[发明专利]终端威胁检测与响应方法及引擎有效
| 申请号: | 201810973711.5 | 申请日: | 2018-08-24 |
| 公开(公告)号: | CN109255238B | 公开(公告)日: | 2022-01-28 |
| 发明(设计)人: | 马寻 | 申请(专利权)人: | 成都网思科平科技有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京知呱呱知识产权代理有限公司 11577 | 代理人: | 吕学文;武媛 |
| 地址: | 610000 四川省成都市武侯区中国(四川)自*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了终端威胁检测与响应方法及引擎,所述引擎包括动作检测模块、基础信息模块、行为分析模块、威胁报警模块及自动处置模块,各个相互之间配合工作,由动作检测模块和基础信息模块提供数据,行为分析模块进行判断,如果发现威胁,则由威胁报警模块进行报警,并由自动处置模块根据实际情况按照规则指定的条件进行自动响应。本发明实施例公开的引擎与当前的大多数检测软件所使用的正则、YARA、特征等常规检测手段不同,采用了LUA语言进行引擎编写,使得引擎可以在不需要修改任何代码的情况下跨平台运行。当检测规则发生改变的时候只需要对LUA的脚本进行动态替换,而不需要重新编译整个系统。 | ||
| 搜索关键词: | 终端 威胁 检测 响应 方法 引擎 | ||
【主权项】:
1.终端威胁检测与响应方法,其特征在于,所述方法包括:获取系统发生事件的数据以及附加信息;检测所述事件行为规则包含的所有动作规则,利用进程属性标示所述动作规则的进程是否存在威胁;针对被标示的可疑行为规则包含的所有动作规则形成至少一个动作检测标志;对每个可疑行为规则所包含的所有动作检测标志进行行为匹配分析;如果所述可疑行为规则所包含的所有动作检测标志全部与至少一个标志位匹配,所述可疑行为规则确定存在威胁;其中,每个动作检测标志为由每个动作规则的所有的进程PID作为元素形成的一个可疑进程PID列表,所述标志位为所述可疑进程PID列表中的某个进程PID元素。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于成都网思科平科技有限公司,未经成都网思科平科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201810973711.5/,转载请声明来源钻瓜专利网。
