[发明专利]终端威胁检测与响应方法及引擎

权利要求书

1.终端威胁检测与响应方法，其特征在于，所述方法包括：

获取系统发生事件的数据以及附加信息；

检测所述事件行为规则包含的所有动作规则，利用进程属性标示所述动作规则的进程是否存在威胁；

针对被标示的可疑行为规则包含的所有动作规则形成至少一个动作检测标志；

对每个可疑行为规则所包含的所有动作检测标志进行行为匹配分析；

如果所述可疑行为规则所包含的所有动作检测标志全部与至少一个标志位匹配，所述可疑行为规则确定存在威胁；

其中，每个动作检测标志为由每个动作规则的所有的进程PID作为元素形成的一个可疑进程PID列表，所述标志位为所述可疑进程PID列表中的某个进程PID元素；

所述可疑行为规则经行为匹配分析确定存在威胁后，所述方法还包括：

自动调用行为规则的自动响应脚本进行响应处理，针对所述行为规则相关的文件、注册表、网络、模块/动态库、进程进行微粒度控制，防止威胁攻击行为的达成。

2.根据权利要求1所述的终端威胁检测与响应方法，其特征在于，利用进程属性标示所述动作规则的进程是否存在威胁之后，所述方法还包括：

实时判断获取的系统发生事件的数据以及附加信息的去向，其包括：

判断所述事件的行为规则是否包含多个动作规则；

若所述行为规则包含多个动作规则，判断所述多个动作规则之间是否存在时序性；

若所述行为规则的所有动作规则的进程均未被标示，则丢弃所述行为规则对应的所述事件的数据以及附加信息；

若所述行为规则包含一个动作规则并所述动作规则被标示，则直接确定所述行为规则存在威胁；

若所述行为规则包含彼此之间存在时序性的多个动作规则并所述多个动作规则被标示，则缓存所述行为规则对应的所述事件的数据以及附加信息并进行行为匹配分析；

若所述行为规则包含彼此之间不存在时序性的多个动作规则并所述多个动作规则被标示，则对所述行为规则对应的所述事件的数据以及附加信息进行行为匹配分析。

3.根据权利要求2所述的终端威胁检测与响应方法，其特征在于，所述事件包括：注册进程信息、网络通信、文件访问、动态库加载和注册表访问。

4.根据权利要求1所述的终端威胁检测与响应方法，其特征在于，所述进程属性包括：MD5、SHA-1、SHA-256、创建/修改/访问时间、签名信息、文件尺寸、文件头、文件类型、图标和可见字符串。

5.根据权利要求1所述的终端威胁检测与响应方法，其特征在于，以树形的方式保存每一个所述可疑行为规则的所有动作规则以及每个所述动作规则的所有进程PID。

6.根据权利要求1所述的终端威胁检测与响应方法，其特征在于，所述可疑行为规则经行为匹配分析确定存在威胁后，所述方法还包括：

发出威胁报警并将所述行为规则对应的所述事件的数据以及附加信息上传至服务器。

7.根据权利要求1所述的终端威胁检测与响应方法，其特征在于，所述对每个可疑行为规则所包含的所有动作检测标志进行行为匹配分析的行为匹配算法包括：

利用所述可疑行为规则所包含的所有动作规则的可疑进程PID列表组合匹配计算交集，其包括：

对每个可疑行为规则所包含的所有动作规则进行编号；

根据编号顺序选取前两个动作规则的可疑进程PID列表进行组合计算交集；

若前两个动作规则的可疑进程PID列表不存在交集，则停止计算，所述可疑行为规则确定暂时不存在威胁；

若前两个动作规则的可疑进程PID列表存在交集，利用前次计算得出的可疑进程PID交集列表与下一个编号的动作规则的可疑进程PID列表组合计算交集；

若前次计算得出的可疑进程PID交集列表与下一个编号的动作规则的可疑进程PID列表不存在交集，则停止计算，所述可疑行为规则确定暂时不存在威胁；

若前次计算得出的可疑进程PID交集列表与下一个编号的动作规则的可疑进程PID列表存在交集，直到所述可疑行为规则所包含的所有动作规则的可疑进程PID列表组合计算完毕；

若存在交集，则所述可疑行为规则确定存在威胁。