CN110365714A - 主机入侵检测方法、装置、设备及计算机存储介质 - Google Patents
主机入侵检测方法、装置、设备及计算机存储介质 Download PDFInfo
- Publication number
- CN110365714A CN110365714A CN201910787459.3A CN201910787459A CN110365714A CN 110365714 A CN110365714 A CN 110365714A CN 201910787459 A CN201910787459 A CN 201910787459A CN 110365714 A CN110365714 A CN 110365714A
- Authority
- CN
- China
- Prior art keywords
- host
- data
- acquisition
- script
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 220
- 238000003860 storage Methods 0.000 title claims abstract description 16
- 238000004519 manufacturing process Methods 0.000 claims abstract description 89
- 238000000034 method Methods 0.000 claims abstract description 62
- 238000012545 processing Methods 0.000 claims abstract description 59
- 238000004458 analytical method Methods 0.000 claims description 59
- 230000008569 process Effects 0.000 claims description 47
- 230000006399 behavior Effects 0.000 claims description 35
- 238000012544 monitoring process Methods 0.000 claims description 29
- 238000012360 testing method Methods 0.000 claims description 25
- 230000003542 behavioural effect Effects 0.000 claims description 14
- 230000004083 survival effect Effects 0.000 claims description 14
- 230000002159 abnormal effect Effects 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000007689 inspection Methods 0.000 claims description 7
- 230000029578 entry into host Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 7
- 230000006870 function Effects 0.000 description 7
- 239000003795 chemical substances by application Substances 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000005422 blasting Methods 0.000 description 3
- 238000012216 screening Methods 0.000 description 3
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 241000209094 Oryza Species 0.000 description 2
- 235000007164 Oryza sativa Nutrition 0.000 description 2
- 235000013399 edible fruits Nutrition 0.000 description 2
- 238000010223 real-time analysis Methods 0.000 description 2
- 235000009566 rice Nutrition 0.000 description 2
- GNFTZDOKVXKIBK-UHFFFAOYSA-N 3-(2-methoxyethoxy)benzohydrazide Chemical compound COCCOC1=CC=CC(C(=O)NN)=C1 GNFTZDOKVXKIBK-UHFFFAOYSA-N 0.000 description 1
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 210000005056 cell body Anatomy 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000002203 pretreatment Methods 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 239000002023 wood Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
Abstract
本发明涉及金融科技(Fintech)技术领域,并公开了一种主机入侵检测方法,该方法包括:生产主机接收服务器发送的检测插件脚本,并启动检测插件脚本,其中,检测插件脚本由服务器通过SFTP下发;生产主机通过检测插件脚本获取采集数据;生产主机将采集数据反馈至服务器,以对采集数据进行告警处理。本发明还公开了一种主机入侵检测装置、设备和一种计算机存储介质。本发明提高了主机信息采集的实时性。
Description
技术领域
本发明涉及金融科技(Fintech)技术领域,尤其涉及系统主机入侵检测方法、装置、设备及计算机存储介质。
背景技术
随着计算机技术的发展,越来越多的技术(大数据、分布式、区块链Blockchain、人工智能等)应用在金融领域,传统金融业正在逐步向金融科技(Fintech)转变,但由于金融行业的安全性、实时性要求,也对技术提出了更高的要求。目前的金融科技领域中,安全是所有网络面临的最大问题。为避免黑客和入侵者入侵公司网络及网站,一般都会提前部署检测,而现有的主机入侵检测系统解决方案是需要在生产服务器上部署Agent(软件机器人)采集程序,由Agent采集主机的网络、进程、日志等信息,并主动上报到分析引擎进行分析处理。但是通过Agent采集主机信息,其部署成本高,不能实现快速高效部署,并且客户端Agent需要常驻服务器内存,可能对主机性能和业务有影响,存在一定的风险,从而导致采用Agent采集主机信息的方案不具备主机信息采集的实时性的缺陷。因此,如何提高主机信息采集的实时性成为了目前亟待解决的技术问题。
发明内容
本发明的主要目的在于提出一种主机入侵检测方法、装置、设备及计算机存储介质,旨在提高主机信息采集的实时性。
为实现上述目的,本发明提供一种主机入侵检测方法,所述主机入侵检测方法包括如下步骤:
生产主机接收服务器发送的检测插件脚本,并启动所述检测插件脚本,其中,所述检测插件脚本由安全文件传送协议SFTP下发;
所述生产主机通过所述检测插件脚本获取采集数据;
所述生产主机将所述采集数据反馈至服务器,其中,以对所述采集数据进行告警处理。
可选地,所述生产主机通过所述检测插件脚本获取采集数据的步骤,包括:
所述生产主机获取所述检测插件脚本中的资源控制模块和数据采集上报模块;
通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控制,并通过所述数据上报模块在所述生产主机中采集所述检测插件脚本对应的采集数据,其中,所述资源控制处理包括资源控制和行为控制。
可选地,所述行为控制包括存活监控,
所述通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控制的步骤,包括:
通过所述资源控制模块对所述数据采集上报模块进行资源控制,并对所述数据采集上报模块进行存活监控,以确定所述数据采集上报模块是否在正常运行;
若否,则停止所述数据采集上报模块的采集操作,并输出所述数据采集上报模块存在异常的提示信息。
可选地,所述行为控制包括超时监控,
所述通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控制的步骤,包括:
通过所述资源控制模块对所述数据采集上报模块进行资源控制,并对所述数据采集上报模块进行超时监控,以确定所述数据采集上报模块的采集时间是否超过预设时长;
若是,则停止所述数据采集上报模块的采集操作。
可选地,所述通过所述资源控制模块对所述数据采集上报模块进行资源控制的步骤,包括:
通过所述资源控制模块检测所述数据采集上报模块在所述生产主机中占用的CPU和内存,并判断所述占用的CPU和内存是否大于所述生产主机中的预设值;
若大于,则所述资源控制模块通过控制组对所述数据采集上报模块在所述生产主机中占用的CPU和内存进行资源控制。
可选地,所述将所述采集数据反馈至服务器的步骤,包括:
所述资源控制模块在检测到所述数据采集上报模块已获取到所述采集数据时,会向所述服务器发送请求信息,以便所述服务器根据所述请求信息获取所述采集数据。
可选地,所述分析引擎确定预处理后的各所述采集数据中的告警数据,并基于所述告警数据进行告警处理的步骤,包括:
所述分析引擎确定预处理后的各所述采集数据对应的触发规则,并基于各所述触发规则在预处理后的各所述采集数据中确定是否存在告警数据;
若存在,则基于所述告警数据进行告警处理。
可选地,本发明提供一种主机入侵检测方法,所述主机入侵检测方法应用于主机入侵检测系统,所述主机入侵检测系统包括生产主机、服务器和分析引擎,所述主机入侵检测发布方法包括如下步骤:
所述生产主机接收所述服务器发送的检测插件脚本,启动所述检测插件脚本,并通过所述检测插件脚本获取采集数据,将所述采集数据反馈至所述服务器;
所述服务器对所述生产主机反馈的采集数据进行预处理,并将预处理后的采集数据发送至所述分析引擎;
所述分析引擎对接收到的所述预处理后的采集数据进行检测,并基于检测结果对所述预处理后的采集数据进行告警处理。
可选地,所述分析引擎对接收到的所述预处理后的采集数据进行检测,并基于检测结果对所述预处理后的采集数据进行告警处理的步骤,包括:
所述分析引擎获取所述预处理后的采集数据中的源IP,并判断所述源IP是否和预设内网IP匹配;
若匹配,所述分析引擎获取所述预处理后的采集数据中的目的IP,并对所述源IP和所述目的IP进行行为检测;
若所述源IP或所述目的IP的行为检测的检测结果不合格,则对所述预处理后的采集数据进行告警处理。
可选地,所述分析引擎对接收到的所述预处理后的采集数据进行检测,并基于检测结果对所述预处理后的采集数据进行告警处理的步骤,还包括:
所述分析引擎获取所述预处理后的采集数据中的进程信息,并将所述进程信息和预设的恶意木马库进行匹配;
若不匹配,则对所述进程信息进行入侵检测和反弹壳shell检测,若所述入侵检测的检测结果不合格或所述反弹shell检测的检测结果不合格,则对所述预处理后的采集数据进行告警处理。
此外,为实现上述目的,本发明还提供一种主机入侵检测装置,所述主机入侵检测装置包括:
启动单元,用于生产主机接收服务器发送的检测插件脚本,并启动所述检测插件脚本,其中,所述检测插件脚本由安全文件传送协议SFTP下发;
采集单元,用于所述生产主机通过所述检测插件脚本获取采集数据;
反馈单元,用于所述生产主机将所述采集数据反馈至服务器,以对所述采集数据进行告警处理。
可选地,所述主机入侵检测装置还包括:
接收单元,用于生产主机接收服务器发送的检测插件脚本,启动所述检测插件脚本,并通过所述检测插件脚本获取采集数据,将所述采集数据反馈至所述服务器;
发送单元,用于所述服务器对所述生产主机反馈的采集数据进行预处理,并将预处理后的采集数据发送至分析引擎;
检测单元,用于所述分析引擎对接收到的所述预处理后的采集数据进行检测,并基于检测结果确定是否对所述预处理后的采集数据进行告警处理。
此外,为实现上述目的,本发明还提供一种主机入侵检测设备,所述主机入侵检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的主机入侵检测程序,所述主机入侵检测程序被所述处理器执行时实现如上所述的主机入侵检测方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机存储介质,所述计算机存储介质上存储有主机入侵检测程序,所述主机入侵检测程序被处理器执行时实现如上所述的主机入侵检测方法的步骤。
本发明通过生产主机接收服务器发送的检测插件脚本,并启动所述检测插件脚本,其中,所述检测插件脚本由安全文件传送协议SFTP下发;所述生产主机通过所述检测插件脚本获取采集数据;所述生产主机将所述采集数据反馈至服务器,以对所述采集数据进行告警处理。通过让服务器根据SFTP下发各检测插件脚本到生产主机,并接收各个检测插件脚本反馈的采集数据,对这些采集数据进行分析,从而完成主机信息采集,实现入侵检测功能,并且在检测插件脚本中添加了资源控制处理功能,从而提高了检测插件脚本获取采集数据的实时性,使其适用于常见的实时的入侵检测场景,提高了主机信息采集的实时性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图;
图2为本发明主机入侵检测方法第一实施例的流程示意图;
图3为本发明主机入侵检测装置的装置模块示意图;
图4为本发明主机入侵检测方法中系统架构图;
图5为本发明主机入侵检测方法中系统功能流程图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图。
本发明实施例主机入侵检测设备可以是PC机或服务器设备,其上运行有Java虚拟机。
如图1所示,该主机入侵检测设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的设备结构并不构成对设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及主机入侵检测程序。
在图1所示的设备中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的主机入侵检测程序,并执行下述主机入侵检测方法中的操作。
基于上述硬件结构,提出本发明主机入侵检测方法实施例。
参照图2,图2为本发明主机入侵检测方法第一实施例的流程示意图,所述主机入侵检测方法包括:
步骤S10,生产主机接收服务器发送的检测插件脚本,并启动所述检测插件脚本,其中,所述检测插件脚本由安全文件传送协议SFTP下发;
在本实施例中,主机入侵检测方法应用于主机入侵检测系统,而主机入侵检测系统是用于检测主机是否有黑客入侵等异常行为。SSH(Secure Shell,安全外壳协议)是一种加密的网络传输协议,可在不安全的网络中为网络服务提供安全的传输环境。SFTP(SecureFile Transfer Protocol,安全文件传送协议)用于系统间文件传输。并且本实施例中的主机入侵检测系统无需在客户端部署agent,只需在服务器主机添加一个SSH登陆公钥,就可实现快速高效部署。所有的采集插件都是基于SHELL(壳)脚本的方式运行,新增了对主机资源的控制,保证了采集数据的有效性,同时也保证了不影响业务进程。例如,如图4所示,主机入侵检测系统可以分为五个模块,信息采集插件、服务器、分析引擎、告警和日报模块、管理和数据展示模块。基于管理模块的策略配置下发,服务器在各个生产服务器中采集数据,并将原始数据入库到原始数据数据库,将流量上报至分析引擎,以供分析引擎根据配置数据库中的读取规则、策略进行分析,并将恶意记录发送至告警数据库,以供告警和日报模块进行查看报警,将其他的记录发送至在线状态数据库。
在服务器通过SFTP下发各检测插件脚本至各生产主机,并建立与各所述生产主机的SSH链接时,首先在服务器的接入层中生成一对公私钥,然后将公钥部署到每一台生产主机,而服务器以SSH证书的方式,以root权限登录到客户端,然后通过SFTP下发shell到客户端,并启动检测插件脚本,待检测插件脚本执行成功后,再将脚本执行结果以SFTP的方式拉取回来。并且检测插件脚本可以包括有进程网络采集插件、日志数据采集插件、Web目录数据采集插件、弱口令检测插件、安全基线扫描插件等,而这其中的每个采集插件都包含有两个部分,资源控制模块和数据采集上报模块,数据采集上报模块在生产主机中进行数据采集,而资源控制模块会在生产主机中进行资源控制处理(如确定生产主机的剩余CPU和内存是否充足等),并在数据采集上报模块获取到采集数据后,会通过资源控制模块通知服务器,让服务器再次根据SFTP获取各个采集数据。
步骤S20,所述生产主机通过所述检测插件脚本获取采集数据;
生产主机在获取到检测插件脚本后,会对检测插件脚本进行资源控制处理,也就是在检测插件脚本中获取资源控制模块和数据采集上报模块,而资源控制处理即是生产主机通过资源控制模块对数据采集上报模块进行资源控制和行为控制,也就是通过cgroup对采集模块进行CPU和内存占用的控制,防止其影响业务程序;对采集模块进行存活监控和超时监控,必要时拉起或者停止检测插件脚本的运行;实时监控数据采集上报模块,并在采集完毕后,往后台发送请求,通知后台来读取数据结构。而数据采集上报模块则主要是进行数据采集,以获取采集数据。如进程基础数据采集:通过轮询遍历/proc/$pid目录,采集所需要的进程数据,包括米命令行,父进程链,打开的文件句柄等详细信息。最后将结果组装成json上报上来。网络基础数据采集:轮训遍历/proc/net目录,解析所需要的网络数据,定时上报至后台。日志信息采集。监听/var/log/secure目录,采集SSH解析ssh登录信息,上报至后台。
步骤S40,所述生产主机将所述采集数据反馈至服务器,以对所述采集数据进行告警处理。
当服务器获取到各个采集数据后,会对各个采集数据先进行一个初步的筛选(即进行预处理),如检测获取到的各个采集数据中是否存在相同的重复数据,若存在,则进行筛选;或者是检测获取到的各个采集数据中是否需要进行格式处理等。并在服务器对各个采集数据进行预处理后,获取到各个各个采集数据对应的预处理数据,就可以将这些预处理数据发送至分析引擎进行实时分析处理了。分析引擎对服务器传递的各个预处理数据进行实时分析,将触发规则的记录(即告警数据)传递至告警数据库,并将原始记录存入原始数据库,同时分析引擎还会统计机器在线率,插件在线率。将结果存入在线状态数据库等。而告警模块在监控到告警数据库中的告警数据时,会进行告警处理,并且还会基于原始数据库、告警数据库、在线状态数据库生成日报。
为辅助理解本实施例中的主机入侵检测系统的主要功能流程,下面进行举例说明。
例如,如图5所示,主机入侵检测系统包括各生产主机、接入服务器(即服务器)、分析引擎、以及告警和日报服务器。服务器通过SFTP下发插件脚本至生产主机;服务器与主机建立SSH链接,并启动插件脚本,等待脚本执行;生产执行插件脚本,收集数据信息,将采集结果保存为文件;服务器通过SFTP拉取每台主机的采集脚本执行结果;服务器对数据进行预处理;服务器将预处理后数据上报至分析引擎,以供分析引擎进行实时分析,若触发告警,则推送至告警服务器。
另外,为辅助理解基于原始数据的几种常见场景的入侵检测方案,下面进行举例说明,例如异常登录流水检测;(1)前端采集登录日志上报;(2)基于资产信息检测,即判断源IP是否为公司内网IP;如果不是,则告警(非内网白名单IP远程登录公司机器,很可能是黑客行为)。如果是则进行下一步。(3)基于行为进行检测,即判断源IP是否短时间内多处登录一台或者(多台)机器失败。如果是,则告警(源IP机器可能正被黑客用于进行爆破行为)。再判断目的IP是否短时间内多次被一台机器多次登录失败,如果是,则告警(此时,目的IP机器可能正被黑客进行爆破)。如果登录日志上的登录状态是成功。则判断源IP到目的IP的登录行为,过去预设时长段(如一个月)内是否出现过,如果不曾出现过,则告警。
再例如,异常进程检测,(1)前端采集进程信息上报。(2)恶意木马检测,即基于进程名称等特征信息,与恶意木马库进行匹配,若命中则告警。(3)基于Webshell(网页后门)检测的入侵检测,即若进程为bash进程,则判断其父进程链是否为web进程,若未web进程,则结合该机器的历史进程数据进行判断,确定出现频率是否较低,若是,则告警。(4)反弹shell检测:若进程为bash进程,判断其绑定的0/1/2句柄是否通过网络重定向。若是,结合网络链接数据进一步判断其是否具备反弹属性。如果是,则告警。
在本实施例中,通过生产主机接收服务器发送的检测插件脚本,并启动所述检测插件脚本,其中,所述检测插件脚本由安全文件传送协议SFTP下发;所述生产主机通过所述检测插件脚本获取采集数据;所述生产主机将所述采集数据反馈至服务器以对所述采集数据进行告警处理。通过让服务器根据SFTP下发各检测插件脚本到生产主机,并接收各个检测插件脚本反馈的采集数据,对这些采集数据进行分析,从而完成主机信息采集,实现入侵检测功能,并且在检测插件脚本中添加了资源控制处理功能,从而提高了检测插件脚本获取采集数据的实时性,使其适用于常见的实时的入侵检测场景,提高了主机信息采集的实时性。
进一步地,基于本发明主机入侵检测方法第一实施例,提出本发明主机入侵检测方法第二实施例。本实施例是本发明第一实施例的步骤S20,生产主机通过所述检测插件脚本获取采集数据的步骤,包括:
步骤s,所述生产主机获取所述检测插件脚本中的资源控制模块和数据采集上报模块;
生产主机在获取到检测插件脚本后,会先获取检测插件脚本中的资源控制模块和数据采集上报模块。并且需要说明的是,每个检测插件脚本中均有资源控制模块和数据采集上报模块。
步骤a,通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控制,并通过所述数据上报模块在所述生产主机中采集所述检测插件脚本对应的采集数据,其中,所述资源控制处理包括资源控制和行为控制。
资源控制处理是对数据采集上报模块进行资源控制和行为控制,也就是先启动数据上报模块,并通过cgroup(控制组)对数据采集上报模块进行CPU和内存占用的控制,防止其影响业务程序;并对数据采集上报模块进行存活监控和超时监控,必要时拉起或者停止数据采集上报模块。以保证采集程序的正常运行。而数据采集上报模块,主要包括以下三个部分,即进程基础数据采集、网络基础数据采集和日志信息采集。进程基础数据采集可以通过轮询遍历/proc/$pid目录,采集所需要的进程数据,包括米命令行,父进程链,打开的文件句柄等详细信息。最后将结果组装成json上报上来。而网络基础数据采集可以是轮询遍历/proc/net目录,解析所需要的网络数据,定时上报至后台。日志信息采集是监听/var/log/secure目录,采集SSH解析ssh登录信息,上报至后台。也就是通过数据采集上报模块可以在生产主机中进行数据采集,获取到需要的采集数据(如主机网络、进程和日志等)。其中,资源控制和行为控制可以作为资源控制处理。
在本实施例中,通过对数据采集上报模块进行资源控制和行为控制,并基于资源控制和行为控制获取采集数据,从而提高了检测插件脚本获取采集数据的实时性。
具体地,通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控制的步骤,包括:
步骤b,通过所述资源控制模块对所述数据采集上报模块进行资源控制,并对所述数据采集上报模块进行存活监控,以确定所述数据采集上报模块是否在正常运行;
在本实施例中,行为控制包括存活监控。存活监控可以是检测数据采集上报模块是否正在正常运行。
当数据采集上报模块在生产主机中开始进行数据采集时,资源控制模块会对数据采集上报模块进行资源控制和存活监控,以确定数据采集上报模块是否在正常运行,没有被生产主机中的其它程序杀死或变异等。
步骤c,若否,则停止所述数据采集上报模块的采集操作,并输出所述数据采集上报模块存在异常的提示信息。
当经过判断发现数据采集上报模块没有在正常运行,则可以停止数据采集上报模块的采集操作,并向用户输出数据采集上报模块存在异常的提示信息,以供用户进行检查。但是若数据采集上报模块在正常运行,则继续进行存活监控。
在本实施例中,通过资源控制模块对数据采集上报模块进行存活监控,从而提高了检测插件脚本获取采集数据的实时性。
具体地,通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控制的步骤,包括:
步骤d,所述资源控制模块对所述数据采集上报模块进行超时监控,以确定所述数据采集上报模块的采集时间是否超过预设时长;
在本实施例中,行为控制包括超时监控。超时监控可以是检测数据采集上报模块进行获取采集数据的时间是否超过预设时长。当数据采集上报模块在生产主机中开始进行数据采集时,资源控制模块会对数据采集上报模块进行资源控制和超时监控,以确定数据采集上报模块进行数据采集的时间是否超过用户提前设置的时间段(即预设时长)。
步骤e,若是,则停止所述数据采集上报模块的采集操作。
当经过判断发现数据采集上报模块进行数据采集的采集时间超过预设时长,则可以停止数据采集上报模块的采集操作,并向用户输出数据采集上报模块存在异常的提示信息,以供用户进行检查。若数据采集上报模块进行数据采集的采集时间没有超过预设时长,则继续进行超时监控。
在本实施例中,通过资源控制模块对数据采集上报模块进行超时监控,从而提高了检测插件脚本获取采集数据的实时性。
具体地,通过所述资源控制模块对所述数据采集上报模块进行资源控制的步骤,包括:
步骤f,通过所述资源控制模块检测所述数据采集上报模块在所述生产主机中占用的CPU和内存,并判断所述占用的CPU和内存是否大于所述生产主机中的预设值;
在数据采集上报模块开始启动后,资源控制模块会自动检测数据采集上报模块在生产主机中所占用的CPU和内存,并确定数据采集上报模块在生产主机中所占用的CPU和内存是否大于生产主机中提前设置的预设值(其中,预设值小于等于生产主机中的空闲CPU和内存值)。
步骤g,若大于,则所述资源控制模块通过控制组对所述数据采集上报模块在所述生产主机中占用的CPU和内存进行资源控制。
若大于,则可以认为当前数据采集上报模块已经影响到生产主机的正常运行了,资源控制模块就可以通过控制组对数据采集上报模块在生产主机中占用的CPU和内存进行资源控制,减少述数据采集上报模块在所述生产主机中占用的CPU和内存的大小。
在本实施例中,通过资源控制模块对数据采集上报模块进行资源控制,从而提高了检测插件脚本获取采集数据的实时性,保障了数据采集的正常进行。
具体地,将所述采集数据反馈至服务器的步骤,包括:
步骤h,所述资源控制模块在检测到所述数据采集上报模块已获取到所述采集数据时,会向所述服务器发送请求信息,以便所述服务器根据所述请求信息获取所述采集数据。
资源控制模块在检测到数据采集上报模块已完成数据采集的工作,并获取到采集数据时,会自动向服务器发送请求信息,通知服务器来获取数据采集上报模块中的采集数据,以便服务器根据请求信息获取生产主机中的采集数据。
在本实施例中,通过资源控制模块相服务器发送请求信息,以便服务器根据请求信息获取采集数据,从而提高了服务器获取到采集数据的准确性和完整性。
进一步地,本发明提供主机入侵检测方法的第三实施例,在该实施例中,提供一种主机入侵检测方法,所述主机入侵检测方法包括:
步骤x,所述生产主机接收所述服务器发送的检测插件脚本,启动所述检测插件脚本,并通过所述检测插件脚本获取采集数据,将所述采集数据反馈至所述服务器;
需要说明的是,在本实施例中,主机入侵检测方法应用于主机入侵检测系统,主机入侵检测系统主要包括生产主机、服务器和分析引擎。
主机入侵检测系统用于检测主机是否有黑客入侵等异常行为。检测原理是在需要保护的端系统(主机)上运行代理程序,以主机的审计数据、系统日志、应用程序日志等为数据源,主要对主机的网络连接以及主机文件进行分析和判断,发现可疑事件并作出响应。服务器先确定需要发送的检测插件脚本(包括进程网络采集插件、日志数据采集插件、web目录数据采集插件、弱口令检测插件和安全基线扫描插件)并通过SFTP下发检测插件脚本到生产主机。而生产主机在接收到服务器发送的检测插件脚本后,会启动此检测插件脚本,并根据启动后的检测插件脚本来获取该生产主机中的采集数据(如进度基础数据、网络基础数据和日志信息等),并在获取到采集数据后,通知服务器以SFTP的方式来获取生产主机中的采集数据。
步骤y,所述服务器对所述生产主机反馈的采集数据进行预处理,并将预处理后的采集数据发送至所述分析引擎;
当服务器获取到生产主机反馈的采集数据后,还需要对各个采集数据先进行一个初步的筛选(即进行预处理),如检测获取到的各个采集数据中是否存在相同的重复数据,若存在,则进行筛选;或者是检测获取到的各个采集数据中是否需要进行格式处理等。并在服务器对各个采集数据进行预处理后,就可以将这些预处理后的采集数据发送至分析引擎进行实时分析处理了。
步骤z,所述分析引擎对接收到的所述预处理后的采集数据进行检测,并基于检测结果对所述预处理后的采集数据进行告警处理。
当分析引擎接收到服务器发送的预处理后的采集数据后,会对这些采集后的采集数据进行检测,如异常登录流水检测、异常进程检测等,并当发现存在有检测结果为检测不合格的,则会通知报警模块对预处理后的采集数据进行报警处理。
在本实施例中,通过生产主机接收服务器发送的检测插件脚本,并通过检测插件脚本获取采集数据,再将采集数据反馈至服务器,让服务器对采集数据进行预处理,再发给分析引擎进行检测,基于检测结果进行告警处理,从而提高了主机信息采集的实时性和有效性,保障了分析引擎的检测结果的有效性,能及时进行告警处理。
具体地,分析引擎对接收到的所述预处理后的采集数据进行检测,并基于检测结果对所述预处理后的采集数据进行告警处理的步骤,包括:
步骤z1,所述分析引擎获取所述预处理后的采集数据中的源IP,并判断所述源IP是否和预设内网IP匹配;
在分析引擎获取到预处理后的采集数据时,会对预处理后的采集数据进行异常登录流水检测,即获取预处理后的采集数据中的登录日志,并对登录日志中的资产信息进行检测,也就是判断源IP是否和预设内网IP匹配,并基于不同的判断结果执行不同的操作。其中,源IP为用户终端登录生产主机时的IP,预设内网IP为生产主机内网白名单中的IP。
步骤z2,若匹配,所述分析引擎获取所述预处理后的采集数据中的目的IP,并对所述源IP和所述目的IP进行行为检测;
当经过判断发现源IP和预设内网IP匹配,则可以先获取预处理后的采集数据中的目的IP,对源IP和目的IP进行行为检测,即判断源IP是否短时间内多次登录一台或者多台机器(即生产主机)失败。若是,则可以进行告警处理,此时源IP机器可能正被黑客用于进行爆破行为。若不是,则继续判断目的IP是否短时间内多次被一台机器多次登录失败,若是,则可以进行告警处理,此时目的IP机器可能正被黑客进行爆破行为。若不是,且源IP登录目的IP的登录状态是成功,则判断源IP到目的IP的登录行为在过去预设的时间段内(如一个月)是否出现过,若不曾出现则进行告警处理。
当经过判断发现源IP和预设内网IP不匹配,则可以进行告警处理,也就可以认为源IP不是公司内网白名单IP,很可能是黑客行为。
步骤z3,若所述源IP或所述目的IP的行为检测的检测结果不合格,则对所述预处理后的采集数据进行告警处理。
当经过判断发现源IP或者目的IP的行为检测的检测结果不合格,则可以直接通知报警模块对预处理后的采集数据进行告警处理。单是若源IP的行为检测合格,且目的IP的行为检测合格,则可以进行下一步检测处理了。
在本实施例中,通过让分析引擎确定源IP是否和预设内网IP匹配,若匹配,则对源IP和目的IP进行行为检测,并在出现行为检测的检测结果不合格时,进行告警处理,从而提高了对生产主机检测的有效性。
具体地,分析引擎对接收到的所述预处理后的采集数据进行检测,并基于检测结果对所述预处理后的采集数据进行告警处理的步骤,包括:
步骤z6,所述分析引擎获取所述预处理后的采集数据中的进程信息,并将所述进程信息和预设的恶意木马库进行匹配;
在分析引擎获取到预处理后的采集数据时,会对预处理后的采集数据进行异常进程检测,即分析引擎获取预处理后的采集数据中的进程信息,并根据进程信息进行恶意木马检测,也就是可以将进程信息中的进程名称和md5(消息摘要算法)等特征信息与预设的恶意木马库进行匹配,若匹配,则可以对预处理后的告警数据进行告警处理。
步骤z7,若不匹配,则对所述进程信息进行入侵检测和反弹壳shell检测,若所述入侵检测的检测结果不合格或所述反弹shell检测的检测结果不合格,则对所述预处理后的采集数据进行告警处理。
当经过判断发现进程信息和预设的恶意木马库不匹配,则可以对进程信息入侵检测和反弹shell(壳)检测,即在进行基于Webshell检测的入侵检测时,若经过判断发现进程为bash进程,则判断该进程的父进程链是否为web进程,若父进程链是web进程,则可以根据此机器的历史进程数据,来检测该进程在历史进程数据中出现的概率,若概率较低,则进行告警处理。而在进行反馈shell检测时,在确定进程为bash进程时,判断该进程绑定的0/1/2句柄(标准输入/标准输出/标准错误)是否通过网络重定向,若是,则可以结合网络链接数据,来判断此进程是否具备反弹属性,如果是,则进行告警处理。
在本实施例中,通过分析引擎控制进程信息和预设木马库进行匹配,若不匹配,则对进程信息进行入侵检测和反弹shell检测,若入侵检测或反弹shell检测的检测结果不合格,则进行告警处理,从而提高了对生产主机检测的有效性。
本发明还提供一种主机入侵检测装置,参照图3,所述主机入侵检测装置包括:
启动单元,用于生产主机接收服务器发送的检测插件脚本,并启动所述检测插件脚本,其中,所述检测插件脚本由安全文件传送协议SFTP下发;
采集单元,用于所述生产主机通过所述检测插件脚本获取采集数据;
反馈单元,用于所述生产主机将所述采集数据反馈至服务器,以对所述采集数据进行告警处理。
可选地,所述采集单元,还用于:
所述生产主机获取所述检测插件脚本中的资源控制模块和数据采集上报模块;
通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控制,并通过所述数据上报模块在所述生产主机中采集所述检测插件脚本对应的采集数据,其中,所述资源控制处理包括资源控制和行为控制。
可选地,所述行为控制包括存活监控,所述采集单元,还用于:
通过所述资源控制模块对所述数据采集上报模块进行资源控制,并对所述数据采集上报模块进行存活监控,以确定所述数据采集上报模块是否在正常运行;
若否,则停止所述数据采集上报模块的采集操作,并输出所述数据采集上报模块存在异常的提示信息。
可选地,所述行为控制包括超时监控,所述采集单元,还用于:
通过所述资源控制模块对所述数据采集上报模块进行资源控制,并对所述数据采集上报模块进行超时监控,以确定所述数据采集上报模块的采集时间是否超过预设时长;
若是,则停止所述数据采集上报模块的采集操作。
可选地,所述采集单元,还用于:
通过所述资源控制模块检测所述数据采集上报模块在所述生产主机中占用的CPU和内存,并判断所述占用的CPU和内存是否大于所述生产主机中的预设值;
若大于,则所述资源控制模块通过控制组对所述数据采集上报模块在所述生产主机中占用的CPU和内存进行资源控制。
可选地,所述采集单元,还用于:
所述资源控制模块在检测到所述数据采集上报模块已获取到所述采集数据时,会向所述服务器发送请求信息,以便所述服务器根据所述请求信息获取所述采集数据。
可选地,所述主机入侵检测方法应用于主机入侵检测系统,所述主机入侵检测系统包括生产主机、服务器和分析引擎,所述主机入侵检测装置还包括:
接收单元,用于所述生产主机接收所述服务器发送的检测插件脚本,启动所述检测插件脚本,并通过所述检测插件脚本获取采集数据,将所述采集数据反馈至所述服务器;
发送单元,用于所述服务器对所述生产主机反馈的采集数据进行预处理,并将预处理后的采集数据发送至所述分析引擎;
检测单元,用于所述分析引擎对接收到的所述预处理后的采集数据进行检测,并基于检测结果对所述预处理后的采集数据进行告警处理。
可选地,所述检测单元,还用于:
所述分析引擎获取所述预处理后的采集数据中的源IP,并判断所述源IP是否和预设内网IP匹配;
若匹配,所述分析引擎获取所述预处理后的采集数据中的目的IP,并对所述源IP和所述目的IP进行行为检测;
若所述源IP或所述目的IP的行为检测的检测结果不合格,则对所述预处理后的采集数据进行告警处理。
可选地,所述检测单元,还用于:
所述分析引擎获取所述预处理后的采集数据中的进程信息,并将所述进程信息和预设的恶意木马库进行匹配;
若不匹配,则对所述进程信息进行入侵检测和反弹壳shell检测,若所述入侵检测的检测结果不合格或所述反弹shell检测的检测结果不合格,则对所述预处理后的采集数据进行告警处理。
上述各程序模块所执行的方法可参照本发明主机入侵检测方法各个实施例,此处不再赘述。
本发明还提供一种计算机存储介质。
本发明计算机存储介质上存储有主机入侵检测程序,所述主机入侵检测程序被处理器执行时实现如上所述的主机入侵检测方法的步骤。
其中,在所述处理器上运行的主机入侵检测程序被执行时所实现的方法可参照本发明主机入侵检测方法各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (13)
1.一种主机入侵检测方法,其特征在于,所述主机入侵检测方法包括如下步骤:
生产主机接收服务器发送的检测插件脚本,并启动所述检测插件脚本,其中,所述检测插件脚本由服务器通过安全文件传送协议SFTP下发;
所述生产主机通过所述检测插件脚本获取采集数据;
所述生产主机将所述采集数据反馈至服务器,以对所述采集数据进行告警处理。
2.如权利要求1所述的主机入侵检测方法,其特征在于,所述生产主机通过所述检测插件脚本获取采集数据的步骤,包括:
所述生产主机获取所述检测插件脚本中的资源控制模块和数据采集上报模块;
通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控制,并通过所述数据上报模块在所述生产主机中采集所述检测插件脚本对应的采集数据,其中,所述资源控制处理包括资源控制和行为控制。
3.如权利要求2所述的主机入侵检测方法,其特征在于,所述行为控制包括存活监控,
所述通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控制的步骤,包括:
通过所述资源控制模块对所述数据采集上报模块进行资源控制,并对所述数据采集上报模块进行存活监控,以确定所述数据采集上报模块是否在正常运行;
若否,则停止所述数据采集上报模块的采集操作,并输出所述数据采集上报模块存在异常的提示信息。
4.如权利要求2所述的主机入侵检测方法,其特征在于,所述行为控制包括超时监控,
所述通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控制的步骤,包括:
通过所述资源控制模块对所述数据采集上报模块进行资源控制,并对所述数据采集上报模块进行超时监控,以确定所述数据采集上报模块的采集时间是否超过预设时长;
若是,则停止所述数据采集上报模块的采集操作。
5.如权利要求2所述主机入侵检测方法,其特征在于,所述通过所述资源控制模块对所述数据采集上报模块进行资源控制的步骤,包括:
通过所述资源控制模块检测所述数据采集上报模块在所述生产主机中占用的CPU和内存,并判断所述占用的CPU和内存是否大于所述生产主机中的预设值;
若大于,则所述资源控制模块通过控制组对所述数据采集上报模块在所述生产主机中占用的CPU和内存进行资源控制。
6.如权利要求2所述的主机入侵检测方法,其特征在于,所述将所述采集数据反馈至服务器的步骤,包括:
所述资源控制模块在检测到所述数据采集上报模块已获取到所述采集数据时,会向所述服务器发送请求信息,以便所述服务器根据所述请求信息获取所述采集数据。
7.一种主机入侵检测方法,其特征在于,所述主机入侵检测方法应用于主机入侵检测系统,所述主机入侵检测系统包括生产主机、服务器和分析引擎,所述主机入侵检测发布方法包括如下步骤:
所述生产主机接收所述服务器发送的检测插件脚本,启动所述检测插件脚本,并通过所述检测插件脚本获取采集数据,将所述采集数据反馈至所述服务器;
所述服务器对所述生产主机反馈的采集数据进行预处理,并将预处理后的采集数据发送至所述分析引擎;
所述分析引擎对接收到的所述预处理后的采集数据进行检测,并基于检测结果对所述预处理后的采集数据进行告警处理。
8.如权利要求7所述的主机入侵检测方法,其特征在于,所述分析引擎对接收到的所述预处理后的采集数据进行检测,并基于检测结果对所述预处理后的采集数据进行告警处理的步骤,包括:
所述分析引擎获取所述预处理后的采集数据中的源IP,并判断所述源IP是否和预设内网IP匹配;
若匹配,所述分析引擎获取所述预处理后的采集数据中的目的IP,并对所述源IP和所述目的IP进行行为检测;
若所述源IP或所述目的IP的行为检测的检测结果不合格,则对所述预处理后的采集数据进行告警处理。
9.如权利要求7所述的主机入侵检测方法,其特征在于,所述分析引擎对接收到的所述预处理后的采集数据进行检测,并基于检测结果对所述预处理后的采集数据进行告警处理的步骤,还包括:
所述分析引擎获取所述预处理后的采集数据中的进程信息,并将所述进程信息和预设的恶意木马库进行匹配;
若不匹配,则对所述进程信息进行入侵检测和反弹壳shell检测,若所述入侵检测的检测结果不合格或所述反弹shell检测的检测结果不合格,则对所述预处理后的采集数据进行告警处理。
10.一种主机入侵检测装置,其特征在于,所述主机入侵检测装置包括:
启动单元,用于生产主机接收服务器发送的检测插件脚本,并启动所述检测插件脚本,其中,所述检测插件脚本由安全文件传送协议SFTP下发;
采集单元,用于所述生产主机通过所述检测插件脚本获取采集数据;
反馈单元,用于所述生产主机将所述采集数据反馈至服务器,以对所述采集数据进行告警处理。
11.一种主机入侵检测装置,其特征在于,所述主机入侵检测装置还包括:
接收单元,用于生产主机接收服务器发送的检测插件脚本,启动所述检测插件脚本,并通过所述检测插件脚本获取采集数据,将所述采集数据反馈至所述服务器;
发送单元,用于所述服务器对所述生产主机反馈的采集数据进行预处理,并将预处理后的采集数据发送至分析引擎;
检测单元,用于所述分析引擎对接收到的所述预处理后的采集数据进行检测,并基于检测结果确定是否对所述预处理后的采集数据进行告警处理。
12.一种主机入侵检测设备,其特征在于,所述主机入侵检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的主机入侵检测程序,所述主机入侵检测程序被所述处理器执行时实现如权利要求1至9中任一项所述的主机入侵检测方法的步骤。
13.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有主机入侵检测程序,所述主机入侵检测程序被处理器执行时实现如权利要求1至9中任一项所述的主机入侵检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910787459.3A CN110365714B (zh) | 2019-08-23 | 主机入侵检测方法、装置、设备及计算机存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910787459.3A CN110365714B (zh) | 2019-08-23 | 主机入侵检测方法、装置、设备及计算机存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110365714A true CN110365714A (zh) | 2019-10-22 |
CN110365714B CN110365714B (zh) | 2024-05-31 |
Family
ID=
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111367762A (zh) * | 2020-02-28 | 2020-07-03 | 京东方科技集团股份有限公司 | 设备入侵检测方法、系统及电子设备 |
CN111694720A (zh) * | 2020-06-15 | 2020-09-22 | 山东浪潮云服务信息科技有限公司 | 一种自动监控数据采集进度的方法 |
CN112613074A (zh) * | 2020-12-30 | 2021-04-06 | 绿盟科技集团股份有限公司 | 一种敏感文件识别方法、装置、设备及介质 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1384639A (zh) * | 2002-06-11 | 2002-12-11 | 华中科技大学 | 分布式网络动态安全保护系统 |
US20090222907A1 (en) * | 2005-06-14 | 2009-09-03 | Patrice Guichard | Data and a computer system protecting method and device |
CN104184819A (zh) * | 2014-08-29 | 2014-12-03 | 城云科技(杭州)有限公司 | 多层级负载均衡云资源监控方法 |
US20150172302A1 (en) * | 2013-12-13 | 2015-06-18 | Vahna, Inc. | Interface for analysis of malicious activity on a network |
CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
CN105491055A (zh) * | 2015-12-24 | 2016-04-13 | 中国船舶重工集团公司第七〇九研究所 | 一种基于移动代理的网络主机异常事件检测方法 |
CN106790280A (zh) * | 2017-02-22 | 2017-05-31 | 深信服科技股份有限公司 | 网络攻击的应急排查方法及装置 |
CN109039812A (zh) * | 2018-07-20 | 2018-12-18 | 深圳前海微众银行股份有限公司 | 端口检测方法、系统和计算机可读存储介质 |
CN109347806A (zh) * | 2018-09-20 | 2019-02-15 | 天津大学 | 一种基于主机监控技术的挖矿恶意软件检测系统及方法 |
CN109639726A (zh) * | 2018-12-31 | 2019-04-16 | 微梦创科网络科技(中国)有限公司 | 入侵检测方法、装置、系统、设备及存储介质 |
CN109660526A (zh) * | 2018-12-05 | 2019-04-19 | 国网江西省电力有限公司信息通信分公司 | 一种应用于信息安全领域的大数据分析方法 |
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1384639A (zh) * | 2002-06-11 | 2002-12-11 | 华中科技大学 | 分布式网络动态安全保护系统 |
US20090222907A1 (en) * | 2005-06-14 | 2009-09-03 | Patrice Guichard | Data and a computer system protecting method and device |
US20150172302A1 (en) * | 2013-12-13 | 2015-06-18 | Vahna, Inc. | Interface for analysis of malicious activity on a network |
CN104184819A (zh) * | 2014-08-29 | 2014-12-03 | 城云科技(杭州)有限公司 | 多层级负载均衡云资源监控方法 |
CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
CN105491055A (zh) * | 2015-12-24 | 2016-04-13 | 中国船舶重工集团公司第七〇九研究所 | 一种基于移动代理的网络主机异常事件检测方法 |
CN106790280A (zh) * | 2017-02-22 | 2017-05-31 | 深信服科技股份有限公司 | 网络攻击的应急排查方法及装置 |
CN109039812A (zh) * | 2018-07-20 | 2018-12-18 | 深圳前海微众银行股份有限公司 | 端口检测方法、系统和计算机可读存储介质 |
CN109347806A (zh) * | 2018-09-20 | 2019-02-15 | 天津大学 | 一种基于主机监控技术的挖矿恶意软件检测系统及方法 |
CN109660526A (zh) * | 2018-12-05 | 2019-04-19 | 国网江西省电力有限公司信息通信分公司 | 一种应用于信息安全领域的大数据分析方法 |
CN109639726A (zh) * | 2018-12-31 | 2019-04-16 | 微梦创科网络科技(中国)有限公司 | 入侵检测方法、装置、系统、设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
施刚;黄伟;胡景德;: "一种基于移动代理的分布式入侵检测系统(MADIDS)设计思想", 西南民族大学学报(自然科学版), no. 04, 15 August 2007 (2007-08-15) * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111367762A (zh) * | 2020-02-28 | 2020-07-03 | 京东方科技集团股份有限公司 | 设备入侵检测方法、系统及电子设备 |
CN111367762B (zh) * | 2020-02-28 | 2024-04-23 | 京东方科技集团股份有限公司 | 设备入侵检测方法、系统及电子设备 |
CN111694720A (zh) * | 2020-06-15 | 2020-09-22 | 山东浪潮云服务信息科技有限公司 | 一种自动监控数据采集进度的方法 |
CN111694720B (zh) * | 2020-06-15 | 2023-11-24 | 山东浪潮云服务信息科技有限公司 | 一种自动监控数据采集进度的方法 |
CN112613074A (zh) * | 2020-12-30 | 2021-04-06 | 绿盟科技集团股份有限公司 | 一种敏感文件识别方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11689557B2 (en) | Autonomous report composer | |
Lippmann et al. | The 1999 DARPA off-line intrusion detection evaluation | |
CN106411578B (zh) | 一种适应于电力行业的网站监控系统及方法 | |
Barse et al. | Synthesizing test data for fraud detection systems | |
Valeur et al. | Comprehensive approach to intrusion detection alert correlation | |
Lindqvist et al. | eXpert-BSM: A host-based intrusion detection solution for Sun Solaris | |
CN101447991A (zh) | 用于测试入侵检测系统的测试装置及测试方法 | |
CN105812200A (zh) | 异常行为检测方法及装置 | |
Debar et al. | Evaluation of the diagnostic capabilities of commercial intrusion detection systems | |
CN107168844B (zh) | 一种性能监控的方法及装置 | |
CN114244564A (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
CN112671605A (zh) | 一种测试方法、装置及电子设备 | |
Massa et al. | A fraud detection system based on anomaly intrusion detection systems for e-commerce applications | |
CN111770097B (zh) | 一种基于白名单的内容锁防火墙方法及系统 | |
KR20200131627A (ko) | 시나리오 기반 상관분석을 통한 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법 | |
US20080072321A1 (en) | System and method for automating network intrusion training | |
Barry et al. | Intrusion detection systems | |
Lee et al. | Mining system audit data: Opportunities and challenges | |
Qu | Research on password detection technology of iot equipment based on wide area network | |
Ficco et al. | A weight-based symptom correlation approach to SQL injection attacks | |
US7653742B1 (en) | Defining and detecting network application business activities | |
CN110365714A (zh) | 主机入侵检测方法、装置、设备及计算机存储介质 | |
Kerschbaum et al. | Using internal sensors and embedded detectors for intrusion detection | |
CN114780398A (zh) | 面向Cisco IOS-XE的Web命令注入漏洞检测方法 | |
CN114157504A (zh) | 一种基于Servlet拦截器的安全防护方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |