技术领域
[0001] 本
发明涉及安全检测技术领域,尤其涉及一种网络主机信息的安全检测方法和装置。
背景技术
[0002] 随着网络技术的飞速发展,网络在各个领域都得以广泛应用,在巨大的网络活动中,
支撑网络系统正常运行的关键
节点就是网络主机。
[0003] 网络主机的安全性对整个网络的运行具有重要意义,因此,要保证网络主机的安全性。为此,需要对网络主机的安全性进行检测,以发现网络主机存在的安全隐患,并对安全隐患采取相应的防护措施,进而提高网络系统的安全性。
[0004] 现有的网络主机信息的安全检测主要是周期性对主机信息进行扫描匹配,定期对网络主机的安全性进行检测。这种检测方法具有一定的滞后性,不能实现对网络主机安全性的实时检测。
[0005] 此外,现有的网络主机信息安全检测方法中,在每一次安全检测过程中需要检测所有检测项,以检测主机信息是否存在安全隐患。因此,这种方法导致主机信息重复检测,由于主机信息的检测项非常多,如此,就导致每次安全检测过程耗时较长,不利于提高检测效率。
[0006] 另外,现有的网络主机信息安全检测方法中,没有标准的安全检测工具和规则,同一主机信息采用不同的安全检测工具进行检测可能得到冲突的检测结果,致使用户无法获取安全的主机信息。
发明内容
[0007] 有鉴于此,本发明提供了一种网络主机信息的安全检测方法和装置,以实现对网络主机信息的安全性的实时检测。
[0008] 为了解决上述技术问题,本发明采用了如下技术方案:
[0009] 一种网络主机信息的安全检测方法,包括:
[0010] 当网络主机的信息状态更改后,获取更改后的主机信息状态;
[0011] 从预生成的规则文件中查找与更改后的主机信息相对应的特定检测规则;所述规则文件中存储有处于安全状态的网络主机的各个信息的检测规则,每个检测规则包括检测对象、该检测对象对应的检测内容、检测方法以及标准检测结果;
[0012] 从所述特定检测规则中查找与所述特定检测对象对应的特定检测内容、特定检测方法和特定标准检测结果;
[0013] 根据查找到的特定检测内容和特定检测方法对所述更改后的主机信息状态进行检测,得到实时检测结果;
[0014] 判断所述实时检测结果和所述标准检测结果是否匹配,如果是,信息状态发生更改的网络主机处于安全状态,如果否,信息状态发生更改的网络主机存在安全隐患。
[0015] 可选地,所述方法还包括:
[0016] 对网络主机信息进行分类,属于同一类的网络主机信息为网络主机的一个检测对象;
[0017] 根据检测内容、检测内容对应的检测方法对处于安全状态的网络主机的检测对象进行检测,生成标准检测结果;所述检测内容根据已知的安全公告信息和主机系统状态确定;
[0018] 将检测对象、检测对象对应的检测内容、检测方法以及标准检测结果按照第一预设格式编写生成检测规则;
[0019] 将网络主机的所有检测对象分别对应的检测规则按照第二预设格式存储生成的文件即为所述预生成的规则文件。
[0020] 可选地,所述方法还包括:
[0021] 根据更改后的主机信息状态、所述更改后的主机信息状态对应的检测内容、检测方法以及实时检测结果生成新的检测规则;根据所述新的检测规则更新所述预生成的规则文件。
[0022] 可选地,所述方法还包括:当信息状态发生更改的网络主机处于安全状态时,显示网络主机的当前信息状态。
[0023] 可选地,所述方法还包括:当信息状态发生更改的网络主机存在安全隐患时,发出报警提示。
[0024] 一种网络主机信息的安全检测装置,包括:
[0025] 获取单元,用于当网络主机的信息状态更改后,获取更改后的主机信息状态;
[0026] 第一查找单元,用于从预生成的规则文件中查找与更改后的主机信息相对应的特定检测规则;所述规则文件中存储有处于安全状态的网络主机的各个信息的检测规则,每个检测规则包括检测对象、该检测对象对应的检测内容、检测方法以及标准检测结果;
[0027] 第二查找单元,用于从所述特定检测规则中查找与所述特定检测对象对应的特定检测内容、特定检测方法和特定标准检测结果;
[0028] 第一检测单元,用于根据查找到的特定检测内容和特定检测方法对所述更改后的主机信息状态进行检测,得到实时检测结果;
[0029] 判断单元,用于判断所述实时检测结果和所述标准检测结果是否匹配,如果是,信息状态发生更改的网络主机处于安全状态,如果否,信息状态发生更改的网络主机存在安全隐患。
[0030] 可选地,所述装置还包括:
[0031] 分类单元,用于对网络主机信息进行分类,属于同一类的网络主机信息为网络主机的一个检测对象;
[0032] 第二检测单元,用于根据检测内容、检测内容对应的检测方法对处于安全状态的网络主机的检测对象进行检测,生成标准检测结果;所述检测内容根据已知的安全公告信息和主机系统状态确定;
[0033] 检测规则生成单元,用于将检测对象、检测对象对应的检测内容、检测方法以及标准检测结果按照第一预设格式编写生成检测规则;
[0034] 规则文件生成单元,用于将网络主机的所有检测对象分别对应的检测规则按照第二预设格式存储生成的文件即为所述预生成的规则文件。
[0035] 可选地,所述装置还包括:
[0036] 更新单元,用于根据更改后的主机信息状态、所述更改后的主机信息状态对应的检测内容、检测方法以及实时检测结果生成新的检测规则;根据所述新的检测规则更新所述预生成的规则文件。
[0037] 可选地,所述装置还包括:
[0038] 显示单元,用于当信息状态发生更改的网络主机处于安全状态时,显示网络主机的当前信息状态。
[0039] 可选地,所述装置还包括:
[0040] 报警单元,用于当信息状态发生更改的网络主机存在安全隐患时,发出报警提示。
[0041] 相较于
现有技术,本发明具有以下有益效果:
[0042] 通过以上技术方案可知,本发明提供的网络主机信息的安全检测方法,在网络主机的信息状态更改后,即可获取该更改后的主机信息状态,并立即对信息状态发生更改的网络主机进行安全检测。因此,本发明
实施例提供的安全检测方法能够克服现有技术中的检测方法的滞后性,能够对网络主机的安全性进行实时检测。而且,本发明提供的安全检测方法,在每次进行安全检测时,仅对状态更改的信息进行检测,避免了现有技术中主机信息重复检测的
缺陷,有利于降低检测过程的耗时,提高检测效率。进一步地,本发明提供的安全检测方法在每次安全检测过程中,均采用规则文件中的检测规则,因此,不同安全检测过程采用的检测标准统一,避免了现有技术中采用不同安全检测工具进行检测可能得到检测结果冲突的现象,能够使用户获得安全的主机信息。
附图说明
[0043] 为了清楚地理解本发明的具体实施方式,下面将描述本发明的具体实施方式时用到的附图做简要说明,显而易见地,这些附图仅是本发明的部分实施例。
[0044] 图1是本发明实施例提供的网络主机信息的安全检测方法流程示意图;
[0045] 图2是本发明实施例提供的规则文件的生成方法流程示意图;
[0046] 图3是本发明实施例提供的网络主机信息的安全检测装置结构示意图。
具体实施方式
[0047] 为使本发明的目的、技术手段和技术效果更加清楚、完整,下面结合附图对本发明的具体实施方式进行描述。
[0048] 下面以本发明提供的网络主机信息的安全检测方法在网络主机的
服务器上运行为例说明该安全检测方法的具体实施方式。
[0049] 图1是本发明实施例提供的网络主机信息的安全检测方法流程示意图。如图1所示,该方法包括以下步骤:
[0050] S11、当网络主机的信息状态更改后,获取更改后的主机信息状态:
[0051] 当网络主机的信息状态更改后,网络主机将更改后的主机信息状态传送至服务器,以使服务器获取到该更改后的主机信息状态。
[0052] 需要说明的是,在本发明实施例中,网络主机的信息状态更改可以包括网络主机的原有信息的状态发生变化,还可以包括网络主机新增加的信息对应的信息状态。
[0053] S12、从预生成的规则文件中查找与更改后的主机信息相对应的特定检测规则:
[0054] 需要说明的是,预生成的规则文件中包括网络主机的所有各个信息对应的检测规则,每个检测规则包括检测对象、检测对象对应的检测内容、检测方法以及标准检测结果。其中,检测对象即为网络主机的信息。
[0055] 其中,标准检测结果是采用检测对象对应的检测方法对处于安全状态的网络主机的检测对象的各个检测内容进行检测得到的检测结果。换句话说,标准检测结果为处于安全状态的网络主机信息状态对应的检测结果。在安全检测过程中,只有当主机信息的检测内容与标准检测结果匹配,才认为网络主机处于安全状态,反之,则认为网络主机处于非安全状态。
[0056] 其中,每个检测对象、该检测对象对应的检测内容、检测方法和标准检测结果按照第一预设格式编写从而生成该检测对象的检测规则。当把所有各个检测对象的检测规则按照第二预设格式存储生成的文件即为该网络主机的规则文件。
[0057] 在本发明实施例中,检测对象可以为主机信息,检测内容为需要检测的检测对象的特性,检测方法可以为本领域常规采用的检测方法,如
正交匹配检测方法。
[0058] 以windows主机为例,其对应的检测对象可以为注册表、用户账号、密码、审核策略等等。
[0059] 当检测对象为密码时,检测内容可以包括密码长度、复杂度、字符种类等等。
[0060] 在本发明实施例中,可以将主机的每个信息状态分别生成一条检测规则,然后将所有各条检测规则逐一存储在规则文件中。从这种检测规则逐一存储生成的规则文件中查找与更改后的主机信息相对应的特定检测规则时,需要遍历所有检测规则,导致该查找过程会花费大量时间,降低安全检测效率。
[0061] 为了降低查找过程花费的时间,提高安全检测效率,本发明实施例还提供了另外一种结构的规则文件。在该结构的规则文件中,预先将主机信息进行分类,并且将主机信息对应的检测规则按照主机信息的分类进行分类存储生成规则文件。如此,在从该预生成的规则文件中查找与更改后的主机信息相对应的特定规则时,可以先从规则文件中查找该更改后的主机信息对应的信息类别,然后从该对应的信息类别中查找该更改后的主机信息对应的检测规则。因而,通过该检测规则分类的规则文件可以避免遍历所有主机信息的检测规则,替换地,仅遍历信息类别和对应信息类别下的检测规则即可。所以,通过该检测规则分类的规则文件可以降低查找时间,提高安全检测效率。
[0062] 其中,作为本发明的一个具体实施方式,检测规则分类存储的规则文件的生成过程如图2所示,其包括以下步骤:
[0063] S21、根据已知的安全公告信息和主机系统状态确定包含在规则文件中的检测内容:
[0064] 作为示例,例如当windows主机的密码为检测对象时,其对应的检测项一般包括密码长度、密码复杂程度、密码允许包含字符种类。这些检测项构成了windows主机密码的检测内容。
[0065] S22、对网络主机信息进行分类,属于同一类的网络主机信息为网络主机的一个检测对象:
[0066] 需要说明的是,对网络主机信息进行分类,也就是对网络主机信息进行结构化,将网络主机信息按照不同的分类提取出来,从而将同于同一类的网络主机信息归属到同一类中。作为本发明的实施例,网络主机信息的类别可以包括文件类型、安装包类型和审核类型。例如windows主机,其主机信息可以分为以下几类:注册表类别、审核策略类别、
访问权限类别等等。
[0067] S23、根据检测内容、检测内容对应的检测方法对处于安全状态的网络主机的检测对象进行检测,以判断检测内容是否满足检测条件,得到的判断结果即为标准检测结果。
[0068] S24、将检测对象、检测对象对应的检测内容、检测方法、检测条件以及标准检测结果按照第一预设格式编写生成检测规则。
[0069] S25、将网络主机的所有检测对象对应的检测规则按照第二预设格式存储生成的文件即为所述规则文件。
[0070] 需要说明的是,在本发明实施例中,所述规则文件是安全工具引擎
框架进行检测时使用的文件,其内存储有处于安全状态的网络主机的各个检测对象、检测对象对应的检测内容、检测方法以及标准检测结果。
[0071] 由于规则文件中存储有检测对象、检测对象对应的检测内容、检测方法以及标准检测结果,因此,本发明提供的安全检测方法在对网络主机的信息进行安全检测时,无需从其它地方调用安全工具引擎,其直接采用规则文件中的检测内容、检测方法对网络主机信息进行检测即可。因此,规则文件的存在能够提高安全检测效率。
[0072] 由于本发明实施例示例的安全检测方法在服务器上运行,所以,将生成的规则文件设置在服务器中。
[0073] 需要说明的是,本发明实施例不限定步骤S21和步骤S22的执行顺序,具体地说,在本发明实施例中,可以先执行步骤S21,再执行步骤S22,也可以先执行步骤S22,再执行步骤S21,此外,也可以同时执行步骤S21和S22。
[0074] S13、从所述特定规则中查找与所述特定检测对象相匹配的特定检测内容、特定检测方法和特定标准检测结果。
[0075] S14、根据查找到的特定检测内容和特定检测方法对所述更改后的主机信息状态进行检测,得到实时检测结果:
[0076] 以windows主机密码检测为例说明。根据windows主机密码对应的检测内容和检测方法对更改后的主机密码进行检测,得出的实时检测结果为:更改后的主机密码长度为8位字符。
[0077] S15、判断所述实时检测结果和所述标准检测结果是否匹配,如果是,信息状态发生更改的网络主机处于安全状态,如果否,信息状态发生更改的网络主机存在安全隐患:
[0078] 在预生成的规则文件中,windows主机密码的标准检测结果为:密码长度不少于16位字符。当实时检测结果为windows主机密码的字符长度为8位,则实时检测结果与标准结果不匹配,则windows主机密码长度发生更改的网络主机存在安全隐患。
[0079] 作为本发明的可选实施例,为了使得用户获知网络主机的当前信息状态,上述所述的安全检测方法还可以包括以下步骤:
[0080] S16、当信息状态发生更改的网络主机处于安全状态时,显示网络主机的当前信息状态:
[0081] 需要说明的是,网络主机的当前信息状态即为更改后的主机信息状态。
[0082] 作为本发明的可选实施例,为了向外提示信息状态发生更改后的网络主机存在安全隐患,上述所述的安全检测方法还可以包括以下步骤:
[0083] S17、当信息状态发生更改的网络主机存在安全隐患时,发出报警提示,以使用户对网络主机及时采取安全保护措施。
[0084] 另外,作为本发明的一个具体实施例,上述得到的实时检测结果中可以包括更改后的信息状态对应的检测内容和检测方法,若检测内容发生更改后,上述所述的安全检测方法在步骤S14之后还可以包括以下步骤S18:
[0085] S18、根据更改后的信息状态、该更改后的信息状态对应的检测内容、检测方法以及实时检测结果生成新的检测规则,并根据该新的检测规则更新预生成的规则文件:
[0086] 需要说明的是,更改后的信息状态、该更改后的新增状态对应的检测内容、检测方法以及实时检测结果生成检测规则的方法与上述所述的生成检测规则的方法相同。为了简要起见,在此不再详细描述。
[0087] 通过步骤S18可以实现规则文件的更新,如此,当增加了新的网络主机信息或网络主机信息的检测内容发生变化后,可以通过该网络主机信息的检测结果对规则文件进行更新。如此,可以实时获取到网络主机信息的安全检测标准。
[0088] 以上为本发明实施例提供的网络主机信息的安全检测方法的具体实施方式。在该实施方式中,在网络主机的信息状态更改后,即可获取该更改后的主机信息状态,并立即对信息状态发生更改的网络主机进行安全检测。因此,本发明实施例提供的安全检测方法能够克服现有技术中的检测方法的滞后性,能够对网络主机的安全性进行实时检测。
[0089] 另外,本发明提供的网络主机信息的安全检测方法,在每次安全检测过程中,只对信息状态发生更改的信息状态进行检测,而无需检测信息状态没有发生更改的信息状态。因此,本发明提供的安全检测方法克服了现有技术中检测项重复检测的缺陷,降低了每次安全检测过程的耗时,提高了安全检测效率。
[0090] 此外,本发明提供的网络主机信息的安全检测方法,利用存储在规则文件中的检测规则对网络主机的信息状态进行检测,同一信息在不同检测过程中对应的检测规则是相同的,这就使得不同检测过程,不同安全检测过程采用的检测标准统一,避免了现有技术中采用不同的安全检测工具进行检测时出现检测结果冲突的现象,因而,利用本发明提供的安全检测方法能够准确地获取安全的主机信息。
[0091] 基于上述实施例所述的网络主机信息的安全检测方法,本发明实施例还提供了一种网络主机信息的安全检测装置。具体参见以下实施例。
[0092] 图3是本发明实施例提供的网络主机信息的安全检测装置结构示意图。如图3所示,该装置包括以下单元:
[0093] 获取单元301,用于当网络主机的信息状态更改后,获取更改后的主机信息状态;
[0094] 第一查找单元302,用于从预生成的规则文件中查找与更改后的主机信息相对应的特定检测规则;所述规则文件中存储有处于安全状态的网络主机的各个信息的检测规则,每个检测规则包括检测对象、该检测对象对应的检测内容、检测方法以及标准检测结果;
[0095] 第二查找单元303,用于从所述特定检测规则中查找与所述特定检测对象对应的特定检测内容、特定检测方法和特定标准检测结果;
[0096] 第一检测单元304,用于根据查找到的特定检测内容和特定检测方法对所述更改后的主机信息状态进行检测,得到实时检测结果;
[0097] 判断单元305,用于判断所述实时检测结果和所述标准检测结果是否匹配,如果是,信息状态发生更改的网络主机处于安全状态,如果否,信息状态发生更改的网络主机存在安全隐患。
[0098] 为了能够生成检测规则分类的规则文件,上述所述的安全检测装置还可以包括以下单元:
[0099] 分类单元306,用于对网络主机信息进行分类,属于同一类的网络主机信息为网络主机的一个检测对象;
[0100] 第二检测单元307,用于根据检测内容、检测内容对应的检测方法对处于安全状态的网络主机的检测对象进行检测,生成标准检测结果;所述检测内容根据已知的安全公告信息和主机系统状态确定;
[0101] 检测规则生成单元308,用于将检测对象、检测对象对应的检测内容、检测方法以及标准检测结果按照第一预设格式编写生成检测规则;
[0102] 规则文件生成单元309,用于将网络主机的所有检测对象分别对应的检测规则按照第二预设格式存储生成的文件即为所述预生成的规则文件。
[0103] 为了能够实现对预生成的规则文件的更新,上述
锁的安全检测装置还可以包括:
[0104] 更新单元310,用于根据更改后的主机信息状态、所述更改后的主机信息状态对应的检测内容、检测方法以及实时检测结果生成新的检测规则;根据所述新的检测规则更新所述预生成的规则文件。
[0105] 此外,为了能够显示处于安全状态的网络主机信息,上述所述的安全检测装置还可以包括:
[0106] 显示单元311,用于当信息状态发生更改的网络主机处于安全状态时,显示网络主机的当前信息状态。
[0107] 为了提示用户网络主机存在安全隐患,上述所述的安全检测装置还可以包括:
[0108] 报警单元312,用于当信息状态发生更改的网络主机存在安全隐患时,发出报警提示。
[0109] 以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
