本發(fā)明涉及網絡安全領域，尤其涉及一種基于集中管理的主機的安全檢測方法及系統(tǒng)。

背景技術：

互聯(lián)網的蓬勃發(fā)展使各行各業(yè)進入了信息網絡時代，在線服務多種多樣，享受服務的人群數(shù)量巨大，公司的服務器主機也越來越多，與此同時主機受到的攻擊威脅也在不斷增多，管理主機挑戰(zhàn)越來越大，傳統(tǒng)的主機安全維護已經不適用與現(xiàn)有的大數(shù)據中心。

多主機數(shù)據中心管理的現(xiàn)狀，具體問題如下：傳統(tǒng)的主機安全防御方式是針對單個主機部署殺毒軟件掃描漏洞，殺毒軟件在主機中運行，檢測主機中的數(shù)據并生成針對該主機的報告文件，并不能對所發(fā)生的安全事件進行實時處理，需要用戶定期逐個提取每臺主機殺毒軟件生成的報告文件，以對單個主機的安全狀況進行的評估，分析主機是否存在安全威脅。用戶定期逐個檢查分析主機的安全性，過程繁瑣，效率低下，而且用戶對單個主機的分析難以對整個數(shù)據中心的安全狀況進行的評估。

因此，有必要研發(fā)一種基于集中管理的主機的安全檢測方法，解決上述基于集中管理的主機的檢測效率低下的問題。

技術實現(xiàn)要素：

本發(fā)明實施例提供了一種基于集中管理的主機的安全檢測方法及系統(tǒng)，用于提高基于集中管理的主機安全檢測的效率。

本發(fā)明實施例第一方面提供了一種基于集中管理的主機的安全檢測方法，可包括：

安全管理平臺通過部署在不同主機上的客戶端分別收集對應主機的日志信息，所述安全管理平臺部署在用戶側本地網絡中，需要安全檢測的每一臺主機安裝有所述客戶端；

所述安全管理平臺分別解析所述日志信息并根據所述日志信息生成安全威脅信息并展示給用戶；

結合第一方面，在第一方面的第一種可能的實施方式中，所述方法還包括：

所述安全管理平臺將需要檢測的數(shù)據發(fā)送至云端平臺進行安全檢測；

所述云端平臺向所述安全管理平臺發(fā)送用于檢測用戶側主機數(shù)據的規(guī)則庫。

結合第一方面，在第一方面的第二種可能的實施方式中，所述方法還包括：

客戶端按照預置規(guī)則實時檢測對應的主機中是否發(fā)生預置安全事件；

若發(fā)生所述預置安全事件，則按照預置規(guī)則即時處理所述預置安全事件。

結合第一方面的第二種可能的實施方式，在第一方面的第三種可能的實施方式中，所述按照預置規(guī)則即時處理所述預置安全事件包括：

當客戶端按照預置規(guī)則實時監(jiān)測對應的主機中存在惡意文件時，客戶端自動隔離或刪除所述惡意文件。

結合第一方面的第三種可能的實施方式，在第一方面的第四種可能的實施方式中，所述按照預置規(guī)則即時處理所述預置安全事件包括：

當客戶端按照預置規(guī)則監(jiān)測對應的主機中存在暴力破解攻擊時，客戶端封堵所述暴力破解攻擊的攻擊源的ip地址。

結合第一方面，第一方面的第一種可能的實施方式，第一方面的第二種可能的實施方式，第一方面的第三種可能的實施方式，第一方面的第四種可能的實施方式，在第一方面的第五種可能的實施方式中，所述日志信息包括主機的硬件資產信息、操作系統(tǒng)信息、網絡連接信息、主機開放的端口信息、進程信息、網絡流量信息以及安全日志信息中的一項或多項；

所述安全管理平臺解析所述日志信息，并向用戶展示所述日志信息。

結合第一方面的第五種可能的實施方式，在第一方面的第六種可能的實施方式中，所述方法還包括：

當用戶根據所述安全威脅信息配置對應的安全策略之后，所述安全管理平臺將所述安全策略發(fā)送給所述日志信息對應的目標主機的目標客戶端或發(fā)送給所述用戶所屬的所有主機的客戶端。

本發(fā)明實施例第二方面提供了一種基于集中管理的主機的安全檢測系統(tǒng)，可包括：

安全管理平臺及客戶端，其中，

所述安全管理平臺部署在用戶側本地網絡中，用于管理本地網絡中的多臺主機；

所述客戶端部署在需要安全檢測的每一臺主機中，分別采集對應主機的日志信息并上傳至所述安全管理平臺；

所述安全管理平臺分別解析所述日志信息，根據所述日志信息生成安全威脅信息并展示給用戶。

結合第二方面，在第二方面的第一種可能的實施方式中，所述系統(tǒng)還包括：

云端平臺，用于對所述安全管理平臺發(fā)送的數(shù)據進行安全檢測；

所述云端平臺還用于向所述安全管理平臺發(fā)送用于檢測用戶側主機數(shù)據的規(guī)則庫。

結合第二方面，在第二方面的第二種可能的實施方式中，所述客戶端包括：

檢測模塊，用于按照預置規(guī)則檢測主機中是否發(fā)生預置安全事件，并按照預置規(guī)則即時處理所述預置安全事件。

結合第二方面的第二種可能的實施方式，在第二方面的第三種可能的實施方式中，所述檢測模塊包括：

第一檢測單元，用于按照預置規(guī)則實時監(jiān)測主機中是否存在惡意文件，若存在所述惡意文件則自動隔離或刪除所述惡意文件。

結合第二方面的第三種可能的實施方式，在第二方面的第四種可能的實施方式中，所述檢測模塊還包括：

第二檢測單元，用于監(jiān)測主機中是否存在暴力破解攻擊，若存在暴力破解攻擊則封堵所述暴力破解攻擊的攻擊源的ip地址。

結合第二方面，第二方面的第一種可能的實施方式，第二方面的第二種可能的實施方式，第二方面的第三種可能的實施方式，第二方面的第四種可能的實施方式，在第二方面的第五種可能的實施方式中，所述日志信息包括主機的硬件資產信息、操作系統(tǒng)信息、網絡連接信息、主機開放的端口信息、進程信息、網絡流量信息以及安全日志信息中的一項或多項，所述安全管理平臺還包括：

安全可視化模塊，用于解析所述日志信息，并向用戶展示所述日志信息。

結合第二方面的第五種可能的實施方式，在第二方面的第六種可能的實施方式中，所述安全管理平臺還包括：

安全策略模塊，當用戶根據所述安全威脅信息配置對應的安全策略之后，所述安全管理平臺將所述安全策略發(fā)送給所述日志信息對應的目標主機的目標客戶端或發(fā)送給所述用戶所屬的所有主機的客戶端。

從以上技術方案可以看出，本發(fā)明實施例具有以下優(yōu)點：

本發(fā)明實施例中，部署在多臺主機的客戶端分別采集對應主機的日志信息并上傳至安全管理平臺，該安全管理平臺可以解析日志信息并根據日志信息生成安全威脅信息并展示給用戶，最后，當用戶根據所述安全威脅信息配置對應的安全策略之后，安全管理平臺將安全策略發(fā)送給日志信息對應的目標主機的目標客戶端并執(zhí)行該安全策略。即本發(fā)明實施例可以實時自動采集用戶的多臺主機的日志信息至安全管理平臺進行數(shù)據檢測生成對應的安全威脅信息，相對于人工定期逐個提取日志信息，提高了安全監(jiān)測的效率，同時減少了主機需要檢測的數(shù)據的量，節(jié)約了主機資源。

附圖說明

圖1為本發(fā)明實施例中基于集中管理的主機的安全檢測的系統(tǒng)架構示意圖；

圖2為本發(fā)明實施例中一種基于集中管理的主機的安全檢測方法的一個實施例示意圖；

圖3為本發(fā)明實施例中一種基于集中管理的主機的安全檢測方法的另一個實施例示意圖；

圖4為本發(fā)明實施例中一種基于集中管理的主機的安全檢測方法的另一個實施例示意圖；

圖5為本發(fā)明實施例中一種基于集中管理的主機的安全檢測方法的另一個實施例示意圖；

圖6為本發(fā)明實施例中一種基于集中管理的主機的安全檢測系統(tǒng)的一個實施例示意圖；

圖7為本發(fā)明實施例中一種基于集中管理的主機的安全檢測系統(tǒng)的另一個實施例示意圖；

圖8為本發(fā)明實施例中一種基于集中管理的主機的安全檢測系統(tǒng)的客戶端的細化功能模塊示意圖；

圖9為本發(fā)明實施例中一種基于集中管理的主機的安全檢測方法的安全管理平臺的細化功能模塊示意圖。

具體實施方式

本發(fā)明實施例提供了一種基于集中管理的主機的安全檢測方法及系統(tǒng)，用于提高基于集中管理的主機安全檢測的效率，減小安全事件處理過程中的延時。

為了使本技術領域的人員更好地理解本發(fā)明方案，下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分的實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都應當屬于本發(fā)明保護的范圍。

本發(fā)明的說明書和權利要求書及上述附圖中的術語“第一”、“第二”、“第三”、“第四”等(如果存在)是用于區(qū)別類似的對象，而不必用于描述特定的順序或先后次序。應該理解這樣使用的數(shù)據在適當情況下可以互換，以便這里描述的實施例能夠以除了在這里圖示或描述的內容以外的順序實施。此外，術語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統(tǒng)、產品或設備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或對于這些過程、方法、產品或設備固有的其它步驟或單元。

為了便于理解，現(xiàn)將本發(fā)明實施例中基于集中管理的主機的安全檢測的系統(tǒng)架構進行簡單的示例性說明，請參閱圖1，本發(fā)明實施例中安全管理平臺可以對用戶所屬的多臺主機進行集中管理。

本發(fā)明實施例中通過在用戶側本地網絡中部署的安全管理平臺，以及在用戶的多個主機中分別部署客戶端實現(xiàn)用戶多主機的集中檢測與分析，其中本發(fā)明實施例中的主機可以為部署在公有云或私有云上的虛擬主機或物理服務器的主機，用戶側本地網絡可以是用戶側本地局域網或其他的本地私有網絡，客戶端主要執(zhí)行信息收集及執(zhí)行響應的動作，安全管理平臺可以通過用戶設置的檢測引擎的分析、預置規(guī)則庫等，對客戶端采集到的日志信息數(shù)據進行安全檢測。當檢測結果為威脅事件時，則可以實時響應處置，配置對應的安全策略，例如，隔離文件或阻斷入侵行為等?？蛇x的，本發(fā)明實施例中可以設置對應的云端平臺以借助互聯(lián)網的大數(shù)據平臺進行分析，該云端平臺部署在互聯(lián)網中的公有網絡中，云端平臺可以通過大數(shù)據安全分析、人工智能檢測引擎的分析、信譽體系的分值計算模型及體量巨大的信譽名單庫等形成預置規(guī)則對客戶端采集到的數(shù)據進行安全檢測。

下面對本發(fā)明實施例中的具體流程進行描述，請參閱圖2，本發(fā)明實施例中一種基于集中管理的主機的安全檢測方法的一個實施例可包括：

201、安全管理平臺通過部署在不同主機上的客戶端分別收集對應主機的日志信息；

本實施例中，客戶端可以部署在用戶需要安全檢測的每一臺主機上，并分別采集對應主機的日志信息，客戶端可以根據檢測的需求選擇需要采集的主機相關信息作為日志信息的一部分上傳至安全管理平臺，具體的日志信息可疑根據檢測需求進行合理設置，例如，客戶端發(fā)現(xiàn)一個主機程序未開發(fā)的服務端口，這時客戶端可以進一步的記錄該主機的進程信息至日志信息中供用戶進行判斷識別是否有惡意進程存在。

具體的，日志信息可以包括主機的硬件資產信息、操作系統(tǒng)信息、網絡連接信息、主機開放的服務端口信息、進程信息、網絡流量信息以及安全日志信息等可以反應主機的運行狀態(tài)或安全狀態(tài)的信息，具體此處不做限定。

具體的，本實施例中的安全管理平臺在實際運用中可以為部署在用戶側本地網絡中網絡虛擬平臺，例如，可以是采用docker技術在同一局域網絡或其他私有網絡中的一個或對個用戶構建的虛擬化平臺，用戶可以安裝對應的安全管理平臺的軟件客戶端，也可以在web登錄平臺即可管理該用戶所屬的主機并存儲從主機中提取到的大量實時數(shù)據，具體的此處不做限定。

具體的，本實施例中的客戶端在主機安裝的時候通過參數(shù)配置其對應的安全管理平臺的地址，使得對應主機中的客戶端可以連接到對應的安全管理平臺，在特殊情況下，主機客戶端不能直接連接對應的安全管理平臺時，可以通過socks代理的方式連接到對應的安全管理平臺，具體的連接方式此處不做限定。

可以理解的是，客戶端向安全管理平臺傳輸數(shù)據的過程中，可以根據用戶的需求進行加密或不進行加密，此處不做限定。

202、安全管理平臺解析日志信息并根據日志信息生成安全威脅信息并展示給用戶。

本實施例中當安全管理平臺部署在公網上時可以通過大數(shù)據安全分析、人工智能檢測引擎的分析、信譽體系的分值計算模型及體量巨大的信譽名單庫，對客戶端采集到的數(shù)據進行安全檢測，具體的檢測方式此處不做限定，當安全管理平臺部署在用戶側的本地網絡時，可以按照用戶設置的軟件或引擎對采集到的日志信息進行檢測，具體此處不做限定，若發(fā)現(xiàn)主機的日志信息或日志信息中記載的該主機中的相關數(shù)據信息中存在安全威脅，則安全管理平臺可以生成對應的安全威脅信息并展示給用戶，以指示日志信息中或者日志信息中記載的該主機中的相關數(shù)據信息中存在安全威脅。

本實施例中，部署在多臺主機的客戶端可以分別采集對應主機的日志信息并上傳至安全管理平臺，該安全管理平臺可以解析日志信息并根據日志信息生成安全威脅信息并展示給用戶。即本發(fā)明實施例可以實時自動采集用戶的多臺主機的日志信息至安全管理平臺進行檢測，相對于主機運行殺毒軟件檢測自身數(shù)據并生成檢測報告，人工定期逐個提取報告文件的方式，無需人工逐一提取，提高了安全檢測的效率，同時減少了主機需要檢測的數(shù)據的量，節(jié)約了主機資源開銷，用戶可以通過安全管理平臺集中管理多臺主機，實時解析日志信息并生成對應的安全威脅信息，減小了安全事件處理過程中延時的可能性。

其次，本實施例中的安全管理平臺可以通過大數(shù)據安全分析、人工智能檢測引擎的分析、信譽體系的分值計算模型及體量巨大的信譽名單庫，對客戶端采集到的數(shù)據進行安全檢測，提高了檢測的準確性。

在上述實施例的基礎上，當用戶側的安全管理平臺無法確切的分析用戶側的主機中的數(shù)據是否存在安全威脅時，可以借助互聯(lián)網的大數(shù)據平臺進行分析，具體的請參閱圖3，本發(fā)明實施例中一種基于集中管理的主機的安全檢測方法的另一個實施例可包括：

301、安全管理平臺通過部署在不同主機上的客戶端分別收集對應主機的日志信息；

302、安全管理平臺解析日志信息并根據日志信息生成安全威脅信息并展示給用戶；

本實施例中的步驟301至302與上述圖2所示的實施例中的步驟201至202中描述的內容類似，此處不再贅述。

303、安全管理平臺將需要檢測的數(shù)據發(fā)送至云端平臺進行安全檢測。

可選的，當用戶側的安全管理平臺無法確切的分析用戶側的主機中的數(shù)據是否存在安全威脅時，可以借助互聯(lián)網的大數(shù)據平臺進行分析，云端平臺可以通過大數(shù)據安全分析、人工智能檢測引擎的分析、信譽體系的分值計算模型及體量巨大的信譽名單庫等形成預置規(guī)則對客戶端采集到的數(shù)據進行安全檢測。例如，可以根據信譽庫形成黑白名單以區(qū)分日志信息中的文件種類是正常文件還是惡意文件，具體的檢測方式此處不做限定，若發(fā)現(xiàn)主機的日志信息或日志信息中記載的該主機中的相關數(shù)據信息中存在安全威脅，則云端平臺可以生成對應的安全威脅信息并通過安全管理平臺展示給用戶。

具體的，安全管理平臺可以將采集的日志信息中的部分或全部信息發(fā)送給云端平臺，或根據檢測需求重新采集所需的數(shù)據以進一步檢測，具體的此處不做限定。

進一步的，云端平臺可以將互聯(lián)網中經過驗證的安全檢測規(guī)則形成的規(guī)則庫實時更新到安全管理平臺，以提高安全管理平臺的檢測能力。

在上述圖2或圖3所示的實施例的基礎上，用戶可以通過采集日志信息的方式從多個主機中采集到對應的日志信息來檢測對應的主機上的安全隱患，但實際運用中，多數(shù)主機中存在一些常見的安全事件，例如針對主機中服務器的暴力破解攻擊、惡意文件的寫入等，這些安全事件需要實時防護或即時處理的，對此，需要在客戶端中根據用戶的需求設置預置的安全規(guī)則對主機中特定的安全事件進行實時防護或即時處理。請參閱圖4，本發(fā)明實施例中一種基于集中管理的主機的安全檢測方法的另一個實施例可包括：

401、安全管理平臺通過部署在不同主機上的客戶端分別收集對應主機的日志信息；

402、安全管理平臺解析日志信息并根據日志信息生成安全威脅信息并展示給用戶；

本實施例中的步驟401至402與上述圖2所示的實施例中的步驟201至202中描述的內容類似，此處不再贅述。

403、客戶端按照預置規(guī)則實時檢測對應的主機中是否發(fā)生預置安全事件；

實際運用中，主機需要實時防護一些常見的安全事件，對應的客戶端可以按照用戶的操作，在該用戶所屬的所有主機的客戶端合理設置需要實時自動檢測的安全事件的安全檢測規(guī)則及其處理規(guī)則作為預置規(guī)則，客戶端可以根據預置規(guī)則實時檢測對應的主機中是否發(fā)生預置安全事件，具體的安全檢測規(guī)則此處不做限定。

可以理解的是，本實施例中的步驟403及其后續(xù)步驟的實施順序可以是在上述步驟401至402之前、之后或同時執(zhí)行，具體的實施順序此處不做限定。

404、客戶端按照預置規(guī)則即時處理預置安全事件。

當客戶端根據預置規(guī)則檢測到預置安全事件時，客戶端可以按照用戶設置的預置規(guī)則即時處理該預置安全事件，具體的處理方式可以是自動隔離或刪除惡意文件、封堵該暴力破解攻擊的攻擊源的ip地址或者將預置安全事件的發(fā)生以安全日志的形式寫入日志信息，具體的此處不做限定。

具體的，例如，當客戶端按照預置規(guī)則實時監(jiān)測對應的主機中存在惡意文件時，客戶端可以自動隔離或刪除該惡意文件，例如，對于主機中的web服務器客戶端會自動發(fā)現(xiàn)web服務器根目錄，采用inotify技術實時監(jiān)控目錄，目錄中有文件變更時會掃描文件及時發(fā)現(xiàn)webshell惡意文件，通過配置可以自動隔離刪除惡意文件。例如，客戶端采用實時檢測本機的域名解析并有規(guī)則庫判斷是否為僵尸網絡行為，實時檢測僵尸網絡惡意文件，一旦檢測出惡意文件客戶端可以將事件詳情以日志的形式上報給安全管理平臺或自動隔離刪除惡意文件。

具體的，例如，當客戶端監(jiān)測對應的主機中存在暴力破解攻擊時，客戶端可以封堵該暴力破解攻擊的攻擊源的ip地址，以保護主機的安全。可選的，客戶端可以分析匯總主機的訪問日志，將此次暴力破解攻擊的詳細信息以威脅日志的形式上報給安全管理平臺。

在上述圖2或圖3或圖4所示的實施例的基礎上，用戶通過客戶端采集單一的主機的日志信息往往并不能準確的評估多個主機構成的整個數(shù)據中心的安全狀態(tài)及運行狀態(tài)，也無法為整個數(shù)據中心設置一些統(tǒng)一的安全規(guī)則，為解決這一問題需要客戶端將采集的日志信息對用戶安全可視化，具體的，請參閱圖5，本發(fā)明實施例中一種基于集中管理的主機的安全檢測方法的另一個實施例可包括：

501、安全管理平臺通過部署在不同主機上的客戶端分別收集對應主機的日志信息；

502、安全管理平臺解析日志信息并根據日志信息生成安全威脅信息并展示給用戶；

503、客戶端按照預置規(guī)則實時檢測對應的主機中是否發(fā)生預置安全事件；

504、客戶端按照預置規(guī)則即時處理預置安全事件；

本實施例中的步驟501至504中所描述的內容與圖4所示的實施例中的步驟401至404中所描述的內容類似，此處不做贅述。

505、安全管理平臺向用戶展示日志信息；

為了準確評估多個主機構成的數(shù)據中心的安全狀態(tài)或運行狀態(tài)，用戶可以合理設置客戶端采集的日志信息的信息種類，例如主機的硬件資產信息、操作系統(tǒng)信息、網絡連接信息，開放的服務端口信息，進程信息，網絡流量信息等可以反應主機的運行狀態(tài)或安全狀態(tài)的信息，客戶端可以根據用戶的設置將收集的各類日志做分析處理，向用戶展示暴力破解，惡意文件，非法訪問等事件、整個接入系統(tǒng)的流量可視圖。收集所有主機的暴露面，資產等信息。用戶可以通過登錄安全管理平臺可以查看所屬主機的安全事件，資產信息等。

進一步的，本實施例還可以包括：

506、安全管理平臺將安全策略發(fā)送給客戶端。

當用戶或安全管理平臺判定對應的主機中存在安全風險或已經發(fā)生安全事件時，安全管理平臺可以根據用戶的操作生成對應的安全策略，具體的安全策略隨安全漏洞或安全事件的變化而變化，此處不做限定。例如，該日志信息中記載客戶端在主機中檢測到某一類型的可疑文件，安全管理平臺可以配置該主機對應的安全策略為隔離或刪除該可疑文件；例如，該日志信息中記載主機中的服務器存在惡意ip的惡意訪問，則安全管理平臺可以配置該主機對應的安全策略為屏蔽該惡意ip對主機的再次訪問。

用戶針對安全威脅信息配置的安全策略可能是針對單獨的一臺主機，可能是針對一類主機或多類主機，安全管理平臺可以根據用戶的設置將安全策略發(fā)送給日志信息對應的目標主機的目標客戶端或發(fā)送給該用戶所屬的所有主機的客戶端具體此處不做限定。

例如，當有某一安全事件發(fā)生時，用戶需要所有主機配置針對該安全事件的防火墻規(guī)則時，可以直接在安全管理平臺配置防火墻規(guī)則并自動下發(fā)到對應所有主機，當該安全事件再次在該用戶所屬的任一主機上發(fā)生時，該主機可以按照防火墻規(guī)則自動處理對應的安全事件。

本發(fā)明實施例還提供了一種基于集中管理的主機的安全檢測系統(tǒng)，請參閱圖6，本發(fā)明實施例中一種基于集中管理的主機的安全檢測系統(tǒng)的一個實施例可包括：

安全管理平臺500及客戶端600，其中，

所述安全管理平臺500部署在用戶側本地網絡中，用于管理本地網絡中的多臺主機；

客戶端600部署在需要安全檢測的每一臺主機中，分別采集對應主機的日志信息并上傳至安全管理平臺500；

安全管理平臺500分別解析日志信息并根據日志信息生成安全威脅信息并展示給用戶。

本實施例中所示的基于集中管理的主機的安全檢測系統(tǒng)的具體功能與上述圖2所示的實施例中描述的內容類似，具體請參閱圖2所示的實施例，此處再贅述。

本實施例中，部署在多臺主機的客戶端可以分別采集對應主機的日志信息并上傳至安全管理平臺，該安全管理平臺可以解析日志信息并根據日志信息生成安全威脅信息并展示給用戶。即本發(fā)明實施例可以實時自動采集用戶的多臺主機的日志信息至安全管理平臺進行檢測，相對于主機運行殺毒軟件檢測自身數(shù)據并生成檢測報告，人工定期逐個提取報告文件的方式，無需人工逐一提取，提高了安全檢測的效率，同時減少了主機需要檢測的數(shù)據的量，節(jié)約了主機資源開銷，用戶可以通過安全管理平臺集中管理多臺主機，實時解析日志信息并生成對應的安全威脅信息，減小了安全事件處理過程中延時的可能性。

在圖5所示的實施例的基礎上，請參閱圖7，本發(fā)明實施例中的基于集中管理的主機的安全檢測系統(tǒng)，還可以包括：

云端平臺700，用于對所述安全管理平臺發(fā)送的數(shù)據進行安全檢測。

進一步的，該云端平臺700還用于向所述安全管理平臺發(fā)送用于檢測用戶側主機數(shù)據的規(guī)則庫。

本實施例中的基于集中管理的主機的安全檢測系統(tǒng)的具體功能與上述圖3所示的實施例中描述的內容類似，具體請參閱圖3所示的實施例，此處不做贅述。

在圖5至圖7所示的任一實施例的基礎上，請參閱圖8，圖8為本發(fā)明實施例中客戶端600的細化模塊示意圖，作為一種可能的實施方式，本實施例中的客戶端600可以進一步包括：

檢測模塊601，用于按照預置規(guī)則檢測主機中是否發(fā)生預置安全事件，并按照預置規(guī)則即時處理預置安全事件。

可選的，本實施例中的檢測模塊601還可以進一步包括：

第一檢測單元6011，用于按照預置規(guī)則實時監(jiān)測主機中是否存在惡意文件，若存在惡意文件則自動隔離或刪除惡意文件。

可選的，本實施例中的檢測模塊601還可以進一步包括：

第二檢測單元，用于監(jiān)測主機中是否存在暴力破解攻擊，若存在暴力破解攻擊則封堵暴力破解攻擊的攻擊源的ip地址。

本發(fā)明實施例中所示的基于集中管理的主機的安全檢測系統(tǒng)的具體功能及客戶端600的具體功能與上述圖4所示的實施例中描述的內容類似，具體請參閱圖4所示的實施例，此處再贅述。

在上述圖5至圖8所示的實施例的基礎上，請參閱圖9，圖9為本發(fā)明實施例中安全管理平臺500的細化模塊示意圖，作為一種可能的實施方式，本實施例中的日志信息可以包括主機的硬件資產信息、操作系統(tǒng)信息、網絡連接信息、主機開放的端口信息、進程信息、網絡流量信息以及安全日志信息中的一項或多項，具體可以根據用戶的需求進行合理設置，本實施例中安全管理平臺500可以進一步包括：

安全可視化模塊501，用于解析日志信息，并向用戶展示日志信息。

可選的，本實施例中的安全管理平臺500可以進一步包括：

安全策略模塊502，當用戶根據所述安全威脅信息配置對應的安全策略之后，所述安全管理平臺將所述安全策略發(fā)送給所述日志信息對應的目標主機的目標客戶端或發(fā)送給所述用戶所屬的所有主機的客戶端。

本實施例中，客戶端可以部署在用戶的多臺主機上，并分別采集對應主機的日志信息，客戶端可以根據檢測的需求選擇需要采集的主機相關信息作為日志信息的一部分上傳至安全管理平臺，最后，安全管理平臺將安全策略發(fā)送給日志信息對應的目標主機的目標客戶端并執(zhí)行該安全策略。具體的日志信息可疑根據檢測需求進行合理設置，例如，可以包括主機的硬件資產信息、操作系統(tǒng)信息、網絡連接信息，開放的服務端口信息，進程信息，網絡流量信息等可以反應主機的運行狀態(tài)或安全狀態(tài)的信息，具體此處不做限定。

可以理解的是，客戶端在向云平臺傳輸數(shù)據的過程中，可以根據用戶的需求進行加密或不進行加密，具體此處不做限定。

本實施例中，部署在多臺主機的客戶端可以分別采集對應主機的日志信息并上傳至安全管理平臺，該安全管理平臺可以解析日志信息并根據日志信息配置對應的安全策略，最后，安全管理平臺將安全策略發(fā)送給日志信息對應的目標主機的目標客戶端并執(zhí)行該安全策略。即本發(fā)明實施例可以實時自動采集用戶的多臺主機的日志信息至安全管理平臺，相對于主機運行殺毒軟件檢測自身數(shù)據并生成檢測報告，人工定期逐個提取報告文件的方式，無需人工逐一提取，提高了安全檢測的效率，同時減少了主機需要檢測的數(shù)據的量，節(jié)約了主機資源開銷，用戶可以通過安全管理平臺集中管理多臺主機，實時解析日志信息并生成對應的安全威脅信息，減小了安全事件處理過程中延時的可能性。

所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統(tǒng)，裝置和模塊的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。

在本申請所提供的幾個實施例中，應該理解到，所揭露的系統(tǒng)，裝置和方法，可以通過其它的方式實現(xiàn)。例如，以上所描述的裝置實施例僅僅是示意性的，例如，所述模塊的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，例如多個模塊或組件可以結合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或模塊的間接耦合或通信連接，可以是電性，機械或其它的形式。

所述作為分離部件說明的模塊可以是或者也可以不是物理上分開的，作為模塊顯示的部件可以是或者也可以不是物理模塊，即可以位于一個地方，或者也可以分布到多個網絡模塊上?？梢愿鶕嶋H的需要選擇其中的部分或者全部模塊來實現(xiàn)本實施例方案的目的。

另外，在本發(fā)明各個實施例中的各功能模塊可以集成在一個處理模塊中，也可以是各個模塊單獨物理存在，也可以兩個或兩個以上模塊集成在一個模塊中。上述集成的模塊既可以采用硬件的形式實現(xiàn)，也可以采用軟件功能模塊的形式實現(xiàn)。

所述集成的模塊如果以軟件功能模塊的形式實現(xiàn)并作為獨立的產品銷售或使用時，可以存儲在一個計算機可讀取存儲介質中?；谶@樣的理解，本發(fā)明的技術方案本質上或者說對現(xiàn)有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟件產品的形式體現(xiàn)出來，該計算機軟件產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，服務器，或者網絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括：u盤、移動硬盤、只讀存儲器(rom，read-onlymemory)、隨機存取存儲器(ram，randomaccessmemory)、磁碟或者光盤等各種可以存儲程序代碼的介質。

以上所述，以上實施例僅用以說明本發(fā)明的技術方案，而非對其限制；盡管參照前述實施例對本發(fā)明進行了詳細的說明，本領域的普通技術人員應當理解：其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分技術特征進行等同替換；而這些修改或者替換，并不使相應技術方案的本質脫離本發(fā)明各實施例技術方案的精神和范圍。