终端可信度动态检测系统的制作方法

1.本技术涉及一种终端可信度动态检测系统，属于网络安全技术领域。


背景技术：

2.移动互联网、物联网、分布式计算、区块链等技术的发展与大规模的应用，不仅改变了人们的生活方式，企业的工作模式也受到了巨大的影响，其具体表现在参与到网络中的用户和设备数量剧增，以至网络的规模爆炸式增长。到目前为止，已有数以亿计的设备接入到了互联网当中，同时互联网承载的业务和应用也随之不断增长壮大，资源的共享方式、运行方式、安全管理和网络的应用模式都因此而发生了根本性的转化。
3.现有的复杂网络环境带来了各种安全问题，大量终端设备联网意味着有更多的开放端口成位被攻击的目标，而传统的终端安全解决方案是基于已知风险产出的文件特征库和规则库，属于反病毒的技术范畴，无法用于检测未知风险。
4.基于上述情况，提出本技术的技术方案。


技术实现要素：

5.本技术的目的在于提供一种终端可信度动态检测系统，解决了目前终端的可信度监控及分析技术无法用于检测未知风险的问题，其能综合性地深度跟踪分析多种环境信息，从而对终端安全状态进行判断和预测。
6.为达到上述目的，本技术提供如下技术方案：提供一种终端可信度动态检测系统，其包括：资产信息库，用于储存和查看终端的资产信息；策略库，用于储存来自策略文件；数据库，用于接收、传输和储存来自其他模块或服务器的信息；异常检测模块，用于对所述终端的进程、文件和注册表进行扫描检测，生成检测结果并将所述检测结果上传至所述数据库；安全配置模块，基于所述策略文件对终端的配置进行评估，上传评估结果至所述数据库，并进行自动化操作，或者，根据后续指令进行操作；文件监控模块；用于监控并分析所述检测结果；告警中心，用于接收来自其他模块的告警；响应中心，用于至少获取所述资产信息库、数据库和告警中心的信息，执行操作命令并基于预设的信任度分析模型分析所述终端的可信度。
7.在一些可能的实施方式中，所述异常检测模块接收来自所述数据库的异常软件样本信息；所述对所述终端的进程、文件和注册表进行扫描检测包括：扫描所述进程，与所述异常软件样本信息进行对比；扫描所述文件，计算哈希值并与所述异常软件样本信息进行对比；
扫描所述注册表，获取注册记录并与所述异常软件样本信息进行对比。
8.在一些可能的实施方式中，所述生成检测结果并将所述检测结果上传至所述数据库包括：在所述进程、文件和注册表的对比过程中，如有相应记录则在检测结果中生成告警信息，将所述检测结果上传至数据库；或者，在所述进程和注册表的对比过程中，如有相应记录则在检测结果中生成告警信息，将所述检测结果上传至数据库；以及，将所述哈希值上传至数据库。
9.在一些可能的实施方式中，所述文件监控模块基于监控并分析所述检测结果判断是否生成告警并通知所述告警中心。
10.在一些可能的实施方式中，所述基于监控并分析所述检测结果判断是否生成告警包括：所述文件监控模块将所述检测结果的新值与旧值进行比较来判断所述进程、文件和注册表是否有修改，当判断为是时，则生成告警。
11.在一些可能的实施方式中，所述策略文件包括元信息、检查目的和检查逻辑，其中，所述元信息中包括合规检查字段；和/或，所述自动化操作包括以下的一种或多种：删除非必要的软件；修改密码的相关配置；禁止非必要的访问；审计相关的tcp/ip配置。
12.在一些可能的实施方式中，所述终端可信度动态检测系统还包括日志管理模块，所述日志管理模块根据配置采集日志信息并上报至所述数据库，对所述日志信息进行分析后判断是否生成告警。
13.在一些可能的实施方式中，所述日志信息包括本地日志文件，windlog和syslogd；所述对所述日志信息进行分析包括以下任一种或多种：标准化；丰富；降噪；压缩；升降级；相互抵消；派生。
14.在一些可能的实施方式中，所述终端可信度动态检测系统还包括漏洞检测模块，对所述数据库中记录的应用程序进行监控，生成漏洞描述和漏洞修复建议。
15.在一些可能的实施方式中，所述对所述数据库中记录的应用程序进行监控，生成漏洞描述和漏洞修复建议包括：获取易受攻击的软件列表，生成cve告警信息，基于所述cve告警信息，监控对比所述数据库中记录的应用程序，并生成漏洞描述和漏洞修复建议；其中，所述cve告警信息包括cve标识符和漏洞信息。
16.通过本技术的实施例，本技术所公开的终端可信度动态检测系统持续采集终端的设备环境信息、应用环境信息、用户环境信息、网络环境信息和运行环境信息等，对终端进行全面的检测。该系统能深度跟踪分析终端的技术指标，以更准确地反映终端安全状况；同时，综合性地分析多种终端环境信息，通过预设的信任度分析模型对终端的可信度进行实
时判断。
17.上述说明仅是本技术技术方案的概述，为了能够更清楚了解本技术的技术手段，并可依照说明书的内容予以实施，以下以本技术的较佳实施例并配合附图详细说明如后。
附图说明
18.图1为本技术实施例提供的一种终端可信度动态检测系统的框架示意图；图2为本技术实施例提供的终端可信度动态检测系统中异常检测模块的工作原理示意图；图3为本技术实施例提供的终端可信度动态检测系统中安全配置模块的工作原理示意图；图4为本技术实施例提供的终端可信度动态检测系统中文件监控模块的工作原理示意图；图5为本技术实施例提供的终端可信度动态检测系统中日志管理模块的工作原理示意图；图6为本技术实施例提供的终端可信度动态检测系统中漏洞检测模块的工作原理示意图。
具体实施方式
19.下面结合附图和实施例，对本技术的具体实施方式作进一步详细描述。以下实施例用于说明本技术，但不用来限制本技术的范围。
20.在本技术的描述中，需要说明的是，除非另有明确的规定和限定，“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本技术中的具体含义。此外，在本技术的描述中，除非另有说明，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
21.图1示出了本技术实施例提供的一种终端可信度动态检测系统的框架示意图。如图1所示，本实施例的终端可信度动态检测系统10包括：终端管理平台1、终端代理探针2，以及服务器3，其中，终端管理平台1可与终端代理探针2和服务器3进行数据传输。
22.具体的，在本实施例中，终端管理平台1中设有存储中心、检测中心、告警中心和响应中心。在存储中心中设有资产信息库、策略库和数据库，负责存储终端代理探针2上报的原始数据，包括各类安全事件日志、文件信息、配置信息、资产数据等；以及，服务器传输的策略文件。在检测中心中设有异常检测模块、安全配置模块和文件监控模块，负责接管终端代理探针2的连接，与终端代理探针2之间进行数据传输，包括通过接收终端代理探针2回传的端点侧安全数据，对数据和文件进行预处理，并以标准格式存储到数据库中交由响应中心的各分析引擎进行分析。响应中心用于至少获取所述资产信息库、数据库和告警中心的
信息，执行操作命令并基于预设的信任度分析模型分析所述终端的可信度等。在响应中心中设有各个检测模块对应的分析引擎或者与各个分析引擎对接的控制接口，基于检测中心和告警中心的信息进行综合数据分析，包括多维横向分析、事件关联分析、环境监测分析、ui数据预处理、报表内容处理、管理中心下发的即时分析任务。
23.本实施例的响应中心可以实现自动化安全事件闭环处理流程，提高安全事件处理效率和风险管控能力；同时，在对风险进行处理的整个流程环节全部可视，其相应数据和指标还可进行图表可视化或量化。根据其信任度分析模型分析得出该终端及其用户的当前可信度，如等级形式的可信度：可信、基本可信、不可信；或分值形式的可信度，如100分为最高峰呢，0分为不可信。从而动态地对终端的可信度进行判断，可以为用户的网络访问和使用资源持续提供管控依据。
24.可选的，资产信息库包括hadoop、spark、hbase、solr、es等组件，能准确识别包括ip地址、端口、操作系统、软件版本等属性，以便于进行后续的漏洞扫描处理。
25.图2示出了本技术实施例提供的终端可信度动态检测系统中异常检测模块的工作原理示意图。作为示例而非限定，本实施例的异常检测模块用于对所述终端的进程、文件和注册表进行扫描检测，生成检测结果并将所述检测结果上传至所述数据库。
26.如图2所示，异常检测模块接收来自所述数据库的异常软件样本信息后，指示终端代理探针扫描指定的进程、文件和注册表，并进行对比，具体包括：代理探针扫描指定的文件，计算哈希值后与异常软件样本信息进行对比，如果发现存在相应的记录，则生成告警信息并发送至数据库；或者，直接将文件的哈希值上传至数据库；代理探针扫描注册表并查询注册记录，与异常软件样本信息进行对比，如果发现存在相应的记录，则生成告警信息并发送至数据库。
27.通过定制脚本，代理探针自动化检测相应监控的进程列表，如发现异常，则生成告警信息并发送至数据库。
28.图3示出了本技术实施例提供的终端可信度动态检测系统中安全配置模块的工作原理示意图。作为示例而非限定，本实施例的安全配置模块基于所述策略文件对终端的配置进行评估，上传评估结果至所述数据库，并进行自动化操作，或者，根据后续指令进行操作。
29.如图3所示，安全配置模块接收来自策略库的策略文件，指示终端代理探针通过扫描来发现受控终端的风险和/或错误的配置，从而有效地检测终端的漏洞面和攻击面。其中，策略文件的每项配置（检查）包括元信息、检查目的和检查逻辑；元信息包括用于指定是否采用相关合规标准的合规检查字段，以检查配置信息是否合规、合法、合符标准，例如：用户名密码是否采用了规定的加密方法进行加密、系统是否设置了ntp、是否关闭了不必要的网络服务端口等。
30.具体的，安全配置模块接收cis策略文件、pic-dss或客户化策略文件中的信息，通过指示终端代理探针对终端的配置文件和注册表进行扫描，并进行自动化操作，或者，根据后续指令进行操作；其中，所述自动化操作包括例如删除非必要的软件、修改密码的相关配置、禁止非必要的访问、审计相关的tcp/ip配置等。
31.图4示出了本技术实施例提供的终端可信度动态检测系统中文件监控模块的工作
原理示意图。作为示例而非限定，本实施例的文件监控模块用于监控并分析所述检测结果。
32.如图4所示，文件监控模块指示终端代理探针扫描受控的目录文件和注册表，并将文件hash和注册表信息上传至数据库。随后通过文件监控模块的分析引擎基于数据库中的信息进行校验码和属性比对、文件完整性监控分析、资料安全分析以及白名单基线分析。
33.在本实施例中，作为示例而非限定，对于文件完整性监控分析，文件监控模块基于接受的信息和分析结果，通过将新值与旧值进行比较来查找修改，只要在受控的文件活注册表项中检测到修改，则生成告警并通知至告警中心。
34.图5示出了本技术实施例提供的终端可信度动态检测系统中日志管理模块的工作原理示意图。作为示例而非限定，本实施例的日志管理模块用于根据配置采集日志信息并上报至所述数据库，对所述日志信息进行分析后判断是否生成告警。
35.如图5所示，日志管理模块通过日志采集配置指示终端代理探针采集日志信息，并将其传输至数据库中，随后日志管理模块的日志分析引擎对日志信息进行分析，从而识别是否发现应用程序错误、系统错误、配置错误、入侵危险等，并生成告警上报至告警中心。
36.在本实施例中，作为示例而非限定，所述日志信息包括本地日志文件，windlog和syslogd。根据日志采集配置，终端代理探针可以对采集到的日志做一定的预处理，例如：丰富和降噪。
37.在本实施例中，作为示例而非限定，对所述日志信息进行分析包括：标准化、丰富、降噪、压缩、升降级、相互抵消、派生、告警等。
38.图6示出了本技术实施例提供的终端可信度动态检测系统中漏洞检测模块的工作原理示意图。作为示例而非限定，本实施例的漏洞检测模块用于对所述数据库中记录的应用程序进行监控，生成漏洞描述和漏洞修复建议。
39.如图6所示，漏洞检测模块指示终端代理探针定期采集终端所安装的应用程序列表并将其发送至数据库，基于接收到的应用程序列表，漏洞检测模块获取易受攻击的软件列表与其进行对比并生成cve告警信息、漏洞描述和漏洞修复建议。
40.在本实施例中，作为示例而非限定，易受攻击的软件列表可通过在公共oval cve库中查询获取，例如，ubuntu cve库、red hat& centos cve库、debian linux cve库、national vulnerability cve库和microsoft/windows cve库等。
41.在本实施例中，作为示例而非限定，cve告警信息包括cve标识符和漏洞信息，其中，漏洞信息包括：标题（漏洞影响的简单描述）、严重性（漏洞在安全性方面的影响）、发布（漏洞被包含在官方数据库中的日期）、参考（官方数据库网站的url以及该漏洞的额外信息）和说明（该漏洞的广泛描述）。
42.在本实施例中，服务器3一方面用于接收、修改和下发数据，例如策略文件、易受攻击的软件列表、软件更新、授权信息等；另一方面，服务器3可以通过大数据分析对来自互联网的攻击进行溯源，分析安全事件并输出威胁情报，从而对未知的危险操作进行预测，并利用系统自带规则和/或自定义规则进行安全审计，发现非法访问和危险操作及时进行告警和阻断，有效保障终端网络数据和系统安全。
43.在本实施例中，可以通过网络隔离技术划分出系统的各个组件和模块，各组件和模块之间相互隔离且进行严格的访问控制，从而减小网络入侵和横向攻击事件的影响范围；并进行统一的安全管理防护，形成联动防御机制。同时，各组件和模块之间采用https
（restful api）和mq接口协议；设有双数据库：mysol和elasticsearch。而对于各组件和模块的业务，可以通过负载均衡设备对外提供服务，对于外联的终端，可以通过代理进行访问。
44.可选地，终端可信度动态检测系统还可以通过设置缓存让终端管理平台1和终端代理探针2进行数据交换。当组件或模块要读取数据时，会首先从缓存中查找需要的数据，如果找到了则直接执行，由从而使组件或模块更快地运行，提高其效率。
45.可以理解的是，在本技术实施例中，上述系统中的各个组件和模块具体实现为计算机程序（或者也称计算机代码）。为了实现该程序功能，系统需要设置包括至少一个处理器。
46.具体地，处理器的功能主要是解释计算机程序的指令以及处理计算机程序中的数据。其中，该计算机程序的指令以及计算机程序中的数据能够保存在终端可信度动态检测系统的内存和/或外存中。
47.可选地，处理器可能是集成电路芯片，具有信号的处理能力。作为示例而非限定，处理器是可以是通用处理器、数字信号处理器（digital signal processor，dsp）、专用集成电路（application specific integrated circuit，asic）、现成可编程门阵列（field programmable gate array，fpga）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其中，通用处理器是微处理器等。例如，该处理器是中央处理单元（central processing unit，cpu）。
48.其中，每个处理器包括至少一个处理单元。可选地，该处理单元也称为核心（core），是处理器最重要的组成部分。处理器所有的计算、接受命令、存储命令、处理数据都由核心执行综上所述，本技术所公开的终端可信度动态检测系统持续采集终端的设备环境信息、应用环境信息、用户环境信息、网络环境信息和运行环境信息等，对终端进行全面的检测和监控，例如：进程、注册表、文件、网络访问、域名解析等。
49.该系统能深度跟踪分析终端的技术指标，以更准确地反映终端安全状况；同时，综合性地分析多种终端环境信息，通过预设的信任度分析模型对终端的可信度进行实时判断，为用户的网络访问和使用资源持续提供管控依据。
50.以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
51.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。