一种基于云端的主机安全检测方法及装置与流程

本发明涉及网络安全，更具体地说，本发明涉及一种基于云端的主机安全检测方法及装置。

背景技术：

1、网络防火墙是一项非常重要的安全技术，在网络安全体系中承担着首道屏障的作用，它能提供身份认证和访问控制，是内部网网络面对互联网的第一道安全门。与防毒、入侵检测、虚拟专用网及其他身份认证产品相比，防火墙技术是最早被认可和最为成熟的网络安全产品。目前，防火墙己成为中小型网络建设中是否采取网络安全措施的重要标志。

2、传统防火墙的过滤规则是静态的，在运行过程中规则不变，不能按照当时的环境变化动态、实时地自动调整其过滤规则，导致可能会遇到一些问题，例如对利用动态端口的协议会发生困难，事先无法知道哪些端口需要打开；对于一些紧急情况，如遭受到可能的入侵无法及时调整其策略以避免可能的破坏。

技术实现思路

1、本发明提供一种基于云端的主机安全检测方法及装置，至少解决上述部分技术问题。

2、本发明提供了一种基于云端的主机安全检测方法，包括以下步骤：

3、步骤一，云端防护装置接收对至少一个主机的访问请求；其中，云端防护装置为多个主机提供防火墙和入侵检测系统；

4、步骤二，云端防护装置运行至少一个主机的入侵检测系统，对通过防火墙的流量进行检测，判断是否有入侵事件发生；如果没有，则允许对至少一个主机的访问；如果有入侵事件发生，则阻止对至少一个主机的访问，并且在至少一个主机的防火墙的规则库中添加入侵规则，使至少一个主机的防火墙阻止入侵事件对应的访问；

5、步骤三，云端防护装置在其他主机的防火墙的规则库中添加相同入侵规则，使其他主机的防火墙阻止入侵事件对应的访问。

6、优选的，步骤二包括：

7、当有流量通过至少一个主机的防火墙时，运行至少一个主机的入侵检测系统；和/或

8、接收到至少一个主机的扫描请求时，运行至少一个主机的入侵检测系统。

9、优选的，步骤二包括：

10、在对通过防火墙的流量进行检测后，向主机发送入侵检测结果报告；

11、接收主机的响应，根据主机的指示信息调整防火墙的规则库和/或入侵检测系统的入侵规则库。

12、优选的，不同主机之间存在预配置的关联关系，步骤三中云端防护装置在与至少一个主机存在关联关系的其他主机的防火墙的规则库中添加相同入侵规则；

13、其中，不同主机之间存在预配置的关联关系包括：

14、部分主机公用入侵检测系统；

15、不同主机的入侵检测系统存在关联关系。

16、本发明还提供一种基于云端的主机安全检测装置，为多个主机提供防火墙和入侵检测系统；该装置包括：

17、接收模块，用于接收对至少一个主机的访问请求；

18、入侵检测模块，用于运行至少一个主机的入侵检测系统，对通过防火墙的流量进行检测，判断是否有入侵事件发生；如果没有，则允许对至少一个主机的访问；如果有入侵事件发生，则阻止对至少一个主机的访问；

19、规则设置模块，用于当入侵检测模块判断有入侵事件发生时，在至少一个主机的防火墙的规则库中添加入侵规则，使至少一个主机的防火墙阻止入侵事件对应的访问；并且在其他主机的防火墙的规则库中添加相同入侵规则，使其他主机的防火墙阻止入侵事件对应的访问。

20、优选的，入侵检测模块用于：

21、当有流量通过至少一个主机的防火墙时，运行至少一个主机的入侵检测系统；和/或

22、当接收模块接收到至少一个主机的扫描请求时，运行至少一个主机的入侵检测系统。

23、优选的，入侵检测模块用于：

24、在对通过防火墙的流量进行检测后，向主机发送入侵检测结果报告；

25、接收主机的响应，根据主机的指示信息调整防火墙的规则库和/或入侵检测系统的入侵规则库。

26、优选的，不同主机之间存在预配置的关联关系，规则设置模块用于：在与至少一个主机存在关联关系的其他主机的防火墙的规则库中添加相同入侵规则；

27、其中，不同主机之间存在预配置的关联关系包括：

28、部分主机公用入侵检测系统；

29、不同主机的入侵检测系统存在关联关系。

30、本发明至少包括以下有益效果：

31、基于云端为多个主机提供防火墙和入侵检测系统，通过入侵检测系统对通过防火墙的流量进行检测，并在检测到入侵事件时，动态调整防火墙的规则库，使得防火墙能够及时阻止入侵事件对应的访问，并且通过关联不同主机，可以在其他主机的防火墙的规则库中添加相同入侵规则，使其他主机的防火墙阻止入侵事件对应的访问，提高多个主机防火墙的功能。

32、本发明所述基于云端的主机安全检测方法，采取协议分析模式结合描述语言对规则库匹配检测，来判断入侵事件是否发生。攻击方法均被描述为入侵规则并存放于入侵规则库中，如果主机中的数据流和规则库中的某条特征相匹配，系统告警指出有某种非法入侵行为发生，并且实施响应，同时将检测到未知威胁更新到防火墙和入侵规则库中，从而达到一种不断完善的良性循环。

33、本发明主要对模式匹配的计算量大和规则匹配的局限性进行优化，规则库中未存在但是实际存在风险的操作，首次进行检测时候可以通过描述语言对检测的风险程度进行设定，将描述语言方法检测到的威胁。将检测到未知威胁进行记录，在返回结果的同时，人工审核是否需要将该威胁添加的入侵检测规则库；这样做的优势在于在最大程度匹配入侵威胁的前提下同时提升威胁检测的准确率。

34、本发明的其它优点、目标和特征将部分通过下面的说明体现，部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。

技术特征：

1.一种基于云端的主机安全检测方法，其特征在于，包括以下步骤：

2.如权利要求1所述的基于云端的主机安全检测方法，其特征在于，步骤二包括：

3.如权利要求1或2所述的基于云端的主机安全检测方法，其特征在于，步骤二包括：

4.如权利要求1或2所述的基于云端的主机安全检测方法，其特征在于，

5.一种基于云端的主机安全检测装置，为多个主机提供防火墙和入侵检测系统；其特征在于，包括：

6.如权利要求1所述的基于云端的主机安全检测装置，其特征在于，入侵检测模块用于：

7.如权利要求5或6所述的基于云端的主机安全检测装置，其特征在于，入侵检测模块用于：

8.如权利要求5或6所述的基于云端的主机安全检测装置，其特征在于，

技术总结
本发明公开了一种基于云端的主机安全检测方法及装置，该方法包括：云端防护装置接收对至少一个主机的访问请求；云端防护装置运行至少一个主机的入侵检测系统，对通过防火墙的流量进行检测，判断是否有入侵事件发生；如果没有，则允许对至少一个主机的访问；如果有入侵事件发生，则阻止对至少一个主机的访问，并且在至少一个主机的防火墙的规则库中添加入侵规则，使至少一个主机的防火墙阻止入侵事件对应的访问；云端防护装置在其他主机的防火墙的规则库中添加相同入侵规则，使其他主机的防火墙阻止入侵事件对应的访问。本发明中动态调整防火墙的规则库，使得防火墙能够及时阻止入侵事件对应的访问。

技术研发人员：田新远
受保护的技术使用者：北京华清信安科技有限公司
技术研发日：
技术公布日：2024/1/13