具攻击防护机制的云端系统及其防护方法技术方案

本发明专利技术公开了一种具攻击防护机制的云端系统及其防护方法，该系统包括一安全中心服务器、一监控服务器及一主机。主机开机后接受监控服务器的部署，以安装一感测程序并运行一本地端安全规则。主机通过感测程序自我监控，并于任一数据超过一门限值时回报监控服务器。监控服务器依回报的相关数据判断主机是否遭受攻击，并于确定遭受攻击时通知安全中心服务器。安全中心服务器收到通知时，会依相关数据分析主机遭受何种攻击，并于分析后产生新的安全规则。最后，安全中心服务器依据新的安全规则对遭受攻击的主机重新进行部署，以更新主机中运行的本地端安全规则。

【技术实现步骤摘要】

本专利技术有关于云端系统，尤其更有关于具备攻击防护机制的云端系统，及该云端系统所使用的防护方法。
技术介绍
一般来说，当云端系统遭受攻击时(例如遭受骇客由外部入侵，或是主机被植入木马而于内部展开攻击)，需于管理人员查觉后进行判断，或是导入算法来分析，以得出攻击的模式、来源及目的等信息。并且，除了找出上述攻击的信息以外，还必须进一步分析出解决的方法，如此，管理人员才可以登入被攻击的主机中，并依据解决方法来手动修改该主机内部的设定,进而让该主机可以排除该攻击。再者，部分云端系统会增设一个可以提供封包过滤功能的过滤服务器，所有要进入该云端系统中的包括数据及/或指令的封包，皆会先被导入该过滤服务器中进行过滤。待该过滤服务器确认数据或指令没有问题后，才会被送到云端系统中的对应主机。然而，于这样的系统架构下，一旦该过滤服务器毁坏，就会断除该云端系统中的所有主机与外部的联系，因而会造成该云端系统中的所有主机都无法被存取的问题。并且，因为该云端系统中的所有封包都必须先经由该过滤服务器进行过滤，因此整个云端系统的网络流量(traffic)都会集中在该过滤服务器之上，如此一来，将会对整个云端系统造成很大的负担，进而容易影响到云端系统的运作。
技术实现思路
本专利技术的主要目的，在于提供一种，可于主机遭受攻击时，产生新的安全规则并对遭受攻击的主机重新进行部署，以排除主机所遭受的攻击。为达上述目的，本专利技术提供了一种具攻击防护机制的云端系统，包括:一主机，安装有一感测程序，监控该主机的各项数据，并且该主机于任一项该数据超过一门限值时触发一事件；一监控服务器，连接该主机，依据该事件判断该主机是否遭受攻击，并于确定该主机遭受攻击时对外发出一警告信息；及一安全中心服务器，连接该监控服务器及该主机，接收该监控服务器的该警告信息；其中，该安全中心服务器分析该警告信息并产生一更新后安全规则，并以该更新后安全规则对该主机重新进行部署。本专利技术还提供了一种云端系统的攻击防护方法,其中该云端系统包括一主机、与该主机连接的一监控服务器，及与该主机及该监控服务器连接的一安全中心服务器，该攻击防护方法包括:a)该主机通过一感测程序监控各项数据；b)当有任一项该数据超过一门限值时触发一事件；c)该监控服务器依据该事件判断该主机是否遭受攻击；d)该监控服务器于确定该主机遭受攻击时产生一警告信息并通知该安全中心服务器；e)该安全中心服务器接收该监控服务器的该警告信息，据以分析该主机遭受何种攻击，并依分析结果产生一更新后安全规则 '及f)该安全中心服务器依据该更新后安全规则对该主机重新进行部署。本专利技术还提供了一种具攻击防护机制的云端系统，包括:一主机，安装有一感测程序，监控该主机的各项数据，并且该主机内部运行有一本地端安全规则，以进行该主机的安全防护并设定一门限值，该主机于任一项该数据超过该门限值时触发一事件；一监控服务器，连接该主机，依据该事件判断该主机是否遭受攻击，并于确定该主机遭受攻击时对外发出一警告信息；一安全中心服务器，连接该监控服务器及该主机，接收该监控服务器的该警告信息，据以分析该主机遭受何种攻击，并依据分析结果产生一更新后安全规则 '及一知识库，连接该安全中心服务器，存储该安全中心服务器产生的该更新后安全规则；其中，该安全中心服务器以该更新后安全规则对该主机重新进行部署，以更新该主机内部运行的该本地端安全规则。本专利技术对照先前技术所能达成的功效在于，主机在监控自己的各项数据时，若发现有遭受攻击的现象，可经由监控服务器来通知安全中心服务器。由此，安全中心服务器可以分析主机可能遭受了怎样的攻击，并且以排除该攻击为目的，产生一个新的安全规则，再以该新的安全规则来为主机重新进行部署。由于新的安全规则是因应该攻击而生，因此当主机以新的安全规则重新部署后，即可有效地排除该攻击，对该攻击产生防护效果。如此一来，实有助于提升整个云端系统的安全性。【附图说明】图1为本专利技术的一较佳具体实施例的系统架构图。图2为本专利技术的一较佳具体实施例的云端机房的机柜示意图。图3为本专利技术的一较佳具体实施例的系统方块图。图4为本专利技术的一较佳具体实施例的部署流程图。图5为本专利技术的一较佳具体实施例的安全规则更新流程图。图6为本专利技术的一较佳具体实施例的攻击通知流程图。图7为本专利技术的一较佳具体实施例的攻击防护流程图。 图8为本专利技术的另一较佳具体实施例的系统方块图。图9为本专利技术的一较佳具体实施例的防护时序流程图。其中，附图标记说明如下:I…监控服务器10…通知规则2、2’…安全中心服务器20…攻击分析算法3…知识库30…更新后安全规则4…主机40…感测程序400…本地端安全规则41…运算端点主机42…存储端点主机43…网络交换机5…机柜S10~S16…步骤S20~S24…步骤S30~S42…步骤S5CTS58 …步骤S60~S80…步骤【具体实施方式】兹就本专利技术的一较佳实施例，配合图式，详细说明如后。首请参阅图1，为本专利技术的一较佳具体实施例的系统架构图。本专利技术主要揭露一种具攻击防护机制的云端系统，如图所示，该云端系统主要包括一监控服务器I (managementserver) >一安全中心服务器 2 (security center)、一知识库 3 (knowledge base)及至少一主机4(node)。本实施例中，该些主机4可为各式实体机器(Physical Machine, PM),如实体的运算端点主机41 (computing node)、存储端点主机42 (storage node)或网络交换机43 (switch),或者，也可为各式的虚拟机器(Virtual Machine, VM),如虚拟端点主机(virtual node)或虚拟交换机(virtual switch)等,并不加以限定。为方便叙述，下面将于说明书中，以单一台该主机4来举例说明，但该主机4的数量实不以一台为限。该主机4主要是担任该云端系统中的对应角色，以为客户端提供服务。该监控服务器I连接该主机4，以监视该主机4的运作状况，当该主机4产生异常时，会回报给该监控服务器1，由该监控服务器I来判断是否为该主机4遭受攻击而产生的异常。本实施例中所指的攻击，主要是指病毒或骇客的攻击行为，而该些攻击行为一般会造成例如该主机4的对外吞吐量(throughput)突然上升,或是内部的某个文件被植入木马而导致存取率异常等。上述状况一旦回报给该监控服务器1，该监控服务器I即可判断该主机4的确是遭受到了攻击。当该监控服务器I认为该主机4遭受到了攻击后，会依据当时所监控到的信息，以事件(even)方式通知该安全中心服务器2，由该安全中心服务器2来进行事件评估分析及处理。该安全中心服务器2为整个云端系统的资安核心，当该安全中心服务器2收到该监控服务器I的事件通知时，即可依据其提供的对应数据，经由算法评估、分析出该主机4是遭受到哪一种攻击。如此一来，该安全中心服务器2可以依据分析结果即时产生一套解决方式，并对遭受攻击的该主机4重新进行资安规则的部署(re-deployment),由此,令该主机4可于重新部署后，以新的资安规则排除原先所遭受到的攻击。值得一提的是，该安全中心服务器2在每一次分析后，都会将其分析结果，以及依分析本文档来自技高网...

【技术保护点】
一种具攻击防护机制的云端系统，包括：一主机，安装有一感测程序，监控该主机的各项数据，并且该主机于任一项该数据超过一门限值时触发一事件；一监控服务器，连接该主机，依据该事件判断该主机是否遭受攻击，并于确定该主机遭受攻击时对外发出一警告信息；及一安全中心服务器，连接该监控服务器及该主机，接收该监控服务器的该警告信息；其中，该安全中心服务器分析该警告信息并产生一更新后安全规则，并以该更新后安全规则对该主机重新进行部署。

【技术特征摘要】
1.一种具攻击防护机制的云端系统，包括: 一主机,安装有一感测程序,监控该主机的各项数据，并且该主机于任一项该数据超过一门限值时触发一事件； 一监控服务器，连接该主机，依据该事件判断该主机是否遭受攻击，并于确定该主机遭受攻击时对外发出一警告信息；及 一安全中心服务器，连接该监控服务器及该主机，接收该监控服务器的该警告信息； 其中，该安全中心服务器分析该警告信息并产生一更新后安全规则，并以该更新后安全规则对该主机重新进行部署。2.如权利要求1所述的云端系统,其中该主机内部运行一本地端安全规则，以进行该主机的安全防护并设定该门限值，该安全中心服务器以该更新后安全规则对该主机重新进行部署，以更新该本地端安全规则。3.如权利要求2所述的云端系统，其中该本地端安全规则与该更新后安全规则为一防火墙规则。4.如权利要求1所述的云端系统，其中该主机为实体机器、虚拟机器、网络交换机或虚拟网络交换机。5.如权利要求1所述的具攻击防护机制的云端系统，其中还包括一知识库，连接该安全中心服务器，存储该安全中心服务器产生的该更新后安全规则。6.如权利要求5所述的云端系统，其中该主机、该监控服务器、该安全中心服务器及该知识库设置在云端机房的同一个机柜中。7.如权利要求1所述的云端系统,其中该主机触发该事件时，同时回报一事件相关数据给该监控服务器，该监控服务器内部运行一通知规则，依据该通知规则分析该事件相关数据，以判断该主机是否遭受攻击，并且于确定该主机遭受攻击时，该监控服务器依据该事件相关数据产生该警告信息以通知该安全中心服务器。8.如权利要求7所述的云端系统，其中该安全中心服务器内部运行一攻击分析算法，该安全中心服务器依据该攻击分析算法分析该事件相关数据，以得出该主机遭受的攻击模式，并据以产生该更新后安全规则。9.一种云端系统的攻击防护方法，其中该云端系统包括一主机、与该主机连接的一监控服务器，及与该主机及该监控服务器连接的一安全中心服务器，该攻击防护方法包括: a)该主机通过一感测程序监控各项数据； b)当有任一项该数据超过一门限值时触发一事件； c)该监控服务器依据该事件判断该主机是否遭受攻击； d)该监控服务器于确定该主机遭受攻击时产生一警告信息并通知该安全中心服务器； e)该安全中心服务器接收该监控服务器的该警告信息，据以分析该主机遭受何种攻击，并依分析结果产生一更新后安全规则 '及 f)该安全中心服务器依据该更新后安 全规则对该主机重新进行部署。10.如权利要求9所述的攻击防护方法，其中还包括一步骤g:该安全中心服务器依据该更新后安全规则，对该云端系统中所有未遭受攻击的主机重新进行部署。11.如权利要求9所述的攻击防护方法，其中该步骤C包括下列步骤:cl)该监控服务器接收该主机依据该事件产生并回报的一事件相关数据；及 c2)该监控服务器依据一通知规则分析该事件相关数据，...

【专利技术属性】
技术研发人员：洪瑞聪，
申请(专利权)人：台达电子工业股份有限公司，
类型：发明
国别省市：中国台湾;71