[发明专利]一种终端检测与响应系统

说明书

本公开涉及一种终端检测与响应系统，包括：至少一个检测点，用于捕获事件，并构造事件的事件上下文发送给过滤引擎；安全对象数据库，用于存储关键对象的信息；过滤引擎，用于维护策略集合，并根据策略集合对检测点传入的事件上下文进行过滤处理，返回过滤结果；其中，在过滤引擎对事件上下文进行过滤判断时，查询安全对象数据库获取事件相关对象的信息；检测点，还用于根据过滤结果执行对应操作。由此，在终端能够实时检测和响应，提高检测效率和效果。

技术领域

本公开涉及信息安全领域技术领域，尤其涉及一种终端检测与响应系统。

背景技术

目前，从最早出现的病毒，蠕虫、特洛伊木马，到APT(Advanced PersistentThreat，高级持续性威胁)，恶意代码始终是对信息系统最重大的威胁。

相关技术中，对恶意代码的防范手段通常为杀毒软件或主动防御软件，杀毒软件是通过检测恶意代码中包含的特征码签名实现的，杀毒软件的有效性与其病毒库紧密相关，随着新的恶意代码被发现，病毒库也要保持更新，因此，病毒库的更新周期内，对新产生的恶意代码无法防范，尤其对隐伏较深的恶意代码，一旦大面积爆发，升级病毒库为时已晚，无力应对APT，攻击者采用的各种混淆、规避手段，能够绕过防御，病毒库的不断增长，必将对检测效率有影响；主动防御软件针对恶意代码可能利用的技术，在代码运行期间监控其对特定资源的访问，在捕获到有风险的操作时，或者提示用户、由用户决定是否阻断该操作，或者直接阻断该操作，然而，在风险操作发生时，难以判定是否真的是恶意行为，如要由用户决策则依赖于用户的专业知识；如果直接判定，则容易失误，仍然无力应对APT常用的规避手段，例如借用白名单中的系统工具完成恶意操作从而绕过检测。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种终端检测与响应系统。

本公开提供了一种终端检测与响应系统，其特征在于，包括：

至少一个检测点，用于捕获事件，并构造所述事件的事件上下文发送给过滤引擎；

安全对象数据库，用于存储关键对象的信息；

过滤引擎，用于维护策略集合，并根据所述策略集合对所述检测点传入的事件上下文进行过滤处理，返回过滤结果；其中，在所述过滤引擎对所述事件上下文进行过滤判断时，查询所述安全对象数据库获取所述事件相关对象的信息；

所述检测点，还用于根据所述过滤结果执行对应操作。

在本公开的一个可选实施例中，所述过滤引擎，集中管理终端检测与响应系统全部所需的策略集合；

所述过滤引擎，为所有检测点提供了唯一的事件过滤入口。

在本公开的一个可选实施例中，所述事件上下文包括但不限于事件标识、事件参数、主体对象、客体对象、变换客体对象和事件的摘要中的一种或多种。

在本公开的一个可选实施例中，对于所述策略集合中的每一项策略的格式定义，除去包含策略标识、策略优先级外，

所述每一项策略中包含一个事件类型集合，用于判定所述事件上下文与所述每一项策略是否匹配；

所述每一项策略中包含一个触发判定表达式，用于判断所述事件与所述每一项策略是否匹配；

所述每一项策略中可以包含N个规则，每个规则中包含一个规则判定表达式和一个规则处置表达式，用于在事件满足所述规则判定表达式时，执行所述规则处置表达式描述的处理；其中，N为自然数；所述判定表达式在运算过程中，使用所述事件上下文中所关联的全部对象及对象属性；

所述每一项策略中可以包含一个默认处置表达式，用于执行没有命中规则时的处理。