CN113901450A - 一种工业主机终端安全防护系统 - Google Patents
一种工业主机终端安全防护系统 Download PDFInfo
- Publication number
- CN113901450A CN113901450A CN202111101942.5A CN202111101942A CN113901450A CN 113901450 A CN113901450 A CN 113901450A CN 202111101942 A CN202111101942 A CN 202111101942A CN 113901450 A CN113901450 A CN 113901450A
- Authority
- CN
- China
- Prior art keywords
- terminal
- threat
- alarm
- report
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了一种工业主机终端安全防护系统,集合行为监控、病毒查杀、远程调查取证、联动防御、风险态势展示等核心功能。采用领先的行为识别、多引擎样本鉴定、神经网络、诱捕、免疫等技术,实现了对已知、未知威胁的实时检测与处置,有效解决勒索、挖矿、免杀逃逸、无文件攻击等传统安全产品无法有效防御的威胁。通过轻量化的终端Agent程序实时获取全量的内核级微粒度行为数据对终端系统进行持续监控,并从中筛选出有助于客户进行威胁溯源的事件进行存储,实现了对威胁事件的快速分析以及响应(包括确定零号受害终端、攻击范围等),以最小的资源开销获得最大程度的保护,全面提升客户的终端安全管理能力。
Description
技术领域
本发明实施例涉及网络安全技术领域,具体涉及一种工业主机终端安全防护系统。
背景技术
网络通过打破时空界限、变革社会网络和经济驱动方式,已经成为当代经济繁荣、技术进步、社会意识的孵化器,也造成当前社会无法停止对网络的依赖性,网络安全问题的严重性逐渐凸显。病毒泛滥、系统漏洞、黑客攻击等诸多问题已经直接影响到网络安全。网络安全是国家安全的基础,没有网络安全就没有国家安全!
边界防护设备在网络的各个入口提供安全防护保障,但是对于病毒的横向传播和移动存储介质等来源于内部的威胁,网络边界的安全防护变得束手无策,终端作为信息资产的核心载体,终端安全防护的重要性变得极为突出。长期以来,基于签名和启发式的防病毒软件一直是广泛使用的终端安全产品,随着攻击手段的不断升级,日益严重的高级持续性威胁APT可轻易饶过传统的防病毒软件。当传统防病毒软件已不能发现与防御APT时,运用终端检测与响应技术构建的下一代终端安全防护技术已成为网络终端安全防护方案的标配。
发明内容
为此,本发明实施例提供一种工业主机终端安全防护系统,以解决传统防病毒软件已不能发现与防御APT,终端安全无法保障的问题。
为了实现上述目的,本发明实施例提供如下技术方案:一种工业主机终端安全防护系统,所述系统包括客户端和服务端,所述客户端与服务端采用C/S架构,通过在终端操作系统中安装轻量级Agent程序实时获取全量的内核级微粒度行为数据并进行上报,所述服务端管理采用B/S架构,根据采集的数据实现威胁行为检测、威胁告警、威胁识别、威胁分析和系统管理。
进一步地,所述服务端具体包括终端资产管理模块,用于对终端活动深度可视化,直观地展示终端资产受到的威胁风险,以及威胁事件在组织内部的感染范围;按照客户业务组织对终端进行分组以及批量管理,同时允许客户查看管理某台终端的详细信息,并支持自行导出终端数据。
进一步地,所述服务端具体包括威胁告警管理模块,所述威胁告警管理模块包括威胁溯源模块和威胁告警模块;
所述威胁溯源模块用于为告警提供可视化的上下文关联来还原攻击行为,利用全量的事件存储以及EIS终端免疫系统,为攻击源追踪取证提供依据,并结合威胁情报数据、终端威胁行为检测引擎、AI智能分析组件进行威胁识别,精确地拦截威胁并告警,还能对攻击进行调查和取证,形成威胁分析报告和情报数据,持续更新迭代的情报数据为事后的威胁溯源进一步提高丰富的数据支撑;
所述威胁告警模块用于提供实时的威胁告警信息,自动地对已知和未知威胁进行修复和处理脚本,从而减少事件影响范围;支持查看全网内所有终端产生的告警信息及其告警等级;允许客户处理来自终端的告警,以实现对全网内终端安全的威胁响应,同时允许查看系统与威胁事件相关的进程树和进程详情。
进一步地,所述服务端具体包括全网文件管理模块,所述全网文件管理模块用于查看和管理当前企业中所有安装了终端Agent程序后新添加的文件,且平台统一管理;支持查看文件的恶意程度和AI智能分析组件的扫描结果,允许修改全网文件列表中的文件类型,同时支持查看某个文件的MD5在企业内或全网范围内的分布,查看每个终端首次出现该文件的时间、主机、文件路径信息熵等信息,最终以实现EIS终端免疫系统的拦截或放过。
进一步地,所述服务端具体包括安全策略管理模块,所述安全策略管理模块包括安全策略配置模块、病毒防御策略配置模块以及终端免疫系统策略配置模块;
所述安全策略配置模块用于对安全策略进行编辑、新增和查看操作,以及在编辑、新增时,定制当前企业使用的规则和功能的开关配置,并将配置保存为安全策略下发至终端进行安全响应;
所述病毒防御策略配置模块用于对当前使用的规则进行自定义开关配置,拦截网内所有黑文件;同时开启隔离开关,针对AI智能分析组件的鉴定结果对病毒进行防御查杀,并能将该策略应用到目前企业组织结构中的不同分组;
所述终端免疫系统策略配置模块用于自定义开关配置终端免疫系统策略,为关键资产提供高级别保护策略;基于在本地自学习中建立本地文件基因信息数据库,实现为基因偏离筛选本地可执行文件,对系统试图装载到内存中准备执行的文件进行严格的基因偏离筛选,精确地截获存在的威胁事件;实现在未安装杀毒软件、未对操作系统进行补丁升级的情况下避免服务器等重要资产遭受未知威胁的危害,以减少不必要的威胁事件,并实现精确地截取黑白名单文件,为终端提供可靠的安全保护和免疫作用。
进一步地,所述服务端具体包括报表管理模块,所述报表管理模块包括资产、威胁报表管理模块和自定义报表管理模块;
所述资产、威胁报表管理模块用于使用者通过区分不同的报表入口来生成报表模板;选取日报、周报、月报、自定义时间段和部门分组信息,生成资产报表或威胁报表;产生报表内容供客户在第一时间了解当前全网内资产的分布情况,同时客户能自行下载导出资产报表或威胁报表数据;
所述自定义报表管理模块用于客户选择自定义报表项、报表统计周期、部门分组创建见即所得的报表,以生成全网安全近况资讯;并且允许下载报表,下载文件格式为PDF、HTML的文件;同时支持自动发送设置,能新增不同的邮件发送配置。
进一步地,所述服务端具体包括大屏展示模块,所述大屏展示模块用于根据风险终端、风险服务器、未处理告警显示企业终端综合评分值,显示最近24小时内登录的终端、服务器产生告警的告警等级占比情况及数量和资产中产生告警计算的TOP5数据和在线数量及总数,以及基于AI智能分析组件鉴定扫描后的异常文件数量和无异常文件数量;并且通过柱状图实时动态显示最近24小时内服务器、终端产生的告警量、处理告警量的走势图、ATT&CK指标项的分布情况以及当前登录企业中告警总数、已处置数、未处置数、EIS拦截总数、风险终端、风险服务器的数据,也包含当前登录企业中产生告警事件的资产信息和终端事件告警情况。
进一步地,所述服务端具体包括病毒防御模块,所述病毒防御模块用于结合终端免疫系统、AI智能分析组件、安全事件关联技术实现全网联动机制,支持对终端进行全面的实时检测保护,将终端上的重要目标文件进行扫描检测,对存在风险的文件进行有效拦截并隔离;让客户能手动设置扫描部门、文件路径、文件类型等,并且支持选择是否隔离异常文件,以及恢复、删除文件。
进一步地,将多种病毒扫描引擎集中化形成扫描节点,并将扫描节点网络化,实现了分布式多引擎恶意样本鉴定平台;平台提供的标准SDK接口为后期集成新的病毒扫描引擎以实现横向扩展提供了支持,同时还实现了在不停机的情况下对扫描节点数量的动态调整,以及在同一个扫描节点中实时添加、删除任意数量的扫描引擎的功能。
本发明实施例具有如下优点:
本发明实施例提出的一种工业主机终端安全防护系统,适用于服务器、终端PC、虚拟化主机等终端系统。集合行为监控、病毒查杀、远程调查取证、联动防御、风险态势展示等核心功能。采用领先的行为识别、多引擎样本鉴定、神经网络、诱捕、免疫等技术,实现了对已知、未知威胁的实时检测与处置,有效解决勒索、挖矿、免杀逃逸、无文件攻击等传统安全产品无法有效防御的威胁。通过轻量化的终端Agent程序实时获取全量的内核级微粒度行为数据对终端系统进行持续监控,并从中筛选出有助于客户进行威胁溯源的事件进行存储,实现了对威胁事件的快速分析以及响应(包括确定零号受害终端、攻击范围等),以最小的资源开销获得最大程度的保护,全面提升客户的终端安全管理能力。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
图1为本发明实施例1提供的一种工业主机终端安全防护系统原理图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,本实施例提出了一种工业主机终端安全防护系统,是一套立体化的终端安全防护解决方案,适用于服务器、终端PC、虚拟化主机等终端系统,该系统采用C/S和B/S结合的模式为客户提供终端威胁的检测、响应、溯源等服务。
所述系统包括客户端和服务端,所述客户端与服务端采用C/S架构,通过在终端操作系统中安装轻量级Agent程序实时获取全量的内核级微粒度行为数据并进行上报,所述服务端管理采用B/S架构,实现威胁分析和系统管理,采用分布式部署方式及大数据存储满足高扩展、高可用及高并发,为威胁分析及溯源提供数据来源。
所述服务端具体包括终端资产管理模块,用于对终端活动深度可视化,直观地展示终端资产受到的威胁风险,以及威胁事件在组织内部的感染范围;按照客户业务组织对终端进行分组以及批量管理,同时允许客户查看管理某台终端的详细信息,并支持自行导出终端数据。
所述服务端具体包括威胁告警管理模块,所述威胁告警管理模块包括威胁溯源模块和威胁告警模块;
所述威胁溯源模块用于为告警提供可视化的上下文关联来还原攻击行为,利用全量的事件存储以及EIS终端免疫系统,为攻击源追踪取证提供依据,并结合威胁情报数据、终端威胁行为检测引擎、AI智能分析组件进行威胁识别,精确地拦截威胁并告警,还能对攻击进行调查和取证,形成威胁分析报告和情报数据,持续更新迭代的情报数据为事后的威胁溯源进一步提高丰富的数据支撑;
所述威胁告警模块用于提供实时的威胁告警信息,自动地对已知和未知威胁进行修复和处理脚本,从而减少事件影响范围;支持查看全网内所有终端产生的告警信息及其告警等级;允许客户处理来自终端的告警,以实现对全网内终端安全的威胁响应,同时允许查看系统与威胁事件相关的进程树和进程详情,包括:文件操作、注册表活动、网络活动、模块加载等。
所述服务端具体包括全网文件管理模块,所述全网文件管理模块用于查看和管理当前企业中所有安装了终端Agent程序后新添加的文件,且平台统一管理;支持查看文件的恶意程度和AI智能分析组件的扫描结果,允许修改全网文件列表中的文件类型,同时支持查看某个文件的MD5在企业内或全网范围内的分布,查看每个终端首次出现该文件的时间(文件首次被上传到云端扫描的时间)、主机、文件路径信息熵等信息,最终以实现EIS终端免疫系统的拦截或放过。
所述服务端具体包括安全策略管理模块,所述安全策略管理模块包括安全策略配置模块、病毒防御策略配置模块以及终端免疫系统策略配置模块;
所述安全策略配置模块用于对安全策略进行编辑、新增和查看操作,以及在编辑、新增时,定制当前企业使用的规则和功能的开关配置,并将配置保存为安全策略下发至终端进行安全响应;
所述病毒防御策略配置模块用于对当前使用的规则进行自定义开关配置,拦截网内所有黑文件;同时开启隔离开关,针对AI智能分析组件的鉴定结果对病毒进行防御查杀,并能将该策略应用到目前企业组织结构中的不同分组;
所述终端免疫系统策略配置模块用于自定义开关配置终端免疫系统策略,为关键资产提供高级别保护策略;基于在本地自学习中建立本地文件基因信息数据库,实现为基因偏离筛选本地可执行文件,对系统试图装载到内存中准备执行的文件进行严格的基因偏离筛选,精确地截获存在的威胁事件;实现在未安装杀毒软件、未对操作系统进行补丁升级的情况下避免服务器等重要资产遭受未知威胁的危害,以减少不必要的威胁事件,并实现精确地截取黑白名单文件,为终端提供可靠的安全保护和免疫作用。
所述服务端具体包括报表管理模块,所述报表管理模块包括资产、威胁报表管理模块和自定义报表管理模块;
所述资产、威胁报表管理模块用于使用者通过区分不同的报表入口来生成报表模板;选取日报、周报、月报、自定义时间段和部门分组信息,生成资产报表或威胁报表;产生报表内容供客户在第一时间了解当前全网内资产的分布情况,同时客户能自行下载导出资产报表或威胁报表数据;
所述自定义报表管理模块用于客户选择自定义报表项、报表统计周期、部门分组创建见即所得的报表,以生成全网安全近况资讯;并且允许下载报表,下载文件格式为PDF、HTML的文件;同时支持自动发送设置,能新增不同的邮件发送配置。
所述服务端具体包括大屏展示模块,从宏观的角度对威胁攻击进行观察分析,展示出综合评分、威胁告警等级、高危资产走势、资产情况等核心功能,能够快速定位终端风险,从而控制局势。所述大屏展示模块用于根据风险终端、风险服务器、未处理告警显示企业终端综合评分值,显示最近24小时内登录的终端、服务器产生告警的告警等级占比情况及数量和资产中产生告警计算的TOP5数据和在线数量及总数,以及基于AI智能分析组件鉴定扫描后的异常文件数量和无异常文件数量;并且通过柱状图实时动态显示最近24小时内服务器、终端产生的告警量、处理告警量的走势图、ATT&CK指标项的分布情况以及当前登录企业中告警总数、已处置数、未处置数、EIS拦截总数、风险终端、风险服务器的数据,也包含当前登录企业中产生告警事件的资产信息和终端事件告警情况。
所述服务端具体包括病毒防御模块,所述病毒防御模块用于结合终端免疫系统、AI智能分析组件、安全事件关联技术实现全网联动机制,支持对终端进行全面的实时检测保护,将终端上的重要目标文件进行扫描检测,对存在风险的文件进行有效拦截并隔离;让客户能手动设置扫描部门、文件路径、文件类型等,并且支持选择是否隔离异常文件,以及恢复、删除文件。
本发明实施例的一种工业主机终端安全防护系统,具体包括以下核心技术:
(1)内核级微粒度行为数据采集
采用Minifilter、NIDS、WFP等多种驱动程序对操作系统中的内核进行数据采集,既可确保对系统内所有活动完全可见,又能为持续性检测和记录终端活动提供可靠的数据来源。
(2)基于神经网络(AI)的文件扫描能力
作为下一代终端安全产品,AI的应用不可或缺,防病毒引擎(Onesargus)基于2,000,000+样本采用迁移学习、可解释性分析、生成对抗网络等技术训练完成,实现了对样本的深层次分析和高维复杂特征/模式提取,可快速针对样本Hash、特征、IOC等相关的指标信息作为被攻陷终端的检索来源进行主动、实时快速的定位,帮助客户更高效地发现针对终端的已知/未知威胁,对威胁进行定级和预警。
(3)终端免疫防护
通过本地学习,产生本地文件基因信息数据库,且对系统尝试加载到内存准备执行的PE文件进行严格的基因偏离项筛查。通过此技术能实现在特殊应用环境(例如:长期运行的服务器、不能安装补丁的服务器、财务人员使用的终端环境等等)中提供高等级的安全防护,减少不必要的威胁事件,以及精准地拦截黑白名单文件。通过与全网文件列表以及AI文件扫描能力的联动,为终端提供可靠的安全保护以及免疫的作用。
(4)终端威胁行为识别
使用用户实体行为分析技术(UEBA,User and Entity Behavior Analytics)实现自动化的建模,可解决棘手的安全问题。将多个异常活动相互关联,可分析检测出多种高级威胁,以实现对已知和未知威胁的检测。
(5)终端威胁诱捕
针对勒索软件的攻击,本系统基于欺骗防御的方法通过攻击诱捕,迷惑攻击者,感知攻击,分析攻击者行为。并溯源取证,有效弥补传统终端的安全防护产品无法防御未知勒索病毒的问题。
(6)多引擎恶意样本鉴定
将多种病毒扫描引擎集中化形成扫描节点,并将扫描节点网络化,实现了分布式多引擎恶意样本鉴定平台;平台提供的标准SDK接口为后期集成新的病毒扫描引擎以实现横向扩展提供了支持,同时还实现了在不停机的情况下对扫描节点数量的动态调整,以及在同一个扫描节点中实时添加、删除任意数量的扫描引擎的功能。
本发明实施例的一种工业主机终端安全防护系统,具体具有以下特点:
(1)低资源占用的终端Agent程序
本系统的轻量级终端Agent程序对客户来说是无感知的,对系统资源占用较低。其融合威胁检测、数据采集和响应三大功能,避免安装过多的终端安全软件对客户系统造成影响。
(2)威胁溯源
在传统安全产品理念中基本是以EPP为主导思想,提供统一化管理功能,但是由于告警、日志等信息过于扁平化,所以呈现给客户的往往是大批量的没有上下文关联的“数据”,对于分析整个安全事件以及客户网内的安全状态没有太好的支撑。
本系统采用全量的数据采集和上报,系统无时无刻在记录终端资产所发生的行为事件,其优势是即使系统中没有产生任何告警,也可以根据IOC、IOA等指标随时进行调查。同时即使是在发生威胁告警的时候,安全分析人员也可以根据告警详情页面中提供的已关联上下文以及各种行为数据进行溯源,做到清晰地了解黑客或者恶意软件从何而来,做了什么,如何做的问题,并对当前受损资产进行范围统计。
(3)全网联动防御
当某台终端资产中的文件被多引擎恶意样本鉴定平台、防病毒引擎(Onesargus)鉴定为“恶意文件”之后,该文件的基因信息将会通过终端免疫系统(EIS)进行全网同步,使网内所有终端都对该文件产生免疫能力,从而防止恶意软件在网内的横向传播达到减少损失和提前预防的效果。
(4)远程调查取证
本系统通过对终端数据进行集中管理、分布运算,可通过服务端存储的数据进行深入的调查,并分析出攻击者的意图。结合远程调查取证命令,可在权限允许的范围以内使用系统SHELL指令直接对终端资产的操作系统进行远程调查的操作。
(5)高准确性的病毒防御
本系统具备病毒查杀以及防御能力,针对终端进行全面检测保护,通过防病毒引擎(Onesargus)、天蝎多引擎恶意样本鉴定平台(ROBIN)对目标文件同时使用多个引擎进行扫描检测,将存在风险的文件有效拦截并隔离,同时被隔离文件将统一集中管理。
(6)全量数据实时监控
作为下一代终端安全解决方案,本系统能记录所有终端资产的系统行为以及相关事件,比如用户、文件、进程、注册表、内存和网络等事件,同时可以采集存储这些信息。结合IOC和IOA并通过行为分析来检索数据并识别威胁,同时使用机器学习对这些数据进行持续的分析,并快速对安全威胁进行响应(包括确定零号受害终端、攻击范围、威胁控制等)。
本发明实施例提出的一种终端防护系统,主要有私有云部署和公有云部署两种部署方式:
私有云部署方式主要针对物理隔离的网络或者具有运维大型网络安全系统能力的大型集团客户。这种部署方式需要将威胁分析中心、天蝎多引擎恶意样本鉴定平台以及运维支撑等系统部署至客户的内网环境。其对服务器资源需求较高,但管理灵活,可以利用模块化设计以及分布式系统的优势根据客户网络拓扑进行灵活的部署架构调整。
公有云方式部署具有简单、管理方便、低成本等优势,客户仅需通过申请并开通授权后自行下载轻量级的终端Agent程序安装到需要保护的终端资产中既可实现对资产的保护。此方式适合客户内网可以直接连接互联网,或有安全托管需求以及无安全分析人员等情况的场景。
本发明实施例提出的一种工业主机终端安全防护系统,适用于服务器、终端PC、虚拟化主机等终端系统。集合行为监控、病毒查杀、远程调查取证、联动防御、风险态势展示等核心功能。采用领先的行为识别、多引擎样本鉴定、神经网络、诱捕、免疫等技术,实现了对已知、未知威胁的实时检测与处置,有效解决勒索、挖矿、免杀逃逸、无文件攻击等传统安全产品无法有效防御的威胁。通过轻量化的终端Agent程序实时获取全量的内核级微粒度行为数据对终端系统进行持续监控,并从中筛选出有助于客户进行威胁溯源的事件进行存储,实现了对威胁事件的快速分析以及响应(包括确定零号受害终端、攻击范围等),以最小的资源开销获得最大程度的保护,全面提升客户的终端安全管理能力。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (9)
1.一种工业主机终端安全防护系统,其特征在于,所述系统包括客户端和服务端,所述客户端与服务端采用C/S架构,通过在终端操作系统中安装轻量级Agent程序实时获取全量的内核级微粒度行为数据并进行上报,所述服务端管理采用B/S架构,根据采集的数据实现威胁行为检测、威胁告警、威胁识别、威胁分析和系统管理。
2.根据权利要求1所述的一种工业主机终端安全防护系统,其特征在于,所述服务端具体包括终端资产管理模块,用于对终端活动深度可视化,直观地展示终端资产受到的威胁风险,以及威胁事件在组织内部的感染范围;按照客户业务组织对终端进行分组以及批量管理,同时允许客户查看管理某台终端的详细信息,并支持自行导出终端数据。
3.根据权利要求1所述的一种工业主机终端安全防护系统,其特征在于,所述服务端具体包括威胁告警管理模块,所述威胁告警管理模块包括威胁溯源模块和威胁告警模块;
所述威胁溯源模块用于为告警提供可视化的上下文关联来还原攻击行为,利用全量的事件存储以及EIS终端免疫系统,为攻击源追踪取证提供依据,并结合威胁情报数据、终端威胁行为检测引擎、AI智能分析组件进行威胁识别,精确地拦截威胁并告警,还能对攻击进行调查和取证,形成威胁分析报告和情报数据,持续更新迭代的情报数据为事后的威胁溯源进一步提高丰富的数据支撑;
所述威胁告警模块用于提供实时的威胁告警信息,自动地对已知和未知威胁进行修复和处理脚本,从而减少事件影响范围;支持查看全网内所有终端产生的告警信息及其告警等级;允许客户处理来自终端的告警,以实现对全网内终端安全的威胁响应,同时允许查看系统与威胁事件相关的进程树和进程详情。
4.根据权利要求1所述的一种工业主机终端安全防护系统,其特征在于,所述服务端具体包括全网文件管理模块,所述全网文件管理模块用于查看和管理当前企业中所有安装了终端Agent程序后新添加的文件,且平台统一管理;支持查看文件的恶意程度和AI智能分析组件的扫描结果,允许修改全网文件列表中的文件类型,同时支持查看某个文件的MD5在企业内或全网范围内的分布,查看每个终端首次出现该文件的时间、主机、文件路径信息熵等信息,最终以实现EIS终端免疫系统的拦截或放过。
5.根据权利要求1所述的一种工业主机终端安全防护系统,其特征在于,所述服务端具体包括安全策略管理模块,所述安全策略管理模块包括安全策略配置模块、病毒防御策略配置模块以及终端免疫系统策略配置模块;
所述安全策略配置模块用于对安全策略进行编辑、新增和查看操作,以及在编辑、新增时,定制当前企业使用的规则和功能的开关配置,并将配置保存为安全策略下发至终端进行安全响应;
所述病毒防御策略配置模块用于对当前使用的规则进行自定义开关配置,拦截网内所有黑文件;同时开启隔离开关,针对AI智能分析组件的鉴定结果对病毒进行防御查杀,并能将该策略应用到目前企业组织结构中的不同分组;
所述终端免疫系统策略配置模块用于自定义开关配置终端免疫系统策略,为关键资产提供高级别保护策略;基于在本地自学习中建立本地文件基因信息数据库,实现为基因偏离筛选本地可执行文件,对系统试图装载到内存中准备执行的文件进行严格的基因偏离筛选,精确地截获存在的威胁事件;实现在未安装杀毒软件、未对操作系统进行补丁升级的情况下避免服务器等重要资产遭受未知威胁的危害,以减少不必要的威胁事件,并实现精确地截取黑白名单文件,为终端提供可靠的安全保护和免疫作用。
6.根据权利要求1所述的一种工业主机终端安全防护系统,其特征在于,所述服务端具体包括报表管理模块,所述报表管理模块包括资产、威胁报表管理模块和自定义报表管理模块;
所述资产、威胁报表管理模块用于使用者通过区分不同的报表入口来生成报表模板;选取日报、周报、月报、自定义时间段和部门分组信息,生成资产报表或威胁报表;产生报表内容供客户在第一时间了解当前全网内资产的分布情况,同时客户能自行下载导出资产报表或威胁报表数据;
所述自定义报表管理模块用于客户选择自定义报表项、报表统计周期、部门分组创建见即所得的报表,以生成全网安全近况资讯;并且允许下载报表,下载文件格式为PDF、HTML的文件;同时支持自动发送设置,能新增不同的邮件发送配置。
7.根据权利要求1所述的一种工业主机终端安全防护系统,其特征在于,所述服务端具体包括大屏展示模块,所述大屏展示模块用于根据风险终端、风险服务器、未处理告警显示企业终端综合评分值,显示最近24小时内登录的终端、服务器产生告警的告警等级占比情况及数量和资产中产生告警计算的TOP5数据和在线数量及总数,以及基于AI智能分析组件鉴定扫描后的异常文件数量和无异常文件数量;并且通过柱状图实时动态显示最近24小时内服务器、终端产生的告警量、处理告警量的走势图、ATT&CK指标项的分布情况以及当前登录企业中告警总数、已处置数、未处置数、EIS拦截总数、风险终端、风险服务器的数据,也包含当前登录企业中产生告警事件的资产信息和终端事件告警情况。
8.根据权利要求1所述的一种工业主机终端安全防护系统,其特征在于,所述服务端具体包括病毒防御模块,所述病毒防御模块用于结合终端免疫系统、AI智能分析组件、安全事件关联技术实现全网联动机制,支持对终端进行全面的实时检测保护,将终端上的重要目标文件进行扫描检测,对存在风险的文件进行有效拦截并隔离;让客户能手动设置扫描部门、文件路径、文件类型等,并且支持选择是否隔离异常文件,以及恢复、删除文件。
9.根据权利要求1所述的一种工业主机终端安全防护系统,其特征在于,将多种病毒扫描引擎集中化形成扫描节点,并将扫描节点网络化,实现了分布式多引擎恶意样本鉴定平台;平台提供的标准SDK接口为后期集成新的病毒扫描引擎以实现横向扩展提供了支持,同时还实现了在不停机的情况下对扫描节点数量的动态调整,以及在同一个扫描节点中实时添加、删除任意数量的扫描引擎的功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111101942.5A CN113901450A (zh) | 2021-09-18 | 2021-09-18 | 一种工业主机终端安全防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111101942.5A CN113901450A (zh) | 2021-09-18 | 2021-09-18 | 一种工业主机终端安全防护系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113901450A true CN113901450A (zh) | 2022-01-07 |
Family
ID=79028830
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111101942.5A Pending CN113901450A (zh) | 2021-09-18 | 2021-09-18 | 一种工业主机终端安全防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113901450A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114430347A (zh) * | 2022-01-31 | 2022-05-03 | 上海纽盾科技股份有限公司 | 网络资产的安全态势感知防御方法、装置及系统 |
| CN115118469A (zh) * | 2022-06-15 | 2022-09-27 | 杭州温小度科技有限公司 | 一种网络安全威胁处理系统及其处理方法 |
| CN115309907A (zh) * | 2022-10-08 | 2022-11-08 | 北京升鑫网络科技有限公司 | 告警日志关联方法及装置 |
| CN115348109A (zh) * | 2022-09-28 | 2022-11-15 | 北京珞安科技有限责任公司 | 工业生产威胁预警方法、系统、电子设备及存储介质 |
-
2021
- 2021-09-18 CN CN202111101942.5A patent/CN113901450A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114430347A (zh) * | 2022-01-31 | 2022-05-03 | 上海纽盾科技股份有限公司 | 网络资产的安全态势感知防御方法、装置及系统 |
| CN115118469A (zh) * | 2022-06-15 | 2022-09-27 | 杭州温小度科技有限公司 | 一种网络安全威胁处理系统及其处理方法 |
| CN115118469B (zh) * | 2022-06-15 | 2024-03-19 | 杭州温小度科技有限公司 | 一种网络安全威胁处理系统及其处理方法 |
| CN115348109A (zh) * | 2022-09-28 | 2022-11-15 | 北京珞安科技有限责任公司 | 工业生产威胁预警方法、系统、电子设备及存储介质 |
| CN115348109B (zh) * | 2022-09-28 | 2023-02-03 | 北京珞安科技有限责任公司 | 工业生产威胁预警方法、系统、电子设备及存储介质 |
| CN115309907A (zh) * | 2022-10-08 | 2022-11-08 | 北京升鑫网络科技有限公司 | 告警日志关联方法及装置 |
| CN115309907B (zh) * | 2022-10-08 | 2022-12-27 | 北京升鑫网络科技有限公司 | 告警日志关联方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11546360B2 (en) | Cyber security appliance for a cloud infrastructure | |
| CN110381045B (zh) | 攻击操作的处理方法和装置、存储介质及电子装置 | |
| Moore | Detecting ransomware with honeypot techniques | |
| US9838419B1 (en) | Detection and remediation of watering hole attacks directed against an enterprise | |
| CN113901450A (zh) | 一种工业主机终端安全防护系统 | |
| CN107295021B (zh) | 一种基于集中管理的主机的安全检测方法及系统 | |
| CN108768989A (zh) | 一种采用拟态技术的apt攻击防御方法、系统 | |
| CN112653654A (zh) | 安全监控方法、装置、计算机设备及存储介质 | |
| Beigh et al. | Intrusion Detection and Prevention System: Classification and Quick | |
| US11750634B1 (en) | Threat detection model development for network-based systems | |
| CN114003943A (zh) | 一种用于机房托管管理的安全双控管理平台 | |
| CN112653655A (zh) | 汽车安全通信控制方法、装置、计算机设备及存储介质 | |
| US20220279009A1 (en) | An organizational asset discovery and ranking system and method | |
| US20240031407A1 (en) | Honeypot Network Management Based on Probabilistic Detection of Malicious Port Activity | |
| Gnatyuk et al. | Studies on Cloud-based Cyber Incidents Detection and Identification in Critical Infrastructure. | |
| Zammit | A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data | |
| Vigna et al. | Host-based intrusion detection | |
| Gnatyuk et al. | Cloud-Based Cyber Incidents Response System and Software Tools | |
| Teeraratchakarn et al. | Automated monitoring and behavior analysis for proactive security operations | |
| Kono et al. | An unknown malware detection using execution registry access | |
| Aldea et al. | Software vulnerabilities integrated management system | |
| AT&T | ||
| KR20220086402A (ko) | 클라우드 기반 통합 보안서비스 제공 시스템 | |
| Anand et al. | Malware Exposed: An In-Depth Analysis of its Behavior and Threats | |
| Panagiotakopoulos | Assessing open and closed EDRs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |