主机入侵检测方法、装置、设备及计算机存储介质.pdf

《主机入侵检测方法、装置、设备及计算机存储介质.pdf》由会员分享，可在线阅读，更多相关《主机入侵检测方法、装置、设备及计算机存储介质.pdf（19页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910787459.3 (22)申请日 2019.08.23 (71)申请人 深圳前海微众银行股份有限公司 地址 518000 广东省深圳市前海深港合作 区前湾一路1号A栋201室 （入驻深圳市 前海商务秘书有限公司） (72)发明人 姚朋波 (74)专利代理机构 深圳市世纪恒程知识产权代 理事务所 44287 代理人 张婷 (51)Int.Cl. H04L 29/06(2006.01) H04L 29/08(2006.01) (54)发明名称 主机入侵检测方法、 装置、 。

2、设备及计算机存 储介质 (57)摘要 本发明涉及金融科技(Fintech)技术领域， 并公开了一种主机入侵检测方法， 该方法包括： 生产主机接收服务器发送的检测插件脚本， 并启 动检测插件脚本， 其中， 检测插件脚本由服务器 通过SFTP下发； 生产主机通过检测插件脚本获取 采集数据； 生产主机将采集数据反馈至服务器， 以对采集数据进行告警处理。 本发明还公开了一 种主机入侵检测装置、 设备和一种计算机存储介 质。 本发明提高了主机信息采集的实时性。 权利要求书3页 说明书12页 附图3页 CN 110365714 A 2019.10.22 CN 110365714 A 1.一种主机入侵检测方。

3、法， 其特征在于， 所述主机入侵检测方法包括如下步骤： 生产主机接收服务器发送的检测插件脚本， 并启动所述检测插件脚本， 其中， 所述检测 插件脚本由服务器通过安全文件传送协议SFTP下发； 所述生产主机通过所述检测插件脚本获取采集数据； 所述生产主机将所述采集数据反馈至服务器， 以对所述采集数据进行告警处理。 2.如权利要求1所述的主机入侵检测方法， 其特征在于， 所述生产主机通过所述检测插 件脚本获取采集数据的步骤， 包括： 所述生产主机获取所述检测插件脚本中的资源控制模块和数据采集上报模块； 通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控制， 并通过所 述数据上报模块在所。

4、述生产主机中采集所述检测插件脚本对应的采集数据， 其中， 所述资 源控制处理包括资源控制和行为控制。 3.如权利要求2所述的主机入侵检测方法， 其特征在于， 所述行为控制包括存活监控， 所述通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控制的步 骤， 包括： 通过所述资源控制模块对所述数据采集上报模块进行资源控制， 并对所述数据采集上 报模块进行存活监控， 以确定所述数据采集上报模块是否在正常运行； 若否， 则停止所述数据采集上报模块的采集操作， 并输出所述数据采集上报模块存在 异常的提示信息。 4.如权利要求2所述的主机入侵检测方法， 其特征在于， 所述行为控制包括超时监控， 。

5、所述通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控制的步 骤， 包括： 通过所述资源控制模块对所述数据采集上报模块进行资源控制， 并对所述数据采集上 报模块进行超时监控， 以确定所述数据采集上报模块的采集时间是否超过预设时长； 若是， 则停止所述数据采集上报模块的采集操作。 5.如权利要求2所述主机入侵检测方法， 其特征在于， 所述通过所述资源控制模块对所 述数据采集上报模块进行资源控制的步骤， 包括： 通过所述资源控制模块检测所述数据采集上报模块在所述生产主机中占用的CPU和内 存， 并判断所述占用的CPU和内存是否大于所述生产主机中的预设值； 若大于， 则所述资源控制模块通。

6、过控制组对所述数据采集上报模块在所述生产主机中 占用的CPU和内存进行资源控制。 6.如权利要求2所述的主机入侵检测方法， 其特征在于， 所述将所述采集数据反馈至服 务器的步骤， 包括： 所述资源控制模块在检测到所述数据采集上报模块已获取到所述采集数据时， 会向所 述服务器发送请求信息， 以便所述服务器根据所述请求信息获取所述采集数据。 7.一种主机入侵检测方法， 其特征在于， 所述主机入侵检测方法应用于主机入侵检测 系统， 所述主机入侵检测系统包括生产主机、 服务器和分析引擎， 所述主机入侵检测发布方 法包括如下步骤： 所述生产主机接收所述服务器发送的检测插件脚本， 启动所述检测插件脚本， 。

7、并通过 所述检测插件脚本获取采集数据， 将所述采集数据反馈至所述服务器； 权利要求书 1/3 页 2 CN 110365714 A 2 所述服务器对所述生产主机反馈的采集数据进行预处理， 并将预处理后的采集数据发 送至所述分析引擎； 所述分析引擎对接收到的所述预处理后的采集数据进行检测， 并基于检测结果对所述 预处理后的采集数据进行告警处理。 8.如权利要求7所述的主机入侵检测方法， 其特征在于， 所述分析引擎对接收到的所述 预处理后的采集数据进行检测， 并基于检测结果对所述预处理后的采集数据进行告警处理 的步骤， 包括： 所述分析引擎获取所述预处理后的采集数据中的源IP， 并判断所述源IP是。

8、否和预设内 网IP匹配； 若匹配， 所述分析引擎获取所述预处理后的采集数据中的目的IP， 并对所述源IP和所 述目的IP进行行为检测； 若所述源IP或所述目的IP的行为检测的检测结果不合格， 则对所述预处理后的采集数 据进行告警处理。 9.如权利要求7所述的主机入侵检测方法， 其特征在于， 所述分析引擎对接收到的所述 预处理后的采集数据进行检测， 并基于检测结果对所述预处理后的采集数据进行告警处理 的步骤， 还包括： 所述分析引擎获取所述预处理后的采集数据中的进程信息， 并将所述进程信息和预设 的恶意木马库进行匹配； 若不匹配， 则对所述进程信息进行入侵检测和反弹壳shell检测， 若所述入侵。

9、检测的检 测结果不合格或所述反弹shell检测的检测结果不合格， 则对所述预处理后的采集数据进 行告警处理。 10.一种主机入侵检测装置， 其特征在于， 所述主机入侵检测装置包括： 启动单元， 用于生产主机接收服务器发送的检测插件脚本， 并启动所述检测插件脚本， 其中， 所述检测插件脚本由安全文件传送协议SFTP下发； 采集单元， 用于所述生产主机通过所述检测插件脚本获取采集数据； 反馈单元， 用于所述生产主机将所述采集数据反馈至服务器， 以对所述采集数据进行 告警处理。 11.一种主机入侵检测装置， 其特征在于， 所述主机入侵检测装置还包括： 接收单元， 用于生产主机接收服务器发送的检测插件。

10、脚本， 启动所述检测插件脚本， 并 通过所述检测插件脚本获取采集数据， 将所述采集数据反馈至所述服务器； 发送单元， 用于所述服务器对所述生产主机反馈的采集数据进行预处理， 并将预处理 后的采集数据发送至分析引擎； 检测单元， 用于所述分析引擎对接收到的所述预处理后的采集数据进行检测， 并基于 检测结果确定是否对所述预处理后的采集数据进行告警处理。 12.一种主机入侵检测设备， 其特征在于， 所述主机入侵检测设备包括： 存储器、 处理器 及存储在所述存储器上并可在所述处理器上运行的主机入侵检测程序， 所述主机入侵检测 程序被所述处理器执行时实现如权利要求1至9中任一项所述的主机入侵检测方法的步。

11、骤。 13.一种计算机存储介质， 其特征在于， 所述计算机存储介质上存储有主机入侵检测程 序， 所述主机入侵检测程序被处理器执行时实现如权利要求1至9中任一项所述的主机入侵 权利要求书 2/3 页 3 CN 110365714 A 3 检测方法的步骤。 权利要求书 3/3 页 4 CN 110365714 A 4 主机入侵检测方法、 装置、 设备及计算机存储介质 技术领域 0001 本发明涉及金融科技(Fintech)技术领域， 尤其涉及系统主机入侵检测方法、 装 置、 设备及计算机存储介质。 背景技术 0002 随着计算机技术的发展， 越来越多的技术(大数据、 分布式、 区块链Blockch。

12、ain、 人 工智能等)应用在金融领域， 传统金融业正在逐步向金融科技(Fintech)转变， 但由于金融 行业的安全性、 实时性要求， 也对技术提出了更高的要求。 目前的金融科技领域中， 安全是 所有网络面临的最大问题。 为避免黑客和入侵者入侵公司网络及网站， 一般都会提前部署 检测， 而现有的主机入侵检测系统解决方案是需要在生产服务器上部署Agent(软件机器 人)采集程序， 由Agent采集主机的网络、 进程、 日志等信息， 并主动上报到分析引擎进行分 析处理。 但是通过Agent采集主机信息， 其部署成本高， 不能实现快速高效部署， 并且客户端 Agent需要常驻服务器内存， 可能对主。

13、机性能和业务有影响， 存在一定的风险， 从而导致采 用Agent采集主机信息的方案不具备主机信息采集的实时性的缺陷。 因此， 如何提高主机信 息采集的实时性成为了目前亟待解决的技术问题。 发明内容 0003 本发明的主要目的在于提出一种主机入侵检测方法、 装置、 设备及计算机存储介 质， 旨在提高主机信息采集的实时性。 0004 为实现上述目的， 本发明提供一种主机入侵检测方法， 所述主机入侵检测方法包 括如下步骤： 0005 生产主机接收服务器发送的检测插件脚本， 并启动所述检测插件脚本， 其中， 所述 检测插件脚本由安全文件传送协议SFTP下发； 0006 所述生产主机通过所述检测插件脚本。

14、获取采集数据； 0007 所述生产主机将所述采集数据反馈至服务器， 其中， 以对所述采集数据进行告警 处理。 0008 可选地， 所述生产主机通过所述检测插件脚本获取采集数据的步骤， 包括： 0009 所述生产主机获取所述检测插件脚本中的资源控制模块和数据采集上报模块； 0010 通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控制， 并通 过所述数据上报模块在所述生产主机中采集所述检测插件脚本对应的采集数据， 其中， 所 述资源控制处理包括资源控制和行为控制。 0011 可选地， 所述行为控制包括存活监控， 0012 所述通过所述资源控制模块对所述数据采集上报模块进行资源控制和行。

15、为控制 的步骤， 包括： 0013 通过所述资源控制模块对所述数据采集上报模块进行资源控制， 并对所述数据采 集上报模块进行存活监控， 以确定所述数据采集上报模块是否在正常运行； 说明书 1/12 页 5 CN 110365714 A 5 0014 若否， 则停止所述数据采集上报模块的采集操作， 并输出所述数据采集上报模块 存在异常的提示信息。 0015 可选地， 所述行为控制包括超时监控， 0016 所述通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控制 的步骤， 包括： 0017 通过所述资源控制模块对所述数据采集上报模块进行资源控制， 并对所述数据采 集上报模块进行超时监控。

16、， 以确定所述数据采集上报模块的采集时间是否超过预设时长； 0018 若是， 则停止所述数据采集上报模块的采集操作。 0019 可选地， 所述通过所述资源控制模块对所述数据采集上报模块进行资源控制的步 骤， 包括： 0020 通过所述资源控制模块检测所述数据采集上报模块在所述生产主机中占用的CPU 和内存， 并判断所述占用的CPU和内存是否大于所述生产主机中的预设值； 0021 若大于， 则所述资源控制模块通过控制组对所述数据采集上报模块在所述生产主 机中占用的CPU和内存进行资源控制。 0022 可选地， 所述将所述采集数据反馈至服务器的步骤， 包括： 0023 所述资源控制模块在检测到所述。

17、数据采集上报模块已获取到所述采集数据时， 会 向所述服务器发送请求信息， 以便所述服务器根据所述请求信息获取所述采集数据。 0024 可选地， 所述分析引擎确定预处理后的各所述采集数据中的告警数据， 并基于所 述告警数据进行告警处理的步骤， 包括： 0025 所述分析引擎确定预处理后的各所述采集数据对应的触发规则， 并基于各所述触 发规则在预处理后的各所述采集数据中确定是否存在告警数据； 0026 若存在， 则基于所述告警数据进行告警处理。 0027 可选地， 本发明提供一种主机入侵检测方法， 所述主机入侵检测方法应用于主机 入侵检测系统， 所述主机入侵检测系统包括生产主机、 服务器和分析引擎。

18、， 所述主机入侵检 测发布方法包括如下步骤： 0028 所述生产主机接收所述服务器发送的检测插件脚本， 启动所述检测插件脚本， 并 通过所述检测插件脚本获取采集数据， 将所述采集数据反馈至所述服务器； 0029 所述服务器对所述生产主机反馈的采集数据进行预处理， 并将预处理后的采集数 据发送至所述分析引擎； 0030 所述分析引擎对接收到的所述预处理后的采集数据进行检测， 并基于检测结果对 所述预处理后的采集数据进行告警处理。 0031 可选地， 所述分析引擎对接收到的所述预处理后的采集数据进行检测， 并基于检 测结果对所述预处理后的采集数据进行告警处理的步骤， 包括： 0032 所述分析引擎。

19、获取所述预处理后的采集数据中的源IP， 并判断所述源IP是否和预 设内网IP匹配； 0033 若匹配， 所述分析引擎获取所述预处理后的采集数据中的目的IP， 并对所述源IP 和所述目的IP进行行为检测； 0034 若所述源IP或所述目的IP的行为检测的检测结果不合格， 则对所述预处理后的采 集数据进行告警处理。 说明书 2/12 页 6 CN 110365714 A 6 0035 可选地， 所述分析引擎对接收到的所述预处理后的采集数据进行检测， 并基于检 测结果对所述预处理后的采集数据进行告警处理的步骤， 还包括： 0036 所述分析引擎获取所述预处理后的采集数据中的进程信息， 并将所述进程信。

20、息和 预设的恶意木马库进行匹配； 0037 若不匹配， 则对所述进程信息进行入侵检测和反弹壳shell检测， 若所述入侵检测 的检测结果不合格或所述反弹shell检测的检测结果不合格， 则对所述预处理后的采集数 据进行告警处理。 0038 此外， 为实现上述目的， 本发明还提供一种主机入侵检测装置， 所述主机入侵检测 装置包括： 0039 启动单元， 用于生产主机接收服务器发送的检测插件脚本， 并启动所述检测插件 脚本， 其中， 所述检测插件脚本由安全文件传送协议SFTP下发； 0040 采集单元， 用于所述生产主机通过所述检测插件脚本获取采集数据； 0041 反馈单元， 用于所述生产主机将所。

21、述采集数据反馈至服务器， 以对所述采集数据 进行告警处理。 0042 可选地， 所述主机入侵检测装置还包括： 0043 接收单元， 用于生产主机接收服务器发送的检测插件脚本， 启动所述检测插件脚 本， 并通过所述检测插件脚本获取采集数据， 将所述采集数据反馈至所述服务器； 0044 发送单元， 用于所述服务器对所述生产主机反馈的采集数据进行预处理， 并将预 处理后的采集数据发送至分析引擎； 0045 检测单元， 用于所述分析引擎对接收到的所述预处理后的采集数据进行检测， 并 基于检测结果确定是否对所述预处理后的采集数据进行告警处理。 0046 此外， 为实现上述目的， 本发明还提供一种主机入侵。

22、检测设备， 所述主机入侵检测 设备包括： 存储器、 处理器及存储在所述存储器上并可在所述处理器上运行的主机入侵检 测程序， 所述主机入侵检测程序被所述处理器执行时实现如上所述的主机入侵检测方法的 步骤。 0047 此外， 为实现上述目的， 本发明还提供一种计算机存储介质， 所述计算机存储介质 上存储有主机入侵检测程序， 所述主机入侵检测程序被处理器执行时实现如上所述的主机 入侵检测方法的步骤。 0048 本发明通过生产主机接收服务器发送的检测插件脚本， 并启动所述检测插件脚 本， 其中， 所述检测插件脚本由安全文件传送协议SFTP下发； 所述生产主机通过所述检测插 件脚本获取采集数据； 所述生。

23、产主机将所述采集数据反馈至服务器， 以对所述采集数据进 行告警处理。 通过让服务器根据SFTP下发各检测插件脚本到生产主机， 并接收各个检测插 件脚本反馈的采集数据， 对这些采集数据进行分析， 从而完成主机信息采集， 实现入侵检测 功能， 并且在检测插件脚本中添加了资源控制处理功能， 从而提高了检测插件脚本获取采 集数据的实时性， 使其适用于常见的实时的入侵检测场景， 提高了主机信息采集的实时性。 附图说明 0049 图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图； 0050 图2为本发明主机入侵检测方法第一实施例的流程示意图； 说明书 3/12 页 7 CN 110365714 A。

24、 7 0051 图3为本发明主机入侵检测装置的装置模块示意图； 0052 图4为本发明主机入侵检测方法中系统架构图； 0053 图5为本发明主机入侵检测方法中系统功能流程图。 0054 本发明目的的实现、 功能特点及优点将结合实施例， 参照附图做进一步说明。 具体实施方式 0055 应当理解， 此处所描述的具体实施例仅仅用以解释本发明， 并不用于限定本发明。 0056 如图1所示， 图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图。 0057 本发明实施例主机入侵检测设备可以是PC机或服务器设备， 其上运行有Java虚拟 机。 0058 如图1所示， 该主机入侵检测设备可以包括： 处理。

25、器1001， 例如CPU， 网络接口1004， 用户接口1003， 存储器1005， 通信总线1002。 其中， 通信总线1002用于实现这些组件之间的 连接通信。 用户接口1003可以包括显示屏(Display)、 输入单元比如键盘(Keyboard)， 可选 用户接口1003还可以包括标准的有线接口、 无线接口。 网络接口1004可选的可以包括标准 的有线接口、 无线接口(如WI-FI接口)。 存储器1005可以是高速RAM存储器， 也可以是稳定的 存储器(non-volatile memory)， 例如磁盘存储器。 存储器1005可选的还可以是独立于前述 处理器1001的存储装置。 00。

26、59 本领域技术人员可以理解， 图1中示出的设备结构并不构成对设备的限定， 可以包 括比图示更多或更少的部件， 或者组合某些部件， 或者不同的部件布置。 0060 如图1所示， 作为一种计算机存储介质的存储器1005中可以包括操作系统、 网络通 信模块、 用户接口模块以及主机入侵检测程序。 0061 在图1所示的设备中， 网络接口1004主要用于连接后台服务器， 与后台服务器进行 数据通信； 用户接口1003主要用于连接客户端(用户端)， 与客户端进行数据通信； 而处理器 1001可以用于调用存储器1005中存储的主机入侵检测程序， 并执行下述主机入侵检测方法 中的操作。 0062 基于上述硬。

27、件结构， 提出本发明主机入侵检测方法实施例。 0063 参照图2， 图2为本发明主机入侵检测方法第一实施例的流程示意图， 所述主机入 侵检测方法包括： 0064 步骤S10， 生产主机接收服务器发送的检测插件脚本， 并启动所述检测插件脚本， 其中， 所述检测插件脚本由安全文件传送协议SFTP下发； 0065 在本实施例中， 主机入侵检测方法应用于主机入侵检测系统， 而主机入侵检测系 统是用于检测主机是否有黑客入侵等异常行为。 SSH(Secure Shell， 安全外壳协议)是一种 加密的网络传输协议， 可在不安全的网络中为网络服务提供安全的传输环境。 SFTP(Secure File Tra。

28、nsfer Protocol， 安全文件传送协议)用于系统间文件传输。 并且本实施例中的主 机入侵检测系统无需在客户端部署agent， 只需在服务器主机添加一个SSH登陆公钥， 就可 实现快速高效部署。 所有的采集插件都是基于SHELL(壳)脚本的方式运行， 新增了对主机资 源的控制， 保证了采集数据的有效性， 同时也保证了不影响业务进程。 例如， 如图4所示， 主 机入侵检测系统可以分为五个模块， 信息采集插件、 服务器、 分析引擎、 告警和日报模块、 管 理和数据展示模块。 基于管理模块的策略配置下发， 服务器在各个生产服务器中采集数据， 说明书 4/12 页 8 CN 110365714。

29、 A 8 并将原始数据入库到原始数据数据库， 将流量上报至分析引擎， 以供分析引擎根据配置数 据库中的读取规则、 策略进行分析， 并将恶意记录发送至告警数据库， 以供告警和日报模块 进行查看报警， 将其他的记录发送至在线状态数据库。 0066 在服务器通过SFTP下发各检测插件脚本至各生产主机， 并建立与各所述生产主机 的SSH链接时， 首先在服务器的接入层中生成一对公私钥， 然后将公钥部署到每一台生产主 机， 而服务器以SSH证书的方式， 以root权限登录到客户端， 然后通过SFTP下发shell到客户 端， 并启动检测插件脚本， 待检测插件脚本执行成功后， 再将脚本执行结果以SFTP的方。

30、式拉 取回来。 并且检测插件脚本可以包括有进程网络采集插件、 日志数据采集插件、 Web目录数 据采集插件、 弱口令检测插件、 安全基线扫描插件等， 而这其中的每个采集插件都包含有两 个部分， 资源控制模块和数据采集上报模块， 数据采集上报模块在生产主机中进行数据采 集， 而资源控制模块会在生产主机中进行资源控制处理(如确定生产主机的剩余CPU和内存 是否充足等)， 并在数据采集上报模块获取到采集数据后， 会通过资源控制模块通知服务 器， 让服务器再次根据SFTP获取各个采集数据。 0067 步骤S20， 所述生产主机通过所述检测插件脚本获取采集数据； 0068 生产主机在获取到检测插件脚本后。

31、， 会对检测插件脚本进行资源控制处理， 也就 是在检测插件脚本中获取资源控制模块和数据采集上报模块， 而资源控制处理即是生产主 机通过资源控制模块对数据采集上报模块进行资源控制和行为控制， 也就是通过cgroup对 采集模块进行CPU和内存占用的控制， 防止其影响业务程序； 对采集模块进行存活监控和超 时监控， 必要时拉起或者停止检测插件脚本的运行； 实时监控数据采集上报模块， 并在采集 完毕后， 往后台发送请求， 通知后台来读取数据结构。 而数据采集上报模块则主要是进行数 据采集， 以获取采集数据。 如进程基础数据采集： 通过轮询遍历/proc/$pid目录， 采集所需 要的进程数据， 包括。

32、米命令行， 父进程链， 打开的文件句柄等详细信息。 最后将结果组装成 json上报上来。 网络基础数据采集： 轮训遍历/proc/net目录， 解析所需要的网络数据， 定时 上报至后台。 日志信息采集。 监听/var/log/secure目录， 采集SSH解析ssh登录信息， 上报至 后台。 0069 步骤S40,所述生产主机将所述采集数据反馈至服务器， 以对所述采集数据进行告 警处理。 0070 当服务器获取到各个采集数据后， 会对各个采集数据先进行一个初步的筛选(即 进行预处理)， 如检测获取到的各个采集数据中是否存在相同的重复数据， 若存在， 则进行 筛选； 或者是检测获取到的各个采集数。

33、据中是否需要进行格式处理等。 并在服务器对各个 采集数据进行预处理后， 获取到各个各个采集数据对应的预处理数据， 就可以将这些预处 理数据发送至分析引擎进行实时分析处理了。 分析引擎对服务器传递的各个预处理数据进 行实时分析， 将触发规则的记录(即告警数据)传递至告警数据库， 并将原始记录存入原始 数据库， 同时分析引擎还会统计机器在线率， 插件在线率。 将结果存入在线状态数据库等。 而告警模块在监控到告警数据库中的告警数据时， 会进行告警处理， 并且还会基于原始数 据库、 告警数据库、 在线状态数据库生成日报。 0071 为辅助理解本实施例中的主机入侵检测系统的主要功能流程， 下面进行举例说。

34、 明。 0072 例如， 如图5所示， 主机入侵检测系统包括各生产主机、 接入服务器(即服务器)、 分 说明书 5/12 页 9 CN 110365714 A 9 析引擎、 以及告警和日报服务器。 服务器通过SFTP下发插件脚本至生产主机； 服务器与主机 建立SSH链接， 并启动插件脚本， 等待脚本执行； 生产执行插件脚本， 收集数据信息， 将采集 结果保存为文件； 服务器通过SFTP拉取每台主机的采集脚本执行结果； 服务器对数据进行 预处理； 服务器将预处理后数据上报至分析引擎， 以供分析引擎进行实时分析， 若触发告 警， 则推送至告警服务器。 0073 另外， 为辅助理解基于原始数据的几种。

35、常见场景的入侵检测方案， 下面进行举例 说明， 例如异常登录流水检测； (1)前端采集登录日志上报； (2)基于资产信息检测， 即判断 源IP是否为公司内网IP； 如果不是， 则告警(非内网白名单IP远程登录公司机器， 很可能是 黑客行为)。 如果是则进行下一步。 (3)基于行为进行检测， 即判断源IP是否短时间内多处登 录一台或者(多台)机器失败。 如果是， 则告警(源IP机器可能正被黑客用于进行爆破行为)。 再判断目的IP是否短时间内多次被一台机器多次登录失败， 如果是， 则告警(此时， 目的IP 机器可能正被黑客进行爆破)。 如果登录日志上的登录状态是成功。 则判断源IP到目的IP的 登。

36、录行为， 过去预设时长段(如一个月)内是否出现过， 如果不曾出现过， 则告警。 0074 再例如， 异常进程检测， (1)前端采集进程信息上报。 (2)恶意木马检测， 即基于进 程名称等特征信息， 与恶意木马库进行匹配， 若命中则告警。 (3)基于Webshell(网页后门) 检测的入侵检测， 即若进程为bash进程， 则判断其父进程链是否为web进程， 若未web进程， 则结合该机器的历史进程数据进行判断， 确定出现频率是否较低， 若是， 则告警。 (4)反弹 shell检测： 若进程为bash进程， 判断其绑定的0/1/2句柄是否通过网络重定向。 若是， 结合 网络链接数据进一步判断其是否。

37、具备反弹属性。 如果是， 则告警。 0075 在本实施例中， 通过生产主机接收服务器发送的检测插件脚本， 并启动所述检测 插件脚本， 其中， 所述检测插件脚本由安全文件传送协议SFTP下发； 所述生产主机通过所述 检测插件脚本获取采集数据； 所述生产主机将所述采集数据反馈至服务器以对所述采集数 据进行告警处理。 通过让服务器根据SFTP下发各检测插件脚本到生产主机， 并接收各个检 测插件脚本反馈的采集数据， 对这些采集数据进行分析， 从而完成主机信息采集， 实现入侵 检测功能， 并且在检测插件脚本中添加了资源控制处理功能， 从而提高了检测插件脚本获 取采集数据的实时性， 使其适用于常见的实时的。

38、入侵检测场景， 提高了主机信息采集的实 时性。 0076 进一步地， 基于本发明主机入侵检测方法第一实施例， 提出本发明主机入侵检测 方法第二实施例。 本实施例是本发明第一实施例的步骤S20， 生产主机通过所述检测插件脚 本获取采集数据的步骤， 包括： 0077 步骤s， 所述生产主机获取所述检测插件脚本中的资源控制模块和数据采集上报 模块； 0078 生产主机在获取到检测插件脚本后， 会先获取检测插件脚本中的资源控制模块和 数据采集上报模块。 并且需要说明的是， 每个检测插件脚本中均有资源控制模块和数据采 集上报模块。 0079 步骤a， 通过所述资源控制模块对所述数据采集上报模块进行资源控。

39、制和行为控 制， 并通过所述数据上报模块在所述生产主机中采集所述检测插件脚本对应的采集数据， 其中， 所述资源控制处理包括资源控制和行为控制。 0080 资源控制处理是对数据采集上报模块进行资源控制和行为控制， 也就是先启动数 说明书 6/12 页 10 CN 110365714 A 10 据上报模块， 并通过cgroup(控制组)对数据采集上报模块进行CPU和内存占用的控制， 防止 其影响业务程序； 并对数据采集上报模块进行存活监控和超时监控， 必要时拉起或者停止 数据采集上报模块。 以保证采集程序的正常运行。 而数据采集上报模块， 主要包括以下三个 部分， 即进程基础数据采集、 网络基础数。

40、据采集和日志信息采集。 进程基础数据采集可以通 过轮询遍历/proc/$pid目录， 采集所需要的进程数据， 包括米命令行， 父进程链， 打开的文 件句柄等详细信息。 最后将结果组装成json上报上来。 而网络基础数据采集可以是轮询遍 历/proc/net目录， 解析所需要的网络数据， 定时上报至后台。 日志信息采集是监听/var/ log/secure目录， 采集SSH解析ssh登录信息， 上报至后台。 也就是通过数据采集上报模块可 以在生产主机中进行数据采集， 获取到需要的采集数据(如主机网络、 进程和日志等)。 其 中， 资源控制和行为控制可以作为资源控制处理。 0081 在本实施例中，。

41、 通过对数据采集上报模块进行资源控制和行为控制， 并基于资源 控制和行为控制获取采集数据， 从而提高了检测插件脚本获取采集数据的实时性。 0082 具体地， 通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控 制的步骤， 包括： 0083 步骤b， 通过所述资源控制模块对所述数据采集上报模块进行资源控制， 并对所述 数据采集上报模块进行存活监控， 以确定所述数据采集上报模块是否在正常运行； 0084 在本实施例中， 行为控制包括存活监控。 存活监控可以是检测数据采集上报模块 是否正在正常运行。 0085 当数据采集上报模块在生产主机中开始进行数据采集时， 资源控制模块会对数据 采集。

42、上报模块进行资源控制和存活监控， 以确定数据采集上报模块是否在正常运行， 没有 被生产主机中的其它程序杀死或变异等。 0086 步骤c， 若否， 则停止所述数据采集上报模块的采集操作， 并输出所述数据采集上 报模块存在异常的提示信息。 0087 当经过判断发现数据采集上报模块没有在正常运行， 则可以停止数据采集上报模 块的采集操作， 并向用户输出数据采集上报模块存在异常的提示信息， 以供用户进行检查。 但是若数据采集上报模块在正常运行， 则继续进行存活监控。 0088 在本实施例中， 通过资源控制模块对数据采集上报模块进行存活监控， 从而提高 了检测插件脚本获取采集数据的实时性。 0089 具。

43、体地， 通过所述资源控制模块对所述数据采集上报模块进行资源控制和行为控 制的步骤， 包括： 0090 步骤d， 所述资源控制模块对所述数据采集上报模块进行超时监控， 以确定所述数 据采集上报模块的采集时间是否超过预设时长； 0091 在本实施例中， 行为控制包括超时监控。 超时监控可以是检测数据采集上报模块 进行获取采集数据的时间是否超过预设时长。 当数据采集上报模块在生产主机中开始进行 数据采集时， 资源控制模块会对数据采集上报模块进行资源控制和超时监控， 以确定数据 采集上报模块进行数据采集的时间是否超过用户提前设置的时间段(即预设时长)。 0092 步骤e， 若是， 则停止所述数据采集上。

44、报模块的采集操作。 0093 当经过判断发现数据采集上报模块进行数据采集的采集时间超过预设时长， 则可 以停止数据采集上报模块的采集操作， 并向用户输出数据采集上报模块存在异常的提示信 说明书 7/12 页 11 CN 110365714 A 11 息， 以供用户进行检查。 若数据采集上报模块进行数据采集的采集时间没有超过预设时长， 则继续进行超时监控。 0094 在本实施例中， 通过资源控制模块对数据采集上报模块进行超时监控， 从而提高 了检测插件脚本获取采集数据的实时性。 0095 具体地， 通过所述资源控制模块对所述数据采集上报模块进行资源控制的步骤， 包括： 0096 步骤f， 通过所。

45、述资源控制模块检测所述数据采集上报模块在所述生产主机中占 用的CPU和内存， 并判断所述占用的CPU和内存是否大于所述生产主机中的预设值； 0097 在数据采集上报模块开始启动后， 资源控制模块会自动检测数据采集上报模块在 生产主机中所占用的CPU和内存， 并确定数据采集上报模块在生产主机中所占用的CPU和内 存是否大于生产主机中提前设置的预设值(其中， 预设值小于等于生产主机中的空闲CPU和 内存值)。 0098 步骤g， 若大于， 则所述资源控制模块通过控制组对所述数据采集上报模块在所述 生产主机中占用的CPU和内存进行资源控制。 0099 若大于， 则可以认为当前数据采集上报模块已经影响。

46、到生产主机的正常运行了， 资源控制模块就可以通过控制组对数据采集上报模块在生产主机中占用的CPU和内存进行 资源控制， 减少述数据采集上报模块在所述生产主机中占用的CPU和内存的大小。 0100 在本实施例中， 通过资源控制模块对数据采集上报模块进行资源控制， 从而提高 了检测插件脚本获取采集数据的实时性， 保障了数据采集的正常进行。 0101 具体地， 将所述采集数据反馈至服务器的步骤， 包括： 0102 步骤h， 所述资源控制模块在检测到所述数据采集上报模块已获取到所述采集数 据时， 会向所述服务器发送请求信息， 以便所述服务器根据所述请求信息获取所述采集数 据。 0103 资源控制模块在。

47、检测到数据采集上报模块已完成数据采集的工作， 并获取到采集 数据时， 会自动向服务器发送请求信息， 通知服务器来获取数据采集上报模块中的采集数 据， 以便服务器根据请求信息获取生产主机中的采集数据。 0104 在本实施例中， 通过资源控制模块相服务器发送请求信息， 以便服务器根据请求 信息获取采集数据， 从而提高了服务器获取到采集数据的准确性和完整性。 0105 进一步地， 本发明提供主机入侵检测方法的第三实施例， 在该实施例中， 提供一种 主机入侵检测方法， 所述主机入侵检测方法包括： 0106 步骤x， 所述生产主机接收所述服务器发送的检测插件脚本， 启动所述检测插件脚 本， 并通过所述检。

48、测插件脚本获取采集数据， 将所述采集数据反馈至所述服务器； 0107 需要说明的是， 在本实施例中， 主机入侵检测方法应用于主机入侵检测系统， 主机 入侵检测系统主要包括生产主机、 服务器和分析引擎。 0108 主机入侵检测系统用于检测主机是否有黑客入侵等异常行为。 检测原理是在需要 保护的端系统(主机)上运行代理程序， 以主机的审计数据、 系统日志、 应用程序日志等为数 据源， 主要对主机的网络连接以及主机文件进行分析和判断， 发现可疑事件并作出响应。 服 务器先确定需要发送的检测插件脚本(包括进程网络采集插件、 日志数据采集插件、 web目 录数据采集插件、 弱口令检测插件和安全基线扫描插。

49、件)并通过SFTP下发检测插件脚本到 说明书 8/12 页 12 CN 110365714 A 12 生产主机。 而生产主机在接收到服务器发送的检测插件脚本后， 会启动此检测插件脚本， 并 根据启动后的检测插件脚本来获取该生产主机中的采集数据(如进度基础数据、 网络基础 数据和日志信息等)， 并在获取到采集数据后， 通知服务器以SFTP的方式来获取生产主机中 的采集数据。 0109 步骤y， 所述服务器对所述生产主机反馈的采集数据进行预处理， 并将预处理后的 采集数据发送至所述分析引擎； 0110 当服务器获取到生产主机反馈的采集数据后， 还需要对各个采集数据先进行一个 初步的筛选(即进行预处。

50、理)， 如检测获取到的各个采集数据中是否存在相同的重复数据， 若存在， 则进行筛选； 或者是检测获取到的各个采集数据中是否需要进行格式处理等。 并在 服务器对各个采集数据进行预处理后， 就可以将这些预处理后的采集数据发送至分析引擎 进行实时分析处理了。 0111 步骤z， 所述分析引擎对接收到的所述预处理后的采集数据进行检测， 并基于检测 结果对所述预处理后的采集数据进行告警处理。 0112 当分析引擎接收到服务器发送的预处理后的采集数据后， 会对这些采集后的采集 数据进行检测， 如异常登录流水检测、 异常进程检测等， 并当发现存在有检测结果为检测不 合格的， 则会通知报警模块对预处理后的采集。