【技术实现步骤摘要】
本专利技术属于互联网主机系统安全
,更具体地,涉及一种基于移动代理的网络主机信息采集与异常事件检测方法。
技术介绍
随着互联网技术的发展,网络的管理问题愈加严重。当前局域网面临着系统架构不合理、内网软硬件资源管理不透明、内网服务器压力过大、病毒木马的肆虐传播等诸多问题,这些也是网络管理过程中急需解决的问题。而对网络中的主机系统进行安全检测是解决这些问题的第一步。当前的网络主机系统安全检测方法包括基于主机的入侵检测和基于行为的安全检测两种方法,基于主机的入侵检测根据主机系统的系统日志和审计记录来进行检测分析,通常在要受保护的主机上有专门的检测代理,通过对系统日志和审计记录不间断地监视和分析来发现攻击。基于行为的安全检测根据使用者的行为或资源使用状况来判断是否存在入侵。将攻击视为不同于正常的行为,通过识别任何违反正常的行为检测入侵。以上两种方法都需要对网络中的主机信息进行收集,包括CPU运行状态、IO状态、内存占用、网络带宽等,且这些信息的准确采集对检测结果的准确性具有重要影响。现今几乎所有的网络设备都提供了SNMP或WMI的模块供管理员监测数据,管理范围广而且简单易于实现,所以为多数网络管理系统所广泛采用。主流应用为基于SNMP和WMI的信息采集方式,管理端向被管端的SNMP或WMI代理发出采集命令,通过轮询的方式来进行信息获取,而这种方式无法获取较细粒度的主机信息,也不适用于需要实时监测的应...
【技术保护点】
一种基于移动代理的网络主机异常事件检测方法,其特征在于,所述方法包括如下步骤:(1)根据网络安全监控系统的报警结果,获得网络中的敏感主机并存入敏感主机列表,并当定时器超时后触发更新事件,对敏感主机列表进行更新;(2)根据敏感主机列表,派遣数据采集移动代理到敏感主机,实现特征数据的采集,所述特征数据包括CPU利用率、硬盘IO、主机网络流量、系统进程、内存利用率;(3)利用进程黑白名单、流量特征匹配、多源特征融合分析层次递进的检测方法,判断所述敏感主机列表中的目标主机是否存在异常事件;(4)如果目标主机不存在异常事件,则触发更新事件,删除敏感主机列表中对应的目标主机;如果存在异常事件,则发送通知管理员对目标主机进行详细检测的指令,并根据检查结果更新敏感主机列表。
【技术特征摘要】
1.一种基于移动代理的网络主机异常事件检测方法,其特征在于,所
述方法包括如下步骤:
(1)根据网络安全监控系统的报警结果,获得网络中的敏感主机并存
入敏感主机列表,并当定时器超时后触发更新事件,对敏感主机列表进行更
新;
(2)根据敏感主机列表,派遣数据采集移动代理到敏感主机,实现特
征数据的采集,所述特征数据包括CPU利用率、硬盘IO、主机网络流量、
系统进程、内存利用率;
(3)利用进程黑白名单、流量特征匹配、多源特征融合分析层次递进
的检测方法,判断所述敏感主机列表中的目标主机是否存在异常事件;
(4)如果目标主机不存在异常事件,则触发更新事件,删除敏感主机
列表中对应的目标主机;如果存在异常事件,则发送通知管理员对目标主机
进行详细检测的指令,并根据检查结果更新敏感主机列表。
2.根据权利要求1所述的基于移动代理的网络主机异常事件检测方法,
其特征在于,在管理员对该目标主机进行安全检查之前,采用动态隔离的方
法管理目标主机的网络连接,降低其对网络中其他主机的威胁。
3.根据权利要求1或2所述的基于移动代理的网络主机异常事件检测
方法,其特征在于,所述步骤(2)中采集CPU利用率具体为:
派遣CPU使用情况采集代理到敏感主机,按预设的CPU利用率采集周
期采集CPU使用情况数据,并将所采集到的CPU使用情况数据存储到本地
数据库。
4.根据权利要求1或2所述的基于移动代理的网络主机异常事件检测
方法,其特征在于,所述步骤(2)中采集内存利用率具体为:
派遣内存使用情况采集代理到敏感主机,按预设的内存利用率采集周
\t期采集内存使用情况数据,并将所采集到的内存使用情况数据存储到本地
数据库。
5.根据权利要求1或2所述的基于移动代理的网络主机异常事件检测
方法,其特征在于,所述步骤(2)中采集系统进程具体为:
派遣进程信息采集移动代理到敏感主机,按预设的进程采集周期采集
主机目前存在的进程,并将所采集到的进程存储到本地数据库。
6....
【专利技术属性】
技术研发人员:张剑,童言,吴琪,
申请(专利权)人:中国船舶重工集团公司第七〇九研究所,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。