CN101719846A - 安全监控方法、装置及*** - Google Patents
安全监控方法、装置及*** Download PDFInfo
- Publication number
- CN101719846A CN101719846A CN200810223727A CN200810223727A CN101719846A CN 101719846 A CN101719846 A CN 101719846A CN 200810223727 A CN200810223727 A CN 200810223727A CN 200810223727 A CN200810223727 A CN 200810223727A CN 101719846 A CN101719846 A CN 101719846A
- Authority
- CN
- China
- Prior art keywords
- network
- new
- characteristic information
- file
- connects
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了安全监控方法、装置及***,用于解决现有技术中计算机设备安全监控不及时与不准确的问题。本发明安全监控方法包括如下步骤:保存合法监控对象的特征信息;在被监控设备上出现新的监控对象时,生成该新监控对象的特征信息;比较新监控对象的特征信息与保存的合法监控对象的特征信息,根据比较结果确认新的监控对象是否安全。采用本发明可及时发现非法文件或网络连接以及潜在的非法文件或网络连接,从而为及时有效的制止对计算机设备的攻击行为提供了保证。
Description
技术领域
本发明涉及通信及计算机技术领域,尤其涉及安全监控方法、装置及***。
背景技术
随着网络技术的发展,信息安全成为整个互联网不可忽视的问题,目前信息安全事件层出不穷,而现有的安全监控技术和信息安全防护技术总是滞后于各类攻击手段的变化和发展。
对主机的入侵攻击,通常包括两种形式:在被攻击主机上执行***攻击代码,或者建立到被攻击主机的网络连接通道并通过该通道入侵到主机。
现有的信息安全监控技术和信息安全防护技术,主要包括以下几类:病毒防护***、网络防火墙、主机防火墙、入侵检测***(Intrusion Detect System,IDS)、入侵防御***(Intrusion Prevention System,IPS)等。
针对在被攻击主机上执行***攻击代码的入侵方式,现有的信息安全防护技术中已被大规模应用的技术主要包括:基于恶意代码特征库的代码扫描技术、基于特征库的包过滤技术、基于规则的包过滤技术,此外还包括基于启发式过滤技术;现有技术中信息安全监控技术主要是通过对上述***的相关日志进行分析来完成,实时性和准确性不能保证。
下面对现有技术中最为常用的三种安全技术进行描述:
1、基于特征码的安全技术
现有技术中,基于特征码的安全技术是在特征库中储存已出现的恶意代码的特征码,根据特征库判断新出现的代码是否为恶意代码,当检测出该代码的特征码与特征库中储存特征码相同时,则判断该代码为恶意代码,并对它进行及时的处理;当新出现的代码的特征码不在特征库中时,就检测不出该出现的代码是否为恶意代码,只有该恶意代码产生比较严重的后果时才会整理出该恶意代码的特征码,并将其保存到特征库中,并更新特征库中的信息。因此采用这类技术的安全产品其有效防护滞后期通常为1-2周以上。并且随着恶意代码的种类和数量不断增多,特征库实际上很难保证十分全面的收集恶意代码的特征码。
2、基于规则的安全技术
规则通常是人为设置的,因此基于规则的安全技术通常只能防御利用规则筛选出的恶意行为,而对那些潜伏在规则内的恶意行为则不能防御。由于设置的规则具有普遍性和强制性,因此采用基于规则的信息安全技术虽然可以抵制部分恶意行为,但也会对一些正常的应用程序产生影响。
3、基于启发式的安全技术
基于启发式的安全技术是为解决恶意代码不断变种等问题而提出的,但启发式安全技术应用了基于特征码和基于规则的安全技术,因此基于启发式安全技术也存在这着上述两种安全技术的缺点,只是程度不同。
目前为了防止在被攻击主机上执行***攻击代码,大规模应用的安全***通常是由上述三类技术综合而成的,因此现有技术存在着以下缺陷:一是攻击行为发现的滞后性;二是对新产生的攻击行为的不可预测性。由于这两个缺陷,使得当出现一种新的攻击行为时不能在第一时间发现并处理,并且没有行之有效的方法去及时控制或防御新的攻击行为。
针对建立到被攻击主机的网络连接通道并通过该通道入侵到主机,现有的主机防火墙采用基于主机进程网络访问策略的主机网络安全防护手段;网络防火墙采用基于源IP地址、目的IP地址、端口号、协议类型的网络安全防护手段;IDS采用基于网络数据包内容的网络安全监控手段;而IPS则是网络防火墙和IDS的结合的手段。
上述现有网络安全技术在很大程度上可以监护、防御来自主机和网络上的各类攻击行为。但是上述安全手段并不能实现绝对的安全,尤其由于新的攻击方式的不断出现,仅仅通过上述技术或者上述技术的简单组合不可能对一些新兴的、潜在的攻击行为进行完全有效的监控和防御。
因此现有技术面对通过网络连接进行的攻击行为的不可预测性,缺乏行之有效的方法去及时控制或防御。
发明内容
本发明提供一种安全监控的方法、装置及***,以解决现有技术中对计算机设备上的非法对象的安全监控不及时与不准确的问题。
本发明提供以下技术方案:
一种安全监控方法,包括:
保存合法监控对象的特征信息;
在被监控设备上出现新的监控对象时,生成该新监控对象的特征信息;
比较新监控对象的特征信息与保存的合法监控对象的特征信息,根据比较结果确认新的监控对象是否安全。
一种主机安全监控装置,包括:
存储模块,用于保存合法监控对象的特征信息;
监控模块,用于在被监控设备上出现新的监控对象时,生成该新监控对象的特征信息;
确认模块,用于比较新监控对象的特征信息与保存的合法监控对象的特征信息,根据比较结果确认新的监控对象是否安全。
一种安全监控***,包括:
客户代理装置,用于在该客户端代理装置所监控的设备上出现新的监控对象时,生成该新监控对象的特征信息并发送;
服务器,用于接收客户代理装置发送的所述新监控对象的特征信息,将其与保存的合法监控对象的特征信息进行比较,并根据比较结果确认新的监控对象是否安全。
本发明上述实施例中,预先保存合法监控对象的特征信息,当被监控设备上出现新的监控对象时,生成新的监控对象的特征信息,并将其与预先保存的合法监控对象的特征信息进行比较,从而根据比较结果确定该新的监控对象是否安全。一方面在新的监控对象出现时进行特征信息的分析判断,从而可及时发现被监控设备上的非法对象,为及时制止该非法对象攻击被监控设备的恶意行为提供了前提保障;另一方面,在进行监控对象合法性判断时基于预先保存的合法监控对象的特征信息进行,可提高安全监控的准确性。比如,当监控对象为文件时,对于特征信息与预先保存的合法文件的特征信息不符的文件均确认为不安全的文件,其中可能包括潜在的非法文件,如不断新生或变形的恶意代码,从而在一定程度上提高了安全监控的准确性,并进一步为及时制止不断变种的恶意代码对设备的攻击提供了保障。又比如,当监控对象为网络连接时,对于特征信息与预先保存的合法网络连接的特征信息不符的网络连接均确认为不安全的网络连接,其中可能包括因通过该网络连接允许的进程非法而将该网络连接判断为不安全的网络连接,从而在一定程度上提高了安全监控的有效性,并进一步为及时制止通过潜在的不安全网络连接对设备的攻击提供了保障。
附图说明
图1为本发明实施例一的主机安全监控方式流程图;
图2为本发明实施例一的安全监控装置的结构示意图;
图3为本发明实施例一的安全监控***的结构示意图;
图4为本发明实施例一的安全监控***的功能结构示意图;
图5为本发明实施例二的安全监控方式流程图;
图6为本发明实施例二的安全监控装置的结构示意图;
图7为本发明实施例二的安全监控***的结构示意图;
图8为本发明实施例二的安全监控***的功能结构示意图。
具体实施方式
本发明提出了安全监控的方法、装置及***,可应用于计算机设备(如主机)。本发明提供的技术方案中,通过预先保存合法监控对象的特征信息,当被监控设备上出现新的监控对象时,生成该新监控对象的特征信息,并将其与预先保存的合法监控对象的特征信息进行比较,并根据比较结果确认新的监控对象是否安全。下面结合附图对本发明实施例进行详细描述。
实施例一
本实施例描述针对监控对象为文件时的安全监控方案,即针对在被攻击主机上执行***攻击代码的入侵方式的安全监控方案。
依靠代码实施的攻击行为通常分为两种:一种是基于脚本的攻击,另一种是基于二进制可执行程序的攻击。无论攻击者采用哪一种攻击方式,通常都要在被攻击的操作***中生成一个或多个直接执行或间接执行的文件(如可执行文件、动态连接库文件等,以下简称为文件),而不同的攻击方式,对应生成的文件内容也是不同的。
本实施例中,在对计算机设备或网络设备(如主机)进行安全监控之前,需要对合法文件做统计汇总,并记录合法文件所对应的二进制代码的特征信息,作为判断文件是否合法的依据。由于操作***中的文件数量多,而且一个文件的数据量可能也比较大,因此本实施例中,根据合法的文件的二进制代码生成一定长度(通常小于文件二进制代码的长度)的特征码并进行存储。
根据合法的文件的二进制代码生成该文件的特征码,可采用统一的算法实现。选用的算法应尽量保证根据不同文件代码生成的特征码也不相同,例如,可选用信息安全领域加密算法中常用的散列算法,采用该算法的具体实现可以为:
选用信息摘要算法:h=H(f)作为生成文件特征码的算法函数,根据h=H(f)分别对合法文件f1、f2...fn的二进制代码进行运算处理,分别可得这些合法文件的特征码:h1=H(f1),h2=H(f2),......,hn=H(fn),将这些合法文件的特征码保存在需要进行安全监控的主机上或保存到该主机能够访问的其它设备上。选用的信息摘要算法可以为MD5、MD4或SHA1、SHA128、SHA512等以及其他一些常用的信息摘要算法。
基于保存的合法的文件的特征码,对主机的运行情况进行安全监控的流程可参见图1。
参见图1,为本发明实施例的主机安全监控的流程示意图,该流程包括:
步骤101、监控主机上的文件,主要是监控主机上是否出现新的文件。
该步骤中,监控是否出现新的文件可以通过文件快照或进程监控等方式。
步骤102、当监控到主机上出现新的文件时,执行步骤103,否则执行步骤101。
步骤103、根据该新的文件的二进制代码生成该文件对应的特征码。
该步骤中,生成该新的文件的特征码所采用的算法与生成预先保存的合法文件的特征码采用的算法一致。
步骤104、将该新的文件的特征码与保存的合法文件的特征码进行比较,如果比较结果一致,则执行步骤105;否则执行步骤106。
在该步骤中,将该新的文件的特征码与保存的合法文件的特征码进行比较,如果能在保存的合法文件的特征码中找到与该新的文件相同的特征码时,则确认该新的文件为合法文件,否则,认为该新的文件是非法文件或合法性待定的文件,如未授权的文件或攻击性文件。
步骤105、确认该新的文件为合法文件,并进一步按常规方式处理,如执行该文件。
步骤106、确认该新的文件为非法文件或合法性待定的文件,并可进一步拒绝执行该新的文件或/和启动安全告警。
该步骤中,在确认该新的文件为非法文件或合法性待定的文件后,如果需要采取较为严格的安全监控措施,则可要求主机***拒绝执行该文件,还可进一步启动安全告警以及安全日志操作,通过安全日志操作可记录该文件的相关信息(如文件名、生成时间)以及告警原因。如果采取较为灵活的安全监控措施,则可要求主机***启动安全告警,将告警信息(如文件名、告警原因等信息)以及可选的操作(如拒绝执行或允许执行)提供给用户,并根据用户的选择进行相应处理,并可进一步启动安全日志操作,***管理员可以根据安全日志记录确认记录的文件是否是非法文件,当该文件是一个新的合法文件而不是非法文件时,可根据该新的文件的二进制代码生成该文件的特征码并将其保存,以便后续主机安全监控过程中,不会再将该文件判断为非法文件。
根据上述流程的一个实例为:主机的***磁盘(如磁盘C)上有三个合法的文件:a.exe、b.exe及c.bat,且这三个合法文件对应的特征码如表1所示:
表1
序号 | 文件名 | 特征码 |
1 | a.exe | 83A915AF6CE79A4702FB02EDC48EF8D22D4D86EA |
2 | b.exe | 321C45ADD50F913550954EC452347B6B863AAB8F |
3 | c.bat | 986210DE55154E01C7D739333D44122B98B1DA38 |
当监控到磁盘C上出现两个新的文件d.exe和f.cmd时,采用信息摘要算法根据这两个新的文件的二进制代码分别计算得到两个文件的特征码,如下所示:
d.exe的特征码为:83A915AF6CE79A4702FB02EDC48EF8D22D4D86EA;
f.cmd的特征码为:30EA7CB0E511D949376A114DDAC8510993CFDFE7;
分别将d.exe文件和f.cmd文件的特征码与预先保存的合法文件的特征码(表1所示)进行比较,通过比较可知d.exe文件的特征码与表1中a.exe文件的特征码相同,则可以判定d.exe文件是合法文件;而f.cmd文件的特征码在表1中找不到与其相同的特征码,则可以判定文件f.cmd是非法文件或合法性待定的文件。
本实施例提供的主机安全监控流程可在单机上执行,也可基于C/S(客户端/服务器)架构执行。
在单机模式下,该主机可通过其上安装的安全监控装置对该主机进行安全监控,安全监控装置的结构可如图2所示,包括存储模块20、监控模块21、确认模块22,其中:
存储模块20中存储有合法文件的特征码;
监控模块21,用于监控主机上是否出现新的文件,并当主机上出现新的文件时,生成所述新的文件的特征码;
确认模块22,用于将监控模块21生成的特征码与存储模块20中预先保存的合法文件的特征码进行比较,并根据比较结果确认该新的文件是否为合法文件,具体为:当比较结果表明生成的特征码与预先保存的合法的文件的特征码一致时,确定所述新的文件为合法文件;否则,确定所述新的文件为非法文件或合法性待定的文件。
可选的,该安全监控装置还可以包括处理模块23,用于在确认模块22确认新的文件为合法文件时,保持该新的文件按常规方式处理,如该新的文件继续执行;在确认新的文件为非法文件或合法性待定的文件后,停止或拒绝执行该文件,或/和启动安全告警。
在C/S模式下的安全监控***架构可如图3所示,其中包括客户代理装置(Agent)31和服务器(Server)32,Agent为一个或多个(图3中仅示出一个),Agent通常安装在需要被监控的设备上(如主机),其中:
Agent 31,用于监控该Agent所在的主机或该Agent所监控的主机上是否出现新的文件,当监控到新的文件时,生成该新的文件的特征信息并发送;
服务器32,用于接收Agent 31发送的特征信息,将其与预先保存的合法的文件的特征信息进行比较,根据比较结果确认与接收到的特征信息对应的文件(即被监控主机上出现的新的文件)是否为合法文件,并可进一步当确认该文件为非法文件或合法性待定文件时启动安全告警。
该***中的Agent 31可包括监控模块311以及输出模块312,其中:
监控模块311,用于监控该Agent 31所在的主机或所监控的主机上是否出现新的文件,当监控到出现新的文件时,根据该新的文件的二进制代码生成该文件对应的特征码;
输出模块312,用于将监控模块311生成的特征码信息发送至服务器32。
该***中的服务器32可包括存储模块320、接收模块321、确认模块322以及告警模块323,其中:
存储模块320中存储有合法文件的特征码;
接收模块321,用于接收Agent发送的特征码信息;
确认模块322,用于将接收模块321接收到的特征码与存储模块320中预先保存的合法文件的特征码进行比较,根据比较结果确认该新的文件是否为合法文件,具体为:当比较结果一致时,确认该新的文件为合法文件;当比较结果不一致时,确认该新的文件为不合法文件或者合法性待定的文件;
告警模块323,用于当确认模块322的确认结果为该新的文件为非法文件或合法性待定的文件时,启动安全告警,并可进一步将告警信息发送给Agent31。
由于主机上合法文件的数量比较多,因而需要保存的这些合法文件的特征码信息量也比较多,并且对特征码进行比较的工作量也较大,采用集中存储、集中判断的C/S模式可将安全监控及处理任务合理分配到客户端和服务器端来实现,降低了主机的负载,提高了处理效率。C/S模式更利于处理大量数据,且客户端实现与服务器直接相连,没有中间环节,因此响应速度快。
本发明实施例监控主机上是否出现新的文件,并且在监控到新的文件时,根据该新的文件的二进制代码计算出该文件的特征码,并将该特征码与预先保存在服务器或者主机上的合法文件的特征码进行比较来判断该新的文件是否合法。通过这种方式,有效地限制了攻击者通过在被攻击的主机上执行***攻击代码而对主机进行攻击的恶意行为,以达到及时发现恶意行为,并进一步及时对恶意行为进行制止的目的。
需要说明的是,除上述通过文件的二进制代码生成该文件的特征码以外,本领域技术人员还可根据现有技术采用其他方式生成文件的特征信息。
在实际应用中,具体实现时,既可采用单机模式也可采用C/S模式。
参见图4,为本发明实施例的主机安全监控***功能架构图。该***架构为三层架构:客户代理Agent-服务器Server-客户端Client(对应于采集功能层-识别功能层-应用功能层,各功能均可由程序代码实现),其中Agent安装在各个被监控的主机上,Server运行于网络中的服务器,用于各主机信息的收集及安全事件的识别,Client可运行在任意一台管理PC终端上,用于对安全事件的监控和处理。其中:
采集功能层,用于实现信息采集功能,包括文件的特征码生成,例如,当在主机上监控到新的文件时,生成该文件的特征码,并将该生成的特征码信息发送至识别功能层;
识别功能层中可包括可信文件特征代码库(HDB)、违规事件识别模块、安全事件告警处理模块、安全日志处理模块和可信策略更新模块。识别功能层中的违规事件识别模块接收到文件特征码信息后,与HDB中预先保存的合法文件的特征码进行比较,当根据比较结果确认对应的文件不合法或合法性待定时,启动安全事件告警处理模块进行告警,将告警信息发送至应用功能层。可选的,还可进一步启动安全日志处理模块,以便记录下该文件的特征信息及告警原因,以便管理员后续进行安全事件分析和统计,以及更新HDB。
应用功能层,用于在接收到的告警信息后展现给用户,可通过多媒体方式进行展示。
实施例二
本实施例描述针对监控对象为网络连接时的安全监控方案,即,针对建立到被攻击主机的网络连接通道并通过该通道入侵主机的入侵行为的安全监控方案。
在需要进行安全监控的计算机设备或网络设备(如主机)上获取当前网络连接的连接属性信息以及生成通过该网络连接运行的进程的特征信息,并将获取到的网络连接的连接属性信息和生成的进程的特征信息,与预先保存的被视为安全的网络连接(即合法网络连接)的连接属性信息和该安全网络连接允许执行的合法进程的特征信息对应进行匹配,根据匹配结果确认主机上的网络连接是否安全,并可进一步根据确认结果进行相应的处理,如,当确认该网络连接安全时,按常规方式处理(如保持该网络连接或连通该网络连接);当确认该网络连接不安全时,启动安全告警。
本实施例中,在对主机进行安全监控之前,需要对视为安全的网络连接以及该安全网络连接所允许执行的合法进程做统计汇总,并保存视为安全的网络连接的连接属性信息和该安全网络连接所允许执行的合法进程的特征信息,作为判断网络连接是否安全的依据。可以以列表方式保存安全网络连接的连接属性信息以及对应的进程的特征信息。网络连接的连接属性信息包括该连接的协议类型、源地址、目的地址、端口号,安全网络连接所允许执行的合法进程的特征信息为允许在该网络连接的端口上执行的合法进程的特征码。安全的网络连接的连接属性信息及其对应的进程的特征信息可保存在主机本地或主机能够访问的其他设备。
安全网络连接的端口所允许执行的合法进程的特征码可根据该进程的二进制代码生成。根据进程的二进制代码生成该进程的特征码的过程可如前所述,在此不再赘述。
基于保存的安全网络连接的连接属性信息及其对应的合法进程的特征信息,可对该主机的运行情况进行安全监控。
图5给出了本发明实施例的主机安全监控方式流程,包括如下步骤:
步骤501、监控主机上的网络连接,获取主机当前的网络连接的连接属性信息,以及生成通过该网络连接运行的进程的特征码。
对于本领域技术人员来说,可通过现有的多种方式实现对主机上的网络连接进行监控,如通过监控主机上的IP协议栈的情况,监控主机TCP/UDP连接情况等。一种具体的实现方式是:通过执行查看网络连接的指令查询当前主机上的网络连接的情况,查询到的特征信息可包括网络连接的协议类型、源地址、目的地址、端口号等信息。并且当监控到有进程通过网络连接的端口正在运行时,生成该进程的特征码。
步骤502、将主机上的网络连接的连接属性信息和通过该网络连接运行的进程的特征信息,与预先保存的安全网络连接的连接属性信息及其对应的合法进程的特征信息对应进行比较,若主机上的网络连接的连接属性信息与安全网络连接的连接属性信息相匹配,并且主机上通过该网络连接运行的进程的特征码与安全网络连接对应的合法进程的特征码相匹配,则执行步骤503;否则,则执行步骤504。
该步骤中,如果监控到主机当前有多个网络连接,则将每个网络连接的连接属性信息及其对应的进程的特征码与安全网络连接的连接属性信息及其对应的合法进程的特征码进行比较。在进行特征信息比较时,如果网络连接的连接属性信息中的协议类型、源地址、目的地址和端口号分别与安全网络连接的连接属性信息中的相应信息一致,并且通过主机上的网络连接的端口运行的进程的特征码与安全网络连接对应的合法进程的特征码一致,则认为比较结果匹配。如果安全网络连接的连接属性信息中的地址(源地址或/和目的地址)以IP地址范围表示,则在主机上的网络连接的协议类型、端口号和进程的特征码分别与安全网络连接的相应信息一致前提下,若主机上的网络连接的IP地址在该相应的IP地址范围内,则认为比较结果相匹配。
步骤503、确认主机上的网络连接为安全的网络连接,可进一步按常规方式处理。
步骤504、确认主机上的网络连接为不安全的网络连接,并可进一步启动安全告警。
上述流程中,当获取到主机当前的网络连接的协议类型、源IP地址、目的IP地址和端口号时,可先与安全网络连接的相关信息进行比较,当两者不匹配时,则可确定该网络连接为不安全的网络连接;当两者匹配时,则进一步根据该网络连接的端口执行的进程生成特征码,并将生成的特征码与相应的安全的网络连接所对应的合法进程特征码进行比较,从而判断该网络连接是否安全。这样,可针对通过协议类型、地址、端口信息初步判断为安全的网络连接再通过进程特征码的判断,最终确定其安全与否,与图1的流程相比可减少***资源消耗、提高***效率。
上述流程可周期进行,即,监控主机上的网络连接、获取网络连接的连接属性信息及通过该网络连接运行的进程的特征码的操作可周期进行,以便能及时对主机上的网络连接进行分析和判断,从而及时发现不安全的网络连接。
根据上述流程的一个实例为:预先保存的安全网络连接的信息如表2所示:
表2
序号 | 协议类型 | 源IP地址 | 目的IP地址 | 目的端口号 | 执行进程特征码 |
1 | TCP | 10.142.8.* | 10.142.1.1 | 80 | 83A915AF6CE79A4702FB02EDC48EF8D22D4D86EA |
2 | TCP | 10.142.6.* | 10.142.3.2 | 9901 | 321C45ADD50F913550954EC452347B6B863AAB8F |
3 | UDP | 10.142.4.32 | 10.142.9.3 | 8804 | 321C45ADD50F913550954EC452347B6B863AAB8F |
如表2所示,预先存储有安全网络连接的信息,表中记录有安全网络连接的协议类型、源IP地址、目的IP地址、目的端口号以及允许执行的合法进程的特征码等信息。
被监控的计算机设备主机A的IP地址为10.142.1.1,主机A监控到该主机上当前有一个网络连接,并获取到该网络连接的协议类型为TCP、源IP地址为10.142.8.31、目的IP地址为10.142.1.1、目的端口号为80,在该端口有两个进程正在运行,一个是iexplorer.exe(IE浏览器),另一个是spy.exe(黑客的木马程序,功能为窃取用户账号/密码)。主机A根据iexplorer.exe进程的二进制代码生成进程特征码,根据spy.exe进程的二进制代码生成进程特征码,并将网络连接的协议类型、地址、端口和生成的进程特征码与表2中的相应记录(序号为1的网络连接)进行比较,比较结果为主机A上的网络连接的协议类型、地址、端口、根据iexplorer.exe进程生成的进程特征码与序号为1的网络连接相应信息一致,但根据spy.exe进程生成的进程特征码在序号为1的网络连接中没有相应记录,则判断主机A上的该连接为不安全的网络连接,即,有不安全的进程(spy.exe进程)通过该网络连接进行数据访问。
被监控的计算机设备主机B的IP地址为10.142.3.2,主机B监控到该主机上当前有一个网络连接,并获取到该网络连接的协议类型为TCP、源IP地址为10.142.8.31、目的端口号为9901,在该端口有iexplorer.exe进程正在运行。主机B将网络连接的协议类型、地址、端口与表2中的相应记录(序号为2的网络连接)进行比较,比较结果为主机B上的网络连接的协议类型、端口与序号为2的网络连接的相应信息一致,但源IP地址与序号为2的网络连接的相应信息不一致,则判断主机B上的该连接为不安全的网络连接。
被监控的计算机设备主机C的IP地址为10.142.9.3,主机C监控到该主机上当前有一个网络连接,并获取到该网络连接的协议类型为UDP、源IP地址为10.142.4.32、目的端口号为8804,在该端口有iexplorer.exe进程正在运行,但该进程被注入了非法进程的代码,即该进程已经被非法进程所控制。主机C根据iexplorer.exe的进程的二进制代码生成进程特征码,并将网络连接的协议类型、地址、端口和生成的进程特征码与表2中的相应记录(序号为3的网络连接)进行比较,比较结果为主机C上的网络连接的协议类型、地址、端口与序号为3的网络连接相应信息一致,但生成的进程特征码与序号为3的网络连接对应的进程特征信息不一致,则判断主机C上的该连接为不安全的网络连接。
通过上述实例可以看出,在进行网络连接的安全监控过程中,既对网络连接的协议类型、地址、端口等信息进行监控,又对通过该网络连接的端口运行的进程的合法性进行监控,并且只要其中有一项与安全的网络连接的信息不符,则将该网络连接视为不安全的网络连接,以便进行安全告警等后续处理,与现有技术仅从网络连接的协议类型、地址、端口进行安全监控,或仅从进程的合法性进行安全监控相比,提高了安全监控的有效性。
本实施例提供的主机安全监控流程可在单机上执行,也可基于C/S架构执行。
在单机模式下,该主机可通过其上安装的安全监控装置对该主机进行安全监控,安全监控装置的结构可如图6所示,包括存储模块60、监控模块61以及确认模块62,其中:
存储模块60中存储有合法网络连接的特征信息,包括连接属性信息和该网络连接所允许执行的合法进程的特征信息;
监控模块61,用于当该安全监控装置所在的主机上出现新的网络连接时,获取该新的网络连接的连接属性信息,并针对通过该新的网络连接执行的进程生成该进程的特征信息;
确认模块62,用于将监控模块61获取的网络连接的连接属性信息与存储模块60中预先保存的安全网络连接的连接属性信息进行比较,将生成的进程的特征信息与相应安全网络连接所对应的合法进程的特征信息进行比较;并根据比较结果确认该网络连接是否安全,其具体实现过程可如前所述,在此不再赘述。
可选的,该安全监控装置还可以包括处理模块63,用于在确认模块62确认该设备上的网络连接不安全时,启动安全告警,还可进一步启动日志记录,记录该不安全的网络连接的连接属性信息、通过该网络连接执行的非法进程的特征码,以及告警原因。
在C/S模式下的安全监控***架构可如图7所示,包括客户代理装置(Agent)71和服务器(Server)72,Agent为一个或多个(图7中仅示出一个),Agent通常安装在需要被监控的设备上(如主机),其中:
Agent 71,用于监控该Agent所在主机或该Agent所监控的主机上的当前的网络连接,当出现新的网络连接时,获取新的网络连接的连接属性信息并发送,以及针对通过该新的网络连接执行的进程生成该进程的特征信息并发送;
服务器72,用于接收Agent 71发送的网络连接的连接属性信息和进程的特征信息,将其分别与预先保存的安全网络连接的连接属性信息和该安全网络连接对应的合法进程的特征信息进行比较,根据比较结果确认Agent 71的网络连接是否安全,并可进一步当确认该网络连接不安全时,启动安全告警。
该***中的Agent 71可包括监控模块711以及输出模块712,其中
监控模块711,用于获取主机上新的网络连接的连接属性信息,针对通过主机上新的网络连接执行的进程生成该进程的特征信息;
输出模块712,用于将监控模块711获取的连接属性信息和生成的特征信息发送至服务器72。
该***中的服务器72可包括存储模块720、接收模块721、确认模块722以及告警模块723,其中:
存储模块720中存储有合法网络连接的特征信息,包括连接属性信息和该网络连接所允许执行的合法进程的特征信息;
接收模块721,用于将接收Agent 71发送的连接属性信息和进程的特征信息;
确认模块722,用于将接收模块721接收到的连接属性信息和进程的特征信息,分别与存储模块720中预先保存的安全网络连接的连接属性信息和该安全网络连接对应的合法进程的特征信息进行比较,根据比较结果确认Agent 71监控到的新的网络连接是否安全,其具体实现过程可如前所述,在此不再赘述。
告警模块723,用于当确认模块722的确认结果为网络连接不安全时启动安全告警,并可进一步将告警信息发送至Agent 71。
在实际应用中,具体实现时,既可采用单机模式也可采用C/S模式。
参见图8,为本发明实施例的一种安全监控***功能架构图。该***架构为三层架构:客户代理Agent-服务器Server-客户端Client(对应于采集功能层-识别功能层-应用功能层,各功能均可由程序代码实现),其中Agent安装在各个被监控的主机上,Server运行于网络中的服务器,用于各主机信息的收集及安全事件的识别,Client可运行在任意一台管理PC终端上,用于对安全事件的监控和处理。其中:
采集功能层,用于实现信息采集功能,包括网络连接的连接属性信息的获取和通过网络连接运行的进程的特征信息的生成。例如,获取主机上的当前网络连接的连接属性信息并针对通过该网络连接运行的进程生成进程特征码,并将生成的进程特征码和获取到的网络连接的连接属性信息发送至识别功能层;
识别功能层中可包括可信连接规则库(ADB)、违规事件识别模块、安全事件告警处理模块、安全日志处理模块和可信策略更新模块。识别功能层中的违规事件识别模块接收到网络连接的连接属性信息和进程特征码后,与ADB中预先保存的安全网络连接的连接属性信息和对应的进程特征码进行比较,当根据比较结果确认与接收到的特征信息对应的网络连接不安全时,启动安全事件告警处理模块进行告警,将告警信息发送至应用功能层。可选的,还可进一步启动安全日志处理模块记录下该网络连接的连接属性信息、对应的进程特征码及告警原因以便管理员后续进行安全事件分析和统计。识别功能层中HDB和ADB中的信息可通过可信策略更新模块进行更新。
应用功能层,用于在接收到的告警信息后展现给用户,可通过多媒体方式进行展示。
本发明的上述实施例的应用环境可以是企业网,即在企业网内部对各类主机设备进行安全监控。在企业网内部,由于运行的应用和访问用户群是相对稳定的,从而一方面运行在企业内部的服务器通常具备比较稳定的应用,服务器上的各类可执行代码版本相对稳定,只要在初始阶段对相关服务器的进行有限次的初始化信息收集与计算即可方便地完成合法文件的特征信息的设置;另一方面,由于企业网内部的用户群通常为固定网段的IP地址,且数量相对有限,因此只需在初始阶段通过一段时间的收集,基本可以掌握服务器之间的数据访问规律,从而完成合法网络连接的连接属性信息和对应的合法进程特征信息的设置。因此在企业网内部使用本发明实施例进行安全监控简单易行。而且使用本发明实施例进行安全监控,可以避免由于新生攻击方式的出现而造成的必须不断更新特征库的问题,因而降低了***维护工作的工作量和难度。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (18)
1.一种安全监控方法,其特征在于,包括:
保存合法监控对象的特征信息;
在被监控设备上出现新的监控对象时,生成该新监控对象的特征信息;
比较新监控对象的特征信息与保存的合法监控对象的特征信息,根据比较结果确认新的监控对象是否安全。
2.如权利要求1所述的方法,其特征在于,所述监控对象为文件,所述特征信息为根据文件的二进制代码生成的特征码;
根据比较结果确认所述新的监控对象是否安全,具体为:
当比较结果为新文件的特征码与预先保存的合法文件的特征码一致时,确认所述新的文件合法;否则,确认所述新的文件非法或合法性待定。
3.如权利要求1所述的方法,其特征在于,所述监控对象为网络连接,所述特征信息包括网络连接的连接属性信息和通过该网络连接执行的进程的特征信息;
根据比较结果确认所述新的监控对象是否安全,具体为:
当比较结果为新的网络连接的连接属性信息和通过该网络连接执行的进程的特征信息,分别与预先保存的合法网络连接的相应信息相匹配时,确认所述新的网络连接安全;否则,确认所述新的网络连接不安全。
4.如权利要求3所述的方法,其特征在于,网络连接的连接属性信息包括:协议类型、地址、端口信息;
新的网络连接的连接属性信息与预先保存的合法网络连接的连接属性信息相匹配,包括:
新的网络连接的协议类型、端口号分别与合法网络连接的协议类型和端口号相同,源地址与合法网络连接的源地址相同或在其地址范围内,以及目的地址与合法网络连接的目的地址相同或在其地址范围内。
5.如权利要求3所述的方法,其特征在于,进程的特征信息为根据该进程的二进制代码生成的特征码;
通过新的网络连接执行的进程的特征信息与预先保存的合法网络连接的进程的特征信息相匹配,具体为:通过新的网络连接执行的进程的特征码与预先保存的合法网络连接的进程的特征码一致。
6.如权利要求1至5任一项所述的方法,其特征在于,确认新的监控对象不安全之后,还包括:启动安全告警。
7.一种安全监控装置,其特征在于,包括:
存储模块,用于保存合法监控对象的特征信息;
监控模块,用于在被监控设备上出现新的监控对象时,生成该新监控对象的特征信息;
确认模块,用于比较新监控对象的特征信息与保存的合法监控对象的特征信息,根据比较结果确认新的监控对象是否安全。
8.如权利要求7所述的装置,其特征在于,所述存储模块进一步用于,保存合法文件的特征信息;
所述监控模块进一步用于,在被监控设备上出现新的文件时,生成所述新的文件的特征信息;
确认模块进一步用于,将所述监控模块生成的特征信息与所述存储模块保存的合法文件的特征信息进行比较,并根据比较结果确认该新的文件是否合法。
9.如权利要求8所述的装置,其特征在于,所述特征信息为根据文件的二进制代码生成的特征码;
所述确认模块进一步用于,当比较结果为新的文件的特征码与保存的合法文件的特征码一致时,确认所述新的文件合法;否则,确认所述新的文件非法或合法性待定。
10.如权利要求7所述的装置,其特征在于,所述存储模块进一步用于,存储合法网络连接的连接属性信息和通过该网络连接执行的进程的特征信息;
所述监控模块进一步用于,在被监控设备上出现新的网络连接时,获取新的网络连接的连接属性信息,针对通过该网络连接执行的进程生成该进程的特征信息;
所述确认模块进一步用于,将获取的新的网络连接的连接属性信息和生成的进程的特征信息,与所述存储模块保存的合法网络连接的相应信息进行比较;当比较结果为匹配时,确认新的网络连接安全;否则,确认所述新的网络连接不安全。
11.如权利要求10所述的装置,其特征在于,所述监控模块进一步用于,获取新的网络连接的协议类型、地址、端口信息,根据通过该新的网络连接执行的进程的二进制代码生成该进程的特征码;
所述确认模块进一步用于,当获取的新的网络连接的协议类型、端口号分别与合法网络连接的协议类型和端口号相同,源地址与合法网络连接的源地址相同或在其地址范围内,目的地址与合法网络连接的目的地址相同或在其地址范围内,且生成的进程特征码与保存的合法网络连接的进程的特征码一致时,确认比较结果匹配;否则,确认比较结果不匹配。
12.如权利要求7至11任一项所述的装置,其特征在于,还包括:处理模块,用于在所述确认模块确认新的监控对象不安全后,启动安全告警。
13.一种安全监控***,其特征在于,包括:
客户代理装置,用于在该客户端代理装置所监控的设备上出现新的监控对象时,生成该新监控对象的特征信息并发送;
服务器,用于接收客户代理装置发送的所述新监控对象的特征信息,将其与保存的合法监控对象的特征信息进行比较,并根据比较结果确认新的监控对象是否安全。
14.如权利要求13所述的***,其特征在于,所述客户代理装置进一步用于,在所监控的设备上出现新的文件时,生成所述新文件的特征信息并发送;
所述服务器进一步用于,接收客户代理装置发送的所述新文件的特征信息,将其与预先保存的合法文件的特征信息进行比较,根据比较结果确认该新文件是否合法。
15.如权利要求14所述的***,其特征在于,所述特征信息为根据文件的二进制代码生成的特征码;
所述服务器进一步用于,当比较结果为所述新文件的特征码与预先保存的合法文件的特征码一致时,确认所述的文件合法;否则,确认所述的文件非法或合法性待定。
16.如权利要求13所述的***,其特征在于,所述客户代理装置进一步用于,获取所监控的设备上出现的新的网络连接的连接属性信息并发送,以及针对通过该新的网络连接执行的进程生成该进程的特征信息并发送;
所述服务器进一步用于,将接收的所述新的网络连接的连接属性信息和生成的进程的特征信息,与预先保存的合法网络连接的连接属性信息和通过该合法网络连接执行的进程的特征信息对应进行比较,当比较结果为匹配时,确认所述新的网络连接安全;否则,确认所述新的网络连接不安全。
17.如权利要求16所述的***,其特征在于,所述客户代理装置进一步用于,获取所述新的网络连接的协议类型、地址、端口信息,以及根据通过所述新的网络连接执行的进程的二进制代码生成该进程的特征码;
所述服务器进一步用于,当所述新的网络连接的协议类型、端口号分别与合法网络连接的协议类型和端口号相同,源地址与合法网络连接的源地址相同或在其地址范围内,目的地址与合法网络连接的目的地址相同或在其地址范围内,且所述新的网络连接的进程特征码与通过合法网络连接执行的进程的特征码一致时,确认比较结果匹配;否则,确认比较结果不匹配。
18.如权利要求13至17任一项所述的***,其特征在于,所述服务器进一步用于,确认新的监控对象不安全后,启动安全告警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810223727A CN101719846A (zh) | 2008-10-09 | 2008-10-09 | 安全监控方法、装置及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810223727A CN101719846A (zh) | 2008-10-09 | 2008-10-09 | 安全监控方法、装置及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101719846A true CN101719846A (zh) | 2010-06-02 |
Family
ID=42434367
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810223727A Pending CN101719846A (zh) | 2008-10-09 | 2008-10-09 | 安全监控方法、装置及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101719846A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102325061A (zh) * | 2011-09-16 | 2012-01-18 | 北京星网锐捷网络技术有限公司 | 网络监控方法、设备及*** |
CN103281325A (zh) * | 2013-06-04 | 2013-09-04 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
CN103944915A (zh) * | 2014-04-29 | 2014-07-23 | 浙江大学 | 一种工业控制***威胁检测防御装置、***及方法 |
CN104348795A (zh) * | 2013-07-30 | 2015-02-11 | 深圳市腾讯计算机***有限公司 | 通用网关接口业务入侵防护的方法及装置 |
CN104461830A (zh) * | 2014-12-19 | 2015-03-25 | 北京奇虎科技有限公司 | 监控进程的方法和装置 |
CN105323246A (zh) * | 2015-09-30 | 2016-02-10 | 中国南方电网有限责任公司电网技术研究中心 | 密钥管理***的防篡改方法及*** |
CN105825124A (zh) * | 2015-01-06 | 2016-08-03 | ***通信集团广西有限公司 | 一种服务器非法操作的监测方法和监测*** |
CN106304067A (zh) * | 2016-07-29 | 2017-01-04 | 成都轻车快马网络科技有限公司 | 用于移动互联网的云端数据处理方法 |
CN106603493A (zh) * | 2016-11-11 | 2017-04-26 | 北京安天电子设备有限公司 | 一种内置于网络设备中的安全防护装置及防护方法 |
-
2008
- 2008-10-09 CN CN200810223727A patent/CN101719846A/zh active Pending
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102325061B (zh) * | 2011-09-16 | 2014-07-02 | 北京星网锐捷网络技术有限公司 | 网络监控方法、设备及*** |
CN102325061A (zh) * | 2011-09-16 | 2012-01-18 | 北京星网锐捷网络技术有限公司 | 网络监控方法、设备及*** |
CN103281325B (zh) * | 2013-06-04 | 2018-03-02 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
CN103281325A (zh) * | 2013-06-04 | 2013-09-04 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
US9948670B2 (en) | 2013-06-04 | 2018-04-17 | Beijing Qihoo Technology Company Limited | Cloud security-based file processing by generating feedback message based on signature information and file features |
WO2014194803A1 (zh) * | 2013-06-04 | 2014-12-11 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
CN104348795A (zh) * | 2013-07-30 | 2015-02-11 | 深圳市腾讯计算机***有限公司 | 通用网关接口业务入侵防护的方法及装置 |
CN104348795B (zh) * | 2013-07-30 | 2019-09-20 | 深圳市腾讯计算机***有限公司 | 通用网关接口业务入侵防护的方法及装置 |
CN103944915A (zh) * | 2014-04-29 | 2014-07-23 | 浙江大学 | 一种工业控制***威胁检测防御装置、***及方法 |
CN103944915B (zh) * | 2014-04-29 | 2017-11-14 | 浙江大学 | 一种工业控制***威胁检测防御装置、***及方法 |
CN104461830A (zh) * | 2014-12-19 | 2015-03-25 | 北京奇虎科技有限公司 | 监控进程的方法和装置 |
WO2016095626A1 (zh) * | 2014-12-19 | 2016-06-23 | 北京奇虎科技有限公司 | 监控进程的方法和装置 |
CN104461830B (zh) * | 2014-12-19 | 2017-09-22 | 北京奇虎科技有限公司 | 监控进程的方法和装置 |
CN105825124A (zh) * | 2015-01-06 | 2016-08-03 | ***通信集团广西有限公司 | 一种服务器非法操作的监测方法和监测*** |
CN105323246B (zh) * | 2015-09-30 | 2019-03-22 | 中国南方电网有限责任公司电网技术研究中心 | 密钥管理***的防篡改方法及*** |
CN105323246A (zh) * | 2015-09-30 | 2016-02-10 | 中国南方电网有限责任公司电网技术研究中心 | 密钥管理***的防篡改方法及*** |
CN106304067A (zh) * | 2016-07-29 | 2017-01-04 | 成都轻车快马网络科技有限公司 | 用于移动互联网的云端数据处理方法 |
CN106304067B (zh) * | 2016-07-29 | 2019-12-24 | 成都轻车快马网络科技有限公司 | 用于移动互联网的云端数据处理方法 |
CN106603493A (zh) * | 2016-11-11 | 2017-04-26 | 北京安天电子设备有限公司 | 一种内置于网络设备中的安全防护装置及防护方法 |
CN106603493B (zh) * | 2016-11-11 | 2020-04-24 | 北京安天网络安全技术有限公司 | 一种内置于网络设备中的安全防护装置及防护方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101719846A (zh) | 安全监控方法、装置及*** | |
Vigna et al. | A stateful intrusion detection system for world-wide web servers | |
EP3295359B1 (en) | Detection of sql injection attacks | |
Sabahi et al. | Intrusion detection: A survey | |
KR101057432B1 (ko) | 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체 | |
Lanzi et al. | Accessminer: using system-centric models for malware protection | |
US6477651B1 (en) | Intrusion detection system and method having dynamically loaded signatures | |
US8549649B2 (en) | Systems and methods for sensitive data remediation | |
US9613213B2 (en) | Using telemetry to reduce malware definition package size | |
EP2893447B1 (en) | Systems and methods for automated memory and thread execution anomaly detection in a computer network | |
US8949987B2 (en) | Computer security process monitor | |
CN112787992A (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
Zhang et al. | User intention-based traffic dependence analysis for anomaly detection | |
KR20080047261A (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
CN110602044A (zh) | 一种网络威胁分析方法和*** | |
CN114418263A (zh) | 一种用于火电厂电力监控装置的防御*** | |
Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
Deng et al. | Lexical analysis for the webshell attacks | |
Vigna et al. | Host-based intrusion detection | |
US10880316B2 (en) | Method and system for determining initial execution of an attack | |
CN107196960A (zh) | 一种基于沙箱技术的网马检测***及其检测方法 | |
KR102530083B1 (ko) | 악성행위 탐지를 위한 클라우드 기반 가상화 장치, 시스템 및 운영 방법 | |
CN109218315A (zh) | 一种安全管理方法和安全管理装置 | |
CN115086081A (zh) | 一种蜜罐防逃逸方法及*** | |
Kono et al. | An unknown malware detection using execution registry access |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100602 |