技术领域本发明涉及信息安全技术领域,尤其涉及一种基于LXC容器的主机防御方法及系统。
背景技术:
现有的主机环境,在运行应用程序或被恶意攻击后,会对主机环境造成信息残留、文件篡改,并无法恢复的情况,且目前有很多恶意操作和文件采用隐藏和潜伏的状态存在于主机中,这对处于长时间使用的设备来说,尤其是对安全级别要求较高的设备,无疑是一种严重的安全隐患;传统的系统环境还原方法,多是利用还原卡对系统环境进行还原,这种方法并不是十分有效,系统还原后仍会残留使用痕迹和一些顽固数据,不利于维护主机安全。
技术实现要素:
针对上述现有技术中存在的缺陷,本发明提出一种基于LXC容器的主机防御方法及系统,通过创建LXC(LinuxContainer)容器作为虚拟堡垒机环境,并替代主机环境,可以保障使用者在每次使用过程中运行数据的准确,并确保主机下次执行时没有感染用户数据或威胁数据。具体发明内容包括:一种基于LXC容器的主机防御方法,包括:在主机中建立至少一个LXC容器,并创建主机防御规则;当用户登录主机时,随机分发或由用户选择一个LXC容器作为虚拟堡垒机环境;所述用户登录主机包括:本地登录、远程登录;对用户在虚拟堡垒机环境中的操作进行监控,并通过主机防御规则对虚拟堡垒机环境进行实时检测;按规定提取用户在虚拟堡垒机环境中的操作信息以及产生的数据,并输出日志文件;用户登出主机时,还原虚拟堡垒机环境,还原主机初始环境。进一步地,所述主机防御规则包括:敏感信息、恶意文件批处理程序、批处理列表,其中所述敏感信息包括:敏感命令、敏感程序、敏感数据、敏感触发操作。进一步地,所述通过主机防御规则对虚拟堡垒机环境进行实时检测,具体为:将用户在虚拟堡垒机环境中的操作行为与主机防御规则中的数据进行匹配,并拦截匹配成功的操作行为;当检测到虚拟堡垒机环境中存在恶意文件时,将恶意文件放入批处理列表,并启动恶意文件批处理程序,对恶意文件进行处理。进一步地,所述按规定提取用户在虚拟堡垒机环境中的操作信息以及产生的数据,并输出日志文件,具体为:在所述主机防御规则中建立用户数据信息提取目录,根据所述用户数据信息提取目录提取用户在虚拟堡垒机环境中的操作信息以及产生的数据,输出日志文件并保存。进一步地,还包括利用磁盘文件快照工具对整体磁盘做初始化快照,当用户登出主机时,利用所述初始化快照还原磁盘数据。一种基于LXC容器的主机防御系统,包括:主机构建模块,用于在主机中建立至少一个LXC容器,并创建主机防御规则;环境分发模块,用于当用户登录主机时,随机分发或由用户选择一个LXC容器作为虚拟堡垒机环境;所述用户登录主机包括:本地登录、远程登录;监控检测模块,用于对用户在虚拟堡垒机环境中的操作进行监控,并通过主机防御规则对虚拟堡垒机环境进行实时检测;日志生成模块,用于按规定提取用户在虚拟堡垒机环境中的操作信息以及产生的数据,并输出日志文件;主机还原模块,用于用户登出主机时,还原虚拟堡垒机环境,还原主机初始环境。进一步地,所述主机防御规则包括:敏感信息、恶意文件批处理程序、批处理列表,其中所述敏感信息包括:敏感命令、敏感程序、敏感数据、敏感触发操作。进一步地,所述通过主机防御规则对虚拟堡垒机环境进行实时检测,具体为:将用户在虚拟堡垒机环境中的操作行为与主机防御规则中的数据进行匹配,并拦截匹配成功的操作行为;当检测到虚拟堡垒机环境中存在恶意文件时,将恶意文件放入批处理列表,并启动恶意文件批处理程序,对恶意文件进行处理。进一步地,所述日志生成模块,具体用于:在所述主机防御规则中建立用户数据信息提取目录,根据所述用户数据信息提取目录提取用户在虚拟堡垒机环境中的操作信息以及产生的数据,输出日志文件并保存。进一步地,还包括磁盘还原模块,用于利用磁盘文件快照工具对整体磁盘做初始化快照,当用户登出主机时,利用所述初始化快照还原磁盘数据。本发明的有益效果是:本发明可有效清除用户使用主机环境过程中对主机环境造成的数据残留和感染;本发明可有效防止恶意程序、命令、文件等寄存在主机中;进一步地,本发明提取并保存用户在虚拟堡垒机环境中的操作信息以及产生的数据,可便于日后分析和追溯;进一步地,本发明实现了主机磁盘还原,在对系统环境进行还原的基础上,做更进一步的还原,能够更有效的清除用户残留数据、感染数据,以及恶意数据。附图说明为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本发明一种基于LXC容器的主机防御方法流程图;图2为本发明一种基于LXC容器的主机防御系统结构图。具体实施方式为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。本发明给出了一种基于LXC容器的主机防御方法实施例,如图1所示,包括:S101:在主机中建立至少一个LXC容器,并创建主机防御规则;例如:在主机中建立WINDOWS7sp2旗舰版和winxpsp3版两种操作系统的LXC容器;或在主机中建立两个WINDOWS7sp2旗舰版操作系统的LXC容器;S102:当用户登录主机时,随机分发或由用户选择一个LXC容器作为虚拟堡垒机环境;所述用户登录主机包括:本地登录、远程登录;S103:对用户在虚拟堡垒机环境中的操作进行监控,并通过主机防御规则对虚拟堡垒机环境进行实时检测;S104:按规定提取用户在虚拟堡垒机环境中的操作信息以及产生的数据,并输出日志文件;S105:用户登出主机时,还原虚拟堡垒机环境,还原主机初始环境。进一步地,所述主机防御规则包括:敏感信息、恶意文件批处理程序、批处理列表,其中所述敏感信息包括:敏感命令、敏感程序、敏感数据、敏感触发操作。进一步地,所述通过主机防御规则对虚拟堡垒机环境进行实时检测,具体为:将用户在虚拟堡垒机环境中的操作行为与主机防御规则中的数据进行匹配,并拦截匹配成功的操作行为;当检测到虚拟堡垒机环境中存在恶意文件时,将恶意文件放入批处理列表,并启动恶意文件批处理程序,对恶意文件进行处理。进一步地,所述按规定提取用户在虚拟堡垒机环境中的操作信息以及产生的数据,并输出日志文件,具体为:在所述主机防御规则中建立用户数据信息提取目录,根据所述用户数据信息提取目录提取用户在虚拟堡垒机环境中的操作信息以及产生的数据,输出日志文件并保存。进一步地,还包括利用磁盘文件快照工具对整体磁盘做初始化快照,当用户登出主机时,利用所述初始化快照还原磁盘数据。本发明还给出了一种基于LXC容器的主机防御系统实施例,如图2所示,包括:主机构建模块201,用于在主机中建立至少一个LXC容器,并创建主机防御规则;环境分发模块202,用于当用户登录主机时,随机分发或由用户选择一个LXC容器作为虚拟堡垒机环境;所述用户登录主机包括:本地登录、远程登录;监控检测模块203,用于对用户在虚拟堡垒机环境中的操作进行监控,并通过主机防御规则对虚拟堡垒机环境进行实时检测;日志生成模块204,用于按规定提取用户在虚拟堡垒机环境中的操作信息以及产生的数据,并输出日志文件;主机还原模块205,用于用户登出主机时,还原虚拟堡垒机环境,还原主机初始环境。进一步地,所述主机防御规则包括:敏感信息、恶意文件批处理程序、批处理列表,其中所述敏感信息包括:敏感命令、敏感程序、敏感数据、敏感触发操作。进一步地,所述通过主机防御规则对虚拟堡垒机环境进行实时检测,具体为:将用户在虚拟堡垒机环境中的操作行为与主机防御规则中的数据进行匹配,并拦截匹配成功的操作行为;当检测到虚拟堡垒机环境中存在恶意文件时,将恶意文件放入批处理列表,并启动恶意文件批处理程序,对恶意文件进行处理。进一步地,所述日志生成模块204,具体用于:在所述主机防御规则中建立用户数据信息提取目录,根据所述用户数据信息提取目录提取用户在虚拟堡垒机环境中的操作信息以及产生的数据,输出日志文件并保存。进一步地,还包括磁盘还原模块,用于利用磁盘文件快照工具对整体磁盘做初始化快照,当用户登出主机时,利用所述初始化快照还原磁盘数据。本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。针对现有技术不能有效解决主机环境在运行应用程序或被恶意攻击后,清理信息残留、恢复文件篡改的不足,本发明提出一种基于LXC容器的主机防御方法及系统,本发明可有效清除用户使用主机环境过程中对主机环境造成的数据残留和感染;本发明可有效防止恶意程序、命令、文件等寄存在主机中;进一步地,本发明提取并保存用户在虚拟堡垒机环境中的操作信息以及产生的数据,可便于日后分析和追溯;进一步地,本发明实现了主机磁盘还原,在对系统环境进行还原的基础上,做更进一步的还原,能够更有效的清除用户残留数据、感染数据,以及恶意数据。虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。