[发明专利]一种云环境下通过自学习防攻击的系统及方法

摘要

本发明涉及云安全管理技术，旨在提供一种云环境下通过自学习防攻击的系统及方法。该种云环境下通过自学习防攻击的系统包括管理端和监控端，管理端、监控端采用C/S架构，管理端部署在Server端，监控端部署在云环境中的各个主机中。本发明通过主机行为学习后形成行为规则库，极大地降低了云环境下主机防攻击的难度和复杂度，从而提升云环境下主机防攻击的效率；本发明能灵活调整行为规则库，极大地提高了云环境下主机防攻击的正确率。

主权项

一种云环境下通过自学习防攻击的系统，包括管理端和监控端，其特征在于，管理端、监控端采用C/S架构，管理端部署在Server端，监控端部署在云环境中的各个主机中；管理端包括监控端管理模块、学习时间设置模块、学习结果接收模块、行为规则库管理模块、行为监控信息接收模块；所述监控端管理模块：用于配置云环境中的各个主机信息，包括但不限于：主机IP、主机端口port，并将配置信息保存在数据库内；所述学习时间设置模块：用于配置云环境中主机自学习的开始时间和学习周期；所述学习结果接收模块：用于接收监控端学习结果收发模块学习的行为规则并保存在数据库内，形成行为规则库；所述行为规则库管理模块：用于接收监控端发回的行为规则，动态管理行为规则库，即对行为规则库进行增加、删除、修改行为规则操作，并将行为规则库变更信息同步到监控端；行为规则是指系统中进程调用关系和网络访问关系的白名单，符合这些白名单的调用或网络访问关系才不产生告警；所述行为监控信息接收模块：用于接收监控端行为告警收发模块发回的行为监控信息，记录并展示对主机行为进行告警或阻断的信息，并展示监控端运行状况；监控端包括行为学习模块、行为监控模块、学习结果收发模块、行为规则收发模块、行为告警收发模块；行为学习模块、行为监控模块在云环境中的各个主机内核中实现，学习结果收发模块、行为规则收发模块、行为告警收发模块在云环境中的各个主机应用层中实现；所述行为学习模块：用于在学习周期内，进行主机行为的学习，获得内核主机行为学习结果，内核主机行为学习结果包括但不限于：主机进程调用、进程动作、主机网络链接轨迹；所述行为监控模块：用于依据监控端应用层行为规则收发模块发送的行为规则信息配置文件，对主机行为进行告警或阻断，实现防攻击；所述学习结果收发模块：用于接收内核主机行为学习结果，并对学习结果按模板格式整理后形成行为规则发送给管理端；模板内容包括但不限于：主机调用进程process、进程动作action、网络协议、客户端IP、客户端口、连接类型、连接标志；所述行为规则收发模块：用于接收管理端确认的行为规则信息，并将收到的行为规则信息组织成行为规则信息配置文件发送给内核；行为规则收发模块一旦收到行为规则库管理模块发出的行为规则库变更信息，会修改行为规则信息配置文件；所述行为告警收发模块：用于接收行为监控模块发送的内核行为监控信息，并将行为监控信息发送给管理端的行为监控信息接收模块。