[发明专利]一种远程安全监测设备、系统及远程安全监测方法

权利要求书

1.一种远程安全监测系统，其特征在于，包括：远程安全监测设备以及智能设备，其中，

远程安全监测设备，用于基于预先设置的智能设备指纹库，对智能设备进行端口和漏洞扫描，确定智能设备是否存在扫描风险，若是，进行预警；

接收智能设备上报的智能设备恶意使用行为信息以及异常流量数据信息，与预先设置的安全威胁库分别进行恶意使用行为分析和特征匹配，检测智能设备是否存在恶意使用行为和隐私侵犯行为，若存在恶意使用行为、和/或，隐私侵犯行为，进行预警；

智能设备，用于采集智能设备行为信息以及原始流量数据信息，对智能设备行为信息以及原始流量数据信息进行分析，获取智能设备恶意使用行为信息以及异常流量数据信息并上报至远程安全监测设备；

所述智能设备包括：主动监控模块、被动监控模块以及上报模块，其中，

主动监控模块，用于主动采集智能设备行为信息，对采集的智能设备行为信息进行分析，获取智能设备恶意使用行为信息；

被动监控模块，用于通过网络嗅探技术采集智能设备的原始流量数据信息，对采集的原始流量数据信息进行分析，获取异常流量数据信息；

上报模块，用于将智能设备恶意使用行为信息以及异常流量数据信息上报；

所述主动监控模块包括：异常系统资源使用信息获取单元、异常网络连接信息获取单元、异常端口信息获取单元以及文件系统变化信息获取单元，其中，

异常系统资源使用信息获取单元，用于获取系统资源使用信息，基于获取的系统资源使用信息判断系统资源使用率是否超过预先设置的系统资源使用率阈值，如果是，提取超过系统资源使用率阈值的系统资源使用信息；

异常网络连接信息获取单元，用于采集网络连接信息，通过网络连接信息判断是否存在异常网络连接，如果是，提取异常网络连接信息；

异常端口信息获取单元，用于获取操作系统开放端口信息，与预先设置的异常端口信息进行比较，确定是否有异常端口，如果有，提取异常端口信息；

文件系统变化信息获取单元，用于监测指定敏感目录下的文件读写行为，判断是否存在可疑的文件读写行为，获取可疑的文件读写行为对应的文件系统变化信息。

2.如权利要求1所述的远程安全监测系统，其特征在于，所述远程安全监测设备还用于基于存在的恶意使用行为、和/或，隐私侵犯行为，结合预先设置的被控制识别策略，判断智能设备是否被控制，若被控制，进行预警。

3.如权利要求1所述的远程安全监测系统，其特征在于，所述智能设备还包括：

属性信息采集模块，用于采集并获取智能设备属性信息。

4.如权利要求1所述的远程安全监测系统，其特征在于，所述被动监控模块包括：采集单元、统计单元、分类单元以及解析单元，其中，

采集单元，用于通过网络嗅探技术采集智能设备的原始流量数据信息；

统计单元，用于统计原始流量数据信息的网络流量，得到统计的网络流量信息；

分类单元，用于对原始流量数据信息进行流还原，检测流还原的原始流量数据信息中包含的网络流量类型，并根据网络流量类型对流还原的原始流量数据信息进行分类统计，得到分类流量数据信息；

解析单元，用于判断分类流量数据信息是否加密，若加密，获取该分类流量数据信息，若未加密，对该分类流量数据信息进行内容解析，检测解析得到的内容是否存在敏感内容，若是，提取该解析得到的内容。