[发明专利]终端检测响应系统及方法

说明书

本发明提供的终端检测响应系统及方法，系统包括：安全中心和安装在各个终端上的探针设备，终端设置在网络中；探针设备，用于对所在的终端和网络进行安全行为监控，并把监控得到的安全事件发送给安全中心，安全事件包括用户进程，内核驱动和网络通讯；安全中心，用于根据安全事件，选择安全策略发送给探针设备，用来阻止安全事件中恶意软件的运行或者中断安全事件中有威胁的网络连接。本发明提供的终端检测响应系统及方法，在每个接入网络的终端上安装探针，通过探针第一时间发现某一个装有探针的终端上的可疑行为，大大缩短了响应时间。

技术领域

本发明涉及网络安全领域，尤其涉及终端检测响应系统及方法领域。

背景技术

随着技术的普及，越来越多的终端设备接入网络，所面临的问题就是这些接入网络的终端都可能会受到入侵。现有的终端保护技术大体可以分为两类：第一类技术是依据文件的特征码来确定某个程序是否是病毒或恶意软件，早期的杀毒软件通常都用这种方式来保护终端。杀毒厂商会事先收集各种病毒的样本特征码保存在病毒库中，杀毒引擎会在扫描文件时和病毒库中的特征码做比较来判断该文件时表示病毒。这类杀毒软件的特点是占用系统资源较少，但缺乏发现新病毒的能力，遇到一些变种病毒则无能为力。

第二类技术是根据一个程序的行为来判断是否是病毒或恶意软件，比如会监控哪个进程写了注册表(Windows系统)或者修改了系统文件。这种技术的特点是可以有能力预防新的病毒和恶意软件，但缺点是容易有误报或者漏报的情况。有些安全厂商则做了改进，遇到修改系统注册表或者修改系统文件的行为，则提示用户，由用户来做判断是允许程序继续运行，还是中止本次操作，但这样存在的问题就是普通用户不可能对操作系统很熟悉，所以不同用户对同一安全事件的响应可能也不相同，从而给恶意软件有了可乘之机。

以上技术都是在终端电脑上依赖病毒库的方式预防，系统可能被新的变种病毒感染，依赖行为监测来预防，系统可能因为用户选错或者漏报而感染，由于很多病毒都有潜伏期，导致可能很久之后用户才会发现，等安全厂商获得病毒样本从而做出响应的时候，病毒已经大范围的肆虐了。由于从病毒开始散播到安全厂商发现病毒并获得病毒样本，在这个时间间隔里，病毒已经有机会大规模传播，这就造成安全厂商跟在病毒和恶意软件之后疲于奔命的状态。

因此，现有技术中的缺陷是，不能及时发现系统中的可疑安全威胁和恶意软件，影响接入网络的终端的安全使用。

发明内容

针对上述技术问题，本发明提供一种终端检测响应系统及方法，在每个接入网络的终端上安装探针，通过探针第一时间发现某一个装有探针的终端上的可疑行为，大大缩短了响应时间。

为解决上述技术问题，本发明提供的技术方案是：

第一方面，本发明提供一种终端检测响应系统，包括：安全中心和安装在各个终端上的探针设备，所述终端设置在网络中；

所述探针设备，用于对所在的终端和网络进行安全行为监控，并把监控得到的安全事件发送给安全中心，所述安全事件包括用户进程，内核驱动和网络通讯；

所述安全中心，用于根据所述安全事件，选择安全策略发送给所述探针设备，用来阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。

本发明提供的终端检测响应系统，其技术方案为：包括：安全中心和安装在各个终端上的探针设备，所述终端设置在网络中；所述探针设备，用于对所在的终端和网络进行安全行为监控，并把监控得到的安全事件发送给安全中心，所述安全事件包括用户进程，内核驱动和网络通讯；所述安全中心，用于根据所述安全事件，选择安全策略发送给所述探针设备，用来阻止所述安全事件中恶意软件的运行或者中断所述安全事件中有威胁的网络连接。

本发明提供的终端检测响应系统，在每个接入网络的终端上安装探针，通过探针第一时间发现某一个装有探针的终端上的可疑行为，大大缩短了响应时间。