CN118075012A - 一种基于Openeuler环境的监控平台agent与系统安全体检融合系统及方法 - Google Patents

Abstract

本发明涉及一种基于Openeuler环境的监控平台agent与系统安全体检融合系统及方法，包括：未接入管理平台的服务器快速探活模块用于：对同一C类地址段进行服务器快速探活，用来确定服务器是否在线，监测目标是否有响应包；服务器进程资源分配快速测绘模块用于：依次实现调用系统进程信息提取及分析功能等；服务弱认证风险快速巡检模块用于：筛选出存在认证的服务；读取内置弱口令密码字典文件；服务器入侵痕迹溯源巡检模块用于：通过分析服务的日志内容,分析出网络安全隐患问题。本发明可以及时发现入侵痕迹，协助安全设备进行风险预警，弥补市场同类产品的不足。

Description

一种基于Openeuler环境的监控平台agent与系统安全体检融 合系统及方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于Openeuler环境的监控平台agent与系统安全体检融合系统及方法。

背景技术

在网络机房管理工作中,通常会使用服务器监控平台对机房服务器进行系统性能监视以及网络监视，以此来发现设备的性能问题和安全问题,但在调研使用过程中发现大部分服务器监控平台不具备服务器系统安全体检功能，无法为管理工作提供有效的系统安全体检数据，而保证机房内网的网络安全是一件非常重要的事情，网络的攻击手段与防御手段一直在对抗中不断发展升级，安全设备的防护机制非常容易被攻击者突破，而且攻击手法越来越隐匿，通过流量无法还原完整的攻击链，导致无法及时对网络攻击行为做出预警。

同时大部分监控平台及agent客户端存在很多缺点,无法满足很多管理场景,比如配置过程复杂，对系统占用较大，高负载场景下操作系统性能问题突出，平台不具备二次开发能力、经常出现安全漏洞等缺点。

欧拉操作系统(openEuler)是一款开源操作系统。当前openEuler内核源于Linux，支持鲲鹏及其它多种处理器，能够充分释放计算芯片的潜能，是由全球开源贡献者构建的高效、稳定、安全的开源操作系统，适用于数据库、大数据、云计算、人工智能等应用场景，它的优势是深度优化调度、IO、内存管理，内核动态抢占、mremap性能优化、大页内存管理优化，而且openEuler是一个注重系统安全性的操作系统，有一套完整的多层次安全策略和机制，如访问控制、身份验证和加密等，能防止各种可能的网络安全威胁。采用了多种安全机制，包括访问控制，安全审计和安全策略等，以确保系统的安全和可靠性。

发明内容

针对现有技术的不足，本发明的目的在于提供一种基于Openeuler环境的监控平台agent与系统安全体检融合系统，系统安全体检能力包括四大模块：未接入管理平台的服务器快速探活模块、服务器进程资源分配快速测绘模块、服务弱认证风险快速巡检模块、服务器入侵痕迹溯源巡检模块。以解决上述背景技术中存在的技术问题。

本发明提供了一款基于openeuler环境的具备操作系统安全体检能力的监控平台的agent客户端，对操作系统的服务，日志，文件，进程等容易遭受攻击的地方进行深度安全巡检，与网络安全设备的防护机制互相补充，共同保证内网安全。

本发明的技术方案为：

一种基于Openeuler环境的监控平台agent与系统安全体检融合系统，包括：

未接入管理平台的服务器快速探活模块，用于：对同一C类地址段进行服务器快速探活，用来确定服务器是否在线，监测目标是否有响应包，探测协议类型包括ARP、ICMP、TCP、UDP协议；具体包括ARP探测、SYN-Ping主机存活探测、ICMP主机存活探测、TCP主机存活探测、UDP主机存活探测；在探测到主机存活以后，向存活主机的发送tcp连接请求，如果存活主机开放，并且未能获取到客户端指纹，判定该主机未接入管理平台，将该主机加入管理平台进行管理；

服务器进程资源分配快速测绘模块，用于：依次实现调用系统进程信息提取功能，调用系统进程信息分析功能，调用系统进程服务识别功能对开放的端口进行服务名识别，调用WEB应用指纹识别功能，调用数据分析融合功能，调用数据回传功能；

调用系统进程信息提取功能，对服务器操作系统类型进行识别判断，根据操作系统类型调用不同的函数去提取该服务器进程资源的PID号；

调用系统进程信息分析功能，采用自研分析算法，在尽量少占用系统资源的同时，对所有进程的PID号进行分析，获取使用进程名、进程的启动参数、进程的CPU占用、内存占用、网络吞吐信息、进程树信息信息；

调用系统进程服务识别功能对开放的端口进行服务名识别，分析出该端口的服务名以及使用的协议类型、服务指纹、服务版本信息。

调用WEB应用指纹识别功能，在进行完服务名识别后，如果该服务是WEB服务,那么通过WEB指纹库来进行识别,识别该WEB服务所搭载的组件、框架、应用的详细信息；

调用数据分析融合功能，将Agent客户端获取到的CPU信息、内存信息、主机信息、IP地址信息、磁盘信息、网卡信息、进程信息，以字典键值对的形式，整合在一个大的字典变量中；

调用数据回传功能，将数据分析融合以后回传到数据中心接口,数据中心接口收到后将这些信息储存到数据库中。

服务弱认证风险快速巡检模块，用于：基于服务器进程资源分配快速测绘模块获取的主机服务器的结果,从中筛选出存在认证的服务；

读取内置弱口令密码字典文件，其中弱口令密码字典文件支持服务端平台下发自定义的弱口令密码字典文件，同时内置一份基础的字典文件用于快速巡检是否有存在弱认证的服务，分为在线巡检和离线巡检两种方式，在线巡检需要对此类应用服务的登录认证原理过程进行学习掌握，用编程语言对此进行编码；离线巡检是指不通过建立连接服务进行巡检；

服务器入侵痕迹溯源巡检模块，用于：通过分析服务的日志内容,分析出网络安全隐患问题。

进一步优选的，ARP探测仅在局域网环境下使用。

进一步优选的，SYN-Ping主机存活探测，包括：服务器快速探活模块向目标TCP端口发送一个SYN包，根据目标回包的情况判断主机是否在线及响应原因；

当目标回复SYN-ACK的响应包，说明探测目标的TCP端口开放，主机在线；

当目标回复RST包，说明探测目标的TCP端口关闭，主机在线。

当没有响应包，说明主机离线。

进一步优选的，ICMP主机存活探测包括ICMP回显请求、ICMP时间戳请求、ICMP地址掩码请求；ICMP回显请求，包括：服务器快速探活模块向目标发送一个ICMP-echo包，根据目标回包情况判断主机是否在线及相应原因；

当目标回复ICMP-reply包，说明主机在线；

当没有响应包，说明主机离线；

ICMP时间戳请求，包括：服务器快速探活模块向目标发送一个ICMP-timestamp包，根据目标回包情况判断主机是否在线及相应原因；

当目标回复ICMP-timestamp包，说明主机在线；

当没有响应包，说明主机离线；

ICMP地址掩码请求，包括：服务器快速探活模块向目标发送一个ICMP-address-mask包，根据目标回包情况判断主机是否在线及相应原因；

当目标回复ICMP-address-mask包，说明主机在线。

当没有响应包，说明主机离线。

进一步优选的，TCP主机存活探测支持SYN-Ping主机存活探测和ACK-Ping主机存活探测两种，默认端口是80。

进一步优选的，UDP主机存活探测携带UDP负载，默认端口40，125；UDP主机存活探测的具体实现过程包括：

UDP主机存活探测向目标UDP端口发送一个ACK包，根据目标回包情况判断主机是否在线及相应原因；

当目标回复UDP包，主机在线；

当目标回复ICMP端口不可达包，主机在线；

当没有响应包，说明主机离线。

进一步优选的，调用系统进程服务识别功能对开放的端口进行服务名识别，包括：

向开放的端口发送相应的指纹，接收相应内容并匹配结果，若没有相应结果或者匹配失败，则依次尝试其他指纹，如果超时则结束；

从指纹库中获取一个指纹并发送，对于TCP主机存活探测的服务，建立连接后不发送任何请求指纹，只等待接收结果，建立连接后，主动响应标语的服务；对于UDP主机存活探测的服务探测和后续的TCP主机存活探测的服务，则依次用其他合适的指纹进行探测，如果没有合适的指纹则结束探测。

进一步优选的，调用WEB应用指纹识别，包括：

使用网络爬虫向WEB服务端口发送自定义的HTTP请求，如果不超时，则获取到HTTP响应头和响应体，将本地指纹库读取进程序内存中，逐一使用指纹规则对HTTP响应头和响应体进行匹配，如果匹配不到，则读取使用下一条指纹规则。

进一步优选的，针对不同的服务日志,编写对应的网络安全风险日志研判插件,包括：将日志中的风险因素匹配出来,将结果整理上报给服务端；掌握不同服务的日志文件格式，针对日志格式编码出兼容性强的正则表达式匹配代码。

上述基于Openeuler环境的监控平台agent与系统安全体检融合系统的工作方法，包括：

未接入管理平台的服务器快速探活模块中，对同一C类地址段进行服务器快速探活，用来确定服务器是否在线，监测目标是否有响应包，探测协议类型包括ARP、ICMP、TCP、UDP协议；具体包括ARP探测、SYN-Ping主机存活探测、ICMP主机存活探测、TCP主机存活探测、UDP主机存活探测；在探测到主机存活以后，向存活主机的发送tcp连接请求，如果存活主机开放，并且未能获取到客户端指纹，判定该主机未接入管理平台，将该主机加入管理平台进行管理；

服务器进程资源分配快速测绘模块中，依次实现调用系统进程信息提取功能，调用系统进程信息分析功能，调用系统进程服务识别功能对开放的端口进行服务名识别，调用WEB应用指纹识别功能，调用数据分析融合功能，调用数据回传功能；

服务弱认证风险快速巡检模块中，基于服务器进程资源分配快速测绘模块获取的主机服务器的结果,从中筛选出存在认证的服务；读取内置弱口令密码字典文件，其中弱口令密码字典文件支持服务端平台下发自定义的弱口令密码字典文件，同时内置一份基础的字典文件用于快速巡检是否有存在弱认证的服务，分为在线巡检和离线巡检两种方式，在线巡检需要对此类应用服务的登录认证原理过程进行学习掌握，用编程语言对此进行编码；离线巡检是指不通过建立连接服务进行巡检；

服务器入侵痕迹溯源巡检模块中，通过分析服务的日志内容,分析出网络安全隐患问题。

本发明的有益效果为：

1、可以自动化巡检服务器资源及时发现入侵痕迹，协助安全设备进行风险预警，弥补市场同类产品的不足。

2、可以自动化获取服务器进程资源的利用情况，服务端平台可清晰测绘机房内服务器资产

3、基于Openeuler环境部署,可以使程序运行更加稳定，更安全。

附图说明

图1为SYN-Ping主机存活探测的流程示意图；

图2为ICMP回显请求的流程示意图；

图3为ICMP时间戳请求的流程示意图；

图4为ICMP地址掩码请求的流程示意图；

图5为UDP主机存活探测的流程示意图；

图6为未接入管理平台的服务器快速探活模块的实现功能的流程示意图；

图7为服务名识别的流程示意图；

图8为调用WEB应用指纹识别的流程示意图；

图9为服务器进程资源分配快速测绘模块的实现功能的流程示意图；

图10为服务弱认证风险快速巡检模块的实现功能的流程示意图；

图11为服务器入侵痕迹溯源巡检模块的实现思路示意图；

图12为针对不同的服务日志编写对应的网络安全风险日志研判插件的示意图；

图13为服务器入侵痕迹溯源巡检模块中服务日志网络安全问题巡检功能流程图；

图14为服务器入侵痕迹溯源巡检模块中的WEB应用监控巡检功能流程图。

具体实施方式

下面结合说明书附图和实施例对本发明作进一步限定，但不限于此。

实施例1

一种基于Openeuler环境的监控平台agent与系统安全体检融合系统，包括：

未接入管理平台的服务器快速探活模块，如图6所示，用于：对同一C类地址段进行服务器快速探活，用来确定服务器是否在线，监测目标是否有响应包，探测协议类型包括ARP、ICMP、TCP、UDP协议；具体包括ARP探测、SYN-Ping主机存活探测、ICMP主机存活探测、TCP主机存活探测、UDP主机存活探测；在探测到主机存活以后，向存活主机的55555端口发送tcp连接请求，如果存活主机的55555端口开放，并且未能获取到客户端指纹，判定该主机未接入管理平台，将该主机加入管理平台进行管理；

未接入管理平台的服务器快速探活模块的应用场景为：在机房服务器管理时,将服务器接入管理平台的正常流程应该是在管理平台服务端配置被监控服务器相关信息,生成智能服务器监控客户端；然后，在主机上安装运行智能服务器监控客户端，客户端定时在操作系统上运行,从而实现对设备的统一管理。但在实际管理工作中，有时会因设备过多，单次上架设备过多,运维问题等因素,导致部分设备在正常运行后未及时接入管理平台的情况出现；因此，需要同网段主机的agent具备主机探测存活功能，所以，未接入管理平台的服务器快速探活模块的实现就是解决该问题。

未接入管理平台的服务器快速探活模块的实现思路为：未接入管理平台的服务器快速探活模块在运行后,申请一个系统子进程，在该主机上开启一个固定端口,进行监听,并添加防火墙策略进行放行,如遇到外部tcp请求连接返回一段特殊指纹,用来证明未接入管理平台的服务器快速探活模块是智能服务器监控客户端程序,然后在运行过程中,对同一C类地址段进行服务器快速探活，用来确定服务器是否在线，探测原理为监测目标是否有响应包，探测协议类型包括ARP、ICMP、TCP、UDP协议。

未接入管理平台的服务器快速探活模块发包速度与每轮发包量会根据用户指定的速度及拥塞控制机制(如相应包实际时延)动态调整。可通过配置文件分别指定最小、最大发包速度，仅是制定了一个界限值，不是具体的速度。此值会影响响应包超时时间的调整。

服务器进程资源分配快速测绘模块，如图9所示，用于：依次实现调用系统进程信息提取功能，调用系统进程信息分析功能，调用系统进程服务识别功能对开放的端口进行服务名识别，调用WEB应用指纹识别功能，调用数据分析融合功能，调用数据回传功能；

调用系统进程信息提取功能，对服务器操作系统类型进行识别判断，根据操作系统类型调用不同的函数去提取该服务器进程资源的PID号；

调用系统进程信息分析功能，采用自研分析算法，在尽量少占用系统资源的同时，对所有进程的PID号进行分析，获取使用进程名、进程的启动参数、进程的CPU占用、内存占用、网络吞吐信息、进程树信息信息；

调用系统进程服务识别功能对开放的端口进行服务名识别，分析出该端口的服务名以及使用的协议类型、服务指纹、服务版本信息。

调用WEB应用指纹识别功能，在进行完服务名识别后，如果该服务是WEB服务,那么通过WEB指纹库来进行识别,识别该WEB服务所搭载的组件、框架、应用的详细信息；

调用数据分析融合功能，将Agent客户端获取到的CPU信息、内存信息、主机信息、IP地址信息、磁盘信息、网卡信息、进程信息，以字典键值对的形式，整合在一个大的字典变量中；

调用数据回传功能，将数据分析融合以后回传到数据中心接口,数据中心接口收到后将这些信息储存到数据库中。前端展示平台上就可以清晰的展示所有机器的资源分配信息。

对一个WEB服务进行匹配的时间耗时与指纹库大小承正相关。服务器进程资源分配快速测绘模块的实现，从白盒角度对服务器资源进行快速测绘，清点出中间件，数据库，大数据组件，WEB应用，框架等资产，将信息回传后，服务端可通过该数据，绘制出机房区域内的服务器运行情况，大大提升运维效率。

服务器进程资源分配快速测绘模块的应用场景为：在管理机房设备时,如果网络上爆发了某个常用服务的高危漏洞,那么运维人员就需要快速筛选出机房内的设备哪些运行了该服务,然后采取相关措施进行整改修复漏洞，那么就需要运维管理平台对整个机房内的主机运行服务的情况一清二楚,包括开放了哪些端口,这些端口运行了哪些服务,服务使用的什么协议，服务的版本是什么，服务上又搭载着什么应用、框架、中间件等信息。服务器进程资源分配快速测绘模块将信息分析整合以后回传到数据中心接口,数据中心接口收到后将这些信息储存到数据库中,前端展示平台上就可以清晰的展示所有机器的资源分配信息。服务器进程资源分配快速测绘模块用于解决此类需要快速检索筛选机房内服务器资源的场景需求。

服务弱认证风险快速巡检模块，如图10所示，用于：部分研发人员将项目在服务器上线部署的时候,可能由于开发习惯差,网络安全意识薄弱,忘记等因素，将所使用的服务设置了较简单的密码,或者是使用第三方开发组件时,使用了组件自己的默认密码,组件厂商一般会在网上发布该密码,所以上述情况使得服务器变得不安全,也间接影响了机房内网安全,容易导致服务器沦陷，数据泄露等风险的产生。基于服务器进程资源分配快速测绘模块获取的主机服务器的结果,从中筛选出存在认证的服务；比如FTP、SSH、telnet、mysql、mongoDB,redis,rsync等；读取内置弱口令密码字典文件，其中弱口令密码字典文件支持服务端平台下发自定义的弱口令密码字典文件，同时内置一份基础的字典文件用于快速巡检是否有存在弱认证的服务，分为在线巡检和离线巡检两种方式，在线巡检需要对此类应用服务的登录认证原理过程进行学习掌握，用编程语言对此进行编码；主要注意的是在进行弱口令巡检的时候，应尽可能加大测试间隔，以及超时时间设置，以避免对服务造成影响，影响业务运行。绝大多数服务都存在多账户的情况，所以在巡检时，如果已经巡检出一项弱认证凭据，也应继续测试完所有字典内容，以确认其他账户不存在弱认证风险。离线巡检是指不通过建立连接服务进行巡检；优点是不会对运行服务产生任何影响，部分服务会将用户密码加密存储到本地，比如ssh的/etc/shodow文件和mysql的user.MYD文件,此时就可以加载离线巡检模式,因为在线巡检采用穷举方式与服务器建立连接，探测有存在影响服务正常运作的可能,此时可以读取离线文件对密码进行离线弱口令检测。

如图10所示，首先，基于服务器进程资源分配快速测绘模块的探测结果提取出存在认证功能的服务来，整合成队列的形式进行逐一探测，比如SSH服务；然后，判断该服务是否有离线认证凭据文件，像SSH服务就有，/etc/shadow文件存储了加密后的各用户密码，那么就要采用离线认证巡检模块。优点就是不会产生认证流量从而对正在运行的服务产生影响，直接根据加密算法和字典生成加密后的字符串与shadow文件中的字符串进行比对即可，如果不存在离线认证凭据文件，那么就要使用在线巡检模式，读取预置字典进行循环认证，如果认证不成功就读取下一条字典进行认证，直至字典被读取完，如果认证成功，则将该模块的结果上传至服务端。

服务器入侵痕迹溯源巡检模块，用于：通过分析服务的日志内容,分析出网络安全隐患问题。

服务器入侵痕迹溯源巡检模块主要巡检服务器的7个主要部分,其中分别为服务器日志、终端历史记录(即history)，服务器用户列表、WEB应用目录、服务器计划任务、可疑进程、服务器配置项。

服务器日志巡检的实现思路是：基于服务器进程资源分配快速测绘模块的结果,找出可能存在网络安全问题的服务，去定位这些服务的日志文件存储位置，第一种思路是整理一份常见服务的日志文件存储目录字典，进行枚举检测是否存在，第二种思路是通过读取服务的配置文件然后找到与日志记录相关的配置从而进行日志文件定位。

终端历史记录巡检的实现思路是：以root权限运行的agent客户端读取存储在本地的各用户的终端history记录,使用编写好的分析插件对其进行分析,从中匹配出可能存在危险操作的日志记录。

WEB应用目录监控的实现思路是,在模块启动时配置需要监控的WEB应用目录,比如上传文件的存储文件夹,数据库备份文件夹等各种容易被植入木马文件的位置,启动后读取该目录中文件的文件名，创建时间，文件hash信息,该功能主要是监控脚本文件后缀,比如php,jsp,exe等后缀,因为此类后缀的文件具备命令执行的功能,如果被植入到服务器上会严重危害服务器的安全问题,如果发现脚本文件被新建、修改、删除等行为,会回传到服务端。

服务器计划任务巡检的实现思路是：读取服务器设置的所有计划任务数据，使用编写好的分析插件对其进行分析,从中匹配出可能存在危险操作的日志记录。

服务器用户列表巡检思路是:运行时获取当前时刻服务器的用户列表,实时监控该服务器是否有用户新增,用户权限问题,以及检测是否是隐藏用户,用户名是否像黑客，如果发现上报服务端

服务器可疑进程巡检思路是:实时监控服务器的进程列表,内置一份可疑危险程序的进程名清单,如果发现进程名在这份清单里,那么就上报服务端

服务器配置项巡检思路是:定时检查服务器的安全配置项,比如防火墙状态,端口放行列表,补丁安装情况,如果发现异常上报服务端。

服务器入侵痕迹溯源巡检模块的应用场景为：网络攻防总是在对抗中不断升级,不断更新技术,有些时候网络安全设备可以无法准确检测攻击行为，无法判断出攻击者是否已经对主机造成损害,此时需要一个模块对此进行查缺补漏工作,检测主机系统中是否有可疑行为出现，进一步研判该主机是否已经发生网络入侵行为。

攻击者在对一台服务器实施完攻击以后,会留下痕迹,要想排查一台主机是否已经被入侵成功，或者正在被攻击尝试等情况，除了在网络流量中溯源排查外，还可以从服务器上面提取证据，比如服务日志文件，数据库日志文件，用户终端命令历史文件，服务器配置项变更、WEB应用目录监控、可疑进程排查等角度进行入侵痕迹溯源巡检，来判断该主机是否有被入侵攻击的迹象，以及用户有无异常行为。

如图11、图12所示，通过分析服务的日志内容,分析出网络安全隐患问题；比如：

WEB服务日志,比如apache、IIS日志可以分析出是否有SQL注入攻击的行为、XSS攻击、木马植入等攻击的行为，可以从存在攻击行为的日志中提取出攻击路径、攻击发起地址等信息，分析此类日志，主要是掌握apache,iis,nginx的日志格式，以及日志储存位置,

数据库服务日志，比如Mysql,Oracle等服务可以分析出是否有爆破攻击行为，是否有大量数据导出行为、SQL注入攻击行为、以及其他可疑行为。

系统服务日志，比如lastlog、auth.log等文件，可以分析系统用户登录情况，以及最后一次登录情况，通过分析可以有无用户在非常规时间内频繁登录行为，频繁错误登录行为，以及分析提取出错误登录的密码，进一步分析单位是否存在用户数据泄露的行为。

基于服务器进程资源分配快速测绘模块的结果,找出可能存在网络安全问题的服务，去定位这些服务的日志文件存储位置，第一种思路是整理一份常见服务的日志文件存储目录字典，进行枚举检测是否存在，第二种思路是通过读取服务的配置文件然后找到与日志记录相关的配置从而进行日志文件定位。

实施例2

根据实施例1所述的一种基于Openeuler环境的监控平台agent与系统安全体检融合系统，其区别在于：

ARP探测仅在局域网环境下使用。

ARP探测存活主机的原理是通过发送ARP查询报文，来获取目标主机的MAC地址，进而获取目标主机的IP地址。探测存活主机的具体实现步骤如下：

构造一个ARP查询报文，报文中的目标IP地址为需要探测的主机IP地址，源IP地址为探测主机的IP地址，源MAC地址为探测主机网卡的MAC地址。发送ARP查询报文。如果目标主机在线，且相应功能正常，它将返回一个ARP响应报文，其中包含目标主机的MAC地址。接收到ARP响应报文之后，分析报文，从中提取出目标主机的MAC地址和IP地址等信息。

SYN-Ping主机存活探测，如图1所示，包括：服务器快速探活模块向目标TCP端口发送一个SYN包，根据目标回包的情况判断主机是否在线及响应原因；

当目标回复SYN-ACK的响应包，说明探测目标的TCP端口开放，主机在线；

当目标回复RST包，说明探测目标的TCP端口关闭，主机在线。

当没有响应包，说明主机离线。

ICMP主机存活探测包括ICMP回显请求、ICMP时间戳请求、ICMP地址掩码请求；表1为构造ICMP包时关键字段值及含义表。

表1

ICMP回显请求，如图2所示，包括：服务器快速探活模块向目标发送一个ICMP-echo包，根据目标回包情况判断主机是否在线及相应原因；

当目标回复ICMP-reply包，说明主机在线；

当没有响应包，说明主机离线；

ICMP时间戳请求，如图3所示，包括：服务器快速探活模块向目标发送一个ICMP-timestamp包，根据目标回包情况判断主机是否在线及相应原因；

当目标回复ICMP-timestamp包，说明主机在线；

当没有响应包，说明主机离线；

ICMP地址掩码请求，如图4所示，包括：服务器快速探活模块向目标发送一个ICMP-address-mask包，根据目标回包情况判断主机是否在线及相应原因；

当目标回复ICMP-address-mask包，说明主机在线。

当没有响应包，说明主机离线。

TCP主机存活探测支持SYN-Ping主机存活探测和ACK-Ping主机存活探测两种，默认端口是80。表2为构造TCP包时关键字段值及含义表。

表2

如图5所示，UDP主机存活探测携带UDP负载，默认端口40，125；UDP主机存活探测的具体实现过程包括：

UDP主机存活探测向目标UDP端口发送一个ACK包，根据目标回包情况判断主机是否在线及相应原因；

当目标回复UDP包，说明探测的目标端口开放，从而证明主机在线；

当目标回复ICMP端口不可达包，说明探测的目标UDP端口关闭，从而证明主机在线；

当没有响应包，说明主机离线。

调用系统进程服务识别功能对开放的端口进行服务名识别，如图7所示，包括：

向开放的端口发送相应的指纹，接收相应内容并匹配结果，若没有相应结果或者匹配失败，则依次尝试其他指纹，连接超时设置为5秒，如果超时则结束；响应的超时可以指定，此响应超时为每个指纹的探测时间，从发送指纹的那一刻计时，即不包括连接建立时间。

从指纹库中获取一个指纹并发送，对于TCP主机存活探测的服务，建立连接后不发送任何请求指纹，只等待接收结果，建立连接后，主动响应标语的服务；如SSH,Telnet等服务。对于UDP主机存活探测的服务探测和后续的TCP主机存活探测的服务，则依次用其他合适的指纹进行探测，如果没有合适的指纹则结束探测。

调用WEB应用指纹识别，如图8所示，包括：

使用网络爬虫向WEB服务端口发送自定义的HTTP请求，如果不超时，则获取到HTTP响应头和响应体，将本地指纹库读取进程序内存中，逐一使用指纹规则对HTTP响应头和响应体进行匹配，如果匹配不到，则读取使用下一条指纹规则。

WEB指纹库指纹规则共有三类，比如：

title＝“ABC”则表示网站标题中如果含有ABC字样则表示命中该规则。

Header＝“Apache”则表示网站响应header中如果含有Apache字样则表示命中该规则。

Body＝“有限公司”则表示HTTP响应体中含有“有限公司”字样则表示命中该规则。

针对不同的服务日志,编写对应的网络安全风险日志研判插件,如图12所示，包括：将日志中的风险因素匹配出来,将结果整理上报给服务端；掌握不同服务的日志文件格式，针对日志格式编码出兼容性强的正则表达式匹配代码。必要时比如面对日志文件过大需要增加并发分析逻辑，以增加插件分析速度。

实施例3

实施例1或2所述的基于Openeuler环境的监控平台agent与系统安全体检融合系统的工作方法，包括：

未接入管理平台的服务器快速探活模块中，对同一C类地址段进行服务器快速探活，用来确定服务器是否在线，监测目标是否有响应包，探测协议类型包括ARP、ICMP、TCP、UDP协议；具体包括ARP探测、SYN-Ping主机存活探测、ICMP主机存活探测、TCP主机存活探测、UDP主机存活探测；在探测到主机存活以后，向存活主机的发送tcp连接请求，如果存活主机开放，并且未能获取到客户端指纹，判定该主机未接入管理平台，将该主机加入管理平台进行管理；

服务器进程资源分配快速测绘模块中，依次实现调用系统进程信息提取功能，调用系统进程信息分析功能，调用系统进程服务识别功能对开放的端口进行服务名识别，调用WEB应用指纹识别功能，调用数据分析融合功能，调用数据回传功能；

服务弱认证风险快速巡检模块中，基于服务器进程资源分配快速测绘模块获取的主机服务器的结果,从中筛选出存在认证的服务；读取内置弱口令密码字典文件，其中弱口令密码字典文件支持服务端平台下发自定义的弱口令密码字典文件，同时内置一份基础的字典文件用于快速巡检是否有存在弱认证的服务，分为在线巡检和离线巡检两种方式，在线巡检需要对此类应用服务的登录认证原理过程进行学习掌握，用编程语言对此进行编码；离线巡检是指不通过建立连接服务进行巡检；

服务器入侵痕迹溯源巡检模块中，通过分析服务的日志内容,分析出网络安全隐患问题。

攻击者在入侵成功后会对在终端执行一些命令，比如wget命令下载木马,useradd命令新增隐藏账户等行为，因为需要编写插件准确分析用户终端历史记录文件，同时应该定时去检测系统账户列表,看是否有隐藏账户或者可疑账户出现,如果有则记录回传给服务端。

如图13、图14所示，WEB应用目录监控的实现思路是,在模块启动时配置需要监控的WEB应用目录,比如上传文件的存储文件夹,数据库备份文件夹等各种容易被植入木马文件的位置,启动后读取该目录中文件的文件名，创建时间，文件hash信息,该功能主要是监控脚本文件后缀,比如php,jsp,exe等后缀,因为此类后缀的文件具备命令执行的功能,如果被植入到服务器上会严重危害服务器的安全问题,如果发现脚本文件被新建、修改、删除等行为,会回传到服务端。

Claims (10)

1.一种基于Openeuler环境的监控平台agent与系统安全体检融合系统，其特征在于，包括：

未接入管理平台的服务器快速探活模块，用于：对同一C类地址段进行服务器快速探活，用来确定服务器是否在线，监测目标是否有响应包，探测协议类型包括ARP、ICMP、TCP、UDP协议；具体包括ARP探测、SYN-Ping主机存活探测、ICMP主机存活探测、TCP主机存活探测、UDP主机存活探测；在探测到主机存活以后，向存活主机的发送tcp连接请求，如果存活主机开放，并且未能获取到客户端指纹，判定该主机未接入管理平台，将该主机加入管理平台进行管理；

服务器进程资源分配快速测绘模块，用于：依次实现调用系统进程信息提取功能，调用系统进程信息分析功能，调用系统进程服务识别功能对开放的端口进行服务名识别，调用WEB应用指纹识别功能，调用数据分析融合功能，调用数据回传功能；

调用系统进程信息提取功能，对服务器操作系统类型进行识别判断，根据操作系统类型调用不同的函数去提取该服务器进程资源的PID号；调用系统进程信息分析功能，采用自研分析算法，在尽量少占用系统资源的同时，对所有进程的PID号进行分析，获取使用进程名、进程的启动参数、进程的CPU占用、内存占用、网络吞吐信息、进程树信息信息；调用系统进程服务识别功能对开放的端口进行服务名识别，分析出该端口的服务名以及使用的协议类型、服务指纹、服务版本信息；调用WEB应用指纹识别功能，在进行完服务名识别后，如果该服务是WEB服务,那么通过WEB指纹库来进行识别,识别该WEB服务所搭载的组件、框架、应用的详细信息；调用数据分析融合功能，将Agent客户端获取到的CPU信息、内存信息、主机信息、IP地址信息、磁盘信息、网卡信息、进程信息，以字典键值对的形式，整合在一个大的字典变量中；调用数据回传功能，将数据分析融合以后回传到数据中心接口,数据中心接口收到后将这些信息储存到数据库中；

服务弱认证风险快速巡检模块，用于：基于服务器进程资源分配快速测绘模块获取的主机服务器的结果,从中筛选出存在认证的服务；读取内置弱口令密码字典文件，其中弱口令密码字典文件支持服务端平台下发自定义的弱口令密码字典文件，同时内置一份基础的字典文件用于快速巡检是否有存在弱认证的服务，分为在线巡检和离线巡检两种方式，在线巡检需要对此类应用服务的登录认证原理过程进行学习掌握，用编程语言对此进行编码；离线巡检是指不通过建立连接服务进行巡检；

服务器入侵痕迹溯源巡检模块，用于：通过分析服务的日志内容,分析出网络安全隐患问题。

2.根据权利要求1所述的一种基于Openeuler环境的监控平台agent与系统安全体检融合系统，其特征在于，ARP探测仅在局域网环境下使用。

3.根据权利要求1所述的一种基于Openeuler环境的监控平台agent与系统安全体检融合系统，其特征在于，SYN-Ping主机存活探测，包括：服务器快速探活模块向目标TCP端口发送一个SYN包，根据目标回包的情况判断主机是否在线及响应原因；

当目标回复SYN-ACK的响应包，说明探测目标的TCP端口开放，主机在线；

当目标回复RST包，说明探测目标的TCP端口关闭，主机在线；

当没有响应包，说明主机离线。

4.根据权利要求1所述的一种基于Openeuler环境的监控平台agent与系统安全体检融合系统，其特征在于，ICMP主机存活探测包括ICMP回显请求、ICMP时间戳请求、ICMP地址掩码请求；ICMP回显请求，包括：服务器快速探活模块向目标发送一个ICMP-echo包，根据目标回包情况判断主机是否在线及相应原因；

当目标回复ICMP-reply包，说明主机在线；

当没有响应包，说明主机离线；

ICMP时间戳请求，包括：服务器快速探活模块向目标发送一个ICMP-timestamp包，根据目标回包情况判断主机是否在线及相应原因；

当目标回复ICMP-timestamp包，说明主机在线；

当没有响应包，说明主机离线；

ICMP地址掩码请求，包括：服务器快速探活模块向目标发送一个ICMP-address-mask包，根据目标回包情况判断主机是否在线及相应原因；

当目标回复ICMP-address-mask包，说明主机在线；

当没有响应包，说明主机离线。

5.根据权利要求1所述的一种基于Openeuler环境的监控平台agent与系统安全体检融合系统，其特征在于，TCP主机存活探测支持SYN-Ping主机存活探测和ACK-Ping主机存活探测两种，默认端口是80。

6.根据权利要求1所述的一种基于Openeuler环境的监控平台agent与系统安全体检融合系统，其特征在于，UDP主机存活探测携带UDP负载，默认端口40，125；UDP主机存活探测的具体实现过程包括：

UDP主机存活探测向目标UDP端口发送一个ACK包，根据目标回包情况判断主机是否在线及相应原因；

当目标回复UDP包，主机在线；

当目标回复ICMP端口不可达包，主机在线；

当没有响应包，说明主机离线。

7.根据权利要求1所述的一种基于Openeuler环境的监控平台agent与系统安全体检融合系统，其特征在于，调用系统进程服务识别功能对开放的端口进行服务名识别，包括：

向开放的端口发送相应的指纹，接收相应内容并匹配结果，若没有相应结果或者匹配失败，则依次尝试其他指纹，如果超时则结束；

从指纹库中获取一个指纹并发送，对于TCP主机存活探测的服务，建立连接后不发送任何请求指纹，只等待接收结果，建立连接后，主动响应标语的服务；对于UDP主机存活探测的服务探测和后续的TCP主机存活探测的服务，则依次用其他合适的指纹进行探测，如果没有合适的指纹则结束探测。

8.根据权利要求1所述的一种基于Openeuler环境的监控平台agent与系统安全体检融合系统，其特征在于，调用WEB应用指纹识别，包括：

使用网络爬虫向WEB服务端口发送自定义的HTTP请求，如果不超时，则获取到HTTP响应头和响应体，将本地指纹库读取进程序内存中，逐一使用指纹规则对HTTP响应头和响应体进行匹配，如果匹配不到，则读取使用下一条指纹规则。

9.根据权利要求1-8任一所述的一种基于Openeuler环境的监控平台agent与系统安全体检融合系统，其特征在于，针对不同的服务日志,编写对应的网络安全风险日志研判插件,包括：将日志中的风险因素匹配出来,将结果整理上报给服务端；掌握不同服务的日志文件格式，针对日志格式编码出兼容性强的正则表达式匹配代码。

10.权利要求1-9任一所述的基于Openeuler环境的监控平台agent与系统安全体检融合系统的工作方法，其特征在于，包括：

未接入管理平台的服务器快速探活模块中，对同一C类地址段进行服务器快速探活，用来确定服务器是否在线，监测目标是否有响应包，探测协议类型包括ARP、ICMP、TCP、UDP协议；具体包括ARP探测、SYN-Ping主机存活探测、ICMP主机存活探测、TCP主机存活探测、UDP主机存活探测；在探测到主机存活以后，向存活主机的发送tcp连接请求，如果存活主机开放，并且未能获取到客户端指纹，判定该主机未接入管理平台，将该主机加入管理平台进行管理；

服务器进程资源分配快速测绘模块中，依次实现调用系统进程信息提取功能，调用系统进程信息分析功能，调用系统进程服务识别功能对开放的端口进行服务名识别，调用WEB应用指纹识别功能，调用数据分析融合功能，调用数据回传功能；

服务弱认证风险快速巡检模块中，基于服务器进程资源分配快速测绘模块获取的主机服务器的结果,从中筛选出存在认证的服务；读取内置弱口令密码字典文件，其中弱口令密码字典文件支持服务端平台下发自定义的弱口令密码字典文件，同时内置一份基础的字典文件用于快速巡检是否有存在弱认证的服务，分为在线巡检和离线巡检两种方式，在线巡检需要对此类应用服务的登录认证原理过程进行学习掌握，用编程语言对此进行编码；离线巡检是指不通过建立连接服务进行巡检；

服务器入侵痕迹溯源巡检模块中，通过分析服务的日志内容,分析出网络安全隐患问题。