CN115525897A - 终端设备的***检测方法、装置、电子装置和存储介质 - Google Patents
终端设备的***检测方法、装置、电子装置和存储介质 Download PDFInfo
- Publication number
- CN115525897A CN115525897A CN202211186499.0A CN202211186499A CN115525897A CN 115525897 A CN115525897 A CN 115525897A CN 202211186499 A CN202211186499 A CN 202211186499A CN 115525897 A CN115525897 A CN 115525897A
- Authority
- CN
- China
- Prior art keywords
- detection
- system data
- terminal
- terminal device
- detection result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及一种终端设备的***检测方法、装置、电子装置和存储介质,其中,该方法包括:接收终端设备实时采集并发送的多个检测项目对应的***数据;基于规则引擎分别对每个所述检测项目对应的所述***数据进行分析,得到第一检测结果,所述规则引擎中设有多个***风险对应的检测规则;基于多个所述检测项目对应的所述第一检测结果,生成终端***检测报告。通过本申请,解决了现有技术中对终端***进行健康检测的效率较低的技术问题,降低了终端设备健康检测的成本,提高了检测的及时性、快速性和有效性,降低了终端设备的周期性持续化检测的成本。
Description
技术领域
本申请涉及网络安全领域,特别是涉及一种终端设备的***检测方法、装置、电子装置和存储介质。
背景技术
计算机等终端设备往往需要定期进行检测,以对***的健康状况进行评估,根据评估结果确定终端***有无异常,并对指定的项目进行重点的数据检查和分析,在风险发生的前期及时对***进行治理。
为了对终端***进行健康检测,现有技术中主要通过安全运营人员基于专业的工具手动进行检测和分析,并且检测过程往往在终端设备现场进行,检测过程繁琐,不能及时、快速、有效地对终端设备进行分析和检测,周期性持续化检测的成本过高。因此,现有技术中对终端***进行健康检测的效率较低。
针对相关技术中存在的对终端***进行健康检测的效率较低的技术问题,目前还没有提出有效的解决方案。
发明内容
在本实施例中提供了一种终端设备的***检测方法、装置、电子装置和存储介质,以解决相关技术中对终端***进行健康检测的效率较低的问题。
第一个方面,在本实施例中提供了一种终端设备的***检测方法,包括:
接收终端设备实时采集并发送的多个检测项目对应的***数据;
基于规则引擎分别对每个所述检测项目对应的所述***数据进行分析,得到第一检测结果,所述规则引擎中设有多个***风险对应的检测规则;
基于多个所述检测项目对应的所述第一检测结果,生成终端***检测报告。
在其中的一些实施例中,所述接收终端设备实时采集并发送的多个检测项目对应的***数据之前还包括:
基于预设时间周期向终端设备发送检测任务指令,所述检测任务指令中包含多个检测项目的信息,用于控制所述终端设备实时采集多个所述检测项目对应的***数据并发送至中心平台。
在其中的一些实施例中,所述接收终端设备实时采集并发送的多个检测项目对应的***数据之前还包括:
分别基于每种***风险确定对应的正则表达式,所述正则表达式用于在所述***数据中对所述***风险进行匹配;
分别基于每种***风险确定对应的风险等级;
基于所述正则表达式以及所述风险等级确定所述检测规则,并基于所述检测规则建立所述规则引擎。
在其中的一些实施例中,所述基于规则引擎分别对每个所述检测项目对应的所述***数据进行分析,得到第一检测结果之后还包括:
若所述***数据中存在未签名文件,则对所述未签名文件进行病毒库静态扫描和/或沙箱动态分析,得到第二检测结果;
基于所述第一检测结果以及所述第二检测结果,生成终端***检测报告。
在其中的一些实施例中,所述若所述***数据中存在未签名文件,则对所述未签名文件进行病毒库静态扫描和/或沙箱动态分析,得到第二检测结果之后还包括:
分别将每个所述检测项目对应的所述***数据与历史参考数据进行对比,得到第三检测结果;
基于所述第一检测结果、所述第二检测结果以及所述第三检测结果,生成终端***检测报告。
在其中的一些实施例中,所述分别将每个所述检测项目对应的所述***数据与历史参考数据进行对比,得到第三检测结果包括:
判断每个所述检测项目对应的所述***数据与所述历史参考数据是否相同,若不相同,则记录所述检测项目以及所述检测项目对应的账户信息和/或操作信息,得到所述第三检测结果。
在其中的一些实施例中,所述检测项目包括***基本信息、安全策略配置、启动项、计划任务、环境变量、补丁信息、应用组件、即时进程、即时网络连接和服务信息以及***可疑目录下文件信息中的至少两种。
第二个方面,在本实施例中提供了一种终端设备的***检测装置,包括:
接收模块,用于接收终端设备实时采集并发送的多个检测项目对应的***数据;
分析模块,用于基于规则引擎分别对每个所述检测项目对应的所述***数据进行分析,得到第一检测结果,所述规则引擎中设有多个***风险对应的检测规则;
生成模块,用于基于多个所述检测项目对应的所述第一检测结果,生成终端***检测报告。
第三个方面,在本实施例中提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一个方面所述的终端设备的***检测方法。
第四个方面,在本实施例中提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一个方面所述的终端设备的***检测方法。
与相关技术相比,本申请中提供了一种终端设备的***检测方法、装置、电子装置和存储介质,所述方法包括:接收终端设备实时采集并发送的多个检测项目对应的***数据;基于规则引擎分别对每个所述检测项目对应的所述***数据进行分析,得到第一检测结果,所述规则引擎中设有多个***风险对应的检测规则;基于多个所述检测项目对应的所述第一检测结果,生成终端***检测报告。通过中心平台采集各个终端设备的***数据,基于***数据的检测项目类别分别对不同的***数据进行分析,并且分析过程由预先建立的规则引擎自动化进行,无需通过安全运营人员在终端设备现场进行干预,也无需在终端设备中安装专业的健康检测软件,只需要通过中心平台获取终端设备的***数据即可,整个检测过程自动化进行,解决了现有技术中对终端***进行健康检测的效率较低的技术问题,降低了终端设备健康检测的成本,提高了检测的及时性、快速性和有效性,降低了终端设备的周期性持续化检测的成本。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请一实施例的终端设备的***检测方法的终端硬件结构框图;
图2是本申请一实施例的终端设备的***检测方法的流程示意图;
图3是本申请另一实施例的终端设备的***检测方法的流程示意图;
图4是本申请一实施例的终端设备的***检测方法的结构框图。
具体实施方式
为更清楚地理解本申请的目的、技术方案和优点,下面结合附图和实施例,对本申请进行了描述和说明。
除另作定义外,本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制,它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体,其目的是涵盖不排他的包含;例如,包含一系列步骤或模块(单元)的过程、方法和***、产品或设备并未限定于列出的步骤或模块(单元),而可包括未列出的步骤或模块(单元),或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接,而可以包括电气连接,无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。通常情况下,字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等,只是对相似对象进行区分,并不代表针对对象的特定排序。
在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行,图1是本实施例的终端设备的***检测方法的终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104,其中,处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限制。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示出的不同配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如在本实施例中的终端设备的***检测方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(NetworkInterface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
请参阅图2,图2是本申请一实施例的终端设备的***检测方法的流程示意图。
在一个实施例中,终端设备的***检测方法包括:
S202:接收终端设备实时采集并发送的多个检测项目对应的***数据。
示例性地,本实施例中的***检测方法应用于中心平台,即终端设备对应的中心服务器,例如EDR/XDR中心平台。在需要对终端设备的***进行检测时,终端设备首先基于需要检测的项目采集对应的***数据,例如检测项目为补丁程序时,终端设备采集补丁对应的源码数据。终端设备采集到的对应的***数据后,将***数据发送至中心平台,中心平台接收上述***数据。
具体的,本实施例中的终端设备,优选的设置为计算机。终端设备的数量为一个或者多个,通过中心平台对终端设备进行健康检测。
具体的,本实施例中的检测项目,是指对终端设备的操作***进行检测的列项,包括但不限于***基本信息、安全策略配置、启动项、计划任务、环境变量、补丁信息、应用组件、即时进程、即时网络连接和服务信息以及***可疑目录下文件信息等。
示例性地,本实施例中对终端设备进行***检测,是指对终端设备的***健康项目进行检查,是一种对***进行数据收集和分析的过程。通过本实施例的***检测方法,可以了解终端设备的健康状况,根据***数据分析终端设备有无异常性特征,进一步分析这些异常性特征,以做更深入的检查和确认。
S204:基于规则引擎分别对每个检测项目对应的***数据进行分析,得到第一检测结果,规则引擎中设有多个***风险对应的检测规则。
示例性地,中心平台接收到终端设备发送的***数据后,基于规则引擎对***数据进行分析,生成每个检测项目对应的第一检测结果。其中,规则引擎是一种嵌入应用程序中的组件,用于加载预设的业务规则,按照预设的业务规则对输入数据进行处理并做出业务决策。
具体的,本实施例中的规则引擎用于加载不同的***风险对应的检测规则,按照该检测规则对***数据进行处理,从而确定***数据中是否存在相应的***风险。例如,将检测规则设置为对特定的字符串进行匹配,将***数据中存在该字符串的检测项目确定为风险项目,通过规则引擎加载该检测规则。
S206:基于多个检测项目对应的第一检测结果,生成终端***检测报告。
示例性地,获取多个检测项目的第一检测结果后,基于第一检测结果生成终端***检测报告。其中,该终端***检测报告包含了多个检测项目及对应的评分结果、风险类型、风险等级等信息,用于用户对终端设备的健康状况进行评估和决策。
本实施例中接收终端设备实时采集并发送的多个检测项目对应的***数据;基于规则引擎分别对每个检测项目对应的***数据进行分析,得到第一检测结果,规则引擎中设有多个***风险对应的检测规则;基于多个检测项目对应的第一检测结果,生成终端***检测报告。通过中心平台采集各个终端设备的***数据,基于***数据的检测项目类别分别对不同的***数据进行分析,并且分析过程由预先建立的规则引擎自动化进行,无需通过安全运营人员在设备现场进行干预,也无需在终端设备中安装专业的健康检测软件,只需要通过中心平台获取终端设备的***数据即可,整个检测过程自动化进行,解决了现有技术中对终端***进行健康检测的效率较低的技术问题,降低了终端设备健康检测的成本,提高了检测的及时性、快速性和有效性,降低了终端设备的周期性持续化检测的成本。
在另一个实施例中,接收终端设备实时采集并发送的多个检测项目对应的***数据之前还包括:
基于预设时间周期向终端设备发送检测任务指令,检测任务指令中包含多个检测项目的信息,用于控制终端设备实时采集多个检测项目对应的***数据并发送至中心平台。
示例性地,将中心平台设置为按照预设时间周期向终端设备发送检测任务指令,例如每隔12小时,或者按照设定的日期以及时间点发送指令。其中,检测任务指令中还包含了需要进行健康检测的检测项目信息,以告知终端设备需要采集和发送的***数据。
示例性地,终端设备接收到检测任务指令后,实时采集检测项目对应的***数据,并通过数据传输通道将***数据发送至中心平台。
具体的,可在终端设备中部署数据采集终端,通过数据采集终端实时采集***数据。
具体的,本实施例中的方案,用于中心平台的数据收集。对终端***进行健康检测时,需要对重点位置和项目的***数据进行收集,并进行后续的数据集中管理、数据差异性分析以及多手段辅助检测。在检测过程中,所涉及的检测项目包括***基本信息、安全策略配置、启动项、计划任务、环境变量、补丁信息、应用组件、即时进程、即时网络连接和服务信息以及***可疑目录下文件信息等。
具体的,在收集***数据时,需要保证数据收集的准确性和全面性,例如在收集网络连接信息时需要获取正在建立连接的远程IP地址及国家地区、进程名和命令行参数、镜像路径及签名信息、Hash值等,从而为检测项目的风险判断提供丰富的信息支撑和依据。
本实施例基于预设时间周期向终端设备发送检测任务指令,终端设备在接收到检测任务指令后将检测项目对应的***数据发送至中心平台,整个检测过程无需人工干预即可定期对终端设备进行健康检测,实现了终端设备定期检测的自动化,提高了对终端设备进行周期性检测的效率。
在另一个实施例中,接收终端设备实时采集并发送的多个检测项目对应的***数据之前还包括:
步骤1:分别基于每种***风险确定对应的正则表达式,正则表达式用于在***数据中对***风险进行匹配;
步骤2:分别基于每种***风险确定对应的风险等级;
步骤3:基于正则表达式以及风险等级确定检测规则,并基于检测规则建立规则引擎。
示例性地,终端设备的***中往往存在各种风险,例如***开启了Guest账户、Office软件启用了宏代码执行等操作后,上述配置可能会使得***处于被入侵或者被恶意利用等风险中。根据不同***风险的特点,编写每种风险对应的正则表达式。其中,正则表达式是一种对字符串进行操作的逻辑公式,以用于按照***风险的特征对***数据进行字符串匹配,进而确定***数据对应的检测项目是否存在相应的***风险。
示例性地,根据每种***风险的危害程度,确定对应的风险等级,以用于对不同***风险的危害程度进行区分。
示例性地,基于正则表达式以及风险等级确定检测规则,例如通过检测规则中的正则表达式内容,确定检测项目中每种***风险存在的概率,通过检测规则中的风险等级内容,对每种***风险进行打分,进而对检测项目对应的每种***风险进行加权,得到检测结果。
示例性地,确定检测规则后,建立规则引擎并通过规则引擎加载上述检测规则,以对***数据进行分析,例如通过规则引擎对***数据逐行进行风险匹配检测,生成第一检测结果。其中,第一检测结果可以通过检测项目对应的风险列表的形式展现,风险列表中包含了每种***风险及其检测结果(例如***风险的存在概率与风险等级的加权结果)。
具体的,本实施例中通过建立检测规则,以对***数据进行分析。其中,***数据的检测规则需要对数据进行精准和快速的分析判断,以确定***是否关闭了防火墙、是否安装安全软件、是否开启了不必要的端口、是否已修复***补丁、登录日志记录是否异常等。对于不同的检测项目,可以需要定义不同的指标和风险等级,并给用户提供风险告警的描述、风险知识信息以及改善建议等。
本实施例分别基于每种***风险确定对应的正则表达式,正则表达式用于在***数据中对***风险进行匹配;分别基于每种***风险确定对应的风险等级;基于正则表达式以及风险等级确定检测规则,基于该检测规则可以确定***数据中的各项潜在风险以及危害程度,提高了***检测的准确性和全面性。
在另一个实施例中,基于规则引擎分别对每个检测项目对应的***数据进行分析,得到第一检测结果之后还包括:
步骤1:若***数据中存在未签名文件,则对未签名文件进行病毒库静态扫描和/或沙箱动态分析,得到第二检测结果;
步骤2:基于第一检测结果以及第二检测结果,生成终端***检测报告。
示例性地,接收到终端设备发送的***数据后,判断***数据中是否存在未签名文件,其中,未签名文件是指没有经过操作***认证的文件,例如未签名的可执行程序或者脚本文件等。若存在未签名文件,则对该未签名文件进行病毒库静态扫描以及沙箱动态分析,进而得到针对未签名文件的第二检测结果。最后,通过第一检测结果以及第二检测结果,生成终端***检测报告。
具体的,对于未签名文件,可通过病毒扫描软件进行病毒库静态扫描,以确定未签名文件中是否存在病毒。若病毒扫描软件没有扫描出病毒,或者无法对未签名文件进行扫描,则进一步通过沙箱进行动态分析,以确定是否存在风险。其中,沙箱是指一种虚拟***程序,可用于模拟运行***程序,一般通过沙盘对不受信任的文件或者应用程序进行测试。
具体的,对于未签名文件,可通过规则引擎、病毒扫描软件以及沙箱等工具进行分析检测,确定是否存在***风险以及***风险的等级。
本实施例中对未签名文件进行病毒库静态扫描以及沙箱动态分析,以对未签名文件的风险进行识别,从而提高了***检测的全面性,进而提高了终端设备的安全性。
在另一个实施例中,若***数据中存在未签名文件,则对未签名文件进行病毒库静态扫描和/或沙箱动态分析,得到第二检测结果之后还包括:
步骤1:分别将每个检测项目对应的***数据与历史参考数据进行对比,得到第三检测结果;
步骤2:基于第一检测结果、第二检测结果以及第三检测结果,生成终端***检测报告。
示例性地,获取每个检测项目对应的***数据后,将当前时间点获取的***数据与历史参考数据进行对比,基于对比结果得到第三检测结果,并基于第一检测结果、第二检测结果以及第三检测结果生成终端***检测报告。其中,历史参考数据是指该检测项目在当前时间点之前获取的***数据,例如上一个时间点获取的***数据或者首次获取的***数据。
具体的,将检测项目对应的***数据与历史参考数据进行对比,可以基于差异化的数据快速定位风险及其位置。通常状况下,终端***出现异常时不需要逐项进行检查,只需要关注存在差异的重点项即可,例如在当前检测过程中发现新增一个未知用户的差异项,则可以重点关注该用户由谁创建、是否登录、登录地址、登录后操作行为等信息,进而判断对应的风险。可见,差异化对比可以方便运维人员快速对终端设备的***数据进行定位和定性。
本实施例分别将每个检测项目对应的***数据与历史参考数据进行对比,从而基于存在差异的数据快速对***风险进行定位,例如确定风险的位置和时间段等,并对定位的***风险进行重点分析,无需逐项进行分析,提高了计算资源分配的合理性,从而提高了***检测的效率。并且,本实施例联动规则引擎、病毒扫描软件及沙箱、差异化对比机制对***数据进行增强分析,提高了***检测的准确性。
在另一个实施例中,分别将每个检测项目对应的***数据与历史参考数据进行对比,得到第三检测结果包括:
判断每个检测项目对应的***数据与历史参考数据是否相同,若不相同,则记录检测项目以及检测项目对应的账户信息和/或操作信息,得到第三检测结果。
示例性地,获取检测项目对应的***数据后,将当前的***数据与历史参考数据进行对比,若二者相同,则表明在当前时间点之前的时间段内***数据没有发生变化,其存在***风险的概率很小;若二者不同,则表明在当前时间点之前的时间段内的***数据发生了变化,例如可能存在创建了未知账户、进行了未经授权的***修改等风险,因此需要对发生变化的***数据对应的检测项目进行重点分析,并记录对应的账户信息以及操作信息,从而生成第三检测结果。
本实施例中若***数据发生变化,则记录对应的账户信息以及操作信息,从而提高了检测结果的全面性,进而提高了终端设备的***检测的准确性。
在另一个实施例中,检测项目包括***基本信息、安全策略配置、启动项、计划任务、环境变量、补丁信息、应用组件、即时进程、即时网络连接和服务信息以及***可疑目录下文件信息中的至少两种。
请参阅图3,图3是本申请另一实施例的终端设备的***检测方法的流程示意图。
结合以上实施例,本申请还公开了一种具体的终端设备的***检测方法。具体的,如图3所示,在需要对终端设备进行***体检时,XDR/EDR中心平台向主机***/资产终端发送体检指令,主机***/资产终端接收到体检指令后采集体检数据,包括启动项、计划任务、用户信息、基线信息、应用组件、环境变量、补丁信息、进程信息、网络连接信息以及其他信息等;主机***/资产终端将采集到的体检数据发送至XDR/EDR中心平台,XDR/EDR中心平台接收体检数据,并基于检测规则对体检数据进行分析;进一步,若存在未知文件,则基于沙箱对未知文件进行分析,对未知文件的风险进行评估,得到威胁情报;然后,将体检数据与历史数据进行对比,确定体检数据是否发生变化;最后,对以上获取的分析结果进行汇总,得到综合评估汇总报告,并向用户可视化输出,以供用户进行分析与决策。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中还提供了一种终端设备的***检测装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是本实施例的终端设备的***检测装置的结构框图,如图4所示,该装置包括:
接收模块10,用于接收终端设备实时采集并发送的多个检测项目对应的***数据;
分析模块20,用于基于规则引擎分别对每个检测项目对应的***数据进行分析,得到第一检测结果,规则引擎中设有多个***风险对应的检测规则;
生成模块30,用于基于多个检测项目对应的第一检测结果,生成终端***检测报告;
终端设备的***检测装置,还包括指令发送模块;
指令发送模块,用于基于预设时间周期向终端设备发送检测任务指令,检测任务指令中包含多个检测项目的信息,用于控制终端设备实时采集多个检测项目对应的***数据并发送至中心平台;
终端设备的***检测装置,还包括规则引擎建立模块;
规则引擎建立模块,用于分别基于每种***风险确定对应的正则表达式,正则表达式用于在***数据中对***风险进行匹配;
分别基于每种***风险确定对应的风险等级;
基于正则表达式以及风险等级确定检测规则,并基于检测规则建立规则引擎;
终端设备的***检测装置,还包括未签名文件分析模块;
未签名文件分析模块,用于若***数据中存在未签名文件,则对未签名文件进行病毒库静态扫描和/或沙箱动态分析,得到第二检测结果;
基于第一检测结果以及第二检测结果,生成终端***检测报告;
终端设备的***检测装置,还包括差异分析模块;
差异分析模块,用于分别将每个检测项目对应的***数据与历史参考数据进行对比,得到第三检测结果;
基于第一检测结果、第二检测结果以及第三检测结果,生成终端***检测报告;
差异分析模块,还用于判断每个检测项目对应的***数据与历史参考数据是否相同,若不相同,则记录检测项目以及检测项目对应的账户信息和/或操作信息,得到第三检测结果。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
在本实施例中还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,接收终端设备实时采集并发送的多个检测项目对应的***数据;
S2,基于规则引擎分别对每个检测项目对应的***数据进行分析,得到第一检测结果,规则引擎中设有多个***风险对应的检测规则;
S3,基于多个检测项目对应的第一检测结果,生成终端***检测报告。
需要说明的是,在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,在本实施例中不再赘述。
此外,结合上述实施例中提供的终端设备的***检测方法,在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种终端设备的***检测方法。
应该明白的是,这里描述的具体实施例只是用来解释这个应用,而不是用来对它进行限定。根据本申请提供的实施例,本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例,均属本申请保护范围。
显然,附图只是本申请的一些例子或实施例,对本领域的普通技术人员来说,也可以根据这些附图将本申请适用于其他类似情况,但无需付出创造性劳动。另外,可以理解的是,尽管在此开发过程中所做的工作可能是复杂和漫长的,但是,对于本领域的普通技术人员来说,根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段,不应被视为本申请公开的内容不足。
“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例,也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是,本申请中描述的实施例在没有冲突的情况下,可以与其它实施例结合。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对专利保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种终端设备的***检测方法,其特征在于,包括:
接收终端设备实时采集并发送的多个检测项目对应的***数据;
基于规则引擎分别对每个所述检测项目对应的所述***数据进行分析,得到第一检测结果,所述规则引擎中设有多个***风险对应的检测规则;
基于多个所述检测项目对应的所述第一检测结果,生成终端***检测报告。
2.根据权利要求1所述的终端设备的***检测方法,其特征在于,所述接收终端设备实时采集并发送的多个检测项目对应的***数据之前还包括:
基于预设时间周期向终端设备发送检测任务指令,所述检测任务指令中包含多个检测项目的信息,用于控制所述终端设备实时采集多个所述检测项目对应的***数据并发送至中心平台。
3.根据权利要求1所述的终端设备的***检测方法,其特征在于,所述接收终端设备实时采集并发送的多个检测项目对应的***数据之前还包括:
分别基于每种***风险确定对应的正则表达式,所述正则表达式用于在所述***数据中对所述***风险进行匹配;
分别基于每种***风险确定对应的风险等级;
基于所述正则表达式以及所述风险等级确定所述检测规则,并基于所述检测规则建立所述规则引擎。
4.根据权利要求1所述的终端设备的***检测方法,其特征在于,所述基于规则引擎分别对每个所述检测项目对应的所述***数据进行分析,得到第一检测结果之后还包括:
若所述***数据中存在未签名文件,则对所述未签名文件进行病毒库静态扫描和/或沙箱动态分析,得到第二检测结果;
基于所述第一检测结果以及所述第二检测结果,生成终端***检测报告。
5.根据权利要求4所述的终端设备的***检测方法,其特征在于,所述若所述***数据中存在未签名文件,则对所述未签名文件进行病毒库静态扫描和/或沙箱动态分析,得到第二检测结果之后还包括:
分别将每个所述检测项目对应的所述***数据与历史参考数据进行对比,得到第三检测结果;
基于所述第一检测结果、所述第二检测结果以及所述第三检测结果,生成终端***检测报告。
6.根据权利要求5所述的终端设备的***检测方法,其特征在于,所述分别将每个所述检测项目对应的所述***数据与历史参考数据进行对比,得到第三检测结果包括:
判断每个所述检测项目对应的所述***数据与所述历史参考数据是否相同,若不相同,则记录所述检测项目以及所述检测项目对应的账户信息和/或操作信息,得到所述第三检测结果。
7.根据权利要求1所述的终端设备的***检测方法,其特征在于,所述检测项目包括***基本信息、安全策略配置、启动项、计划任务、环境变量、补丁信息、应用组件、即时进程、即时网络连接和服务信息以及***可疑目录下文件信息中的至少两种。
8.一种终端设备的***检测装置,其特征在于,包括:
接收模块,用于接收终端设备实时采集并发送的多个检测项目对应的***数据;
分析模块,用于基于规则引擎分别对每个所述检测项目对应的所述***数据进行分析,得到第一检测结果,所述规则引擎中设有多个***风险对应的检测规则;
生成模块,用于基于多个所述检测项目对应的所述第一检测结果,生成终端***检测报告。
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任一项所述的终端设备的***检测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的终端设备的***检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211186499.0A CN115525897A (zh) | 2022-09-27 | 2022-09-27 | 终端设备的***检测方法、装置、电子装置和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211186499.0A CN115525897A (zh) | 2022-09-27 | 2022-09-27 | 终端设备的***检测方法、装置、电子装置和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115525897A true CN115525897A (zh) | 2022-12-27 |
Family
ID=84699628
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211186499.0A Pending CN115525897A (zh) | 2022-09-27 | 2022-09-27 | 终端设备的***检测方法、装置、电子装置和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115525897A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116415237A (zh) * | 2023-03-03 | 2023-07-11 | 港珠澳大桥管理局 | 风险设备识别方法、装置、计算机设备和存储介质 |
-
2022
- 2022-09-27 CN CN202211186499.0A patent/CN115525897A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116415237A (zh) * | 2023-03-03 | 2023-07-11 | 港珠澳大桥管理局 | 风险设备识别方法、装置、计算机设备和存储介质 |
CN116415237B (zh) * | 2023-03-03 | 2024-03-19 | 港珠澳大桥管理局 | 风险设备识别方法、装置、计算机设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4886512B2 (ja) | 自動化されたコンピュータサポートのためのシステム及び方法 | |
CN106462702B (zh) | 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和*** | |
KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
US8776241B2 (en) | Automatic analysis of security related incidents in computer networks | |
CN103679031B (zh) | 一种文件病毒免疫的方法和装置 | |
KR101143999B1 (ko) | Api 기반 어플리케이션 분석 장치 및 방법 | |
JP2007516495A (ja) | 適応基準モデルの作成及び使用のためのシステム及び方法 | |
CN112685682B (zh) | 一种攻击事件的封禁对象识别方法、装置、设备及介质 | |
Chalvatzis et al. | Evaluation of security vulnerability scanners for small and medium enterprises business networks resilience towards risk assessment | |
CN111866016A (zh) | 日志的分析方法及*** | |
CN113542227A (zh) | 账号安全防护方法、装置、电子装置和存储介质 | |
CN112163198B (zh) | 一种主机登录安全检测方法、***、装置及存储介质 | |
CN115525897A (zh) | 终端设备的***检测方法、装置、电子装置和存储介质 | |
RU2481633C2 (ru) | Система и способ автоматического расследования инцидентов безопасности | |
CN114238036A (zh) | 一种saas平台异常实时的监控方法及装置 | |
CN110955897A (zh) | 基于大数据的软件研发安全管控可视化方法及*** | |
Alghamdi | Effective penetration testing report writing | |
CN114050937A (zh) | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 | |
CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
CN111209171B (zh) | 安全风险的闭环处置方法、装置及存储介质 | |
CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
CN110555308B (zh) | 一种终端应用行为跟踪和威胁风险评估方法及*** | |
CN113297583B (zh) | 漏洞风险分析方法、装置、设备及存储介质 | |
Apolinário et al. | Fingerci: generating specifications for critical infrastructures |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |