CN115834190B - 主机管控方法、装置、设备和存储介质 - Google Patents
主机管控方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN115834190B CN115834190B CN202211464751.XA CN202211464751A CN115834190B CN 115834190 B CN115834190 B CN 115834190B CN 202211464751 A CN202211464751 A CN 202211464751A CN 115834190 B CN115834190 B CN 115834190B
- Authority
- CN
- China
- Prior art keywords
- host
- white list
- information
- management
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 115
- 230000005540 biological transmission Effects 0.000 claims abstract description 66
- 238000004891 communication Methods 0.000 claims abstract description 46
- 230000002265 prevention Effects 0.000 claims abstract description 46
- 238000007726 management method Methods 0.000 claims description 175
- 238000013515 script Methods 0.000 claims description 96
- 230000000875 corresponding effect Effects 0.000 claims description 46
- 230000000903 blocking effect Effects 0.000 claims description 22
- 238000010801 machine learning Methods 0.000 claims description 15
- 238000007781 pre-processing Methods 0.000 claims description 11
- 230000001276 controlling effect Effects 0.000 claims description 9
- 230000002596 correlated effect Effects 0.000 claims description 8
- 230000004931 aggregating effect Effects 0.000 claims description 5
- 241000700605 Viruses Species 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 5
- 238000013528 artificial neural network Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000012535 impurity Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
Abstract
本申请提供一种主机管控方法、装置、设备和存储介质,涉及内网安全防护领域。管控服务器根据主机信息,生成对应种类的主机信息的白名单,白名单包括网络白名单、账号白名单、文件白名单和进程白名单,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息;通过安全外壳协议通道,将白名单发送给主机,以使主机根据白名单进行安全防控。通过白名单进行安全防控,即只有在白名单内的网络、账号、文件、进程等通信,才认为是安全的,可通过,除此以外的通信则进行监督或阻断,以在遇到新病毒等零日攻击时仍可进行有效的安全防护;通过安全外壳协议通道传输白名单,可防止白名单在传输过程中被攻击,及加快传输速度。
Description
技术领域
本申请涉及内网安全防护领域,尤其涉及一种主机管控方法、装置、设备和存储介质。
背景技术
随着互联网的飞速发展,数据量迅猛增长,这就要求计算设备具有快速处理大数据量的能力,其中,可快速处理大数据的计算设备的一种具体实现为服务器集群。服务器集群是指集中多个服务器共同执行同一种服务,在客户端看来就像是只有一个服务器。在服务器集群中,一个服务器作为管控服务器,其他服务器作为被管控的主机,管控服务器用于对主机进行管控。
相关技术中,管控服务器基于黑名单对主机进行管控。具体地,管控服务器将得到的黑名单发送给主机,由主机根据该黑名单进行安全防护,存在安全防护滞后的问题。
发明内容
本申请提供一种主机管控方法、装置、设备和存储介质,用以解决主机安全防护滞后的问题。
第一方面,本申请提供一种主机管控方法,可以应用于服务器集群中的管控服务器,管控服务器用于管控服务器集群中的主机,主机管控方法包括:获取主机的主机信息,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息;根据主机信息,生成对应种类的主机信息的白名单,白名单包括网络白名单、账号白名单、文件白名单和进程白名单;通过安全外壳协议通道,将白名单发送给主机,以使主机根据白名单进行安全防控。
一种可能的实施方式中,根据主机信息,生成对应种类的主机信息的白名单,包括:将主机信息输入至白名单生成模型进行机器学习,得到白名单生成模型输出的至少一种信息中每种信息对应的白名单。
一种可能的实施方式中,根据主机信息,生成对应种类的主机信息的白名单,包括:对主机信息进行预处理,预处理至少包括去除冗余数据、去除空数据和数据聚合中的至少一种;根据预处理后的主机信息,生成对应种类的主机信息的白名单。
一种可能的实施方式中,通过安全外壳协议通道,将白名单发送给主机,包括:确定不同白名单的发送权重;根据发送权重,确定白名单的发送优先级,其中,发送优先级与发送权重正相关;基于发送优先级,通过安全外壳协议通道,将白名单发送给主机。
一种可能的实施方式中,通过安全外壳协议通道,将白名单发送给主机,还包括:根据白名单生成策略脚本,策略脚本包括监督脚本和阻断脚本;通过安全外壳协议通道,将策略脚本配置给主机。
一种可能的实施方式中,获取主机的主机信息,包括:通过安全外壳协议通道,向主机发送信息采集命令,信息采集命令用于指示主机进行主机信息的采集;接收主机发送的主机信息。
第二方面,本申请提供一种主机管控方法,可以应用于服务器集群中的主机,服务器集群还包括管控服务器,管控服务器用于管控主机,主机管控方法包括:通过安全外壳协议通道,接收管控服务器发送的白名单,白名单是管控服务器根据主机的主机信息生成的,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息,白名单包括网络白名单、账号白名单、文件白名单和进程白名单;根据白名单进行安全防控。
一种可能的实施方式中,根据白名单进行安全防控,包括:根据主机的防火墙信息,确定主机是否允许全部通信流量通过;若主机允许全部通信流量通过,则采用白名单对应的监督脚本进行安全防护;若主机不允许全部通信流量通过,则采用白名单对应的阻断脚本进行安全防护。
一种可能的实施方式中,通过安全外壳协议通道,接收管控服务器发送的白名单,包括:通过安全外壳协议通道,接收管控服务器发送的策略脚本,策略脚本包括监督脚本和阻断脚本,策略脚本是根据白名单生成的。
一种可能的实施方式中,通过安全外壳协议通道,接收管控服务器发送的白名单之前,还包括:通过安全外壳协议通道,接收管控服务器发送的信息采集命令,信息采集命令用于指示主机进行主机信息的采集;采集主机信息,并向管控服务器发送主机信息。
一种可能的实施方式中,根据白名单进行安全防控,还包括:若白名单为网络白名单,则根据网络白名单形成的五元组信息进行安全防控;若白名单为账号白名单,则根据账号白名单的用户信息进行安全防控;若白名单为文件白名单,则根据文件白名单的敏感信息和/或目录信息进行安全防控;若白名单为进程白名单,则根据进程白名单的信息进行安全防控。
第三方面,本申请提供一种主机管控装置,可以应用于服务器集群中的管控服务器,管控服务器用于管控服务器集群中的主机,主机管控装置包括:
获取模块,用于获取主机的主机信息,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息;
处理模块,用于根据主机信息,生成对应种类的主机信息的白名单,白名单包括网络白名单、账号白名单、文件白名单和进程白名单;
发送模块,用于通过安全外壳协议通道,将白名单发送给主机,以使主机根据白名单进行安全防控。
一种可能的实施方式中,处理模块可以用于根据主机信息,生成对应种类的主机信息的白名单,具体包括:将主机信息输入至白名单生成模型进行机器学习,得到白名单生成模型输出的至少一种信息中每种信息对应的白名单。
一种可能的实施方式中,处理模块可以用于根据主机信息,生成对应种类的主机信息的白名单,还包括:对主机信息进行预处理,预处理至少包括去除冗余数据、去除空数据和数据聚合中的至少一种;根据预处理后的主机信息,生成对应种类的主机信息的白名单。
一种可能的实施方式中,发送模块可以用于通过安全外壳协议通道,将白名单发送给主机,包括:确定不同白名单的发送权重;根据发送权重,确定白名单的发送优先级,其中,发送优先级与发送权重正相关;基于发送优先级,通过安全外壳协议通道,将白名单发送给主机。
一种可能的实施方式中,发送模块可以用于通过安全外壳协议通道,将白名单发送给主机,还包括:根据白名单生成策略脚本,策略脚本包括监督脚本和阻断脚本;通过安全外壳协议通道,将策略脚本配置给主机。
一种可能的实施方式中,获取模块可以用于获取主机的主机信息,包括:通过安全外壳协议通道,向主机发送信息采集命令,信息采集命令用于指示主机进行主机信息的采集;接收主机发送的主机信息。
第四方面,本申请提供一种主机管控装置,可以应用于服务器集群中的主机,服务器集群还包括管控服务器,管控服务器用于管控主机,主机管控装置包括:
接收模块,用于通过安全外壳协议通道,接收管控服务器发送的白名单,白名单是管控服务器根据主机的主机信息生成的,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息,白名单包括网络白名单、账号白名单、文件白名单和进程白名单;
处理模块,用于根据白名单进行安全防控。
一种可能的实施方式中,处理模块可以用于根据白名单进行安全防控,具体包括:根据主机的防火墙信息,确定主机是否允许全部通信流量通过;若主机允许全部通信流量通过,则采用白名单对应的监督脚本进行安全防护;若主机不允许全部通信流量通过,则采用白名单对应的阻断脚本进行安全防护。
一种可能的实施方式中,接收模块可以用于通过安全外壳协议通道,接收管控服务器发送的白名单,包括:通过安全外壳协议通道,接收管控服务器发送的策略脚本,策略脚本包括监督脚本和阻断脚本,策略脚本是根据白名单生成的。
一种可能的实施方式中,接收模块可以在通过安全外壳协议通道,接收管控服务器发送的白名单之前,还包括:通过安全外壳协议通道,接收管控服务器发送的信息采集命令,信息采集命令用于指示主机进行主机信息的采集;采集主机信息,并向管控服务器发送主机信息。
一种可能的实施方式中,处理模块还可以用于根据白名单进行安全防控,具体包括:若白名单为网络白名单,则根据网络白名单形成的五元组信息进行安全防控;若白名单为账号白名单,则根据账号白名单的用户信息进行安全防控;若白名单为文件白名单,则根据文件白名单的敏感信息和/或目录信息进行安全防控;若白名单为进程白名单,则根据进程白名单的信息进行安全防控。
第五方面,本申请提供一种电子设备,包括:存储器和处理器。存储器用于存储程序指令;处理器用于调用存储器中的程序指令执行第一方面和/或第二方面的主机管控方法。
第六方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被执行时,实现第一方面和/或第二方面的主机管控方法。
第七方面,本申请提供一种服务器集群,包括:主机和管控服务器,其中:管控服务器用于执行第一方面的主机管控方法;主机用于执行第二方面的主机管控方法。
第八方面,本申请提供一种计算机程序产品,计算机程序产品包含计算机程序,计算机程序被处理器执行时用于实现第一方面和/或第二方面的主机管控方法。
本申请提供的主机管控方法、装置、设备和存储介质,通过获取主机的主机信息,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息;根据主机信息,生成对应种类的主机信息的白名单,白名单包括网络白名单、账号白名单、文件白名单和进程白名单;通过安全外壳协议通道,将白名单发送给主机,以使主机根据白名单进行安全防控。本申请通过管控服务器根据主机信息生成白名单,以使主机基于该白名单进行安全防控,即只有在白名单内的网络、账号、文件、进程等通信,才认为是安全的,可以直接通过,除此以外的通信则进行监督或阻断,以在遇到新病毒等零日(0day)攻击时仍可进行有效的安全防护;另外,通过安全外壳协议通道将白名单发送给主机,一方面可以防止白名单在传输过程中被攻击,另一方面,还可以加快传输的速度;主机根据白名单进行安全防控,无需安装其他软件或设备,实现了轻量部署,提升了安全性和快捷性,适用范围广。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1是本申请一实施例提供的主机管控方法的应用场景示意图;
图2是本申请一实施例提供的主机管控方法的流程示意图;
图3是本申请另一实施例提供的主机管控方法的流程示意图;
图4是本申请一实施例提供的主机管控装置的结构示意图;
图5是本申请另一实施例提供的主机管控装置的结构示意图;
图6是本申请一实施例提供的电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、产品或设备固有的其它步骤或单元。
内网安全防护:是指服务器集群内部的安全防护。其中,服务器集群包括多台服务器,其中一台服务器作为管控服务器,其他服务器作为被管控服务器管控的主机。
相关技术中,基于黑名单的主机管控方法是把在黑名单内的网络、账号、文件、进程等通信进行阻断,其他不在黑名单内的通信均可通过,该方法需要运行不断更新的防病毒软件,导致该方法对于防护总是滞后的,且该方法无法解决高级别的零日(0day)攻击。
针对上述问题,本申请提出一种主机管控方法,管控服务器根据主机信息生成白名单,以使主机基于该白名单进行安全防控,即只有在白名单内的网络、账号、文件、进程等通信,才认为是安全的,可以直接通过,除此以外的通信则进行监督或阻断,以在遇到新病毒等零日(0day)攻击时仍可进行有效的安全防护。
“白名单”与“黑名单“相对应,在白名单内的网络、账号、文件、进程规则默认可以直接通过,除此以外的规则直接阻断,提升安全性和快捷性。
图1为本申请一实施例提供的主机管控方法的应用场景示意图。如图1所示,该应用场景包括服务器集群,其中,服务器集群包括管控服务器和被管控服务器管控的主机。在实际应用中,管控服务器通过管控模块向主机发送采集脚本,其中,采集脚本包括信息采集命令、自适应学习命令等,主机的采集模块接收到采集脚本后,开始采集主机上的主机信息。主机信息采集结束后,发送给管控服务器,管控服务器可以对主机信息进行预处理,如数据清洗。管控服务器的算法分析模块使用算法模型(如,机器学习),学习经过数据处理后的主机信息,生成白名单,管控服务器可以把生成的白名单存入白名单库,方便后期使用。
进一步地,管控服务器可以给主机下发定期采集的命令,确保主机定期采集主机信息,进而达到更新白名单库的目的。
下面结合图1的应用场景,参考图2来描述根据本申请示例性实施方式的主机管控方法。需要注意的是,上述应用场景仅是为了便于理解本申请的精神和原理而示出,本申请的实施方式不受图1所示应用场景的限制。
图2为本申请一实施例提供的主机管控方法的流程示意图。本申请实施例提供一种主机管控方法,可以应用于服务器集群中的管控服务器,管控服务器用于管控服务器集群中的主机。如图2所示,该主机管控方法包括以下步骤:
S201:获取主机的主机信息,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息。
该步骤可以通过多种方式实现。示例地,一种实现方式中,管控服务器主动从主机获取主机信息,具体地,管控服务器可以通过安全外壳协议(Secure Shell,简称SSH)通道,向主机发送脚本(如,bash脚本),该脚本包括采集脚本,其中,采集脚本包括信息采集命令、自适应学习命令等。主机接收到信息采集命令后,开始采集并上报主机信息。即,该步骤可以包括:通过安全外壳协议通道,向主机发送信息采集命令,信息采集命令用于指示主机进行主机信息的采集;接收主机发送的主机信息。
另一种实现方式中,主机主动采集并上报主机信息给管控服务器。
S202:根据主机信息,生成对应种类的主机信息的白名单,白名单包括网络白名单、账号白名单、文件白名单和进程白名单。
对于该步骤,可以理解,根据不同类型的主机信息会生成不同的白名单,例如,根据网络信息生成网络白名单,根据账号信息生成账号白名单,等等。
由于不同的主机对应不同的主机信息,因此,管控服务器在获取主机信息之后,可以对不同主机的主机信息进行统计分类,进而根据不同类型的主机信息会生成适用于服务器集群中各主机的不同的白名单;或者,针对服务器集群中包含的各主机,以主机为粒度进行白名单的生成,得到针对各主机的不同的白名单。示例地,主机A对应的主机信息为a,则根据a生成针对主机A的白名单;主机B对应的主机信息为b,则根据b生成针对主机B的白名单,以此类推。
示例地,以下给出各种类型的白名单的具体内容:
网络白名单包括源互联网协议地址(Internet Protocol Address,简称IP)、目的IP、源端口、目的端口、协议和收集时间等,其中,协议包括用户数据报协议(User DatagramProtocol,简称UDP)和传输控制协议(Transmission Control Protocol,简称TCP)等。示例地,网络白名单如表1所示:
表1
账号白名单可以包括用户名、bash脚本、用户组、主目录、是否高权限和收集时间等,其中,“是”表示高权限,“否”表示低权限。示例地,账号白名单如表2所示:
表2
文件白名单可以包括敏感文件白名单和目录白名单等。例如,敏感文件白名单包括文件名、业务组、文件路径、文件权限、文件所属和收集时间等。其中,文件权限包括可读(r)、可写(w)和可执行(x)等操作。敏感文件白名单如表3所示:
表3
示例地,进程白名单包括进程名、进程控制符(Process Identifier,简称PID)、用户名、可执行文件路径和收集时间等。示例地,进程白名单如表4所示:
表4
S203:通过安全外壳协议通道,将白名单发送给主机,以使主机根据白名单进行安全防控。
示例地,安全防控方式包括告警和/或提示。
采用安全外壳协议通道进行传输,可以把传输的数据(如,白名单)等进行加密,这样,一方面能够防止其他非法攻击,也能够防止域名系统(Domain Name System,简称DNS)欺骗和IP欺骗;另一方面,采用安全外壳协议通道传输的数据等是经过压缩的,可以加快传输速度。
管控服务器将白名单发送给主机,以使主机根据白名单进行安全防控,通过构造内网白环境保护内网主机不受侵害,其中,白环境相当于动态更新白名单。
本申请实施例提供的主机管控方法,通过管控服务器根据主机信息生成白名单,以使主机基于该白名单进行安全防控,即只有在白名单内的网络、账号、文件、进程等通信,才认为是安全的,可以直接通过,除此以外的通信则进行监督或阻断,以在遇到新病毒等零日(0day)攻击时仍可进行有效的安全防护;另外,通过安全外壳协议通道将白名单发送给主机,一方面可以防止白名单在传输过程中被攻击,另一方面,还可以加快传输的速度;主机根据白名单进行安全防控,无需安装其他软件或设备(如,Agent),实现了轻量部署,提升了安全性和快捷性,适用范围广。
在上述实施例的基础上,一种可能的实施方式中,根据主机信息,生成对应种类的主机信息的白名单,可以包括:将主机信息输入至白名单生成模型进行机器学习,得到白名单生成模型输出的至少一种信息中每种信息对应的白名单。其中,管控服务器将获得的主机信息通过机器学习的方法和/或自适应的学习主机信息,得到网络白名单、账号白名单、文件白名单和进程白名单等。
示例地,通过机器学习的方法,管控服务器可以动态更新白名单。如,主机A目前只信任22端口,允许22端口的通信通过,其他端口的通信会产生告警提示,并阻止其他端口的通信通过,而管控服务器通过对主机A的主机信息进行机器学习后,发现80端口也是可以信任的,管控服务器会自动添加80端口到主机A的白名单,然后发送更新后的白名单到主机A,之后再有80端口的通信,主机A就不会产生告警提示了。
进一步地,本申请实施例提供的主机管控方法,可以通过机器学习的方法,自适应学习主机信息,进而生成或更新白名单,实现了白名单的快速动态获取,避免相关人员从海量信息中查找,省时省力。
通过白名单生成模型进行机器学习获得白名单,是白名单生成的一种具体实现,另外,考虑到采集的主机信息中包含各种杂质,因此,一些实施例中,根据主机信息,生成对应种类的主机信息的白名单,可以包括:对主机信息进行预处理,预处理至少包括去除冗余数据、去除空数据和数据聚合中的至少一种;根据预处理后的主机信息,生成对应种类的主机信息的白名单。通过预处理,可以从大量信息中筛选出更有用的信息,便于后续通过机器学习的方法生成白名单。
可选地,上述通过安全外壳协议通道,将白名单发送给主机,可以包括:确定不同白名单的发送权重;根据发送权重,确定白名单的发送优先级,其中,发送优先级与发送权重正相关;基于发送优先级,通过安全外壳协议通道,将白名单发送给主机。也就是说,在发送白名单时,是按照白名单的类型进行先后发送的。其中,发送权重可以是根据白名单中包含的信息对安全防护的重要性确定的。
当同时存在多种白名单时,可以考虑多种白名单综合处置的策略。
示例地,发送权重可根据实际情况,通过训练好的权重网络得到。具体地,采用深度学习方法(如,卷积神经网络和循环神经网络等),综合主机的网络白名单、账号白名单、文件白名单和进程白名单,将其作为训练好的神经网络输入参数,得到神经网络输出的不同的白名单对应的发送权重;根据发送权重,确定白名单的发送优先级,其中,发送权重越大,发送优先级越高。示例地,网络白名单的发送权重为0.7,账号白名单的发送权重为0.6,文件白名单的发送权重为0.4,进程白名单的发送权重为0.5,则网络白名单的发送权重最大,相应地,管控服务器会优先发送网络白名单给主机,进而主机会根据网络白名单进行着重防护及管控。
需要说明的是,本申请可以根据白名单的发送优先级优先发送相对重要的白名单;也可以对网络白名单、账号白名单、文件白名单和进程白名单进行同时传输,也就是说不同类型的发送优先级相同。
另外,通过安全外壳协议通道,将白名单发送给主机,还可以包括:根据白名单生成策略脚本,策略脚本包括监督脚本和阻断脚本;通过安全外壳协议通道,将策略脚本配置给主机。
一种示例中,根据网络白名单生成的阻断脚本,是将除网络白名单之外的全部通信流量进行阻断,并产生告警事件;根据网络白名单生成的监督脚本,是指不拒接流量通信,但将不在网络白名单内的通信流量产生告警,人为监控及管控。同理,账号白名单、文件白名单、进程白名单对应策略脚本的功能类似,此处不再赘述。
对于将策略脚本配置给主机,示例地,管控服务器获取主机B的防火墙(iptables)信息,即网络信息,管控服务器根据网络信息,生成对应的网络白名单,并判断主机B是允许全部通信流量通过,还是拒绝全部通信流量通过,根据不同的情况,网络白名单可以生成不同的策略脚本,将策略脚本配置给主机。若主机B允许全部通信流量通过,则生成网络白名单对应的监督脚本,允许全部通信流量通过,但对不在白名单内的通信流量会产生告警提示。
以上实施例从管控服务器的角度对本申请提供的主机管控方法进行了描述,以下从管控服务器管控的对象,即主机的角度,解释说明本申请提供的主机管控方法。
图3为本申请另一实施例提供的主机管控方法的流程示意图。本申请实施例提供一种主机管控方法,可以应用于服务器集群中的主机,服务器集群还包括管控服务器,管控服务器用于管控主机。如图3所示,该主机管控方法包括以下步骤:
S301:通过安全外壳协议通道,接收管控服务器发送的白名单,白名单是管控服务器根据主机的主机信息生成的,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息,白名单包括网络白名单、账号白名单、文件白名单和进程白名单。
该步骤与图2所示流程中步骤S203相对应,具体描述可参考步骤S203,这里不再赘述。
S302:根据白名单进行安全防控。
进一步地,该步骤可以包括:根据主机的防火墙信息,确定主机是否允许全部通信流量通过;若主机允许全部通信流量通过,则采用白名单对应的监督脚本进行安全防护;若主机不允许全部通信流量通过,则采用白名单对应的阻断脚本进行安全防护。示例地,账号白名单、文件白名单和进程白名单也可以生成对应的监督脚本和阻断脚本,相应地,主机会根据配置的脚本,进行监督或阻断,并产生告警事件。
本申请实施例提供的主机管控方法,通过管控服务器根据主机信息生成白名单,以使主机基于该白名单进行安全防控,即只有在白名单内的网络、账号、文件、进程等通信,才认为是安全的,可以直接通过,除此以外的通信则进行监督或阻断,以在遇到新病毒等零日(0day)攻击时仍可进行有效的安全防护;另外,通过安全外壳协议通道将白名单发送给主机,一方面可以防止白名单在传输过程中被攻击,另一方面,还可以加快传输的速度;主机根据白名单进行安全防控,无需安装其他软件或设备(如,Agent),实现了轻量部署,提升了安全性和快捷性,适用范围广。
可选地,上述通过安全外壳协议通道,接收管控服务器发送的白名单,可以包括:通过安全外壳协议通道,接收管控服务器发送的策略脚本,策略脚本包括监督脚本和阻断脚本,策略脚本是根据白名单生成的。
示例地,管控服务器可以将根据白名单生成的监督脚本和阻断脚本,随白名单一起发送给主机。
与上述实施例对应,在通过安全外壳协议通道,接收管控服务器发送的白名单之前,主机执行的主机管控方法还可以包括:通过安全外壳协议通道,接收管控服务器发送的信息采集命令,信息采集命令用于指示主机进行主机信息的采集;采集主机信息,并向管控服务器发送主机信息。
可选地,根据白名单进行安全防控,还包括:若白名单为网络白名单,则根据网络白名单形成的五元组信息进行安全防控;若白名单为账号白名单,则根据账号白名单的用户信息进行安全防控;若白名单为文件白名单,则根据文件白名单的敏感信息和/或目录信息进行安全防控;若白名单为进程白名单,则根据进程白名单的信息进行安全防控。
其中,五元组信息可以如上述表1所示,五元组信息包括源IP、目的IP、源端口、目的端口和传输层协议,示例地,若某一端口的传输层协议与网络白名单内的传输层协议不同,则产生告警提示,并进行安全防控。
用户信息可以如上述表2所示,当用户名出现不允许登录(nologin)的用户名时,会产生告警提示,并进行安全防控。
账号白名单的敏感信息可以如上述表3所示,敏感文件白名单中的文件权限为可读(r),若现有一敏感文件的文件权限为可写(w),文件权限不匹配,则会产生告警提示,并进行安全防控。
进程白名单的信息可以如上述表4所示,示例地,若有一用户A在工作地点登录账户,则不会产生告警提示;若用户A在非工作地点登录账户,则产生告警提示,并进行安全防控。
综上所述,本申请提供的主机管控方法,通过管控服务器根据主机信息生成白名单,以使主机基于该白名单进行安全防控,即只有在白名单内的网络、账号、文件、进程等通信,才认为是安全的,可以直接通过,除此以外的通信则进行监督或阻断,以在遇到新病毒等零日(0day)攻击时仍可进行有效的安全防护;另外,通过安全外壳协议通道将白名单发送给主机,一方面可以防止白名单在传输过程中被攻击,另一方面,还可以加快传输的速度;主机根据白名单进行安全防控,无需安装其他软件或设备(如,Agent),实现了轻量部署,提升了安全性和快捷性,适用范围广。
进一步地,本申请提供的主机管控方法,可以通过机器学习的方法,自适应学习主机信息,进而更新白名单,实现了白名单的动态更新,避免相关人员从海量信息中查找,省时省力。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图4为本申请一实施例提供的主机管控装置的结构示意图。为了便于说明,仅示出了与本申请实施例相关的部分。如图4所示,该主机管控装置40包括:获取模块41、处理模块42和发送模块43,可以应用于服务器集群中的管控服务器,管控服务器用于管控服务器集群中的主机。其中,
获取模块41,用于获取主机的主机信息,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息;
处理模块42,用于根据主机信息,生成对应种类的主机信息的白名单,白名单包括网络白名单、账号白名单、文件白名单和进程白名单;
发送模块43,用于通过安全外壳协议通道,将白名单发送给主机,以使主机根据白名单进行安全防控。
一种可能的实施方式中,处理模块42可以具体用于:将主机信息输入至白名单生成模型进行机器学习,得到白名单生成模型输出的至少一种信息中每种信息对应的白名单。
一种可能的实施方式中,处理模块42还用于:对主机信息进行预处理,预处理至少包括去除冗余数据、去除空数据和数据聚合中的至少一种;根据预处理后的主机信息,生成对应种类的主机信息的白名单。
一种可能的实施方式中,发送模块43可以具体用于:确定不同白名单的发送权重;根据发送权重,确定白名单的发送优先级,其中,发送优先级与发送权重正相关;基于发送优先级,通过安全外壳协议通道,将白名单发送给主机。
一种可能的实施方式中,发送模块43还可以用于:根据白名单生成策略脚本,策略脚本包括监督脚本和阻断脚本;通过安全外壳协议通道,将策略脚本配置给主机。
一种可能的实施方式中,获取模块41可以具体用于:通过安全外壳协议通道,向主机发送信息采集命令,信息采集命令用于指示主机进行主机信息的采集;接收主机发送的主机信息。
图5为本申请另一实施例提供的主机管控装置的结构示意图。为了便于说明,仅示出了与本申请实施例相关的部分。如图5所示,该主机管控装置50包括:接收模块51和处理模块52,可以应用于服务器集群中的主机,服务器集群还包括管控服务器,管控服务器用于管控主机。其中,
接收模块51,用于通过安全外壳协议通道,接收管控服务器发送的白名单,白名单是管控服务器根据主机的主机信息生成的,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息,白名单包括网络白名单、账号白名单、文件白名单和进程白名单;
处理模块52,用于根据白名单进行安全防控。
一种可能的实施方式中,处理模块52可以具体用于:根据主机的防火墙信息,确定主机是否允许全部通信流量通过;若主机允许全部通信流量通过,则采用白名单对应的监督脚本进行安全防护;若主机不允许全部通信流量通过,则采用白名单对应的阻断脚本进行安全防护。
一种可能的实施方式中,接收模块51可以具体可以用于:通过安全外壳协议通道,接收管控服务器发送的策略脚本,策略脚本包括监督脚本和阻断脚本,策略脚本是根据白名单生成的。
一种可能的实施方式中,接收模块51还可以用于:通过安全外壳协议通道,接收管控服务器发送的信息采集命令,信息采集命令用于指示主机进行主机信息的采集;采集主机信息,并向管控服务器发送主机信息。
一种可能的实施方式中,处理模块52还可以用于:若白名单为网络白名单,则根据网络白名单形成的五元组信息进行安全防控;若白名单为账号白名单,则根据账号白名单的用户信息进行安全防控;若白名单为文件白名单,则根据文件白名单的敏感信息和/或目录信息进行安全防控;若白名单为进程白名单,则根据进程白名单的信息进行安全防控。
本申请实施例提供的主机管控装置,其实现原理和技术效果与上述实施例类似,具体可参考上述实施例,此处不再赘述。
图6为本申请一实施例提供的电子设备的结构示意图。如图6所示,电子设备60包括:至少一个处理器610、存储器620、通信接口630和系统总线640。其中,存储器620和通信接口630通过系统总线640与处理器610连接并完成相互间的通信,存储器620用于存储指令,通信接口630用于和其他设备进行通信,处理器610用于调用存储器中的指令以执行如上述主机管控方法实施例的方案,具体实现方式和技术效果类似,这里不再赘述。
图6中提到的处理器610可以是通用处理器,包括中央处理器、网络处理器(Network Processor,简称NP)等;数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程逻辑门阵列(Field Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
存储器620可能包含随机存取存储器(Random Access Memory,简称RAM),也可能还包括静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electric Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘,例如至少一个磁盘存储器。
通信接口630用于实现主机管控装置与其他设备(例如客户端)之间的通信。
系统总线640可以是外设部件互连标准(Peripheral Component Interconnect,简称PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture,简称EISA)总线等。该系统总线640可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本领域技术人员可以理解,图6示出的电子设备并不构成对电子设备的限定,可以包括比图示更多或更少的组件,或者组合某些组件,或者不同的部件布置。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,当计算机执行指令被执行时,实现如上主机管控方法。
本申请实施例还提供一种计算机程序产品,包括计算机程序,该计算机程序被执行时实现如上主机管控方法。
本申请实施例还提供一种运行指令的芯片,芯片用于执行如上任一方法实施例的主机管控方法。
本申请实施例还提供一种服务器集群,包括:主机和管控服务器,其中:管控服务器用于执行如上任一方法实施例的主机管控方法;主机用于执行如上任一方法实施例的主机管控方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。
Claims (13)
1.一种主机管控方法,其特征在于,应用于服务器集群中的管控服务器,所述管控服务器用于管控所述服务器集群中的主机,所述主机管控方法包括:
获取所述主机的主机信息,所述主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息;
根据所述主机信息,生成对应种类的主机信息的白名单,所述白名单包括网络白名单、账号白名单、文件白名单和进程白名单;
通过安全外壳协议通道,将所述白名单发送给所述主机,以使所述主机根据所述白名单进行安全防控;
所述根据所述主机信息,生成对应种类的主机信息的白名单,包括:
将所述主机信息输入至白名单生成模型进行机器学习,得到所述白名单生成模型输出的至少一种信息中每种信息对应的白名单;
所述通过安全外壳协议通道,将所述白名单发送给所述主机,包括:
确定不同白名单的发送权重;
根据所述发送权重,确定白名单的发送优先级,其中,发送优先级与发送权重正相关;
基于所述发送优先级,通过安全外壳协议通道,将白名单发送给所述主机;
所述通过安全外壳协议通道,将所述白名单发送给所述主机,还包括:
根据所述白名单生成策略脚本,所述策略脚本包括监督脚本和阻断脚本;
通过安全外壳协议通道,将所述策略脚本配置给所述主机。
2.根据权利要求1所述的主机管控方法,其特征在于,所述根据所述主机信息,生成对应种类的主机信息的白名单,包括:
对所述主机信息进行预处理,所述预处理至少包括去除冗余数据、去除空数据和数据聚合中的至少一种;
根据预处理后的主机信息,生成对应种类的主机信息的白名单。
3.根据权利要求1或2所述的主机管控方法,其特征在于,所述获取所述主机的主机信息,包括:
通过安全外壳协议通道,向所述主机发送信息采集命令,所述信息采集命令用于指示主机进行主机信息的采集;
接收所述主机发送的所述主机信息。
4.一种主机管控方法,其特征在于,应用于服务器集群中的主机,所述服务器集群还包括管控服务器,所述管控服务器用于管控所述主机,所述主机管控方法包括:
通过安全外壳协议通道,接收所述管控服务器发送的白名单,所述白名单是所述管控服务器根据所述主机的主机信息生成的,所述主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息,所述白名单包括网络白名单、账号白名单、文件白名单和进程白名单;所述白名单是所述管控服务器将所述主机信息输入至白名单生成模型进行机器学习,得到所述白名单生成模型输出的至少一种信息中每种信息对应的白名单;
根据所述白名单进行安全防控;
通过安全外壳协议通道,接收所述管控服务器发送的白名单,包括:
基于发送优先级,通过所述安全外壳协议通道,接收所述管控服务器发送的白名单;所述发送优先级是所述管控服务器根据不同白名单的发送权重确定的,其中,发送优先级与发送权重正相关;
通过安全外壳协议通道,接收管控服务器发送的白名单,包括:
通过所述安全外壳协议通道,接收所述管控服务器发送的策略脚本,所述策略脚本包括监督脚本和阻断脚本,策略脚本是根据所述白名单生成的。
5.根据权利要求4所述的主机管控方法,其特征在于,所述根据所述白名单进行安全防控,包括:
根据所述主机的防火墙信息,确定所述主机是否允许全部通信流量通过;
若所述主机允许全部通信流量通过,则采用所述白名单对应的监督脚本进行安全防护;
若所述主机不允许全部通信流量通过,则采用所述白名单对应的阻断脚本进行安全防护。
6.根据权利要求4或5所述的主机管控方法,其特征在于,所述通过安全外壳协议通道,接收所述管控服务器发送的白名单,包括:
通过安全外壳协议通道,接收所述管控服务器发送的策略脚本,所述策略脚本包括监督脚本和阻断脚本,所述策略脚本是根据所述白名单生成的。
7.根据权利要求4或5所述的主机管控方法,其特征在于,所述通过安全外壳协议通道,接收所述管控服务器发送的白名单之前,还包括:
通过安全外壳协议通道,接收所述管控服务器发送的信息采集命令,所述信息采集命令用于指示主机进行主机信息的采集;
采集所述主机信息,并向所述管控服务器发送所述主机信息。
8.根据权利要求4或5所述的主机管控方法,其特征在于,所述根据所述白名单进行安全防控,还包括:
若所述白名单为网络白名单,则根据所述网络白名单形成的五元组信息进行安全防控;
若所述白名单为账号白名单,则根据所述账号白名单的用户信息进行安全防控;
若所述白名单为文件白名单,则根据所述文件白名单的敏感信息和/或目录信息进行安全防控;
若所述白名单为进程白名单,则根据所述进程白名单的信息进行安全防控。
9.一种主机管控装置,其特征在于,应用于服务器集群中的管控服务器,所述管控服务器用于管控所述服务器集群中的主机,所述主机管控装置包括:
获取模块,用于获取所述主机的主机信息,所述主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息;
处理模块,用于根据所述主机信息,生成对应种类的主机信息的白名单,所述白名单包括网络白名单、账号白名单、文件白名单和进程白名单;
发送模块,用于通过安全外壳协议通道,将所述白名单发送给所述主机,以使所述主机根据所述白名单进行安全防控;
所述处理模块,具体用于将所述主机信息输入至白名单生成模型进行机器学习,得到所述白名单生成模型输出的至少一种信息中每种信息对应的白名单;
所述发送模块,具体用于确定不同白名单的发送权重;根据所述发送权重,确定白名单的发送优先级,其中,发送优先级与发送权重正相关;基于所述发送优先级,通过安全外壳协议通道,将白名单发送给所述主机;
所述发送模块,还用于根据所述白名单生成策略脚本,所述策略脚本包括监督脚本和阻断脚本;通过安全外壳协议通道,将所述策略脚本配置给所述主机。
10.一种主机管控装置,其特征在于,应用于服务器集群中的主机,所述服务器集群还包括管控服务器,所述管控服务器用于管控所述主机,所述主机管控装置包括:
接收模块,用于通过安全外壳协议通道,接收所述管控服务器发送的白名单,所述白名单是所述管控服务器根据所述主机的主机信息生成的,所述主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息,所述白名单包括网络白名单、账号白名单、文件白名单和进程白名单;所述白名单是所述管控服务器将所述主机信息输入至白名单生成模型进行机器学习,得到所述白名单生成模型输出的至少一种信息中每种信息对应的白名单;
处理模块,用于根据所述白名单进行安全防控;
所述接收模块,还用于基于发送优先级,通过所述安全外壳协议通道,接收所述管控服务器发送的白名单;所述发送优先级是所述管控服务器根据不同白名单的发送权重确定的,其中,发送优先级与发送权重正相关;
所述接收模块,还用于通过所述安全外壳协议通道,接收所述管控服务器发送的策略脚本,所述策略脚本包括监督脚本和阻断脚本,策略脚本是根据所述白名单生成的。
11.一种电子设备,其特征在于,包括:存储器和处理器;
所述存储器用于存储程序指令;
所述处理器用于调用所述存储器中的程序指令执行如权利要求1至8中任一项所述的主机管控方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被执行时,实现如权利要求1至8任一项所述的主机管控方法。
13.一种服务器集群,其特征在于,包括:主机和管控服务器,其中:
所述管控服务器,用于执行如权利要求1至3中任一项所述的主机管控方法;
所述主机,用于执行如权利要求4至8中任一项所述的主机管控方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211464751.XA CN115834190B (zh) | 2022-11-22 | 2022-11-22 | 主机管控方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211464751.XA CN115834190B (zh) | 2022-11-22 | 2022-11-22 | 主机管控方法、装置、设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115834190A CN115834190A (zh) | 2023-03-21 |
| CN115834190B true CN115834190B (zh) | 2024-04-09 |
Family
ID=85530117
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211464751.XA Active CN115834190B (zh) | 2022-11-22 | 2022-11-22 | 主机管控方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115834190B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109766694A (zh) * | 2018-12-29 | 2019-05-17 | 北京威努特技术有限公司 | 一种工控主机的程序协议白名单联动方法及装置 |
| KR101992963B1 (ko) * | 2018-11-20 | 2019-06-26 | 주식회사 넷앤드 | 머신러닝을 통한 화이트리스트 명령어 정책 자동 생성 시스템 |
| CN110602041A (zh) * | 2019-08-05 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 基于白名单的物联网设备识别方法、装置及网络架构 |
| CN111274583A (zh) * | 2020-01-17 | 2020-06-12 | 湖南城市学院 | 一种大数据计算机网络安全防护装置及其控制方法 |
| CN111898116A (zh) * | 2019-12-26 | 2020-11-06 | 长扬科技(北京)有限公司 | 一种基于高速缓存的工业白名单学习方法和系统 |
| CN112866023A (zh) * | 2021-01-13 | 2021-05-28 | 恒安嘉新(北京)科技股份公司 | 网络检测、模型训练方法、装置、设备及存储介质 |
| KR102259760B1 (ko) * | 2020-11-09 | 2021-06-02 | 여동균 | 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템 |
| CN113507461A (zh) * | 2021-07-01 | 2021-10-15 | 交通运输信息安全中心有限公司 | 基于大数据的网络监控系统及网络监控方法 |
-
2022
- 2022-11-22 CN CN202211464751.XA patent/CN115834190B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101992963B1 (ko) * | 2018-11-20 | 2019-06-26 | 주식회사 넷앤드 | 머신러닝을 통한 화이트리스트 명령어 정책 자동 생성 시스템 |
| CN109766694A (zh) * | 2018-12-29 | 2019-05-17 | 北京威努特技术有限公司 | 一种工控主机的程序协议白名单联动方法及装置 |
| CN110602041A (zh) * | 2019-08-05 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 基于白名单的物联网设备识别方法、装置及网络架构 |
| CN111898116A (zh) * | 2019-12-26 | 2020-11-06 | 长扬科技(北京)有限公司 | 一种基于高速缓存的工业白名单学习方法和系统 |
| CN111274583A (zh) * | 2020-01-17 | 2020-06-12 | 湖南城市学院 | 一种大数据计算机网络安全防护装置及其控制方法 |
| KR102259760B1 (ko) * | 2020-11-09 | 2021-06-02 | 여동균 | 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템 |
| CN112866023A (zh) * | 2021-01-13 | 2021-05-28 | 恒安嘉新(北京)科技股份公司 | 网络检测、模型训练方法、装置、设备及存储介质 |
| CN113507461A (zh) * | 2021-07-01 | 2021-10-15 | 交通运输信息安全中心有限公司 | 基于大数据的网络监控系统及网络监控方法 |
Non-Patent Citations (1)
| Title |
|---|
| 一种在大规模网络中挖掘恶意软件分布的方法;邱凌志;《计算机与网络》;20200512;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115834190A (zh) | 2023-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11310285B2 (en) | Adaptive network security policies | |
| JP7167240B2 (ja) | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム | |
| JP6522707B2 (ja) | マルウェアに対処するための方法及び装置 | |
| JP6785225B2 (ja) | 分散型トラフィック管理システムおよび技術 | |
| US9992225B2 (en) | System and a method for identifying malware network activity using a decoy environment | |
| EP3528462A1 (en) | A method for sharing cybersecurity threat analysis and defensive measures amongst a community | |
| US20170279826A1 (en) | Protecting dynamic and short-lived virtual machine instances in cloud environments | |
| JP4373779B2 (ja) | ステイトフル分散型イベント処理及び適応保全 | |
| EP3704846A1 (en) | Cloud-based multi-function firewall and zero trust private virtual network | |
| EP2579176B1 (en) | System and method for restricting pathways to harmful hosts in computer networks | |
| CN111193719A (zh) | 一种网络入侵防护系统 | |
| EP2599026A1 (en) | System and method for local protection against malicious software | |
| US20230362206A1 (en) | Cyber-Security in Heterogeneous Networks | |
| US9661006B2 (en) | Method for protection of automotive components in intravehicle communication system | |
| MAHRACH et al. | DDoS flooding attack mitigation in software defined networks | |
| CN113079185B (zh) | 实现深度数据包检测控制的工业防火墙控制方法及设备 | |
| Mavroeidakos et al. | Security architecture based on defense in depth for Cloud Computing environment | |
| CN114268505B (zh) | 一种蜜网欺骗策略调整方法、装置、电子设备及存储介质 | |
| CN115834190B (zh) | 主机管控方法、装置、设备和存储介质 | |
| CA3122328A1 (en) | A system for, and a method of creating cybersecurity situational awareness, threat detection and risk detection within the internet-of-things space | |
| Salimov et al. | Application of SDN technologies to protect against network intrusions | |
| EP4080822A1 (en) | Methods and systems for efficient threat context-aware packet filtering for network protection | |
| CN116702133A (zh) | 告警信息降噪策略确定方法、装置及存储介质 | |
| KR20230032463A (ko) | 네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치 | |
| WO2022225951A1 (en) | Methods and systems for efficient threat context-aware packet filtering for network protection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |