CN106570400A - 一种云环境下通过自学习防攻击的系统及方法 - Google Patents

一种云环境下通过自学习防攻击的系统及方法 Download PDF

Info

Publication number
CN106570400A
CN106570400A CN201610887408.4A CN201610887408A CN106570400A CN 106570400 A CN106570400 A CN 106570400A CN 201610887408 A CN201610887408 A CN 201610887408A CN 106570400 A CN106570400 A CN 106570400A
Authority
CN
China
Prior art keywords
rule
behavior
module
conduct
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610887408.4A
Other languages
English (en)
Other versions
CN106570400B (zh
Inventor
胡冬
范渊
徐长明
龙文洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201610887408.4A priority Critical patent/CN106570400B/zh
Publication of CN106570400A publication Critical patent/CN106570400A/zh
Application granted granted Critical
Publication of CN106570400B publication Critical patent/CN106570400B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及云安全管理技术,旨在提供一种云环境下通过自学习防攻击的系统及方法。该种云环境下通过自学习防攻击的系统包括管理端和监控端,管理端、监控端采用C/S架构,管理端部署在Server端,监控端部署在云环境中的各个主机中。本发明通过主机行为学习后形成行为规则库,极大地降低了云环境下主机防攻击的难度和复杂度,从而提升云环境下主机防攻击的效率;本发明能灵活调整行为规则库,极大地提高了云环境下主机防攻击的正确率。

Description

一种云环境下通过自学习防攻击的系统及方法
技术领域
本发明是关于云安全管理技术领域,特别涉及一种云环境下通过自学习防攻击的系统及方法。
背景技术
云环境是指在广域网或局域网内将硬件、软件、网络等系列资源统一,实现数据的计算、储存、处理和共享。随着云服务的提高和发展,越来越多的云用户通过云技术相互连接。由于云用户及信息资源的高度集中化,云环境引起的安全事件和风险相对于传统应用要高出非常多。自2009年起,微软、亚马逊、谷歌等知名IT企业云计算服务器发生重大安全事件使得众多云用户的信息服务器遭受影响,使得云用户对云环境应用安全的忧虑与日俱增。因此解决云环境的安全问题,是云发展亟待解决的问题。
当今,通常的云环境防攻击系统是通过网状的大量客户端对网络中软件行为的异常监测,与获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析、比对、和处理;再把病毒和木马的解决方案分发到每一个客户端。但是该方法是通过预先设定的特征库进行检测,不能够及时对一些新型的入侵行为和软件做出检测和预警,且易出现误报或漏报情况。
发明内容
本发明的主要目的在于克服现有技术中的不足,提供一种高智能、高效率、高检测率云环境防攻击的方法及系统。为解决上述技术问题,本发明的解决方案是:
提供一种云环境下通过自学习防攻击的系统,包括管理端和监控端,管理端、监控端采用C/S架构,管理端部署在Server端,监控端部署在云环境中的各个主机中;
管理端包括监控端管理模块、学习时间设置模块、学习结果接收模块、行为规则库管理模块、行为监控信息接收模块;
所述监控端管理模块:用于配置云环境中的各个主机信息,包括但不限于:主机IP、主机端口port,并将配置信息保存在数据库内;
所述学习时间设置模块:用于配置云环境中主机自学习的开始时间和学习周期;
所述学习结果接收模块:用于接收监控端学习结果收发模块学习的行为规则并保存在数据库内,形成行为规则库;
所述行为规则库管理模块:用于接收监控端(行为规则收发模块)发回的行为规则,动态管理行为规则库,即对行为规则库进行增加、删除、修改行为规则操作,并将行为规则库变更信息同步到监控端;行为规则是指系统中进程调用关系和网络访问关系的白名单,符合这些白名单的调用或网络访问关系才不产生告警;
所述行为监控信息接收模块:用于接收监控端行为告警收发模块发回的行为监控信息,记录并展示对主机行为进行告警或阻断的信息,并展示监控端运行状况;
监控端包括行为学习模块、行为监控模块、学习结果收发模块、行为规则收发模块、行为告警收发模块;行为学习模块、行为监控模块在云环境中的各个主机内核中实现,学习结果收发模块、行为规则收发模块、行为告警收发模块在云环境中的各个主机应用层中实现;
所述行为学习模块:用于在学习周期内,进行主机行为的学习,获得内核主机行为学习结果,内核主机行为学习结果包括但不限于:主机进程调用、进程动作、主机网络链接轨迹;
所述行为监控模块:用于依据监控端应用层行为规则收发模块发送的行为规则信息配置文件,对主机行为进行告警或阻断,实现防攻击;
所述学习结果收发模块:用于接收内核主机行为学习结果,并对学习结果按模板格式整理后形成行为规则发送给管理端;模板内容包括但不限于:主机调用进程process、进程动作action、网络协议、客户端IP、客户端口、连接类型、连接标志;
所述行为规则收发模块:用于接收管理端确认的行为规则信息,并将收到的行为规则信息组织成行为规则信息配置文件发送给内核;行为规则收发模块一旦收到行为规则库管理模块发出的行为规则库变更信息,会修改行为规则信息配置文件;
所述行为告警收发模块:用于接收行为监控模块发送的内核行为监控信息,并将行为监控信息发送给管理端的行为监控信息接收模块。
在本发明中,所述数据库为H2Database数据库。
提供基于所述云环境下通过自学习防攻击系统实现防攻击的方法,具体为:
在学习周期内,监控端的内核对云环境中的主机进行行为学习,并将学习结果发送给监控端的应用层;监控端的应用层对学习结果进行整理,形成行为规则后发送给管理端;
管理端接收行为规则并保存至数据库,形成行为规则库;管理端能对行为规则库进行调整,并将行为规则库的变更信息同步到监控端的应用层;
监控端的应用层在收到管理端的行为规则后,将行为规则组织成行为规则信息配置文件发送给监控端的内核;
监控端的内核依据行为规则信息配置文件,对主机行为进行告警或阻断,实现防攻击;监控端的内核会将行为监控信息发送给监控端的应用层;
监控端的应用层在收到行为监控信息后,将行为监控信息同步到管理端,用于管理端对监控端行为监控信息进行展示。
与现有技术相比,本发明的有益效果是:
本发明通过主机行为学习后形成行为规则库,极大地降低了云环境下主机防攻击的难度和复杂度,从而提升云环境下主机防攻击的效率。
本发明能灵活调整行为规则库,极大地提高了云环境下主机防攻击的正确率。
附图说明
图1为本发明的主要模块流程图。
图2为主机行为学习图。
具体实施方式
首先需要说明的是,本发明涉及云环境防攻击方法、安全管理技术,是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。前述软件功能模块包括但不限于:监控端管理模块、学习时间设置模块、学习结果接收模块、行为规则库管理模块、行为监控信息接收模块、学习模块、行为监控模块、学习结果收发模块、行为规则收发模块、行为告警收发模块等,凡本发明申请文件提及的均属此范畴,申请人不再一一列举。
下面结合附图与具体实施方式对本发明作进一步详细描述:
如图1所示的一种云环境下通过自学习防攻击的系统,包括管理端和监控端。
1)管理端包括监控端管理模块、学习时间设置模块、学习结果接收模块、行为规则库管理模块、行为监控信息接收模块。
所述监控端管理模块:用于配置监控端即云环境中的各个主机,并将配置信息保存在数据库内。管理端、监控端采用C/S架构。
所述学习时间设置模块:用于配置云环境中主机自学习的开始时间和学习周期。
所述学习结果接收模块:用于接收监控端学习的行为规则并保存在数据库内。
所述行为规则管理模块:用于动态管理行为规则库,并将行为规则库变更信息同步到监控端。
所述行为监控信息接收模块:用于接收监控端发回的行为监控信息,并对告警或阻断信息进行管理。
2)监控端部署在云环境中的各个主机,包含应用层和内核。内核包括行为学习模块、行为监控模块;应用层包括学习结果收发模块、行为规则收发模块、行为告警收发模块。
所述学习结果收发模块:位于监控端应用层。用于接收内核主机行为学习结果并对学习结果按模板格式整理后形成行为规则发送给管理端。
所述行为规则收发模块:位于监控端应用层。用于接收管理端确认的行为规则信息并将此行为规则信息组织成行为规则信息配置文件发送给内核。
所述行为告警收发模块:位于监控端应用层,用于接收内核行为监控信息,并将行为监控信息发送给管理端。
所述行为学习模块:位于监控端内核。用于学习周期内主机行为的学习。学习内容包括但不限于:进程学习、网络链接学习,可参考图2。
所述行为监控模块:位于监控端内核。用于依据应用层发送的行为行为规则信息配置文件对主机行为进行告警或阻断,达到防攻击的目的。
下面的实施例可以使本专业的专业技术人员更全面地理解本发明,但不以任何方式限制本发明。假设云环境中的主机通过子学习达到防攻击目的。
首先,安装管理端并配置需监控的云环境主机。
然后,在云环境中主机安装监控端,监控端的内核会对主机进程、网络链接行为进行学习并将学习结果发送给监控端的应用层,例如:
监控端的应用层会对学习结果按模板整理成行为规则,并将行为规则发送给管理端:
/sbin/init proc/usr/local/hpm/bin/hpm-ven
/sbin/init proc hpm-ven
/sbin/init proc hpm-daemon
/usr/local/hpm/bin/hpm-ven net connect:tcp:10.1.1.1:443
/usr/sbin/sshd proc*
管理端将行为规则保存在数据库形成行为规则库,管理端用户可以灵活调整行为规则库,并将行为规则库变更信息同步到监控端的应用层。监控端的应用层将行为规则组织成行为规则信息配置文件发送给内核。监控端的内核依据行为规则信息配置文件对主机行为进行告警或阻断,达到防攻击的目的。特别指出,监控端的内核会将行为监控信息发送给监控端的应用层,监控端的应用层再将此信息同步到管理端,管理端可以对行为监控信息进行管理。
最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。

Claims (3)

1.一种云环境下通过自学习防攻击的系统,包括管理端和监控端,其特征在于,管理端、监控端采用C/S架构,管理端部署在Server端,监控端部署在云环境中的各个主机中;
管理端包括监控端管理模块、学习时间设置模块、学习结果接收模块、行为规则库管理模块、行为监控信息接收模块;
所述监控端管理模块:用于配置云环境中的各个主机信息,包括但不限于:主机IP、主机端口port,并将配置信息保存在数据库内;
所述学习时间设置模块:用于配置云环境中主机自学习的开始时间和学习周期;
所述学习结果接收模块:用于接收监控端学习结果收发模块学习的行为规则并保存在数据库内,形成行为规则库;
所述行为规则库管理模块:用于接收监控端发回的行为规则,动态管理行为规则库,即对行为规则库进行增加、删除、修改行为规则操作,并将行为规则库变更信息同步到监控端;行为规则是指系统中进程调用关系和网络访问关系的白名单,符合这些白名单的调用或网络访问关系才不产生告警;
所述行为监控信息接收模块:用于接收监控端行为告警收发模块发回的行为监控信息,记录并展示对主机行为进行告警或阻断的信息,并展示监控端运行状况;
监控端包括行为学习模块、行为监控模块、学习结果收发模块、行为规则收发模块、行为告警收发模块;行为学习模块、行为监控模块在云环境中的各个主机内核中实现,学习结果收发模块、行为规则收发模块、行为告警收发模块在云环境中的各个主机应用层中实现;
所述行为学习模块:用于在学习周期内,进行主机行为的学习,获得内核主机行为学习结果,内核主机行为学习结果包括但不限于:主机进程调用、进程动作、主机网络链接轨迹;
所述行为监控模块:用于依据监控端应用层行为规则收发模块发送的行为规则信息配置文件,对主机行为进行告警或阻断,实现防攻击;
所述学习结果收发模块:用于接收内核主机行为学习结果,并对学习结果按模板格式整理后形成行为规则发送给管理端;模板内容包括但不限于:主机调用进程process、进程动作action、网络协议、客户端IP、客户端口、连接类型、连接标志;
所述行为规则收发模块:用于接收管理端确认的行为规则信息,并将收到的行为规则信息组织成行为规则信息配置文件发送给内核;行为规则收发模块一旦收到行为规则库管理模块发出的行为规则库变更信息,会修改行为规则信息配置文件;
所述行为告警收发模块:用于接收行为监控模块发送的内核行为监控信息,并将行为监控信息发送给管理端的行为监控信息接收模块。
2.根据权利要求1所述的一种云环境下通过自学习防攻击的系统,其特征在于,所述数据库为H2Database数据库。
3.基于权利要求1所述云环境下通过自学习防攻击系统实现防攻击的方法,其特征在于,具体为:
在学习周期内,监控端的内核对云环境中的主机进行行为学习,并将学习结果发送给监控端的应用层;监控端的应用层对学习结果进行整理,形成行为规则后发送给管理端;
管理端接收行为规则并保存至数据库,形成行为规则库;管理端能对行为规则库进行调整,并将行为规则库的变更信息同步到监控端的应用层;
监控端的应用层在收到管理端的行为规则后,将行为规则组织成行为规则信息配置文件发送给监控端的内核;
监控端的内核依据行为规则信息配置文件,对主机行为进行告警或阻断,实现防攻击;监控端的内核会将行为监控信息发送给监控端的应用层;
监控端的应用层在收到行为监控信息后,将行为监控信息同步到管理端,用于管理端对监控端行为监控信息进行展示。
CN201610887408.4A 2016-10-11 2016-10-11 一种云环境下通过自学习防攻击的系统及方法 Active CN106570400B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610887408.4A CN106570400B (zh) 2016-10-11 2016-10-11 一种云环境下通过自学习防攻击的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610887408.4A CN106570400B (zh) 2016-10-11 2016-10-11 一种云环境下通过自学习防攻击的系统及方法

Publications (2)

Publication Number Publication Date
CN106570400A true CN106570400A (zh) 2017-04-19
CN106570400B CN106570400B (zh) 2019-03-15

Family

ID=58532742

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610887408.4A Active CN106570400B (zh) 2016-10-11 2016-10-11 一种云环境下通过自学习防攻击的系统及方法

Country Status (1)

Country Link
CN (1) CN106570400B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106961450A (zh) * 2017-05-24 2017-07-18 深信服科技股份有限公司 安全防御方法、终端、云端服务器以及安全防御系统
CN107104959A (zh) * 2017-04-20 2017-08-29 北京东方棱镜科技有限公司 云环境中异常行为检测方法与装置
CN108183886A (zh) * 2017-12-07 2018-06-19 交控科技股份有限公司 一种轨道交通信号系统安全网关的安全增强设备
CN109379375A (zh) * 2018-11-28 2019-02-22 杭州迪普科技股份有限公司 访问控制规则的获取方法、装置及网络设备
CN110826069A (zh) * 2019-11-05 2020-02-21 深信服科技股份有限公司 一种病毒处理方法、装置、设备及存储介质
CN111949829A (zh) * 2020-09-01 2020-11-17 辽宁振兴银行股份有限公司 一种xml解析和风控变量生成方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110213869A1 (en) * 2000-09-25 2011-09-01 Yevgeny Korsunsky Processing data flows with a data flow processor
CN103118036A (zh) * 2013-03-07 2013-05-22 上海电机学院 一种基于云端的智能安全防御系统和方法
CN104036186A (zh) * 2014-07-02 2014-09-10 浪潮电子信息产业股份有限公司 一种防攻击引擎的实现方法
CN104392175A (zh) * 2014-11-26 2015-03-04 华为技术有限公司 一种云计算系统中云应用攻击行为处理方法、装置及系统
CN105610874A (zh) * 2016-03-23 2016-05-25 四川九鼎智远知识产权运营有限公司 一种局域网安全管理系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110213869A1 (en) * 2000-09-25 2011-09-01 Yevgeny Korsunsky Processing data flows with a data flow processor
CN103118036A (zh) * 2013-03-07 2013-05-22 上海电机学院 一种基于云端的智能安全防御系统和方法
CN104036186A (zh) * 2014-07-02 2014-09-10 浪潮电子信息产业股份有限公司 一种防攻击引擎的实现方法
CN104392175A (zh) * 2014-11-26 2015-03-04 华为技术有限公司 一种云计算系统中云应用攻击行为处理方法、装置及系统
CN105610874A (zh) * 2016-03-23 2016-05-25 四川九鼎智远知识产权运营有限公司 一种局域网安全管理系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李雪等: "一种新的Web 应用防火墙的自学习模型", 《小型微型计算机系统》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107104959A (zh) * 2017-04-20 2017-08-29 北京东方棱镜科技有限公司 云环境中异常行为检测方法与装置
CN106961450A (zh) * 2017-05-24 2017-07-18 深信服科技股份有限公司 安全防御方法、终端、云端服务器以及安全防御系统
CN108183886A (zh) * 2017-12-07 2018-06-19 交控科技股份有限公司 一种轨道交通信号系统安全网关的安全增强设备
CN108183886B (zh) * 2017-12-07 2020-07-31 交控科技股份有限公司 一种轨道交通信号系统安全网关的安全增强设备
CN109379375A (zh) * 2018-11-28 2019-02-22 杭州迪普科技股份有限公司 访问控制规则的获取方法、装置及网络设备
CN109379375B (zh) * 2018-11-28 2021-04-27 杭州迪普科技股份有限公司 访问控制规则的获取方法、装置及网络设备
CN110826069A (zh) * 2019-11-05 2020-02-21 深信服科技股份有限公司 一种病毒处理方法、装置、设备及存储介质
CN111949829A (zh) * 2020-09-01 2020-11-17 辽宁振兴银行股份有限公司 一种xml解析和风控变量生成方法

Also Published As

Publication number Publication date
CN106570400B (zh) 2019-03-15

Similar Documents

Publication Publication Date Title
CN106570400A (zh) 一种云环境下通过自学习防攻击的系统及方法
US20240064168A1 (en) Incorporating software-as-a-service data into a cyber threat defense system
JP7167240B2 (ja) コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム
US20210273957A1 (en) Cyber security for software-as-a-service factoring risk
US20210360027A1 (en) Cyber Security for Instant Messaging Across Platforms
CN107454109B (zh) 一种基于http流量分析的网络窃密行为检测方法
CN106411578B (zh) 一种适应于电力行业的网站监控系统及方法
CN105429963B (zh) 基于Modbus/Tcp的入侵检测分析方法
CN107659543B (zh) 面向云平台apt攻击的防护方法
CN105493060B (zh) 蜜端主动网络安全
CN103957203B (zh) 一种网络安全防御系统
CN111224988A (zh) 一种网络安全信息过滤方法
CN101350745A (zh) 一种入侵检测方法及装置
CN106850690A (zh) 一种蜜罐构造方法及系统
CN103227798A (zh) 一种免疫网络系统
CN103905459A (zh) 基于云端的智能安全防御系统及防御方法
Hodo et al. Anomaly detection for simulated iec-60870-5-104 trafiic
CN109165508A (zh) 一种外部设备访问安全控制系统及其控制方法
Hu et al. Method for cyberincidents network-centric monitoring in critical information infrastructure
CN108965208A (zh) 基于相关性分析的日志审计方法
CN106326736A (zh) 数据处理方法及系统
CN107659584A (zh) 一种食品加工厂网络安全管理系统
CN107864153A (zh) 一种基于网络安全传感器的网络病毒预警方法
CN107360190A (zh) 基于序列模式识别的木马通信行为检测方法
CN102750476A (zh) 鉴定文件安全性的方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 310052 15-storey Zhejiang Zhongcai Building, No. 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province

Applicant after: Hangzhou Annan information technology Limited by Share Ltd

Address before: 310051 15-storey Zhejiang Zhongcai Building, No. 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province

Applicant before: Dbappsecurity Co.,ltd.

GR01 Patent grant
GR01 Patent grant