本发明涉及一种基于安全代理的主机信息采集方法,属于计算机信息安全技术领域。
背景技术
互联网的蓬勃发展使各行各业进入了信息网络时代,在线服务多种多样,享受服务的人群数量巨大,公司的服务器主机也越来越多,与此同时主机受到的攻击威胁也在不断增多,管理主机挑战越来越大。用户定期逐个检查分析主机的安全性,过程繁琐,效率低下,而且用户对单个主机的分析难以对整体安全状况进行的评估。
现有的主机信息采集系统或方法,基本都是使用代理机制实现对业务主机的运行状态及安全状态进行监控。代理程序的计算模式以其智能性、动态性和移动性得到广泛的关注。代理程序是一段独立的程序,能自治地、主动地从网络中的一台主机迁移到另一台主机内,它代表用户利用合适的计算资源进行相关的计算,完成特定的任务,并向用户返回相应的计算结果。代理程序在远程机器上执行任务时,不要求网络始终保持连接。它具有网络流量小、支持移动客户、增加客户机和服务器的异步性、服务可定制、容错性好等优点。
但是代理程序必须在服务器上运行,因此,其代码和数据对于服务器主机来说都是完全暴露的。现有技术无法解决以下问题:
1、无法控制代理程序对资源使用。针对业务主机防护而言,保证运行稳定是所有安全手段的基础,各种代理程序在对主机的运行状态及安全状态进行监控同时也消耗系统资源,但无法控制主机系统的cpu、内存资源占用及消耗,缺少资源控制。
2、无法控制代理程序权限能力。针对业务主机防护而言,保证业务安全是所有安全手段的基础,各种代理程序如遇非法劫持,无法控制对其访问文件进行约束,缺少权限控制。
3、无法解决代理程序容灾能力低。
技术实现要素:
为克服上述缺陷,本发明提供了一种基于安全代理的主机信息采集方法,来实现对代理程序自身资源控制及权限控制,提高代理程序的安全性、可靠性。
本发明的目的是通过采用下述技术方案实现的:
一种基于安全代理的主机信息采集方法,包括以下步骤:
1)在客户端配置资源保护控制模块和安全检查模块;所述资源保护控制模块用于进行资源分配,所述安全检查模块用于判断代理程序服务端下发的命令任务,是否具备执行权限;所述安全检查模块配置安全规则表;
2)代理程序服务端向选定的客户端程序下发命令任务;
3)客户端程序收到代理程序服务端下发的命令任务,调用安全代理的资源保护控制模块进行资源分配;
4)客户端调用安全检查模块,对下发的命令任务进行强制访问控制;
5)客户端执行代理程序服务端下发的通过安全检查模块检查的任务,将执行结果、对应客户端主机的日志信息发送给代理程序服务端的数据接收模块;
6)代理程序服务端接收客户端上送的信息并根据日志信息生成相关告警信息展示给用户。
前述的步骤1)中,所述安全规则表包括主体和客体,所述安全规则表规定了主体所能访问的客体及其权限;所述主体为能够执行命令的程序,所述客体为访问对象。
前述的主体包括用户、进程id和ip;所述客体包括资源类型、资源标记和程序访问方式三种类型,具体为:文件对象、进程对象、服务对象、网络共享对象、磁盘对象和数据库。
前述的主体和客体都有对应的编号,在安全规则表中描述格式如下:主体i:客体j,客体k,客体m,其中,i,j,k,m均表示编号。
前述的步骤2)中,所述命令任务包括性能检测命令、联动策略命令、配置核查命令和信息查询命令。
前述的步骤3)中,资源保护控制模块进行资源分配具体过程为:
代理程序服务端将命令任务发送给命令任务对应的目标主机客户端,目标主机客户端通过程序获取用户预先配置的命令执行最小资源,为不同命令执行分配不同资源,当资源访问超出设定范围时,系统拒绝。
前述的步骤4)中,强制访问控制是指:当系统发生命令任务下发请求时,安全检查模块查看安全规则表决定访问是允许,还是拒绝;当访问权限超出安全规则表的范围时系统拒绝。
与现有技术相比,本发明的有益效果为:
(1)本发明在代理程序基础上,首次引入了资源保护控制模块,实现代理程序执行过程中的资源控制,防止了代理程序抢占主机正常业务所需要的资源。
(2)本来在代理程序基础上引入安全检查模块,实现程序执行过程中的最小权限,防止代理程序被恶意利用,影响主机安全。
附图说明
图1为本发明的基于安全代理的主机信息采集过程示意图;
图2为本发明的命令任务安全检查流程图。
具体实施方式
下面对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
本发明提供了一种基于安全代理的主机信息采集方法,解决了现有代理程序无法控制对资源使用及无法控制主机访问权限的难题。采用本发明方法,首先需要在客户端配置资源保护控制模块和安全检查模块。通过资源保护控制模块,实现代理程序执行过程中的资源分配,然后在客户端执行服务端下发的任务之前,进入安全检查模块,查询安全规则表,判断下发的命令任务,是否具备执行权限,保证代理程序安全性。
本发明基于安全代理的主机信息采集方法实现过程参见图1和图2,具体如下:
步骤s1:代理程序服务端向选定的客户端程序下发命令任务;其中命令任务包括性能检测命令、联动策略命令、配置核查命令、信息查询命令等多项任务。
步骤s2:客户端程序收到代理程序服务端下发的命令任务,调用安全代理的资源保护控制模块,为代理程序分配资源;控制代理程序执行过程中占用cpu、内存等情况,保证其代理程序运行过程中不影响主机原有业务。
具体过程如下:
代理程序服务端可以将命令任务发送给命令任务对应的目标主机客户端。目标主机客户端通过程序获取用户预先配置的命令执行最小资源,为不同命令执行分配不同资源,当资源访问超出设定范围时,系统拒绝。
步骤s3:客户端调用安全检查模块,对下发的命令任务进行强制访问控制;具体过程如下:
s301,用户配置安全规则表;其中,安全规则表中罗列出程序运行所需要的权限,当程序权限访问超出安全规则表的范围时系统拒绝。安全规则表包括主体、客体两部分,主体为可执行命令程序,是规则项的主键,包括用户、进程id、ip等;访问控制客体为访问对象,包括资源类型、资源标记、程序访问方式,如文件对象、进程对象、服务对象、网络共享对象、磁盘对象和数据库等,规定了主体所能访问的资源及其权限。各主体和客体都有其对应的编号,描述格式如下:主体1:客体11,客体12,客体13。
s302,当系统发生命令任务下发请求时,安全检查模块查看安全规则表决定访问是允许,还是拒绝;当资源访问超出安全规则表的范围时系统拒绝。
s303,执行策略动作。
步骤s4:客户端执行代理程序服务端下发的通过安全检查模块检查的任务,将执行结果、对应主机的日志等信息发送给代理程序服务端的数据接收模块;
步骤s5:代理程序服务端接收客户端上送的信息并根据日志信息生成相关告警信息并展示给用户。
客户端程序可以根据用户下发的命令对主机日志信息进行采集并发送到代理程序服务端,代理程序服务端根据日志信息分析,发现主机日志信息中记载的该主机中的相关数据信息中存在安全威胁,则服务端程序可以生成对应的告警信息并展示给用户,以指示日志信息中记载的该主机中的相关数据信息中存在安全威胁。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。