[发明专利]一种终端侧与流量侧联动的安全防护方法及系统

说明书

本发明提出一种终端侧与流量侧联动的安全防护方法及系统，在对网内进行安全防护过程中，将终端侧与流量侧数据进行联合，实现终端侧黑名单库和网络侧黑名单库的动态互补更新，利用互补更新的黑名单库对网内文件进行联动检测，并对恶意文件进行报警和定点清除。本发明针对进入网内的文件，无论其落在终端侧还是流量侧，通过联动检测，但凡其特征存在在任何一侧的黑名单库中，都能被精确检出，有效提高检出率、维护网络环境安全。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种终端侧与流量侧联动的安全防护方法及系统。

背景技术

当今网络威胁已经上升到国家战略层面上，网络攻击也从针对大众的无明确目的的恶意攻击转变为目标明确的以发动信息战为目的的高级威胁攻击。传统反恶意程序软件多采用黑名单机制对未知威胁进行检测，依靠单纯的特征码扫描技术作为核心技术，这种检测机制在当今网络威胁态势下已无法达到针对未知威胁进行实时防御的目的。同时，现有的黑名单机制多是根据不同设备端设置不同黑名单库，在进行威胁检测时分别针对不同设备端进行特征匹配，而没有将黑名单库之间进行联动，这使得在一些应用场景下无法充分满足威胁的检出率。

发明内容

针对上述现有技术存在的缺陷，本发明提出一种终端侧与流量侧联动的安全防护方法及系统，在对网内进行安全防护过程中，将终端侧与流量侧数据进行联合，实现终端侧黑名单库和网络侧黑名单库的动态互补更新，利用互补更新的黑名单库对网内文件进行联动检测，并对恶意文件进行报警和定点清除。

具体发明内容包括：

一种终端侧与流量侧联动的安全防护方法，包括：

当有文件进入终端侧设备时，将文件上传至服务器进行云查杀，判断其是否存在恶意，若是则将文件特征发送给流量侧设备，否则放行文件；

流量侧设备接收服务器发送的文件特征，并将其与流量侧的黑名单库中的数据进行匹配，若匹配失败则将该文件特征加入流量侧的黑名单库；

同时，

流量侧设备捕获网内流量，将流量还原成文件，提取文件特征，并将其与流量侧的黑名单库中的数据进行匹配，判断相应文件是否存在恶意，若是则将相应文件特征发送给服务器，否则放行相应文件；

服务器接收流量侧设备发送的文件特征，将其与终端侧的黑名单库中的数据进行匹配，若匹配失败则将相应文件特征加入终端侧的黑名单库。

进一步地，还包括，根据所述终端侧的黑名单库、流量侧的黑名单库，对进入网内的文件进行联动检测，当检测出网内存在恶意文件时，进行报警，并定位恶意文件的位置，对恶意文件进行定点清除。

一种终端侧与流量侧联动的安全防护系统，包括：

部署在服务器的文件接收模块、云查杀模块、流量侧联动模块，

部署在流量侧设备的流量获取还原模块、特征匹配模块、终端侧联动模块；

其中，

文件接收模块，用于接收由终端侧设备上传给服务器的待检测文件；

云查杀模块，用于对待检测文件进行云查杀，判断其是否存在恶意，若是则将文件特征传递给流量侧联动模块，否则放行文件；

流量侧联动模块，用于将从云查杀模块得到的文件特征发送给终端侧联动模块，以及接收由终端侧联动模块发送的文件特征，并将接收的文件特征与保存在服务器端的终端侧黑名单库进行匹配，若匹配失败则将接收的文件特征加入终端侧黑名单库；

流量获取还原模块，用于流量侧设备捕获网内流量，将流量还原成文件，并提取文件特征；