技術領域

本發明涉及通信及計算機技術領域，尤其涉及安全監控方法、裝置及系統。

背景技術

隨著網絡技術的發展，信息安全成為整個互聯網不可忽視的問題，目前信息安全事件層出不窮，而現有的安全監控技術和信息安全防護技術總是滯后于各類攻擊手段的變化和發展。

對主機的入侵攻擊，通常包括兩種形式：在被攻擊主機上執行系統攻擊代碼，或者建立到被攻擊主機的網絡連接通道并通過該通道入侵到主機。

現有的信息安全監控技術和信息安全防護技術，主要包括以下幾類：病毒防護系統、網絡防火墻、主機防火墻、入侵檢測系統(Intrusion?Detect?System，IDS)、入侵防御系統(Intrusion?Prevention?System，IPS)等。

針對在被攻擊主機上執行系統攻擊代碼的入侵方式，現有的信息安全防護技術中已被大規模應用的技術主要包括：基于惡意代碼特征庫的代碼掃描技術、基于特征庫的包過濾技術、基于規則的包過濾技術，此外還包括基于啟發式過濾技術；現有技術中信息安全監控技術主要是通過對上述系統的相關日志進行分析來完成，實時性和準確性不能保證。

下面對現有技術中最為常用的三種安全技術進行描述：

1、基于特征碼的安全技術

現有技術中，基于特征碼的安全技術是在特征庫中儲存已出現的惡意代碼的特征碼，根據特征庫判斷新出現的代碼是否為惡意代碼，當檢測出該代碼的特征碼與特征庫中儲存特征碼相同時，則判斷該代碼為惡意代碼，并對它進行及時的處理；當新出現的代碼的特征碼不在特征庫中時，就檢測不出該出現的代碼是否為惡意代碼，只有該惡意代碼產生比較嚴重的后果時才會整理出該惡意代碼的特征碼，并將其保存到特征庫中，并更新特征庫中的信息。因此采用這類技術的安全產品其有效防護滯后期通常為1-2周以上。并且隨著惡意代碼的種類和數量不斷增多，特征庫實際上很難保證十分全面的收集惡意代碼的特征碼。

2、基于規則的安全技術

規則通常是人為設置的，因此基于規則的安全技術通常只能防御利用規則篩選出的惡意行為，而對那些潛伏在規則內的惡意行為則不能防御。由于設置的規則具有普遍性和強制性，因此采用基于規則的信息安全技術雖然可以抵制部分惡意行為，但也會對一些正常的應用程序產生影響。

3、基于啟發式的安全技術

基于啟發式的安全技術是為解決惡意代碼不斷變種等問題而提出的，但啟發式安全技術應用了基于特征碼和基于規則的安全技術，因此基于啟發式安全技術也存在這著上述兩種安全技術的缺點，只是程度不同。

目前為了防止在被攻擊主機上執行系統攻擊代碼，大規模應用的安全系統通常是由上述三類技術綜合而成的，因此現有技術存在著以下缺陷：一是攻擊行為發現的滯后性；二是對新產生的攻擊行為的不可預測性。由于這兩個缺陷，使得當出現一種新的攻擊行為時不能在第一時間發現并處理，并且沒有行之有效的方法去及時控制或防御新的攻擊行為。

針對建立到被攻擊主機的網絡連接通道并通過該通道入侵到主機，現有的主機防火墻采用基于主機進程網絡訪問策略的主機網絡安全防護手段；網絡防火墻采用基于源IP地址、目的IP地址、端口號、協議類型的網絡安全防護手段；IDS采用基于網絡數據包內容的網絡安全監控手段；而IPS則是網絡防火墻和IDS的結合的手段。

上述現有網絡安全技術在很大程度上可以監護、防御來自主機和網絡上的各類攻擊行為。但是上述安全手段并不能實現絕對的安全，尤其由于新的攻擊方式的不斷出現，僅僅通過上述技術或者上述技術的簡單組合不可能對一些新興的、潛在的攻擊行為進行完全有效的監控和防御。

因此現有技術面對通過網絡連接進行的攻擊行為的不可預測性，缺乏行之有效的方法去及時控制或防御。

發明內容

本發明提供一種安全監控的方法、裝置及系統，以解決現有技術中對計算機設備上的非法對象的安全監控不及時與不準確的問題。

本發明提供以下技術方案：

一種安全監控方法，包括：

保存合法監控對象的特征信息；

在被監控設備上出現新的監控對象時，生成該新監控對象的特征信息；

比較新監控對象的特征信息與保存的合法監控對象的特征信息，根據比較結果確認新的監控對象是否安全。

一種主機安全監控裝置，包括：

存儲模塊，用于保存合法監控對象的特征信息；

監控模塊，用于在被監控設備上出現新的監控對象時，生成該新監控對象的特征信息；