[发明专利]一种基于集中管理的主机的安全检测方法及系统

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种基于集中管理的主机的安全检测方法及系统。

背景技术

互联网的蓬勃发展使各行各业进入了信息网络时代，在线服务多种多样，享受服务的人群数量巨大，公司的服务器主机也越来越多，与此同时主机受到的攻击威胁也在不断增多，管理主机挑战越来越大，传统的主机安全维护已经不适用与现有的大数据中心。

多主机数据中心管理的现状，具体问题如下：传统的主机安全防御方式是针对单个主机部署杀毒软件扫描漏洞，杀毒软件在主机中运行，检测主机中的数据并生成针对该主机的报告文件，并不能对所发生的安全事件进行实时处理，需要用户定期逐个提取每台主机杀毒软件生成的报告文件，以对单个主机的安全状况进行的评估，分析主机是否存在安全威胁。用户定期逐个检查分析主机的安全性，过程繁琐，效率低下，而且用户对单个主机的分析难以对整个数据中心的安全状况进行的评估。

因此，有必要研发一种基于集中管理的主机的安全检测方法，解决上述基于集中管理的主机的检测效率低下的问题。

发明内容

本发明实施例提供了一种基于集中管理的主机的安全检测方法及系统，用于提高基于集中管理的主机安全检测的效率。

本发明实施例第一方面提供了一种基于集中管理的主机的安全检测方法，可包括：

安全管理平台通过部署在不同主机上的客户端分别收集对应主机的日志信息，所述安全管理平台部署在用户侧本地网络中，需要安全检测的每一台主机安装有所述客户端；

所述安全管理平台分别解析所述日志信息并根据所述日志信息生成安全威胁信息并展示给用户；

结合第一方面，在第一方面的第一种可能的实施方式中，所述方法还包括：

所述安全管理平台将需要检测的数据发送至云端平台进行安全检测；

所述云端平台向所述安全管理平台发送用于检测用户侧主机数据的规则库。

结合第一方面，在第一方面的第二种可能的实施方式中，所述方法还包括：

客户端按照预置规则实时检测对应的主机中是否发生预置安全事件；

若发生所述预置安全事件，则按照预置规则即时处理所述预置安全事件。

结合第一方面的第二种可能的实施方式，在第一方面的第三种可能的实施方式中，所述按照预置规则即时处理所述预置安全事件包括：

当客户端按照预置规则实时监测对应的主机中存在恶意文件时，客户端自动隔离或删除所述恶意文件。

结合第一方面的第三种可能的实施方式，在第一方面的第四种可能的实施方式中，所述按照预置规则即时处理所述预置安全事件包括：

当客户端按照预置规则监测对应的主机中存在暴力破解攻击时，客户端封堵所述暴力破解攻击的攻击源的IP地址。

结合第一方面，第一方面的第一种可能的实施方式，第一方面的第二种可能的实施方式，第一方面的第三种可能的实施方式，第一方面的第四种可能的实施方式，在第一方面的第五种可能的实施方式中，所述日志信息包括主机的硬件资产信息、操作系统信息、网络连接信息、主机开放的端口信息、进程信息、网络流量信息以及安全日志信息中的一项或多项；

所述安全管理平台解析所述日志信息，并向用户展示所述日志信息。

结合第一方面的第五种可能的实施方式，在第一方面的第六种可能的实施方式中，所述方法还包括：

当用户根据所述安全威胁信息配置对应的安全策略之后，所述安全管理平台将所述安全策略发送给所述日志信息对应的目标主机的目标客户端或发送给所述用户所属的所有主机的客户端。

本发明实施例第二方面提供了一种基于集中管理的主机的安全检测系统，可包括：

安全管理平台及客户端，其中，

所述安全管理平台部署在用户侧本地网络中，用于管理本地网络中的多台主机；

所述客户端部署在需要安全检测的每一台主机中，分别采集对应主机的日志信息并上传至所述安全管理平台；

所述安全管理平台分别解析所述日志信息，根据所述日志信息生成安全威胁信息并展示给用户。

结合第二方面，在第二方面的第一种可能的实施方式中，所述系统还包括：

云端平台，用于对所述安全管理平台发送的数据进行安全检测；

所述云端平台还用于向所述安全管理平台发送用于检测用户侧主机数据的规则库。

结合第二方面，在第二方面的第二种可能的实施方式中，所述客户端包括：