一种自动化阻断HIDS的方法与流程

本发明涉及网络安全的，尤其涉及一种自动化阻断hids的方法。
背景技术：
：：1、hids是一种安全工具，用于监控和检测主机上的恶意活动和入侵行为。它基于主机本身的日志、文件系统和系统调用等信息来分析和识别潜在的安全事件。hids可以在主机上运行并监控其内部的活动，以便及时发现潜在的入侵尝试、恶意软件感染或其他安全威胁。2、通常hids agent在客户端采集数据，然后通过网络设备将才加到的数据发送到服务端，服务端接收到数据后进行分析。如果发现存在疑似恶意行为，会进行告警，并通知运营人员进行安全应急处理。目前常规的阻断hids检测主要发生在主机层面，往往通过杀死hids进程，来阻断agent-server通信。但是这种阻断方式往往需要引入新的文件或者程序来进行阻断存在阻断不彻底，进程杀不干净的情况，导致被攻击者被发现，进而导致整个行动暴漏。技术实现思路1、本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。2、第一方面，为解决上述技术问题，本发明提供如下技术方案：3、一种自动化阻断hids的方法，具体包括以下步骤：4、s1、维护一份hids进程名单：维护一份hids应用程序名单列表，并对其进行编码为a进程、b进程、c进程；5、s2、运行程序在主机上搜索hids进程：运行程序，利用ps命令查询主机上运行的所有进程并与hids进程进行对比；6、s3、动态分析hids进程通讯地址和通讯端口：获取被发现的进程程序的通讯端口和通讯地址；7、s4、自动化阻断hids通讯。8、作为本发明所述一种自动化阻断hids的方法的一种优选方案，其中：所述s2具体包括如下步骤：9、s2.1、使用ps命令列出主机上的所有进程；10、s2.2、将进程和hids应用程序名单列表中的进程进行匹配；11、s2.3、若发现相同名称的进程，则保存进程号供下一步使用；12、s2.4、若未命中，则退出。13、作为本发明所述一种自动化阻断hids的方法的一种优选方案，其中：所述s3中获取通讯端口和通讯地址的具体方法包括如下：14、a、使用netstat命令netstat-nap|grep<进程id>；15、b、使用lsof命令lsof-p<进程id>-i；16、c、查看/proc文件系统，cd/proc/<进程id>/net/，cat tcp，cat udp进行查看。17、作为本发明所述一种自动化阻断hids的方法的一种优选方案，其中：所述s4中自动化阻断hids通讯的具体步骤包括：18、s4.1、将iptables拷贝到临时目录；19、s4.2、重新将iptables和参数封装为新型应用killhids；20、s4.3、然后运行killhids执行封禁。21、作为本发明所述一种自动化阻断hids的方法的一种优选方案，其中：所述s4.2中的参数具体包括进程号、程序路径、通讯地址，通讯端口和通讯协议。22、作为本发明所述一种自动化阻断hids的方法的一种优选方案，其中：所述s4.3中的封禁具体包括取消被发现进程的执行权限，同时阻断改程序的通讯。23、作为本发明所述一种自动化阻断hids的方法的一种优选方案，其中：所述s4.3中最终调用形态为./killhids，无其他任何额外参数。24、作为本发明所述一种自动化阻断hids的方法的一种优选方案，其中：所述s4.1中iptables是一个基于linux内核的防火墙工具，用于配置和管理网络数据包的过滤规则和网络地址转换。25、第二方面本发明提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述一种自动化阻断hids的方法的步骤。26、第三方面本发明提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述一种自动化阻断hids的方法的步骤。27、本发明的有益效果：28、1、通过将iptables和对应参数封装为新的应用，可以将通讯地址和端口从命令行中隐藏，变得更加隐蔽。通过是杀死hids进程，并且取消hids程序的执行权限，同时阻断网络通讯，三位一体进行阻断。29、2、使用iptables阻断通信不会占用额外的系统资源或增加系统负担。一旦规则设置完成，iptables在内核级别执行过滤，效率高且对系统性能的影响很小。30、3、通过iptables阻断通信，可以在系统级别对hids进行控制。这意味着无论是哪个用户在主机上运行hids，阻断规则对所有用户和进程都生效，提供了更强大的安全控制。31、4、iptables提供了丰富的规则选项和参数，允许管理员根据具体需求定制阻断规则。可以根据源ip地址、目标ip地址、协议类型、端口号等条件进行过滤，以达到精确的阻断效果。32、5、使用iptables阻断通信可以将安全控制集中在防火墙层面，与其他安全措施(如网络访问控制列表)相结合，实现统一的管理和维护。这样可以简化安全策略的管理，并提供一致的安全层面防护。技术特征：1.一种自动化阻断hids的方法，其特征在于：具体包括以下步骤：2.根据权利要求1所述的一种自动化阻断hids的方法，其特征在于：所述s2具体包括如下步骤：3.根据权利要求2所述的一种自动化阻断hids的方法，其特征在于：所述s3中获取通讯端口和通讯地址的具体方法包括如下：4.根据权利要求3所述的一种自动化阻断hids的方法，其特征在于：所述s4中自动化阻断hids通讯的具体步骤包括：5.根据权利要求4所述的一种自动化阻断hids的方法，其特征在于：所述s4.2中的参数具体包括进程号、程序路径、通讯地址，通讯端口和通讯协议。6.根据权利要求5所述的一种自动化阻断hids的方法，其特征在于：所述s4.3中的封禁具体包括取消被发现进程的执行权限，同时阻断改程序的通讯。7.根据权利要求6所述的一种自动化阻断hids的方法，其特征在于：所述s4.3中最终调用形态为./killhids，无其他任何额外参数。8.根据权利要求7所述的一种自动化阻断hids的方法，其特征在于：所述s4.1中iptables是一个基于linux内核的防火墙工具，用于配置和管理网络数据包的过滤规则和网络地址转换。9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于：所述处理器执行所述计算机程序时实现权利要求1～8任一所述的一种自动化阻断hids的方法的步骤。10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现权利要求1～8任一所述的一种自动化阻断hids的方法的步骤。技术总结本发明公开了一种自动化阻断HIDS的方法，具体包括以下步骤：S1、维护一份HIDS进程名单：维护一份HIDS应用程序名单列表，并对其进行编码为a进程、b进程、c进程；S2、运行程序在主机上搜索HIDS进程：运行程序，利用ps命令查询主机上运行的所有进程并与HIDS进程进行对比；S3、动态分析HIDS进程通讯地址和通讯端口：获取被发现的进程程序的通讯端口和通讯地址；S4、自动化阻断HIDS通讯。本发明通过将iptables和对应参数封装为新的应用，可以将通讯地址和端口从命令行中隐藏，变得更加隐蔽。通过是杀死hids进程，并且取消hids程序的执行权限，同时阻断网络通讯，三位一体进行阻断。技术研发人员：李浩,宋涧山,乔晨星,苟孟洛,王宇,王浩辰受保护的技术使用者：天翼云科技有限公司技术研发日：技术公布日：2024/10/24