本发明专利技术公开了一种云主机安全检测系统及方法。其中,系统包括:数据采集模块,适于采集云主机数据;数据分析模块,适于对云主机数据进行安全分析,得到安全分析结果;结果处理模块,适于根据安全分析结果,对云主机上的不安全行为进行拦截处理;展示模块,适于展示采集的云主机数据、安全分析结果及拦截处理结果。云主机安全检测系统立足于主机本身,通过不断采集受保护云主机上所产生的云主机数据并加以分析,根据安全分析结果采取相应的防御措施立即终止恶意行为的发生,彻底阻断攻击者的攻击行为,解决云环境中云主机面临的网络安全风险,帮助企业构建云主机安全防护体系,防止云主机遭受网络攻击。
Cloud host security detection system and method
【技术实现步骤摘要】
云主机安全检测系统及方法
本专利技术涉及计算机
,具体涉及一种云主机安全检测系统及方法。
技术介绍
云主机提供一种简单高效、安全可靠、处理能力可弹性伸缩的计算服务,使用云主机能够简化开发部署流程,降低运维成本,构建按需扩展网站架构,从而更适应互联网应用快速多变的特性。云主机提供便捷服务的同时,也更容易出现安全问题。云主机具备的便捷访问特性,使云主机及云上的数据受到威胁会更多而且更复杂,因此有效保证云主机的安全异常重要。目前存在的一些云主机入侵检测系统,如防火墙、WAF、IDS、IPS等产品,主要是基于特征码检测,只能针对攻击发生时发挥安全防护作用,如果黑客绕过传统防火墙等安全产品的防护手段,顺利拿到目标主机的权限后,传统防火墙等安全产品就无法进一步阻止攻击者的攻击行为。另外,IDS、IPS产品需要对流量包做深度解析,对性能消耗较大,容易对服务器正常业务造成影响。如何在不影响云主机的运行性能的情况下,有效检测出云主机存在的安全风险成为亟待解决的问题。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的云主机安全检测系统及方法。根据本专利技术的一个方面,提供了一种云主机安全检测系统,包括:数据采集模块,适于采集云主机数据;数据分析模块,适于对云主机数据进行安全分析,得到安全分析结果;结果处理模块,适于根据安全分析结果,对云主机上的不安全行为进行拦截处理;展示模块,适于展示采集的云主机数据、安全分析结果及拦截处理结果。根据本专利技术的另一方面,提供了一种云主机安全检测方法,包括:采集云主机数据;对云主机数据进行安全分析,得到安全分析结果;根据安全分析结果,对云主机上的不安全行为进行拦截处理;展示采集的云主机数据、安全分析结果及拦截处理结果。根据本专利技术的又一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,处理器、存储器和通信接口通过通信总线完成相互间的通信;存储器用于存放至少一可执行指令,可执行指令使处理器执行上述云主机安全检测方法对应的操作。根据本专利技术的再一方面,提供了一种计算机存储介质,存储介质中存储有至少一可执行指令,可执行指令使处理器执行如上述云主机安全检测方法对应的操作。根据本专利技术提供的方案,数据采集模块通过采集最有效、最关键的云主机数据,并将云主机数据发送数据分析模块进行分析判断,在不消耗云主机自身性能的情况下,提高了对云主机的威胁行为的检测能力。数据分析模块针对反弹Shell、可疑连接等恶意攻击行为,结合各种数据库进行分析检测,提高了检测准确率,有效避免安全事件的发生。结果处理模块根据数据分析模块的安全分析结果,及时做出响应,第一时间终止恶意进程,删除WebShell恶意文件并屏蔽恶意IP及端口等操作,可及时终结恶意攻击行为。展示模块将详细显示数据分析模块的安全分析结果及数据采集模块采集的数据,方便运维人员清晰了解云主机的运行动态,同时展示模块提供的策略配置功能,可方便用户根据需求进行定制化安全策略配置。云主机安全检测系统立足于主机本身,通过不断采集受保护云主机上所产生的云主机数据并加以分析,根据安全分析结果采取相应的防御措施立即终止恶意行为的发生,彻底阻断攻击者的攻击行为,解决云环境中云主机面临的网络安全风险,帮助企业构建云主机安全防护体系,防止云主机遭受网络攻击。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了根据本专利技术一个实施例的云主机安全检测系统的结构示意图;图2示出了根据本专利技术一个实施例的云主机安全检测方法的流程示意图;图3示出了根据本专利技术另一个实施例的云主机安全检测方法的流程示意图;图4示出了根据本专利技术一个实施例的计算设备的结构示意图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。图1示出了根据本专利技术一个实施例的云主机安全检测系统的结构示意图。如图1所示,该系统包括:数据采集模块100、数据分析模块101、结果处理模块102、展示模块103。数据采集模块100,适于采集云主机数据。具体地,数据采集模块100通过部署在各个云主机上的探针采集云主机数据,例如,定时采集云主机数据。可选地,云主机数据包含:系统资源负载信息、用户登录信息、Web服务器目录信息、文件变动信息、Bash进程信息、网络连接数据、DNS域名解析信息和/或微蜜罐连接信息。其中,系统资源负载信息包含CPU占用率、内存占用率、GPU占用率、磁盘负载信息、网络IO负载等信息;用户登录信息包含:登录时间、登录IP、登录账号等信息;文件变动信息主要体现在文件的修改、删除、增加等变化。当然,其它数据采集方法均属于本实施例保护范围,这里不再赘述。数据采集模块100在采集到云主机数据后,还可以通过对数据进行加密处理,将加密处理后的数据发送给数据分析模块101,以供数据分析模块101根据云主机数据判断云主机是否存在安全风险。此外,数据采集模块100还会将采集到的云主机数据提供给展示模块103。数据采集模块将系统资源负载信息发送至展示模块,展示相应的系统资源负载信息,使得运维人员可实时观测系统负载情况,及时发现可能出现的负载异常。数据分析模块101,适于对云主机数据进行安全分析,得到安全分析结果。数据分析模块101在接收到云主机数据后,对从云主机采集到的数据进行安全分析,主要是分析云主机是否存在安全风险,可选地,在进行安全分析时可以结合威胁情报库、异常行为规则库、安全漏洞库等数据库进行安全分析,得到安全分析结果。在得到安全分析结果后,数据分析模块101将安全分析结果提供给结果处理模块102,以供结果处理模块102根据安全分析结果,对威胁云主机安全的不安全行为进行拦截处理。同时,数据分析模块101将安全分析结果提供给展示模块103。结果处理模块102,适于根据安全分析结果,对云主机上的不安全行为进行拦截处理。结果处理模块102在接收到安全分析结果后,根据安全分析结果,对云主机上的不安全行为进行相关处理,保护云主机免遭恶意侵害。在进行处理后,将拦截处理结果提供给展示模块103。展示模块103,适于展示采集的云主机数据、安全分析结果及拦截处理结果。展示模块103在接收到云主机数据、安全分析结果及拦截处理结果之后,将云主机数据、安全分析结果及拦截处理结果进行展示,方便运维人员清晰了解目前网络状态及存在的安全问题,辅助运维人员对云主机进行安全动态跟踪。可选地,展示模块还提供有策略配置、报表生成、用户管理等功能,以方便运维人员操作。在本专利技术一种可选实施方式中,数据分析模块101进一步适于:对云主机本文档来自技高网...
【技术保护点】
1.一种云主机安全检测系统,包括:数据采集模块,适于采集云主机数据;数据分析模块,适于对所述云主机数据进行安全分析,得到安全分析结果;结果处理模块,适于根据所述安全分析结果,对云主机上的不安全行为进行拦截处理;展示模块,适于展示采集的云主机数据、安全分析结果及拦截处理结果。
【技术特征摘要】
1.一种云主机安全检测系统,包括:数据采集模块,适于采集云主机数据;数据分析模块,适于对所述云主机数据进行安全分析,得到安全分析结果;结果处理模块,适于根据所述安全分析结果,对云主机上的不安全行为进行拦截处理;展示模块,适于展示采集的云主机数据、安全分析结果及拦截处理结果。2.根据权利要求1所述的系统,其中,所述数据分析模块进一步适于:对所述云主机数据进行异常登录分析、WebShell恶意文件分析、关键文件篡改分析、恶意进程分析、反弹Shell检测、可疑连接检测和/或微蜜罐分析,得到安全分析结果。3.根据权利要求2所述的系统,其中,所述云主机数据包含:Bash进程信息;所述数据分析模块进一步适于:判断Bash进程对应的重定向文件是否为套接字文件;若是,则确定所述Bash进程为反弹Shell进程,根据套接字文件描述符判断是否存在反弹Shell网络连接;若是,则获取反弹Shell网络连接的IP地址及端口号;所述结果处理模块进一步适于:对IP地址及端口号进行屏蔽处理,以及对所述Bash进程进行阻断处理。4.根据权利要求3所述的系统,其中,所述数据分析模块进一步适于:获取所述Bash进程对应的重定向文件的套接字文件描述符;判断所有网络连接中是否存在任一网络连接的套接字文件描述符与所述Bash进程对应的重定向文件的套接字文件描述符相匹配;若是,则确定该网络连接为反弹Shell网络连接。5.根据权利...
【专利技术属性】
技术研发人员:汪德嘉,华保健,柴倩,沈杰,张瑞钦,
申请(专利权)人:江苏通付盾信息安全技术有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。