本发明专利技术实施例公开了一种工业主机终端安全防护系统,集合行为监控、病毒查杀、远程调查取证、联动防御、风险态势展示等核心功能。采用领先的行为识别、多引擎样本鉴定、神经网络、诱捕、免疫等技术,实现了对已知、未知威胁的实时检测与处置,有效解决勒索、挖矿、免杀逃逸、无文件攻击等传统安全产品无法有效防御的威胁。通过轻量化的终端Agent程序实时获取全量的内核级微粒度行为数据对终端系统进行持续监控,并从中筛选出有助于客户进行威胁溯源的事件进行存储,实现了对威胁事件的快速分析以及响应(包括确定零号受害终端、攻击范围等),以最小的资源开销获得最大程度的保护,全面提升客户的终端安全管理能力。户的终端安全管理能力。户的终端安全管理能力。
【技术实现步骤摘要】
一种工业主机终端安全防护系统
[0001]本专利技术实施例涉及网络安全
,具体涉及一种工业主机终端安全防护系统。
技术介绍
[0002]网络通过打破时空界限、变革社会网络和经济驱动方式,已经成为当代经济繁荣、技术进步、社会意识的孵化器,也造成当前社会无法停止对网络的依赖性,网络安全问题的严重性逐渐凸显。病毒泛滥、系统漏洞、黑客攻击等诸多问题已经直接影响到网络安全。网络安全是国家安全的基础,没有网络安全就没有国家安全!
[0003]边界防护设备在网络的各个入口提供安全防护保障,但是对于病毒的横向传播和移动存储介质等来源于内部的威胁,网络边界的安全防护变得束手无策,终端作为信息资产的核心载体,终端安全防护的重要性变得极为突出。长期以来,基于签名和启发式的防病毒软件一直是广泛使用的终端安全产品,随着攻击手段的不断升级,日益严重的高级持续性威胁APT可轻易饶过传统的防病毒软件。当传统防病毒软件已不能发现与防御APT时,运用终端检测与响应技术构建的下一代终端安全防护技术已成为网络终端安全防护方案的标配。
技术实现思路
[0004]为此,本专利技术实施例提供一种工业主机终端安全防护系统,以解决传统防病毒软件已不能发现与防御APT,终端安全无法保障的问题。
[0005]为了实现上述目的,本专利技术实施例提供如下技术方案:一种工业主机终端安全防护系统,所述系统包括客户端和服务端,所述客户端与服务端采用C/S架构,通过在终端操作系统中安装轻量级Agent程序实时获取全量的内核级微粒度行为数据并进行上报,所述服务端管理采用B/S架构,根据采集的数据实现威胁行为检测、威胁告警、威胁识别、威胁分析和系统管理。
[0006]进一步地,所述服务端具体包括终端资产管理模块,用于对终端活动深度可视化,直观地展示终端资产受到的威胁风险,以及威胁事件在组织内部的感染范围;按照客户业务组织对终端进行分组以及批量管理,同时允许客户查看管理某台终端的详细信息,并支持自行导出终端数据。
[0007]进一步地,所述服务端具体包括威胁告警管理模块,所述威胁告警管理模块包括威胁溯源模块和威胁告警模块;
[0008]所述威胁溯源模块用于为告警提供可视化的上下文关联来还原攻击行为,利用全量的事件存储以及EIS终端免疫系统,为攻击源追踪取证提供依据,并结合威胁情报数据、终端威胁行为检测引擎、AI智能分析组件进行威胁识别,精确地拦截威胁并告警,还能对攻击进行调查和取证,形成威胁分析报告和情报数据,持续更新迭代的情报数据为事后的威胁溯源进一步提高丰富的数据支撑;
[0009]所述威胁告警模块用于提供实时的威胁告警信息,自动地对已知和未知威胁进行修复和处理脚本,从而减少事件影响范围;支持查看全网内所有终端产生的告警信息及其告警等级;允许客户处理来自终端的告警,以实现对全网内终端安全的威胁响应,同时允许查看系统与威胁事件相关的进程树和进程详情。
[0010]进一步地,所述服务端具体包括全网文件管理模块,所述全网文件管理模块用于查看和管理当前企业中所有安装了终端Agent程序后新添加的文件,且平台统一管理;支持查看文件的恶意程度和AI智能分析组件的扫描结果,允许修改全网文件列表中的文件类型,同时支持查看某个文件的MD5在企业内或全网范围内的分布,查看每个终端首次出现该文件的时间、主机、文件路径信息熵等信息,最终以实现EIS终端免疫系统的拦截或放过。
[0011]进一步地,所述服务端具体包括安全策略管理模块,所述安全策略管理模块包括安全策略配置模块、病毒防御策略配置模块以及终端免疫系统策略配置模块;
[0012]所述安全策略配置模块用于对安全策略进行编辑、新增和查看操作,以及在编辑、新增时,定制当前企业使用的规则和功能的开关配置,并将配置保存为安全策略下发至终端进行安全响应;
[0013]所述病毒防御策略配置模块用于对当前使用的规则进行自定义开关配置,拦截网内所有黑文件;同时开启隔离开关,针对AI智能分析组件的鉴定结果对病毒进行防御查杀,并能将该策略应用到目前企业组织结构中的不同分组;
[0014]所述终端免疫系统策略配置模块用于自定义开关配置终端免疫系统策略,为关键资产提供高级别保护策略;基于在本地自学习中建立本地文件基因信息数据库,实现为基因偏离筛选本地可执行文件,对系统试图装载到内存中准备执行的文件进行严格的基因偏离筛选,精确地截获存在的威胁事件;实现在未安装杀毒软件、未对操作系统进行补丁升级的情况下避免服务器等重要资产遭受未知威胁的危害,以减少不必要的威胁事件,并实现精确地截取黑白名单文件,为终端提供可靠的安全保护和免疫作用。
[0015]进一步地,所述服务端具体包括报表管理模块,所述报表管理模块包括资产、威胁报表管理模块和自定义报表管理模块;
[0016]所述资产、威胁报表管理模块用于使用者通过区分不同的报表入口来生成报表模板;选取日报、周报、月报、自定义时间段和部门分组信息,生成资产报表或威胁报表;产生报表内容供客户在第一时间了解当前全网内资产的分布情况,同时客户能自行下载导出资产报表或威胁报表数据;
[0017]所述自定义报表管理模块用于客户选择自定义报表项、报表统计周期、部门分组创建见即所得的报表,以生成全网安全近况资讯;并且允许下载报表,下载文件格式为PDF、HTML的文件;同时支持自动发送设置,能新增不同的邮件发送配置。
[0018]进一步地,所述服务端具体包括大屏展示模块,所述大屏展示模块用于根据风险终端、风险服务器、未处理告警显示企业终端综合评分值,显示最近24小时内登录的终端、服务器产生告警的告警等级占比情况及数量和资产中产生告警计算的TOP5数据和在线数量及总数,以及基于AI智能分析组件鉴定扫描后的异常文件数量和无异常文件数量;并且通过柱状图实时动态显示最近24小时内服务器、终端产生的告警量、处理告警量的走势图、ATT&CK指标项的分布情况以及当前登录企业中告警总数、已处置数、未处置数、EIS拦截总数、风险终端、风险服务器的数据,也包含当前登录企业中产生告警事件的资产信息和终端
事件告警情况。
[0019]进一步地,所述服务端具体包括病毒防御模块,所述病毒防御模块用于结合终端免疫系统、AI智能分析组件、安全事件关联技术实现全网联动机制,支持对终端进行全面的实时检测保护,将终端上的重要目标文件进行扫描检测,对存在风险的文件进行有效拦截并隔离;让客户能手动设置扫描部门、文件路径、文件类型等,并且支持选择是否隔离异常文件,以及恢复、删除文件。
[0020]进一步地,将多种病毒扫描引擎集中化形成扫描节点,并将扫描节点网络化,实现了分布式多引擎恶意样本鉴定平台;平台提供的标准SDK接口为后期集成新的病毒扫描引擎以实现横向扩展提供了支持,同时还实现了在不停机的情况下对扫描节点数量的动态调整,以及在同一个扫描节点中实时添加、删除任意数量的扫描引擎的功能。
[0021]本专利技术实施例具有如下优点:
[0022]本专利技术实施例本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工业主机终端安全防护系统,其特征在于,所述系统包括客户端和服务端,所述客户端与服务端采用C/S架构,通过在终端操作系统中安装轻量级Agent程序实时获取全量的内核级微粒度行为数据并进行上报,所述服务端管理采用B/S架构,根据采集的数据实现威胁行为检测、威胁告警、威胁识别、威胁分析和系统管理。2.根据权利要求1所述的一种工业主机终端安全防护系统,其特征在于,所述服务端具体包括终端资产管理模块,用于对终端活动深度可视化,直观地展示终端资产受到的威胁风险,以及威胁事件在组织内部的感染范围;按照客户业务组织对终端进行分组以及批量管理,同时允许客户查看管理某台终端的详细信息,并支持自行导出终端数据。3.根据权利要求1所述的一种工业主机终端安全防护系统,其特征在于,所述服务端具体包括威胁告警管理模块,所述威胁告警管理模块包括威胁溯源模块和威胁告警模块;所述威胁溯源模块用于为告警提供可视化的上下文关联来还原攻击行为,利用全量的事件存储以及EIS终端免疫系统,为攻击源追踪取证提供依据,并结合威胁情报数据、终端威胁行为检测引擎、AI智能分析组件进行威胁识别,精确地拦截威胁并告警,还能对攻击进行调查和取证,形成威胁分析报告和情报数据,持续更新迭代的情报数据为事后的威胁溯源进一步提高丰富的数据支撑;所述威胁告警模块用于提供实时的威胁告警信息,自动地对已知和未知威胁进行修复和处理脚本,从而减少事件影响范围;支持查看全网内所有终端产生的告警信息及其告警等级;允许客户处理来自终端的告警,以实现对全网内终端安全的威胁响应,同时允许查看系统与威胁事件相关的进程树和进程详情。4.根据权利要求1所述的一种工业主机终端安全防护系统,其特征在于,所述服务端具体包括全网文件管理模块,所述全网文件管理模块用于查看和管理当前企业中所有安装了终端Agent程序后新添加的文件,且平台统一管理;支持查看文件的恶意程度和AI智能分析组件的扫描结果,允许修改全网文件列表中的文件类型,同时支持查看某个文件的MD5在企业内或全网范围内的分布,查看每个终端首次出现该文件的时间、主机、文件路径信息熵等信息,最终以实现EIS终端免疫系统的拦截或放过。5.根据权利要求1所述的一种工业主机终端安全防护系统,其特征在于,所述服务端具体包括安全策略管理模块,所述安全策略管理模块包括安全策略配置模块、病毒防御策略配置模块以及终端免疫系统策略配置模块;所述安全策略配置模块用于对安全策略进行编辑、新增和查看操作,以及在编辑、新增时,定制当前企业使用的规则和功能的开关配置,并将配置保存为安全策略下发至终端进行安全响应;所述病毒防御策略配置模块用于对当前使用的规则进行自定义开关配置,拦截网内所有黑文件;同时开启隔离开关,针对AI智能分析组件的鉴定结果对病毒进行防御查杀,并能将该策略应用到目前企业组织结构中的不同分组;所述终端免疫系统策略配置模块用于自定义开关配置终端免疫系...
【专利技术属性】
技术研发人员:王绍杰,霍朝宾,贺敏超,衣然,杨继,王晔,周帅,万佳蓉,
申请(专利权)人:中国电子信息产业集团有限公司第六研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。