CN108924086A - 一种基于安全代理的主机信息采集方法 - Google Patents

一种基于安全代理的主机信息采集方法 Download PDF

Info

Publication number
CN108924086A
CN108924086A CN201810522337.7A CN201810522337A CN108924086A CN 108924086 A CN108924086 A CN 108924086A CN 201810522337 A CN201810522337 A CN 201810522337A CN 108924086 A CN108924086 A CN 108924086A
Authority
CN
China
Prior art keywords
client
host
broker program
task
information acquisition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810522337.7A
Other languages
English (en)
Inventor
贾雪
王继业
夏元轶
金倩倩
刘强
李炜键
李斌斌
洪昊
汪玲敏
姜帆
俞皓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information And Communication Branch Of Jiangsu Electric Power Co Ltd
NARI Group Corp
Nari Information and Communication Technology Co
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
Information And Communication Branch Of Jiangsu Electric Power Co Ltd
NARI Group Corp
Nari Information and Communication Technology Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information And Communication Branch Of Jiangsu Electric Power Co Ltd, NARI Group Corp, Nari Information and Communication Technology Co filed Critical Information And Communication Branch Of Jiangsu Electric Power Co Ltd
Priority to CN201810522337.7A priority Critical patent/CN108924086A/zh
Publication of CN108924086A publication Critical patent/CN108924086A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于安全代理的主机信息采集方法,由代理程序服务端和客户端两部分实现,具体为:代理程序服务端向客户端分发任务,部署在不同主机上的客户端收到代理程序服务端下发的任务,调用资源控制模块为代理程序分配资源;代理程序客户端调用安全检查模块,对下发的命令任务进行强制访问控制;代理程序客户端执行服务端下发的通过安全检查的任务,将执行结果、对应主机的日志等信息发送给代理程序服务端数据接收模块;代理程序服务端收集所述信息并根据日志信息生成安全威胁信息并展示给用户。本发明有效地提高了主机信息采集系统在执行主机监测任务过程中对主机自身业务系统的安全性。

Description

一种基于安全代理的主机信息采集方法
技术领域
本发明涉及一种基于安全代理的主机信息采集方法,属于计算机信息安全技术领域。
背景技术
互联网的蓬勃发展使各行各业进入了信息网络时代,在线服务多种多样,享受服务的人群数量巨大,公司的服务器主机也越来越多,与此同时主机受到的攻击威胁也在不断增多,管理主机挑战越来越大。用户定期逐个检查分析主机的安全性,过程繁琐,效率低下,而且用户对单个主机的分析难以对整体安全状况进行的评估。
现有的主机信息采集系统或方法,基本都是使用代理机制实现对业务主机的运行状态及安全状态进行监控。代理程序的计算模式以其智能性、动态性和移动性得到广泛的关注。代理程序是一段独立的程序,能自治地、主动地从网络中的一台主机迁移到另一台主机内,它代表用户利用合适的计算资源进行相关的计算,完成特定的任务,并向用户返回相应的计算结果。代理程序在远程机器上执行任务时,不要求网络始终保持连接。它具有网络流量小、支持移动客户、增加客户机和服务器的异步性、服务可定制、容错性好等优点。
但是代理程序必须在服务器上运行,因此,其代码和数据对于服务器主机来说都是完全暴露的。现有技术无法解决以下问题:
1、无法控制代理程序对资源使用。针对业务主机防护而言,保证运行稳定是所有安全手段的基础,各种代理程序在对主机的运行状态及安全状态进行监控同时也消耗系统资源,但无法控制主机系统的CPU、内存资源占用及消耗,缺少资源控制。
2、无法控制代理程序权限能力。针对业务主机防护而言,保证业务安全是所有安全手段的基础,各种代理程序如遇非法劫持,无法控制对其访问文件进行约束,缺少权限控制。
3、无法解决代理程序容灾能力低。
发明内容
为克服上述缺陷,本发明提供了一种基于安全代理的主机信息采集方法,来实现对代理程序自身资源控制及权限控制,提高代理程序的安全性、可靠性。
本发明的目的是通过采用下述技术方案实现的:
一种基于安全代理的主机信息采集方法,包括以下步骤:
1)在客户端配置资源保护控制模块和安全检查模块;所述资源保护控制模块用于进行资源分配,所述安全检查模块用于判断代理程序服务端下发的命令任务,是否具备执行权限;所述安全检查模块配置安全规则表;
2)代理程序服务端向选定的客户端程序下发命令任务;
3)客户端程序收到代理程序服务端下发的命令任务,调用安全代理的资源保护控制模块进行资源分配;
4)客户端调用安全检查模块,对下发的命令任务进行强制访问控制;
5)客户端执行代理程序服务端下发的通过安全检查模块检查的任务,将执行结果、对应客户端主机的日志信息发送给代理程序服务端的数据接收模块;
6)代理程序服务端接收客户端上送的信息并根据日志信息生成相关告警信息展示给用户。
前述的步骤1)中,所述安全规则表包括主体和客体,所述安全规则表规定了主体所能访问的客体及其权限;所述主体为能够执行命令的程序,所述客体为访问对象。
前述的主体包括用户、进程ID和IP;所述客体包括资源类型、资源标记和程序访问方式三种类型,具体为:文件对象、进程对象、服务对象、网络共享对象、磁盘对象和数据库。
前述的主体和客体都有对应的编号,在安全规则表中描述格式如下:主体i:客体j,客体k,客体m,其中,i,j,k,m均表示编号。
前述的步骤2)中,所述命令任务包括性能检测命令、联动策略命令、配置核查命令和信息查询命令。
前述的步骤3)中,资源保护控制模块进行资源分配具体过程为:
代理程序服务端将命令任务发送给命令任务对应的目标主机客户端,目标主机客户端通过程序获取用户预先配置的命令执行最小资源,为不同命令执行分配不同资源,当资源访问超出设定范围时,系统拒绝。
前述的步骤4)中,强制访问控制是指:当系统发生命令任务下发请求时,安全检查模块查看安全规则表决定访问是允许,还是拒绝;当访问权限超出安全规则表的范围时系统拒绝。
与现有技术相比,本发明的有益效果为:
(1)本发明在代理程序基础上,首次引入了资源保护控制模块,实现代理程序执行过程中的资源控制,防止了代理程序抢占主机正常业务所需要的资源。
(2)本来在代理程序基础上引入安全检查模块,实现程序执行过程中的最小权限,防止代理程序被恶意利用,影响主机安全。
附图说明
图1为本发明的基于安全代理的主机信息采集过程示意图;
图2为本发明的命令任务安全检查流程图。
具体实施方式
下面对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
本发明提供了一种基于安全代理的主机信息采集方法,解决了现有代理程序无法控制对资源使用及无法控制主机访问权限的难题。采用本发明方法,首先需要在客户端配置资源保护控制模块和安全检查模块。通过资源保护控制模块,实现代理程序执行过程中的资源分配,然后在客户端执行服务端下发的任务之前,进入安全检查模块,查询安全规则表,判断下发的命令任务,是否具备执行权限,保证代理程序安全性。
本发明基于安全代理的主机信息采集方法实现过程参见图1和图2,具体如下:
步骤S1:代理程序服务端向选定的客户端程序下发命令任务;其中命令任务包括性能检测命令、联动策略命令、配置核查命令、信息查询命令等多项任务。
步骤S2:客户端程序收到代理程序服务端下发的命令任务,调用安全代理的资源保护控制模块,为代理程序分配资源;控制代理程序执行过程中占用CPU、内存等情况,保证其代理程序运行过程中不影响主机原有业务。
具体过程如下:
代理程序服务端可以将命令任务发送给命令任务对应的目标主机客户端。目标主机客户端通过程序获取用户预先配置的命令执行最小资源,为不同命令执行分配不同资源,当资源访问超出设定范围时,系统拒绝。
步骤S3:客户端调用安全检查模块,对下发的命令任务进行强制访问控制;具体过程如下:
S301,用户配置安全规则表;其中,安全规则表中罗列出程序运行所需要的权限,当程序权限访问超出安全规则表的范围时系统拒绝。安全规则表包括主体、客体两部分,主体为可执行命令程序,是规则项的主键,包括用户、进程ID、IP等;访问控制客体为访问对象,包括资源类型、资源标记、程序访问方式,如文件对象、进程对象、服务对象、网络共享对象、磁盘对象和数据库等,规定了主体所能访问的资源及其权限。各主体和客体都有其对应的编号,描述格式如下:主体1:客体11,客体12,客体13。
S302,当系统发生命令任务下发请求时,安全检查模块查看安全规则表决定访问是允许,还是拒绝;当资源访问超出安全规则表的范围时系统拒绝。
S303,执行策略动作。
步骤S4:客户端执行代理程序服务端下发的通过安全检查模块检查的任务,将执行结果、对应主机的日志等信息发送给代理程序服务端的数据接收模块;
步骤S5:代理程序服务端接收客户端上送的信息并根据日志信息生成相关告警信息并展示给用户。
客户端程序可以根据用户下发的命令对主机日志信息进行采集并发送到代理程序服务端,代理程序服务端根据日志信息分析,发现主机日志信息中记载的该主机中的相关数据信息中存在安全威胁,则服务端程序可以生成对应的告警信息并展示给用户,以指示日志信息中记载的该主机中的相关数据信息中存在安全威胁。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (7)

1.一种基于安全代理的主机信息采集方法,其特征在于,包括以下步骤:
1)在客户端配置资源保护控制模块和安全检查模块;所述资源保护控制模块用于进行资源分配,所述安全检查模块用于判断代理程序服务端下发的命令任务,是否具备执行权限;所述安全检查模块配置安全规则表;
2)代理程序服务端向选定的客户端程序下发命令任务;
3)客户端程序收到代理程序服务端下发的命令任务,调用安全代理的资源保护控制模块进行资源分配;
4)客户端调用安全检查模块,对下发的命令任务进行强制访问控制;
5)客户端执行代理程序服务端下发的通过安全检查模块检查的任务,将执行结果、对应客户端主机的日志信息发送给代理程序服务端的数据接收模块;
6)代理程序服务端接收客户端上送的信息并根据日志信息生成相关告警信息展示给用户。
2.根据权利要求1所述的一种基于安全代理的主机信息采集方法,其特征在于,所述步骤1)中,所述安全规则表包括主体和客体,所述安全规则表规定了主体所能访问的客体及其权限;所述主体为能够执行命令的程序,所述客体为访问对象。
3.根据权利要求2所述的一种基于安全代理的主机信息采集方法,其特征在于,所述主体包括用户、进程ID和IP;所述客体包括资源类型、资源标记和程序访问方式三种类型,具体为:文件对象、进程对象、服务对象、网络共享对象、磁盘对象和数据库。
4.根据权利要求3所述的一种基于安全代理的主机信息采集方法,其特征在于,所述主体和客体都有对应的编号,在安全规则表中描述格式如下:主体i:客体j,客体k,客体m,其中,i,j,k,m均表示编号。
5.根据权利要求1所述的一种基于安全代理的主机信息采集方法,其特征在于,所述步骤2)中,所述命令任务包括性能检测命令、联动策略命令、配置核查命令和信息查询命令。
6.根据权利要求1所述的一种基于安全代理的主机信息采集方法,其特征在于,所述步骤3)中,资源保护控制模块进行资源分配具体过程为:
代理程序服务端将命令任务发送给命令任务对应的目标主机客户端,目标主机客户端通过程序获取用户预先配置的命令执行最小资源,为不同命令执行分配不同资源,当资源访问超出设定范围时,系统拒绝。
7.根据权利要求1所述的一种基于安全代理的主机信息采集方法,其特征在于,所述步骤4)中,强制访问控制是指:当系统发生命令任务下发请求时,安全检查模块查看安全规则表决定访问是允许,还是拒绝;当访问权限超出安全规则表的范围时系统拒绝。
CN201810522337.7A 2018-05-28 2018-05-28 一种基于安全代理的主机信息采集方法 Pending CN108924086A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810522337.7A CN108924086A (zh) 2018-05-28 2018-05-28 一种基于安全代理的主机信息采集方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810522337.7A CN108924086A (zh) 2018-05-28 2018-05-28 一种基于安全代理的主机信息采集方法

Publications (1)

Publication Number Publication Date
CN108924086A true CN108924086A (zh) 2018-11-30

Family

ID=64409976

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810522337.7A Pending CN108924086A (zh) 2018-05-28 2018-05-28 一种基于安全代理的主机信息采集方法

Country Status (1)

Country Link
CN (1) CN108924086A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111212035A (zh) * 2019-12-19 2020-05-29 杭州安恒信息技术股份有限公司 一种主机失陷确认及自动修复方法及基于此的系统
CN111741010A (zh) * 2020-07-16 2020-10-02 北京升鑫网络科技有限公司 一种基于代理的Docker操作请求处理方法、装置及计算设备
CN112637358A (zh) * 2020-12-29 2021-04-09 青岛高校信息产业股份有限公司 一种控制命令服务代理的网关设备、系统及方法
US20220326994A1 (en) * 2021-04-12 2022-10-13 Dell Products L.P. Computing resource sharing system

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101345646A (zh) * 2007-07-11 2009-01-14 华为技术有限公司 评估网络侧安全状态的方法和安全认证系统
CN102271333A (zh) * 2011-08-08 2011-12-07 东南大学 一种基于可信链传递的3g消息安全收发方法
CN103944890A (zh) * 2014-04-08 2014-07-23 山东乾云启创信息科技有限公司 基于客户端/服务器模式的虚拟交互系统及方法
CN105721420A (zh) * 2015-12-11 2016-06-29 中国地质调查局发展研究中心 访问权限控制方法和反向代理服务器
US20160198014A1 (en) * 2015-01-05 2016-07-07 Onavo Mobile Ltd. Techniques for predictive network resource caching
US20170149810A1 (en) * 2015-11-25 2017-05-25 Hewlett Packard Enterprise Development Lp Malware detection on web proxy log data

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101345646A (zh) * 2007-07-11 2009-01-14 华为技术有限公司 评估网络侧安全状态的方法和安全认证系统
CN102271333A (zh) * 2011-08-08 2011-12-07 东南大学 一种基于可信链传递的3g消息安全收发方法
CN103944890A (zh) * 2014-04-08 2014-07-23 山东乾云启创信息科技有限公司 基于客户端/服务器模式的虚拟交互系统及方法
US20160198014A1 (en) * 2015-01-05 2016-07-07 Onavo Mobile Ltd. Techniques for predictive network resource caching
US20170149810A1 (en) * 2015-11-25 2017-05-25 Hewlett Packard Enterprise Development Lp Malware detection on web proxy log data
CN105721420A (zh) * 2015-12-11 2016-06-29 中国地质调查局发展研究中心 访问权限控制方法和反向代理服务器

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111212035A (zh) * 2019-12-19 2020-05-29 杭州安恒信息技术股份有限公司 一种主机失陷确认及自动修复方法及基于此的系统
CN111741010A (zh) * 2020-07-16 2020-10-02 北京升鑫网络科技有限公司 一种基于代理的Docker操作请求处理方法、装置及计算设备
CN112637358A (zh) * 2020-12-29 2021-04-09 青岛高校信息产业股份有限公司 一种控制命令服务代理的网关设备、系统及方法
US20220326994A1 (en) * 2021-04-12 2022-10-13 Dell Products L.P. Computing resource sharing system

Similar Documents

Publication Publication Date Title
CN102651775B (zh) 基于云计算的多租户共享对象管理的方法、设备及系统
CN108924086A (zh) 一种基于安全代理的主机信息采集方法
EP2860657B1 (en) Determining a security status of potentially malicious files
Lin et al. Internet of things intrusion detection model and algorithm based on cloud computing and multi-feature extraction extreme learning machine
CN104426906A (zh) 识别计算机网络内的恶意设备
CN103701783B (zh) 一种预处理单元、由其构成的数据处理系统以及处理方法
CN112351031B (zh) 攻击行为画像的生成方法、装置、电子设备和存储介质
WO2018191089A1 (en) System and method for detecting creation of malicious new user accounts by an attacker
CN113542214B (zh) 一种访问控制方法、装置、设备及机器可读存储介质
Pathak et al. TABI: Trust-based ABAC mechanism for edge-IoT using blockchain technology
CN113111359A (zh) 基于信息安防的大数据资源共享方法及资源共享系统
CN115168888A (zh) 一种业务自适应的数据治理方法、装置及设备
CN113472820A (zh) 一种基于零信任模型的云资源安全隔离控制方法及系统
CN109120626A (zh) 安全威胁处理方法、系统、安全感知服务器及存储介质
CN117201060A (zh) 零信任访问主体身份认证授权访问资源方法及相关装置
CN116506206A (zh) 基于零信任网络用户的大数据行为分析方法及系统
CN113852592B (zh) 基于动态访问控制策略的大数据安全运维管控方法及系统
Kumar et al. Real geo‐time‐based secured access computation model for e‐Health systems
US12028355B2 (en) Enhancing hybrid traditional neural networks with liquid neural network units for cyber security and offense protection
US20230069731A1 (en) Automatic network signature generation
CN111092864B (zh) 一种会话保护方法、装置、设备及可读存储介质
Lazreg et al. Cloudlet-cloud network communication based on blockchain technology
Zhou Construction of Computer Network Security Defense System Based On Big Data
EP3243313B1 (en) System and method for monitoring a computer system using machine interpretable code
CN104618373A (zh) 一种适用于云计算平台的服务安全性量化评估方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20181130

RJ01 Rejection of invention patent application after publication