(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113901450A(43)申请公布日2022.01.07(21)申请号202111101942.5(22)申请日2021.09.18(71)申请人中国电子信息产业集团有限公司第六研究所地址100058北京市海淀区清华东路25号(72)发明人王绍杰霍朝宾贺敏超衣然杨继王晔周帅万佳蓉(74)专利代理机构北京知呱呱知识产权代理有限公司11577代理人郑兴旺(51)Int.Cl.G06F21/55(2013.01)G06F21/56(2013.01)G06N20/00(2019.01)权利要求书2页说明书7页附图1页(54)发明名称一种工业主机终端安全防护系统(57)摘要本发明实施例公开了一种工业主机终端安全防护系统，集合行为监控、病毒查杀、远程调查取证、联动防御、风险态势展示等核心功能。采用领先的行为识别、多引擎样本鉴定、神经网络、诱捕、免疫等技术，实现了对已知、未知威胁的实时检测与处置，有效解决勒索、挖矿、免杀逃逸、无文件攻击等传统安全产品无法有效防御的威胁。通过轻量化的终端Agent程序实时获取全量的内核级微粒度行为数据对终端系统进行持续监控，并从中筛选出有助于客户进行威胁溯源的事件进行存储，实现了对威胁事件的快速分析以及响应(包括确定零号受害终端、攻击范围等)，以最小的资源开销获得最大程度的保护，全面提升客户的终端安全管理能力。CN113901450ACN113901450A权利要求书1/2页1.一种工业主机终端安全防护系统，其特征在于，所述系统包括客户端和服务端，所述客户端与服务端采用C/S架构，通过在终端操作系统中安装轻量级Agent程序实时获取全量的内核级微粒度行为数据并进行上报，所述服务端管理采用B/S架构，根据采集的数据实现威胁行为检测、威胁告警、威胁识别、威胁分析和系统管理。2.根据权利要求1所述的一种工业主机终端安全防护系统，其特征在于，所述服务端具体包括终端资产管理模块，用于对终端活动深度可视化，直观地展示终端资产受到的威胁风险，以及威胁事件在组织内部的感染范围；按照客户业务组织对终端进行分组以及批量管理，同时允许客户查看管理某台终端的详细信息，并支持自行导出终端数据。3.根据权利要求1所述的一种工业主机终端安全防护系统，其特征在于，所述服务端具体包括威胁告警管理模块，所述威胁告警管理模块包括威胁溯源模块和威胁告警模块；所述威胁溯源模块用于为告警提供可视化的上下文关联来还原攻击行为，利用全量的事件存储以及EIS终端免疫系统，为攻击源追踪取证提供依据，并结合威胁情报数据、终端威胁行为检测引擎、AI智能分析组件进行威胁识别，精确地拦截威胁并告警，还能对攻击进行调查和取证，形成威胁分析报告和情报数据，持续更新迭代的情报数据为事后的威胁溯源进一步提高丰富的数据支撑；所述威胁告警模块用于提供实时的威胁告警信息，自动地对已知和未知威胁进行修复和处理脚本，从而减少事件影响范围；支持查看全网内所有终端产生的告警信息及其告警等级；允许客户处理来自终端的告警，以实现对全网内终端安全的威胁响应，同时允许查看系统与威胁事件相关的进程树和进程详情。4.根据权利要求1所述的一种工业主机终端安全防护系统，其特征在于，所述服务端具体包括全网文件管理模块，所述全网文件管理模块用于查看和管理当前企业中所有安装了终端Agent程序后新添加的文件，且平台统一管理；支持查看文件的恶意程度和AI智能分析组件的扫描结果，允许修改全网文件列表中的文件类型，同时支持查看某个文件的MD5在企业内或全网范围内的分布，查看每个终端首次出现该文件的时间、主机、文件路径信息熵等信息，最终以实现EIS终端免疫系统的拦截或放过。5.根据权利要求1所述的一种工业主机终端安全防护系统，其特征在于，所述服务端具体包括安全策略管理模块，所述安全策略管理模块包括安全策略配置模块、病毒防御策略配置模块以及终端免疫系统策略配置模块；所述安全策略配置模块用于对安全策略进行编辑、新增和查看操作，以及在编辑、新增时，定制当前企业使用的规则和功能的开关配置，并将配置保存为安全策略下发至终端进行安全响应；所述病毒防御策略配置模块用于对当前使用的规则进行自定义开关配置，拦截网内所有黑文件；同时开启隔离开关，针对AI智能分析组件的鉴定结果对病毒进行防御查杀，并能将该策略应用到目前企业组织结构中的不同分组；所述终端免疫系统策略配置模块用于自定义开关配置终端免疫系统策略，为关键资产提供高级别保护策略；基于在本地自学习中建立本地文件基因信息数据库，实现为基因偏离筛选本地可执行文件，对系统试图装载到内存中准备执行的文件进行严格的基因偏离筛选，精确地截获存在的威胁事件；实现在未安装杀毒软件、未对操作系统进行补丁升级的情况下避免服务器