本发明专利技术公开了一种基于云端的主机安全检测方法及装置,该方法包括:云端防护装置接收对至少一个主机的访问请求;云端防护装置运行至少一个主机的入侵检测系统,对通过防火墙的流量进行检测,判断是否有入侵事件发生;如果没有,则允许对至少一个主机的访问;如果有入侵事件发生,则阻止对至少一个主机的访问,并且在至少一个主机的防火墙的规则库中添加入侵规则,使至少一个主机的防火墙阻止入侵事件对应的访问;云端防护装置在其他主机的防火墙的规则库中添加相同入侵规则,使其他主机的防火墙阻止入侵事件对应的访问。本发明专利技术中动态调整防火墙的规则库,使得防火墙能够及时阻止入侵事件对应的访问。侵事件对应的访问。侵事件对应的访问。
【技术实现步骤摘要】
一种基于云端的主机安全检测方法及装置
[0001]本专利技术涉及网络安全
,更具体地说,本专利技术涉及一种基于云端的主机安全检测方法及装置。
技术介绍
[0002]网络防火墙是一项非常重要的安全技术,在网络安全体系中承担着首道屏障的作用,它能提供身份认证和访问控制,是内部网网络面对互联网的第一道安全门。与防毒、入侵检测、虚拟专用网及其他身份认证产品相比,防火墙技术是最早被认可和最为成熟的网络安全产品。目前,防火墙己成为中小型网络建设中是否采取网络安全措施的重要标志。
[0003]传统防火墙的过滤规则是静态的,在运行过程中规则不变,不能按照当时的环境变化动态、实时地自动调整其过滤规则,导致可能会遇到一些问题,例如对利用动态端口的协议会发生困难,事先无法知道哪些端口需要打开;对于一些紧急情况,如遭受到可能的入侵无法及时调整其策略以避免可能的破坏。
技术实现思路
[0004]本专利技术提供一种基于云端的主机安全检测方法及装置,至少解决上述部分技术问题。
[0005]本专利技术提供了一种基于云端的主机安全检测方法,包括以下步骤:
[0006]步骤一,云端防护装置接收对至少一个主机的访问请求;其中,云端防护装置为多个主机提供防火墙和入侵检测系统;
[0007]步骤二,云端防护装置运行至少一个主机的入侵检测系统,对通过防火墙的流量进行检测,判断是否有入侵事件发生;如果没有,则允许对至少一个主机的访问;如果有入侵事件发生,则阻止对至少一个主机的访问,并且在至少一个主机的防火墙的规则库中添加入侵规则,使至少一个主机的防火墙阻止入侵事件对应的访问;
[0008]步骤三,云端防护装置在其他主机的防火墙的规则库中添加相同入侵规则,使其他主机的防火墙阻止入侵事件对应的访问。
[0009]优选的,步骤二包括:
[0010]当有流量通过至少一个主机的防火墙时,运行至少一个主机的入侵检测系统;和/或
[0011]接收到至少一个主机的扫描请求时,运行至少一个主机的入侵检测系统。
[0012]优选的,步骤二包括:
[0013]在对通过防火墙的流量进行检测后,向主机发送入侵检测结果报告;
[0014]接收主机的响应,根据主机的指示信息调整防火墙的规则库和/或入侵检测系统的入侵规则库。
[0015]优选的,不同主机之间存在预配置的关联关系,步骤三中云端防护装置在与至少一个主机存在关联关系的其他主机的防火墙的规则库中添加相同入侵规则;
[0016]其中,不同主机之间存在预配置的关联关系包括:
[0017]部分主机公用入侵检测系统;
[0018]不同主机的入侵检测系统存在关联关系。
[0019]本专利技术还提供一种基于云端的主机安全检测装置,为多个主机提供防火墙和入侵检测系统;该装置包括:
[0020]接收模块,用于接收对至少一个主机的访问请求;
[0021]入侵检测模块,用于运行至少一个主机的入侵检测系统,对通过防火墙的流量进行检测,判断是否有入侵事件发生;如果没有,则允许对至少一个主机的访问;如果有入侵事件发生,则阻止对至少一个主机的访问;
[0022]规则设置模块,用于当入侵检测模块判断有入侵事件发生时,在至少一个主机的防火墙的规则库中添加入侵规则,使至少一个主机的防火墙阻止入侵事件对应的访问;并且在其他主机的防火墙的规则库中添加相同入侵规则,使其他主机的防火墙阻止入侵事件对应的访问。
[0023]优选的,入侵检测模块用于:
[0024]当有流量通过至少一个主机的防火墙时,运行至少一个主机的入侵检测系统;和/或
[0025]当接收模块接收到至少一个主机的扫描请求时,运行至少一个主机的入侵检测系统。
[0026]优选的,入侵检测模块用于:
[0027]在对通过防火墙的流量进行检测后,向主机发送入侵检测结果报告;
[0028]接收主机的响应,根据主机的指示信息调整防火墙的规则库和/或入侵检测系统的入侵规则库。
[0029]优选的,不同主机之间存在预配置的关联关系,规则设置模块用于:在与至少一个主机存在关联关系的其他主机的防火墙的规则库中添加相同入侵规则;
[0030]其中,不同主机之间存在预配置的关联关系包括:
[0031]部分主机公用入侵检测系统;
[0032]不同主机的入侵检测系统存在关联关系。
[0033]本专利技术至少包括以下有益效果:
[0034]基于云端为多个主机提供防火墙和入侵检测系统,通过入侵检测系统对通过防火墙的流量进行检测,并在检测到入侵事件时,动态调整防火墙的规则库,使得防火墙能够及时阻止入侵事件对应的访问,并且通过关联不同主机,可以在其他主机的防火墙的规则库中添加相同入侵规则,使其他主机的防火墙阻止入侵事件对应的访问,提高多个主机防火墙的功能。
[0035]本专利技术所述基于云端的主机安全检测方法,采取协议分析模式结合描述语言对规则库匹配检测,来判断入侵事件是否发生。攻击方法均被描述为入侵规则并存放于入侵规则库中,如果主机中的数据流和规则库中的某条特征相匹配,系统告警指出有某种非法入侵行为发生,并且实施响应,同时将检测到未知威胁更新到防火墙和入侵规则库中,从而达到一种不断完善的良性循环。
[0036]本专利技术主要对模式匹配的计算量大和规则匹配的局限性进行优化,规则库中未存
在但是实际存在风险的操作,首次进行检测时候可以通过描述语言对检测的风险程度进行设定,将描述语言方法检测到的威胁。将检测到未知威胁进行记录,在返回结果的同时,人工审核是否需要将该威胁添加的入侵检测规则库;这样做的优势在于在最大程度匹配入侵威胁的前提下同时提升威胁检测的准确率。
[0037]本专利技术的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本专利技术的研究和实践而为本领域的技术人员所理解。
附图说明
[0038]图1为本专利技术实施例提供的一种基于云端的主机安全检测方法的流程示意图;
[0039]图2为本专利技术实施例提供的一种基于云端的主机安全检测装置的结构示意图。
具体实施方式
[0040]下面结合附图对本专利技术做进一步的详细说明,以令本领域技术人员参照说明书文字能够据以实施。
[0041]应当理解,本文所使用的诸如“具有”、“包含”以及“包括”术语并不排除一个或多个其它元件或其组合的存在或添加。
[0042]入侵检测是指在网络环境中发现并能甄别未经授权的或恶意攻击和入侵的事件,并对此事件作出响应的机制。入侵检测系统(Intrusion Detection System,IDS)是一套运用入侵检测技术对计算机网络资源进行实时检测的系统工具。IDS一方面检测未经授权的对象是否可能对系统产生攻击,另一方面针对非法入侵事件授权系统对非法操作采取措施。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时防护,在网络系统受到危害之前对入侵进行拦截和响应本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于云端的主机安全检测方法,其特征在于,包括以下步骤:步骤一,云端防护装置接收对至少一个主机的访问请求;其中,云端防护装置为多个主机提供防火墙和入侵检测系统;步骤二,云端防护装置运行至少一个主机的入侵检测系统,对通过防火墙的流量进行检测,判断是否有入侵事件发生;如果没有,则允许对至少一个主机的访问;如果有入侵事件发生,则阻止对至少一个主机的访问,并且在至少一个主机的防火墙的规则库中添加入侵规则,使至少一个主机的防火墙阻止入侵事件对应的访问;步骤三,云端防护装置在其他主机的防火墙的规则库中添加相同入侵规则,使其他主机的防火墙阻止入侵事件对应的访问。2.如权利要求1所述的基于云端的主机安全检测方法,其特征在于,步骤二包括:当有流量通过至少一个主机的防火墙时,运行至少一个主机的入侵检测系统;和/或接收到至少一个主机的扫描请求时,运行至少一个主机的入侵检测系统。3.如权利要求1或2所述的基于云端的主机安全检测方法,其特征在于,步骤二包括:在对通过防火墙的流量进行检测后,向主机发送入侵检测结果报告;接收主机的响应,根据主机的指示信息调整防火墙的规则库和/或入侵检测系统的入侵规则库。4.如权利要求1或2所述的基于云端的主机安全检测方法,其特征在于,不同主机之间存在预配置的关联关系,步骤三中云端防护装置在与至少一个主机存在关联关系的其他主机的防火墙的规则库中添加相同入侵规则;其中,不同主机之间存在预配置的关联关系包括:部分主机公用入侵检测系统;不同主机的入侵检测系统存在关联关系。5.一种基于云端的主机安...
【专利技术属性】
技术研发人员:田新远,
申请(专利权)人:北京华清信安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。