本發(fā)明涉及一種網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，特別是涉及一種用于遠程主機的安全檢查方法及裝置。

背景技術(shù)：

隨著信息化的全面普及和互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的快速發(fā)展，核心業(yè)務(wù)和數(shù)據(jù)已經(jīng)全面數(shù)字化，由此帶來的數(shù)據(jù)的價值成為黑客攻擊和入侵的動機，信息安全的保障已成為國家安全的組成部分，上升至國家戰(zhàn)略的高度。黑客入侵進入主機之后，會留下諸多痕跡和后門，針對主機進行常態(tài)化的安全檢查可提前發(fā)現(xiàn)這些入侵的痕跡和后門程序。全面的安全檢查是一個專業(yè)性強、工作量大的工作，目前都需要安全技術(shù)專家登錄至每臺主機上綜合運行多種工具進行分析，當(dāng)用戶擁有數(shù)十臺甚至更多主機需要安全檢查時，效率低下，并且在執(zhí)行安全檢查工作時需要在被檢查的主機上運行多種工具和程序，需要常駐在系統(tǒng)內(nèi)存，占用系統(tǒng)資源，影響業(yè)務(wù)性能，并且因兼容性等各方面的問題，可能會給被檢查的主機帶來安全隱患、導(dǎo)致主機藍屏死機、遺漏檢查等不穩(wěn)定現(xiàn)象發(fā)生，給用戶帶來業(yè)務(wù)風(fēng)險；另外，通過現(xiàn)有的掃描等常規(guī)技術(shù)手段無法滿足遠程對被檢查主機系統(tǒng)關(guān)鍵文件完整性、webshell木馬后門、可疑文件等的檢查。

技術(shù)實現(xiàn)要素：

鑒于以上所述現(xiàn)有技術(shù)的缺點，本發(fā)明的目的在于提供一種用于遠程主機的安全檢查方法及裝置，用于解決現(xiàn)有技術(shù)中需要在被檢查主機上安裝和運行多種工具、程序進行安全檢查，由此可能導(dǎo)致被檢查主機不穩(wěn)定現(xiàn)象產(chǎn)生，也可能給被檢查主機帶來安全隱患，并且現(xiàn)有的常規(guī)檢查技術(shù)無法滿足遠程對被檢查主機系統(tǒng)進行安全檢查的問題。

為實現(xiàn)上述目的及其他相關(guān)目的，本發(fā)明提供一種用于遠程主機的安全檢查方法，所述方法至少包括如下步驟：s1，遠程開啟被檢查主機的待檢查目錄的共享；s2，將被檢查主機的待檢查目錄映射掛載到檢查主機的虛擬磁盤中；s3，利用檢查主機上的安全檢查工具對掛載到檢查主機的虛擬磁盤中的待檢查目錄進行安全檢查；s4，記錄檢查結(jié)果，打包可疑文件；s5，取消被檢查主機的待檢查目錄的掛載，遠程關(guān)閉被檢查主機的待檢查目錄的共享。

優(yōu)選地，所述步驟s1具體包括如下步驟：s11，利用nmap工具進行網(wǎng)絡(luò)掃描，判斷被檢查主機的操作系統(tǒng)類型；s12，若被檢查主機為windows主機，利用wmic遠程開啟被檢查主機的待檢查目錄的共享；若被檢查主機為linux或unix主機，利用ssh遠程開啟被檢查主機的待檢查目錄的共享。

優(yōu)選地，所述待檢查目錄包括系統(tǒng)目錄和/或應(yīng)用程序目錄。

優(yōu)選地，若待檢查目錄同時包括系統(tǒng)目錄和應(yīng)用程序目錄，則系統(tǒng)目錄和應(yīng)用程序目錄分別被映射掛載到檢查主機的不同的虛擬磁盤中。

優(yōu)選地，所述步驟s3中的安全檢查包括對文件完整性、文件屬性、webshell木馬后門、可疑文件的檢查。

優(yōu)選地，所述步驟s4中的檢查結(jié)果與被檢查主機的待檢查目錄相對應(yīng)。

優(yōu)選地，所述步驟s5中，若被檢查主機為windows主機，利用wmic遠程關(guān)閉被檢查主機的待檢查目錄的共享；若被檢查主機為linux或unix主機，利用ssh遠程關(guān)閉被檢查主機的待檢查目錄的共享。

為實現(xiàn)上述目的及其他相關(guān)目的，本發(fā)明提供一種用于遠程主機的安全檢查裝置，所述裝置至少包括：遠程開啟模塊，用于遠程開啟被檢查主機的待檢查目錄的共享；掛載模塊，用于將被檢查主機的待檢查目錄映射掛載到檢查主機的虛擬磁盤中；安全檢查模塊，用于利用檢查主機上的安全檢查工具對掛載到檢查主機的虛擬磁盤中的待檢查目錄進行安全檢查；結(jié)果記錄模塊，用于記錄檢查結(jié)果，打包可疑文件；還原模塊，用于取消被檢查主機的待檢查目錄的掛載，遠程關(guān)閉被檢查主機的待檢查目錄的共享。

優(yōu)選地，所述遠程開啟模塊還包括：網(wǎng)絡(luò)掃描模塊，用于利用nmap工具進行網(wǎng)絡(luò)掃描，判斷被檢查主機的操作系統(tǒng)類型；開啟模塊，用于根據(jù)網(wǎng)絡(luò)掃描模塊所判斷的被檢查主機的操作系統(tǒng)類型，遠程開啟被檢查主機的待檢查目錄的共享，若被檢查主機為windows主機，利用wmic遠程開啟被檢查主機的待檢查目錄的共享，若被檢查主機為linux或unix主機，利用ssh遠程開啟被檢查主機的待檢查目錄的共享。

優(yōu)選地，若被檢查主機為windows主機，還原模塊利用wmic遠程關(guān)閉被檢查主機的待檢查目錄的共享；若被檢查主機為linux或unix主機，還原模塊利用ssh遠程關(guān)閉被檢查主機的待檢查目錄的共享。

如上所述，本發(fā)明的用于遠程主機的安全檢查方法及裝置，具有以下有益效果：本發(fā)明通過遠程開啟被檢查主機的待檢查目錄的共享，并利用掛載技術(shù)將被檢查主機的待檢查目錄映射掛載到檢查主機的虛擬磁盤中，利用檢查主機上的安全檢查工具對掛載到檢查主機的虛擬磁盤中的待檢查目錄進行安全檢查，一方面，無需在被檢查主機上安裝多種檢查用的工具或程序，規(guī)避了安裝多種工具或程序占用被檢查主機內(nèi)存、與被檢查主機存在兼容性問題，給被檢查主機系統(tǒng)帶來死機、藍屏等不穩(wěn)定問題以及潛在的安全隱患問題，另一方面，能夠?qū)崿F(xiàn)在本地主機上完成對遠程主機相應(yīng)目錄的文件完整性、webshell木馬后門、可疑文件等的安全檢查工作，工作效率高、操作簡便、應(yīng)用推廣性強。

附圖說明

圖1顯示為本發(fā)明的用于遠程主機的安全檢查方法及裝置的流程示意圖。

圖2顯示為本發(fā)明的用于遠程主機的安全檢查方法及裝置的檢查主機與被檢查主機連接關(guān)系示意圖。

圖3顯示為本發(fā)明的用于遠程主機的安全檢查方法及裝置的掛載示意圖。

圖4顯示為本發(fā)明的用于遠程主機的安全檢查方法及裝置的安全檢查裝置結(jié)構(gòu)示意圖。

具體實施方式

以下由特定的具體實施例說明本發(fā)明的實施方式，熟悉此技術(shù)的人士可由本說明書所揭露的內(nèi)容輕易地了解本發(fā)明的其他優(yōu)點及功效。

請參閱圖1至圖4。須知，本說明書所附圖式所繪示的結(jié)構(gòu)、比例、大小等，均僅用以配合說明書所揭示的內(nèi)容，以供熟悉此技術(shù)的人士了解與閱讀，并非用以限定本發(fā)明可實施的限定條件，故不具技術(shù)上的實質(zhì)意義，任何結(jié)構(gòu)的修飾、比例關(guān)系的改變或大小的調(diào)整，在不影響本發(fā)明所能產(chǎn)生的功效及所能達成的目的下，均應(yīng)仍落在本發(fā)明所揭示的技術(shù)內(nèi)容所能涵蓋的范圍內(nèi)。同時，本說明書中所引用的如“上”、“下”、“左”、“右”、“中間”及“一”等的用語，亦僅為便于敘述的明了，而非用以限定本發(fā)明可實施的范圍，其相對關(guān)系的改變或調(diào)整，在無實質(zhì)變更技術(shù)內(nèi)容下，當(dāng)亦視為本發(fā)明可實施的范疇。

如圖1-圖4所示，本發(fā)明提供一種用于遠程主機的安全檢查方法及裝置，如圖1所示，本發(fā)明提供的用于遠程主機的安全檢查方法，包括如下步驟：

s1，遠程開啟被檢查主機的待檢查目錄的共享；

s2，將被檢查主機的待檢查目錄映射掛載到檢查主機的虛擬磁盤中；

s3，利用檢查主機上的安全檢查工具對掛載到檢查主機的虛擬磁盤中的待檢查目錄進行安全檢查；

s4，記錄檢查結(jié)果，打包可疑文件；

s5，取消被檢查主機的待檢查目錄的掛載，遠程關(guān)閉被檢查主機的待檢查目錄的共享。

本發(fā)明通過遠程開啟被檢查主機的待檢查目錄的共享，并利用掛載技術(shù)將被檢查主機的待檢查目錄映射掛載到檢查主機的虛擬磁盤中，利用檢查主機上的安全檢查工具對掛載到檢查主機的虛擬磁盤中的待檢查目錄進行安全檢查，能夠?qū)崿F(xiàn)在本地主機上對遠程主機進行相應(yīng)的安全檢查，工作效率高、操作簡便，并且，運用掛載技術(shù)實現(xiàn)被檢查主機上待檢查目錄在檢查主機上的映射，只需在檢查主機上安裝檢查用的工具或程序，無需在被檢查主機上安裝多種檢查用的工具或程序，避免了因安裝多種工具或程序占用被檢查主機內(nèi)存、與被檢查主機存在兼容性問題，給被檢查主機系統(tǒng)帶來的死機、藍屏等不穩(wěn)定問題以及潛在的安全隱患問題。

其中，步驟s1具體包括如下步驟：

s11，利用nmap工具進行網(wǎng)絡(luò)掃描，判斷被檢查主機的操作系統(tǒng)類型；

s12，若被檢查主機為windows主機，利用wmic遠程開啟被檢查主機的待檢查目錄的共享；若被檢查主機為linux或unix主機，利用ssh遠程開啟被檢查主機的待檢查目錄的共享。

如圖4所示，本發(fā)明提供一種用于遠程主機的安全檢查裝置，至少包括：

遠程開啟模塊，用于遠程開啟被檢查主機的待檢查目錄的共享；

掛載模塊，用于將被檢查主機的待檢查目錄映射掛載到檢查主機的虛擬磁盤中；

安全檢查模塊，用于利用檢查主機上的安全檢查工具對掛載到檢查主機的虛擬磁盤中的待檢查目錄進行安全檢查；

結(jié)果記錄模塊，用于記錄檢查結(jié)果，打包可疑文件；

還原模塊，用于取消被檢查主機的待檢查目錄的掛載，遠程關(guān)閉被檢查主機的待檢查目錄的共享。

其中，遠程開啟模塊還包括：

網(wǎng)絡(luò)掃描模塊，用于利用nmap工具進行網(wǎng)絡(luò)掃描，判斷被檢查主機的操作系統(tǒng)類型；

開啟模塊，用于根據(jù)網(wǎng)絡(luò)掃描模塊所判斷的被檢查主機的操作系統(tǒng)類型，遠程開啟被檢查主機的待檢查目錄的共享，若被檢查主機為windows主機，利用wmic遠程開啟被檢查主機的待檢查目錄的共享，若被檢查主機為linux或unix主機，利用ssh遠程開啟被檢查主機的待檢查目錄的共享。

在安全檢查之前，需要用戶授權(quán)被檢查主機的安全檢查，并提供被檢查主機的ip地址、用戶名或賬號、密碼等基本信息。

步驟s11以及網(wǎng)絡(luò)掃描模塊中，利用nmap(networkmapper)工具進行網(wǎng)絡(luò)掃描，nmap采用tcp/ip協(xié)議棧fingerprinting進行遠程操作系統(tǒng)探測。nmap發(fā)送一系列tcp和udp報文到遠程被檢查主機，檢查響應(yīng)中的每一個比特。在進行一打測試如tcpisn采樣，tcp選項支持和排序，ipid采樣，和初始窗口大小檢查之后，nmap把結(jié)果和數(shù)據(jù)庫nmap-os-fingerprints中超過1500個已知的操作系統(tǒng)的fingerprints進行比較，如果有匹配，就打印出操作系統(tǒng)的詳細(xì)信息。其所使用的命令為：nmap-oip。

在步驟s12以及開啟模塊中，根據(jù)nmap所判斷出的被檢查主機的操作系統(tǒng)類型，遠程開啟被檢查主機的待檢查目錄的共享，對于windows主機，wmic(windowsmanagementinstrumentationcommandline)是windows系統(tǒng)自帶的功能命令，可遠程使用，在wmic遠程開啟被檢查主機的待檢查目錄共享時，需要用戶提供遠程被檢查主機的ip地址、用戶名、密碼等基本信息，而不需要在遠程被檢查主機上安裝任何的工具和軟件，被檢查主機中的待檢查目錄需要事先建立其與檢查主機的共享連接，之后，通過wmic能夠直接開啟待檢查目錄的共享。開啟待檢查目錄的wmic命令示例性如下：假設(shè)遠程主機ip為192.168.0.1，用戶名為：administrator，密碼為：123456，其待檢查目錄為“d:\webapp”，則遠程命令如下：wmic/node:192.168.0.1/user:administrator/password:123456sharecallcreate"","appsecuritydetect","","webapp","","d:\webapp"；亦可采用其他能夠?qū)崿F(xiàn)遠程開啟待檢查目錄的共享的命令語句。對于linux或unix主機，絕大部分linux或unix主機默認(rèn)情況下均安裝有ssh(secureshell)相關(guān)程序，可直接使用，同樣地，在ssh遠程開啟被檢查主機的待檢查目錄共享時，需要用戶提供遠程被檢查主機的ip地址、用戶名、密碼等基本信息；還需要linux或unix主機安裝有samba程序，samba主要用于局域網(wǎng)文件共享，被檢查主機中的待檢查目錄需要事先建立其與檢查主機的共享連接，之后，通過ssh能夠直接開啟待檢查目錄的共享。

步驟s1，通過在本地檢查主機上即可實現(xiàn)對被檢查主機的待檢查目錄的共享的遠程開啟，此時需要檢查主機能夠運行wmic和/或ssh命令。

步驟s2以及掛載模塊中運用掛載技術(shù)將被檢查主機的待檢查目錄映射到檢查主機的虛擬磁盤中，在遠程被檢查主機無需安裝任何檢查程序的前提下實現(xiàn)在本地對遠程被檢查主機相應(yīng)目錄文件的安全檢查工作，真正解決了現(xiàn)有技術(shù)中存在的在被檢查主機上安裝多種工具或程序占用被檢查主機內(nèi)存、與被檢查主機存在兼容性問題，給被檢查主機系統(tǒng)帶來的死機、藍屏等不穩(wěn)定問題以及潛在的安全隱患問題。

待檢查目錄包括系統(tǒng)目錄和/或應(yīng)用程序目錄，其中系統(tǒng)目錄為操作系統(tǒng)的文件，如驅(qū)動程序文件等，應(yīng)用程序目錄為應(yīng)用程序的文件，如網(wǎng)站應(yīng)用的后臺文件等。對這些文件的安全檢查包括文件完整性、文件屬性、webshell木馬后門、可疑文件等的檢查，能夠為發(fā)現(xiàn)主機入侵提供數(shù)據(jù)價值。

如圖3所示，若待檢查目錄同時包括系統(tǒng)目錄和應(yīng)用程序目錄，則系統(tǒng)目錄和應(yīng)用程序目錄分別被映射掛載到檢查主機的不同的虛擬磁盤中。圖3示例性地給出，對于兩個被檢查主機的系統(tǒng)目錄和應(yīng)用程序分別對應(yīng)映射掛載到檢查主機的w盤、x盤、y盤、z盤四個虛擬磁盤中。

步驟s3以及安全檢查模塊中，檢查主機上的安全檢查工具包括如webshell檢查功能模塊、文件完整性檢查功能模塊、系統(tǒng)信息采集功能模塊、可疑文件檢查功能模塊、文件屬性信息檢查功能模塊等，以實現(xiàn)對待檢查目錄的文件完整性、文件屬性、webshell木馬后門、可疑文件等的安全檢查。

步驟s4以及結(jié)果記錄模塊中，在記錄結(jié)果時，記錄遠程被檢查主機映射掛載的真實目錄，并將真實目錄與檢查結(jié)果對應(yīng)起來，即將檢查結(jié)果與被檢查主機的待檢查目錄相對應(yīng)，并打包可疑文件，這樣可方便查找與分析。

步驟s5以及還原模塊中，根據(jù)所判斷的被檢查主機的操作系統(tǒng)的類型，若被檢查主機為windows主機，利用wmic遠程關(guān)閉被檢查主機的待檢查目錄的共享；若被檢查主機為linux或unix主機，利用ssh遠程關(guān)閉被檢查主機的待檢查目錄的共享。以還原被檢查主機的狀態(tài)，確保安全。并且，在取消被檢查主機的待檢查目錄的掛載后，虛擬磁盤隨之消失，不會對檢查主機造成內(nèi)存占用的問題。

綜上所述，本發(fā)明通過遠程開啟被檢查主機的待檢查目錄的共享，并利用掛載技術(shù)將被檢查主機的待檢查目錄映射掛載到檢查主機的虛擬磁盤中，利用檢查主機上的安全檢查工具對掛載到檢查主機的虛擬磁盤中的待檢查目錄進行安全檢查，一方面，無需在被檢查主機上安裝多種檢查用的工具或程序，規(guī)避了安裝多種工具或程序占用被檢查主機內(nèi)存、與被檢查主機存在兼容性問題，給被檢查主機系統(tǒng)帶來死機、藍屏等不穩(wěn)定問題以及潛在的安全隱患問題，另一方面，能夠?qū)崿F(xiàn)在本地主機上完成對遠程主機相應(yīng)目錄的文件完整性、webshell木馬后門、可疑文件等的安全檢查工作，工作效率高、操作簡便、應(yīng)用推廣性強。

所以，本發(fā)明有效克服了現(xiàn)有技術(shù)中的種種缺點而具高度產(chǎn)業(yè)利用價值。

上述實施例僅例示性說明本發(fā)明的原理及其功效，而非用于限制本發(fā)明。任何熟悉此技術(shù)的人士皆可在不違背本發(fā)明的精神及范疇下，對上述實施例進行修飾或改變。因此，舉凡所屬技術(shù)領(lǐng)域中具有通常知識者在未脫離本發(fā)明所揭示的精神與技術(shù)思想下所完成的一切等效修飾或改變，仍應(yīng)由本發(fā)明的權(quán)利要求所涵蓋。