【技术实现步骤摘要】
一种基于EDR的终端识别方法及装置
[0001]本专利技术属于终端识别
,具体涉及一种基于
EDR
的终端识别方法及装置
。
技术介绍
[0002]EDR(Endpoint Detection and Response
,端点检测和响应
)
是一种安全技术,用于检测和防止恶意软件或其他威胁在端点设备上的感染
。
它通过安装在计算机或其他设备上的客户端代理来工作,这些代理可以监控系统的状态和行为,并收集有关潜在威胁的数据
。
当检测到可疑行为时,
EDR
客户端会采取措施来阻止威胁的执行,并向安全分析人员提供有关事件的详细信息
。
[0003]随着信息技术的不断发展,企业和个人对于终端设备的安全性和隐私保护需求不断增加,终端设备的使用已经变得非常普遍
。
不同类型的终端设备,例如智能手机
、
平板电脑和笔记本电脑等,都具有不同的识别需求
。
目前市场上已经存在许多终端识别方法,大多采用直接根据终端设备类型识别终端设备容易识别错误,且识别后不能处理接踵而来的恶意攻击
。
技术实现思路
[0004]为此,本专利技术提供了一种基于
EDR
的终端识别方法及装置,以解决现有的终端识别方法,大多采用直接根据终端设备类型识别终端设备容易识别错误,且识别后不能处理接踵而来的恶意攻击的问题
。
[0005]为实现以上...
【技术保护点】
【技术特征摘要】
1.
一种基于
EDR
的终端识别方法,其特征在于,所述方法包括:通过
EDR
代理程序采集第一终端设备的第一特征信息及与所述第一特征信息相关的安全事件;所述特征信息包括终端设备类型
、
操作系统
、
应用程序和进程信息;对所述第一特征信息及与所述第一特征信息相关的安全事件分析得到所述第一终端设备的安全策略;所述安全策略包括异常行为检测
、
安全漏洞检测以及对应的处理方法;当接收到识别终端设备指令时,通过所述
EDR
代理程序获取第二终端设备的第二特征信息;若所述第二特征信息与所述第一特征信息相同,则依据所述第一终端设备对应的所述安全策略对所述第二终端设备实时监测得到监测数据;所述监测数据包括异常行为信息和安全漏洞信息
。2.
根据权利要求1所述的方法,其特征在于,在所述通过
EDR
代理程序采集第一终端设备的第一特征信息及与所述第一特征信息相关的安全事件之前,还包括:接收用户的网络请求得到用户信息;若所述用户信息中的请求操作系统为
windows
或
linux
,则检测是否安装
EDR
代理程序,若未安装所述
EDR
代理程序,则向所述用户发送
EDR
代理程序的下载链接,以便所述用户在
PC
端下载安装所述
EDR
代理程序后采集终端设备的信息;若所述用户信息中的请求操作系统为
IOS
平板系统
、IOS
手机系统
、
安卓平板系统或安卓手机系统,则将所述网络请求中的请求
IP
地址添加到
EDR
白名单,以便所述用户在移动端通过所述
EDR
代理程序采集终端设备的信息
。3.
根据权利要求1所述的方法,其特征在于,还包括:将所述第一终端设备的所述第一特征信息和所述安全策略存储到终端信息数据库,用以提高复用性便于后续识别终端设备;当接收到识别终端设备指令时,通过
EDR
代理程序获...
【专利技术属性】
技术研发人员:马小飞,郑曙光,
申请(专利权)人:北京上元信安技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。