实现上述目的,本申请提供如下技术方案:
一种终端防御方法,应用于管理平台,包括:
获取威胁文件的文件指纹信息;
基于所述威胁文件的文件指纹信息分别判断连接的各代理终端中是否包含该威胁文件;
若是,发送第一处置任务至包含所述威胁文件的代理终端,以使包含所述威胁文件的代理终端根据所述第一处置任务对该威胁文件进行处置;
若否,发送第二处置任务至未包含所述威胁文件的代理终端,以使未包含所述威胁文件的代理终端根据所述第二处置任务执行防御操作。
优选的,所述管理平台存储有各代理终端的文件指纹信息;
所述基于所述威胁文件的文件指纹信息分别判断连接的各代理终端中是否包含该威胁文件包括:
将所述威胁文件的文件指纹信息分别与各代理终端中每一代理终端的文件指纹信息进行对比,并根据对比结果判断各代理终端中是否包含该威胁文件。
优选的,所述威胁文件的文件指纹信息包括所述威胁文件的MD5信息,所述代理终端的文件指纹信息包括代理终端中各文件的MD5信息;
所述将所述威胁文件的文件指纹信息分别与各代理终端中每一代理终端的文件指纹信息进行对比,并根据对比结果判断各代理终端中是否包含该威胁文件包括:
将所述威胁文件的MD5信息分别与各文件的MD5信息进行对比;
若所述威胁文件的MD5信息与各文件中任一文件的MD5信息一致,则判定所述代理终端中包含该威胁文件;
若所述威胁文件的MD5信息与各文件的MD5信息均不一致,则判定所述代理终端中未包含该威胁文件。
优选的,所述获取威胁文件的文件指纹信息包括:
接收代理终端发送的该威胁文件的文件指纹信息。
优选的,所述获取威胁文件的文件指纹信息包括:
接收云端服务器发送的所述威胁文件的文件指纹信息。
一种终端防御方法,应用于代理终端,包括:
接收处置任务;所述处置任务为所述代理终端连接的管理平台发送的任务;
解析所述处置任务并确定所述处置任务的类型;
若所述处置任务为第一处置任务,根据所述第一处置任务对该威胁文件进行处置;
若所述处置任务为第二处置任务,根据所述第二处置任务对该威胁文件执行防御操作。
优选的,所述第一处置任务包括威胁文件的MD5信息及该威胁文件的处置方式;
所述根据所述第一处置任务对该威胁文件进行处置包括:
根据所述威胁文件的MD5信息确定出所述威胁文件,并按照所述威胁文件的处置方式对所述威胁文件进行处置,并将所述威胁文件的MD5信息添加至本地黑名单。
优选的,所述第一处置任务包括威胁文件的MD5信息、路径信息及该威胁文件的处置方式;
所述根据所述第一处置任务对该威胁文件进行处置包括:
根据所述路径信息确定与所述MD5信息对应的文件,并按照所述威胁文件的处置方式对所述威胁文件进行处置,并将所述威胁文件的MD5信息添加至本地黑名单。
优选的,所述第二处置任务包括所述威胁文件的MD5信息;
所述根据所述第二处置任务对该威胁文件执行防御操作包括:
根据所述威胁文件的MD5信息更新本地黑名单以根据所述本地黑名单对所述威胁文件进行防御。
优选的,所述第二处置任务包括所述威胁文件的行为信息;
所述根据所述第二处置任务对该威胁文件执行防御操作包括:
根据所述行为信息更新本地行为信息库,以根据所述行为信息库对威胁文件进行防御。
优选的,所述行为信息包括创建进程/线程行为和/或读取目录行为和/或加密行为。
优选的,所述第二处置任务包括所述威胁文件的MD5信息及所述威胁文件的处置方式;
所述根据所述第二处置任务对该威胁文件执行防御操作包括:
根据所述威胁文件的MD5信息更新本地黑名单,并根据所述威胁文件的处置方式更新本地处置策略,以根据所述本地黑名单及所述本地处置策略对所述威胁文件进行防御。
优选的,所述接收处置任务之前,还包括:
获取自身的文件指纹信息集,发送所述文件指纹信息集至所述管理平台。
优选的,所述获取自身的文件指纹信息集,包括:
在病毒查杀过程中,获取自身的所述文件指纹信息集;
或,
在对自身文件的实时监控过程中,获取自身的所述文件指纹信息集。
优选的,所述接收处置任务之前,还包括:
通过本地文件白名单过滤所述代理终端中所有文件,将未在所述文件白名单中的文件的文件指纹信息发送到所述管理平台。
优选的,所述接收处置任务之前,还包括:
对自身文件进行实时监控,并判断是否存在威胁文件;
若存在所述威胁文件,则对所述威胁文件进行查杀,并采集所述威胁文件的文件指纹信息,发送所述威胁文件的文件指纹信息至所述管理平台。
一种终端防御系统,应用于管理平台,包括:
第一获取模块,用于获取威胁文件的文件指纹信息;
第一处理模块,用于基于所述威胁文件的文件指纹信息分别判断连接的各代理终端中是否包含该威胁文件;若是,发送第一处置任务至包含所述威胁文件的代理终端,以使包含所述威胁文件的代理终端根据所述第一处置任务对该威胁文件进行处置;若否,发送第二处置任务至未包含所述威胁文件的代理终端,以使未包含所述威胁文件的代理终端根据所述第二处置任务执行防御操作。
一种终端防御设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一所述终端防御方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述终端防御方法的步骤。
本申请提供的一种终端防御方法,应用于管理平台,获取威胁文件的文件指纹信息;基于威胁文件的文件指纹信息分别判断连接的各代理终端中是否包含该威胁文件;若是,发送第一处置任务至包含威胁文件的代理终端,以使包含威胁文件的代理终端根据第一处置任务对该威胁文件进行处置;若否,发送第二处置任务至未包含威胁文件的代理终端,以使未包含威胁文件的代理终端根据第二处置任务执行防御操作。本申请提供的终端防御方法,管理平台在获取到威胁文件的文件指纹信息后,会根据代理终端中包含威胁文件的情况生成相应的处置任务,并向各个代理终端发送相应的处置任务,使得代理终端可以基于处置任务防御威胁文件,与现有技术相比,为终端提供了新的防御方式,提高了终端对威胁的防御能力。本申请提供的一种终端防御系统、设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种终端防御方法的第一流程图;
图2为本申请实施例提供的一种终端防御方法的第二流程图;
图3为本申请实施例提供的一种终端防御方法的第三流程图;
图4为本申请实施例提供的一种终端防御方法的第四流程图;
图5为一种应用场景下的系统结构示意图;
图6为本申请实施例提供的一种终端防御系统的第一结构示意图;
图7为本申请实施例提供的一种终端防御系统的第二结构示意图;
图8为本申请实施例提供的一种终端防御设备的结构示意图;
图9为本申请实施例提供的一种终端防御设备的另一结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
当前,在针对企业内网的终端安全防护系统,在应对新威胁以及传播到内网的蠕虫、勒索等广泛传播式病毒,均依靠本地引擎+云查情报的形式进行防御,防御的重心为单点/单机自我防护。这样,当新威胁进入终端,且当前主机未及时更新病毒库,尤其是在内网离线环境时,新威胁基本会被绕过而无法防御,进而传播到整个内网。也即现有的终端防御方法属于单点防御,缺乏整体联动,内网的一个终端被攻破后所有终端将存在威胁;且威胁检测能力完全依靠于升级病毒库或在线云查的新情报支持,无法应对新威胁,若全网所有客户端并非全部升级到最新病毒库,则总有被突破的新威胁传播到整个内网;且已经进入内网并隐藏的病毒威胁需要依靠全网扫描才能发现,威胁滞后。基于此,为了提高终端对威胁的防御能力,本申请提供一种终端防御方法。
请参阅图1,图1为本申请实施例提供的一种终端防御方法的第一流程图。
本申请实施例提供的一种终端防御方法,应用于管理平台,可以包括以下步骤:
步骤S101:获取威胁文件的文件指纹信息。
实际应用中,管理平台可以先获取威胁文件的文件指纹信息,以通过威胁文件的文件指纹信息来了解威胁文件,其中,文件指纹信息反映了文件的属性。
应当指出,本申请中的管理平台的类型可以根据实际需要确定,比如管理平台可以为病毒查杀服务器、企业终端安全系统的管理平台,其可以具备数据库系统和较大的磁盘空间,可以存储和分析数据等。
步骤S102:基于威胁文件的文件指纹信息分别判断连接的各代理终端中是否包含该威胁文件;若是,则执行步骤S103;若否,则执行步骤S104。
步骤S103:发送第一处置任务至包含威胁文件的代理终端,以使包含威胁文件的代理终端根据第一处置任务对该威胁文件进行处置。
步骤S104:发送第二处置任务至未包含威胁文件的代理终端,以使未包含威胁文件的代理终端根据第二处置任务执行防御操作。
实际应用中,管理平台在获取威胁文件的文件指纹信息后,便可以基于威胁文件的文件指纹信息分别判断连接的各代理终端中是否包含该威胁文件;针对每一代理终端而言,若管理平台判断的结果为该代理终端中的文件指纹信息中包含该威胁文件,则发送第一处置任务至包含威胁文件的代理终端,以使包含威胁文件的代理终端根据第一处置任务对该威胁文件进行处置;若管理平台判断的结果为该代理终端中的文件指纹信息中不包含该威胁文件,则发送第二处置任务至未包含威胁文件的代理终端,以使未包含威胁文件的代理终端根据第二处置任务执行防御操作。应当指出,第一处置任务与第二处置任务的信息类型可以根据实际需要确定。
应当指出,代理终端为具有管理平台的部分功能的终端;代理终端具有的代理功能可以根据管理平台的功能类型及实际需要确定,比如管理平台具有病毒查杀、防御、威胁采集、处置威胁文件等功能,代理终端具有的代理功能可以为威胁采集、病毒查杀、处置威胁文件等;且代理终端的类型可以根据实际需要确定,比如代理终端可以为客户端PC、服务器等。另外,代理终端还可以为一些安装有代理软件的终端,比如在企业中正常工作的终端中安装代理软件,则该安装代理软件的终端同样可称为代理终端,在此不做限定。
本申请提供的一种终端防御方法,应用于管理平台,获取威胁文件的文件指纹信息;基于威胁文件的文件指纹信息分别判断连接的各代理终端中是否包含该威胁文件;若是,发送第一处置任务至包含威胁文件的代理终端,以使包含威胁文件的代理终端根据第一处置任务对该威胁文件进行处置;若否,发送第二处置任务至未包含威胁文件的代理终端,以使未包含威胁文件的代理终端根据第二处置任务执行防御操作。本申请提供的终端防御方法,管理平台在获取到威胁文件的文件指纹信息后,会根据代理终端中包含威胁文件的情况生成相应的处置任务,并向各个代理终端发送相应的处置任务,使得代理终端可以基于处置任务防御威胁文件,与现有技术相比,为终端提供了新的防御方式,提高了终端对威胁的防御能力。
本申请实施例提供的一种终端防御方法,实际应用中,在一个内网中,各个代理终端的使用情况可能不同,由此使得各个代理终端的文件指纹信息集不同,而文件指纹信息集的不同可能导致管理平台对终端发送的威胁文件处置任务不同,比如对于存在威胁文件的代理终端,威胁文件处置任务中可能包含删除、防御操作,而对于不存在威胁文件的代理终端,威胁文件处置任务中可能只包含防御操作等,因此管理平台可以先获取各个代理终端的文件指纹信息集,后续基于各个代理终端的文件指纹信息集为各个代理终端生成适用的威胁文件处置任务。
也即为了便于管理平台了解各个代理终端的文件信息,可以在管理平台存储各代理终端的文件指纹信息;那么,管理平台基于威胁文件的文件指纹信息分别判断连接的各代理终端中是否包含该威胁文件的过程,具体可以为将威胁文件的文件指纹信息分别与各代理终端中每一代理终端的文件指纹信息进行对比,并根据对比结果判断各代理终端中是否包含该威胁文件。
具体应用场景中,威胁文件的文件指纹信息可以包括威胁文件的MD5信息,代理终端的文件指纹信息可以包括代理终端中各文件的MD5信息;相应,管理平台将威胁文件的文件指纹信息分别与各代理终端中每一代理终端的文件指纹信息进行对比,并根据对比结果判断各代理终端中是否包含该威胁文件可以包括:将威胁文件的MD5信息分别与各文件的MD5信息进行对比;若威胁文件的MD5信息与各文件中任一文件的MD5信息一致,则判定代理终端中包含该威胁文件;若威胁文件的MD5信息与各文件的MD5信息均不一致,则判定代理终端中未包含该威胁文件。
请参阅图2,图2为本申请实施例提供的一种终端防御方法的第二流程图。
本申请实施例提供的一种终端防御方法,应用于管理平台,可以包括以下步骤:
步骤S201:获取各个代理终端的文件指纹信息集,文件指纹信息集包括代理终端上所有文件的文件指纹信息,文件指纹信息的信息类型包括文件MD5信息、文件路径信息。
实际应用中,为了便于管理平台对代理终端进行威胁防护,可以将文件的文件路径信息设置在文件指纹信息中,这样,管理平台便可以根据文件的文件路径信息获知各个文件在代理终端上的路径。
步骤S202:获取威胁文件的文件指纹信息,并将威胁文件的MD5信息确定为威胁文件的标识信息。
实际应用中,为了便于标识威胁文件,可以将威胁文件的MD5信息确定为威胁文件的标识信息。
步骤S203:对于每个代理终端,均判断代理终端的文件指纹信息集中是否包含威胁文件的文件指纹信息;若是,则基于威胁文件处置方法、威胁文件在代理终端中的文件路径信息、威胁文件的MD5信息生成第一处置任务并发送至该代理终端;若否,则基于威胁文件的MD5信息生成第二处置任务并发送至该代理终端。
实际应用中,对于文件指纹信息集中包含威胁文件的文件指纹信息的代理终端,管理平台可以先生成相应的威胁文件处置方法,比如删除、转移等,再基于威胁文件处置方法、威胁文件在代理终端中的文件路径信息、威胁文件的MD5信息生成第一处置任务,相应的,代理终端可以先根据威胁文件在代理终端中的文件路径信息确定出存在威胁文件的文件路径,再根据威胁文件的MD5信息,在该文件路径中确定出威胁文件,按照威胁文件处置方法处置威胁文件,最后将威胁文件的MD5信息添加至本地黑名单中,以对文件进行已知威胁检测等,在此过程中,代理终端可以获取自身文件的MD5信息,判断自身文件的MD5信息是否包含在本地黑名单中,若自身文件的MD5信息包含在本地黑名单中,则将包含在本地黑名单中的自身文件确定为威胁文件,从而识别出威胁文件,若自身文件的MD5信息未包含在本地黑名单中,则可以将未包含在本地黑名单中的自身文件确定为安全文件;而对于文件指纹信息集中不包含威胁文件的文件指纹信息的代理终端,管理平台可以直接基于威胁文件的MD5信息生成第二处置任务,相应的,代理终端可以直接将威胁文件的MD5信息添加至本地黑名单中,以对文件进行已知威胁检测。实际应用中,第一处置任务及第二处置任务中均可以只包含威胁文件的MD5信息;还可以是第一处置任务及第二处置任务中均包含威胁文件处置方式、威胁文件的MD5信息等。
本申请实施例提供的一种终端防御方法,应用于管理平台,为了准确识别文件及了解文件在代理终端中的情况,文件指纹信息的信息类型可以包括文件数字签名信息、文件威胁鉴定结果、文件处置结果;相应的,威胁文件处置任务的信息类型可以包括文件威胁鉴定结果。
实际应用中,文件威胁鉴定结果可以包括无威胁、有威胁等类型;文件处置结果可以包括是否删除等类型。
本申请实施例提供的一种终端防御方法,应用于管理平台,为了实现对威胁文件的整体联动防御,管理平台在获取威胁文件的文件指纹信息时,可以接收代理终端发送的威胁文件的文件指纹信息。也即可以是代理终端发现威胁文件后,代理文件采集威胁文件的文件指纹信息,并发送威胁文件的文件指纹信息至管理平台,管理平台基于接收的威胁文件的文件指纹信息实现对其他代理终端的威胁防御。
实际应用中,由于终端所处网络环境的不同,使得各个终端接触到威胁文件的顺序不同,假设有两个内网,分别为内网A和内网B,内网A先于内网B接触到威胁文件,当内网A接触到威胁文件后,内网A可以按照本申请提供的方法实现对威胁文件的防御,而内网B无法实现对威胁文件的防御,为了在内网B未接触到威胁文件的情况下,对内网B中的终端进行威胁防御,也即为了进一步提高终端对威胁的防御效果,管理平台在获取威胁文件的文件指纹信息时,可以接收云端服务器发送的威胁文件的文件指纹信息。
请参阅图3,图3为本申请实施例提供的一种终端防御方法的第三流程图。
本申请实施例提供的一种终端防御方法,应用于代理终端,可以包括以下步骤:
步骤S301:接收处置任务;处置任务为代理终端连接的管理平台发送的任务。
步骤S302:解析处置任务并确定处置任务的类型。
步骤S303:若处置任务为第一处置任务,根据第一处置任务对该威胁文件进行处置。
步骤S304:若处置任务为第二处置任务,根据第二处置任务对该威胁文件执行防御操作。
本申请实施例提供的一种终端防御方法,应用于代理终端时的相应描述请参阅上述实施例,在此不再赘述。
本申请提供的一种终端防御方法,应用于代理终端,接收管理平台发送的处置任务;处置任务为管理平台基于获取的威胁文件的文件指纹信息生成的相应处置任务;解析处置任务的类型;若处置任务为第一处置任务,根据第一处置任务对该威胁文件进行处置;若处置任务为第二处置任务,根据第二处置任务对该威胁文件执行防御操作;代理终端为管理平台连接的、具有与管理平台对应的代理功能的终端。由于代理终端具有与管理平台对应的代理功能,所以代理终端可以基于管理平台发送的处置任务对相应的威胁文件进行防御,与现有的基于病毒库及在线云查的防御方式相比,为终端提供了新的防御方式,提高了终端的防御能力。
请参阅图4,图4为本申请实施例提供的一种终端防御方法的第四流程图。
本申请实施例提供的一种终端防御方法,应用于代理终端,可以包括以下步骤:
步骤S401:接收管理平台发送的处置任务。
步骤S402:解析处置任务的类型。
步骤S403:若处置任务为包含威胁文件处置方法、威胁文件在代理终端中的文件路径信息、威胁文件的MD5信息的第一处置任务;则按照威胁文件在代理终端中的文件路径信息,确定出威胁文件,按照威胁文件处置方法对威胁文件进行处置,并将威胁文件的MD5信息添加至本地黑名单。
步骤S404:若处置任务为包含威胁文件的MD5信息的第二处置任务;则直接将威胁文件的MD5信息添加至本地黑名单。
实际应用中,代理终端在执行完相应的处置任务之后,还可以上报处置结果给管理平台,以使管理平台基于处置结果更新代理终端的状态信息等。
本申请实施例提供的一种终端防御方法,应用于代理终端,第一处置任务可以包括威胁文件的MD5信息及该威胁文件的处置方式;相应的,代理终端根据第一处置任务对该威胁文件进行处置可以包括:根据威胁文件的MD5信息确定出威胁文件,并按照威胁文件的处置方式对威胁文件进行处置,并将威胁文件的威胁文件的MD5信息添加至本地黑名单。
实际应用中,第二处置任务可以包括威胁文件的MD5信息;相应的,代理终端根据第二处置任务对该威胁文件执行防御操作可以包括:根据威胁文件的MD5信息更新本地黑名单。应当指出,根据威胁文件的MD5信息更新本地黑名单之后,便可以根据本地黑名单对威胁文件进行检测、防御。
实际应用中,第二处置任务可以包括威胁文件的行为信息;相应的,代理终端根据第二处置任务对该威胁文件执行防御操作可以包括:根据行为信息更新本地行为信息库,以根据行为信息库对威胁文件进行防御。具体应用场景中,行为信息可以包括创建进程/线程行为和/或读取目录行为和/或加密行为。也即,在创建进程/线程行为、读取目标行为、加密行为的过程中对威胁文件进行防御。
实际应用中,第二处置任务可以包括威胁文件的MD5信息及威胁文件的处置方式;相应的,代理终端根据第二处置任务对该威胁文件执行防御操作可以包括:根据威胁文件的MD5信息更新本地黑名单,并根据威胁文件的处置方式更新本地处置策略。应当指出,根据威胁文件的MD5信息更新本地黑名单,并根据威胁文件的处置方式更新本地处置策略之后,便可以基于本地黑名单检测出威胁文件,并且可以基于本地处置策略对威胁文件进行处置,比如本地处置策略为删除威胁文件,则可以将通过本地黑名单确定出的威胁文件进行删除,相应的,若本地处置策略为分解威胁文件,则可以将通过本地黑名单确定出的威胁文件进行分解等。
本申请实施例提供的一种终端防御方法,应用于代理终端,为了便于管理平台了解自身的文件安全情况,代理终端在接收管理平台发送的威胁文件处置任务之前,还可以获取自身的文件指纹信息集,文件指纹信息集包括代理终端的所有文件的文件指纹信息;发送文件指纹信息集至管理平台。
实际应用场景中,代理终端可以在自身的文件指纹信息发生改变时,将发送改变的文件指纹信息发送至管理平台,以便管理平台实时对代理终端的文件指纹信息进行更新。
实际应用中,为了提高文件指纹信息集的获取效率,代理终端在获取自身的文件指纹信息集时,可以在病毒查杀过程中,获取自身的文件指纹信息集。还可以在对自身文件的实时监控过程中,获取自身的文件指纹信息集。
应当指出,代理终端对自身文件的实时监控过程,可以包括对自身文件新建、落地、修改、删除等过程进行监控。
本申请实施例提供的一种终端防御方法,应用于代理终端,为了在内网中的一个终端发现威胁文件时,可以使得其他终端也可以防御威胁文件,代理终端接收处置任务之前,还可以通过本地文件白名单过滤代理终端中所有文件,将未在文件白名单中的文件的文件指纹信息发送到管理平台。也即可以在代理终端中设置文件白名单,并将安全的文件的信息放置在文件白名单中,这样,代理终端可以直接将文件白名单中的文件判定为安全,相应的,代理终端可以通过本地文件白名单过滤代理终端中所有文件,将未在文件白名单中的文件判定为威胁文件,并将未在文件白名单中的文件的文件指纹信息发送到管理平台。
本申请实施例提供的一种终端防御方法,应用于代理终端,为了在内网中的一个终端发现威胁文件时,可以使得其他终端也可以防御威胁文件,代理终端在接收管理平台发送的威胁文件处置任务之前,还可以对自身文件进行实时监控,并判断是否存在威胁文件;若存在威胁文件,则对威胁文件进行查杀,并采集威胁文件的文件指纹信息,发送威胁文件的文件指纹信息至管理平台。
为了便于理解,现以图5所示的应用场景为例,对本申请提供的终端防御方法进行描述。在图5中,代理终端为windows PC、MAC PC、windows服务器、LINUX终端,且各个终端上安装有EDR代理模块,以代理MGR的部分功能。现假设管理平台已经采集了所有终端的文件指纹信息集,并保存在全网文件指纹信息库中,并且假设windows PC首先发现威胁文件,则本申请提供的终端防御方法可以包括以下步骤:
windows PC上的edr agent执行实时监控,若当前已经更新了最新威胁,对此威胁可以直接查杀,并采集威胁文件的文件指纹信息;
windows PC将威胁文件的文件指纹信息上报到管理平台;
管理平台接收威胁文件的文件指纹信息,更新并梳理全网指纹信息库;
管理平台启动全网威胁定位,对存在该威胁文件的终端下发包含具体的文件路径、处置方法、MD5信息、威胁信息等信息的威胁文件处置任务,对其他无威胁主机直接下发包含MD5信息、威胁信息等信息的威胁文件处置任务;
存在威胁的终端接收管理平台的威胁文件处置任务后,启动精准查杀,直接到具体路径下按接收的处置方法进行文件处置,同时将MD5和威胁信息入库到本地黑名单;无威胁主机直接将MD5和威胁信息入库到本地黑名单,用于应对后续该威胁文件的查杀;
存在威胁的终端处置结束后,上报处置结果给管理平台;
管理平台更新全网威胁信息库。
现假设管理平台已经采集了所有终端的文件指纹信息集,并保存在全网文件指纹信息库中,并且假设所有终端均未发现威胁文件,则本申请提供的终端防御方法可以包括以下步骤:
管理平台接收云端服务器发送的威胁文件的文件指纹信息,更新并梳理全网指纹信息库;
管理平台启动全网威胁定位,对存在该威胁文件的终端下发包含具体的文件路径、处置方法、MD5信息、威胁信息等信息的威胁文件处置任务,对其他无威胁主机直接下发包含MD5信息、威胁信息等信息的威胁文件处置任务;
存在威胁的终端接收管理平台的威胁文件处置任务后,启动精准查杀,直接到具体路径下按接收的处置方法进行文件处置,同时将MD5和威胁信息入库到本地黑名单;无威胁主机直接将MD5和威胁信息入库到本地黑名单,用于应对后续该威胁文件的查杀;
存在威胁的终端处置结束后,上报处置结果给管理平台;
管理平台更新全网威胁信息库。
请参阅图6,图6为本申请实施例提供的一种终端防御系统的第一结构示意图。
本申请实施例提供的一种终端防御系统,应用于管理平台,可以包括:
第一获取模块11,用于获取威胁文件的文件指纹信息;
第一处理模块12,用于基于威胁文件的文件指纹信息分别判断连接的各代理终端中是否包含该威胁文件;若是,发送第一处置任务至包含威胁文件的代理终端,以使包含威胁文件的代理终端根据第一处置任务对该威胁文件进行处置;若否,发送第二处置任务至未包含威胁文件的代理终端,以使未包含威胁文件的代理终端根据第二处置任务执行防御操作。
本申请实施例提供的一种终端防御系统,应用于管理平台,管理平台存储有各代理终端的文件指纹信息;
第一处理模块可以包括:
第一对比子模块,用于将威胁文件的文件指纹信息分别与各代理终端中每一代理终端的文件指纹信息进行对比,并根据对比结果判断各代理终端中是否包含该威胁文件。
本申请实施例提供的一种终端防御系统,应用于管理平台,威胁文件的文件指纹信息可以包括威胁文件的MD5信息,代理终端的文件指纹信息可以包括代理终端中各文件的MD5信息;
第一对比子模块可以包括:
第一对比单元,用于将威胁文件的MD5信息分别与各文件的MD5信息进行对比;若威胁文件的MD5信息与各文件中任一文件的MD5信息一致,则判定代理终端中包含该威胁文件;若威胁文件的MD5信息与各文件的MD5信息均不一致,则判定代理终端中未包含该威胁文件。
本申请实施例提供的一种终端防御系统,应用于管理平台,第一获取模块可以包括:
第一接收单元,用于接收代理终端发送的该威胁文件的文件指纹信息。
本申请实施例提供的一种终端防御系统,应用于管理平台,第一获取模块可以包括:
第二接收单元,用于接收云端服务器发送的威胁文件的文件指纹信息。
请参阅图7,图7为本申请实施例提供的一种终端防御系统的第二结构示意图。
本申请实施例提供的一种终端防御系统,应用于代理终端,可以包括:
第一接收模块21,用于接收处置任务;处置任务为代理终端连接的管理平台发送的任务;
第一解析模块22,用于解析处置任务并确定处置任务的类型;若处置任务为第一处置任务,根据第一处置任务对该威胁文件进行处置;若处置任务为第二处置任务,根据第二处置任务对该威胁文件执行防御操作。
本申请实施例提供的一种终端防御系统,应用于代理终端,第一处置任务可以包括威胁文件的MD5信息及该威胁文件的处置方式;
第一解析模块可以包括:
第一处理单元,用于根据威胁文件的MD5信息确定出威胁文件,并按照威胁文件的处置方式对威胁文件进行处置,并将威胁文件的MD5信息添加至本地黑名单。
本申请实施例提供的一种终端防御系统,应用于代理终端,第一处置任务可以包括威胁文件的MD5信息、路径信息及该威胁文件的处置方式;
第一解析模块可以包括:
第二处理单元,用于根据路径信息确定与MD5信息对应的文件,并按照威胁文件的处置方式对威胁文件进行处置,并将威胁文件的MD5信息添加至本地黑名单。
本申请实施例提供的一种终端防御系统,应用于代理终端,第二处置任务可以包括威胁文件的MD5信息;
第一解析模块可以包括:
第一更新单元,用于根据威胁文件的MD5信息更新本地黑名单,以根据本地黑名单对威胁文件进行防御。
本申请实施例提供的一种终端防御系统,应用于代理终端,第二处置任务可以包括威胁文件的行为信息;
第一解析模块可以包括:
第二更新单元,用于根据行为信息更新本地行为信息库,以根据行为信息库对威胁文件进行防御。
本申请实施例提供的一种终端防御系统,应用于代理终端,行为信息可以包括创建进程/线程行为和/或读取目录行为和/或加密行为。
本申请实施例提供的一种终端防御系统,应用于代理终端,第二处置任务可以包括威胁文件的MD5信息及威胁文件的处置方式;
第一解析模块可以包括:
第三更新单元,用于根据威胁文件的MD5信息更新本地黑名单,并根据威胁文件的处置方式更新本地处置策略,以根据本地黑名单及本地处置策略对威胁文件进行防御。
本申请实施例提供的一种终端防御系统,应用于代理终端,还可以包括:
第一发送模块,用于第一接收模块接收处置任务之前,获取自身的文件指纹信息集,发送文件指纹信息集至管理平台。
本申请实施例提供的一种终端防御系统,应用于代理终端,第一发送模块可以包括:
第一获取单元,用于在病毒查杀过程中,获取自身的文件指纹信息集;或,在对自身文件的实时监控过程中,获取自身的文件指纹信息集。
本申请实施例提供的一种终端防御系统,应用于代理终端,还可以包括:
第二发送模块,用于第一接收模块接收处置任务之前,通过本地文件白名单过滤代理终端中所有文件,将未在文件白名单中的文件的文件指纹信息发送到管理平台。
本申请实施例提供的一种终端防御系统,应用于代理终端,还可以包括:
第一判断模块,用于第一接收模块接收管理平台发送的威胁文件处置任务之前,对自身文件进行实时监控,并判断是否存在威胁文件;若存在威胁文件,则对威胁文件进行查杀,并采集威胁文件的文件指纹信息,发送威胁文件的文件指纹信息至管理平台。
本申请还提供了一种终端防御设备及计算机可读存储介质,其均具有本申请实施例提供的一种终端防御方法具有的对应效果。请参阅图8,图8为本申请实施例提供的一种终端防御设备的结构示意图。
本申请实施例提供的一种终端防御设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时在管理平台中实现如上任一实施例所描述的终端防御方法的步骤。
请参阅图9,本申请实施例提供的另一种终端防御设备中还可以包括:与处理器202连接的输入端口203,用于传输外界输入的命令至处理器202;与处理器202连接的显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用于实现终端防御设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线连接:无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时在管理平台中实现如任一实施例所描述的终端防御方法的步骤。
本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
本申请实施例提供的一种终端防御系统、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的一种终端防御方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (19)
1.一种终端防御方法,其特征在于,应用于管理平台,包括:
获取威胁文件的文件指纹信息;
基于所述威胁文件的文件指纹信息分别判断连接的各代理终端中是否包含该威胁文件;
若是,发送第一处置任务至包含所述威胁文件的代理终端,以使包含所述威胁文件的代理终端根据所述第一处置任务对该威胁文件进行处置;
若否,发送第二处置任务至未包含所述威胁文件的代理终端,以使未包含所述威胁文件的代理终端根据所述第二处置任务执行防御操作。
2.根据权利要求1所述的方法,其特征在于,所述管理平台存储有各代理终端的文件指纹信息;
所述基于所述威胁文件的文件指纹信息分别判断连接的各代理终端中是否包含该威胁文件包括:
将所述威胁文件的文件指纹信息分别与各代理终端中每一代理终端的文件指纹信息进行对比,并根据对比结果判断各代理终端中是否包含该威胁文件。
3.根据权利要求2所述的方法,其特征在于,所述威胁文件的文件指纹信息包括所述威胁文件的MD5信息,所述代理终端的文件指纹信息包括代理终端中各文件的MD5信息;
所述将所述威胁文件的文件指纹信息分别与各代理终端中每一代理终端的文件指纹信息进行对比,并根据对比结果判断各代理终端中是否包含该威胁文件包括:
将所述威胁文件的MD5信息分别与各文件的MD5信息进行对比;
若所述威胁文件的MD5信息与各文件中任一文件的MD5信息一致,则判定所述代理终端中包含该威胁文件;
若所述威胁文件的MD5信息与各文件的MD5信息均不一致,则判定所述代理终端中未包含该威胁文件。
4.根据权利要求1所述的方法,其特征在于,所述获取威胁文件的文件指纹信息包括:
接收代理终端发送的该威胁文件的文件指纹信息。
5.根据权利要求1所述的方法,其特征在于,所述获取威胁文件的文件指纹信息包括:
接收云端服务器发送的所述威胁文件的文件指纹信息。
6.一种终端防御方法,其特征在于,应用于代理终端,包括:
接收处置任务;所述处置任务为所述代理终端连接的管理平台发送的任务;
解析所述处置任务并确定所述处置任务的类型;
若所述处置任务为第一处置任务,根据所述第一处置任务对该威胁文件进行处置;
若所述处置任务为第二处置任务,根据所述第二处置任务对该威胁文件执行防御操作。
7.根据权利要求6所述的方法,其特征在于,所述第一处置任务包括威胁文件的MD5信息及该威胁文件的处置方式;
所述根据所述第一处置任务对该威胁文件进行处置包括:
根据所述威胁文件的MD5信息确定出所述威胁文件,并按照所述威胁文件的处置方式对所述威胁文件进行处置,并将所述威胁文件的MD5信息添加至本地黑名单。
8.根据权利要求6所述的终端防御方法,其特征在于,所述第一处置任务包括威胁文件的MD5信息、路径信息及该威胁文件的处置方式;
所述根据所述第一处置任务对该威胁文件进行处置包括:
根据所述路径信息确定与所述MD5信息对应的文件,并按照所述威胁文件的处置方式对所述威胁文件进行处置,并将所述威胁文件的MD5信息添加至本地黑名单。
9.根据权利要求6所述的方法,其特征在于,所述第二处置任务包括所述威胁文件的MD5信息;
所述根据所述第二处置任务对该威胁文件执行防御操作包括:
根据所述威胁文件的MD5信息更新本地黑名单,以根据所述本地黑名单对所述威胁文件进行防御。
10.根据权利要求6所述的方法,其特征在于,所述第二处置任务包括所述威胁文件的行为信息;
所述根据所述第二处置任务对该威胁文件执行防御操作包括:
根据所述行为信息更新本地行为信息库,以根据所述行为信息库对威胁文件进行防御。
11.根据权利要求10所述的方法,所述行为信息包括创建进程/线程行为和/或读取目录行为和/或加密行为。
12.根据权利要求6所述的方法,其特征在于,所述第二处置任务包括所述威胁文件的MD5信息及所述威胁文件的处置方式;
所述根据所述第二处置任务对该威胁文件执行防御操作包括:
根据所述威胁文件的MD5信息更新本地黑名单,并根据所述威胁文件的处置方式更新本地处置策略,以根据所述本地黑名单及所述本地处置策略对所述威胁文件进行防御。
13.根据权利要求6所述的方法,其特征在于,所述接收处置任务之前,还包括:
获取自身的文件指纹信息集,发送所述文件指纹信息集至所述管理平台。
14.根据权利要求13所述的方法,其特征在于,所述获取自身的文件指纹信息集,包括:
在病毒查杀过程中,获取自身的所述文件指纹信息集;
或,
在对自身文件的实时监控过程中,获取自身的所述文件指纹信息集。
15.根据权利要求6至14任一项所述的方法,其特征在于,所述接收处置任务之前,还包括:
通过本地文件白名单过滤所述代理终端中所有文件,将未在所述文件白名单中的文件的文件指纹信息发送到所述管理平台。
16.根据权利要求6至14任一项所述的方法,其特征在于,所述接收处置任务之前,还包括:
对自身文件进行实时监控,并判断是否存在威胁文件;
若存在所述威胁文件,则对所述威胁文件进行查杀,并采集所述威胁文件的文件指纹信息,发送所述威胁文件的文件指纹信息至所述管理平台。
17.一种终端防御系统,其特征在于,应用于管理平台,包括:
第一获取模块,用于获取威胁文件的文件指纹信息;
第一处理模块,用于基于所述威胁文件的文件指纹信息分别判断连接的各代理终端中是否包含该威胁文件;若是,发送第一处置任务至包含所述威胁文件的代理终端,以使包含所述威胁文件的代理终端根据所述第一处置任务对该威胁文件进行处置;若否,发送第二处置任务至未包含所述威胁文件的代理终端,以使未包含所述威胁文件的代理终端根据所述第二处置任务执行防御操作。
18.一种终端防御设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至16任一项所述终端防御方法的步骤。
19.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至16任一项所述终端防御方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911303160.2A CN111092886B (zh) | 2019-12-17 | 2019-12-17 | 一种终端防御方法、系统、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911303160.2A CN111092886B (zh) | 2019-12-17 | 2019-12-17 | 一种终端防御方法、系统、设备及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111092886A true CN111092886A (zh) | 2020-05-01 |
CN111092886B CN111092886B (zh) | 2023-05-12 |
Family
ID=70395060
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911303160.2A Active CN111092886B (zh) | 2019-12-17 | 2019-12-17 | 一种终端防御方法、系统、设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111092886B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113032784A (zh) * | 2021-03-26 | 2021-06-25 | 哈尔滨安天科技集团股份有限公司 | 一种威胁处置方法、威胁处置工具和计算机可读介质 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102957673A (zh) * | 2011-08-24 | 2013-03-06 | 腾讯科技(深圳)有限公司 | 一种信息的处理方法、设备和系统 |
CN103248609A (zh) * | 2012-02-06 | 2013-08-14 | 同方股份有限公司 | 一种端到端的数据检测系统、装置和方法 |
CN103384240A (zh) * | 2012-12-21 | 2013-11-06 | 北京安天电子设备有限公司 | 一种p2p主动防御方法及系统 |
US20150244734A1 (en) * | 2014-02-25 | 2015-08-27 | Verisign, Inc. | Automated intelligence graph construction and countermeasure deployment |
CN105138901A (zh) * | 2015-08-03 | 2015-12-09 | 浪潮电子信息产业股份有限公司 | 一种基于白名单的云主机主动防御实现方法 |
CN105426757A (zh) * | 2015-12-15 | 2016-03-23 | 北京金山安全管理系统技术有限公司 | 一种对待运行文件进行安全防御的方法 |
CN108388631A (zh) * | 2018-02-13 | 2018-08-10 | 北京奇安信科技有限公司 | 一种威胁情报共享的方法、代理装置及系统 |
CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
CN109447048A (zh) * | 2018-12-25 | 2019-03-08 | 苏州闪驰数控系统集成有限公司 | 一种人工智能预警系统 |
CN109726547A (zh) * | 2019-01-28 | 2019-05-07 | 北京和利时工业软件有限公司 | 一种文件执行管理方法及相关装置 |
CN110443050A (zh) * | 2019-07-26 | 2019-11-12 | 武汉天喻软件股份有限公司 | 一种文件透明加解密系统中的伪造进程的处理方法和系统 |
-
2019
- 2019-12-17 CN CN201911303160.2A patent/CN111092886B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102957673A (zh) * | 2011-08-24 | 2013-03-06 | 腾讯科技(深圳)有限公司 | 一种信息的处理方法、设备和系统 |
CN103248609A (zh) * | 2012-02-06 | 2013-08-14 | 同方股份有限公司 | 一种端到端的数据检测系统、装置和方法 |
CN103384240A (zh) * | 2012-12-21 | 2013-11-06 | 北京安天电子设备有限公司 | 一种p2p主动防御方法及系统 |
US20150244734A1 (en) * | 2014-02-25 | 2015-08-27 | Verisign, Inc. | Automated intelligence graph construction and countermeasure deployment |
CN105138901A (zh) * | 2015-08-03 | 2015-12-09 | 浪潮电子信息产业股份有限公司 | 一种基于白名单的云主机主动防御实现方法 |
CN105426757A (zh) * | 2015-12-15 | 2016-03-23 | 北京金山安全管理系统技术有限公司 | 一种对待运行文件进行安全防御的方法 |
CN108388631A (zh) * | 2018-02-13 | 2018-08-10 | 北京奇安信科技有限公司 | 一种威胁情报共享的方法、代理装置及系统 |
CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
CN109447048A (zh) * | 2018-12-25 | 2019-03-08 | 苏州闪驰数控系统集成有限公司 | 一种人工智能预警系统 |
CN109726547A (zh) * | 2019-01-28 | 2019-05-07 | 北京和利时工业软件有限公司 | 一种文件执行管理方法及相关装置 |
CN110443050A (zh) * | 2019-07-26 | 2019-11-12 | 武汉天喻软件股份有限公司 | 一种文件透明加解密系统中的伪造进程的处理方法和系统 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113032784A (zh) * | 2021-03-26 | 2021-06-25 | 哈尔滨安天科技集团股份有限公司 | 一种威胁处置方法、威胁处置工具和计算机可读介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111092886B (zh) | 2023-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220200956A1 (en) | Network threat prediction and blocking | |
US20200177552A1 (en) | Methods and apparatus for malware threat research | |
CN109829310B (zh) | 相似攻击的防御方法及装置、系统、存储介质、电子装置 | |
CN107196895B (zh) | 网络攻击溯源实现方法及装置 | |
US9661003B2 (en) | System and method for forensic cyber adversary profiling, attribution and attack identification | |
US9569471B2 (en) | Asset model import connector | |
EP2860657B1 (en) | Determining a security status of potentially malicious files | |
CN111737696A (zh) | 一种恶意文件检测的方法、系统、设备及可读存储介质 | |
CN112422484B (zh) | 确定用于处理安全事件的剧本的方法、装置及存储介质 | |
US9479528B2 (en) | Signature rule processing method, server, and intrusion prevention system | |
CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
CN111464502A (zh) | 一种基于大数据平台的网络安全防护方法及系统 | |
CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
CN112073389A (zh) | 云主机安全态势感知系统、方法、设备及存储介质 | |
CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
US20230231885A1 (en) | Multi-perspective security context per actor | |
US9871810B1 (en) | Using tunable metrics for iterative discovery of groups of alert types identifying complex multipart attacks with different properties | |
CN106470203B (zh) | 信息获取方法及装置 | |
CN111092886B (zh) | 一种终端防御方法、系统、设备及计算机可读存储介质 | |
CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
CN113127875A (zh) | 一种漏洞处理方法及相关设备 | |
CN114466053B (zh) | 远程过程调用的调用管控方法、装置、设备及存储介质 | |
CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
CN114338237B (zh) | 终端行为监测方法、装置、设备、介质和计算机程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |