CN1349164A - 主机性能监测及自动反应*** - Google Patents
主机性能监测及自动反应*** Download PDFInfo
- Publication number
- CN1349164A CN1349164A CN 01139033 CN01139033A CN1349164A CN 1349164 A CN1349164 A CN 1349164A CN 01139033 CN01139033 CN 01139033 CN 01139033 A CN01139033 A CN 01139033A CN 1349164 A CN1349164 A CN 1349164A
- Authority
- CN
- China
- Prior art keywords
- host computer
- event
- performance monitoring
- module
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种主机性能监测及自动反应***,采用集中的规则配置方式,应急响应中心同时作为配置管理中心通过网络与被监测主机相连,在被监测主机上安装***性能监测模块、事件收集模块和命令执行模块,应急响应中心将规则传给事件收集模块,***性能监测模块监视***性能的变化并报告事件收集模块,由事件收集模块将发现的异常事件提交给应急响应中心,应急响应中心根据事件性质决定应采取的动作,并由命令执行单元控制被保护主机完成自动保护动作。本发明不仅对主机和连接到主机的网络信息进行全面的监测,还提供了发现异常后按照预先设定的规则自动反应的能力,对异常事件提供及时处理,将用户可能的损失降到最低。
Description
技术领域:
本发明涉及一种计算机网络的主机性能监测及自动反应***,用于计算机网络安全,属于计算机和自动控制技术领域。
背景技术:
在网络技术迅速发展的今天,越来越多的企业加入到Internet中,Internet近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。但是企业在享受Internet带来的快捷和便利的同时,也不得不面对信息共享带来的负面影响,随着通过Internet对企业内部数据访问的不断增加,每一个访问都有可能成为黑客进入网络获得非法访问的攻击点。企业固然可以选择防火墙等技术对整个企业的内部网络提供保护,但若不良信息一旦进入主机内部,这些外部的防护措施也就无能为力了,这就要求主机,尤其是存储有敏感数据的主机具备一定的自动监测功能,能够在潜在的危险发生之前检测到危险的存在并及时采取措施,将可能的损失降到最低。
主机可以进行的监测包括网络监测和本机监测。
网络监测对抵达主机的数据进行分析并试图确认哪些是潜在的威胁,监测是否有未经授权而试图通过某些TCP或者UDP端口进行的连接,如果有人试图通过未开放任何服务的端口进行连接,就往往意味着有人在寻找***漏洞。
本机监测通过监视本机的文件***、CPU占用率、内存占用率以及检查日志文件来发现异常情况的蛛丝马迹。***管理员也可以从中找到相关痕迹,还可以通过监测本机上的特权用户的活动来判断是否被入侵。一般来说一台主机一旦被配置好后,只需要进行少量的需要特权用户进行的维护工作,而且这些维护工作多数是计划好的,有一定时间性,如果发现有特权用户在一个非特定时间进行可疑操作,则应当通知***维护人员以确认是否被入侵。
目前现有的主机监测技术主要是基于上述的几方面内容来进行的,一旦监测出异常则通过声光报警等形式引起管理员注意,并由管理员采取进一步动作。
从现有的主机监测软件驻留的位置又可以分为下面两类:
基于服务器端的监测:目前,绝大多数的监测软件都是基于服务器端的,即用户购买该软件后,将其安装在本地服务器上,对本地的服务器、数据库等软硬件的运行性能进行监测。这种监测软件的好处在于用户可以了解自己本地机器的使用效率,还可以了解本地的网络连接及一些电子商务流程在本地的执行情况。但缺点是不能直接反映终端用户登录网站及使用网站提供的电子商务服务的实际体验。
基于用户端的监测:随着Internet技术的发展以及经营思想观念的转变,出现了一种新型的监测服务。这种监测服务是将软件分布在用户端,而不是安装在网络运营商本地的服务器上。从终端用户的角度对网络性能进行监测并从终端用户角度来进行性能诊断、查找网络瓶颈。这种监测服务的使用原理从根本上体现了以用户为中心的经营思想,因为对终端用户来说,在登录网络时,他们并不关心网络运营商使用的是HP还是IBM的服务器、是NT还是Unix操作平台,也不关心他们使用的是Oracle还是微软的数据库。用户唯一关心的是自己在网络的冲浪体验,即登录一个页面或完成一项网上交易能否成功,时间是多长。
以上这些主机监测技术主要是提供监测的功能,而一旦发现异常后还需要管理员手工的干预,如果异常情况发生在深夜或其他无人值守的时间段,必然会导致处理不及时,并有可能造成损失。
发明内容:
本发明的目的在于针对现有技术的不足,提供一种计算机网络的主机性能监测及自动反应***,除了对主机本身的性能包括CPU占用率、内存占用率、磁盘占用率等提供全面的监测外,还对主机的端口、可能的恶意攻击进行监测,并能根据预先设置的规则自动进行反应,确保及时处理异常情况,将可能的损失降到最低。
为实现这样的目的,本发明的技术方案中,应用的平台是WINDOWSNT/UNIX,通过事件收集代理在主机上运行来收集各种信息并加以分析,并根据预定的规则判断是否发生异常,若发现有异常情况则通过应急措施执行软件修复主机,使其恢复到正常状态,还可以通过电子邮件,BP等方式通知管理员。
本发明所说的异常事件指***或设备遭受到攻击或者是收到的服务请求过多而无法正常的提供服务;也包括本机CPU占用率、内存占用率、磁盘空间占用率或进程数过多导致***性能严重下降等事件。宿主是针对在其中植入负责状态收集和远程控制代理的程序而言,是监测体系中受保护的主机和设备。事件收集代理是用来收集宿主的工作状态,包括稳定性数据和安全性数据的收集。应急措施执行软件是修复宿主,将宿主恢复到可正常工作状态的软件。
为了实现规则的可配置性,本发明提供了一种集中的规则配置方式,用户通过配置管理中心进行规则的配置并传送到各个被监测的主机进行监测。用户可以设定出现报警的种类、***的处理方法,然后设定它们之间的逻辑关系。***将报警信息(或者用户要求的特定Agent的详细信息),通过图形界面(或是统一的微软管理控制台MMC界面)发送给用户。为了增加***的灵活性,用户除了可以通过制定规则由***自动对报警进行处理之外,还可以手动执行特定动作,来控制远端被监测的主机或网络。由于监测***会将任何事件记录在***日志中,用户还可以通过察看日志来确定***是否正常运行。
整个监测***还可以同外部的审计***相连接,将***的安全日志通过审计***进行保存,同外部的接口通过HTTP协议来实现并采用XML进行通讯。本监测***还可以同防火墙***建立接口,通过读取防火墙的***日志,分析其中潜在的隐患,并通过TELNET协议对防火墙的配置进行修改,不让潜在的危险进入主机。
本监测***内部主要包含了配置管理中心同各个驻留在主机的事件收集代理之间的信息通讯接口,按照信息内容和实现方式的不同,可以分为两类:
1)***数据(包括事件收集代理的报警信息和响应信息)通过SNMP(MIB)
来传送,SNMP预先将数据表示的数据结构定义一连串的位,每个位
表示某个状态量是否超过警戒限度或某个执行元素是否需要执行,
由于被传输的信息很少,因此可以在一个IP包中传输,可以加快系
统的响应时间。
2)***控制信息(配置管理中心发出的策略控制信息和事件收集代理
执行信息)通过直接的通讯接口来实现。
本***除了提供通过配置管理中心进行配置的自动反应动作之外,还同时提供人工处理的能力,在发现异常时通过电子邮件或BP等形式通知管理员;***提供管理员除了能够手动对事件收集代理发送执行命令的功能,管理员也能够在任何情况下,都能直接手动控制,排除隐患。如果服务器发生问题(如死机),并且不能由***对问题进行自动响应,需要给出提示后由管理员手动重启动***。
对于***各种数据采集规则的设定是有层次分别的,用户可以对整个***设定规则,也可以对一个主机的组合设定规则,也可以对特定的单个主机设定规则,在执行部件进行数据采集形成告警的过程中,按照不同的优先级进行匹配,也就是说,如果对本机有特殊规则要求的,则按照该规则进行匹配;如果不是,则查看是否属于某个有规则限定的主机组合,如果是,则按照组合的规则进行匹配;如果既不是特殊主机,又不是主机组合中的成员,就按照整个***的规则来进行匹配。
对于***中的单个设备或已经封装好的子***,由于没有组合和集合的情况,都由***设定。
本发明不仅对主机和连接到主机的网络信息进行全面的监测,让***被入侵的可能性降到最低,还提供了发现异常后按照预先设定的规则自动反应的能力,大大简化了***管理员的负担,并能对异常事件提供最及时的处理;只有在情况十分复杂,***难于判断应该采取什么措施时,才需要***管理员的介入;而不管在任何情况下,***管理员都可以通过配置管理中心进行手工干预,监测***也会在发现异常事件后以最快的方式通知***管理员,并忠实的将***的一举一动记录入日志以供分析。
集中设置的配置管理中心是***管理员设置规则和***反应动作的中心,管理员可以通过该中心全面监视所有主机的情况,还可以方便的修改规则以适应***的变化。规则定义了哪些***信息应该被事件收集代理所收集,还定义了这些信息对应的阈值,一旦收集的信息超出了设定的阈值,就认为发生了异常事件,监测***就会按照设定的动作自动进行处理并及时通知管理员。所有这些都使得本***为用户提供最灵活的配置和最及时的处理,将用户可能的损失降到最低。
附图说明及具体实施方式:
图1为本发明的***结构示意图。
如图所示,本发明采用了集中的规则配置方式,整个监测***只需配置一个应急响应中心,同时又作为配置管理中心,通过网络与被监测的主机相连,实现集中控制。管理员通过应急响应中心配置规则,观察***运行和网络状态,并采取相应措施;在被监测主机上安装***性能监测模块、事件收集模块和命令执行模块,完成主机监测、分析和自动反应的功能。
管理员通过操作界面对应急响应中心进行操作,既可以配置主机监测规则和对应的自动反应动作,也可以手工控制***进行干预,以解决一些比较紧急而又难以进行自动处理的事件。
应急响应中心在管理员进行了规则配置和自动反应动作的配置之后,将规则传给事件收集模块。***性能监测模块作为安装在被监测主机上的软件模块,时刻监视***性能的变化,并报告事件收集模块。根据预先设定的规则,事件收集模块一旦发现有异常事件发生,就会将相应事件提交给应急响应中心。
应急响应中心根据事件性质决定应采取的动作,并将相应命令发给命令执行单元,由命令执行单元控制被监测的主机完成自动保护动作。同时,应急响应中心以醒目的方式将当前的网络状态和可疑事件显示在终端上,若事件难以自动处理,还可以通过电子邮件,BP等方式通知管理员进行手工干预。应急响应中心还会将***内发生的一切可疑事件和处理方式及结果记录到***日志中,以供管理员分析***状态时用。
应急响应中心还可以同防火墙相连接,通过分析其日志,检测是否存在隐患;应急响应中心通过同审计***连接,还可以将***的安全日志通过审计***加以保存。
为了保证对异常事件的及时处理,对监测***的自动反应时间应该有一定要求,本***的各项时间指标如下:1.响应时间:
本***的“事件收集代理”针对宿主发生意外情况而通知应急反应中心的响
应时间为<5秒。当本***的应急反应中心接收到事件收集代理反映上来的
异常事件,而且在应急规则中对应的相应操作为自动响应时,自动响应部件
发送出指令的时间<1秒。应急措施执行软件接收到响应指令,并开始处理
的响应时间为<1秒。2.更新处理时间:
事件收集代理定时发送宿主的工作状态到应急反应中心的控制台的更新周
期为1-10秒(程序可控刷新频度)。3.数据的转换和传送时间:
基于XML的通讯原语和通讯信息之间的转换时间为<1秒。应急反应中心和
周边辅助软件或设备间的数据传送时间由当时的网络性能决定。要求网络至
少满足传送时间<1秒。4.解题时间:
事件收集代理根据制定的规则和宿主的工作状态进行匹配,以确定是否要向
应急反应中心汇报“险情”,这种匹配的处理时间为<1秒。其它对时间的要求:
由于应急反应中心针对某宿主进行的应急反应可能会同时依赖审计中心汇
报的情况和事件收集代理收集的情况进行综合判定出处理的方法。两边汇报
数据的先后对处理的方法和结果都会有不同,因此就必须要求审计中心、事
件收集代理和应急反应中心在时间上完全同步。这可以通过时间同步程序来
实现。
Claims (3)
1、一种主机性能监测及自动反应***,其特征在于采用集中的规则配置方式,应急响应中心同时作为配置管理中心,通过网络与被监测主机相连,在被监测主机上安装***性能监测模块、事件收集模块和命令执行模块,应急响应中心将管理员通过操作界面进行的规则配置和自动反应动作的配置传给事件收集模块,***性能监测模块监视***性能的变化并报告事件收集模块,由事件收集模块将发现的异常事件提交给应急响应中心,应急响应中心根据事件性质决定应采取的动作,并由命令执行单元控制被保护主机完成自动保护动作。
2、如权利要求1所说的主机性能监测及自动反应***,其特征在于***还同外部的审计***相连接,将***的安全日志通过审计***进行保存,同外部的接口通过HTTP协议来实现并采用XML进行通讯。
3、如权利要求1所说的主机性能监测及自动反应***,其特征在于***还同防火墙***建立接口,并通过TELNET协议对防火墙的配置进行修改而不让潜在的危险进入主机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB011390336A CN1175350C (zh) | 2001-12-04 | 2001-12-04 | 主机性能监测及自动反应*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB011390336A CN1175350C (zh) | 2001-12-04 | 2001-12-04 | 主机性能监测及自动反应*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1349164A true CN1349164A (zh) | 2002-05-15 |
| CN1175350C CN1175350C (zh) | 2004-11-10 |
Family
ID=4674964
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB011390336A Expired - Fee Related CN1175350C (zh) | 2001-12-04 | 2001-12-04 | 主机性能监测及自动反应*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1175350C (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1321509C (zh) * | 2004-02-19 | 2007-06-13 | 上海复旦光华信息科技股份有限公司 | 基于映射表的通用安全审计策略定制方法 |
| CN100403273C (zh) * | 2003-07-10 | 2008-07-16 | 中国科学院计算技术研究所 | 基于双向信息流的分布式监控方法 |
| CN101963925A (zh) * | 2009-07-21 | 2011-02-02 | Lsi公司 | 动态管理串联连接scsi域中复用的phy的方法和设备 |
| US8549355B2 (en) | 2004-09-09 | 2013-10-01 | Microsoft Corporation | Method, system, and apparatus for providing alert synthesis in a data protection system |
| CN103532760A (zh) * | 2013-10-18 | 2014-01-22 | 北京奇虎科技有限公司 | 用于分析在各主机上执行的命令的分析设备、***和方法 |
| CN107797875A (zh) * | 2017-04-17 | 2018-03-13 | 平安科技(深圳)有限公司 | 一种大数据管理方法、终端以及设备 |
-
2001
- 2001-12-04 CN CNB011390336A patent/CN1175350C/zh not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100403273C (zh) * | 2003-07-10 | 2008-07-16 | 中国科学院计算技术研究所 | 基于双向信息流的分布式监控方法 |
| CN1321509C (zh) * | 2004-02-19 | 2007-06-13 | 上海复旦光华信息科技股份有限公司 | 基于映射表的通用安全审计策略定制方法 |
| US8549355B2 (en) | 2004-09-09 | 2013-10-01 | Microsoft Corporation | Method, system, and apparatus for providing alert synthesis in a data protection system |
| US9141482B2 (en) | 2004-09-09 | 2015-09-22 | Microsoft Technology Licensing, Llc | Method, system, and apparatus for providing alert synthesis in a data protection system |
| CN101963925A (zh) * | 2009-07-21 | 2011-02-02 | Lsi公司 | 动态管理串联连接scsi域中复用的phy的方法和设备 |
| CN103532760A (zh) * | 2013-10-18 | 2014-01-22 | 北京奇虎科技有限公司 | 用于分析在各主机上执行的命令的分析设备、***和方法 |
| CN107797875A (zh) * | 2017-04-17 | 2018-03-13 | 平安科技(深圳)有限公司 | 一种大数据管理方法、终端以及设备 |
| WO2018192382A1 (zh) * | 2017-04-17 | 2018-10-25 | 平安科技(深圳)有限公司 | 一种大数据管理方法、终端、设备以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1175350C (zh) | 2004-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2526759C (en) | Event monitoring and management | |
| CN113032710A (zh) | 一种综合审计监管*** | |
| US20030084328A1 (en) | Method and computer-readable medium for integrating a decode engine with an intrusion detection system | |
| US20090271504A1 (en) | Techniques for agent configuration | |
| JP2004021549A (ja) | ネットワーク監視システムおよびプログラム | |
| CN1415099A (zh) | 在线阻挡有害信息的***和方法及其计算机可读介质 | |
| Ramachandran et al. | A P2P intrusion detection system based on mobile agents | |
| AU2006259409A1 (en) | Duration of alerts and scanning of large data stores | |
| CN117155625A (zh) | 一种计算机网络监控*** | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和*** | |
| KR100401088B1 (ko) | 인터넷을 이용한 통합 보안 서비스 시스템 | |
| KR20040091392A (ko) | 웹을 이용한 원격 백업관리 시스템 및 그 시스템을 운용한백업관리 방법 | |
| CN1175350C (zh) | 主机性能监测及自动反应*** | |
| US20060053021A1 (en) | Method for monitoring and managing an information system | |
| JP2005202664A (ja) | 不正アクセス統合対応システム | |
| CN105025006A (zh) | 一种积极的信息安全运维平台 | |
| CN1349328A (zh) | 易扩展型网络入侵检测与安全审计*** | |
| KR100657851B1 (ko) | 네트워크 자원 관리시스템 및 그 관리방법 | |
| Jahnke | An open and secure infrastructure for distributed intrusion detection sensors | |
| Gamez et al. | Safeguarding critical infrastructures | |
| CN118233183A (zh) | 抗内部威胁的分布式跨域零信任防护***及方法 | |
| TWM652740U (zh) | 電腦防護裝置 | |
| CN118400162A (zh) | 安全防护方法、装置、***、电子设备及存储介质 | |
| CN116055329A (zh) | 一种面向工业互联网场景的tsn交换机安全加固策略模型 | |
| KR20000058818A (ko) | 인터넷 서버의 비상경보시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20041110 Termination date: 20131204 |