CN114866254B - 一种bmc安全防护方法、设备及可读存储介质 - Google Patents
一种bmc安全防护方法、设备及可读存储介质 Download PDFInfo
- Publication number
- CN114866254B CN114866254B CN202210462107.2A CN202210462107A CN114866254B CN 114866254 B CN114866254 B CN 114866254B CN 202210462107 A CN202210462107 A CN 202210462107A CN 114866254 B CN114866254 B CN 114866254B
- Authority
- CN
- China
- Prior art keywords
- bmc
- network data
- data
- ipmi
- content part
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000004931 aggregating effect Effects 0.000 claims abstract description 18
- 230000004044 response Effects 0.000 claims description 32
- 230000006399 behavior Effects 0.000 claims description 26
- 238000004364 calculation method Methods 0.000 claims description 19
- 238000004891 communication Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 5
- 238000013473 artificial intelligence Methods 0.000 claims description 4
- 238000012549 training Methods 0.000 claims description 4
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 108010028984 3-isopropylmalate dehydratase Proteins 0.000 claims 15
- 230000000694 effects Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出一种BMC安全防护方法,包括:获取所有访问BMC的网络数据,并按照预定方式对所述网络数据进行聚合;分析聚合后的所述网络数据在BMC中的行为,并对所述行为进行风险等级评估;根据所述行为的风险等级,限制其对应的所述网络数据的IP访问BMC。通过本发明提供的一种BMC安全防护方法,可以对网络攻击进行主动防御,及时识别并屏蔽攻击,为用户发送安全报告,将用户一同纳入主动防御的系统中。
Description
技术领域
本发明属于计算机领域,具体涉及一种BMC安全防护方法、设备及可读存储介质。
背景技术
服务器是数字产业的基础设施,是网络系统计算平台的核心。BMC作为是服务器的基板管理控制器,BMC的安全关乎服务器的安全。BMC有很多措施保障安全,包括权限系统、加密传输技术、防火墙等等。不只BMC其他领域也有很多安全技术,这其中就有很多人都比较熟悉的防火墙技术以及市面上常见的各种系统杀毒软件。本专利提出的智能攻击系统,是一种基于IP访问控制的BMC防火墙系统,系统引入神经网络技术,同时将用户纳入系统,作为安全管理的一部分。对攻击行为和不安全操作进行主动识别主动防御,同时督促管理员进行安全管理。
发明内容
为解决以上问题,本发明提出一种BMC安全防护方法,包括:
获取所有访问BMC的网络数据,并按照预定方式对所述网络数据进行聚合;
分析聚合后的所述网络数据在BMC中的行为,并对所述行为进行风险等级评估;
根据所述行为的风险等级,限制其对应的所述网络数据的IP访问BMC。
在本发明的一些实施方式中,按照预定方式对所述网络数据进行聚合包括:
按照所述网络数据访问所述BMC的时间和/或访问所述BMC的IP进行聚合。
在本发明的一些实施方式中,分析聚合后的所述网络数据在BMC中的行为,并对所述行为进行风险等级评估包括:
提取聚合后的每一个网络数据的内容部分,并识别所述内容部分是否为IPMI指令;
响应于所述内容部分为IPMI指令,则获取所述IPMI指令对应的风险等级评分;
计算聚合后的所述网络数据中所有IPMI指令对应的风险等级的评分总和。
在本发明的一些实施方式中,并识别所述内容部分是否为IPMI指令包括:
对所有IPMI指令进行哈希计算以得到所述所有IPMI指令的哈希值,并将所述哈希值保存到BMC上;
对所述内容部分进行哈希计算并得到哈希值,并判断所述哈希值是否与保存在所述BMC上IPMI指令的哈希值相同;
响应于所述哈希值与所述BMC上IPMI指令的哈希值相同,则将所述哈希值所对应的内容部分认定为IPMI指令。
在本发明的一些实施方式中,方法还包括:
为所述BMC上的所有IPMI指令进行编号,并通过所述编号代替所述聚合后的网络数据生成摘要数据;
将所述摘要数据发送到同一局域网内的预定分组的其他BMC上,并在预定时间后向所述BMC发送状态信号;
响应于在所述预定时间内未收到所述BMC发送的所述状态信号,所述预定分组内的其他BMC则根据摘要数据中的IP,禁止所述IP的网络通信并将所述IP发送到对应的管理系统。
在本发明的一些实施方式中,方法还包括:
响应于所述内容部分识别为非IPMI命令,将所述内容部分进行哈希计算,并将所述哈希计算结果代替所述内容部分对应的网络数据添加到所述摘要数据中。
在本发明的一些实施方式中,方法还包括:
响应于接收到摘要数据,所述预定分组内的其他BMC对其收到的网络数据内容部分进行识别;
响应于识别出所述内容部分为IPMI指令,则判断所述IPMI指令对应的编号是否存在于所述摘要数据中;以及
响应于识别出所述内容部分为非IPMI命令,则判断所述内容部分对应的哈希值是否存在于所述摘要数据中;
响应于所述预定分组内的BMC接收到的网络数据中存在所述摘要数据,则将所述摘要数据中对应的IP进行屏蔽,并同时将所述IP发送到所述预定分组内的其他BMC以及对应的管理系统上。
本发明的又一方面还提出一种计算机设备,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现上述实施方式中任意一项所述方法的步骤。
本发明的再一方面还提出一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述实施方式中任意一项所述方法的步骤。
通过本发明提供的一种BMC安全防护方法,可以对网络攻击进行主动防御,及时识别并屏蔽攻击,为用户发送安全报告,将用户一同纳入主动防御的系统中。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种BMC安全防护方法的方法流程图;
图2为本发明实施例提供的一种计算机设备的结构示意图;
图3为本发明实施例提供的一种计算机可读存储介质的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
如图1所示,本发明提出一种BMC安全防护方法,包括:
步骤S1、获取所有访问BMC的网络数据,并按照预定方式对所述网络数据进行聚合;
步骤S2、分析聚合后的所述网络数据在BMC中的行为,并对所述行为进行风险等级评估;
步骤S3、根据所述行为的风险等级,限制其对应的所述网络数据的IP访问BMC。
在本发明的实施例中,访问BMC的网络数据可视为两类,一类是已知目的的访问,也即是工作人员借助BMC实现对服务器的配置的操作指令,一般来说是安全的访问数据。还有一类是无法识别的网络数据,即来访问BMC的网络设备所发送的数据,这些数据是不可知不可预见的数据而且其安全性也是未知的,因此对于BMC的安全问题则需要从这两者上进行考虑。
另外,所谓正常访问BMC的数据主要包括以IPMI(Intelligent PlatformManagement Interface,智能平台管理接口)IPMI协议在实际应用中有一定的风险和一些缺点,主要是安全性和可用性:网络安全-IPMI通信协议会留下可以通过网络攻击的漏洞。常见的BMC所提供的IPMI控制的形式有两种:一种是由Web网页的实现,另外一种是通过IPMI服务程序绑定对应的网络端口实现,Web网页实现的IPMI控制本质是还是借助IPMI服务程序实现。
在本发明的实施例中,网络数据主要是指IPMI相关的网络数据,包括Web形式以及IPMI指令形式;以及非IPMI相关的网络数据,即除IPMI指令之外的所有数据。
在步骤S1中,监控BMC的网络接口,对BMC的网络接口的所有数据进行收集,可通过BMC上的嵌入式Linux的相关网络模块进行获取,并根据收集到的网络数据的相关性对网络数据进行聚合。在本实施例中,网络数据都以网络数据包的形式发送,需要根据网络数据的源地址和目的地址以及通信端口将网络数据进行聚合,即首先根据发送该网络数据包或网络数据的IP地址将对应的数据包分组到一起,进一步同一IP地址的数据根据其访问的端口再进行分类。同时将IPMI服务程序的端口和Web网页端口的数据划分为同一类。最后将分类后的数据打包聚合。
在步骤S2中、分析聚合后的所述网络数据在BMC中的行为,将根据聚合后的网络数据的端口号,监控通过该端口通信的程序,在接收到该网络数据的行为,以IPMI指令数据为例,如果某个IP(代指网络中某台设备,因网络中所有的设备都是以IP进行标识,因此以IP代表设备)向BMC发起了相关的IPMI指令,即访问BMC的623端口,并发送对应的指令。本发明提供的方法需要监控该指令到IPMI服务程序后,IPMI服务程序相应的操作,例如,如果是重启指令,则会触发服务器重启,如果是关机指令,则会触发服务器关机。因此可通过监控IPMI服务程序的动作判定其接收到的数据的行为。对于非IPMI指令的网络数据的行为则通过网络数据目的端口(即BMC上的端口)所绑定的程序进行判断该网络数据在BMC上的行为,例如会不会将相应的程序在Linux内执行权限提升,会不会访问并修改内核关键文件或者是系统安全相关的文件。这些行为均需要监控的行为。根据这些网络数据访问的端口,监控哪些程序的进程或线程接收到了这些网络数据,并监控这些进程或线程在接收到网络数据之后的响应的动作以分析其行为。
进一步,根据网络数据在BMC系统上的行为进行评级,对于IPMI指令的网络数据则根据相应指令对服务运行状态的影响进行评级,对于非IPMI指令的网络数据,则可按照对BMC系统的安全运行进行评级,即可按照常见的或通用的相关病毒防护软件的评级方式对网络数据的行为进行评级。
在步骤S3中,根据上述风险等级对相应的网络数据的IP地址的访问进行限制,即如果分析到某个网络数据在发送到BMC上之后执行相应的提升某线程的执行权限的操作,则将该网络数据的风险等级评级为危险,则根据该网络数据中的源IP地址,将该源IP地址屏蔽,禁止该IP地址访问BMC的网络接口。
在本发明的一些实施方式中,按照预定方式对所述网络数据进行聚合包括:
按照所述网络数据访问所述BMC的时间和/或访问所述BMC的IP进行聚合。
在本实施例中,对网络数据的聚合还包括按照时间的方式,即将一定时间内的网络数据再进行分类,例如,将1分钟内收到的网络数据聚合成一组,进行后续分析。
在本发明的一些实施例中,所谓根据时间的方式聚合还包括根据对应的IP活跃时间,将在连续活跃时间内的相应的IP数据进行聚合,即如果某IP连续向BMC发送网络数据,且在预定时间内不停止,则将该IP的网络数据聚合到一起,例如,加入设定活跃时间为10秒,如果某个IP第一次方向BMC发送数据(也可能是端口扫描攻击)之后,在十秒内又继续向BMC发送数据,则将第二次接收到该IP数据之后,其活跃时间重置为10秒,即再等待10秒,如果在10秒内该IP还继续发送数据,则在接收到第三次数据之后再次将活跃时间设置为10秒,直到其不发送为止。假如在第三次后不再发送数据则将前三次的数据聚合。需要说明的是在对应的IP的活跃时间“模式”下,聚合的数据在时间上可能超过其他实施例中设置的1分钟等时间。
在本发明的一些实施方式中,分析聚合后的所述网络数据在BMC中的行为,并对所述行为进行风险等级评估包括:
提取聚合后的每一个网络数据的内容部分,并识别所述内容部分是否为IPMI指令;
响应于所述内容部分为IPMI指令,则获取所述IPMI指令对应的风险等级评分;
计算聚合后的所述网络数据中所有IPMI指令对应的风险等级的评分总和。
在本实施例中,对聚合后的网络数据进行解析,聚合的网络数据是指多个网络数据包,内容部分是指网络数据处理报文头部之外的数据内容部分,不同传输协议的内容部分在网络数据包中的位置可能不同。在本实施例中,首先,需要根据数据包所使用协议对网络数据进行区分,例如HTTP协议,如果某个网络数据包是HTTP协议格式的数据,则进一步分析其地址是否是BMC提供Web服务的地址,如果是则判断其body(HTTP写意思的内容部分在body标签中,当然不同的HTTP传输协议的格式也有区别,例如POST、PUT等)部分是否为IPMI指令,如果是IPMI指令,则根据该IPMI指令对服务器状态或BMC状态的影响进行评级,同时对每一个评级设定一定分值。
进一步,如果网络数据包是TCP协议的数据包,且访问的端口是IPMI服务程序的623端口,则将该数据包按照IPMI协议进行协议并判断其内容部分是否IPMI指令,如果是则判断该指令相对应的功能以及其执行对服务器状态的影响,并根据其对服务器状态的影响进行评级,并给予该评级对应的分值。
在本发明的一些实施例中,如果网络数据包并非是IPMI指令(不是访问Web和673端口的数据),则根据对应的网络数据包中的目的端口,找到绑定该端口的线程或进程,并监督该进程或线程在接收待该网络数据包之后的行为对BMC系统以及服务器状态的影响,同样根据影响大小进行评级,并根据评级设定相应的分值。
最后将整个聚合网络数据中所有数据包对应的评级的评分求和得到该网络数据包的总分,如果总分超过设定分值上限,则认为其是危险的,则将该聚合数据所有数据包所涉及的IP地址进行屏蔽。
在本发明的一些实施例中,聚合后的网络数据的对应的评分是以该聚合网络数据中网络数据包的个数求平均后的得分,由于聚合后的网络数据因聚合模式的不同分值不成线性,难以以确定的总分进行衡量,因此采用取平均分的方式衡量其风险得分。
在本发明的一些实施方式中,并识别所述内容部分是否为IPMI指令包括:
对所有IPMI指令进行哈希计算以得到所述所有IPMI指令的哈希值,并将所述哈希值保存到BMC上;
对所述内容部分进行哈希计算并得到哈希值,并判断所述哈希值是否与保存在所述BMC上IPMI指令的哈希值相同;
响应于所述哈希值与所述BMC上IPMI指令的哈希值相同,则将所述哈希值所对应的内容部分认定为IPMI指令。
在本实施例中,为便于安全获取网路数据的内容的信息进行分析,对于控制BMC的指令采用哈希值的方式进行判断,为保密或者是为了安全起见可使服务器的BMC提供商,将其服务器上的BMC所使用的相关IPMI指令设置为自定义的指令字符(指相同功能的指令,在不同的厂商的BMC上其表现形式不同),同时对所有的指令的字符进行哈希计算得到所有指令的哈希值并与对应的指令进行关联。
进一步在对聚合的网络数据中的网络数据包的内容部分进行分析时,可直接对内容部分进行哈希计算,得到计算后的哈希值,进一步将该哈希值与存储的BMC的所有IPMI指令的哈希值进行匹配,若存在相应的IPMII指令的哈希值与该内容部分计算得到的哈希值相同,则说明该网络数据包的内容部分是该匹配的IPMI指令。如果没有IPMI指令的哈希值与该内容部分的哈希值相同,则说明该内容部分不是IPMI指令。则直接将该网络数据归类为非IPMI服务程序的网络数据。无需进行其他判断条件,省去相应流程带来的漏洞风险,甚至在一些情况下可将对网络数据的内容部分进行哈希计算的过程以相应的安全隔离技术实现,防止哈希计算程序存在相应的未知漏洞的风险。
此外,对于哈希值与IPMI指令的哈希值不匹配的网络数据,则按照前述的方法对该网络数据所访问的端口对应的响应的线程或进程状态以及对BMC系统的状态的影响判断其风险等级。在本发明的一些实施方式中,方法还包括:
为所述BMC上的所有IPMI指令进行编号,并通过所述编号代替所述聚合后的网络数据生成摘要数据;
将所述摘要数据发送到同一局域网内的预定分组的其他BMC上,并在预定时间后向所述BMC发送状态信号;
响应于在所述预定时间内未收到所述BMC发送的所述状态信号,所述预定分组内的其他BMC则根据摘要数据中的IP,禁止所述IP的网络通信并将所述IP发送到对应的管理系统。
在本实施例中,对所有BMC上使用的IPMI指令进行编号,编号可以按顺序以数字进行编号,同时将聚合后的网络数据中是IPMI指令的网络数据包以其对应的IPMI指令的编号进行代替生成摘要数据,例如,对于服务器重启指令,假如其编号为1,则用1代替该网络数据包的数据。以此将聚合后的网络数据包以IPMI指令的编号的方式进行替代并生成摘要数据。摘要数据中则是相应的IPMI指令的编号。
进一步,将摘要数据发送到当前BMC(是指执行上述实施例所述方法的BMC,本实施例中关于多个BMC的互联防护机制的描述,当前BMC是指率先接收到相应网络数据的BMC,其他BMC可能还未接收到该数据。)所在的局域网内的其他服务器的BMC上,同时在一定时间内,当前BMC则再向局域网内的其他服务器的BMC发送自身状态的信号。如果其他BMC在一定时间内没有收到该BMC的状态信号,则认为当前BMC出现异常,且异常原因可能与当前BMC的最近接收到的网络数据有关,则其他BMC通过接收到的当前BMC的摘要数据,将摘要数据中涉及的IP进行屏蔽,并将该IP发送的服务器的BMC对应的管理平台的安全系统。
在本发明的一些实施例中,当前BMC向其他BMC发送状态信号的时间,根据摘要数据所对应的风险等级的评分有关,对于风险评分高的则相应的发送状态信号的时间则相应变短。
在本发明的一些实施方式中,方法还包括:
响应于所述内容部分识别为非IPMI命令,将所述内容部分进行哈希计算,并将所述哈希计算结果代替所述内容部分对应的网络数据添加到所述摘要数据中。
在本实施例中,当聚合后的网络数据中存在某些网络数据包并不是IPMI命令时,则将该网络数据包的内容部分或整个数据包进行哈希计算得到哈希值,并将以哈希值代作为该网络数据包对应的数据添加到摘要数据中。
在本发明的一些实施方式中,方法还包括:
响应于接收到摘要数据,所述预定分组内的其他BMC对其收到的网络数据内容部分进行识别;
响应于识别出所述内容部分为IPMI指令,则判断所述IPMI指令对应的编号是否存在于所述摘要数据中;以及
响应于识别出所述内容部分为非IPMI命令,则判断所述内容部分对应的哈希值是否存在于所述摘要数据中;
响应于所述预定分组内的BMC接收到的网络数据中存在所述摘要数据,则将所述摘要数据中对应的IP进行屏蔽,并同时将所述IP发送到所述预定分组内的其他BMC以及对应的管理系统上。
在本实施了中,当局域网内的其他BMC接收到某BMC发送的摘要数据后,则分析在之前以及后续一定时间内自身接收到的网络数据是否存摘要数据中包含的那些编号或者哈希值。如果在之前和后续的一段时间内接收到的网络数据(可能跨越多个聚合网络数据)中存在上述摘要数据包含的编号或哈希值,则将该摘要数据中涉及的IP进行屏蔽,同时将该IP发送到局域网内同一分组的其他BMC上,并告知其他BMC对该IP进行屏蔽,进一步将该IP上报到管理平台的安全系统,由安全系统对该IP的可靠性进行安全认证,如果认为是安全的则安全系统则向所有的BMC广播该IP是安全的不必屏蔽。
需要说明的是,BMC的预定分组或同一分组是指BMC能够访问到的其他BMC,可以是指所有的BMC,也可以是根据网段划分的分组。
在本发明的一些实施方式中,方法还包括:
根据所述摘要数据训练人工智能模型,并通过所述人工智能模型对BMC后续生成的新的摘要数据进行识别;
响应于所述人工智能模型输出的结果为安全,则将所述新的摘要数据中的IP的限定设置为开放;
响应于所述人工智能模型输出的结果为异常,则将所述新的摘要数据中的IP的限定设置为屏蔽。
在本发明的一些实施例中,将所有BMC上的摘要数据进行收集,并将摘要数据对BMC的状态的影响进行标记,根据标记后的摘要数据训练人工智能模型,并通过人工智能模型对接收到的摘要数据进行识别,并根据识别结果决定对摘要数据的IP进屏蔽还是开放。
在本发明的一些实施例中,将摘要数据中的哈希值和编号作为关键字,并对哈希值进行另外的编号,在训练时根据编号作为特征数据进行训练,即将获取的每个哈希值作为一个特征数据训练分类识别模型。
通过本发明提供的一种BMC安全防护方法,可以对网络攻击进行主动防御,及时识别并屏蔽攻击,为用户发送安全报告,将用户一同纳入主动防御的系统中。
如图2所示,本发明的又一方面还提出一种计算机设备,包括:
至少一个处理器21;以及
存储器22,所述存储器22存储有可在所述处理器21上运行的计算机指令23,所述指令23由所述处理器21执行时实现
一种BMC安全防护方法,包括:
获取所有访问BMC的网络数据,并按照预定方式对所述网络数据进行聚合;
分析聚合后的所述网络数据在BMC中的行为,并对所述行为进行风险等级评估;
根据所述行为的风险等级,限制其对应的所述网络数据的IP访问BMC。
在本发明的一些实施方式中,按照预定方式对所述网络数据进行聚合包括:
按照所述网络数据访问所述BMC的时间和/或访问所述BMC的IP进行聚合。
在本发明的一些实施方式中,分析聚合后的所述网络数据在BMC中的行为,并对所述行为进行风险等级评估包括:
提取聚合后的每一个网络数据的内容部分,并识别所述内容部分是否为IPMI指令;
响应于所述内容部分为IPMI指令,则获取所述IPMI指令对应的风险等级评分;
计算聚合后的所述网络数据中所有IPMI指令对应的风险等级的评分总和。
在本发明的一些实施方式中,并识别所述内容部分是否为IPMI指令包括:
对所有IPMI指令进行哈希计算以得到所述所有IPMI指令的哈希值,并将所述哈希值保存到BMC上;
对所述内容部分进行哈希计算并得到哈希值,并判断所述哈希值是否与保存在所述BMC上IPMI指令的哈希值相同;
响应于所述哈希值与所述BMC上IPMI指令的哈希值相同,则将所述哈希值所对应的内容部分认定为IPMI指令。
在本发明的一些实施方式中,方法还包括:
为所述BMC上的所有IPMI指令进行编号,并通过所述编号代替所述聚合后的网络数据生成摘要数据;
将所述摘要数据发送到同一局域网内的预定分组的其他BMC上,并在预定时间后向所述BMC发送状态信号;
响应于在所述预定时间内未收到所述BMC发送的所述状态信号,所述预定分组内的其他BMC则根据摘要数据中的IP,禁止所述IP的网络通信并将所述IP发送到对应的管理系统。
在本发明的一些实施方式中,方法还包括:
响应于所述内容部分识别为非IPMI命令,将所述内容部分进行哈希计算,并将所述哈希计算结果代替所述内容部分对应的网络数据添加到所述摘要数据中。
在本发明的一些实施方式中,方法还包括:
响应于接收到摘要数据,所述预定分组内的其他BMC对其收到的网络数据内容部分进行识别;
响应于识别出所述内容部分为IPMI指令,则判断所述IPMI指令对应的编号是否存在于所述摘要数据中;以及
响应于识别出所述内容部分为非IPMI命令,则判断所述内容部分对应的哈希值是否存在于所述摘要数据中;
响应于所述预定分组内的BMC接收到的网络数据中存在所述摘要数据,则将所述摘要数据中对应的IP进行屏蔽,并同时将所述IP发送到所述预定分组内的其他BMC以及对应的管理系统上。
如图3所示,本发明的再一方面还提出一种计算机可读存储介质401,所述计算机可读存储介质401存储有计算机程序402,所述计算机程序402被处理器执行时实现上述实施方式中任意一项所述方法的步骤。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上所述的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (9)
1.一种BMC安全防护方法,其特征在于,包括:
获取所有访问BMC的网络数据,并按照预定方式对所述网络数据进行聚合;
分析聚合后的所述网络数据在BMC中的行为,并对所述行为进行风险等级评估;
根据所述行为的风险等级,限制其对应的所述网络数据的IP访问BMC;
所述分析聚合后的所述网络数据在BMC中的行为,并对所述行为进行风险等级评估包括:
提取聚合后的每一个网络数据的内容部分,并识别所述内容部分是否为IPMI指令;
响应于所述内容部分为IPMI指令,则获取所述IPMI指令对应的风险等级评分;
计算聚合后的所述网络数据中所有IPMI指令对应的风险等级的评分总和。
2.根据权利要求1所述的方法,其特征在于,所述按照预定方式对所述网络数据进行聚合包括:
按照所述网络数据访问所述BMC的时间和/或访问所述BMC的IP进行聚合。
3.根据权利要求1所述的方法,其特征在于,所述识别所述内容部分是否为IPMI指令包括:
对所有IPMI指令进行哈希计算以得到所述所有IPMI指令的哈希值,并将所述哈希值保存到BMC上;
对所述内容部分进行哈希计算并得到哈希值,并判断所述哈希值是否与保存在所述BMC上IPMI指令的哈希值相同;
响应于所述哈希值与所述BMC上IPMI指令的哈希值相同,则将所述哈希值所对应的内容部分认定为IPMI指令。
4.根据权利要求1所述的方法,其特征在于,还包括:
为所述BMC上的所有IPMI指令进行编号,并通过所述编号代替所述聚合后的网络数据生成摘要数据;
将所述摘要数据发送到同一局域网内的预定分组的其他BMC上,并在预定时间后向所述其他BMC发送状态信号;
响应于在所述预定时间内未收到所述BMC发送的所述状态信号,所述预定分组内的其他BMC则根据摘要数据中的IP,禁止所述IP的网络通信并将所述IP发送到对应的管理系统。
5.根据权利要求4所述的方法,其特征在于,还包括:
响应于所述内容部分识别为非IPMI命令,将所述内容部分进行哈希计算,并将所述哈希计算结果代替所述内容部分对应的网络数据添加到所述摘要数据中。
6.根据权利要求5所述的方法,其特征在于,还包括:
响应于接收到摘要数据,所述预定分组内的其他BMC对其收到的网络数据内容部分进行识别;
响应于识别出所述内容部分为IPMI指令,则判断所述IPMI指令对应的编号是否存在于所述摘要数据中;以及
响应于识别出所述内容部分为非IPMI命令,则判断所述内容部分对应的哈希值是否存在于所述摘要数据中;
响应于所述预定分组内的其他BMC接收到的网络数据中存在所述摘要数据,则将所述摘要数据中对应的IP进行屏蔽,并同时将所述IP发送到所述预定分组内的其他BMC以及对应的管理系统上。
7.根据权利要求5所述的方法,其特征在于,还包括:
根据所述摘要数据训练人工智能模型,并通过所述人工智能模型对BMC后续生成的新的摘要数据进行识别;
响应于所述人工智能模型输出的结果为安全,则将所述新的摘要数据中的IP的限定设置为开放;
响应于所述人工智能模型输出的结果为异常,则将所述新的摘要数据中的IP的限定设置为屏蔽。
8. 一种计算机设备,其特征在于,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现权利要求1-7任意一项所述方法的步骤。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任意一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210462107.2A CN114866254B (zh) | 2022-04-28 | 2022-04-28 | 一种bmc安全防护方法、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210462107.2A CN114866254B (zh) | 2022-04-28 | 2022-04-28 | 一种bmc安全防护方法、设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114866254A CN114866254A (zh) | 2022-08-05 |
CN114866254B true CN114866254B (zh) | 2023-08-25 |
Family
ID=82634700
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210462107.2A Active CN114866254B (zh) | 2022-04-28 | 2022-04-28 | 一种bmc安全防护方法、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114866254B (zh) |
-
2022
- 2022-04-28 CN CN202210462107.2A patent/CN114866254B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN114866254A (zh) | 2022-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20160241574A1 (en) | Systems and methods for determining trustworthiness of the signaling and data exchange between network systems | |
RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
US10931635B2 (en) | Host behavior and network analytics based automotive secure gateway | |
Mukhopadhyay et al. | A comparative study of related technologies of intrusion detection & prevention systems | |
JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
US20230007032A1 (en) | Blockchain-based host security monitoring method and apparatus, medium and electronic device | |
CN113014571B (zh) | 一种访问请求处理的方法、装置及存储介质 | |
US20230119649A1 (en) | Intrusion detection and prevention system rule automation and optimization | |
US20190109824A1 (en) | Rule enforcement in a network | |
KR101768079B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
CN114666088A (zh) | 工业网络数据行为信息的侦测方法、装置、设备和介质 | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
KR101767591B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
CN114866254B (zh) | 一种bmc安全防护方法、设备及可读存储介质 | |
CN112671781A (zh) | 基于rasp的防火墙系统 | |
US20230018096A1 (en) | Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program | |
Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
CN113422776A (zh) | 一种面向信息网络安全的主动防御方法及系统 | |
Xue et al. | Research of worm intrusion detection algorithm based on statistical classification technology | |
Todd et al. | Alert verification evasion through server response forging | |
Cansian et al. | An attack signature model to computer security intrusion detection | |
TWI781448B (zh) | 資安防護系統、方法及電腦可讀媒介 | |
Li et al. | Research on Intrusion Detection Technology of Electric Control System Based on Machine Learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |