主机管控方法、装置、设备和存储介质与流程

文档序号:33555605发布日期:2023-03-22 11:41阅读:35来源:国知局
1.本技术涉及内网安全防护领域,尤其涉及一种主机管控方法、装置、设备和存储介质。
背景技术
::2.随着互联网的飞速发展,数据量迅猛增长,这就要求计算设备具有快速处理大数据量的能力,其中,可快速处理大数据的计算设备的一种具体实现为服务器集群。服务器集群是指集中多个服务器共同执行同一种服务,在客户端看来就像是只有一个服务器。在服务器集群中,一个服务器作为管控服务器,其他服务器作为被管控的主机,管控服务器用于对主机进行管控。3.相关技术中,管控服务器基于黑名单对主机进行管控。具体地,管控服务器将得到的黑名单发送给主机,由主机根据该黑名单进行安全防护,存在安全防护滞后的问题。技术实现要素:4.本技术提供一种主机管控方法、装置、设备和存储介质,用以解决主机安全防护滞后的问题。5.第一方面,本技术提供一种主机管控方法,可以应用于服务器集群中的管控服务器,管控服务器用于管控服务器集群中的主机,主机管控方法包括:获取主机的主机信息,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息;根据主机信息,生成对应种类的主机信息的白名单,白名单包括网络白名单、账号白名单、文件白名单和进程白名单;通过安全外壳协议通道,将白名单发送给主机,以使主机根据白名单进行安全防控。6.一种可能的实施方式中,根据主机信息,生成对应种类的主机信息的白名单,包括:将主机信息输入至白名单生成模型进行机器学习,得到白名单生成模型输出的至少一种信息中每种信息对应的白名单。7.一种可能的实施方式中,根据主机信息,生成对应种类的主机信息的白名单,包括:对主机信息进行预处理,预处理至少包括去除冗余数据、去除空数据和数据聚合中的至少一种;根据预处理后的主机信息,生成对应种类的主机信息的白名单。8.一种可能的实施方式中,通过安全外壳协议通道,将白名单发送给主机,包括:确定不同白名单的发送权重;根据发送权重,确定白名单的发送优先级,其中,发送优先级与发送权重正相关;基于发送优先级,通过安全外壳协议通道,将白名单发送给主机。9.一种可能的实施方式中,通过安全外壳协议通道,将白名单发送给主机,还包括:根据白名单生成策略脚本,策略脚本包括监督脚本和阻断脚本;通过安全外壳协议通道,将策略脚本配置给主机。10.一种可能的实施方式中,获取主机的主机信息,包括:通过安全外壳协议通道,向主机发送信息采集命令,信息采集命令用于指示主机进行主机信息的采集;接收主机发送的主机信息。11.第二方面,本技术提供一种主机管控方法,可以应用于服务器集群中的主机,服务器集群还包括管控服务器,管控服务器用于管控主机,主机管控方法包括:通过安全外壳协议通道,接收管控服务器发送的白名单,白名单是管控服务器根据主机的主机信息生成的,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息,白名单包括网络白名单、账号白名单、文件白名单和进程白名单;根据白名单进行安全防控。12.一种可能的实施方式中,根据白名单进行安全防控,包括:根据主机的防火墙信息,确定主机是否允许全部通信流量通过;若主机允许全部通信流量通过,则采用白名单对应的监督脚本进行安全防护;若主机不允许全部通信流量通过,则采用白名单对应的阻断脚本进行安全防护。13.一种可能的实施方式中,通过安全外壳协议通道,接收管控服务器发送的白名单,包括:通过安全外壳协议通道,接收管控服务器发送的策略脚本,策略脚本包括监督脚本和阻断脚本,策略脚本是根据白名单生成的。14.一种可能的实施方式中,通过安全外壳协议通道,接收管控服务器发送的白名单之前,还包括:通过安全外壳协议通道,接收管控服务器发送的信息采集命令,信息采集命令用于指示主机进行主机信息的采集;采集主机信息,并向管控服务器发送主机信息。15.一种可能的实施方式中,根据白名单进行安全防控,还包括:若白名单为网络白名单,则根据网络白名单形成的五元组信息进行安全防控;若白名单为账号白名单,则根据账号白名单的用户信息进行安全防控;若白名单为文件白名单,则根据文件白名单的敏感信息和/或目录信息进行安全防控;若白名单为进程白名单,则根据进程白名单的信息进行安全防控。16.第三方面,本技术提供一种主机管控装置,可以应用于服务器集群中的管控服务器,管控服务器用于管控服务器集群中的主机,主机管控装置包括:17.获取模块,用于获取主机的主机信息,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息;18.处理模块,用于根据主机信息,生成对应种类的主机信息的白名单,白名单包括网络白名单、账号白名单、文件白名单和进程白名单;19.发送模块,用于通过安全外壳协议通道,将白名单发送给主机,以使主机根据白名单进行安全防控。20.一种可能的实施方式中,处理模块可以用于根据主机信息,生成对应种类的主机信息的白名单,具体包括:将主机信息输入至白名单生成模型进行机器学习,得到白名单生成模型输出的至少一种信息中每种信息对应的白名单。21.一种可能的实施方式中,处理模块可以用于根据主机信息,生成对应种类的主机信息的白名单,还包括:对主机信息进行预处理,预处理至少包括去除冗余数据、去除空数据和数据聚合中的至少一种;根据预处理后的主机信息,生成对应种类的主机信息的白名单。22.一种可能的实施方式中,发送模块可以用于通过安全外壳协议通道,将白名单发送给主机,包括:确定不同白名单的发送权重;根据发送权重,确定白名单的发送优先级,其中,发送优先级与发送权重正相关;基于发送优先级,通过安全外壳协议通道,将白名单发送给主机。23.一种可能的实施方式中,发送模块可以用于通过安全外壳协议通道,将白名单发送给主机,还包括:根据白名单生成策略脚本,策略脚本包括监督脚本和阻断脚本;通过安全外壳协议通道,将策略脚本配置给主机。24.一种可能的实施方式中,获取模块可以用于获取主机的主机信息,包括:通过安全外壳协议通道,向主机发送信息采集命令,信息采集命令用于指示主机进行主机信息的采集;接收主机发送的主机信息。25.第四方面,本技术提供一种主机管控装置,可以应用于服务器集群中的主机,服务器集群还包括管控服务器,管控服务器用于管控主机,主机管控装置包括:26.接收模块,用于通过安全外壳协议通道,接收管控服务器发送的白名单,白名单是管控服务器根据主机的主机信息生成的,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息,白名单包括网络白名单、账号白名单、文件白名单和进程白名单;27.处理模块,用于根据白名单进行安全防控。28.一种可能的实施方式中,处理模块可以用于根据白名单进行安全防控,具体包括:根据主机的防火墙信息,确定主机是否允许全部通信流量通过;若主机允许全部通信流量通过,则采用白名单对应的监督脚本进行安全防护;若主机不允许全部通信流量通过,则采用白名单对应的阻断脚本进行安全防护。29.一种可能的实施方式中,接收模块可以用于通过安全外壳协议通道,接收管控服务器发送的白名单,包括:通过安全外壳协议通道,接收管控服务器发送的策略脚本,策略脚本包括监督脚本和阻断脚本,策略脚本是根据白名单生成的。30.一种可能的实施方式中,接收模块可以在通过安全外壳协议通道,接收管控服务器发送的白名单之前,还包括:通过安全外壳协议通道,接收管控服务器发送的信息采集命令,信息采集命令用于指示主机进行主机信息的采集;采集主机信息,并向管控服务器发送主机信息。31.一种可能的实施方式中,处理模块还可以用于根据白名单进行安全防控,具体包括:若白名单为网络白名单,则根据网络白名单形成的五元组信息进行安全防控;若白名单为账号白名单,则根据账号白名单的用户信息进行安全防控;若白名单为文件白名单,则根据文件白名单的敏感信息和/或目录信息进行安全防控;若白名单为进程白名单,则根据进程白名单的信息进行安全防控。32.第五方面,本技术提供一种电子设备,包括:存储器和处理器。存储器用于存储程序指令;处理器用于调用存储器中的程序指令执行第一方面和/或第二方面的主机管控方法。33.第六方面,本技术提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被执行时,实现第一方面和/或第二方面的主机管控方法。34.第七方面,本技术提供一种服务器集群,包括:主机和管控服务器,其中:管控服务器用于执行第一方面的主机管控方法;主机用于执行第二方面的主机管控方法。35.第八方面,本技术提供一种计算机程序产品,计算机程序产品包含计算机程序,计算机程序被处理器执行时用于实现第一方面和/或第二方面的主机管控方法。36.本技术提供的主机管控方法、装置、设备和存储介质,通过获取主机的主机信息,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息;根据主机信息,生成对应种类的主机信息的白名单,白名单包括网络白名单、账号白名单、文件白名单和进程白名单;通过安全外壳协议通道,将白名单发送给主机,以使主机根据白名单进行安全防控。本技术通过管控服务器根据主机信息生成白名单,以使主机基于该白名单进行安全防控,即只有在白名单内的网络、账号、文件、进程等通信,才认为是安全的,可以直接通过,除此以外的通信则进行监督或阻断,以在遇到新病毒等零日(0day)攻击时仍可进行有效的安全防护;另外,通过安全外壳协议通道将白名单发送给主机,一方面可以防止白名单在传输过程中被攻击,另一方面,还可以加快传输的速度;主机根据白名单进行安全防控,无需安装其他软件或设备,实现了轻量部署,提升了安全性和快捷性,适用范围广。附图说明37.此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本技术的实施例,并与说明书一起用于解释本技术的原理。38.图1是本技术一实施例提供的主机管控方法的应用场景示意图;39.图2是本技术一实施例提供的主机管控方法的流程示意图;40.图3是本技术另一实施例提供的主机管控方法的流程示意图;41.图4是本技术一实施例提供的主机管控装置的结构示意图;42.图5是本技术另一实施例提供的主机管控装置的结构示意图;43.图6是本技术一实施例提供的电子设备的结构示意图。44.通过上述附图,已示出本技术明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本技术构思的范围,而是通过参考特定实施例为本领域技术人员说明本技术的概念。具体实施方式45.这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。46.本技术的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本技术的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、产品或设备固有的其它步骤或单元。47.内网安全防护:是指服务器集群内部的安全防护。其中,服务器集群包括多台服务器,其中一台服务器作为管控服务器,其他服务器作为被管控服务器管控的主机。48.相关技术中,基于黑名单的主机管控方法是把在黑名单内的网络、账号、文件、进程等通信进行阻断,其他不在黑名单内的通信均可通过,该方法需要运行不断更新的防病毒软件,导致该方法对于防护总是滞后的,且该方法无法解决高级别的零日(0day)攻击。49.针对上述问题,本技术提出一种主机管控方法,管控服务器根据主机信息生成白名单,以使主机基于该白名单进行安全防控,即只有在白名单内的网络、账号、文件、进程等通信,才认为是安全的,可以直接通过,除此以外的通信则进行监督或阻断,以在遇到新病毒等零日(0day)攻击时仍可进行有效的安全防护。[0050]“白名单”与“黑名单“相对应,在白名单内的网络、账号、文件、进程规则默认可以直接通过,除此以外的规则直接阻断,提升安全性和快捷性。[0051]图1为本技术一实施例提供的主机管控方法的应用场景示意图。如图1所示,该应用场景包括服务器集群,其中,服务器集群包括管控服务器和被管控服务器管控的主机。在实际应用中,管控服务器通过管控模块向主机发送采集脚本,其中,采集脚本包括信息采集命令、自适应学习命令等,主机的采集模块接收到采集脚本后,开始采集主机上的主机信息。主机信息采集结束后,发送给管控服务器,管控服务器可以对主机信息进行预处理,如数据清洗。管控服务器的算法分析模块使用算法模型(如,机器学习),学习经过数据处理后的主机信息,生成白名单,管控服务器可以把生成的白名单存入白名单库,方便后期使用。[0052]进一步地,管控服务器可以给主机下发定期采集的命令,确保主机定期采集主机信息,进而达到更新白名单库的目的。[0053]下面结合图1的应用场景,参考图2来描述根据本技术示例性实施方式的主机管控方法。需要注意的是,上述应用场景仅是为了便于理解本技术的精神和原理而示出,本技术的实施方式不受图1所示应用场景的限制。[0054]图2为本技术一实施例提供的主机管控方法的流程示意图。本技术实施例提供一种主机管控方法,可以应用于服务器集群中的管控服务器,管控服务器用于管控服务器集群中的主机。如图2所示,该主机管控方法包括以下步骤:[0055]s201:获取主机的主机信息,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息。[0056]该步骤可以通过多种方式实现。示例地,一种实现方式中,管控服务器主动从主机获取主机信息,具体地,管控服务器可以通过安全外壳协议(secureshell,简称ssh)通道,向主机发送脚本(如,bash脚本),该脚本包括采集脚本,其中,采集脚本包括信息采集命令、自适应学习命令等。主机接收到信息采集命令后,开始采集并上报主机信息。即,该步骤可以包括:通过安全外壳协议通道,向主机发送信息采集命令,信息采集命令用于指示主机进行主机信息的采集;接收主机发送的主机信息。[0057]另一种实现方式中,主机主动采集并上报主机信息给管控服务器。[0058]s202:根据主机信息,生成对应种类的主机信息的白名单,白名单包括网络白名单、账号白名单、文件白名单和进程白名单。[0059]对于该步骤,可以理解,根据不同类型的主机信息会生成不同的白名单,例如,根据网络信息生成网络白名单,根据账号信息生成账号白名单,等等。[0060]由于不同的主机对应不同的主机信息,因此,管控服务器在获取主机信息之后,可以对不同主机的主机信息进行统计分类,进而根据不同类型的主机信息会生成适用于服务器集群中各主机的不同的白名单;或者,针对服务器集群中包含的各主机,以主机为粒度进行白名单的生成,得到针对各主机的不同的白名单。示例地,主机a对应的主机信息为a,则根据a生成针对主机a的白名单;主机b对应的主机信息为b,则根据b生成针对主机b的白名单,以此类推。[0061]示例地,以下给出各种类型的白名单的具体内容:[0062]网络白名单包括源互联网协议地址(internetprotocoladdress,简称ip)、目的ip、源端口、目的端口、协议和收集时间等,其中,协议包括用户数据报协议(userdatagramprotocol,简称udp)和传输控制协议(transmissioncontrolprotocol,简称tcp)等。示例地,网络白名单如表1所示:[0063]表1[0064][0065]账号白名单可以包括用户名、bash脚本、用户组、主目录、是否高权限和收集时间等,其中,“是”表示高权限,“否”表示低权限。示例地,账号白名单如表2所示:[0066]表2[0067][0068]文件白名单可以包括敏感文件白名单和目录白名单等。例如,敏感文件白名单包括文件名、业务组、文件路径、文件权限、文件所属和收集时间等。其中,文件权限包括可读(r)、可写(w)和可执行(x)等操作。敏感文件白名单如表3所示:[0069]表3[0070][0071]示例地,进程白名单包括进程名、进程控制符(processidentifier,简称pid)、用户名、可执行文件路径和收集时间等。示例地,进程白名单如表4所示:[0072]表4[0073][0074]s203:通过安全外壳协议通道,将白名单发送给主机,以使主机根据白名单进行安全防控。[0075]示例地,安全防控方式包括告警和/或提示。[0076]采用安全外壳协议通道进行传输,可以把传输的数据(如,白名单)等进行加密,这样,一方面能够防止其他非法攻击,也能够防止域名系统(domainnamesystem,简称dns)欺骗和ip欺骗;另一方面,采用安全外壳协议通道传输的数据等是经过压缩的,可以加快传输速度。[0077]管控服务器将白名单发送给主机,以使主机根据白名单进行安全防控,通过构造内网白环境保护内网主机不受侵害,其中,白环境相当于动态更新白名单。[0078]本技术实施例提供的主机管控方法,通过管控服务器根据主机信息生成白名单,以使主机基于该白名单进行安全防控,即只有在白名单内的网络、账号、文件、进程等通信,才认为是安全的,可以直接通过,除此以外的通信则进行监督或阻断,以在遇到新病毒等零日(0day)攻击时仍可进行有效的安全防护;另外,通过安全外壳协议通道将白名单发送给主机,一方面可以防止白名单在传输过程中被攻击,另一方面,还可以加快传输的速度;主机根据白名单进行安全防控,无需安装其他软件或设备(如,agent),实现了轻量部署,提升了安全性和快捷性,适用范围广。[0079]在上述实施例的基础上,一种可能的实施方式中,根据主机信息,生成对应种类的主机信息的白名单,可以包括:将主机信息输入至白名单生成模型进行机器学习,得到白名单生成模型输出的至少一种信息中每种信息对应的白名单。其中,管控服务器将获得的主机信息通过机器学习的方法和/或自适应的学习主机信息,得到网络白名单、账号白名单、文件白名单和进程白名单等。[0080]示例地,通过机器学习的方法,管控服务器可以动态更新白名单。如,主机a目前只信任22端口,允许22端口的通信通过,其他端口的通信会产生告警提示,并阻止其他端口的通信通过,而管控服务器通过对主机a的主机信息进行机器学习后,发现80端口也是可以信任的,管控服务器会自动添加80端口到主机a的白名单,然后发送更新后的白名单到主机a,之后再有80端口的通信,主机a就不会产生告警提示了。[0081]进一步地,本技术实施例提供的主机管控方法,可以通过机器学习的方法,自适应学习主机信息,进而生成或更新白名单,实现了白名单的快速动态获取,避免相关人员从海量信息中查找,省时省力。[0082]通过白名单生成模型进行机器学习获得白名单,是白名单生成的一种具体实现,另外,考虑到采集的主机信息中包含各种杂质,因此,一些实施例中,根据主机信息,生成对应种类的主机信息的白名单,可以包括:对主机信息进行预处理,预处理至少包括去除冗余数据、去除空数据和数据聚合中的至少一种;根据预处理后的主机信息,生成对应种类的主机信息的白名单。通过预处理,可以从大量信息中筛选出更有用的信息,便于后续通过机器学习的方法生成白名单。[0083]可选地,上述通过安全外壳协议通道,将白名单发送给主机,可以包括:确定不同白名单的发送权重;根据发送权重,确定白名单的发送优先级,其中,发送优先级与发送权重正相关;基于发送优先级,通过安全外壳协议通道,将白名单发送给主机。也就是说,在发送白名单时,是按照白名单的类型进行先后发送的。其中,发送权重可以是根据白名单中包含的信息对安全防护的重要性确定的。[0084]当同时存在多种白名单时,可以考虑多种白名单综合处置的策略。[0085]示例地,发送权重可根据实际情况,通过训练好的权重网络得到。具体地,采用深度学习方法(如,卷积神经网络和循环神经网络等),综合主机的网络白名单、账号白名单、文件白名单和进程白名单,将其作为训练好的神经网络输入参数,得到神经网络输出的不同的白名单对应的发送权重;根据发送权重,确定白名单的发送优先级,其中,发送权重越大,发送优先级越高。示例地,网络白名单的发送权重为0.7,账号白名单的发送权重为0.6,文件白名单的发送权重为0.4,进程白名单的发送权重为0.5,则网络白名单的发送权重最大,相应地,管控服务器会优先发送网络白名单给主机,进而主机会根据网络白名单进行着重防护及管控。[0086]需要说明的是,本技术可以根据白名单的发送优先级优先发送相对重要的白名单;也可以对网络白名单、账号白名单、文件白名单和进程白名单进行同时传输,也就是说不同类型的发送优先级相同。[0087]另外,通过安全外壳协议通道,将白名单发送给主机,还可以包括:根据白名单生成策略脚本,策略脚本包括监督脚本和阻断脚本;通过安全外壳协议通道,将策略脚本配置给主机。[0088]一种示例中,根据网络白名单生成的阻断脚本,是将除网络白名单之外的全部通信流量进行阻断,并产生告警事件;根据网络白名单生成的监督脚本,是指不拒接流量通信,但将不在网络白名单内的通信流量产生告警,人为监控及管控。同理,账号白名单、文件白名单、进程白名单对应策略脚本的功能类似,此处不再赘述。[0089]对于将策略脚本配置给主机,示例地,管控服务器获取主机b的防火墙(iptables)信息,即网络信息,管控服务器根据网络信息,生成对应的网络白名单,并判断主机b是允许全部通信流量通过,还是拒绝全部通信流量通过,根据不同的情况,网络白名单可以生成不同的策略脚本,将策略脚本配置给主机。若主机b允许全部通信流量通过,则生成网络白名单对应的监督脚本,允许全部通信流量通过,但对不在白名单内的通信流量会产生告警提示。[0090]以上实施例从管控服务器的角度对本技术提供的主机管控方法进行了描述,以下从管控服务器管控的对象,即主机的角度,解释说明本技术提供的主机管控方法。[0091]图3为本技术另一实施例提供的主机管控方法的流程示意图。本技术实施例提供一种主机管控方法,可以应用于服务器集群中的主机,服务器集群还包括管控服务器,管控服务器用于管控主机。如图3所示,该主机管控方法包括以下步骤:[0092]s301:通过安全外壳协议通道,接收管控服务器发送的白名单,白名单是管控服务器根据主机的主机信息生成的,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息,白名单包括网络白名单、账号白名单、文件白名单和进程白名单。[0093]该步骤与图2所示流程中步骤s203相对应,具体描述可参考步骤s203,这里不再赘述。[0094]s302:根据白名单进行安全防控。[0095]进一步地,该步骤可以包括:根据主机的防火墙信息,确定主机是否允许全部通信流量通过;若主机允许全部通信流量通过,则采用白名单对应的监督脚本进行安全防护;若主机不允许全部通信流量通过,则采用白名单对应的阻断脚本进行安全防护。示例地,账号白名单、文件白名单和进程白名单也可以生成对应的监督脚本和阻断脚本,相应地,主机会根据配置的脚本,进行监督或阻断,并产生告警事件。[0096]本技术实施例提供的主机管控方法,通过管控服务器根据主机信息生成白名单,以使主机基于该白名单进行安全防控,即只有在白名单内的网络、账号、文件、进程等通信,才认为是安全的,可以直接通过,除此以外的通信则进行监督或阻断,以在遇到新病毒等零日(0day)攻击时仍可进行有效的安全防护;另外,通过安全外壳协议通道将白名单发送给主机,一方面可以防止白名单在传输过程中被攻击,另一方面,还可以加快传输的速度;主机根据白名单进行安全防控,无需安装其他软件或设备(如,agent),实现了轻量部署,提升了安全性和快捷性,适用范围广。[0097]可选地,上述通过安全外壳协议通道,接收管控服务器发送的白名单,可以包括:通过安全外壳协议通道,接收管控服务器发送的策略脚本,策略脚本包括监督脚本和阻断脚本,策略脚本是根据白名单生成的。[0098]示例地,管控服务器可以将根据白名单生成的监督脚本和阻断脚本,随白名单一起发送给主机。[0099]与上述实施例对应,在通过安全外壳协议通道,接收管控服务器发送的白名单之前,主机执行的主机管控方法还可以包括:通过安全外壳协议通道,接收管控服务器发送的信息采集命令,信息采集命令用于指示主机进行主机信息的采集;采集主机信息,并向管控服务器发送主机信息。[0100]可选地,根据白名单进行安全防控,还包括:若白名单为网络白名单,则根据网络白名单形成的五元组信息进行安全防控;若白名单为账号白名单,则根据账号白名单的用户信息进行安全防控;若白名单为文件白名单,则根据文件白名单的敏感信息和/或目录信息进行安全防控;若白名单为进程白名单,则根据进程白名单的信息进行安全防控。[0101]其中,五元组信息可以如上述表1所示,五元组信息包括源ip、目的ip、源端口、目的端口和传输层协议,示例地,若某一端口的传输层协议与网络白名单内的传输层协议不同,则产生告警提示,并进行安全防控。[0102]用户信息可以如上述表2所示,当用户名出现不允许登录(nologin)的用户名时,会产生告警提示,并进行安全防控。[0103]账号白名单的敏感信息可以如上述表3所示,敏感文件白名单中的文件权限为可读(r),若现有一敏感文件的文件权限为可写(w),文件权限不匹配,则会产生告警提示,并进行安全防控。[0104]进程白名单的信息可以如上述表4所示,示例地,若有一用户a在工作地点登录账户,则不会产生告警提示;若用户a在非工作地点登录账户,则产生告警提示,并进行安全防控。[0105]综上所述,本技术提供的主机管控方法,通过管控服务器根据主机信息生成白名单,以使主机基于该白名单进行安全防控,即只有在白名单内的网络、账号、文件、进程等通信,才认为是安全的,可以直接通过,除此以外的通信则进行监督或阻断,以在遇到新病毒等零日(0day)攻击时仍可进行有效的安全防护;另外,通过安全外壳协议通道将白名单发送给主机,一方面可以防止白名单在传输过程中被攻击,另一方面,还可以加快传输的速度;主机根据白名单进行安全防控,无需安装其他软件或设备(如,agent),实现了轻量部署,提升了安全性和快捷性,适用范围广。[0106]进一步地,本技术提供的主机管控方法,可以通过机器学习的方法,自适应学习主机信息,进而更新白名单,实现了白名单的动态更新,避免相关人员从海量信息中查找,省时省力。[0107]下述为本技术装置实施例,可以用于执行本技术方法实施例。对于本技术装置实施例中未披露的细节,请参照本技术方法实施例。[0108]图4为本技术一实施例提供的主机管控装置的结构示意图。为了便于说明,仅示出了与本技术实施例相关的部分。如图4所示,该主机管控装置40包括:获取模块41、处理模块42和发送模块43,可以应用于服务器集群中的管控服务器,管控服务器用于管控服务器集群中的主机。其中,[0109]获取模块41,用于获取主机的主机信息,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息;[0110]处理模块42,用于根据主机信息,生成对应种类的主机信息的白名单,白名单包括网络白名单、账号白名单、文件白名单和进程白名单;[0111]发送模块43,用于通过安全外壳协议通道,将白名单发送给主机,以使主机根据白名单进行安全防控。[0112]一种可能的实施方式中,处理模块42可以具体用于:将主机信息输入至白名单生成模型进行机器学习,得到白名单生成模型输出的至少一种信息中每种信息对应的白名单。[0113]一种可能的实施方式中,处理模块42还用于:对主机信息进行预处理,预处理至少包括去除冗余数据、去除空数据和数据聚合中的至少一种;根据预处理后的主机信息,生成对应种类的主机信息的白名单。[0114]一种可能的实施方式中,发送模块43可以具体用于:确定不同白名单的发送权重;根据发送权重,确定白名单的发送优先级,其中,发送优先级与发送权重正相关;基于发送优先级,通过安全外壳协议通道,将白名单发送给主机。[0115]一种可能的实施方式中,发送模块43还可以用于:根据白名单生成策略脚本,策略脚本包括监督脚本和阻断脚本;通过安全外壳协议通道,将策略脚本配置给主机。[0116]一种可能的实施方式中,获取模块41可以具体用于:通过安全外壳协议通道,向主机发送信息采集命令,信息采集命令用于指示主机进行主机信息的采集;接收主机发送的主机信息。[0117]图5为本技术另一实施例提供的主机管控装置的结构示意图。为了便于说明,仅示出了与本技术实施例相关的部分。如图5所示,该主机管控装置50包括:接收模块51和处理模块52,可以应用于服务器集群中的主机,服务器集群还包括管控服务器,管控服务器用于管控主机。其中,[0118]接收模块51,用于通过安全外壳协议通道,接收管控服务器发送的白名单,白名单是管控服务器根据主机的主机信息生成的,主机信息包括网络信息、账号信息、文件信息和进程信息中的至少一种信息,白名单包括网络白名单、账号白名单、文件白名单和进程白名单;[0119]处理模块52,用于根据白名单进行安全防控。[0120]一种可能的实施方式中,处理模块52可以具体用于:根据主机的防火墙信息,确定主机是否允许全部通信流量通过;若主机允许全部通信流量通过,则采用白名单对应的监督脚本进行安全防护;若主机不允许全部通信流量通过,则采用白名单对应的阻断脚本进行安全防护。[0121]一种可能的实施方式中,接收模块51可以具体可以用于:通过安全外壳协议通道,接收管控服务器发送的策略脚本,策略脚本包括监督脚本和阻断脚本,策略脚本是根据白名单生成的。[0122]一种可能的实施方式中,接收模块51还可以用于:通过安全外壳协议通道,接收管控服务器发送的信息采集命令,信息采集命令用于指示主机进行主机信息的采集;采集主机信息,并向管控服务器发送主机信息。[0123]一种可能的实施方式中,处理模块52还可以用于:若白名单为网络白名单,则根据网络白名单形成的五元组信息进行安全防控;若白名单为账号白名单,则根据账号白名单的用户信息进行安全防控;若白名单为文件白名单,则根据文件白名单的敏感信息和/或目录信息进行安全防控;若白名单为进程白名单,则根据进程白名单的信息进行安全防控。[0124]本技术实施例提供的主机管控装置,其实现原理和技术效果与上述实施例类似,具体可参考上述实施例,此处不再赘述。[0125]图6为本技术一实施例提供的电子设备的结构示意图。如图6所示,电子设备60包括:至少一个处理器610、存储器620、通信接口630和系统总线640。其中,存储器620和通信接口630通过系统总线640与处理器610连接并完成相互间的通信,存储器620用于存储指令,通信接口630用于和其他设备进行通信,处理器610用于调用存储器中的指令以执行如上述主机管控方法实施例的方案,具体实现方式和技术效果类似,这里不再赘述。[0126]图6中提到的处理器610可以是通用处理器,包括中央处理器、网络处理器(networkprocessor,简称np)等;数字信号处理器(digitalsignalprocessor,简称dsp)、专用集成电路(applicationspecificintegratedcircuit,简称asic)、现场可编程逻辑门阵列(fieldprogrammablegatearray,简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。[0127]存储器620可能包含随机存取存储器(randomaccessmemory,简称ram),也可能还包括静态随机存取存储器(staticrandomaccessmemory,简称sram),电可擦除可编程只读存储器(electricerasableprogrammableread-onlymemory,简称eeprom),可擦除可编程只读存储器(erasableprogrammableread-onlymemory,简称eprom),可编程只读存储器(programmableread-onlymemory,简称prom),只读存储器(readonlymemory,简称rom),磁存储器,快闪存储器,磁盘或光盘,例如至少一个磁盘存储器。[0128]通信接口630用于实现主机管控装置与其他设备(例如客户端)之间的通信。[0129]系统总线640可以是外设部件互连标准(peripheralcomponentinterconnect,简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,简称eisa)总线等。该系统总线640可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。[0130]本领域技术人员可以理解,图6示出的电子设备并不构成对电子设备的限定,可以包括比图示更多或更少的组件,或者组合某些组件,或者不同的部件布置。[0131]本技术实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,当计算机执行指令被执行时,实现如上主机管控方法。[0132]本技术实施例还提供一种计算机程序产品,包括计算机程序,该计算机程序被执行时实现如上主机管控方法。[0133]本技术实施例还提供一种运行指令的芯片,芯片用于执行如上任一方法实施例的主机管控方法。[0134]本技术实施例还提供一种服务器集群,包括:主机和管控服务器,其中:管控服务器用于执行如上任一方法实施例的主机管控方法;主机用于执行如上任一方法实施例的主机管控方法。[0135]本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本技术的其它实施方案。本技术旨在涵盖本技术的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本技术的一般性原理并包括本技术未公开的本
技术领域
:中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本技术的真正范围和精神由下面的权利要求书指出。[0136]应当理解的是,本技术并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本技术的范围仅由所附的权利要求书来限制。当前第1页12当前第1页12
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1