一种基于集中管理的主机的安全检测方法及系统与流程

本发明涉及网络安全领域，尤其涉及一种基于集中管理的主机的安全检测方法及系统。

背景技术：

互联网的蓬勃发展使各行各业进入了信息网络时代，在线服务多种多样，享受服务的人群数量巨大，公司的服务器主机也越来越多，与此同时主机受到的攻击威胁也在不断增多，管理主机挑战越来越大，传统的主机安全维护已经不适用与现有的大数据中心。

多主机数据中心管理的现状，具体问题如下：传统的主机安全防御方式是针对单个主机部署杀毒软件扫描漏洞，杀毒软件在主机中运行，检测主机中的数据并生成针对该主机的报告文件，并不能对所发生的安全事件进行实时处理，需要用户定期逐个提取每台主机杀毒软件生成的报告文件，以对单个主机的安全状况进行的评估，分析主机是否存在安全威胁。用户定期逐个检查分析主机的安全性，过程繁琐，效率低下，而且用户对单个主机的分析难以对整个数据中心的安全状况进行的评估。

因此，有必要研发一种基于集中管理的主机的安全检测方法，解决上述基于集中管理的主机的检测效率低下的问题。

技术实现要素：

本发明实施例提供了一种基于集中管理的主机的安全检测方法及系统，用于提高基于集中管理的主机安全检测的效率。

本发明实施例第一方面提供了一种基于集中管理的主机的安全检测方法，可包括：

安全管理平台通过部署在不同主机上的客户端分别收集对应主机的日志信息，所述安全管理平台部署在用户侧本地网络中，需要安全检测的每一台主机安装有所述客户端；

所述安全管理平台分别解析所述日志信息并根据所述日志信息生成安全威胁信息并展示给用户；

结合第一方面，在第一方面的第一种可能的实施方式中，所述方法还包括：

所述安全管理平台将需要检测的数据发送至云端平台进行安全检测；

所述云端平台向所述安全管理平台发送用于检测用户侧主机数据的规则库。

结合第一方面，在第一方面的第二种可能的实施方式中，所述方法还包括：

客户端按照预置规则实时检测对应的主机中是否发生预置安全事件；

若发生所述预置安全事件，则按照预置规则即时处理所述预置安全事件。

结合第一方面的第二种可能的实施方式，在第一方面的第三种可能的实施方式中，所述按照预置规则即时处理所述预置安全事件包括：

当客户端按照预置规则实时监测对应的主机中存在恶意文件时，客户端自动隔离或删除所述恶意文件。

结合第一方面的第三种可能的实施方式，在第一方面的第四种可能的实施方式中，所述按照预置规则即时处理所述预置安全事件包括：

当客户端按照预置规则监测对应的主机中存在暴力破解攻击时，客户端封堵所述暴力破解攻击的攻击源的ip地址。

结合第一方面，第一方面的第一种可能的实施方式，第一方面的第二种可能的实施方式，第一方面的第三种可能的实施方式，第一方面的第四种可能的实施方式，在第一方面的第五种可能的实施方式中，所述日志信息包括主机的硬件资产信息、操作系统信息、网络连接信息、主机开放的端口信息、进程信息、网络流量信息以及安全日志信息中的一项或多项；

所述安全管理平台解析所述日志信息，并向用户展示所述日志信息。

结合第一方面的第五种可能的实施方式，在第一方面的第六种可能的实施方式中，所述方法还包括：

当用户根据所述安全威胁信息配置对应的安全策略之后，所述安全管理平台将所述安全策略发送给所述日志信息对应的目标主机的目标客户端或发送给所述用户所属的所有主机的客户端。

本发明实施例第二方面提供了一种基于集中管理的主机的安全检测系统，可包括：

安全管理平台及客户端，其中，

所述安全管理平台部署在用户侧本地网络中，用于管理本地网络中的多台主机；

所述客户端部署在需要安全检测的每一台主机中，分别采集对应主机的日志信息并上传至所述安全管理平台；

所述安全管理平台分别解析所述日志信息，根据所述日志信息生成安全威胁信息并展示给用户。

结合第二方面，在第二方面的第一种可能的实施方式中，所述系统还包括：

云端平台，用于对所述安全管理平台发送的数据进行安全检测；

所述云端平台还用于向所述安全管理平台发送用于检测用户侧主机数据的规则库。

结合第二方面，在第二方面的第二种可能的实施方式中，所述客户端包括：

检测模块，用于按照预置规则检测主机中是否发生预置安全事件，并按照预置规则即时处理所述预置安全事件。

结合第二方面的第二种可能的实施方式，在第二方面的第三种可能的实施方式中，所述检测模块包括：

第一检测单元，用于按照预置规则实时监测主机中是否存在恶意文件，若存在所述恶意文件则自动隔离或删除所述恶意文件。

结合第二方面的第三种可能的实施方式，在第二方面的第四种可能的实施方式中，所述检测模块还包括：

第二检测单元，用于监测主机中是否存在暴力破解攻击，若存在暴力破解攻击则封堵所述暴力破解攻击的攻击源的ip地址。

结合第二方面，第二方面的第一种可能的实施方式，第二方面的第二种可能的实施方式，第二方面的第三种可能的实施方式，第二方面的第四种可能的实施方式，在第二方面的第五种可能的实施方式中，所述日志信息包括主机的硬件资产信息、操作系统信息、网络连接信息、主机开放的端口信息、进程信息、网络流量信息以及安全日志信息中的一项或多项，所述安全管理平台还包括：

安全可视化模块，用于解析所述日志信息，并向用户展示所述日志信息。

结合第二方面的第五种可能的实施方式，在第二方面的第六种可能的实施方式中，所述安全管理平台还包括：

安全策略模块，当用户根据所述安全威胁信息配置对应的安全策略之后，所述安全管理平台将所述安全策略发送给所述日志信息对应的目标主机的目标客户端或发送给所述用户所属的所有主机的客户端。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明实施例中，部署在多台主机的客户端分别采集对应主机的日志信息并上传至安全管理平台，该安全管理平台可以解析日志信息并根据日志信息生成安全威胁信息并展示给用户，最后，当用户根据所述安全威胁信息配置对应的安全策略之后，安全管理平台将安全策略发送给日志信息对应的目标主机的目标客户端并执行该安全策略。即本发明实施例可以实时自动采集用户的多台主机的日志信息至安全管理平台进行数据检测生成对应的安全威胁信息，相对于人工定期逐个提取日志信息，提高了安全监测的效率，同时减少了主机需要检测的数据的量，节约了主机资源。

附图说明

图1为本发明实施例中基于集中管理的主机的安全检测的系统架构示意图；

图2为本发明实施例中一种基于集中管理的主机的安全检测方法的一个实施例示意图；

图3为本发明实施例中一种基于集中管理的主机的安全检测方法的另一个实施例示意图；

图4为本发明实施例中一种基于集中管理的主机的安全检测方法的另一个实施例示意图；

图5为本发明实施例中一种基于集中管理的主机的安全检测方法的另一个实施例示意图；

图6为本发明实施例中一种基于集中管理的主机的安全检测系统的一个实施例示意图；

图7为本发明实施例中一种基于集中管理的主机的安全检测系统的另一个实施例示意图；

图8为本发明实施例中一种基于集中管理的主机的安全检测系统的客户端的细化功能模块示意图；

图9为本发明实施例中一种基于集中管理的主机的安全检测方法的安全管理平台的细化功能模块示意图。

具体实施方式

本发明实施例提供了一种基于集中管理的主机的安全检测方法及系统，用于提高基于集中管理的主机安全检测的效率，减小安全事件处理过程中的延时。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

为了便于理解，现将本发明实施例中基于集中管理的主机的安全检测的系统架构进行简单的示例性说明，请参阅图1，本发明实施例中安全管理平台可以对用户所属的多台主机进行集中管理。

本发明实施例中通过在用户侧本地网络中部署的安全管理平台，以及在用户的多个主机中分别部署客户端实现用户多主机的集中检测与分析，其中本发明实施例中的主机可以为部署在公有云或私有云上的虚拟主机或物理服务器的主机，用户侧本地网络可以是用户侧本地局域网或其他的本地私有网络，客户端主要执行信息收集及执行响应的动作，安全管理平台可以通过用户设置的检测引擎的分析、预置规则库等，对客户端采集到的日志信息数据进行安全检测。当检测结果为威胁事件时，则可以实时响应处置，配置对应的安全策略，例如，隔离文件或阻断入侵行为等。可选的，本发明实施例中可以设置对应的云端平台以借助互联网的大数据平台进行分析，该云端平台部署在互联网中的公有网络中，云端平台可以通过大数据安全分析、人工智能检测引擎的分析、信誉体系的分值计算模型及体量巨大的信誉名单库等形成预置规则对客户端采集到的数据进行安全检测。

下面对本发明实施例中的具体流程进行描述，请参阅图2，本发明实施例中一种基于集中管理的主机的安全检测方法的一个实施例可包括：

201、安全管理平台通过部署在不同主机上的客户端分别收集对应主机的日志信息；

本实施例中，客户端可以部署在用户需要安全检测的每一台主机上，并分别采集对应主机的日志信息，客户端可以根据检测的需求选择需要采集的主机相关信息作为日志信息的一部分上传至安全管理平台，具体的日志信息可疑根据检测需求进行合理设置，例如，客户端发现一个主机程序未开发的服务端口，这时客户端可以进一步的记录该主机的进程信息至日志信息中供用户进行判断识别是否有恶意进程存在。

具体的，日志信息可以包括主机的硬件资产信息、操作系统信息、网络连接信息、主机开放的服务端口信息、进程信息、网络流量信息以及安全日志信息等可以反应主机的运行状态或安全状态的信息，具体此处不做限定。

具体的，本实施例中的安全管理平台在实际运用中可以为部署在用户侧本地网络中网络虚拟平台，例如，可以是采用docker技术在同一局域网络或其他私有网络中的一个或对个用户构建的虚拟化平台，用户可以安装对应的安全管理平台的软件客户端，也可以在web登录平台即可管理该用户所属的主机并存储从主机中提取到的大量实时数据，具体的此处不做限定。

具体的，本实施例中的客户端在主机安装的时候通过参数配置其对应的安全管理平台的地址，使得对应主机中的客户端可以连接到对应的安全管理平台，在特殊情况下，主机客户端不能直接连接对应的安全管理平台时，可以通过socks代理的方式连接到对应的安全管理平台，具体的连接方式此处不做限定。

可以理解的是，客户端向安全管理平台传输数据的过程中，可以根据用户的需求进行加密或不进行加密，此处不做限定。

202、安全管理平台解析日志信息并根据日志信息生成安全威胁信息并展示给用户。

本实施例中当安全管理平台部署在公网上时可以通过大数据安全分析、人工智能检测引擎的分析、信誉体系的分值计算模型及体量巨大的信誉名单库，对客户端采集到的数据进行安全检测，具体的检测方式此处不做限定，当安全管理平台部署在用户侧的本地网络时，可以按照用户设置的软件或引擎对采集到的日志信息进行检测，具体此处不做限定，若发现主机的日志信息或日志信息中记载的该主机中的相关数据信息中存在安全威胁，则安全管理平台可以生成对应的安全威胁信息并展示给用户，以指示日志信息中或者日志信息中记载的该主机中的相关数据信息中存在安全威胁。

本实施例中，部署在多台主机的客户端可以分别采集对应主机的日志信息并上传至安全管理平台，该安全管理平台可以解析日志信息并根据日志信息生成安全威胁信息并展示给用户。即本发明实施例可以实时自动采集用户的多台主机的日志信息至安全管理平台进行检测，相对于主机运行杀毒软件检测自身数据并生成检测报告，人工定期逐个提取报告文件的方式，无需人工逐一提取，提高了安全检测的效率，同时减少了主机需要检测的数据的量，节约了主机资源开销，用户可以通过安全管理平台集中管理多台主机，实时解析日志信息并生成对应的安全威胁信息，减小了安全事件处理过程中延时的可能性。

其次，本实施例中的安全管理平台可以通过大数据安全分析、人工智能检测引擎的分析、信誉体系的分值计算模型及体量巨大的信誉名单库，对客户端采集到的数据进行安全检测，提高了检测的准确性。

在上述实施例的基础上，当用户侧的安全管理平台无法确切的分析用户侧的主机中的数据是否存在安全威胁时，可以借助互联网的大数据平台进行分析，具体的请参阅图3，本发明实施例中一种基于集中管理的主机的安全检测方法的另一个实施例可包括：

301、安全管理平台通过部署在不同主机上的客户端分别收集对应主机的日志信息；

302、安全管理平台解析日志信息并根据日志信息生成安全威胁信息并展示给用户；

本实施例中的步骤301至302与上述图2所示的实施例中的步骤201至202中描述的内容类似，此处不再赘述。

303、安全管理平台将需要检测的数据发送至云端平台进行安全检测。

可选的，当用户侧的安全管理平台无法确切的分析用户侧的主机中的数据是否存在安全威胁时，可以借助互联网的大数据平台进行分析，云端平台可以通过大数据安全分析、人工智能检测引擎的分析、信誉体系的分值计算模型及体量巨大的信誉名单库等形成预置规则对客户端采集到的数据进行安全检测。例如，可以根据信誉库形成黑白名单以区分日志信息中的文件种类是正常文件还是恶意文件，具体的检测方式此处不做限定，若发现主机的日志信息或日志信息中记载的该主机中的相关数据信息中存在安全威胁，则云端平台可以生成对应的安全威胁信息并通过安全管理平台展示给用户。

具体的，安全管理平台可以将采集的日志信息中的部分或全部信息发送给云端平台，或根据检测需求重新采集所需的数据以进一步检测，具体的此处不做限定。

进一步的，云端平台可以将互联网中经过验证的安全检测规则形成的规则库实时更新到安全管理平台，以提高安全管理平台的检测能力。

在上述图2或图3所示的实施例的基础上，用户可以通过采集日志信息的方式从多个主机中采集到对应的日志信息来检测对应的主机上的安全隐患，但实际运用中，多数主机中存在一些常见的安全事件，例如针对主机中服务器的暴力破解攻击、恶意文件的写入等，这些安全事件需要实时防护或即时处理的，对此，需要在客户端中根据用户的需求设置预置的安全规则对主机中特定的安全事件进行实时防护或即时处理。请参阅图4，本发明实施例中一种基于集中管理的主机的安全检测方法的另一个实施例可包括：

401、安全管理平台通过部署在不同主机上的客户端分别收集对应主机的日志信息；

402、安全管理平台解析日志信息并根据日志信息生成安全威胁信息并展示给用户；

本实施例中的步骤401至402与上述图2所示的实施例中的步骤201至202中描述的内容类似，此处不再赘述。

403、客户端按照预置规则实时检测对应的主机中是否发生预置安全事件；

实际运用中，主机需要实时防护一些常见的安全事件，对应的客户端可以按照用户的操作，在该用户所属的所有主机的客户端合理设置需要实时自动检测的安全事件的安全检测规则及其处理规则作为预置规则，客户端可以根据预置规则实时检测对应的主机中是否发生预置安全事件，具体的安全检测规则此处不做限定。

可以理解的是，本实施例中的步骤403及其后续步骤的实施顺序可以是在上述步骤401至402之前、之后或同时执行，具体的实施顺序此处不做限定。

404、客户端按照预置规则即时处理预置安全事件。

当客户端根据预置规则检测到预置安全事件时，客户端可以按照用户设置的预置规则即时处理该预置安全事件，具体的处理方式可以是自动隔离或删除恶意文件、封堵该暴力破解攻击的攻击源的ip地址或者将预置安全事件的发生以安全日志的形式写入日志信息，具体的此处不做限定。

具体的，例如，当客户端按照预置规则实时监测对应的主机中存在恶意文件时，客户端可以自动隔离或删除该恶意文件，例如，对于主机中的web服务器客户端会自动发现web服务器根目录，采用inotify技术实时监控目录，目录中有文件变更时会扫描文件及时发现webshell恶意文件，通过配置可以自动隔离删除恶意文件。例如，客户端采用实时检测本机的域名解析并有规则库判断是否为僵尸网络行为，实时检测僵尸网络恶意文件，一旦检测出恶意文件客户端可以将事件详情以日志的形式上报给安全管理平台或自动隔离删除恶意文件。

具体的，例如，当客户端监测对应的主机中存在暴力破解攻击时，客户端可以封堵该暴力破解攻击的攻击源的ip地址，以保护主机的安全。可选的，客户端可以分析汇总主机的访问日志，将此次暴力破解攻击的详细信息以威胁日志的形式上报给安全管理平台。

在上述图2或图3或图4所示的实施例的基础上，用户通过客户端采集单一的主机的日志信息往往并不能准确的评估多个主机构成的整个数据中心的安全状态及运行状态，也无法为整个数据中心设置一些统一的安全规则，为解决这一问题需要客户端将采集的日志信息对用户安全可视化，具体的，请参阅图5，本发明实施例中一种基于集中管理的主机的安全检测方法的另一个实施例可包括：

501、安全管理平台通过部署在不同主机上的客户端分别收集对应主机的日志信息；

502、安全管理平台解析日志信息并根据日志信息生成安全威胁信息并展示给用户；

503、客户端按照预置规则实时检测对应的主机中是否发生预置安全事件；

504、客户端按照预置规则即时处理预置安全事件；

本实施例中的步骤501至504中所描述的内容与图4所示的实施例中的步骤401至404中所描述的内容类似，此处不做赘述。

505、安全管理平台向用户展示日志信息；

为了准确评估多个主机构成的数据中心的安全状态或运行状态，用户可以合理设置客户端采集的日志信息的信息种类，例如主机的硬件资产信息、操作系统信息、网络连接信息，开放的服务端口信息，进程信息，网络流量信息等可以反应主机的运行状态或安全状态的信息，客户端可以根据用户的设置将收集的各类日志做分析处理，向用户展示暴力破解，恶意文件，非法访问等事件、整个接入系统的流量可视图。收集所有主机的暴露面，资产等信息。用户可以通过登录安全管理平台可以查看所属主机的安全事件，资产信息等。

进一步的，本实施例还可以包括：

506、安全管理平台将安全策略发送给客户端。

当用户或安全管理平台判定对应的主机中存在安全风险或已经发生安全事件时，安全管理平台可以根据用户的操作生成对应的安全策略，具体的安全策略随安全漏洞或安全事件的变化而变化，此处不做限定。例如，该日志信息中记载客户端在主机中检测到某一类型的可疑文件，安全管理平台可以配置该主机对应的安全策略为隔离或删除该可疑文件；例如，该日志信息中记载主机中的服务器存在恶意ip的恶意访问，则安全管理平台可以配置该主机对应的安全策略为屏蔽该恶意ip对主机的再次访问。

用户针对安全威胁信息配置的安全策略可能是针对单独的一台主机，可能是针对一类主机或多类主机，安全管理平台可以根据用户的设置将安全策略发送给日志信息对应的目标主机的目标客户端或发送给该用户所属的所有主机的客户端具体此处不做限定。

例如，当有某一安全事件发生时，用户需要所有主机配置针对该安全事件的防火墙规则时，可以直接在安全管理平台配置防火墙规则并自动下发到对应所有主机，当该安全事件再次在该用户所属的任一主机上发生时，该主机可以按照防火墙规则自动处理对应的安全事件。

本发明实施例还提供了一种基于集中管理的主机的安全检测系统，请参阅图6，本发明实施例中一种基于集中管理的主机的安全检测系统的一个实施例可包括：

安全管理平台500及客户端600，其中，

所述安全管理平台500部署在用户侧本地网络中，用于管理本地网络中的多台主机；

客户端600部署在需要安全检测的每一台主机中，分别采集对应主机的日志信息并上传至安全管理平台500；

安全管理平台500分别解析日志信息并根据日志信息生成安全威胁信息并展示给用户。

本实施例中所示的基于集中管理的主机的安全检测系统的具体功能与上述图2所示的实施例中描述的内容类似，具体请参阅图2所示的实施例，此处再赘述。

本实施例中，部署在多台主机的客户端可以分别采集对应主机的日志信息并上传至安全管理平台，该安全管理平台可以解析日志信息并根据日志信息生成安全威胁信息并展示给用户。即本发明实施例可以实时自动采集用户的多台主机的日志信息至安全管理平台进行检测，相对于主机运行杀毒软件检测自身数据并生成检测报告，人工定期逐个提取报告文件的方式，无需人工逐一提取，提高了安全检测的效率，同时减少了主机需要检测的数据的量，节约了主机资源开销，用户可以通过安全管理平台集中管理多台主机，实时解析日志信息并生成对应的安全威胁信息，减小了安全事件处理过程中延时的可能性。

在图5所示的实施例的基础上，请参阅图7，本发明实施例中的基于集中管理的主机的安全检测系统，还可以包括：

云端平台700，用于对所述安全管理平台发送的数据进行安全检测。

进一步的，该云端平台700还用于向所述安全管理平台发送用于检测用户侧主机数据的规则库。

本实施例中的基于集中管理的主机的安全检测系统的具体功能与上述图3所示的实施例中描述的内容类似，具体请参阅图3所示的实施例，此处不做赘述。

在图5至图7所示的任一实施例的基础上，请参阅图8，图8为本发明实施例中客户端600的细化模块示意图，作为一种可能的实施方式，本实施例中的客户端600可以进一步包括：

检测模块601，用于按照预置规则检测主机中是否发生预置安全事件，并按照预置规则即时处理预置安全事件。

可选的，本实施例中的检测模块601还可以进一步包括：

第一检测单元6011，用于按照预置规则实时监测主机中是否存在恶意文件，若存在恶意文件则自动隔离或删除恶意文件。

可选的，本实施例中的检测模块601还可以进一步包括：

第二检测单元，用于监测主机中是否存在暴力破解攻击，若存在暴力破解攻击则封堵暴力破解攻击的攻击源的ip地址。

本发明实施例中所示的基于集中管理的主机的安全检测系统的具体功能及客户端600的具体功能与上述图4所示的实施例中描述的内容类似，具体请参阅图4所示的实施例，此处再赘述。

在上述图5至图8所示的实施例的基础上，请参阅图9，图9为本发明实施例中安全管理平台500的细化模块示意图，作为一种可能的实施方式，本实施例中的日志信息可以包括主机的硬件资产信息、操作系统信息、网络连接信息、主机开放的端口信息、进程信息、网络流量信息以及安全日志信息中的一项或多项，具体可以根据用户的需求进行合理设置，本实施例中安全管理平台500可以进一步包括：

安全可视化模块501，用于解析日志信息，并向用户展示日志信息。

可选的，本实施例中的安全管理平台500可以进一步包括：

安全策略模块502，当用户根据所述安全威胁信息配置对应的安全策略之后，所述安全管理平台将所述安全策略发送给所述日志信息对应的目标主机的目标客户端或发送给所述用户所属的所有主机的客户端。

本实施例中，客户端可以部署在用户的多台主机上，并分别采集对应主机的日志信息，客户端可以根据检测的需求选择需要采集的主机相关信息作为日志信息的一部分上传至安全管理平台，最后，安全管理平台将安全策略发送给日志信息对应的目标主机的目标客户端并执行该安全策略。具体的日志信息可疑根据检测需求进行合理设置，例如，可以包括主机的硬件资产信息、操作系统信息、网络连接信息，开放的服务端口信息，进程信息，网络流量信息等可以反应主机的运行状态或安全状态的信息，具体此处不做限定。

可以理解的是，客户端在向云平台传输数据的过程中，可以根据用户的需求进行加密或不进行加密，具体此处不做限定。

本实施例中，部署在多台主机的客户端可以分别采集对应主机的日志信息并上传至安全管理平台，该安全管理平台可以解析日志信息并根据日志信息配置对应的安全策略，最后，安全管理平台将安全策略发送给日志信息对应的目标主机的目标客户端并执行该安全策略。即本发明实施例可以实时自动采集用户的多台主机的日志信息至安全管理平台，相对于主机运行杀毒软件检测自身数据并生成检测报告，人工定期逐个提取报告文件的方式，无需人工逐一提取，提高了安全检测的效率，同时减少了主机需要检测的数据的量，节约了主机资源开销，用户可以通过安全管理平台集中管理多台主机，实时解析日志信息并生成对应的安全威胁信息，减小了安全事件处理过程中延时的可能性。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。