[发明专利]一种终端检测与响应系统

权利要求书

1.一种终端检测与响应系统，其特征在于，包括：

至少一个检测点，用于捕获事件，并构造所述事件的事件上下文发送给过滤引擎；

安全对象数据库，用于存储关键对象的信息；

过滤引擎，用于维护策略集合，并根据所述策略集合对所述检测点传入的事件上下文进行过滤处理，返回过滤结果；其中，在所述过滤引擎对所述事件上下文进行过滤判断时，查询所述安全对象数据库获取所述事件相关对象的信息；

所述检测点，还用于根据所述过滤结果执行对应操作；

其中，所述过滤引擎对检测点传入的事件上下文进行过滤处理，包括以下步骤：

根据事件上下文中的事件类型，按策略的优先级，从所述策略集合中筛选出与所述事件上下文匹配的策略集合；

依次遍历与事件上下文匹配的策略集合，对于每一项策略，首先以所述事件上下文作为参数，计算所述策略的触发表达式，在结果为真时，再依次匹配策略的访问控制规则；

遍历所述策略中的访问控制规则，对于每一个访问控制规则，以所述事件上下文作为参数，计算规则的规则判定表达式，如果结果为假，继续遍历下一个规则，如果结果为真，则运行规则处置表达式指定的处置方法，返回过滤结果；

如果没有命中访问控制规则，则执行策略默认处置表达式中指定的处置方法，返回过滤结果；

其中，在一项策略返回的过滤结果为继续标识的情况下，将继续后续策略的匹配，在一项策略返回的过滤结果不为继续标识的情况下，结束策略匹配，返回过滤结果到所述检测点。

2.根据权利要求1所述的终端检测与响应系统，其特征在于，

所述过滤引擎，集中管理终端检测与响应系统全部所需的策略集合；

所述过滤引擎，为所有检测点提供了唯一的事件过滤入口。

3.根据权利要求1所述的终端检测与响应系统，其特征在于，所述事件上下文包括事件标识、事件参数、主体对象、客体对象、变换客体对象和事件的摘要中的一种或多种。

4.根据权利要求1所述的终端检测与响应系统，对于所述策略集合中的每一项策略的格式定义，除去包含策略标识、策略优先级外，其特征在于，

所述每一项策略中包含一个事件类型集合，用于判定所述事件上下文与所述每一项策略是否匹配；

所述每一项策略中包含一个触发表达式，用于判断所述事件与所述每一项策略是否匹配；

所述每一项策略中可以包含N个规则，每个规则中包含一个规则判定表达式和一个规则处置表达式，用于在事件满足所述规则判定表达式时，执行所述规则处置表达式描述的处理；其中，N为自然数；所述规则判定表达式在运算过程中，使用所述事件上下文中所关联的全部对象及对象属性；

所述每一项策略中可以包含一个默认处置表达式，用于执行没有命中规则时的处理。

5.根据权利要求4所述的终端检测与响应系统，其特征在于：

一个规则处置表达式可以包含多个处置方法，所述处置方法包括返回过滤结果代码的处置标识或通过参数指定的其它代码、全局过程的调用处置标识、对象相关的方法调用标识。

6.根据权利要求1所述的终端检测与响应系统，其特征在于，所述安全对象数据库中，存储所述关键对象的属性包括：

每一个对象具有一个唯一的对象标识，所述对象标识用于从数据库中获取一个对象；

每一个对象包含一个来源属性，所述来源属性用于指定对象的创建者；

每一个对象关联到一个行为矩阵属性，所述行为矩阵属性用于存储同一来源对象的行为信息。