一种终端侧与流量侧联动的安全防护方法及系统转让专利
申请号 : CN201710248319.X
文献号 : CN108347422B
文献日 : 2020-04-24
发明人 : 匡贺 , 徐翰隆 , 肖新光
申请人 : 北京安天网络安全技术有限公司
摘要 :
本发明提出一种终端侧与流量侧联动的安全防护方法及系统,在对网内进行安全防护过程中,将终端侧与流量侧数据进行联合,实现终端侧黑名单库和网络侧黑名单库的动态互补更新,利用互补更新的黑名单库对网内文件进行联动检测,并对恶意文件进行报警和定点清除。本发明针对进入网内的文件,无论其落在终端侧还是流量侧,通过联动检测,但凡其特征存在在任何一侧的黑名单库中,都能被精确检出,有效提高检出率、维护网络环境安全。
权利要求 :
1.一种终端侧与流量侧联动的安全防护方法,其特征在于,包括:当有文件进入终端侧设备时,将文件上传至服务器进行云查杀,判断其是否存在恶意,若是则将文件特征发送给流量侧设备,否则放行文件;
流量侧设备接收服务器发送的文件特征,并将其与流量侧的黑名单库中的数据进行匹配,若匹配失败则将该文件特征加入流量侧的黑名单库;
同时,
流量侧设备捕获网内流量,将流量还原成文件,提取文件特征,并将其与流量侧的黑名单库中的数据进行匹配,判断相应文件是否存在恶意,若是则将相应文件特征发送给服务器,否则放行相应文件;
服务器接收流量侧设备发送的文件特征,将其与终端侧的黑名单库中的数据进行匹配,若匹配失败则将相应文件特征加入终端侧的黑名单库。
2.如权利要求1所述的方法,其特征在于,还包括,根据所述终端侧的黑名单库、流量侧的黑名单库,对进入网内的文件进行联动检测,当检测出网内存在恶意文件时,进行报警,并定位恶意文件的位置,对恶意文件进行定点清除。
3.一种终端侧与流量侧联动的安全防护系统,其特征在于,包括:部署在服务器的文件接收模块、云查杀模块、流量侧联动模块,
部署在流量侧设备的流量获取还原模块、特征匹配模块、终端侧联动模块;
其中,
文件接收模块,用于接收由终端侧设备上传给服务器的待检测文件;
云查杀模块,用于对待检测文件进行云查杀,判断其是否存在恶意,若是则将文件特征传递给流量侧联动模块,否则放行文件;
流量侧联动模块,用于将从云查杀模块得到的文件特征发送给终端侧联动模块,以及接收由终端侧联动模块发送的文件特征,并将接收的文件特征与保存在服务器端的终端侧黑名单库进行匹配,若匹配失败则将接收的文件特征加入终端侧黑名单库;
流量获取还原模块,用于流量侧设备捕获网内流量,将流量还原成文件,并提取文件特征;
特征匹配模块,用于将提取的文件特征与流量侧黑名单库中的数据进行匹配,判断相应文件是否存在恶意,若是则将相应文件特征传递给终端侧联动模块,否则放行相应文件;
终端侧联动模块,用于将从特征匹配模块得到的文件特征发送给流量侧联动模块,以及接收由流量侧联动模块发送的文件特征,并将接收的文件特征与流量侧黑名单库中的数据进行匹配,若匹配失败则将接收的文件特征加入流量侧黑名单库。
4.如权利要求3所述的系统,其特征在于,还包括部署在服务器和流量侧设备的威胁预警模块,具体用于:当服务器和流量侧设备根据所述终端侧黑名单库、流量侧黑名单库,对进入网内的文件进行联动检测过程中,当检测出网内存在恶意文件时,进行报警,并定位恶意文件的位置,对恶意文件进行定点清除。
说明书 :
一种终端侧与流量侧联动的安全防护方法及系统
技术领域
[0001] 本发明涉及信息安全技术领域,尤其涉及一种终端侧与流量侧联动的安全防护方法及系统。
背景技术
[0002] 当今网络威胁已经上升到国家战略层面上,网络攻击也从针对大众的无明确目的的恶意攻击转变为目标明确的以发动信息战为目的的高级威胁攻击。传统反恶意程序软件多采用黑名单机制对未知威胁进行检测,依靠单纯的特征码扫描技术作为核心技术,这种检测机制在当今网络威胁态势下已无法达到针对未知威胁进行实时防御的目的。同时,现有的黑名单机制多是根据不同设备端设置不同黑名单库,在进行威胁检测时分别针对不同设备端进行特征匹配,而没有将黑名单库之间进行联动,这使得在一些应用场景下无法充分满足威胁的检出率。
发明内容
[0003] 针对上述现有技术存在的缺陷,本发明提出一种终端侧与流量侧联动的安全防护方法及系统,在对网内进行安全防护过程中,将终端侧与流量侧数据进行联合,实现终端侧黑名单库和网络侧黑名单库的动态互补更新,利用互补更新的黑名单库对网内文件进行联动检测,并对恶意文件进行报警和定点清除。
[0004] 具体发明内容包括:
[0005] 一种终端侧与流量侧联动的安全防护方法,包括:
[0006] 当有文件进入终端侧设备时,将文件上传至服务器进行云查杀,判断其是否存在恶意,若是则将文件特征发送给流量侧设备,否则放行文件;
[0007] 流量侧设备接收服务器发送的文件特征,并将其与流量侧的黑名单库中的数据进行匹配,若匹配失败则将该文件特征加入流量侧的黑名单库;
[0008] 同时,
[0009] 流量侧设备捕获网内流量,将流量还原成文件,提取文件特征,并将其与流量侧的黑名单库中的数据进行匹配,判断相应文件是否存在恶意,若是则将相应文件特征发送给服务器,否则放行相应文件;
[0010] 服务器接收流量侧设备发送的文件特征,将其与终端侧的黑名单库中的数据进行匹配,若匹配失败则将相应文件特征加入终端侧的黑名单库。
[0011] 进一步地,还包括,根据所述终端侧的黑名单库、流量侧的黑名单库,对进入网内的文件进行联动检测,当检测出网内存在恶意文件时,进行报警,并定位恶意文件的位置,对恶意文件进行定点清除。
[0012] 一种终端侧与流量侧联动的安全防护系统,包括:
[0013] 部署在服务器的文件接收模块、云查杀模块、流量侧联动模块,[0014] 部署在流量侧设备的流量获取还原模块、特征匹配模块、终端侧联动模块;
[0015] 其中,
[0016] 文件接收模块,用于接收由终端侧设备上传给服务器的待检测文件;
[0017] 云查杀模块,用于对待检测文件进行云查杀,判断其是否存在恶意,若是则将文件特征传递给流量侧联动模块,否则放行文件;
[0018] 流量侧联动模块,用于将从云查杀模块得到的文件特征发送给终端侧联动模块,以及接收由终端侧联动模块发送的文件特征,并将接收的文件特征与保存在服务器端的终端侧黑名单库进行匹配,若匹配失败则将接收的文件特征加入终端侧黑名单库;
[0019] 流量获取还原模块,用于流量侧设备捕获网内流量,将流量还原成文件,并提取文件特征;
[0020] 特征匹配模块,用于将提取的文件特征与流量侧黑名单库中的数据进行匹配,判断相应文件是否存在恶意,若是则将相应文件特征传递给终端侧联动模块,否则放行相应文件;
[0021] 终端侧联动模块,用于将从特征匹配模块得到的文件特征发送给流量侧联动模块,以及接收由流量侧联动模块发送的文件特征,并将接收的文件特征与流量侧黑名单库中的数据进行匹配,若匹配失败则将接收的文件特征加入流量侧黑名单库。
[0022] 进一步地,还包括部署在服务器和流量侧设备的威胁预警模块,具体用于:当服务器和流量侧设备根据所述终端侧黑名单库、流量侧黑名单库,对进入网内的文件进行联动检测过程中,当检测出网内存在恶意文件时,进行报警,并定位恶意文件的位置,对恶意文件进行定点清除。
[0023] 本发明的有益效果是:
[0024] 本发明通过终端侧和流量侧的双向联动防护方法实现对网络安全的防护;
[0025] 本发明通过互补更新终端侧和流量侧黑名单库的方式快速、动态的填补双侧特征库的短板,为网内安全检测提供更佳准确、全面的特征数据;
[0026] 本发明针对进入网内的文件,无论其落在终端侧还是流量侧,通过联动检测,但凡其特征存在在任何一侧的黑名单库中,都能被精确检出,有效提高检出率、维护网络环境安全。
附图说明
[0027] 为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0028] 图1、图2为本发明一种终端侧与流量侧联动的安全防护方法流程图;
[0029] 图3为本发明一种终端侧与流量侧联动的安全防护系统结构图。
具体实施方式
[0030] 为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0031] 本发明给出了一种终端侧与流量侧联动的安全防护方法实施例,如图1、图2所示,包括:
[0032] S101:当有文件进入终端侧设备时,将文件上传至服务器进行云查杀;
[0033] S102:判断进入终端侧设备的文件是否存在恶意,若是则将文件特征发送给流量侧设备,否则放行文件;
[0034] S103:流量侧设备接收服务器发送的文件特征,并将其与流量侧的黑名单库中的数据进行匹配,若匹配失败则将该文件特征加入流量侧的黑名单库;
[0035] 同时,
[0036] S201:流量侧设备捕获网内流量,将流量还原成文件,提取文件特征,并将其与流量侧的黑名单库中的数据进行匹配;
[0037] S202:判断相应文件是否存在恶意,若是则将相应文件特征发送给服务器,否则放行相应文件;
[0038] S203:服务器接收流量侧设备发送的文件特征,将其与终端侧的黑名单库中的数据进行匹配,若匹配失败则将相应文件特征加入终端侧的黑名单库。
[0039] 优选地,还包括,根据所述终端侧的黑名单库、流量侧的黑名单库,对进入网内的文件进行联动检测,当检测出网内存在恶意文件时,进行报警,并定位恶意文件的位置,对恶意文件进行定点清除。
[0040] 本发明还给出了一种终端侧与流量侧联动的安全防护系统实施例,如图3所示,包括:
[0041] 部署在服务器的文件接收模块301、云查杀模块302、流量侧联动模块303,[0042] 部署在流量侧设备的流量获取还原模块304、特征匹配模块305、终端侧联动模块306;
[0043] 其中,
[0044] 文件接收模块301,用于接收由终端侧设备上传给服务器的待检测文件;
[0045] 云查杀模块302,用于对待检测文件进行云查杀,判断其是否存在恶意,若是则将文件特征传递给流量侧联动模块303,否则放行文件;
[0046] 流量侧联动模块303,用于将从云查杀模块302得到的文件特征发送给终端侧联动模块306,以及接收由终端侧联动模块306发送的文件特征,并将接收的文件特征与保存在服务器端的终端侧黑名单库进行匹配,若匹配失败则将接收的文件特征加入终端侧黑名单库;
[0047] 流量获取还原模块304,用于流量侧设备捕获网内流量,将流量还原成文件,并提取文件特征;
[0048] 特征匹配模块305,用于将提取的文件特征与流量侧黑名单库中的数据进行匹配,判断相应文件是否存在恶意,若是则将相应文件特征传递给终端侧联动模块306,否则放行相应文件;
[0049] 终端侧联动模块306,用于将从特征匹配模块305得到的文件特征发送给流量侧联动模块303,以及接收由流量侧联动模块303发送的文件特征,并将接收的文件特征与流量侧黑名单库中的数据进行匹配,若匹配失败则将接收的文件特征加入流量侧黑名单库。
[0050] 优选地,还包括部署在服务器和流量侧设备的威胁预警模块,具体用于:当服务器和流量侧设备根据所述终端侧黑名单库、流量侧黑名单库,对进入网内的文件进行联动检测过程中,当检测出网内存在恶意文件时,进行报警,并定位恶意文件的位置,对恶意文件进行定点清除。
[0051] 本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。针对现有网络安全检测机制在当今网络威胁态势下已无法满足检测目的的问题,本发明提出一种终端侧与流量侧联动的安全防护方法及系统,在对网内进行安全防护过程中,将终端侧与流量侧数据进行联合,实现终端侧黑名单库和网络侧黑名单库的动态互补更新,利用互补更新的黑名单库对网内文件进行联动检测,并对恶意文件进行报警和定点清除。本发明通过终端侧和流量侧的双向联动防护方法实现对网络安全的防护;本发明通过互补更新终端侧和流量侧黑名单库的方式快速、动态的填补双侧特征库的短板,为网内安全检测提供更佳准确、全面的特征数据;本发明针对进入网内的文件,无论其落在终端侧还是流量侧,通过联动检测,但凡其特征存在在任何一侧的黑名单库中,都能被精确检出,有效提高检出率、维护网络环境安全。
[0052] 虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。