一种windows主机安全检查方法、装置和平台
技术领域
本发明涉及文件网络信息安全技术领域,特别涉及一种windows主机安全检查方法、装置和平台。
背景技术
随着信息化的全面普及和传统互联网、移动互联网的快速发展,核心业务和数据已经全面数字化,由此带来的数据的价值成为黑客攻击和入侵的动机,信息安全的保障成为国家安全的组成部分。
黑客入侵进入windows主机之后,会留下诸多痕迹和后门,针对windows主机进行常态化的安全检查可提前发现这些入侵的痕迹和后门程序。全面的安全检查是一个专业性强、工作量大的工作,目前需要安全技术专家登录至每台windows主机上运行多种工具进行综合分析,当用户拥有数十台甚至更多windows主机需要安全检查时,效率低下;通过现有的常规扫描技术可实现远程获取windows系统版本、开放端口等基本信息,但无法检查windows系统文件完整性以及webshell木马后门。
并且现有技术主要还存在以下缺陷和不足:
人工登录至windows主机系统,利用多种工具手工进行安全检查,存在的问题包括:效率低下;在执行安全检查工作时需要在被检查的windows主机上运行多种工具和程序,因兼容性等各方面的问题,可能会给被检查的windows主机带来安全隐患、导致windows主机蓝屏死机等不稳定现象发生,给用户带来业务风险;
在每台被检查windows主机系统中统一安装程序,在执行安全检查时,通过远程控制端发送检查指令,实现对每台被检查windows主机系统的安全检查,这种方式的不足和缺陷主要包括:需要提前在被检查windows主机上安装特定的程序文件,这些程序需要常驻在系统内存,占用系统资源,影响业务性能,并可能因程序自身问题和缺陷给被检查windows主机带来安全风险和隐患;运行在被检查windows主机系统中的程序跟windows主机环境可能存在兼容性的问题,一方面程序本身可能导致被检查windows主机系统崩溃、蓝屏、性能下降,另一方面也可能因兼容性问题,用户处部分windows主机无法运行该程序,导致现场在执行安全检查时,可能存在遗漏的情况发生。
发明内容
本发明的目的就在于为了解决上述人工登录Windows主机系统检查主机安全效率低下,采用外部安装程序容易占用系统资源,驱动不兼容时还会导致系统崩溃存在安全隐患的问题提出一种windows主机安全检查方法、装置和平台,具有免安装客户端获取主机信息,不存在安全隐患且对系统无影响,上传到云平台分析,效率高的优点。
本发明通过以下技术方案来实现上述目的,一种windows主机安全检查方法,包括:
通过免安装客户端获取主机信息,所述主机信息包括BIOS、ComputerSystem、Environment、OS、Service、Share、UUID、网络连接、进程、安装程序、系统补丁、定时任务、开机启动项、系统账户、硬件信息(中央处理器、内存、硬盘、网卡)、系统驱动文件、系统可执行文件、桌面快捷项、开始菜单项;
提取并分析主机信息,包括分析系统账户的安全性;提取进程、安装程序、开机启动项、桌面快捷项和开始菜单项中对应的可执行文件,以及系统驱动文件,一并引入恶意文件匹配规则,对文件内容进行扫描,并输出扫描结果;计算所有文件的hash值,并获取文件详细信息和数字签名信息;
对主机全盘文件进行扫描;
输出扫描后的信息及检查结果,进行加密压缩处理,并将处理后的数据包上传至云平台,通过所述云平台分析处理,再输出处理结果。
优选的,所述文件详细信息包括:文件版本、产品名称、产品版本、产权、文件大小、文件创建时间、修改时间、访问时间、文件属性(可读/可写/可执行/隐藏)。
优选的,所述全盘扫描所扫描的文件为脚本语言文件,扫描方法包括:
a、引入webshell规则库对文件内容进行规则匹配;
b、Php类文件额外进行专业的词法分析、语法分析,用以排查webshell;
c、用户可通过修改设置选项,将全盘文件扫描的文件类型扩展至包含所有可执行文件。
优选的,所述云平台的分析处理方法包括:
①、获取数据包中的windows操作系统版本号和已经安装的系统补丁,与windows官网中的windows操作系统版本号和需要安装的系统补丁进行匹配,列出目标主机没有安装的系统补丁,并提供下载链接;
②、云平台基于文件hash值建立白名单、黑名单数据库,云平台提取数据包中的文件hash值,与白名单、黑名单进行匹配,匹配上白名单的文件为标记为正常文件,匹配上黑名单的标记为异常文件,没有匹配到hash值的文件,移至第三方权威网站在线匹配hash值,匹配结果同步录入白名单、黑名单数据库,最终没有任何匹配结果的文件标记为未知文件。
一种windows主机安全检查装置,包括免安装客户端,所述免安装客户端包括主机信息获取模块、全盘信息扫描模块、系统账户安全性分析模块、文件信息提取模块、恶意文件分析模块、数据加密压缩模块和数据发送模块。
优选的,所述系统账户安全性分析模块获取主机信息中的账户数据,文件信息提取模块提取主机信息中的文件信息数据,恶意文件分析模块分析主机信息中的恶意文件数据,全盘信息扫描模块获取主机磁盘中的webshell文件数据,数据加密压缩模块用于将获得的数据进行加密压缩,并通过数据发送模块发送给云平台。
一种windows主机安全检查平台,包括数据解压解密模块、系统版本与补丁模块、应用软件分析模块、文件hash值匹配模块、前端展示模块和数据导出模块。
优选的,所述数据解压解密模块用于解压解密所述免安装客户端发送的数据,系统版本与补丁模块分析系统补丁风险,应用软件分析模块分析应用软件漏洞风险,文件hash值匹配模块输出正常文件、异常文件和未知文件,前端展示模块用于展示平台输出的结果,数据导出模块用于倒出结果。
优选的,所述数据导出模块导出PDF版检查报告。
与现有技术相比,本发明的有益效果是:通过免安装客户端获取主机信息,可以不需要在主机上安装任何程序,因此不会造成驱动冲突,系统不兼容的问题,减少程序安装存在的安全隐患,而且获取数据之后上传到远程云平台对扫描的信息进行分析处理,即使工作量较大也不会占用主机上的系统内存和系统资源更不会影响系统的业务性能,不会对windows主机造成任何死机、蓝屏等不稳定问题,也提高了主机检查的效率。
附图说明
图1为本发明的免安装客户端内部功能模块连接示意图。
图2为本发明的云平台内部功能模块连接示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种windows主机安全检查方法,包括:
通过免安装客户端获取主机信息,所述主机信息包括BIOS、ComputerSystem、Environment、OS、Service、Share、UUID、网络连接、进程、安装程序、系统补丁、定时任务、开机启动项、系统账户、硬件信息(中央处理器、内存、硬盘、网卡)、系统驱动文件、系统可执行文件、桌面快捷项、开始菜单项;
提取并分析主机信息,包括分析系统账户的安全性(隐藏账户、提权账户、guest账户启用、guest账户权限过高);提取进程、安装程序、开机启动项、桌面快捷项和开始菜单项中对应的可执行文件,以及系统驱动文件,一并引入恶意文件匹配规则,对文件内容进行扫描,并输出扫描结果;计算所有文件的hash值,并获取文件详细信息和数字签名信息;
对主机全盘文件进行扫描;
输出扫描后的信息及检查结果,进行加密压缩处理,并将处理后的数据包上传至云平台,通过所述云平台分析处理,再输出处理结果。
所述文件详细信息包括:文件版本、产品名称、产品版本、产权、文件大小、文件创建时间、修改时间、访问时间、文件属性(可读/可写/可执行/隐藏),所述全盘扫描所扫描的文件为脚本语言文件,为了提高扫描效率及减少主机负荷,全盘扫描默认只扫描脚本语言文件,这类文件是webshell最容易潜伏的对象,脚本语言文件通过文件名后缀识别:"asp","aspx","jsp","jspx","php","php3","php5","phtml","war","cmd","bat","pl","soap","cgi","ashx","asmx","py","lua","ruby",扫描方法包括:
a、引入webshell规则库对文件内容进行规则匹配;
b、Php类文件额外进行专业的词法分析、语法分析,用以排查webshell;
c、用户可通过修改设置选项,将全盘文件扫描的文件类型扩展至包含所有可执行文件。
所述云平台的分析处理方法包括:
①、获取数据包中的windows操作系统版本号和已经安装的系统补丁,与windows官网中的windows操作系统版本号和需要安装的系统补丁进行匹配,列出目标主机没有安装的系统补丁,并提供下载链接;
②、云平台基于文件hash值建立白名单、黑名单数据库,云平台提取数据包中的文件hash值,与白名单、黑名单进行匹配,匹配上白名单的文件为标记为正常文件,匹配上黑名单的标记为异常文件,没有匹配到hash值的文件,移至第三方权威网站在线匹配hash值,匹配结果同步录入白名单、黑名单数据库,最终没有任何匹配结果的文件标记为未知文件。
如图1所示,一种windows主机安全检查装置,包括免安装客户端,所述免安装客户端包括主机信息获取模块、全盘信息扫描模块、系统账户安全性分析模块、文件信息提取模块、恶意文件分析模块、数据加密压缩模块和数据发送模块。
所述系统账户安全性分析模块获取主机信息中的账户数据,文件信息提取模块提取主机信息中的文件信息数据,恶意文件分析模块分析主机信息中的恶意文件数据,全盘信息扫描模块获取主机磁盘中的webshell文件数据,数据加密压缩模块用于将获得的数据进行加密压缩,并通过数据发送模块发送给云平台。
如图2所示,一种windows主机安全检查平台,包括数据解压解密模块、系统版本与补丁模块、应用软件分析模块、文件hash值匹配模块、前端展示模块和数据导出模块。
所述数据解压解密模块用于解压解密所述免安装客户端发送的数据,系统版本与补丁模块分析系统补丁风险,应用软件分析模块分析应用软件漏洞风险,文件hash值匹配模块输出正常文件、异常文件和未知文件,前端展示模块用于展示平台输出的结果,数据导出模块用于倒出结果,所述数据导出模块导出PDF版检查报告,云平台通过网页形式图文并茂地展示检查结果,如主机基本信息:系统账户信息,硬件信息(中央处理器、内存、磁盘、网卡等),操作系统信息(系统版本、安装时间等);检查总览:检查总项数、正常项、异常项、未知项等;异常项细则:异常账户信息、异常文件信息、系统补丁风险、应用程序漏洞信息。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。