专利 终端可信度动态检测系统

(19)国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202211219620.5 (22)申请日 2022.10.08 (71)申请人江苏安几科技有限公司地址 215000 江苏省苏州市新平街38 8号 (72)发明人于新宇　蔡春根　 (51)Int.Cl. G06F 21/56(2013.01) G06F 21/57(2013.01) H04L 9/40(2022.01) (54)发明名称终端可信度动态检测系统 (57)摘要本申请涉及一种终端可信度动态检测系统，包括：资产信息库、策略库、数据库、异常检测模块、安全配置模块、文件监控模块、告警中心以及响应中心。该终端可信度动态检测系统持续采集终端的设备环境信息、应用环境信息、用户环境信息、网络环境信息和运行环境信息等，对终端进行全面的检测和监控，例如：进程、注册表、文件、网络访问、域名解析等。权利要求书2页说明书6页附图6页 CN 115310090 A 2022.11.08 CN 115310090 A 1.一种终端可信度动态检测系统，其特征在于，包括：资产信息库，用于储存和查看终端的资产信息；策略库，用于储存来自策略文件；数据库，用于接收、传输和储存来自其他模块或服务器的信息；异常检测模块，用于对所述终端的进程、文件和注册表进行扫描检测，生成检测结果并将所述检测结果上传至所述数据库；安全配置模块，基于所述策略文件对终端的配置进行评估，上传评估结果至所述数据库，并进行自动化操作，或者，根据后续指令进行操作；文件监控模块；用于监控并分析所述检测结果；告警中心，用于接收来自其他模块的告警；响应中心，用于至少获取所述资产信息库、数据库和告警中心的信息，执行操作命令并基于预设的信任度分析模型分析所述终端的可信度。 2.如权利要求1所述的终端可信度动态检测系统，其特征在于，所述异常检测模块接收来自所述数据库的异常软件样本信息；所述对所述终端的进程、文件和注册表进行扫描检测包括：扫描所述进程，与所述异常软件样本信息进行对比；扫描所述文件，计算哈希值并与所述异常软件样本信息进行对比；扫描所述注册表，获取注册记录并与所述异常软件样本信息进行对比。 3.如权利要求2所述的终端可信度动态检测系统，其特征在于，所述生成检测结果并将所述检测结果上传至所述数据库包括：在所述进程、文件和注册表的对比过程中，如有相应记录则在检测结果中生成告警信息，将所述检测结果上传至数据库；或者，在所述进程和注册表的对比过程中，如有相应记录则在检测结果中生成告警信息，将所述检测结果上传至数据库；以及，将所述哈希值上传至数据库。 4.如权利要求1或3所述的终端可信度动态检测系统，其特征在于，所述文件监控模块基于监控并分析所述检测结果判断是否生成告警并通知所述告警中心。 5.如权利要求4所述的终端可信度动态检测系统，其特征在于，所述基于监控并分析所述检测结果判断是否生成告警包括：所述文件监控模块将所述检测结果的新值与旧值进行比较来判断所述进程、文件和注册表是否有修改，当判断为是时，则生成告警。 6.如权利要求1所述的终端可信度动态检测系统，其特征在于，所述策略文件包括元信息、检查目的和检查逻辑，其中，所述元信息中包括合规检查字段；和/或，所述自动化操作包括以下的一种或多种：删除非必要的软件；修改密码的相关配置；禁止非必要的访问；审计相关的TCP/IP配置。权　利　要　求　书 1/2 页 2 CN 115310090 A 27.如权利要求1所述的终端可信度动态检测系统，其特征在于，所述终端可信度动态检测系统还包括日志管理模块，所述日志管理模块根据配置采集日志信息并上报至所述数据库，对所述日志信息进行分析后判断是否生成告警。 8.如权利要求7所述的终端可信度动态检测系统，其特征在于，所述日志信息包括本地日志文件， W indLog和sysl ogd；所述对所述日志信息进行分析包括以下任一种或多种：标准化；丰富；降噪；压缩；升降级；相互抵消；派生。 9.如权利要求1所述的终端可信度动态检测系统，其特征在于，所述终端可信度动态检测系统还包括漏洞检测模块，对所述数据库中记录的应用程序进行监控，生成漏洞描述和漏洞修复建议。 10.如权利要求9所述的终端可信度动态检测系统，其特征在于，所述对所述数据库中记录的应用程序进行监控，生成漏洞描述和漏洞修复建议包括：获取易受攻击的软件列表，生成CVE告警信息，基于所述CVE告警信息，监控对比所述数据库中记录的应用程序，并生成漏洞描述和漏洞修复建议；其中，所述CVE告警信息包括CVE 标识符和漏洞信息。权　利　要　求　书 2/2 页 3 CN 115310090 A 3

专利 终端可信度动态检测系统

专利终端可信度动态检测系统