[发明专利]一种用于远程主机的安全检查方法及装置

说明书

本发明提供一种用于远程主机的安全检查方法及装置，方法包括：S1，远程开启被检查主机的待检查目录的共享；S2，将被检查主机的待检查目录映射挂载到检查主机的虚拟磁盘中；S3，利用检查主机上的安全检查工具对挂载到检查主机的虚拟磁盘中的待检查目录进行安全检查；S4，记录检查结果，打包可疑文件；S5，取消被检查主机的待检查目录的挂载，远程关闭被检查主机的待检查目录的共享。本发明无需在被检查主机上安装多种检查用的工具或程序，规避了安装多种工具或程序占用被检查主机内存、与被检查主机存在兼容性问题，给被检查主机系统带来死机、蓝屏等不稳定问题以及潜在的安全隐患问题，能够在本地主机上完成对远程主机相应目录的安全检查工作。

技术领域

本发明涉及一种网络信息安全技术领域，特别是涉及一种用于远程主机的安全检查方法及装置。

背景技术

随着信息化的全面普及和互联网、移动互联网的快速发展，核心业务和数据已经全面数字化，由此带来的数据的价值成为黑客攻击和入侵的动机，信息安全的保障已成为国家安全的组成部分，上升至国家战略的高度。黑客入侵进入主机之后，会留下诸多痕迹和后门，针对主机进行常态化的安全检查可提前发现这些入侵的痕迹和后门程序。全面的安全检查是一个专业性强、工作量大的工作，目前都需要安全技术专家登录至每台主机上综合运行多种工具进行分析，当用户拥有数十台甚至更多主机需要安全检查时，效率低下，并且在执行安全检查工作时需要在被检查的主机上运行多种工具和程序，需要常驻在系统内存，占用系统资源，影响业务性能，并且因兼容性等各方面的问题，可能会给被检查的主机带来安全隐患、导致主机蓝屏死机、遗漏检查等不稳定现象发生，给用户带来业务风险；另外，通过现有的扫描等常规技术手段无法满足远程对被检查主机系统关键文件完整性、webshell木马后门、可疑文件等的检查。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种用于远程主机的安全检查方法及装置，用于解决现有技术中需要在被检查主机上安装和运行多种工具、程序进行安全检查，由此可能导致被检查主机不稳定现象产生，也可能给被检查主机带来安全隐患，并且现有的常规检查技术无法满足远程对被检查主机系统进行安全检查的问题。

为实现上述目的及其他相关目的，本发明提供一种用于远程主机的安全检查方法，所述方法至少包括如下步骤：S1，远程开启被检查主机的待检查目录的共享；S2，将被检查主机的待检查目录映射挂载到检查主机的虚拟磁盘中；S3，利用检查主机上的安全检查工具对挂载到检查主机的虚拟磁盘中的待检查目录进行安全检查；S4，记录检查结果，打包可疑文件；S5，取消被检查主机的待检查目录的挂载，远程关闭被检查主机的待检查目录的共享。

优选地，所述步骤S1具体包括如下步骤：S11，利用nmap工具进行网络扫描，判断被检查主机的操作系统类型；S12，若被检查主机为windows主机，利用WMIC远程开启被检查主机的待检查目录的共享；若被检查主机为Linux或UNIX主机，利用SSH远程开启被检查主机的待检查目录的共享。

优选地，所述待检查目录包括系统目录和/或应用程序目录。

优选地，若待检查目录同时包括系统目录和应用程序目录，则系统目录和应用程序目录分别被映射挂载到检查主机的不同的虚拟磁盘中。

优选地，所述步骤S3中的安全检查包括对文件完整性、文件属性、webshell木马后门、可疑文件的检查。

优选地，所述步骤S4中的检查结果与被检查主机的待检查目录相对应。

优选地，所述步骤S5中，若被检查主机为windows主机，利用WMIC远程关闭被检查主机的待检查目录的共享；若被检查主机为Linux或UNIX主机，利用SSH远程关闭被检查主机的待检查目录的共享。