[发明专利]终端安全检测与监测体系化方法

权利要求书

1.一种终端安全检测与监测体系化方法，其特征在于，包括以下步骤：

步骤S1：定义安全事件检测项；

步骤S2：建立终端设备基线库，包括：端口基线和进程基线；

步骤S3：建立安全事件处置预案库；

步骤S4：执行入网时检测，生成检测报告；

步骤S5：在终端设备运行的过程中进行监测，将采集的数据与基线比对，以确认是否产生安全事件预警，如产生安全事件预警，则根据安全事件的类型从安全事件处置预案库中匹配处置手段，并执行；

步骤S4具体包括以下步骤：

步骤S41：启动外部辅助工具模拟网络环境；

步骤S42：主动向终端设备发起检测任务；

步骤S43：终端设备接收并执行检测任务，将诊断结果上报至管理平台；

步骤S44：诊断结果与基线进行比对，生成诊断结论；

步骤S45：返回诊断结论并生成检测报告；

步骤S43具体包括以下步骤：

步骤S431：指令交互模块接收到检测任务消息后，向终端设备下发检测任务；

步骤S432：终端设备的安全管理插件接收并执行检测任务；

步骤S433：终端设备的安全管理插件依据检测任务配置采集安全数据；

步骤S434：终端设备的安全管理插件将采集到的安全数据上报至管理平台的数据接收模块；

步骤S5具体包括以下步骤：

步骤S51：终端设备启动运行，同时进入运行时检测周期；

步骤S52：终端设备主动从管理平台拉取定时安全监控采集任务以及条件触发监控采集任务；

步骤S53：终端设备对于定时安全监控采集任务依据预设的时间，采集数据并上报数据；

步骤S54：终端设备对于条件触发监控采集任务依据触发条件，采集数据并上报数据；

步骤S55：管理平台在接收到采集数据后，将数据传入数据分析与监测模块进行分析；

步骤S56：数据分析与监测模块按设备类型，将数据与终端设备基线库中的基线进行比对，如果发现数据异常，则将确认为异常波动的数据发送给安全事件决策模块产生安全事件预警；

步骤S57：安全事件决策模块依据安全事件类型从安全事件处置预案库中匹配处置手段；

步骤S58：管理平台与终端设备的安全管理插件联动配合执行安全事件处置预案，实现安全事件的处理。

2.根据权利要求1所述终端安全检测与监测体系化方法，其特征在于：在步骤S1中，定义的安全事件检测项包括：SSH服务状态检测、TELNET服务状态检测和端口检测。

3.根据权利要求1所述终端安全检测与监测体系化方法，其特征在于：在步骤S2中，建立终端设备基线库具体包括以下步骤：

步骤S21：确立终端设备分类最小维度：按照设备类型、终端厂家、终端型号进行分类后，再以终端设备的软件版本为最小分类维度对终端设备进行分类；

步骤S22：确立基线分类：基线的建立依据对终端设备安全要求为出发点，包括：端口基线和进程基线；

步骤S23：形成设备基线库。