一种基于国产操作系统与国密算法的EDR信息识别系统及方法与流程

本发明涉及信息识别，特别涉及一种基于国产操作系统与国密算法的edr信息识别系统及方法。

背景技术：

1、如今的网络威胁已经由简单的个体攻击演变为有组织的的高级网络攻击。攻击者掌握了更隐蔽，持续性更强的攻击手段。在这种情况下，传统被动式的反病毒软件(av)已经无法满足需求，而终端检测与响应系统(endpoint detection&response，edr)被认为是一种面向未来的终端安全解决方案，通过不同于传统的签名检测或启发式技术，edr通过观察行为将检测技术提升到新的层次。

2、但是现在市场上大多数edr设备使用的是基于文件信息进行识别恶意攻击，如果攻击者通过变形或加密手段加密攻击信息则很难进行识别，基于模糊哈希算法能够对变形后的攻击流量进行有效识别。加密方面国内使用比较普遍的aes、des、rsa等加密算法，目前仍未存在拥有通过国密算法对信息进行加密的edr产品，造成了edr信息加密具有一定的信息泄露风险和安全隐患，如何解决上述问题，成了本领域技术人员关注的重点。

技术实现思路

1、本发明要解决的技术问题是提供一种基于国产操作系统与国密算法的edr信息识别系统及方法。实现需要相关依赖环境及图形化界面，跨平台，通过国密加密算法，实现edr平台的安全保障，本发明具有防篡改，可信度高的优点。

2、为了解决上述技术问题，本发明的技术方案为：

3、一种基于国产操作系统与国密算法的edr信息识别系统，包括edr客户端、edr服务器、edr情报中心以及网络流量；

4、所述edr服务器启动时，通过运行时的web服务器页面配置edr参数，及平台的本地绑定地址及端口；

5、所述edr客户端与edr服务器连接，用于配置edr服务器接口获取配置信息供客户端进行识别，客户端根据配置的攻击向量识别攻击信息并通过加密传输发送edr服务器；

6、所述edr情报中心与edr服务器国密加密传输，edr情报中心获取模糊哈希攻击情报与攻击指纹向量信息，用于与服务端动态同步；

7、所述网络流量与edr客户端通过计算模糊哈希并进行识别，是用于为edr客户端获取用户网络流量信息计算模糊哈希与同步edr服务器威胁情报信息进行攻击匹配。

8、一种基于国产操作系统与国密算法进行信息识别的edr系统的方法，包括以下步骤：

9、步骤1)edr系统通信传输连接使用国密sm1、sm4算法进行加密传输；

10、步骤2)服务端动态同步edr情报中心获取模糊哈希攻击情报与攻击指纹向量信息；

11、步骤3)edr服务器生成与保存sm4密钥；

12、步骤4)edr客户端通过请求edr服务器获取动态配置相关加密密钥信息及攻击情报向量信息，自动生成攻击指纹数据；

13、步骤5)edr客户端获取用户网络流量信息计算模糊哈希与同步edr服务器威胁情报信息进行攻击匹配；

14、步骤6)回调接口接收攻击结果，存储并展示当前攻击结果；

15、步骤7)edr客户端对用户存储磁盘文件加密，实时向edr服务器获取国产加密sm4算法加密密钥对磁盘文件加密，连接不上edr服务器则无法解密。

16、优选地，通过启动edr客户端配置edr服务器接口获取配置信息供客户端进行识别，客户端根据配置的攻击向量识别攻击信息并通过加密传输发送edr服务端。

17、优选地，所述接收攻击结果包括在被攻击成功后，可通过服务端回调接口查询相关的攻击数据进行及时响应，并通过web调用可视化大屏显示攻击结果。

18、与现有技术相比，本发明的有益效果为：

19、本发明的一种国产操作系统与国密算法的edr信息处理系统及方法，相较于传统edr系统更加安全，通过国密算法加密信息处理，有着响应速度比rsa算法快，比2048位的rsa国际算法加密强度高以及100％国家支持可信度高的优点。

技术特征：

1.一种基于国产操作系统与国密算法的edr信息识别系统，其特征在于：包括edr客户端、edr服务器、edr情报中心以及网络流量；

2.根据权利要求1所述的基于国产操作系统与国密算法进行信息识别的edr系统的方法，其特征在于：包括以下步骤：

3.根据权利要求2所述的基于国产操作系统与国密算法进行信息识别的edr信息识别方法，其特征在于：通过启动edr客户端配置edr服务器接口获取配置信息供客户端进行识别，客户端根据配置的攻击向量识别攻击信息并通过加密传输发送edr服务端。

4.根据权利要求2所述的基于国产操作系统与国密算法进行信息识别的edr信息识别方法，其特征在于：所述接收攻击结果包括在被攻击成功后，可通过服务端回调接口查询相关的攻击数据进行及时响应，并通过web调用可视化大屏显示攻击结果。

技术总结
本发明公开了一种基于国产操作系统与国密算法的EDR信息识别系统及方法，包括EDR客户端、EDR服务器、EDR情报中心以及网络流量；所述EDR客户端与EDR服务器连接，用于配置EDR服务器接口获取配置信息供客户端进行识别，客户端根据配置的攻击向量识别攻击信息并通过加密传输发送EDR服务器；所述EDR情报中心与EDR服务器国密加密传输，EDR情报中心获取模糊哈希攻击情报与攻击指纹向量信息，用于与服务端动态同步；所述网络流量与EDR客户端通过计算模糊哈希并进行识别，是用于为EDR客户端获取用户网络流量信息计算模糊哈希与同步EDR服务器威胁情报信息进行攻击匹配。本发明的相较于传统EDR系统更加安全，通过国密算法SM1加密信息处理，有着响应速度比RSA算法快。

技术研发人员：龙绍发,梁玮瀚,郝玉
受保护的技术使用者：贵州多彩网安科技有限公司
技术研发日：
技术公布日：2024/1/12