【技术实现步骤摘要】
一种旁路流量检测设备与终端防护设备联合防御方法
本专利技术涉及特别适用于特定功能的数字计算设备或数据处理设备或数据处理方法的
,特别涉及一种旁路流量检测设备与终端防护设备联合防御方法。
技术介绍
随着网络的发展、信息化的便捷,信息安全的问题也随之越来越严峻,近年来,信息安全问题已经成为各行各业关注和讨论的热点。在传统网络安全威胁有增无减的同时,黑客攻击正在从个人向组织化、国家化的方向发展,其目的性强、动机明显、往往有明确的经济利益或政治诉求,攻击手段也从传统的“广撒网”式发展到利用社交工程、各种0day漏洞的针对性网络攻击,具有目标明确、手段高级、攻击持续、长期潜伏等特点,并且能够轻易绕过传统的安全检测和防御体系。在传统的网络安全防御体系中,终端防御能力十分脆弱,安全检测和防御体系一旦被绕过,攻击者将长驱直入,而随着计算和存储能力越来越强大,信息化的步伐越来越快,越来越多的数据被放置在了终端上,攻击者一旦侵入信息系统,用户的敏感秘密信息将受到窃取或破坏。为更好应对网络攻击行为,需要建立一套有效的“检测+防御”体...
【技术保护点】
1.一种旁路流量检测设备与终端防护设备联合防御方法,其特征在于:所述方法包括以下步骤:/n步骤1:旁路流量检测设备和终端防护设备初始化;/n步骤2:以旁路流量检测设备捕获流量中的文件投递行为,解析并分离得到待投递文件;/n步骤3:旁路流量检测设备检测待投递文件;/n步骤4:若文件为恶意文件且被投递方为内网IP,则进行下一步,否则,旁路流量检测设备扔掉当前待投递文件,返回步骤2;/n步骤5:上传当前的恶意文件特征值和被投递方的IP至终端防护设备;/n步骤6:终端防护设备基于被投递方的IP对被投递方进行查杀;/n步骤7:输出扫描结果。/n
【技术特征摘要】
1.一种旁路流量检测设备与终端防护设备联合防御方法,其特征在于:所述方法包括以下步骤:
步骤1:旁路流量检测设备和终端防护设备初始化;
步骤2:以旁路流量检测设备捕获流量中的文件投递行为,解析并分离得到待投递文件;
步骤3:旁路流量检测设备检测待投递文件;
步骤4:若文件为恶意文件且被投递方为内网IP,则进行下一步,否则,旁路流量检测设备扔掉当前待投递文件,返回步骤2;
步骤5:上传当前的恶意文件特征值和被投递方的IP至终端防护设备;
步骤6:终端防护设备基于被投递方的IP对被投递方进行查杀;
步骤7:输出扫描结果。
2.根据权利要求1所述的一种旁路流量检测设备与终端防护设备联合防御方法,其特征在于:所述步骤3中,旁路流量检测设备通过反病毒检测引擎、shellcode静态检测、沙箱动态分析检测并识别恶意文件。
3.根据权利要求1所述的一种旁路流量检测设备与终端防护设备联合防御方法,其特征在于:所述步骤3中,旁路流量检测设备检测到恶意文件后,获得恶意文件的MD5、被投递方的IP和攻击源的IP。
4.根据权利要求1所述的一种旁路流量检测设备与终端防护设备联合防御方法,其特征在...
【专利技术属性】
技术研发人员:杨燕,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。