信息安全处理系统、虚拟专用服务器及其控制方法与流程

本发明涉及数据通信技术领域，具体而言，涉及一种信息安全处理系统、虚拟专用服务器及其控制方法。

背景技术

计算机系统是当前信息时代、信息化产品中最为重要的组成部分，随着计算机网络信息技术的发展，网络空间的安全受到前所未有的挑战，这种状况不仅严重影响网络经济的发展，而且它将蔓化为一种社会问题。例如，在当前越来越多的人开始使用公有云或者私有云，面临的云主机安全问题越来越多。目前的解决方式通常为：对虚拟专用服务器(virtualprivateserver，vps)进行加固的采用开源的云网站应用级入侵防御系统(waf，webapplicationfirewall)或者购买商业的云waf。因waf偏向更多的是web安全，而用户的所面临的使用场景、采用的服务场景是多样的且不可控的，所以waf检测不够全面，从而导致安全性较低。

技术实现要素：

为了克服上述现有技术中的不足，本发明提供一种信息安全处理系统、虚拟专用服务器及其控制方法。

为了实现上述目的，本发明实施例所提供的技术方案如下所示：

第一方面，本发明实施例提供一种信息安全处理系统，包括：

安全检测模块，用于监测虚拟专用服务器的入侵信息，并在检测到所述入侵信息时，生成第一报警信号；

版本更新模块，用于每隔第一预设时长检测所述虚拟专用服务器的内核版本信息，并在检测到所述内核版本有更新时，对所述内核版本进行更新；

病毒检测模块，用于检测所述虚拟专用服务器是否植入有计算机病毒，在检测到所述虚拟专用服务器植入有所述计算机病毒时，生成第二报警信号。

可选地，上述安全检测模块监测虚拟专用服务器的入侵信息至少包括下面的一种：

获得虚拟专用服务器的日志数据，并对所述日志数据进行审计，其中，在所述日志数据异常时，生成所述第一报警信号；

将接收的第一密钥与预先存储的初始密钥进行比对，其中，在所述第一密钥与所述初始密钥不同时，生成所述第一报警信息；

检测所述虚拟专用服务器的外联ip和/或外联文件，其中，在确定所述外联ip和/或所述外联文件异常时，生成所述第一报警信号。

可选地，上述日志数据包括所述虚拟专用服务器启动出错的日志、账户登录日志、邮件日志、定时任务日志中的至少一种。

可选地，上述安全检测模块还用于消除所述虚拟专用服务器对外服务的端口的使用记录。

可选地，上述消除所述虚拟专用服务器对外服务的端口的使用记录，包括：

提取所述使用记录，并对所述使用记录按照预设混淆规则进行混淆处理，以消除所述使用记录。

可选地，上述病毒检测模块检测所述虚拟专用服务器是否植入有计算机病毒，包括：

按照预设规则检测所述虚拟专用服务器是否植入有计算机病毒，其中，所述预设规则至少包括：

对孤立页面、web访问的频率、文件大小、预设关键字中的至少一种进行统计，以确定web目录下的各个文件是否为恶意文件，其中，在确认为恶意文件时，确定所述虚拟专用服务器植入有计算机病毒。

可选地，上述信息安全处理系统还包括加密模块，用于对所述信息安全处理系统中的存储模块按照预设加密规则进行加密。

可选地，上述信息安全处理系统还包括报警模块，用于根据所述第一报警信号和/或第二报警信号发出报警提示。

第二方面，本发明实施例提供一种虚拟专用服务器，所述虚拟专用服务器包括：

存储模块；

处理模块；及信息安全处理系统，包括一个或多个存储于所述存储模块中并由所述处理模块执行的软件功能模块，所述信息安全处理系统包括：

安全检测模块，用于监测虚拟专用服务器的入侵信息，并在检测到所述入侵信息时，生成第一报警信号；

版本更新模块，用于每隔第一预设时长检测所述虚拟专用服务器的内核版本信息，并在检测到所述内核版本有更新时，对所述内核版本进行更新；

病毒检测模块，用于检测所述虚拟专用服务器是否植入有计算机病毒，在检测到所述虚拟专用服务器植入有所述计算机病毒时，生成第二报警信号。

第三方面，本发明实施例提供一种虚拟专用服务器控制方法，包括：

控制安全检测模块监测虚拟专用服务器的入侵信息，并在检测到所述入侵信息时，生成第一报警信号；

控制版本更新模块每隔第一预设时长检测所述虚拟专用服务器的内核版本信息，并在检测到所述内核版本有更新时，对所述内核版本进行更新；

控制病毒检测模块检测所述虚拟专用服务器是否植入有计算机病毒，在检测到所述虚拟专用服务器植入有所述计算机病毒时，生成第二报警信号。

相对于现有技术而言，本发明提供的信息安全处理系统、虚拟专用服务器及其控制方法至少具有以下有益效果：信息安全处理系统包括安全监测模块、版本更新模块及病毒检测模块。安全检测模块用于监测虚拟专用服务器的入侵信息，并在检测到入侵信息时，生成第一报警信号。版本更新模块用于每隔第一预设时长检测虚拟专用服务器的内核版本信息，并在检测到内核版本有更新时，对内核版本进行更新。毒检测模块用于检测虚拟专用服务器是否植入有计算机病毒，在检测到虚拟专用服务器植入有计算机病毒时，生成第二报警信号。本方案能够更为全面地对虚拟专用服务器进行安全检测，从而能够提高其安全性能，保障虚拟专用服务器的网络安全。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举本发明实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍。应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例提供的虚拟专用服务器的方框示意图。

图2为本发明实施例提供的信息安全处理系统的方框示意图之一。

图3为本发明实施例提供的信息安全处理系统的方框示意图之二。

图4为本发明实施例提供的虚拟专用服务器控制方法的流程示意图。

图标：10-虚拟专用服务器；11-处理模块；12-通信模块；13-存储模块；100-信息安全处理系统；110-安全检测模块；120-版本更新模块；130-病毒检测模块；140-加密模块；150-报警模块。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。此外，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

下面结合附图，对本发明的一些实施方式作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。

请参照图1，为本发明实施例提供的虚拟专用服务器10(virtualprivateserver，vps)的方框示意图。在本实施例中，虚拟专用服务器10可以包括处理模块11、通信模块12、存储模块13以及信息安全处理系统100，处理模块11、通信模块12、存储模块13以及信息安全处理系统100各个元件之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。

在本实施例中，处理模块11可以是处理器。例如，该处理器可以是中央处理器(centralprocessingunit，cpu)、网络处理器(networkprocessor，np)等；还可以是数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。

在本实施例中，通信模块12用于通过网络建立虚拟服务器与网络设备的通信连接，并通过网络收发数据。其中，网络设备可以是，但不限于智能手机、个人电脑(personalcomputer，pc)、平板电脑、个人数字助理(personaldigitalassistant，pda)、移动上网设备(mobileinternetdevice，mid)等。网络可以是，但不限于，有线网络或无线网络。

存储模块13可以是，但不限于，随机存取存储器，只读存储器，可编程只读存储器，可擦除可编程只读存储器，电可擦除可编程只读存储器等。在本实施例中，存储模块13可以用于存储初始密钥、预设混淆规则等。当然，存储模块13还可以用于存储程序，处理模块11在接收到执行指令后，执行该程序。

进一步地，信息安全处理系统100包括至少一个可以软件或固件(firmware)的形式存储于存储模块13中或固化在虚拟专用服务器10操作系统(operatingsystem，os)中的软件功能模块。处理模块11用于执行存储模块13中存储的可执行模块，例如信息安全处理系统100所包括的软件功能模块及计算机程序等。

可以理解的是，图1所示的结构仅为虚拟专用服务器10的一种结构示意图，虚拟专用服务器10还可以包括比图1所示更多或更少的组件。图1中所示的各组件可以采用硬件、软件或其组合实现。

请参照图2，为本发明实施例提供的信息安全处理系统100的方框示意图之一。本发明实施例提供的信息安全处理系统100，可以用于实现下述的虚拟专用服务器10控制方法的各步骤，以对虚拟专用服务器10进行更为完整的安全检测，从而提高虚拟专用服务器10的网络安全。其中，信息安全处理系统100可以包括安全监测模块、版本更新模块120及病毒检测模块130。

在本实施例中，安全检测模块110可以用于监测虚拟专用服务器10的入侵信息，并在检测到入侵信息时，生成第一报警信号。

可选地，安全检测模块110监测虚拟专用服务器10的入侵信息至少包括下面的一种：

获得虚拟专用服务器10的日志数据，并对日志数据进行审计，其中，在日志数据异常时，生成第一报警信号。可选地，日志数据包括虚拟专用服务器10启动出错的日志、账户登录日志、邮件日志、定时任务日志中的至少一种。

将接收的第一密钥与预先存储的初始密钥进行比对，其中，在第一密钥与初始密钥不同时，生成第一报警信息。

检测虚拟专用服务器10的外联ip和/或外联文件，其中，在确定外联ip和/或外联文件异常时，生成第一报警信号。

可选地，安全检测模块110还用于消除虚拟专用服务器10对外服务的端口的使用记录。

可选地，消除虚拟专用服务器10对外服务的端口的使用记录，包括：

提取使用记录，并对使用记录按照预设混淆规则进行混淆处理，以消除使用记录。

下面将举例说明安全检测模块110的功能作用：

例如，安全检测模块110在对日志数据进行审计时，可以关注/var/log/boot.log、/var/log/lastlog、/var/log/messages、/var/log/secure、/var/log/cron、/var/log/syslog、/var/log/maillog等日志，提取截止当前时间点预设时长(可根据实际情况进行设置)内系统启动出错的日志、账户登录日志、邮件日志、定时任务日志等日志数据，实现日志数据的监控，若发现日志数据出现异常，比如发现了系统启动出错的日志，便生成第一报警信号。

安全检测模块110在对密钥进行管理时，可以预先存储初始密钥文件(比如/etc/passwd文件)，并对初始密钥文件进行消息摘要算法第五版(messagedigestalgorithm5，md5)进行运算，以得到初始md5值。然后将接收第一密钥的第一md5值与初始md5值进行比较，若两者不相同，则判定为异常事件，生成第一报警信号。若两者相同，则判定为正常事件。

安全检测模块110在进程检测时，可以检测虚拟专用服务器10的外联ip和外联文件，或者，检测虚拟专用服务器10的外联ip(与虚拟专用服务器10连接的网络设备的ip)或外联文件。若外联ip或外联文件在预设时段内变化较大，则对变化的外联ip或外联文件单独进行识别认证(比如运维人员提取可疑的外联ip，通过专用网络工具或软件对ip进行检测，判断ip是否为异常的ip)。若外联ip异常，则生成第一报警信号。

安全检测模块110在消除使用记录时，可提取对虚拟专用服务器10对外服务的端口的使用情况(开放情况)，并对其端口进行banner混淆，达到消除虚拟专用服务器10设备指纹的目的，也就实现了使用记录的消除。

版本更新模块120，用于每隔第一预设时长检测虚拟专用服务器10的内核版本信息，并在检测到内核版本有更新时，对内核版本进行更新。其中，第一预设时长可根据实际情况进行设置，这里不作具体限定。

可选地，版本更新模块120可以监控虚拟专用服务器10所用的开源框架或中间件。可以对内核的高危漏洞进行检查及预警。例如，可对struts2、thinkphp、cms、weblogic等高危漏洞检测和预警。

病毒检测模块130，用于检测虚拟专用服务器10是否植入有计算机病毒，在检测到虚拟专用服务器10植入有计算机病毒时，生成第二报警信号。

可选地，病毒检测模块130检测虚拟专用服务器10是否植入有计算机病毒，包括：按照预设规则检测虚拟专用服务器10是否植入有计算机病毒。其中，预设规则至少包括：对于web木马病毒，对孤立页面、web访问的频率、文件大小、预设关键字中的至少一种进行统计，以确定web目录下的各个文件是否为恶意文件，其中，在确认为恶意文件时，确定虚拟专用服务器10植入有计算机病毒，并生成第二报警信号。

可选地，基于预设规则，病毒检测模块130还可以对rootkit木马进行检查预警。例如，对主要执行命令ls、ps、ifconfig、netstat等进行md5值储存对比，并监控主机的进程性能消耗，占用cpu情况等逐一分析，判断可疑rootkit木马(内核级木马病毒)。若检测到md5值与预先储存的值不同，占用cpu超过阈值(可根据实际情况进行设置)，则确定虚拟专用服务器10被植入有可疑的rootkit木马，然后针对可疑的rootkit木马进行进一步检测，若确定被植入rootkit木马，则生成第二报警信号。

请参照图3，为本发明实施例提供的信息安全处理系统100的方框示意图之二。

可选地，信息安全处理系统100还包括加密模块140，用于对信息安全处理系统100中的存储模块13(硬盘)按照预设加密规则进行加密。

例如，可以采用linux统一加密标准(luks:linuxunifiedkeysetup)对存储模块13进行加密，实现硬盘的二次加密。基于该方式，它不仅能通用于不同的linux发行版本，还支持多用户/口令。因为加密密钥独立于口令，所以如果口令失密，账户用户可以迅速改变口令而无需重新加密整个硬盘。通过提供一个标准的磁盘上的格式，有助于提高兼容性，另外，还提供了多个用户密码的安全管理，便于用户的对账户进行管理。若用户要挂载文件到虚拟专用服务器10中，需要对加密的存储模块13进行解密才能实现文件的挂载，从而提高虚拟专用服务器10的网络安全。其中，解密的方式基于预先设置的加密规则得到。

可选地，信息安全处理系统100还包括报警模块150，用于根据第一报警信号和/或第二报警信号发出报警提示。例如，控制报警模块150根据第一报警信号和第二报警信号发出报警提示。或者，控制报警模块150根据第一报警信号或第二报警信号发出报警提示。

可理解地，报警提示的方式可以是，通过邮件、聊天工具、电话、短信等方式实现，以便于用户及时发现异常状况，并对异常状况进行针对性处理。

基于上述设计，本发明可通过简单的一系列程序脚本实现，其占用系统资源少，分配vps初期即可批量部署，无需外接设备，后期维护简单方便，有助于降低运维成本。另外，本发明能更为全面地对虚拟专用服务器10进行检测，有助于提高该虚拟专用服务器10的网络安全。

请再次参照图1，在本实施例中，虚拟专用服务器10中的信息安全处理系统100包括：一个或多个存储于存储模块13中并由处理模块11执行的软件功能模块。例如，信息安全处理系统100可以包括上述的安全检测模块110、版本更新模块120及病毒检测模块130。

请参照图4，为本发明实施例提供的虚拟专用服务器10控制方法的流程示意图。本发明实施例提供的虚拟专用服务器10控制方法可以应用于上述的虚拟专用服务器10，用于实现该控制方法，从而提高虚拟专用服务器10的网络安全。

在本实施例中，虚拟专用服务器10控制方法可以包括以下步骤：

步骤s210，控制安全检测模块110监测虚拟专用服务器10的入侵信息，并在检测到入侵信息时，生成第一报警信号；

步骤s220，控制版本更新模块120每隔第一预设时长检测虚拟专用服务器10的内核版本信息，并在检测到内核版本有更新时，对内核版本进行更新；

步骤s230，控制病毒检测模块130检测虚拟专用服务器10是否植入有计算机病毒，在检测到虚拟专用服务器10植入有计算机病毒时，生成第二报警信号。

可选地，虚拟专用服务器10控制方法还可以包括：控制加密模块140对信息安全处理系统100中的存储模块13按照预设加密规则进行加密；控制报警模块150用于根据第一报警信号和/或第二报警信号发出报警提示。例如，控制报警模块150根据第一报警信号和第二报警信号发出报警提示。或者，控制报警模块150根据第一报警信号或第二报警信号发出报警提示。

值得说明的是，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的控制方法的具体控制过程，可以参考前述信息安全处理系统100中的对应功能模块的实现过程，在此不再过多赘述。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现，基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施场景的方法。

综上，本发明提供一种信息安全处理系统、虚拟专用服务器及其控制方法。该信息安全处理系统包括安全监测模块、版本更新模块及病毒检测模块。安全检测模块用于监测虚拟专用服务器的入侵信息，并在检测到入侵信息时，生成第一报警信号。版本更新模块用于每隔第一预设时长检测虚拟专用服务器的内核版本信息，并在检测到内核版本有更新时，对内核版本进行更新。毒检测模块用于检测虚拟专用服务器是否植入有计算机病毒，在检测到虚拟专用服务器植入有计算机病毒时，生成第二报警信号。本方案能够更为全面地对虚拟专用服务器进行安全检测，从而能够提高其安全性能，保障虚拟专用服务器的网络安全。

在本发明所提供的实施例中，应该理解到，所揭露的装置、系统和方法，也可以通过其它的方式实现。以上所描述的装置、系统和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

可以替换的，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本发明实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。