[发明专利]安全监控方法、装置及系统

说明书

技术领域

本发明涉及通信及计算机技术领域，尤其涉及安全监控方法、装置及系统。

背景技术

随着网络技术的发展，信息安全成为整个互联网不可忽视的问题，目前信息安全事件层出不穷，而现有的安全监控技术和信息安全防护技术总是滞后于各类攻击手段的变化和发展。

对主机的入侵攻击，通常包括两种形式：在被攻击主机上执行系统攻击代码，或者建立到被攻击主机的网络连接通道并通过该通道入侵到主机。

现有的信息安全监控技术和信息安全防护技术，主要包括以下几类：病毒防护系统、网络防火墙、主机防火墙、入侵检测系统(Intrusion Detect System，IDS)、入侵防御系统(Intrusion Prevention System，IPS)等。

针对在被攻击主机上执行系统攻击代码的入侵方式，现有的信息安全防护技术中已被大规模应用的技术主要包括：基于恶意代码特征库的代码扫描技术、基于特征库的包过滤技术、基于规则的包过滤技术，此外还包括基于启发式过滤技术；现有技术中信息安全监控技术主要是通过对上述系统的相关日志进行分析来完成，实时性和准确性不能保证。

下面对现有技术中最为常用的三种安全技术进行描述：

1、基于特征码的安全技术

现有技术中，基于特征码的安全技术是在特征库中储存已出现的恶意代码的特征码，根据特征库判断新出现的代码是否为恶意代码，当检测出该代码的特征码与特征库中储存特征码相同时，则判断该代码为恶意代码，并对它进行及时的处理；当新出现的代码的特征码不在特征库中时，就检测不出该出现的代码是否为恶意代码，只有该恶意代码产生比较严重的后果时才会整理出该恶意代码的特征码，并将其保存到特征库中，并更新特征库中的信息。因此采用这类技术的安全产品其有效防护滞后期通常为1-2周以上。并且随着恶意代码的种类和数量不断增多，特征库实际上很难保证十分全面的收集恶意代码的特征码。

2、基于规则的安全技术

规则通常是人为设置的，因此基于规则的安全技术通常只能防御利用规则筛选出的恶意行为，而对那些潜伏在规则内的恶意行为则不能防御。由于设置的规则具有普遍性和强制性，因此采用基于规则的信息安全技术虽然可以抵制部分恶意行为，但也会对一些正常的应用程序产生影响。

3、基于启发式的安全技术

基于启发式的安全技术是为解决恶意代码不断变种等问题而提出的，但启发式安全技术应用了基于特征码和基于规则的安全技术，因此基于启发式安全技术也存在这着上述两种安全技术的缺点，只是程度不同。

目前为了防止在被攻击主机上执行系统攻击代码，大规模应用的安全系统通常是由上述三类技术综合而成的，因此现有技术存在着以下缺陷：一是攻击行为发现的滞后性；二是对新产生的攻击行为的不可预测性。由于这两个缺陷，使得当出现一种新的攻击行为时不能在第一时间发现并处理，并且没有行之有效的方法去及时控制或防御新的攻击行为。

针对建立到被攻击主机的网络连接通道并通过该通道入侵到主机，现有的主机防火墙采用基于主机进程网络访问策略的主机网络安全防护手段；网络防火墙采用基于源IP地址、目的IP地址、端口号、协议类型的网络安全防护手段；IDS采用基于网络数据包内容的网络安全监控手段；而IPS则是网络防火墙和IDS的结合的手段。

上述现有网络安全技术在很大程度上可以监护、防御来自主机和网络上的各类攻击行为。但是上述安全手段并不能实现绝对的安全，尤其由于新的攻击方式的不断出现，仅仅通过上述技术或者上述技术的简单组合不可能对一些新兴的、潜在的攻击行为进行完全有效的监控和防御。

因此现有技术面对通过网络连接进行的攻击行为的不可预测性，缺乏行之有效的方法去及时控制或防御。

发明内容

本发明提供一种安全监控的方法、装置及系统，以解决现有技术中对计算机设备上的非法对象的安全监控不及时与不准确的问题。

本发明提供以下技术方案：

一种安全监控方法，包括：

保存合法监控对象的特征信息；

在被监控设备上出现新的监控对象时，生成该新监控对象的特征信息；

比较新监控对象的特征信息与保存的合法监控对象的特征信息，根据比较结果确认新的监控对象是否安全。

一种主机安全监控装置，包括：

存储模块，用于保存合法监控对象的特征信息；

监控模块，用于在被监控设备上出现新的监控对象时，生成该新监控对象的特征信息；