(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115758342A(43)申请公布日2023.03.07(21)申请号202211567514.6(22)申请日2022.12.07(71)申请人北京安天网络安全技术有限公司地址100195北京市海淀区玉泉山闵庄路3号清华科技园·玉泉慧谷1号楼地上一层西侧、二层(地上两侧)(72)发明人潘东东孙洪伟肖新光(74)专利代理机构北京格允知识产权代理有限公司11609专利代理师周娇娇(51)Int.Cl.G06F21/55(2013.01)H04L9/40(2013.01)G06F21/56(2022.01)权利要求书2页说明书8页附图1页(54)发明名称安全防御方法、装置、电子设备及存储介质(57)摘要本说明书实施例涉及网络安全技术领域，特别涉及一种安全防御方法、装置、电子设备及存储介质。其中，安全防御方法包括：在待防御的终端设备中构建多个不同防御类型的防御规则；在预设的监控周期内监控所述终端设备命中每个所述防御规则的次数；其中，在每个所述监控周期到期后，将每个所述防御规则的命中次数重置为零，并在下一个所述监控周期内重新监控所述终端设备命中每个所述防御规则的次数；基于每个所述防御规则在所述监控周期内的命中次数，确定所述终端设备的防御策略。本说明书提供的技术方案能够对未知的病毒进行防御。CN115758342ACN115758342A权利要求书1/2页1.一种安全防御方法，其特征在于，包括：在待防御的终端设备中构建多个不同防御类型的防御规则；在预设的监控周期内监控所述终端设备命中每个所述防御规则的次数；其中，在每个所述监控周期到期后，将每个所述防御规则的命中次数重置为零，并在下一个所述监控周期内重新监控所述终端设备命中每个所述防御规则的次数；基于每个所述防御规则在所述监控周期内的命中次数，确定所述终端设备的防御策略。2.根据权利要求1所述的方法，其特征在于，所述防御规则的防御类型包括基于进程的防御类型、基于文件的防御类型、基于注册表的防御类型和基于计划任务的防御类型。3.根据权利要求2所述的方法，其特征在于，基于进程的防御规则包括：在所述终端设备的进程启动时，确定所述进程的名称及其启动参数是否命中预设的ATT&CK模型；和/或，基于文件的防御规则包括：在所述终端设备的文件创建时，确定所述文件的二进制内容是否命中预设的病毒特征；和/或，基于注册表的防御规则包括：在所述终端设备的注册表创建和/或修改，且创建和/或修改所述注册表的进程不具有签名信息时，确定所述注册表的类型是否命中预设的注册表类型；和/或，基于计划任务的防御规则包括：在所述终端设备的计划任务创建时，确定所述计划任务中待启动进程的二进制内容是否命中预设的病毒特征；和/或，在所述终端设备的计划任务创建时，确定所述计划任务中待启动进程的名称及其启动参数是否命中预设的ATT&CK模型。4.根据权利要求1‑3中任一项所述的方法，其特征在于，所述基于每个所述防御规则在所述监控周期内的命中次数，确定所述终端设备的防御策略，包括：针对每个所述防御规则，响应于当前防御规则在所述监控周期内的命中次数超过第一预设次数，对再次命中当前防御规则的操作行为进行禁止。5.根据权利要求4所述的方法，其特征在于，在所述对再次命中当前防御规则的操作行为进行禁止之后，还包括：对在所述监控周期内的已命中当前防御规则且已执行的操作行为进行结束处理；和/或，对所述终端设备当前的系统环境进行第一快照处理，以使所述终端设备在重启后恢复至所述第一快照处理时的系统环境。6.根据权利要求1‑3中任一项所述的方法，其特征在于，所述基于每个所述防御规则在所述监控周期内的命中次数，确定所述终端设备的防御策略，包括：响应于所有防御规则在所述监控周期内的命中次数超过第二预设次数，对所述终端设备当前的系统环境进行第二快照处理，并执行关机操作。2CN115758342A权利要求书2/2页7.根据权利要求6所述的方法，其特征在于，在所述执行关机操作之后，还包括：在所述终端设备重启后，如果所述终端设备在关机前至少存在一个防御规则在所述监控周期内的命中次数超过第一预设次数，则使所述终端设备恢复至所述第二快照处理时的系统环境。8.一种安全防御装置，其特征在于，包括：构建模块，用于在待防御的终端设备中构建多个不同防御类型的防御规则；监控模块，用于在预设的监控周期内监控所述终端设备命中每个所述防御规则的次数；其中，在每个所述监控周期到期后，将每个所述防御规则的命中次数重置为零，并在下一个所述监控周期内重新监控所述终端设备命中每个所述防御规则的次数；确定模块，用于基于每个所述防御规则在所述监控周期内的命中次数，确定所述终端设备的防御策略。9.一种电子设备，其特征在于，包括存储器和处理器，所