CN115118481A - 一种主机信息采集方法、装置、设备及介质 - Google Patents
一种主机信息采集方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115118481A CN115118481A CN202210711261.9A CN202210711261A CN115118481A CN 115118481 A CN115118481 A CN 115118481A CN 202210711261 A CN202210711261 A CN 202210711261A CN 115118481 A CN115118481 A CN 115118481A
- Authority
- CN
- China
- Prior art keywords
- target data
- target
- information
- host
- data information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000007405 data analysis Methods 0.000 claims abstract description 39
- 238000012544 monitoring process Methods 0.000 claims abstract description 11
- 238000013507 mapping Methods 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 17
- 230000006399 behavior Effects 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 claims description 5
- 238000007781 pre-processing Methods 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 description 21
- 238000007726 management method Methods 0.000 description 8
- 238000011161 development Methods 0.000 description 7
- 239000000243 solution Substances 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- VPGRYOFKCNULNK-ACXQXYJUSA-N Deoxycorticosterone acetate Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)COC(=O)C)[C@@]1(C)CC2 VPGRYOFKCNULNK-ACXQXYJUSA-N 0.000 description 4
- 230000009471 action Effects 0.000 description 4
- KXGVEGMKQFWNSR-UHFFFAOYSA-N deoxycholic acid Natural products C1CC2CC(O)CCC2(C)C2C1C1CCC(C(CCC(O)=O)C)C1(C)C(O)C2 KXGVEGMKQFWNSR-UHFFFAOYSA-N 0.000 description 4
- 230000003993 interaction Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013479 data entry Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种主机信息采集方法、装置、设备及介质,涉及信息技术领域。该方法包括:发送针对目标主机中待获取的目标数据信息构建的目标数据获取请求至硬件逻辑模块,以通过所述硬件逻辑模块解析所述目标数据获取请求并向所述目标主机发送与所述目标数据获取请求对应的中断信息;获取所述硬件逻辑模块通过所述中断信息从所述目标主机处获取到的所述目标数据信息,并将所述目标数据信息保存至直接存储器访问设备中;轮询所述直接存储器访问设备,读取所述目标数据信息并对所述目标数据信息进行数据分析,以完成对所述目标主机中的所述目标数据信息的采集与风险监测。通过上述技术方案,能够对主机的动态运行状态信息进行全面采集。
Description
技术领域
本发明涉及信息技术领域,特别涉及一种主机信息采集方法、装置、设备及介质。
背景技术
数据中心网络环境的复杂性、服务器网络产品程序巨大的代码量使得系统中的漏洞和后门都会成为黑客攻击的要点。目前网络攻击种类很多,常见的有攻击者可以利用主机系统内存管理功能、缓冲区溢出、指针计算和未初始化内存,将可信的应用程序变成攻击武器。通过一系列针对内存的未经验证的数据输入的软件和硬件漏洞相结合,攻击者破坏合法进程以禁用安全性、泄漏信息或以不常见的方式来执行应用程序功能。另一种常见的攻击策略是提升特权或控制具有高特权的合法进程。特权进程通常具有对内存的广泛访问权,可以修改系统安全配置、添加受信任的根证书、更改注册表设置,或在执行代码时破坏特定代码集的内存。从这里,攻击者可以劫持应用服务器、访问数据库或使用API(即Application Programming Interface,应用程序接口)连接到其他系统。
在DPU(即Data Processing Unit,专用数据处理器)产品中,面对上述网络攻击,用户可以在DPU上CPU模块,即ECPU(即Embedded Central Processing Unit,嵌入式中央处理单元)上实时采集主机(即Host)系统信息,包括但不限于进程信息、内存信息、网络连接、内核模块等动态信息,然后通过分析系统日志、采集信息、数据审计等方式进行攻击源的分析,一旦发现可疑行为并做出响应,比如断开连接、封掉用户账号、杀死进程、提交警报等信息。目前NVIDIA DOCA解决方案中提供监测主机内存信息的方案。NVIDIA提供一套DOCA的SDK与API接口,接口支持Host上内存内容导出到ECPU上。Host部署Sender软件,选择Host指定内存Page进行映射,后续ECPU上部署采集Receiver软件,采集Host上Export的内存Page,进一步交给后台数据分析平台进行安全性的检测。然而,在上述解决方案中,一方面需要在主机Host和ECPU上分别部署DOCA SDK开发软件作为客户端和服务端,以完成Host与ECPU间的数据交互,增加了主机Host上的软件开发复杂度以及部署复杂度;另一方面,Host上Sender存在当Host完全攻陷时被杀死的风险,从而导致信息泄露,造成更大的威胁;再者,仅整体的采集系统内存Page,缺少对系统内核其他状态信息,如当前proc/sys文件系统下内核实时进程、网络、文件状态信息的获取,造成采集信息单一导致的防护不全面的问题。综上,如何能够在DPU产品中的ECPU上对主机的动态运行状态信息进行全面采集并降低开发与部署的复杂度以识别主机上的攻击威胁的问题有待进一步解决。
发明内容
有鉴于此,本发明的目的在于提供一种主机信息采集方法、装置、设备及介质,能够在DPU产品中的ECPU上对主机的动态运行状态信息进行全面采集并降低开发与部署的复杂度以识别主机上的攻击威胁。其具体方案如下:
第一方面,本申请公开了一种主机信息采集方法,包括:
发送针对目标主机中待获取的目标数据信息构建的目标数据获取请求至硬件逻辑模块,以通过所述硬件逻辑模块解析所述目标数据获取请求并向所述目标主机发送与所述目标数据获取请求对应的中断信息;
获取所述硬件逻辑模块通过所述中断信息从所述目标主机处获取到的所述目标数据信息,并将所述目标数据信息保存至直接存储器访问设备中;
轮询所述直接存储器访问设备,读取所述目标数据信息并对所述目标数据信息进行数据分析,以完成对所述目标主机中的所述目标数据信息的采集与风险监测。
可选的,所述发送针对目标主机中目标数据信息构建的目标数据获取请求至硬件逻辑模块,包括:
根据针对目标主机中目标数据信息创建对应的消息身份识别号;
基于所述消息身份识别号与所述目标数据信息构建的目标数据获取请求并通过第一通知寄存器通知硬件逻辑模块,然后将所述目标数据获取请求发送至所述硬件逻辑模块。
可选的,所述发送针对目标主机中待获取的目标数据信息构建的目标数据获取请求至硬件逻辑模块,以通过所述硬件逻辑模块解析所述目标数据获取请求并向所述目标主机发送与所述目标数据获取请求对应的中断信息之后,还包括:
当所述目标主机获取到所述中断信息,则驱动对应程序查找所述目标数据信息对应的目标内存页,并根据所述目标内存页在输入输出内存管理单元中构建映射表;
将所述目标内存页在所述映射表中对应的地址信息与所述消息身份识别号添加至队列描述中,并通过第二通知寄存器通知所述硬件逻辑模块。
可选的,所述当所述目标主机获取到所述中断信息,则驱动对应程序查找所述目标数据信息对应的目标内存页,并根据所述目标内存页在输入输出内存管理单元中构建映射表,包括:
当所述目标主机获取到所述中断信息,则驱动对应程序查找所述目标数据信息,并将所述目标数据信息预处理编码后保存至对应的目标内存页中,然后根据所述目标内存页在输入输出内存管理单元中构建映射表。
可选的,所述获取所述硬件逻辑模块通过所述中断信息从所述目标主机处获取到的所述目标数据信息,并将所述目标数据信息保存至直接存储器访问设备中,包括:
当所述硬件逻辑模块获取到所述第二通知寄存器发送的通知后,则读取所述目标内存页中的所述目标数据信息并保存至所述直接存储器访问设备中。
可选的,所述轮询所述直接存储器访问设备,读取所述目标数据信息并对所述目标数据信息进行数据分析,包括:
通过预先部署的监控软件轮询所述直接存储器访问设备并读取所述目标数据信息并对所述目标数据信息;
将所述目标数据信息导入预先部署的数据分析平台,并通过所述数据分析平台对所述目标主机的安全状况进行分析。
可选的,所述轮询所述直接存储器访问设备,读取所述目标数据信息并对所述目标数据信息进行数据分析之后,还包括:
如果对所述目标数据信息进行数据分析并判断存在攻击行为,则对所述目标主机进行网络阻断并进行风险上报,以对所述目标数据信息进行进一步分析。
第二方面,本申请公开了一种主机信息采集装置,包括:
请求构建模块,用于发送针对目标主机中待获取的目标数据信息构建的目标数据获取请求至硬件逻辑模块,以通过所述硬件逻辑模块解析所述目标数据获取请求并向所述目标主机发送与所述目标数据获取请求对应的中断信息;
数据获取模块,用于获取所述硬件逻辑模块通过所述中断信息从所述目标主机处获取到的所述目标数据信息,并将所述目标数据信息保存至直接存储器访问设备中;
数据分析模块,用于轮询所述直接存储器访问设备,读取所述目标数据信息并对所述目标数据信息进行数据分析,以完成对所述目标主机中的所述目标数据信息的采集与风险监测。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的所述的主机信息采集方法的步骤。
第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的所述的主机信息采集方法的步骤。
本申请在进行主机信息采集时,先发送针对目标主机中待获取的目标数据信息构建的目标数据获取请求至硬件逻辑模块,以通过所述硬件逻辑模块解析所述目标数据获取请求并向所述目标主机发送与所述目标数据获取请求对应的中断信息,然后获取所述硬件逻辑模块通过所述中断信息从所述目标主机处获取到的所述目标数据信息,并将所述目标数据信息保存至直接存储器访问设备中,最后轮询所述直接存储器访问设备,读取所述目标数据信息并对所述目标数据信息进行数据分析,以完成对所述目标主机中的所述目标数据信息的采集与风险监测。可见,本申请在进行主机信息采集时,首先构建针对目标主机的待获取的目标数据信息对应的目标数据获取请求,并通过硬件逻辑模块将所述目标数据获取请求传递至对应的目标主机,目标主机将所述目标数据信息通过所述硬件逻辑模块进行传递,当获取到目标数据信息后,则对所述目标数据信息进行数据分析,以完成对所述目标主机的风险检测。由此,本申请在进行主机信息采集时,一方面在ECPU侧结合DPU驱动进行对目标主机中目标数据信息进行采集,主机与DPU各司其职使得在前期部署复杂度较低,同时降低了主机CPU的使用率并提升了主机信息采集的性能;另一方面,用户在ECPU侧根据想要进行监测的虚拟机、容器、进程、文件系统以及系统内存等信息直接发起对应的目标数据获取请求,并通过硬件逻辑模块进行目标数据信息的获取,使得可进行采集的系统信息更加全面,从而达到全方位的主机信息采集。综上,本申请能够在DPU产品中的ECPU上对主机的动态运行状态信息进行全面采集并降低开发与部署的复杂度以识别主机上的攻击威胁。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种主机信息采集方法流程图;
图2为本申请提供的一种具体的主机信息采集方法流程图;
图3为本申请提供的一种主机信息采集装置结构示意图;
图4为本申请提供的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在现有技术中,一方面需要在主机Host和ECPU上分别部署DOCA SDK开发软件作为客户端和服务端,以完成Host与ECPU间的数据交互,增加了主机Host上的软件开发复杂度以及部署复杂度;另一方面,Host上Sender存在当Host完全攻陷时被杀死的风险,从而导致信息泄露,造成更大的威胁;再者,仅整体的采集系统内存Page,缺少对系统内核其他状态信息,如当前proc/sys文件系统下内核实时进程、网络、文件状态信息的获取,造成采集信息单一导致的防护不全面的问题。为此,本申请提供了一种主机信息采集方法能够在DPU产品中的ECPU上对主机的动态运行状态信息进行全面采集并降低开发与部署的复杂度以识别主机上的攻击威胁。
本发明实施例公开了一种主机信息采集方法,参见图1所示,该方法包括:
步骤S11:发送针对目标主机中待获取的目标数据信息构建的目标数据获取请求至硬件逻辑模块,以通过所述硬件逻辑模块解析所述目标数据获取请求并向所述目标主机发送与所述目标数据获取请求对应的中断信息。
在本实施例中,用户在ECPU侧根据想要进行监测的所述目标主机中的待获取的目标数据信息构建对应的目标数据获取请求。其中,所述目标数据信息包括但不限于所述目标主机上部署的进程名、系统当前整体网络连接表项、文件系统以及进程树。进一步的,将构建好的所述目标数据获取请求通过所述硬件逻辑模块解析所述目标数据获取请求并向所述目标主机发送与所述目标数据获取请求对应的中断信息。需要指出的是,在进行主机信息采集之前,需在ECPU侧部署对应的用户监控软件以及数据分析平台。通过上述技术方案,用户针对目标主机中的想要进行监测的目标数据信息进行目标数据获取请求的构建,并通过硬件逻辑模块将所述目标数据获取请求传递至所述目标主机,使得可进行采集的系统信息更加全面,从而达到全方位的主机信息采集。
步骤S12:获取所述硬件逻辑模块通过所述中断信息从所述目标主机处获取到的所述目标数据信息,并将所述目标数据信息保存至直接存储器访问设备中。
在本实施例中,硬件逻辑模块将所述目标数据获取请求对应的中断信息发送至所述目标主机,目标主机获取到对应的终端信息后则立即驱动对应的程序在所述目标主机的内核中查找对应的目标数据信息,当所述目标主机查找到所述目标数据信息后,则将所述目标数据信息传递给所述硬件逻辑模块,再进一步由所述硬件逻辑模块将所述目标数据信息传递至ECPU处,使得ECPU获取到目标数据信息。需要指出的是,在进行主机信息采集之前,需在主机测部署对应的业务应用程序。通过上述技术方案,硬件逻辑模块作为数据通道,进行主机与ECPU之间的数据交互,以便于后续ECPU获取到目标数据信息后对目标主机进行风险检测。
步骤S13:轮询所述直接存储器访问设备,读取所述目标数据信息并对所述目标数据信息进行数据分析,以完成对所述目标主机中的所述目标数据信息的采集与风险监测。
在本实施例中,ECPU上的监控软件轮询所述直接存储器访问设备,读取对应的目标数据信息并对所述目标数据信息,以便于进一步将所述目标数据信息导入至预先部署的数据分析平台中对所述目标主机的安全状况进行监测。通过上述技术方案,在DPU产品中,ECPU上对主机的动态运行状态进行采集,包含某进程代码段、数据段内容以及整体系统网络连接、进程信息、文件系统等信息。从而识别主机上的攻击威胁,包含代码注入、栈溢出的内存攻击以及劫持服务器进程提权,充当跳板访问系统中其他网络资源。此种方案符合DPU智能网卡产品的特点,将网络安全应用移动到ECPU上,降低主机上软件复杂度,从而降低主机CPU负载以及部署复杂度,以及应用软件本身被攻击的风险。将主机上采集器与DPU驱动合二为一,无需额外部署其他软件。
可见,本申请在进行主机信息采集时,首先构建针对目标主机的待获取的目标数据信息对应的目标数据获取请求,并通过硬件逻辑模块将所述目标数据获取请求传递至对应的目标主机,目标主机将所述目标数据信息通过所述硬件逻辑模块进行传递,当获取到目标数据信息后,则对所述目标数据信息进行数据分析,以完成对所述目标主机的风险检测。由此,本申请在进行主机信息采集时,一方面在ECPU侧结合DPU驱动进行对目标主机中目标数据信息进行采集,主机与DPU各司其职使得在前期部署复杂度较低,同时降低了主机CPU的使用率并提升了主机信息采集的性能;另一方面,用户在ECPU侧根据想要进行监测的虚拟机、容器、进程、文件系统以及系统内存等信息直接发起对应的目标数据获取请求,并通过硬件逻辑模块进行目标数据信息的获取,使得可进行采集的系统信息更加全面,从而达到全方位的主机信息采集。综上,本申请能够在DPU产品中的ECPU上对主机的动态运行状态信息进行全面采集并降低开发与部署的复杂度以识别主机上的攻击威胁。
参见图2所示,本发明实施例公开了一种具体的主机信息采集方法,相对于上一实施例,本实施例对技术方案作了进一步说明和优化。
步骤S21:发送针对目标主机中待获取的目标数据信息构建的目标数据获取请求至硬件逻辑模块,以通过所述硬件逻辑模块解析所述目标数据获取请求并向所述目标主机发送与所述目标数据获取请求对应的中断信息。
在本实施例中,所述发送针对目标主机中待获取的目标数据信息构建的目标数据获取请求至硬件逻辑模块,包括:根据针对目标主机中目标数据信息创建对应的消息身份识别号;基于所述消息身份识别号与所述目标数据信息构建的目标数据获取请求并通过第一通知寄存器通知硬件逻辑模块,然后将所述目标数据获取请求发送至所述硬件逻辑模块。通过上述技术方案,以便于通过所述硬件逻辑模块解析所述目标数据获取请求并向所述目标主机发送与所述目标数据获取请求对应的中断信息。
步骤S22:获取所述硬件逻辑模块通过所述中断信息从所述目标主机处获取到的所述目标数据信息,并将所述目标数据信息保存至直接存储器访问设备中。
在本实施例中,通过所述硬件逻辑模块解析所述目标数据获取请求并向所述目标主机发送与所述目标数据获取请求对应的中断信息之后,还包括:当所述目标主机获取到所述中断信息,则驱动对应程序查找所述目标数据信息对应的目标内存页,并根据所述目标内存页在输入输出内存管理单元中构建映射表;将所述目标内存页在所述映射表中对应的地址信息与所述消息身份识别号添加至队列描述中,并通过第二通知寄存器通知所述硬件逻辑模块。在一种具体实施方式中,当所述目标主机获取到所述中断信息,则驱动对应程序查找所述目标数据信息,并将所述目标数据信息预处理编码后保存至对应的目标内存页中,然后根据所述目标内存页在输入输出内存管理单元中构建映射表。具体地,所述地址信息包括但不限于目标内存页的总线与偏移地址。
在本实施例中,所述获取所述硬件逻辑模块通过所述中断信息从所述目标主机处获取到的所述目标数据信息,并将所述目标数据信息保存至直接存储器访问设备中,具体包括:当所述硬件逻辑模块获取到所述第二通知寄存器发送的通知后,则读取所述目标内存页中的所述目标数据信息并保存至所述直接存储器访问设备中。
步骤S23:轮询所述直接存储器访问设备,读取所述目标数据信息并对所述目标数据信息进行数据分析,以完成对所述目标主机中的所述目标数据信息的采集与风险监测。
具体地,通过预先部署的监控软件轮询所述直接存储器访问设备并读取所述目标数据信息并对所述目标数据信息;将所述目标数据信息导入预先部署的数据分析平台,并通过所述数据分析平台对所述目标主机的安全状况进行分析。
步骤S24:如果对所述目标数据信息进行数据分析并判断存在攻击行为,则对所述目标主机进行网络阻断并进行风险上报,以对所述目标数据信息进行进一步分析。
在本实施例中,当ECPU侧的预先部署的数据分析平台对所述目标数据信息进行数据分析后,判断存在攻击行为,则对所述目标主机进行网络阻断并进行风险上报由安全人员进一步分析。通过上述技术方案,只需在主机侧正常安装网卡驱动即可,提高部署在各类型操作系统上的友好性,降低了软件开发复杂度。主机上仅需要查找到想要的系统信息、内存页,后续针对于不同数据分析平台的预处理、发送均在DPU处理。极大节省了主机因安全分析所造成的性能消耗。同时主机侧驱动开发将monitor和网络驱动合一,降低moitor复杂度,在monitor被攻击卸载时,断网从而更好的保证安全性。且从内核根源上进行多方位且全面的信息采集,包含进程的内存页内容、进程打开的相关文件、当前系统的进程树、当前网络连接、当前文件系统状态等信息,避免了在Linux不同的发行版上用户态查询工具的版本不同、工具有无导致的信息差异性。
可见,通过上述技术方案,当主机上采集器被攻击时卸载时,网络自然断开,达到异常熔断的效果。同时针对于系统信息的全方位分析,对风险可以做到更高精度,更细粒度的监控,对攻击事件进行分析。
参见图3所示本申请实施例公开了一种主机信息采集装置,包括:
请求构建模块11,用于发送针对目标主机中待获取的目标数据信息构建的目标数据获取请求至硬件逻辑模块,以通过所述硬件逻辑模块解析所述目标数据获取请求并向所述目标主机发送与所述目标数据获取请求对应的中断信息;
数据获取模块12,用于获取所述硬件逻辑模块通过所述中断信息从所述目标主机处获取到的所述目标数据信息,并将所述目标数据信息保存至直接存储器访问设备中;
数据分析模块13,用于轮询所述直接存储器访问设备,读取所述目标数据信息并对所述目标数据信息进行数据分析,以完成对所述目标主机中的所述目标数据信息的采集与风险监测。
可见,本申请在进行主机信息采集时,首先构建针对目标主机的待获取的目标数据信息对应的目标数据获取请求,并通过硬件逻辑模块将所述目标数据获取请求传递至对应的目标主机,目标主机将所述目标数据信息通过所述硬件逻辑模块进行传递,当获取到目标数据信息后,则对所述目标数据信息进行数据分析,以完成对所述目标主机的风险检测。由此,本申请在进行主机信息采集时,一方面在ECPU侧结合DPU驱动进行对目标主机中目标数据信息进行采集,主机与DPU各司其职使得在前期部署复杂度较低,同时降低了主机CPU的使用率并提升了主机信息采集的性能;另一方面,用户在ECPU侧根据想要进行监测的虚拟机、容器、进程、文件系统以及系统内存等信息直接发起对应的目标数据获取请求,并通过硬件逻辑模块进行目标数据信息的获取,使得可进行采集的系统信息更加全面,从而达到全方位的主机信息采集。综上,本申请能够在DPU产品中的ECPU上对主机的动态运行状态信息进行全面采集并降低开发与部署的复杂度以识别主机上的攻击威胁。
在一些具体实施例中,请求构建模块11,具体包括:
身份识别号创建单元,用于根据针对目标主机中目标数据信息创建对应的消息身份识别号;
请求发送单元,用于基于所述消息身份识别号与所述目标数据信息构建的目标数据获取请求并通过第一通知寄存器通知硬件逻辑模块,然后将所述目标数据获取请求发送至所述硬件逻辑模块。
在一些具体实施例中,主机信息采集装置,还包括:
映射表构建模块,用于当所述目标主机获取到所述中断信息,则驱动对应程序查找所述目标数据信息对应的目标内存页,并根据所述目标内存页在输入输出内存管理单元中构建映射表;
数据发送单元,用于将所述目标内存页在所述映射表中对应的地址信息与所述消息身份识别号添加至队列描述中,并通过第二通知寄存器通知所述硬件逻辑模块。
在一些具体实施例中,映射表构建模块,具体用于:当所述目标主机获取到所述中断信息,则驱动对应程序查找所述目标数据信息,并将所述目标数据信息预处理编码后保存至对应的目标内存页中,然后根据所述目标内存页在输入输出内存管理单元中构建映射表。
在一些具体实施例中,数据获取模块12,具体用于:当所述硬件逻辑模块获取到所述第二通知寄存器发送的通知后,则读取所述目标内存页中的所述目标数据信息并保存至所述直接存储器访问设备中。
在一些具体实施例中,数据分析模块13,具体包括:
数据读取单元,用于通过预先部署的监控软件轮询所述直接存储器访问设备并读取所述目标数据信息并对所述目标数据信息;
数据分析单元,用于将所述目标数据信息导入预先部署的数据分析平台,并通过所述数据分析平台对所述目标主机的安全状况进行分析。
在一些具体实施例中,主机信息采集装置,还包括:
风险上报模块,用于如果对所述目标数据信息进行数据分析并判断存在攻击行为,则对所述目标主机进行网络阻断并进行风险上报,以对所述目标数据信息进行进一步分析。
图4所示为本申请实施例提供的一种电子设备20。该电子设备20,具体还可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的主机信息采集方法中的相关步骤。另外,本实施例中的电子设备20具体可以为电子计算机。
本实施例中,电源23用于为电子设备20上的各硬件设备提供电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源储存的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作系统221,计算机程序222等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的主机信息采集方法的计算机程序外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的主机信息采集方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种主机信息采集方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种主机信息采集方法,其特征在于,包括:
发送针对目标主机中待获取的目标数据信息构建的目标数据获取请求至硬件逻辑模块,以通过所述硬件逻辑模块解析所述目标数据获取请求并向所述目标主机发送与所述目标数据获取请求对应的中断信息;
获取所述硬件逻辑模块通过所述中断信息从所述目标主机处获取到的所述目标数据信息,并将所述目标数据信息保存至直接存储器访问设备中;
轮询所述直接存储器访问设备,读取所述目标数据信息并对所述目标数据信息进行数据分析,以完成对所述目标主机中的所述目标数据信息的采集与风险监测。
2.根据权利要求1所述的主机信息采集方法,其特征在于,所述发送针对目标主机中目标数据信息构建的目标数据获取请求至硬件逻辑模块,包括:
根据针对目标主机中目标数据信息创建对应的消息身份识别号;
基于所述消息身份识别号与所述目标数据信息构建的目标数据获取请求并通过第一通知寄存器通知硬件逻辑模块,然后将所述目标数据获取请求发送至所述硬件逻辑模块。
3.根据权利要求2所述的主机信息采集方法,其特征在于,所述发送针对目标主机中待获取的目标数据信息构建的目标数据获取请求至硬件逻辑模块,以通过所述硬件逻辑模块解析所述目标数据获取请求并向所述目标主机发送与所述目标数据获取请求对应的中断信息之后,还包括:
当所述目标主机获取到所述中断信息,则驱动对应程序查找所述目标数据信息对应的目标内存页,并根据所述目标内存页在输入输出内存管理单元中构建映射表;
将所述目标内存页在所述映射表中对应的地址信息与所述消息身份识别号添加至队列描述中,并通过第二通知寄存器通知所述硬件逻辑模块。
4.根据权利要求3所述的主机信息采集方法,其特征在于,所述当所述目标主机获取到所述中断信息,则驱动对应程序查找所述目标数据信息对应的目标内存页,并根据所述目标内存页在输入输出内存管理单元中构建映射表,包括:
当所述目标主机获取到所述中断信息,则驱动对应程序查找所述目标数据信息,并将所述目标数据信息预处理编码后保存至对应的目标内存页中,然后根据所述目标内存页在输入输出内存管理单元中构建映射表。
5.根据权利要求3所述的主机信息采集方法,其特征在于,所述获取所述硬件逻辑模块通过所述中断信息从所述目标主机处获取到的所述目标数据信息,并将所述目标数据信息保存至直接存储器访问设备中,包括:
当所述硬件逻辑模块获取到所述第二通知寄存器发送的通知后,则读取所述目标内存页中的所述目标数据信息并保存至所述直接存储器访问设备中。
6.根据权利要求1所述的主机信息采集方法,其特征在于,所述轮询所述直接存储器访问设备,读取所述目标数据信息并对所述目标数据信息进行数据分析,包括:
通过预先部署的监控软件轮询所述直接存储器访问设备并读取所述目标数据信息并对所述目标数据信息;
将所述目标数据信息导入预先部署的数据分析平台,并通过所述数据分析平台对所述目标主机的安全状况进行分析。
7.根据权利要求1至6中任一项所述的主机信息采集方法,其特征在于,所述轮询所述直接存储器访问设备,读取所述目标数据信息并对所述目标数据信息进行数据分析之后,还包括:
如果对所述目标数据信息进行数据分析并判断存在攻击行为,则对所述目标主机进行网络阻断并进行风险上报,以对所述目标数据信息进行进一步分析。
8.一种主机信息采集装置,其特征在于,包括:
请求构建模块,用于发送针对目标主机中待获取的目标数据信息构建的目标数据获取请求至硬件逻辑模块,以通过所述硬件逻辑模块解析所述目标数据获取请求并向所述目标主机发送与所述目标数据获取请求对应的中断信息;
数据获取模块,用于获取所述硬件逻辑模块通过所述中断信息从所述目标主机处获取到的所述目标数据信息,并将所述目标数据信息保存至直接存储器访问设备中;
数据分析模块,用于轮询所述直接存储器访问设备,读取所述目标数据信息并对所述目标数据信息进行数据分析,以完成对所述目标主机中的所述目标数据信息的采集与风险监测。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的主机信息采集方法的步骤。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的主机信息采集方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210711261.9A CN115118481B (zh) | 2022-06-22 | 2022-06-22 | 一种主机信息采集方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210711261.9A CN115118481B (zh) | 2022-06-22 | 2022-06-22 | 一种主机信息采集方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115118481A true CN115118481A (zh) | 2022-09-27 |
| CN115118481B CN115118481B (zh) | 2023-11-21 |
Family
ID=83327756
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210711261.9A Active CN115118481B (zh) | 2022-06-22 | 2022-06-22 | 一种主机信息采集方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115118481B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1185572A (ja) * | 1997-09-01 | 1999-03-30 | Nec Corp | リモート保守情報採取方式 |
| JP2003347930A (ja) * | 2002-05-28 | 2003-12-05 | Konica Minolta Holdings Inc | プログラマブル論理回路及びコンピュータシステム並びにキャッシュ方法 |
| CN102480749A (zh) * | 2010-11-25 | 2012-05-30 | 中国移动通信集团浙江有限公司 | 一种远程采集主机进程信息的方法、装置和系统 |
| CN104504837A (zh) * | 2015-01-09 | 2015-04-08 | 广州市泰昌实业有限公司 | 电气火灾报警系统数据信息采集方法及采集器 |
| CN109687586A (zh) * | 2018-12-28 | 2019-04-26 | 广东电网有限责任公司 | 一种电力监控主机安全检查系统 |
| CN109800179A (zh) * | 2019-01-31 | 2019-05-24 | 维沃移动通信有限公司 | 获取数据的方法、发送数据的方法、主机和内嵌式存储器 |
| US20190180800A1 (en) * | 2017-12-13 | 2019-06-13 | Toshiba Memory Corporation | Memory system and memory device |
| CN111597065A (zh) * | 2020-05-12 | 2020-08-28 | 京东数字科技控股有限公司 | 用于采集设备信息的方法和装置 |
| CN114090408A (zh) * | 2021-11-29 | 2022-02-25 | 平安壹账通云科技(深圳)有限公司 | 数据监控分析方法、装置、计算机设备和存储介质 |
| CN114253798A (zh) * | 2021-11-29 | 2022-03-29 | 王建冬 | 指标数据采集方法和装置、电子设备、存储介质 |
-
2022
- 2022-06-22 CN CN202210711261.9A patent/CN115118481B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1185572A (ja) * | 1997-09-01 | 1999-03-30 | Nec Corp | リモート保守情報採取方式 |
| JP2003347930A (ja) * | 2002-05-28 | 2003-12-05 | Konica Minolta Holdings Inc | プログラマブル論理回路及びコンピュータシステム並びにキャッシュ方法 |
| CN102480749A (zh) * | 2010-11-25 | 2012-05-30 | 中国移动通信集团浙江有限公司 | 一种远程采集主机进程信息的方法、装置和系统 |
| CN104504837A (zh) * | 2015-01-09 | 2015-04-08 | 广州市泰昌实业有限公司 | 电气火灾报警系统数据信息采集方法及采集器 |
| US20190180800A1 (en) * | 2017-12-13 | 2019-06-13 | Toshiba Memory Corporation | Memory system and memory device |
| CN109687586A (zh) * | 2018-12-28 | 2019-04-26 | 广东电网有限责任公司 | 一种电力监控主机安全检查系统 |
| CN109800179A (zh) * | 2019-01-31 | 2019-05-24 | 维沃移动通信有限公司 | 获取数据的方法、发送数据的方法、主机和内嵌式存储器 |
| CN111597065A (zh) * | 2020-05-12 | 2020-08-28 | 京东数字科技控股有限公司 | 用于采集设备信息的方法和装置 |
| CN114090408A (zh) * | 2021-11-29 | 2022-02-25 | 平安壹账通云科技(深圳)有限公司 | 数据监控分析方法、装置、计算机设备和存储介质 |
| CN114253798A (zh) * | 2021-11-29 | 2022-03-29 | 王建冬 | 指标数据采集方法和装置、电子设备、存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115118481B (zh) | 2023-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10893068B1 (en) | Ransomware file modification prevention technique | |
| CN109688097B (zh) | 网站防护方法、网站防护装置、网站防护设备及存储介质 | |
| US20240054234A1 (en) | Methods and systems for hardware and firmware security monitoring | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN105580022A (zh) | 使用声誉指示符来促进恶意软件扫描的系统和方法 | |
| CN112685682B (zh) | 一种攻击事件的封禁对象识别方法、装置、设备及介质 | |
| CN103500305A (zh) | 一种基于云计算的恶意代码分析系统和方法 | |
| WO2015009296A1 (en) | Event management system | |
| US9690598B2 (en) | Remotely establishing device platform integrity | |
| EP2946327A1 (en) | Systems and methods for identifying and reporting application and file vulnerabilities | |
| CN111131221B (zh) | 接口校验的装置、方法及存储介质 | |
| CN113497786B (zh) | 一种取证溯源方法、装置以及存储介质 | |
| KR100788256B1 (ko) | 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법 | |
| CN105378745A (zh) | 基于安全问题禁用和启用节点 | |
| CN110688653A (zh) | 客户端的安全防护方法及装置、终端设备 | |
| CN110505246B (zh) | 客户端网络通讯检测方法、装置及存储介质 | |
| CN116305155A (zh) | 一种程序安全检测防护方法、装置、介质及电子设备 | |
| CN108494749B (zh) | Ip地址禁用的方法、装置、设备及计算机可读存储介质 | |
| CN113672912A (zh) | 基于计算机硬件指征和行为分析的网络安全监控系统 | |
| CN112650180A (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| CN109495436B (zh) | 一种可信云平台度量系统及方法 | |
| CN115118481B (zh) | 一种主机信息采集方法、装置、设备及介质 | |
| CN115242608A (zh) | 告警信息的生成方法、装置、设备及存储介质 | |
| WO2014209889A1 (en) | System and method for antivirus protection | |
| CN111510431B (zh) | 一种泛终端准入管控平台、客户端及管控方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |