CN102469098B - 信息安全防护主机 - Google Patents
信息安全防护主机 Download PDFInfo
- Publication number
- CN102469098B CN102469098B CN201010554245.0A CN201010554245A CN102469098B CN 102469098 B CN102469098 B CN 102469098B CN 201010554245 A CN201010554245 A CN 201010554245A CN 102469098 B CN102469098 B CN 102469098B
- Authority
- CN
- China
- Prior art keywords
- information
- operating system
- network
- grouping
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明是一种信息安全防护主机。该信息安全防护主机包含一网络接口以及一虚拟机器管理员装置。该网络接口连接至一计算机网络,且用以接收一第一分组。该虚拟机器管理员装置用以运行一第一操作系统,其中该第一操作系统提供一第一网络服务。该虚拟机器管理员装置还用以实时提供该第一操作系统的一第一操作系统信息以及该第一网络服务的一第一网络服务信息,以根据该第一操作系统信息或该第一网络服务信息判断该第一分组的安全性。
Description
技术领域
本发明是关于一种信息安全防护主机。具体而言,本发明的信息安全防护主机可根据本身运行的一个或多个操作系统及各操作系统所提供的网络服务,自多个验证规则中筛选出相对应不同操作系统或其提供的网络服务的验证规则集合,以验证接收到的分组,藉此避免与不同操作系统相关的分组皆采用全部相同的验证规则验证。
背景技术
因网际网络的快速发展,越来越多的企业通过架设主机来提供各种多元化的网络服务,例如:网页服务、电子邮件服务以及文件传输协议服务等。然而,网际网络虽提供人们传递信息的便利,但亦让有心人通过入侵主机的方式窃取或修改储存于主机内的数据。因此,为保护主机内数据的安全,近年来大多企业皆为主机安装一入侵检测系统(Intrusion Detection System,IDS),以通过入侵检测系统检测各种入侵行为。
传统的入侵检测系统对于接收到的分组加载过多的验证规则验证分组的内容,即使该分组对于运行于主机上的操作系统未带有威胁的可能性,也同样加载全部的验证规则进行验证。然而,加载过多的验证规则会耗费大量系统效能,且亦容易产生误判的情形。
此外,由于目前部份企业的主机采用虚拟机器管理员(virtual machine monitor;VMM)装置运行多个不同操作系统,因此若虚拟机器管理员还运行传统的入侵检测系统以验证每个与不同操作系统相关的分组,势必会更加因为加载过多的验证规则而导致检测效能不高,且耗费过多系统效能的窘态。
综上所述,如何提高入侵检测系统的检测效能,特别是在主机采用虚拟机器管理员装置运行多个不同操作系统的情况下,这是现今业界仍需努力解决的问题。
发明内容
本发明的一目的在于提供一信息安全防护主机。该信息安全防护主机运行一个或多个操作系统以提供一个或多个网络服务。该信息安全防护主机根据所运行的操作系统及其提供的服务,判断接收到与各操作系统相关分组的安全性。
为达上述目的,本发明揭露一种信息安全防护主机,一网络接口及虚拟机器管理员装置。该网络接口连接至一计算机网络,且用以接收一第一分组。该虚拟机器管理员装置连接至该网络接口,且用以运行一第一操作系统。该第一操作系统提供一第一网络服务,该虚拟机器管理员装置还用以实时提供该第一操作系统的一第一操作系统信息以及该第一网络服务的一第一网络服务信息。该第一网络服务信息包含一第一服务通讯端口号码(port number)。当该网络接口通过一通讯端口接收该第一分组时,该虚拟机器管理员装置还根据第一操作系统信息及该第一网络服务信息,判断该第一分组与该第一操作系统相关,且该通讯端口的通讯端口号码不等于该第一服务通讯端口号码,以滤除该第一分组。
本发明的另一目的在于提供一信息安全防护主机。该信息安全防护主机运行一个或多个操作系统,以提供一个或多个网络服务。该信息安全防护主机还运行一安全系统,以提供多个验证规则。该安全系统根据该信息安全防护主机所运行的操作系统及其提供的服务,自多个验证规则中筛选符合不同操作系统的验证规则集合。如此一来,当该信息安全防护主机接收到与各操作系统相关分组时,则该安全系统采用筛选后的验证规则集合分析分组内容,以避免使用全部的验证规则验证分组,进而提升检测效能。
为达上述目的,本发明更揭露一种信息安全防护主机,其包含一网络接口以及一虚拟机器管理员装置。该网络接口连接至一计算机网络,且用以接收一第一分组。该虚拟机器管理员装置,连接至该网络接口,且用以运行一第一操作系统以及一安全系统。该第一操作系统提供一第一网络服务。该安全系统用以提供多个验证规则。该虚拟机器管理员装置还实时提供该第一操作系统的一第一操作系统信息以及该第一网络服务的一第一网络服务信息至该安全系统,以便该安全系统根据该第一操作系统信息及该第一网络服务信息,自这些验证规则筛选一第一验证规则集合,并判断该第一分组与该第一操作系统相关,以套用该第一验证规则集合,验证该第一分组。
本发明的另一目的在于提供一信息安全防护主机。该信息安全防护主机运行一个或多个操作系统,以提供一个或多个网络服务。该信息安全防护主机还运行一安全系统,以提供多个验证规则,并根据这些验证规则验证接收到与各操作系统相关的分组。当一分组无法通过这些验证规则的一规则时,该信息安全防护主机还判断该分组与一操作系统是否相关,且该规则与该操作系统是否相关,以决定该分组是否会对该操作系统造成威胁。如此一来,通过上述机制可避免使用该安全系统根据这些验证规则,验证该分组时,产生误判的情形。
为达上述目的,本发明还揭露一种信息安全防护主机,其包含一网络接口以及一虚拟机器管理员装置。该网络接口连接至一计算机网络且用以接收一第一分组。该虚拟机器管理员装置连接至该网络接口,且用以运行一第一操作系统以及一安全系统。该第一操作系统提供一第一网络服务。该虚拟机器管理员装置还用以实时提供该第一操作系统的一第一操作系统信息以及该第一网络服务的一第一网络服务信息。该安全系统用以提供多个验证规则,以根据这些验证规则,验证该第一分组。当该第一分组无法通过这些验证规则的一规则时,该虚拟机器管理员装置还根据第一操作系统信息或该第一网络服务信息,判断该第一分组与该第一操作系统相关且该规则与该第一操作系统不相关,以避免使用该安全系统于根据这些验证规则,验证该第一分组时,产生一错误判断。
本发明的有益技术效果是:本发明通过主机的虚拟机器管理员装置自本身存储器取得所运行多个不同操作系统的信息,并通过这些信息使得虚拟机器管理员装置本身可根据不同的操作系统或其所提供的网络服务,过滤主机所接收的分组。此外,借助这些信息,亦可使虚拟机器管理员装置运行的安全系统自原先大量的验证规则中分别筛选出适合不同操作系统或其提供的网络服务的验证规则集合。如此一来,即可根据分组所对应的操作系统,使用筛选出的验证规则集合验证分组,以避免使用全部的验证规则验证分组。另外,当安全系统根据全部的验证规则验证分组时,借助这些信息,亦可避免验证分组时产生一错误判断。据此,本发明的信息安全防护主机可有效地提升检测效能,并减少产生误判的情形。
在参阅附图及随后描述的实施方式后,所属技术领域具有通常知识者便可了解本发明的其它目的、优点以及本发明的技术手段及实施态样。
附图说明
图1是本发明第一实施例的信息安全防护主机1的示意图;
图2是本发明第二实施例的信息安全防护主机1的示意图;
图3是本发明第三实施例及第五实施例中的信息安全防护主机1的示意图;以及
图4是本发明第四实施例及第六实施例中的信息安全防护主机1的示意图。
具体实施方式
本发明提供一信息安全防护主机。本发明的信息安全防护主机运行一个或多个操作系统。各操作系统提供一个或多个网络服务。当接收到与一操作系统相关的分组时,信息安全防护主机根据该操作系统的一操作系统信息及该操作系统所提供的网络服务的一网络服务信息,判断分组的安全性。以下的实施例用以举例说明本发明的技术内容,并非用以限制本发明的范围。需说明的是,以下实施例及附图中,与本发明无关的元件已省略而未绘示,且附图中各元件间的尺寸关系仅为求容易了解,非用以限制实际比例。
本发明第一实施例的一信息安全防护主机1是如图1所示。信息安全防护主机1包含一网络接口11以及一虚拟机器管理员(virtual machine monitor;VMM)装置13。信息安全防护主机1通过网络接口11以一有线方式或一无线方式连接至一计算机网络2。计算机网络2可为一私人网络、一公有网络、一网际网络(Internet)及其它网络的任何组合。
虚拟机器管理员装置13具有一存储器13a,且用以运行一第一操作系统131。第一操作系统131提供一第一网络服务,例如:包含一网页(Web Page)服务、一文件传输协议(File Transfer Protocol;FTP)、一电子邮件服务以及其它网络服务的任何组合。需说明的是,第一操作系统131可为一微软操作系统、一类Unix(Unix-like)操作系统或其它可提供网络服务的操作系统,而虚拟机器管理员装置13可由一般的计算机主机硬件(例如:由中央处理器、存储器、硬盘、主机板等)所构成,或其它具有同时运行一个或多个操作系统能力的装置。
于本实施例中,当虚拟机器管理员装置13运行第一操作系统131时,由于虚拟机器管理员装置13运行第一操作系统131会使用存储器13a,因此存储器13a将会储存与第一操作系统131相关的信息,例如:第一操作系统131的第一操作系统信息以及所提供的第一网络服务的第一网络服务信息。第一操作系统信息可用以表示该第一操作系统为一微软操作系统、一类Unix操作系统或其它操作系统,而第一网络服务信息可用以表示该第一服务可能包含一网页服务、一文件传输协议服务、一电子邮件服务或其它网络服务的任何组合。
举例而言,以微软操作系统作为说明,微软操作系统在运行时,其核心(Kernel)会建立一程序环境区块(Process Environment Block;PEB)数据结构储存于在存储器中,以存放相关参数。PEB数据结构中的OSMajorVersion及OSMinorVersion字段存放代表微软操作系统版本参数,例如:当OSMajorVersion字段的参数为“7”且OSMinorVersion字段的参数为“0”时,代表微软操作系统为Windows 7;当OSMajorVersion字段的参数为“6”且OSMinorVersion字段的参数为“0”时,代表微软操作系统为Windows Vista或Server 2008;当OSMajorVersion字段的参数为“5”且OSMinorVersion字段的参数为“2”时,代表微软操作系统为Windows Server2003;以及当OSMajorVersion字段的参数为“5”且OSMinorVersion字段的参数为“1”时,代表微软操作系统为Windows XP。由于PEB数据结构属现有技术内容,所属技术领域中具有通常知识者可轻易依现有技术文献得知PEB数据结构的细节内容,故在此则不再加以赘述。
此外,微软操作系统在运行时,其核心亦会建立一EPROCESS数据结构及一MIB_TCPROW_OWNER_MODULE数据结构,并储存于存储器中。EPROCESS数据结构记录着目前执行中的程序(即包含提供第一网络服务的程序),而MIB_TCPROW_OWNER_MODULE数据结构记录目前执行中的程序的相关信息。据此,从EPROCESS数据结构可取得程序列表(Process List),再根据程序列表中的程序识别码(Process Identification;PID)自MIB_TCPROW_OWNER_MODULE数据结构取得执行中的程序的相关信息。另外,当第一操作系统131更新所提供的第一网络服务时(即新开启另一网络服务,或关闭一现有的网络服务时),第一操作系统便会自动产生一分页错误(Page Fault)讯息,此时虚拟机器管理员装置13可因应分页错误讯息,取得新开启或关闭网络服务的相关讯息,以更新第一网络服务信息。
依据上述的举例说明,虚拟机器管理员装置13的自其存储器13a读取第一操作系统131的第一操作系统信息以及所提供的第一网络服务的第一网络服务信息。需注意的是,虽本发明仅以微软操作系统作为举例说明,但所属技术领域中具有通常知识者可轻易依各操作系统的技术规格得知如何自存储器中取得操作系统信息以及所提供的网络服务的网络服务信息,因此操作系统及其提供服务的种类并非用以限制本发明的范围,且在此不加以详述其它操作系统的作法。
随后,当网络接口11接收第一分组102时,虚拟机器管理员装置13可根据第一网络服务信息中记录的第一网络服务所使用的第一服务通讯端口号码(例如:807),对第一分组102进行过滤。举例而言,当网络接口11通过一通讯端口(例如:544)接收第一分组102时,虚拟机器管理员装置13可根据判断第一分组102与第一操作系统131相关(即第一分组102传送的目的地为第一操作系统131),且接收第一分组102的通讯端口不等于第一服务通讯端口号码,以滤除第一分组102。
本发明第二实施例的信息安全防护主机1是如图2所示。不同于第一实施例,在第二实施例中,网络接口11还自计算机网络2皆接收第二分组104,且信息安全防护主机1的虚拟机器管理员装置13还用以运行第二操作系统133。第二操作系统133亦提供一第二网络服务,例如:包含一网页服务、一文件传输协议、一电子邮件服务以及其它网络服务的任何组合。类似地,第二操作系统133可为一微软操作系统、一类Unix操作系统或其它可提供网络服务的操作系统。
当虚拟机器管理员装置13运行第二操作系统133时,由于虚拟机器管理员装置13运行第二操作系统133亦会使用存储器13a,因此存储器13a将会储存与第二操作系统133相关的信息,例如:第二操作系统133的第二操作系统信息以及所提供的第二网络服务的第二网络服务信息。第二操作系统信息则可用以表示第二操作系统133为一微软操作系统、一类Unix操作系统或其它操作系统,而第二网络服务信息则可用以表示该第二服务可能包含一网页服务、一文件传输协议、一电子邮件服务或其它网络服务的任何组合。
当网络接口11接收第二分组104时,虚拟机器管理员装置13可根据第二网络服务信息中记录的第二网络服务所使用的第二服务通讯端口号码(例如:707),对第二分组104进行过滤。举例而言,当网络接口11通过一通讯端口(例如:474)接收第二分组104时,虚拟机器管理员装置13可根据判断第二分组104与第二操作系统133相关(即第二分组104传送的目的地为第二操作系统131),且接收第二分组104的通讯端口不等于第二服务通讯端口号码,以滤除第二分组104。
本发明第三实施例的信息安全防护主机1是如图3所示。不同于第一实施例,在第三实施例中,信息安全防护主机1的虚拟机器管理员装置13还用以运行一安全系统135,且虚拟机器管理员装置13无需根据第一网络服务信息中记录的第一网络服务所使用的第一服务通讯端口号码,对第一分组102进行过滤。安全系统135用以提供多个验证规则。安全系统135可以为一入侵检测系统(IntrusionDetection System,IDS)、一网络型入侵检测系统(Network intrusion detection system,NIDS)、一网络型入侵防御系统(Network Intrusion Prevention System,NIPS)、一Web防火墙(Web App Firewall)、一防火墙(Firewall)或其它具防护功能的系统。
虚拟机器管理员装置13将自其存储器13a读取第一操作系统131的第一操作系统信息以及所提供的第一网络服务的第一网络服务信息,提供给安全系统135使用。安全系统135根据第一操作系统信息或第一网络服务信息,自这些验证规则筛选一第一验证规则集合。举例而言,当第一操作系统信息显示第一操作系统为微软操作系统(Windows Server 2003),且第一网络服务信息显示该第一网络服务包含电子邮件服务时,安全系统135自这些验证规则筛选关于微软操作系统(Windows Server 2003)且进一步关于电子邮件服务的验证规则作为第一验证规则集合。据此,当自网络接口11接收第一分组102时,虚拟机器管理员装置13会使用安全系统135先验第一分组102。当安全系统135判断第一分组102与第一操作系统131相关(即第一分组102传送的目的地为第一操作系统131)时,则套用第一验证规则集合验证第一分组102,而非套用全部的验证规则。具体而言,若第一分组102通过第一验证规则集合的验证,则虚拟机器管理员装置13即将第一分组102供第一操作系统131使用;另一方面,若第一分组102未通过第一验证规则集合的验证时,则滤除第一分组102,避免第一分组102对第一操作系统131造成威胁。
此外,于其它实施例中,虚拟机器管理员装置13亦可先根据第一网络服务信息中记录的第一网络服务所使用的第一服务通讯端口号码,对第一分组102进行过滤。当虚拟机器管理员装置13判断第一分组102与第一操作系统131相关(即第一分组102传送的目的地为第一操作系统131),且接收第一分组102的通讯端口等于第一服务通讯端口号码时,再使用安全系统135验证第一分组102。换言之,本发明的虚拟机器管理员装置13可单独使用安全系统135对分组进行验证,或先通过通讯端口号码对分组进行过滤,再使用安全系统135对分组进行验证。
本发明第四实施例的信息安全防护主机1系如图4所示。不同于第三实施例,在第四实施例中,网络接口11还自计算机网络2皆接收第二分组104,且信息安全防护主机1的虚拟机器管理员装置13还用以运行第二操作系统133。第二操作系统133亦提供一第二网络服务,例如:包含一网页服务、一文件传输协议、一电子邮件服务以及其它网络服务的任何组合。类似地,第二操作系统133可为一微软操作系统、一类Unix操作系统或其它可提供网络服务的操作系统。于第四实施例中,虚拟机器管理员装置13亦无需根据第二网络服务信息中记录的第二网络服务所使用的第二服务通讯端口号码,对第二分组104进行过滤。
当虚拟机器管理员装置13运行第二操作系统133时,由于虚拟机器管理员装置13运行第二操作系统133亦会使用存储器13a,因此存储器13a将会储存与第二操作系统133相关的信息,例如:第二操作系统133的第二操作系统信息以及所提供的第二网络服务的第二网络服务信息。第二操作系统信息则可用以表示第二操作系统133为一微软操作系统、一类Unix操作系统或其它操作系统,而第二网络服务信息则可用以表示该第二服务可能包含一网页服务、一文件传输协议、一电子邮件服务或其它网络服务的任何组合。
虚拟机器管理员装置13将自其存储器13a读取第二操作系统131的第二操作系统信息以及所提供的第二网络服务的第二网络服务信息,提供给安全系统135使用。安全系统135根据第二操作系统信息或第二网络服务信息,自这些验证规则筛选一第二验证规则集合。举例而言,当第二操作系统信息显示第二操作系统为类Unix操作系统,且第二网络服务信息显示该第二网络服务包含网页服务及文件传输协议服务时,安全系统135系自这些验证规则筛选关于类Unix操作系统且进一步关于网页服务及文件传输协议服务的验证规则作为第二验证规则集合。据此,当网络接口11接收第二分组104时,虚拟机器管理员装置13会使用安全系统135验证第二分组104。当安全系统135判断第二分组104与第二操作系统133相关(即第二分组104传送的目的地为第二操作系统133)时,则套用第二验证规则集合验证第二分组104,而非套用全部的验证规则。具体而言,若第二分组104通过第二验证规则集合的验证,则虚拟机器管理员装置13即将第二分组104供第二操作系统133使用;另一方面,若第二分组104未通过第二验证规则集合的验证时,则滤除第二分组104,避免第二分组104对第二操作系统133造成威胁。
此外,于其它实施例中,虚拟机器管理员装置13亦可先根据第二网络服务信息中记录的第二网络服务所使用的第二服务通讯端口号码,对第二分组104进行过滤。当虚拟机器管理员装置13判断第二分组104与第二操作系统133相关(即第二分组104传送的目的地为第二操作系统133),且接收第二分组104的通讯端口等于第二服务通讯端口号码时,再使用安全系统135验证第二分组104。
本发明第五实施例的信息安全防护主机1是如图3所示。不同于第一实施例,在第五实施例中,信息安全防护主机1的虚拟机器管理员装置13还用以运行一安全系统135。安全系统135用以提供多个验证规则。安全系统135可以为一入侵检测系统、一网络型入侵检测系统、一网络型入侵防御系统、一Web防火墙、一防火墙或其它具防护功能的系统。
于接收第一分组102后,虚拟机器管理员装置13使用安全系统135验证第一分组102。安全系统135套用全部的验证规则验证第一分组102。当第一分组102无法通过这些验证规则的一规则时,虚拟机器管理员装置13还根据第一操作系统信息或该第一网络服务信息,判断第一分组102与第一操作系统131相关且该规则与第一操作系统131不相关,以决定安全系统135套用全部的验证规则验证第一分组102时,是否产生误判的情况。具体而言,若安全系统135判断第一分组102不符合这些验证规则的该规则时,即发出一警告。虚拟机器管理员装置13因应该警告,判断该分组与第一操作系统131相关(即第一分组102传送的目的地为第二操作系统131)且该规则与第一操作系统131不相关,例如:当第一操作系统131为Windows Server 2003操作系统,但该规则不适用于Windows Server 2003操作系统,如此一来,虚拟机器管理员装置13即可判断安全系统135对第一分组102所为的验证为误判。藉此,可避免安全系统135套用全部验证规则,验证第一分组102时,产生一错误判断。
本发明第六实施例的信息安全防护主机1亦如图4所示。不同于第五实施例,在第六实施例中,网络接口11还自计算机网络2皆接收第二分组104,且信息安全防护主机1的虚拟机器管理员装置13还用以运行第二操作系统133。第二操作系统133亦提供一第二网络服务,例如:包含一网页服务、一文件传输协议、一电子邮件服务以及其它网络服务的任何组合。类似地,第二操作系统133可为一微软操作系统、一类Unix操作系统或其它可提供网络服务的操作系统。
当虚拟机器管理员装置13运行第二操作系统133时,由于虚拟机器管理员装置13运行第二操作系统133亦会使用存储器13a,因此存储器13a将会储存与第二操作系统133相关的信息,例如:第二操作系统133的第二操作系统信息以及所提供的第二网络服务的第二网络服务信息。第二操作系统信息则可用以表示第二操作系统133为一微软操作系统、一类Unix操作系统或其它操作系统,而第二网络服务信息则可用以表示该第二服务可能包含一网页服务、一文件传输协议、一电子邮件服务或其它网络服务的任何组合。
于接收第二分组104后,虚拟机器管理员装置13使用安全系统135验证第二分组104。安全系统135套用全部的验证规则验证第二分组104。当第二分组104无法通过这些验证规则的一规则时,虚拟机器管理员装置13还根据第二操作系统信息或该第二网络服务信息,判断第二分组104与第二操作系统133相关且该规则与第二操作系统133不相关,以决定安全系统135使用全部的验证规则验证第二分组104时,产生一错误判断。具体而言,若安全系统135判断第二分组104不符合这些验证规则的该规则时,即发出一警告。虚拟机器管理员装置13因应该警告,判断该分组与第二操作系统135相关(即第二分组104传送的目的地为第二操作系统135)且该规则与第二操作系统131不相关,例如:当第二操作系统135为类Unix操作系统,但该规则不适用于类Unix操作系统,如此一来,虚拟机器管理员装置13即可判断安全系统135对第二分组104所为的验证为误判。藉此,可避免安全系统135使用全部验证规则,验证第二分组104时,产生一错误判断。
在此需特别说明,本实施例中是以“第一”及“第二”说明虚拟机器管理员装置13运行二个的操作系统且二个操作系统提供的各自的网络服务,而于其它的实施例中,虚拟机器管理员装置13还可以运行二个以上的操作系统,且各操作系统亦各自提供各种网络服务。换言之,当虚拟机器管理员装置13运行二个以上的操作系统时,亦能执行本发明的技术手段。
承上所述,本发明系通过主机的虚拟机器管理员装置自本身存储器取得所运行多个不同操作系统的信息,并借助这些信息使得虚拟机器管理员装置本身可根据不同的操作系统或其所提供的网络服务,过滤主机所接收的分组。此外,借助这些信息,亦可使虚拟机器管理员装置运行的安全系统自原先大量的验证规则中分别筛选出适合不同操作系统或其提供的网络服务的验证规则集合。如此一来,即可根据分组所对应的操作系统,使用筛选出的验证规则集合验证分组,以避免使用全部的验证规则验证分组。另外,当安全系统根据全部的验证规则验证分组时,借助这些信息,亦可避免验证分组时产生一错误判断。据此,本发明的信息安全防护主机可有效地提升检测效能,并减少产生误判的情形。
上述的实施例仅用来例举本发明的实施态样,以及阐释本发明的技术特征,并非用来限制本发明的保护范畴。任何熟悉此技术者可轻易完成的改变或均等性的安排均属于本发明所主张的范围,本发明的权利保护范围应以申请专利范围为准。
Claims (20)
1.一种信息安全防护主机,其特征在于,包含:
一网络接口,连接至一计算机网络,用以接收一第一分组以及一第二分组;以及
一虚拟机器管理员装置,连接至该网络接口,用以运行一第一操作系统、一第二操作系统以及一安全系统,该第一操作系统提供一第一网络服务,该第二操作系统提供一第二网络服务,该安全系统用以提供多个验证规则,该虚拟机器管理员装置还用以实时提供该第一操作系统的一第一操作系统信息以及该第一网络服务的一第一网络服务信息,并且用以实时提供该第二操作系统的一第二操作系统信息以及该第二网络服务的一第二网络服务信息;
其中,该第一网络服务信息包含一第一服务通讯端口号码,当该网络接口通过一通讯端口接收该第一分组时,该虚拟机器管理员装置更根据第一操作系统信息或该第一网络服务信息,判断该第一分组与该第一操作系统相关,且该通讯端口的通讯端口号码不等于该第一服务通讯端口号码,以滤除该第一分组;
其中,该第二网络服务信息包含一第二服务通讯端口号码,当该网络接口通过另一通讯端口接收该第二分组时,该虚拟机器管理员装置还根据第二操作系统信息或该第二网络服务信息,判断该第二分组与该第二操作系统相关,且该另一通讯端口的通讯端口号码不等于该第二服务通讯端口号码,以滤除该第二分组;
其中,该虚拟机器管理员装置还实时提供该第一操作系统信息以及该第一网络服务信息至该安全系统,以便该安全系统根据该第一操作系统信息或该第一网络服务信息,自这些验证规则筛选一第一验证规则集合,当该虚拟机器管理员装置根据该第一操作系统信息或该第一网络服务信息,判断该第一分组与该第一操作系统相关,且该通讯端口的通讯端口号码等于该第一服务通讯端口号码时,该安全系统判断该第一分组与该第一操作系统相关,以套用该第一验证规则集合,验证该第一分组;
其中,该虚拟机器管理员装置还实时提供该第二操作系统信息以及该第二网络服务信息至该安全系统,以便该安全系统根据该第二操作系统信息或该第二网络服务信息,自这些验证规则筛选一第二验证规则集合,当该虚拟机器管理员装置根据该第二操作系统信息或该第二网络服务信息,判断该第二分组与该第二操作系统相 关,且该另一通讯端口的通讯端口号码等于该第二服务通讯端口号码时,该安全系统判断该第二分组与该第二操作系统相关,以套用该第二验证规则集合,验证该第二分组。
2.根据权利要求1所述的信息安全防护主机,其特征在于,该虚拟机器管理员装置还包含一存储器,当该虚拟机器管理员装置运行该第一操作系统时,该存储器储存该第一操作系统信息及该第一网络服务信息。
3.根据权利要求1所述的信息安全防护主机,其特征在于,该第一操作系统信息用以表示该第一操作系统为一微软操作系统以及一类Unix操作系统其中之一。
4.根据权利要求1所述的信息安全防护主机,其特征在于,该第一网络服务是选自于下列群组:一网页服务、一文件传输协议以及一电子邮件服务。
5.根据权利要求1所述的信息安全防护主机,其特征在于,该虚拟机器管理员装置还包含一存储器,当该虚拟机器管理员装置运行该第二操作系统时,该存储器储存该第二操作系统信息及该第二网络服务信息。
6.根据权利要求1所述的信息安全防护主机,其特征在于,该第二操作系统信息用以表示该第二操作系统为一微软操作系统以及一类Unix操作系统其中之一。
7.根据权利要求1所述的信息安全防护主机,其特征在于,该第二网络服务是选自于下列群组:一网页服务、一文件传输协议以及一电子邮件服务。
8.一种信息安全防护主机,其特征在于,包含:
一网络接口,连接至一计算机网络,用以接收一第一分组以及一第二分组;以及
一虚拟机器管理员装置,连接至该网络接口,用以运行一第一操作系统、一第二操作系统以及一安全系统,该第一操作系统提供一第一网络服务,该第二操作系统提供一第二网络服务,该安全系统用以提供多个验证规则;
其中,该虚拟机器管理员装置还实时提供该第一操作系统的一第一操作系统信息以及该第一网络服务的一第一网络服务信息至该安全系统,以便该安全系统根据该第一操作系统信息或该第一网络服务信息,自这些验证规则筛选一第一验证规则集合,并判断该第一分组与该第一操作系统相关,以套用该第一验证规则集合,验证该第一分组;
其中,该虚拟机器管理员装置还用以实时提供该第二操作系统的一第二操作系 统信息以及该第二网络服务的一第二网络服务信息至该安全系统,以便该安全系统根据该第二操作系统信息或该第二网络服务信息,自这些验证规则筛选一第二验证规则集合,并判断该第二分组与该第二操作系统相关,以套用该第二验证规则集合,验证该第二分组。
9.根据权利要求8所述的信息安全防护主机,其特征在于,该虚拟机器管理员装置还包含一存储器,当虚拟机器管理员装置运行该第一操作系统时,该存储器储存该第一操作系统信息及该第一网络服务信息。
10.根据权利要求8所述的信息安全防护主机,其特征在于,该第一操作系统信息用以表示该第一操作系统为一微软操作系统以及一类Unix操作系统其中之一。
11.根据权利要求8所述的信息安全防护主机,其特征在于,该第一网络服务及该第二网络服务是分别选自于下列群组:一网页服务、一文件传输协议以及一电子邮件服务。
12.根据权利要求8所述的信息安全防护主机,其特征在于,该虚拟机器管理员装置还包含一存储器,当该虚拟机器管理员装置运行该第二操作系统时,该存储器储存该第二操作系统信息及该第二网络服务信息。
13.根据权利要求8所述的信息安全防护主机,其特征在于,该第二操作系统信息用以表示该第二操作系统为一微软操作系统以及一类Unix操作系统其中之一。
14.一种信息安全防护主机,其特征在于,包含:
一网络接口,连接至一计算机网络,用以接收一第一分组以及一第二分组;以及
一虚拟机器管理员装置,连接至该网络接口,用以运行一第一操作系统、一第二操作系统以及一安全系统,该第一操作系统提供一第一网络服务,该第二操作系统提供一第二网络服务,该安全系统用以提供多个验证规则,以根据这些验证规则,验证该第一分组以及该第二分组,该虚拟机器管理员装置还用以实时提供该第一操作系统的一第一操作系统信息以及该第一网络服务的一第一网络服务信息,并且用以实时提供该第二操作系统的一第二操作系统信息以及该第二网络服务的一第二网络服务信息;
其中,当该第一分组无法通过这些验证规则的一规则时,该虚拟机器管理员装置还根据该第一操作系统信息或该第一网络服务信息,判断该第一分组与该第一操 作系统相关且该规则与该第一操作系统不相关,以避免使用该安全系统根据这些验证规则,验证该第一分组时,产生一错误判断;
其中,当该第二分组无法通过这些验证规则的另一规则时,该虚拟机器管理员装置还根据该第二操作系统信息或该第二网络服务信息,判断该第二分组与该第二操作系统相关且该规则与该第二操作系统不相关,以避免使用该安全系统于根据这些验证规则,验证该第二分组时,产生另一错误判断。
15.根据权利要求14所述的信息安全防护主机,其特征在于,该虚拟机器管理员装置还包含一存储器,当该虚拟机器管理员装置运行该第一操作系统时,该存储器储存该第一操作系统信息及该第一网络服务信息。
16.根据权利要求14所述的信息安全防护主机,其特征在于,该第一操作系统信息用以表示该第一操作系统为一微软操作系统以及一类Unix操作系统其中之一。
17.根据权利要求14所述的信息安全防护主机,其特征在于,该第一网络服务是选自于下列群组:一网页服务、一文件传输协议以及一电子邮件服务。
18.根据权利要求14所述的信息安全防护主机,其特征在于,该虚拟机器管理员装置还包含一存储器,当该虚拟机器管理员装置运行该第二操作系统时,该存储器储存该第二操作系统信息及该第二网络服务信息。
19.根据权利要求14所述的信息安全防护主机,其特征在于,该第二操作系统信息用以表示该第二操作系统为一微软操作系统以及一类Unix操作系统其中之一。
20.根据权利要求14所述的信息安全防护主机,其特征在于,该第二网络服务是选自于下列群组:一网页服务、一文件传输协议以及一电子邮件服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010554245.0A CN102469098B (zh) | 2010-11-11 | 2010-11-11 | 信息安全防护主机 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010554245.0A CN102469098B (zh) | 2010-11-11 | 2010-11-11 | 信息安全防护主机 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102469098A CN102469098A (zh) | 2012-05-23 |
CN102469098B true CN102469098B (zh) | 2014-08-20 |
Family
ID=46072272
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010554245.0A Active CN102469098B (zh) | 2010-11-11 | 2010-11-11 | 信息安全防护主机 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102469098B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103685399B (zh) * | 2012-09-17 | 2018-03-23 | 腾讯科技(深圳)有限公司 | 一种登录类Unix虚拟容器的方法、装置和系统 |
CN103873439B (zh) * | 2012-12-11 | 2018-07-06 | 联想(北京)有限公司 | 一种联网的方法及电子设备 |
CN105516397B (zh) * | 2016-01-19 | 2019-06-11 | 深圳前海达闼云端智能科技有限公司 | 多操作系统终端接入网络的方法及多操作系统终端 |
CN106796642B (zh) | 2016-12-22 | 2019-03-15 | 达闼科技成都有限公司 | 设备检测方法、系统、电子设备、云端机器人系统和计算机程序产品 |
CN109558272A (zh) * | 2017-09-26 | 2019-04-02 | 北京国双科技有限公司 | 服务器的故障恢复方法和装置 |
CN114402322A (zh) * | 2019-11-13 | 2022-04-26 | 深圳市欢太科技有限公司 | 函数调用方法、装置、电子设备及计算机可读介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1761252A (zh) * | 2005-11-03 | 2006-04-19 | 上海交通大学 | 远程大规模多用户并发控制的防火墙实验系统的实现方法 |
CN101404580A (zh) * | 2008-11-07 | 2009-04-08 | 江苏科技大学 | 一种具有自检能力的数据隔离方法 |
-
2010
- 2010-11-11 CN CN201010554245.0A patent/CN102469098B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1761252A (zh) * | 2005-11-03 | 2006-04-19 | 上海交通大学 | 远程大规模多用户并发控制的防火墙实验系统的实现方法 |
CN101404580A (zh) * | 2008-11-07 | 2009-04-08 | 江苏科技大学 | 一种具有自检能力的数据隔离方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102469098A (zh) | 2012-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102469098B (zh) | 信息安全防护主机 | |
TWI453624B (zh) | 資訊安全防護主機 | |
CN102999716B (zh) | 虚拟机器监控系统及方法 | |
JP3165366B2 (ja) | ネットワークセキュリティシステム | |
JP4373779B2 (ja) | ステイトフル分散型イベント処理及び適応保全 | |
CN108683652A (zh) | 一种基于行为权限的处理网络攻击行为的方法及装置 | |
CN104570822A (zh) | 自动化流程控制系统的保护系统、方法及安全复合装置 | |
CN101156156A (zh) | 补救不希望有的应用程序的影响 | |
CN104392175A (zh) | 一种云计算系统中云应用攻击行为处理方法、装置及系统 | |
US20120209411A1 (en) | Abnormality Detection for Isolating a Control System | |
JPH06282527A (ja) | ネットワーク管理システム | |
CN107659431A (zh) | 接口处理方法、装置、存储介质和处理器 | |
KR20140118494A (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
CN103441864A (zh) | 一种终端设备违规外联的监测方法 | |
CN112385196B (zh) | 用于报告计算机安全事故的系统和方法 | |
KR101068931B1 (ko) | 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법 | |
US20160182304A1 (en) | Integration method and system | |
CN105849702A (zh) | 集群系统,服务器设备,集群系统管理方法和计算机可读记录介质 | |
CN111786986A (zh) | 一种数控系统网络入侵防范系统及方法 | |
JP2011090429A (ja) | 統合監視システム | |
CN105988905A (zh) | 异常处理方法及装置 | |
CN109189652A (zh) | 一种封闭网络终端行为数据的采集方法及系统 | |
JP2005202664A (ja) | 不正アクセス統合対応システム | |
KR101079036B1 (ko) | 제어망 이상 징후 탐지 장치 및 방법 | |
JP7180500B2 (ja) | 制御システム、および設定方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |