CN111131170A - 主机审计系统的客户端策略处理方法 - Google Patents

主机审计系统的客户端策略处理方法 Download PDF

Info

Publication number
CN111131170A
CN111131170A CN201911209888.9A CN201911209888A CN111131170A CN 111131170 A CN111131170 A CN 111131170A CN 201911209888 A CN201911209888 A CN 201911209888A CN 111131170 A CN111131170 A CN 111131170A
Authority
CN
China
Prior art keywords
strategy
client
information
module
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911209888.9A
Other languages
English (en)
Inventor
张旭
何建锋
其他发明人请求不公开姓名
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an Jiaotong University Jump Network Technology Co ltd
Original Assignee
Xi'an Jiaotong University Jump Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xi'an Jiaotong University Jump Network Technology Co ltd filed Critical Xi'an Jiaotong University Jump Network Technology Co ltd
Priority to CN201911209888.9A priority Critical patent/CN111131170A/zh
Publication of CN111131170A publication Critical patent/CN111131170A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开一种主机监控与审计系统的客户端对服务器策略的处理方法,服务器通过通信模块向客户端的策略中心下发策略,客户端的策略中心对服务器策略的处理,包括:启动策略检测线程;接收并解析服务器总策略,将解析后的信息存入全局列表;根据全局列表,循环对比新策略与原策略的信息,将信息发生变化的策略通知对应的功能模块;客户端主进程调度各子进程分别加载不同功能模块并处理各模块消息。该方案有利于提高各个模块策略的执行效率。从而保证整个主机监控与审计系统的稳定高效运行。

Description

主机审计系统的客户端策略处理方法
技术领域
本发明属于计算机与网络安全技术领域,尤其是涉及一种主机监控与审计系统的客户端对服务器策略的处理方法。
背景技术
随着计算机网络异常迅猛的发展,计算机终端和网络逐渐成为企业、政府及各种组织的重要信息载体和传输渠道,成为人们日常工作中不可缺少的一部分。网络及其所带来的信息数字化大幅度提高了人们的工作效率,使得海量信息存储和处理成为现实。但是,在享受到计算机网络所带来方便的同时,日益严重的网络信息安全问题,不仅使上网企业、机构及用户蒙受巨大的经济损失,也使国家的安全面临严重威胁。
为此,很多安全厂商都研发和推出了专门针对内网和计算机终端安全的防护产品。常见的安全平台系统由客户端、服务器端和管理端三部分组成,从技术角度来讲,对计算机安全防护的实现是通过在计算机系统上安装客户端软件,由客户端来执行安全策略,从而达到防护目的。客户端对服务器分发的策略执行过程很大程度上决定了主机防护的效率。
发明内容
鉴于以上所述背景,提出一种主机审计系统的客户端策略执行方法,安装在受控计算机上的软件,接收和执行服务器下发的安全策略并返回相应的执行结果,提高策略执行效率。
具体的技术方案是:主机审计系统的客户端策略执行方法,服务器通过通信模块向客户端的策略中心下发策略,客户端的策略中心对服务器策略的处理,包括:
启动策略检测线程;
接收并解析服务器总策略,将解析后的信息存入全局列表;
根据全局列表,循环对比新策略与原策略的信息,将信息发生变化的策略通知对应的功能模块;
客户端主进程调度各子进程分别加载不同功能模块并处理各模块消息。
客户端包括IP/MAC绑定监控模块,用于禁止主机上的IP和MAC地址的修改,IP/MAC绑定监控模块的策略处理过程:启动监控线程;接收新策略并记录IP与MAC地址;和原IP与MAC地址进行对比,若一致则继续监控策略的改变,若不一致则将IP与MAC地址修改回原配置。
客户端包括账户监控模块,用于记录或禁止主机账户的修改,账户监控模块的策略处理过程:解析当前passwd文件并记录账户信息;接收新策略并发送到内核进行处理;内核将处理结果返回,解析新策略的passwd文件,并对比新旧策略的账户信息。
客户端包括开关机监控模块,用于记录主机的开关机行为、并禁止主机在非授权时段运行,开关机监控模块的策略处理过程:
主机启动后,每隔固定时长记录当前时间,将每个运行时段的第一个与最后一个当前时间分别作为开机时间与关机时间;
接收并解析新策略,获取新策略的授权时段;
判断所述开机时间与关机时间是否位于所述授权时段,根据判断结果执行相应的命令。
客户端包括系统补丁更新模块,用于根据策略配置对操作系统进行补丁更新,系统补丁更新监控模块的策略处理过程:
从服务器的网络软件仓库下载可用更新至客户端的本地软件仓库;
接收新策略,解析得到系统补丁的更新信息,获取单项更新内容及其受影响软件包;
根据策略的更新信息,从本地软件仓库安装更新。
客户端包括系统资源性能监控模块,用于实时记录计算机的资源性能信息,并对超过指定阈值的进程进行告警处理,系统资源性能监控模块的策略处理过程:接收策略并启动监控线程;当策略信息发生改变时,记录当前系统性能信息;判断当前系统性能信息是否超过策略的预设阈值,若已超过则进行告警处理,若未超过则继续监控。
作为对以上方案的优选实施,客户端运行产生的日志信息输出至日志中心,其日志处理过程包括:
启动日志上传线程;
接收日志消息,并将日志消息以固定格式组包写入日志文件;
等待预设时长,向服务器上传日志文件,判断是否上传成功;
若上传成功则删除本地文件,若上传失败则继续等待预设时长后重新上传。
进一步的,设置守护进程,当监控到主进程或子进程发生崩溃时,重启该崩溃的进程,并收集错误信息发送至日志模块进行处理。
以上技术方案,客户端采用模块化设计,不同功能模块具有统一的策略中心与日志中心,便于策略分发与日志分析;并且不同功能模块具有不同的策略执行方式,有利于提高各个模块策略的执行效率。从而保证整个主机监控与审计系统的稳定高效运行。
附图说明
图1为客户端策略执行方法实施例的,客户端的功能模块组成示意图;
图2为客户端策略执行方法实施例的,客户端与服务器的数据交互示意图;
图3为客户端策略执行方法实施例的,客户端策略中心对服务器策略的处理过程示意图;
图4为客户端策略执行方法实施例的,客户端系统补丁更新模块对服务器策略的处理过程示意图;
图5为客户端策略执行方法实施例的,客户端系统资源性能监控模块对服务器策略的处理过程示意图;
图6为客户端策略执行方法实施例的,客户端日志中心的日志上传过程示意图。
具体实施方式
结合实施例与附图对技术方案进行详细说明。
作为一种实施方式,主机监控与审计系统可以由客户端、服务器端和管理端三部分组成,各部分的主要功能简述如下:
客户端,安装在受控计算机(主机)上的软件,接收和执行从服务器下发的安全策略,并返回相应的执行结果。例如对用户在计算机终端的行为进行监控,当有违规行为发生时,客户端可以中断违规行为,保护计算机终端的安全,同时还能够产生相应的报警日志,方便管理者进行追查和处理;除了根据安全策略进行实时监控受控计算机外,客户端还能够收集受控计算机的各类静态和动态信息,为管理者提供非常详尽的计算机信息,使得管理变得更加准确和简便。
服务器端,负责管理客户端和网络。管理员在管理端配置安全策略,服务器将策略下发至客户端;最后接收和存储客户端反馈的日志,以便管理员的事后审计和分析;另外服务器端进行网络拓扑发现,提供网络可视化的管理,扫描未安装客户端的计算机并控制其网络的访问权限,以及与其它网络安全设备进行联动。
管理端,使用浏览器,通过WEB服务的形式使用管理端。管理员经过身份认证,根据相应的权限判断,进入对应的管理界面,管理计算机终端和网络、配置安全策略、审计和分析系统日志以及对系统进行维护升级。
如图1所示,客户端由多个进程组成,其中有一个主进程负责管理调度各个子进程,每个子进程负责加载不同的功能模块,各个子进程之间由IPC 通信模块负责通信与消息传递,每个功能模块可以通过所在的子进程与任何一个模块相互通信。
作为一种实施方式,客户端的子系统包括:
策略调度子系统,负责与服务器进行通信,保持心跳,对各个模块进行策略调度;
日志传输子系统,负责接收各个功能模块的日志,组装成日志文件上传给服务器;
文件监控子系统,负责文件监控、进程监控、账户监控等;
网络监控子系统,负责网页监控、端口监控、邮件监控、IP/MAC绑定等功能;
设备监控子系统,设备监控与设备变更、打印监控、刻录监控、U盘监控;
系统管理子系统,时间同步、软件分发、开关机监控等;
软件监控子系统,软件监控软件安装监控、服务监控、开机启动项监控;
补丁更新子系统,负责补丁更新监控。
与上述的客户端子系统相对应,所述客户端的功能模块可以包括:策略中心;日志中心;文件操作监控、进程运行监控、账户监控、共享目录监控、异常登录审计;网络监控、主机阻断、802.1x接入认证、IP/MAC绑定、违规外联;硬件监控与硬件变更监控、U盘监控、文件刻录监控、文件打印监控;时间同步、软件分发、开关机监控;软件监控模块、服务监控、系统资源性能监控;系统补丁更新。
如图2所示,客户端与服务器的数据交互过程:服务器通过通信模块向客户端的策略中心下发策略,策略中心将不同策略分发至对应的功能模块,各功能模块解析并执行收到的策略并将该过程中产生的日志消息发送至客户端的日志中心,日志中心将日志消息处理为固定的文件格式上传至服务器进行存储。
如图3所示,主机审计系统的客户端策略执行方法,服务器通过通信模块向客户端的策略中心下发策略,客户端的策略中心对服务器策略的处理,包括:
启动策略检测线程;
接收并解析服务器总策略,将解析后的信息存入全局列表;
根据全局列表,循环对比新策略与原策略的信息,将信息发生变化的策略通知对应的功能模块;
客户端主进程调度各子进程分别加载不同功能模块并处理各模块消息。
作为优选的实施方式,客户端包括IP/MAC绑定监控模块,用于禁止主机上的IP和MAC地址的修改,IP/MAC绑定监控模块的策略处理过程:启动监控线程;接收新策略并记录IP与MAC地址;和原IP与MAC地址进行对比,若一致则继续监控策略的改变,若不一致则将IP与MAC地址修改回原配置。
作为优选的实施方式,客户端包括账户监控模块,用于记录或禁止主机账户的修改,账户监控模块的策略处理过程:解析当前passwd文件并记录账户信息;接收新策略并发送到内核进行处理;内核将处理结果返回,解析新策略的passwd文件,并对比新旧策略的账户信息。
作为优选的实施方式,客户端包括开关机监控模块,用于记录主机的开关机行为、并禁止主机在非授权时段运行,开关机监控模块的策略处理过程:
主机启动后,每隔固定时长记录当前时间,将每个运行时段的第一个与最后一个当前时间分别作为开机时间与关机时间;
接收并解析新策略,获取新策略的授权时段;
判断所述开机时间与关机时间是否位于所述授权时段,根据判断结果执行相应的命令。
如图4所示,作为优选的实施方式,客户端包括系统补丁更新模块,用于根据策略配置对操作系统进行补丁更新,系统补丁更新监控模块的策略处理过程:
从服务器的网络软件仓库下载可用更新至客户端的本地软件仓库;
接收新策略,解析得到系统补丁的更新信息,获取单项更新内容及其受影响软件包;
根据策略的更新信息,从本地软件仓库安装更新。
如图5所示,作为优选的实施方式,客户端包括系统资源性能监控模块,用于实时记录计算机的资源性能信息,并对超过指定阈值的进程进行告警处理,系统资源性能监控模块的策略处理过程:接收策略并启动监控线程;当策略信息发生改变时,记录当前系统性能信息;判断当前系统性能信息是否超过策略的预设阈值,若已超过则进行告警处理,若未超过则继续监控。
如图6所示,作为对以上方案的优选实施,客户端运行产生的日志信息输出至日志中心,其日志处理过程包括:
启动日志上传线程;
接收日志消息,并将日志消息以固定格式组包写入日志文件;
等待预设时长,向服务器上传日志文件,判断是否上传成功;
若上传成功则删除本地文件,若上传失败则继续等待预设时长后重新上传。
作为优选的实施方式,客户端进一步的设置守护进程,当监控到主进程或子进程发生崩溃时,重启该崩溃的进程,并收集错误信息发送至日志模块进行处理。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (8)

1.主机审计系统的客户端策略处理方法,服务器通过通信模块向客户端的策略中心下发策略,其特征在于,客户端的策略中心对服务器策略的处理,包括:
启动策略检测线程;
接收并解析服务器总策略,将解析后的信息存入全局列表;
根据全局列表,循环对比新策略与原策略的信息,将信息发生变化的策略通知对应的功能模块;
客户端主进程调度各子进程分别加载不同功能模块并处理各模块消息。
2.根据权利要求1所述的策略处理方法,客户端包括IP/MAC绑定监控模块,其特征在于, IP/MAC绑定监控模块的策略处理过程:启动监控线程;接收新策略并记录IP与MAC地址;和原IP与MAC地址进行对比,若一致则继续监控策略的改变,若不一致则将IP与MAC地址修改回原配置。
3.根据权利要求1所述的策略处理方法,客户端包括账户监控模块,用于记录或禁止主机账户的修改,其特征在于,账户监控模块的策略处理过程:解析当前passwd文件并记录账户信息;接收新策略并发送到内核进行处理;内核将处理结果返回,解析新策略的passwd文件,并对比分析出账户变化信息,对账户匹配相应的策略。
4.根据权利要求1所述的策略处理方法,客户端包括开关机监控模块,用于记录主机的开关机行为、并禁止主机在非授权时段运行,其特征在于,开关机监控模块的策略处理过程:
主机启动后,每隔固定时长记录当前时间,将每个运行时段的第一个与最后一个当前时间分别作为开机时间与关机时间;
接收并解析新策略,获取新策略的授权时段;
判断所述开机时间与关机时间是否位于所述授权时段,根据判断结果执行相应的命令。
5.根据权利要求1所述的策略处理方法,客户端包括系统补丁更新模块,用于根据策略配置对操作系统进行补丁更新,其特征在于,系统补丁更新监控模块的策略处理过程:
从服务器的网络软件仓库下载可用更新至客户端的本地软件仓库;
接收新策略,解析得到系统补丁的更新信息,获取单项更新内容及其受影响软件包;
根据策略的更新信息,从本地软件仓库安装更新。
6.根据权利要求1所述的策略处理方法,客户端包括系统资源性能监控模块,用于实时记录计算机的资源性能信息,并对超过指定阈值的进程进行告警处理,其特征在于,系统资源性能监控模块的策略处理过程:接收策略并启动监控线程;当策略信息发生改变时,记录当前系统性能信息;判断当前系统性能信息是否超过策略的预设阈值,若已超过则进行告警处理,若未超过则继续监控。
7.根据权利要求1至6任一所述的策略处理方法,其特征在于,客户端运行产生的日志信息输出至日志中心,其日志处理过程包括:
启动日志上传线程;
接收日志消息,并将日志消息以固定格式组包写入日志文件;
等待预设时长,向服务器上传日志文件,判断是否上传成功;
若上传成功则删除本地文件,若上传失败则继续等待预设时长后重新上传。
8.根据权利要求7所述的策略处理方法,其特征在于,设置守护进程,当监控到主进程或子进程发生崩溃时,重启该崩溃的进程,并收集错误信息发送至日志模块进行处理。
CN201911209888.9A 2019-12-02 2019-12-02 主机审计系统的客户端策略处理方法 Pending CN111131170A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911209888.9A CN111131170A (zh) 2019-12-02 2019-12-02 主机审计系统的客户端策略处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911209888.9A CN111131170A (zh) 2019-12-02 2019-12-02 主机审计系统的客户端策略处理方法

Publications (1)

Publication Number Publication Date
CN111131170A true CN111131170A (zh) 2020-05-08

Family

ID=70497013

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911209888.9A Pending CN111131170A (zh) 2019-12-02 2019-12-02 主机审计系统的客户端策略处理方法

Country Status (1)

Country Link
CN (1) CN111131170A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112765602A (zh) * 2021-01-23 2021-05-07 珠海金智维信息科技有限公司 一种信息安全监管方法和装置
CN113037621A (zh) * 2021-03-12 2021-06-25 云知声智能科技股份有限公司 边缘网关、边缘网关动态策略服务实现方法、装置及系统
CN113553554A (zh) * 2021-07-12 2021-10-26 国网青海省电力公司信息通信公司 一种数据中台运维系统
CN114285744A (zh) * 2020-09-17 2022-04-05 北京金山云网络技术有限公司 配置信息的更新方法、装置、服务器及存储介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114285744A (zh) * 2020-09-17 2022-04-05 北京金山云网络技术有限公司 配置信息的更新方法、装置、服务器及存储介质
CN112765602A (zh) * 2021-01-23 2021-05-07 珠海金智维信息科技有限公司 一种信息安全监管方法和装置
CN113037621A (zh) * 2021-03-12 2021-06-25 云知声智能科技股份有限公司 边缘网关、边缘网关动态策略服务实现方法、装置及系统
CN113553554A (zh) * 2021-07-12 2021-10-26 国网青海省电力公司信息通信公司 一种数据中台运维系统

Similar Documents

Publication Publication Date Title
CN111131170A (zh) 主机审计系统的客户端策略处理方法
CN106326699B (zh) 一种基于文件访问控制和进程访问控制的服务器加固方法
RU2453917C1 (ru) Система и способ для оптимизации выполнения антивирусных задач в локальной сети
US7134141B2 (en) System and method for host and network based intrusion detection and response
US20160378994A1 (en) Systems and methods of risk based rules for application control
US20140201843A1 (en) Systems and methods for identifying and reporting application and file vulnerabilities
US11962611B2 (en) Cyber security system and method using intelligent agents
CN110493195B (zh) 一种网络准入控制方法及系统
US20090271504A1 (en) Techniques for agent configuration
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
EP2387746B1 (en) Methods and systems for securing and protecting repositories and directories
KR100788256B1 (ko) 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법
US20200404016A1 (en) Method to prevent root level access attack and measurable sla security and compliance platform
US20030208694A1 (en) Network security system and method
WO2014130472A1 (en) Systems and methods of risk based rules for application control
CN114003943A (zh) 一种用于机房托管管理的安全双控管理平台
CN110688653A (zh) 客户端的安全防护方法及装置、终端设备
CN113382010A (zh) 基于协同入侵检测的大规模网络安全防御系统
CN112600709A (zh) 一种针对局域网终端的管理系统及使用方法
CN111212077A (zh) 主机访问系统及方法
Jabbour et al. Policy-based enforcement of database security configuration through autonomic capabilities
CN114362980B (zh) 协议挂登录账号识别方法、装置、计算机设备和存储介质
Ghaleb et al. A framework architecture for agentless cloud endpoint security monitoring
KR20080099593A (ko) 802.1x 인증기반 통합로그 분석 기능을 제공하는통합로그분석시스템, 통합로그 서버, 및 방법
Ruha Cybersecurity of computer networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20200508