一种基于集中管理的主机的安全检测方法及系统技术方案

本发明专利技术实施例提供了一种基于集中管理的主机的安全检测方法及系统，用于提高基于集中管理的主机安全检测的效率。本发明专利技术实施例方法包括：安全管理平台通过部署在不同主机上的客户端分别收集对应主机的日志信息，所述安全管理平台部署在用户侧本地网络中，需要安全检测的每一台主机安装有所述客户端；所述安全管理平台分别解析所述日志信息并根据所述日志信息生成安全威胁信息并展示给用户。

A security detection method and system of host based on centralized management

The embodiment of the invention provides a security detection method and system for the host based on centralized management, which is used to improve the efficiency of the host security detection based on the centralized management. The embodiment of the method includes: log information security management platform deployed in different host client were collected from the corresponding host, the security management platform deployed in the user side of the local network, security detection of each host to install the client; the security management platform respectively, analyzing the log information and according to the log information generation and display to the user information security threats.

【技术实现步骤摘要】
一种基于集中管理的主机的安全检测方法及系统
本专利技术涉及网络安全领域，尤其涉及一种基于集中管理的主机的安全检测方法及系统。
技术介绍
互联网的蓬勃发展使各行各业进入了信息网络时代，在线服务多种多样，享受服务的人群数量巨大，公司的服务器主机也越来越多，与此同时主机受到的攻击威胁也在不断增多，管理主机挑战越来越大，传统的主机安全维护已经不适用与现有的大数据中心。多主机数据中心管理的现状，具体问题如下：传统的主机安全防御方式是针对单个主机部署杀毒软件扫描漏洞，杀毒软件在主机中运行，检测主机中的数据并生成针对该主机的报告文件，并不能对所发生的安全事件进行实时处理，需要用户定期逐个提取每台主机杀毒软件生成的报告文件，以对单个主机的安全状况进行的评估，分析主机是否存在安全威胁。用户定期逐个检查分析主机的安全性，过程繁琐，效率低下，而且用户对单个主机的分析难以对整个数据中心的安全状况进行的评估。因此，有必要研发一种基于集中管理的主机的安全检测方法，解决上述基于集中管理的主机的检测效率低下的问题。
技术实现思路
本专利技术实施例提供了一种基于集中管理的主机的安全检测方法及系统，用于提高基于集中管理的主机安全检测的效率。本专利技术实施例第一方面提供了一种基于集中管理的主机的安全检测方法，可包括：安全管理平台通过部署在不同主机上的客户端分别收集对应主机的日志信息，所述安全管理平台部署在用户侧本地网络中，需要安全检测的每一台主机安装有所述客户端；所述安全管理平台分别解析所述日志信息并根据所述日志信息生成安全威胁信息并展示给用户；结合第一方面，在第一方面的第一种可能的实施方式中，所述方法还包括：所述安全管理平台将需要检测的数据发送至云端平台进行安全检测；所述云端平台向所述安全管理平台发送用于检测用户侧主机数据的规则库。结合第一方面，在第一方面的第二种可能的实施方式中，所述方法还包括：客户端按照预置规则实时检测对应的主机中是否发生预置安全事件；若发生所述预置安全事件，则按照预置规则即时处理所述预置安全事件。结合第一方面的第二种可能的实施方式，在第一方面的第三种可能的实施方式中，所述按照预置规则即时处理所述预置安全事件包括：当客户端按照预置规则实时监测对应的主机中存在恶意文件时，客户端自动隔离或删除所述恶意文件。结合第一方面的第三种可能的实施方式，在第一方面的第四种可能的实施方式中，所述按照预置规则即时处理所述预置安全事件包括：当客户端按照预置规则监测对应的主机中存在暴力破解攻击时，客户端封堵所述暴力破解攻击的攻击源的IP地址。结合第一方面，第一方面的第一种可能的实施方式，第一方面的第二种可能的实施方式，第一方面的第三种可能的实施方式，第一方面的第四种可能的实施方式，在第一方面的第五种可能的实施方式中，所述日志信息包括主机的硬件资产信息、操作系统信息、网络连接信息、主机开放的端口信息、进程信息、网络流量信息以及安全日志信息中的一项或多项；所述安全管理平台解析所述日志信息，并向用户展示所述日志信息。结合第一方面的第五种可能的实施方式，在第一方面的第六种可能的实施方式中，所述方法还包括：当用户根据所述安全威胁信息配置对应的安全策略之后，所述安全管理平台将所述安全策略发送给所述日志信息对应的目标主机的目标客户端或发送给所述用户所属的所有主机的客户端。本专利技术实施例第二方面提供了一种基于集中管理的主机的安全检测系统，可包括：安全管理平台及客户端，其中，所述安全管理平台部署在用户侧本地网络中，用于管理本地网络中的多台主机；所述客户端部署在需要安全检测的每一台主机中，分别采集对应主机的日志信息并上传至所述安全管理平台；所述安全管理平台分别解析所述日志信息，根据所述日志信息生成安全威胁信息并展示给用户。结合第二方面，在第二方面的第一种可能的实施方式中，所述系统还包括：云端平台，用于对所述安全管理平台发送的数据进行安全检测；所述云端平台还用于向所述安全管理平台发送用于检测用户侧主机数据的规则库。结合第二方面，在第二方面的第二种可能的实施方式中，所述客户端包括：检测模块，用于按照预置规则检测主机中是否发生预置安全事件，并按照预置规则即时处理所述预置安全事件。结合第二方面的第二种可能的实施方式，在第二方面的第三种可能的实施方式中，所述检测模块包括：第一检测单元，用于按照预置规则实时监测主机中是否存在恶意文件，若存在所述恶意文件则自动隔离或删除所述恶意文件。结合第二方面的第三种可能的实施方式，在第二方面的第四种可能的实施方式中，所述检测模块还包括：第二检测单元，用于监测主机中是否存在暴力破解攻击，若存在暴力破解攻击则封堵所述暴力破解攻击的攻击源的IP地址。结合第二方面，第二方面的第一种可能的实施方式，第二方面的第二种可能的实施方式，第二方面的第三种可能的实施方式，第二方面的第四种可能的实施方式，在第二方面的第五种可能的实施方式中，所述日志信息包括主机的硬件资产信息、操作系统信息、网络连接信息、主机开放的端口信息、进程信息、网络流量信息以及安全日志信息中的一项或多项，所述安全管理平台还包括：安全可视化模块，用于解析所述日志信息，并向用户展示所述日志信息。结合第二方面的第五种可能的实施方式，在第二方面的第六种可能的实施方式中，所述安全管理平台还包括：安全策略模块，当用户根据所述安全威胁信息配置对应的安全策略之后，所述安全管理平台将所述安全策略发送给所述日志信息对应的目标主机的目标客户端或发送给所述用户所属的所有主机的客户端。从以上技术方案可以看出，本专利技术实施例具有以下优点：本专利技术实施例中，部署在多台主机的客户端分别采集对应主机的日志信息并上传至安全管理平台，该安全管理平台可以解析日志信息并根据日志信息生成安全威胁信息并展示给用户，最后，当用户根据所述安全威胁信息配置对应的安全策略之后，安全管理平台将安全策略发送给日志信息对应的目标主机的目标客户端并执行该安全策略。即本专利技术实施例可以实时自动采集用户的多台主机的日志信息至安全管理平台进行数据检测生成对应的安全威胁信息，相对于人工定期逐个提取日志信息，提高了安全监测的效率，同时减少了主机需要检测的数据的量，节约了主机资源。附图说明图1为本专利技术实施例中基于集中管理的主机的安全检测的系统架构示意图；图2为本专利技术实施例中一种基于集中管理的主机的安全检测方法的一个实施例示意图；图3为本专利技术实施例中一种基于集中管理的主机的安全检测方法的另一个实施例示意图；图4为本专利技术实施例中一种基于集中管理的主机的安全检测方法的另一个实施例示意图；图5为本专利技术实施例中一种基于集中管理的主机的安全检测方法的另一个实施例示意图；图6为本专利技术实施例中一种基于集中管理的主机的安全检测系统的一个实施例示意图；图7为本专利技术实施例中一种基于集中管理的主机的安全检测系统的另一个实施例示意图；图8为本专利技术实施例中一种基于集中管理的主机的安全检测系统的客户端的细化功能模块示意图；图9为本专利技术实施例中一种基于集中管理的主机的安全检测方法的安全管理平台的细化功能模块示意图。具体实施方式本专利技术实施例提供了一种基于集中管理的主机的安全检测方法及系统，用于提高基于集中管理的主机安全检测的效率，减小安全事件处理过程中的延时。为了使本
的人员更好地理解本专利技术方案，本文档来自技高网...

【技术保护点】
一种基于集中管理的主机的安全检测方法，其特征在于，包括：安全管理平台通过部署在不同主机上的客户端分别收集对应主机的日志信息，所述安全管理平台部署在用户侧本地网络中，需要安全检测的每一台主机安装有所述客户端；所述安全管理平台分别解析所述日志信息并根据所述日志信息生成安全威胁信息并展示给用户。

【技术特征摘要】
1.一种基于集中管理的主机的安全检测方法，其特征在于，包括：安全管理平台通过部署在不同主机上的客户端分别收集对应主机的日志信息，所述安全管理平台部署在用户侧本地网络中，需要安全检测的每一台主机安装有所述客户端；所述安全管理平台分别解析所述日志信息并根据所述日志信息生成安全威胁信息并展示给用户。2.根据权利要求1所述的方法，其特征在于，还包括：所述安全管理平台将需要检测的数据发送至云端平台进行安全检测；所述云端平台向所述安全管理平台发送用于检测用户侧主机数据的规则库。3.根据权利要求1所述的方法，其特征在于，还包括：客户端按照预置规则实时检测对应的主机中是否发生预置安全事件；若发生所述预置安全事件，则按照预置规则即时处理所述预置安全事件。4.根据权利要求3所述的方法，其特征在于，所述按照预置规则即时处理所述预置安全事件包括：当客户端按照预置规则实时监测对应的主机中存在恶意文件时，客户端自动隔离或删除所述恶意文件。5.根据权利要求4所述的方法，其特征在于，所述按照预置规则即时处理所述预置安全事件，还包括：当客户端按照预置规则监测对应的主机中存在暴力破解攻击时，客户端封堵所述暴力破解攻击的攻击源的IP地址。6.根据权利要求1至5中任一项所述的方法，其特征在于，所述日志信息包括主机的硬件资产信息、操作系统信息、网络连接信息、主机开放的端口信息、进程信息、网络流量信息以及安全日志信息中的一项或多项；所述安全管理平台解析所述日志信息，并向用户展示所述日志信息。7.根据权利要求6所述的方法，其特征在于，还包括：当用户根据所述安全威胁信息配置对应的安全策略之后，所述安全管理平台将所述安全策略发送给所述日志信息对应的目标主机的目标客户端或发送给所述用户所属的所有主机的客户端。8.一种基于集中管理的主机的安全检测系...

【专利技术属性】
技术研发人员：邓华光，邹荣新，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44