CN106570400B - 一种云环境下通过自学习防攻击的系统及方法 - Google Patents

Abstract

本发明涉及云安全管理技术，旨在提供一种云环境下通过自学习防攻击的系统及方法。该种云环境下通过自学习防攻击的系统包括管理端和监控端，管理端、监控端采用C/S架构，管理端部署在Server端，监控端部署在云环境中的各个主机中。本发明通过主机行为学习后形成行为规则库，极大地降低了云环境下主机防攻击的难度和复杂度，从而提升云环境下主机防攻击的效率；本发明能灵活调整行为规则库，极大地提高了云环境下主机防攻击的正确率。

Description

一种云环境下通过自学习防攻击的系统及方法

技术领域

本发明是关于云安全管理技术领域，特别涉及一种云环境下通过自学习防攻击的系统及方法。

背景技术

云环境是指在广域网或局域网内将硬件、软件、网络等系列资源统一，实现数据的计算、储存、处理和共享。随着云服务的提高和发展，越来越多的云用户通过云技术相互连接。由于云用户及信息资源的高度集中化，云环境引起的安全事件和风险相对于传统应用要高出非常多。自2009年起，微软、亚马逊、谷歌等知名IT企业云计算服务器发生重大安全事件使得众多云用户的信息服务器遭受影响，使得云用户对云环境应用安全的忧虑与日俱增。因此解决云环境的安全问题，是云发展亟待解决的问题。

当今，通常的云环境防攻击系统是通过网状的大量客户端对网络中软件行为的异常监测，与获取互联网中木马、恶意程序的最新信息，推送到Server端进行自动分析、比对、和处理；再把病毒和木马的解决方案分发到每一个客户端。但是该方法是通过预先设定的特征库进行检测，不能够及时对一些新型的入侵行为和软件做出检测和预警，且易出现误报或漏报情况。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种高智能、高效率、高检测率云环境防攻击的方法及系统。为解决上述技术问题，本发明的解决方案是：

提供一种云环境下通过自学习防攻击的系统，包括管理端和监控端，管理端、监控端采用C/S架构，管理端部署在Server端，监控端部署在云环境中的各个主机中；

管理端包括监控端管理模块、学习时间设置模块、学习结果接收模块、行为规则库管理模块、行为监控信息接收模块；

所述监控端管理模块：用于配置云环境中的各个主机信息，包括但不限于：主机IP、主机端口port，并将配置信息保存在数据库内；

所述学习时间设置模块：用于配置云环境中主机自学习的开始时间和学习周期；

所述学习结果接收模块：用于接收监控端学习结果收发模块学习的行为规则并保存在数据库内，形成行为规则库；

所述行为规则库管理模块：用于接收监控端(行为规则收发模块)发回的行为规则，动态管理行为规则库，即对行为规则库进行增加、删除、修改行为规则操作，并将行为规则库变更信息同步到监控端；行为规则是指系统中进程调用关系和网络访问关系的白名单，符合这些白名单的调用或网络访问关系才不产生告警；

所述行为监控信息接收模块：用于接收监控端行为告警收发模块发回的行为监控信息，记录并展示对主机行为进行告警或阻断的信息，并展示监控端运行状况；

监控端包括行为学习模块、行为监控模块、学习结果收发模块、行为规则收发模块、行为告警收发模块；行为学习模块、行为监控模块在云环境中的各个主机内核中实现，学习结果收发模块、行为规则收发模块、行为告警收发模块在云环境中的各个主机应用层中实现；

所述行为学习模块：用于在学习周期内，进行主机行为的学习，获得内核主机行为学习结果，内核主机行为学习结果包括但不限于：主机进程调用、进程动作、主机网络链接轨迹；

所述行为监控模块：用于依据监控端应用层行为规则收发模块发送的行为规则信息配置文件，对主机行为进行告警或阻断，实现防攻击；

所述学习结果收发模块：用于接收内核主机行为学习结果，并对学习结果按模板格式整理后形成行为规则发送给管理端；模板内容包括但不限于：主机调用进程process、进程动作action、网络协议、客户端IP、客户端口、连接类型、连接标志；

所述行为规则收发模块：用于接收管理端确认的行为规则信息，并将收到的行为规则信息组织成行为规则信息配置文件发送给内核；行为规则收发模块一旦收到行为规则库管理模块发出的行为规则库变更信息，会修改行为规则信息配置文件；

所述行为告警收发模块：用于接收行为监控模块发送的内核行为监控信息，并将行为监控信息发送给管理端的行为监控信息接收模块。

在本发明中，所述数据库为H2Database数据库。

提供基于所述云环境下通过自学习防攻击系统实现防攻击的方法，具体为：

在学习周期内，监控端的内核对云环境中的主机进行行为学习，并将学习结果发送给监控端的应用层；监控端的应用层对学习结果进行整理，形成行为规则后发送给管理端；

管理端接收行为规则并保存至数据库，形成行为规则库；管理端能对行为规则库进行调整，并将行为规则库的变更信息同步到监控端的应用层；

监控端的应用层在收到管理端的行为规则后，将行为规则组织成行为规则信息配置文件发送给监控端的内核；

监控端的内核依据行为规则信息配置文件，对主机行为进行告警或阻断，实现防攻击；监控端的内核会将行为监控信息发送给监控端的应用层；

监控端的应用层在收到行为监控信息后，将行为监控信息同步到管理端，用于管理端对监控端行为监控信息进行展示。

与现有技术相比，本发明的有益效果是：

本发明通过主机行为学习后形成行为规则库，极大地降低了云环境下主机防攻击的难度和复杂度，从而提升云环境下主机防攻击的效率。

本发明能灵活调整行为规则库，极大地提高了云环境下主机防攻击的正确率。

附图说明

图1为本发明的主要模块流程图。

图2为主机行为学习图。

具体实施方式

首先需要说明的是，本发明涉及云环境防攻击方法、安全管理技术，是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中，会涉及到多个软件功能模块的应用。申请人认为，如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。前述软件功能模块包括但不限于：监控端管理模块、学习时间设置模块、学习结果接收模块、行为规则库管理模块、行为监控信息接收模块、学习模块、行为监控模块、学习结果收发模块、行为规则收发模块、行为告警收发模块等，凡本发明申请文件提及的均属此范畴，申请人不再一一列举。

下面结合附图与具体实施方式对本发明作进一步详细描述：

如图1所示的一种云环境下通过自学习防攻击的系统，包括管理端和监控端。

1)管理端包括监控端管理模块、学习时间设置模块、学习结果接收模块、行为规则库管理模块、行为监控信息接收模块。

所述监控端管理模块：用于配置监控端即云环境中的各个主机，并将配置信息保存在数据库内。管理端、监控端采用C/S架构。

所述学习时间设置模块：用于配置云环境中主机自学习的开始时间和学习周期。

所述学习结果接收模块：用于接收监控端学习的行为规则并保存在数据库内。

所述行为规则管理模块：用于动态管理行为规则库，并将行为规则库变更信息同步到监控端。

所述行为监控信息接收模块：用于接收监控端发回的行为监控信息，并对告警或阻断信息进行管理。

2)监控端部署在云环境中的各个主机，包含应用层和内核。内核包括行为学习模块、行为监控模块；应用层包括学习结果收发模块、行为规则收发模块、行为告警收发模块。

所述学习结果收发模块：位于监控端应用层。用于接收内核主机行为学习结果并对学习结果按模板格式整理后形成行为规则发送给管理端。

所述行为规则收发模块：位于监控端应用层。用于接收管理端确认的行为规则信息并将此行为规则信息组织成行为规则信息配置文件发送给内核。

所述行为告警收发模块：位于监控端应用层，用于接收内核行为监控信息，并将行为监控信息发送给管理端。

所述行为学习模块：位于监控端内核。用于学习周期内主机行为的学习。学习内容包括但不限于：进程学习、网络链接学习，可参考图2。

所述行为监控模块：位于监控端内核。用于依据应用层发送的行为行为规则信息配置文件对主机行为进行告警或阻断，达到防攻击的目的。

下面的实施例可以使本专业的专业技术人员更全面地理解本发明，但不以任何方式限制本发明。假设云环境中的主机通过子学习达到防攻击目的。

首先，安装管理端并配置需监控的云环境主机。

然后，在云环境中主机安装监控端，监控端的内核会对主机进程、网络链接行为进行学习并将学习结果发送给监控端的应用层，例如：

监控端的应用层会对学习结果按模板整理成行为规则，并将行为规则发送给管理端：

/sbin/init proc/usr/local/hpm/bin/hpm-ven

/sbin/init proc hpm-ven

/sbin/init proc hpm-daemon

/usr/local/hpm/bin/hpm-ven net connect:tcp:10.1.1.1:443

/usr/sbin/sshd proc*

管理端将行为规则保存在数据库形成行为规则库，管理端用户可以灵活调整行为规则库，并将行为规则库变更信息同步到监控端的应用层。监控端的应用层将行为规则组织成行为规则信息配置文件发送给内核。监控端的内核依据行为规则信息配置文件对主机行为进行告警或阻断，达到防攻击的目的。特别指出，监控端的内核会将行为监控信息发送给监控端的应用层，监控端的应用层再将此信息同步到管理端，管理端可以对行为监控信息进行管理。

最后，需要注意的是，以上列举的仅是本发明的具体实施例。显然，本发明不限于以上实施例，还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形，均应认为是本发明的保护范围。

Claims (3)

1.一种云环境下通过自学习防攻击的系统，包括管理端和监控端，其特征在于，管理端、监控端采用C/S架构，管理端部署在Server端，监控端部署在云环境中的各个主机中；

管理端包括监控端管理模块、学习时间设置模块、学习结果接收模块、行为规则库管理模块、行为监控信息接收模块；

所述监控端管理模块：用于配置云环境中的各个主机信息，包括但不限于：主机IP、主机端口port，并将配置信息保存在数据库内；

所述学习时间设置模块：用于配置云环境中主机自学习的开始时间和学习周期；

所述学习结果接收模块：用于接收监控端学习结果收发模块学习的行为规则并保存在数据库内，形成行为规则库；

所述行为规则库管理模块：用于接收监控端（行为规则收发模块）发回的行为规则，动态管理行为规则库，即对行为规则库进行增加、删除、修改行为规则操作，并将行为规则库变更信息同步到监控端；行为规则是指系统中进程调用关系和网络访问关系的白名单，符合这些白名单的进程调用关系或网络访问关系才不产生告警；

所述行为监控信息接收模块：用于接收监控端行为告警收发模块发回的行为监控信息，记录并展示对主机行为进行告警或阻断的信息，并展示监控端运行状况；

监控端包括行为学习模块、行为监控模块、学习结果收发模块、行为规则收发模块、行为告警收发模块；行为学习模块、行为监控模块在云环境中的各个主机内核中实现，学习结果收发模块、行为规则收发模块、行为告警收发模块在云环境中的各个主机应用层中实现；

所述行为学习模块：用于在学习周期内，进行主机行为的学习，获得内核主机行为学习结果，内核主机行为学习结果包括但不限于：主机进程调用、进程动作、主机网络链接轨迹；

所述行为监控模块：用于依据监控端应用层行为规则收发模块发送的行为规则信息配置文件，对主机行为进行告警或阻断，实现防攻击；

所述学习结果收发模块：用于接收内核主机行为学习结果，并对学习结果按模板格式整理后形成行为规则发送给管理端；模板内容包括但不限于：主机调用进程process、进程动作action、网络协议、客户端IP、客户端口、连接类型、连接标志；

所述行为规则收发模块：用于接收管理端确认的行为规则信息，并将收到的行为规则信息组织成行为规则信息配置文件发送给内核；行为规则收发模块一旦收到行为规则库管理模块发出的行为规则库变更信息，会修改行为规则信息配置文件；

所述行为告警收发模块：用于接收行为监控模块发送的内核行为监控信息，并将行为监控信息发送给管理端的行为监控信息接收模块。

2.根据权利要求1所述的一种云环境下通过自学习防攻击的系统，其特征在于，所述数据库为H2 Database数据库。

3.基于权利要求1所述一种云环境下通过自学习防攻击的系统实现防攻击的方法，其特征在于，具体为：

在学习周期内，监控端的内核对云环境中的主机进行行为学习，并将学习结果发送给监控端的应用层；监控端的应用层对学习结果进行整理，形成行为规则后发送给管理端；

管理端接收行为规则并保存至数据库，形成行为规则库；管理端能对行为规则库进行调整，并将行为规则库的变更信息同步到监控端的应用层；

监控端的应用层在收到管理端的行为规则后，将行为规则组织成行为规则信息配置文件发送给监控端的内核；

监控端的内核依据行为规则信息配置文件，对主机行为进行告警或阻断，实现防攻击；监控端的内核会将行为监控信息发送给监控端的应用层；

监控端的应用层在收到行为监控信息后，将行为监控信息同步到管理端，用于管理端对监控端行为监控信息进行展示。