分布式系统的安全检测方法及系统 电子设备 存储介质与流程

本发明涉及信息安全技术领域，尤其是涉及一种分布式系统的安全检测方法及系统、电子设备、存储介质。

背景技术：

伴随着“震网”、乌克兰、委内瑞拉、阿根廷大停电等事件的发生，工业控制系统安全问题已经愈发突出。在dcs(distributedcontrolsystem，分布式控制系统)系统的各个dpu(distributedprocessingunit，分散处理单元)工作域中，稳定运行是追求的首要目标，因此dpu工作域在设计之初并没有考虑其安全问题。因此现有的分布式控制系统的安全性较差。

技术实现要素：

本发明主要解决的技术问题是提供一种分布式系统的安全检测方法及系统、电子设备、存储介质，能够对分布式系统的安全性进行有效的检测。

为解决上述技术问题，本发明采用的一个技术方案是：提供一种分布式系统的安全检测方法，分布式系统包括多个处理节点和安全增强节点，多个处理节点包括第一处理节点和第二处理节点，多个安全增强节点包括与所述第一处理节点对应的第一安全增强节点以及与所述第二节点对应的第二安全增强节点，所述安全检测方法包括：

所述第一处理节点产生源数据包，并将所述源数据包解析，得到多个检测数据；

所述第一处理节点将所述检测数据以及所述源数据包的负载数据发送给所述第一安全增强节点；

所述第一安全增强节点获取所述检测数据和所述负载数据，并判断所述检测数据是否在预设的白名单中以及所述源数据包的负载数据是否在预先指定的规则范围内；

若所述检测数据不在预设的白名单中，或者所述负载数据不在预先指定的规则范围内，，则确定所述分布式系统出现安全事件，并将所述检测数据发生到外部管理平台。

可选的，所述第一处理节点将所述检测数据以及所述源数据包的负载数据发送给所述第一安全增强节点的步骤进一步包括：

所述第一处理节点将所述检测数据以及所述源数据包的负载数据封装在一个ip数据包后发送给所述第一安全增强节点。

可选的，所述安全检测方法还包括：

若所述检测数据在预设的白名单中，以及所述负载数据在预先指定的规则范围内，则所述第一安全增强节点将所述负载数据进行加密；

所述第一处理节点将所述加密后的负载数据与所述检测数据进行封装得到封装数据包，并发送给所述第二处理节点；

所述第二处理节点解析所述封装数据包，得到所述检测数据及加密后的负载数据，并将所述检测数据发送到所述第二安全增强节点；

所述第二安全增强节点判断所述检测数据是否在预设的白名单内，若判断的结果为否，则确定所述分布式系统出现安全事件，并将所述检测数据发生到外部管理平台。

可选的，所述将所述检测数据发送到所述第二安全增强节点的步骤进一步包括：

将所述加密后的负载数据进一步发送到所述第二安全增强节点；

所述安全检测方法进一步包括：

若所述第二安全增强节点判断所述结果为是，则解密所述负载数据，并将解密后的负载数据发送到所述第二处理节点；

所述第二处理节点将解密后的负载数据与所述检测数据进行封装为数据包，并将封装后的数据包发送到交付操作系统进行正常处理。

可选的，所述第一安全增强节点将所述负载数据进行加密之前包括：

所述第一安全增强节点和所述第二安全增强节点通过协议确定密钥，以使得所述第一增强节点通过所述密钥对所述负载数据进行加密，以及所述第二增强节点通过所述密钥对所述加密后的负载数据进行解密。

可选的，所述第一安全增强节点和所述第二安全增强节点之间周期性的进行协议以更新所述密钥。

可选的，所述检测数据包括源ip地址、源端口、目的ip地址、目的端口。

为解决上述技术问题，本发明采用的另一个技术方案是：提供一种分布式系统的安全检测系统，所述分布式系统包括多个处理节点和安全增强节点，多个处理节点包括第一处理节点和第二处理节点，多个安全增强节点包括与所述第一处理节点对应的第一安全增强节点以及与所述第二节点对应的第二安全增强节点，所述安全检测方法包括：

所述第一处理节点产生源数据包，并将所述源数据包解析，得到多个检测数据；

所述第一处理节点将所述检测数据发送给所述第一安全增强节点；

所述第一安全增强节点获取所述检测数据，并判断所述检测数据是否在预设的白名单中；

在判断的结果为否时，确定所述分布式系统出现安全事件，并将所述检测数据发生到外部管理平台。

为解决上述技术问题，本发明采用的又一个技术方案是：提供一种电子设备，所述电子设备包括处理器和存储器，所述存储器存储有计算机程序用于所述处理器执行前文所述处理节点或所述安全增强节点的方法。

为解决上述技术问题，本发明采用的又一个技术方案是：提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序用于处理器执行前文所述处理节点或所述安全增强节点的方法。

本发明的有益效果是：区别于现有技术的情况，本发明提供一种分布式系统的安全检测方法及系统、电子设备、存储介质，其中，分布式系统包括多个处理节点和安全增强节点，多个处理节点包括第一处理节点和第二处理节点，多个安全增强节点包括与所述第一处理节点对应的第一安全增强节点以及与所述第二节点对应的第二安全增强节点，所述安全检测方法包括：所述第一处理节点产生源数据包，并将所述源数据包解析，得到多个检测数据；所述第一处理节点将所述检测数据以及所述源数据包的负载数据发送给所述第一安全增强节点；所述第一安全增强节点获取所述检测数据和所述负载数据，并判断所述检测数据是否在预设的白名单中以及所述源数据包的负载数据是否在预先指定的规则范围内；若所述检测数据不在预设的白名单中，或者所述负载数据不在预先指定的规则范围内，则确定所述分布式系统出现安全事件，并将所述检测数据发生到外部管理平台。

因此，本发明的安全检测方法在通过处理节点对接的外部节点-安全增强节点对处理节点发送的检测数据进行安全性检测，使得处理节点不需要改变现有系统软、硬件结构，也不会增大处理节点计算负荷和分布式系统中的网络负载。

附图说明

图1是本发明实施例提供的一种安全检测系统的结构示意图；

图2是本发明实施例提供的一种分布式系统的安全检测方法的流程示意图；

图3是本发明实施例提供的另一种分布式系统的安全检测方法的流程示意图；

图4是本发明实施例提供的又一种分布式系统的安全检测方法的流程示意图；

图5是本发明实施例提供的一种分布式系统的数据交互示意图；

图6是本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本发明将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。

此外，附图仅为本发明的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。需要说明的是，本发明中的实施例、实施方式及其技术特征在不冲突的情况下可以相互组合，且本发明中的步骤顺序仅用于举例，在不冲突的情况下，不对其具体顺序做限制。

请参阅图1，图1本发明实施例提供的一种安全检测系统的结构示意图。该安全检测系统10包括两部分，一部分是分布式系统11，一部分是分布式系统11外的安全增强节点集群12。安全检测系统10应用于所述分布式系统11的安全检测，所述分布式系统11包括多个处理节点，如图1所示，包括第一处理节点111、第二处理节点112、第三处理节点113、第四处理节点114以及第五处理节点115。在实际应用中，这些处理节点按照功能上分可分为dpu(分散处理单元)站点111和112、历史站点113、操作员站点114以及工程师站点115。dpu站点是一种集智能化、高可靠、低功耗以及硬件软件易升级等众多先进技术于一体的高性能控制单元，是分布式系统的核心。

本发明以下实施例将以该dpu站点(如图1中的第一处理节点111和第二处理节点112)为例介绍本发明的安全检测方法。应当理解的是，分布式系统的历史站点113、操作员站点114以及工程师站点115同样可应用本发明的以下实施例的安全检测方法。

安全增强节点集群12包括多个安全增强节点，如图1所示，包括第一安全增强节点121、第二安全增强节点122、第三安全增强节点123、第四安全增强节点124以及第五安全增强节点125。

每一安全增强节点可与一个处理节点对应，进行通信连接。如图1所示，第一处理节点111和第一安全增强节点121通信连接，第二处理节点112和第二安全增强节点122通信连接，第三处理节点113和第三安全增强节点123通信连接，第四处理节点114和第四安全增强节点124通信连接，第五处理节点115和第五安全增强节点125通信连接。

其中，分布式系统11中的处理节点通过总线进行通信连接。而安全增强集群12中的安全增强节点之间通过网络设备组成一个独立的通信网络。分布式系统11中的处理节点与安全增强集群中的安全增强节点通过usb进行通信连接。

应理解，本发明实施例的通信连接方式并不局限与上述列举的方式，任何通信连接方式都可以应用到本发明中。

在实际应用中，分布式系统11的处理节点将其检测数据发送给安全增强节点，通过安全增强节点来对检测数据进行安全性检测，由此可保证分布式系统的安全性能。具体的安全检测方法将在以下实施例中进行介绍。

首先请参阅图2，图2是本发明实施例提供的一种分布式系统的安全检测方法的流程示意图。其中，分布式系统的结构与通信关系如前文所述，如图2所示，本实施例的安全检测方法包括以下步骤：

步骤s10：所述第一处理节点产生源数据包，并将所述源数据包解析，得到多个检测数据。

其中，第一处理节点在此实施例中定义为产生源数据包的处理节点，其可为前文所述的分布式系统中的任一个处理节点。

解析数据包后得到的检测数据包括源ip地址、源端口、目的ip地址、目的端口。

步骤s20：所述第一处理节点将所述检测数据以及所述源数据包的负载数据发送给所述第一安全增强节点。

本步骤中，第一处理节点主要是通过usb接口将检测数据以及所述源数据包的负载数据发送给对应的第一安全增强节点。

步骤s30：所述第一安全增强节点获取所述检测数据和所述负载数据，并判断所述检测数据是否在预设的白名单中以及所述源数据包的负载数据是否在预先指定的规则范围内。

白名单是事先设置的，其规定了检测数据，即源ip地址、源端口、目的ip地址、目的端口的范围。本步骤具体是判断源ip地址、源端口、目的ip地址、目的端口是否在预设的范围内以及所述源数据包的负载数据是否在预先指定的规则范围内，如果检测数据不在预设的范围内，或者所述负载数据不在预先指定的规则范围内，则执行步骤s40，如果在预设的范围内，则执行步骤s50。

步骤s40：确定所述分布式系统出现安全事件，并将所述检测数据发生到外部管理平台。

步骤s50：通过与第二处理节点对应的第二安全增强节点验证检测数据。

因此，本发明通过第一处理节点对接的外部节点-第一安全增强节点对第一处理节点发送的检测数据进行安全性检测，使得第一处理节点不需要改变现有系统软、硬件结构，也不会增大第一处理节点计算负荷和分布式系统中的网络负载。

其中，在步骤s20中，第一处理节点将所述检测数据以及所述源数据包的负载数据封装在一个ip数据包后发送给所述第一安全增强节点。在步骤s30中判断到检测数据在预设范围内以及所述负载数据在预先指定的规则范围内时，执行以下步骤：

步骤s31：所述第一安全增强节点将所述负载数据进行加密。

其中，在加密前，所述第一安全增强节点和所述第二安全增强节点通过协议确定密钥。本步骤中，第一安全增强节点通过该协商的密钥对负载数据进行加密处理。

应理解，本实施例中，加密的方式可以为对称加密，也可以为非对称加密。

若加密方式为对称加密，则第一安全增强节点通过协商的密钥对负载数据进行加密处理。后续也是通过该密钥对负载数据进行解密处理。

若为非对称加密，则本次协商的结果将产生一个加密密钥和对应的一个解密密钥。第一安全增强节点通过该加密密钥对检测数据进行加密处理。后续第二安全增强节点(下文将进行介绍)将通过对应的解密密钥对负载数据进行解密处理。

可选的，所述第一安全增强节点和所述第二安全增强节点之间可周期性的进行协议以更新所述密钥。也可以仅在事件触发时再进行协商更新密钥。

步骤s32：所述第一处理节点将所述加密后的负载数据与所述检测数据进行封装得到封装数据包，并发送给所述第二处理节点。

步骤s33：所述第二处理节点解析所述封装数据包，得到所述检测数据及加密后的负载数据，并将所述检测数据发送到所述第二安全增强节点。

进一步的，将所述加密后的负载数据进一步发送到所述第二安全增强节点。

步骤s34：所述第二安全增强节点判断所述检测数据是否在预设的白名单内。具体判断方式如前文所述，在此不在赘述。

本步骤，若判断的结果为否，执行步骤s35，若判断的结果为是，则执行步骤s36。

步骤s35：确定所述分布式系统出现安全事件，并将所述检测数据发生到外部管理平台。

步骤s36：第二安全增强节点和第二处理节点将相关数据发送到交付操作系统进行正常处理。

请参阅图4，本步骤s36具体包括以下步骤：

s361：第二安全增强节点解密所述负载数据，并将解密后的负载数据发送到所述第二处理节点。

可选的，第二安全增强节点向第一安全增强节点请求解密负载数据，并获取解密的密钥，然后通过该密钥对该负载数据进行解密，并将解密后的负载数据发送到第二处理节点。

s362：所述第二处理节点将解密后的负载数据与所述检测数据进行封装为数据包，并将封装后的数据包发送到交付操作系统进行正常处理。

请再参阅图1，本发明的所述安全检测系统通过前文所述的安全检测方法，应用于所述分布式系统的安全检测。其中：

所述第一处理节点111产生源数据包，并将所述源数据包解析，得到多个检测数据。其中，本实施例中的第一处理节点111为产生源数据包的处理节点。

在实际应用中，并可为图1所示的分布系统中的任一处理节点。

所述第一处理节点111将所述检测数据发送给所述第一安全增强节点121；

所述第一安全增强节点121获取所述检测数据，并判断所述检测数据是否在预设的白名单中；

在判断的结果为否时，确定所述分布式系统出现安全事件，并将所述检测数据发生到外部管理平台。

具体的，可以图1所示的第一处理节点111和第二处理节点121为例子进行详细介绍其安全检测方案。请参阅图5，图5是安全检测系统的工作交互图。如图5所示，处理节点包括节点接口单元和网络数据处理单元，如第一处理节点111包括节点接口单元1111和网络数据处理单元1112，第二处理节点112包括节点接口单元1121和网络数据处理单元1122。网络数据处理单元1112和1122通过对netfilter(netfilter是linux2.4.x引入的一个子系统，它作为一个通用的、抽象的框架，提供一整套的hook函数的管理机制)设置nf_ip_local_in及nf_ip_local_out两个hook点实现对进出站点的网络数据包进行拦截、分析和处理。

安全增强节点包括域接口单元、网络通信单元、密钥管理单元、安全计算单元。如第一安全增强节点121包括域接口单元1211、网络通信单元1212、密钥管理单元1213、安全计算单元1214。第二安全增强节点122包括域接口单元1221、网络通信单元1222、密钥管理单元1223、安全计算单元1224。

域接口单元1211和1221通过usb接口与节点接口单元1111和1121通信连接，以进行交互数据。网络通信单元1212和1222通过连接网络交换设备与其他安全增强节点的实现独立组网通信。密钥管理单元1213和1223采用pki体系，通过独立网络实现密钥、证书的分配、更新；安全计算单元1214和1224用于对数据合法性进行判读和加解密计算。

具体工作流程如下：

s1：第一处理节点生成ip数据包p1，网络数据处理单元1112捕获数据包p1，解析数据包后，将其中源ip地址、源端口、目的ip地址、目的端口及数据包p1的负载数据m通过节点接口单元1111发送至第一安全增强节点121中的域接口单元1211；

s2：域接口单元1211正确接收数据后，将数据发送至安全计算单元1214，安全计算单元1214检查该ip数据包的源ip地址、源端口、目的ip地址、目的端口是否在白名单中以及所述源数据包的负载数据是否在预先指定的规则范围内，若不在白名单内，或者所述负载数据不在预先指定的规则范围内，则认定出现安全事件并将该数据报送网管；否则，通知密钥管理单元1213进行密钥协商；

s3：密钥管理单元1213与第二安全增强节点122中的密钥管理单元1223通过网络通信单元1212和1222建立通信，并协商会话密钥k；

s4：安全计算单元1214利用密钥k加密负载数据m，并通过域接口单元1211将密文sm发送至节点接口单元1111；

s5：节点接口单元1111正确接收数据sm后，将数据sm发送至网络数据处理单元1112，1112将数据包p1的负载数据m替换为数据sm并重新进行封装，生成ip数据报p1’，并将p1’通过域网络发送至第二处理节点112；

s6：第二处理节点112的网络数据处理单元1122捕获数据包p1’，解析数据包后，将其中源ip地址、源端口、目的ip地址、目的端口及数据包p1’的负载数据sm通过节点接口单元1121发送至第二安全增强节点122中的域接口单元1221；

s7：域接口单元1221正确接收数据后，将数据发送至安全计算单元1224，安全计算单元1224检查该ip数据包的源ip地址、源端口、目的ip地址、目的端口是否在白名单中，若不在白名单内，则认定出现安全事件并将该数据报送网管；否则，向密钥管理单元1223发送解密请求，获取密钥k；

s8：安全计算单元1224利用密钥k解密负载数据sm，并将生成的明文m通过域接口单元1221发送至节点接口单元1121；

s9：节点接口单元1121正确接收数据m后，将数据m发送至网络数据处理单元1122，1122将数据包p1’的负载数据sm替换为数据m并重新进行封装，生成ip数据报p1，并将p1交付操作系统进行正常处理。

下面参考图6来描述根据本发明的这种实施例的电子设备800。图6显示的电子设备800仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。电子设备800可为前文所述的主设备或者从设备。

如图6所示，电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于：上述至少一个处理单元810、上述至少一个存储单元820、连接不同系统组件(包括存储单元820和处理单元810)的总线830、显示单元840。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元810执行，使得所述处理单元810执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施例的步骤。例如，所述处理单元810可以执行如图2中所示的步骤s1：所述第一处理节点产生源数据包，并将所述源数据包解析，得到多个检测数据。步骤s2：所述第一处理节点将所述检测数据发送给所述第一安全增强节点。步骤s3：所述第一安全增强节点获取所述检测数据，并判断所述检测数据是否在预设的白名单中。步骤s4：确定所述分布式系统出现安全事件，并将所述检测数据发生到外部管理平台。步骤s5：通过与第二处理节点对应的第二安全增强节点验证检测数据。

存储单元820可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(ram)821和/或高速缓存存储单元822，还可以进一步包括只读存储单元(rom)823。

存储单元820还可以包括具有一组(至少一个)程序模块825的程序/实用工具824，这样的程序模块825包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线830可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备800也可以与一个或多个外部设备870(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备800交互的设备通信，和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口850进行。并且，电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器860通过总线830与电子设备800的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备800使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施例的描述，本领域的技术人员易于理解，这里描述的示例实施例可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本发明实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本发明实施例的方法。

在本发明的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施例中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施例的步骤。

用于实现上述方法的程序产品可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。

计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其他实施例。本发明旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限。

技术特征：

1.一种分布式系统的安全检测方法，其特征在于，所述分布式系统包括多个处理节点，多个处理节点包括第一处理节点和第二处理节点，所述第一处理节点与一个外部的第一安全增强节点对应，所述第二处理节点与一个外部的第二安全增强节点对应，所述安全检测方法包括：

所述第一处理节点产生源数据包，并将所述源数据包解析，得到多个检测数据；

所述第一处理节点将所述检测数据以及所述源数据包的负载数据发送给所述第一安全增强节点；

所述第一安全增强节点获取所述检测数据和所述负载数据，并判断所述检测数据是否在预设的白名单中以及所述源数据包的负载数据是否在预先指定的规则范围内；

若所述检测数据不在预设的白名单中，或者所述负载数据不在预先指定的规则范围内，，则确定所述分布式系统出现安全事件，并将所述检测数据发生到外部管理平台。

2.根据权利要求1所述的安全检测方法，其特征在于，所述第一处理节点将所述检测数据以及所述源数据包的负载数据发送给所述第一安全增强节点的步骤进一步包括：

所述第一处理节点将所述检测数据以及所述源数据包的负载数据封装在一个ip数据包后发送给所述第一安全增强节点。

3.根据权利要求1所述的安全检测方法，其特征在于，所述安全检测方法还包括：

若所述检测数据在预设的白名单中，以及所述负载数据在预先指定的规则范围内，则所述第一安全增强节点将所述负载数据进行加密；

所述第一处理节点将所述加密后的负载数据与所述检测数据进行封装得到封装数据包，并发送给所述第二处理节点；

所述第二处理节点解析所述封装数据包，得到所述检测数据及加密后的负载数据，并将所述检测数据发送到所述第二安全增强节点；

所述第二安全增强节点判断所述检测数据是否在预设的白名单内，若判断的结果为否，则确定所述分布式系统出现安全事件，并将所述检测数据发生到外部管理平台。

4.根据权利要求3所述的安全检测方法，其特征在于，所述将所述检测数据发送到所述第二安全增强节点的步骤进一步包括：

将所述加密后的负载数据进一步发送到所述第二安全增强节点；

所述安全检测方法进一步包括：

若所述第二安全增强节点判断所述结果为是，则解密所述负载数据，并将解密后的负载数据发送到所述第二处理节点；

所述第二处理节点将解密后的负载数据与所述检测数据进行封装为数据包，并将封装后的数据包发送到交付操作系统进行正常处理。

5.根据权利要求4所述的安全检测方法，其特征在于，所述第一安全增强节点将所述负载数据进行加密之前包括：

所述第一安全增强节点和所述第二安全增强节点通过协议确定密钥，以使得所述第一增强节点通过所述密钥对所述负载数据进行加密，以及所述第二增强节点通过所述密钥对所述加密后的负载数据进行解密。

6.根据权利要求5所述的安全检测方法，其特征在于，所述第一安全增强节点和所述第二安全增强节点之间周期性的进行协议以更新所述密钥。

7.根据权利要求1所述的安全检测方法，其特征在于，所述检测数据包括源ip地址、源端口、目的ip地址、目的端口。

8.一种安全检测系统，其特征在于，所述安全检测系统应用于所述分布式系统的安全检测，所述分布式系统包括多个处理节点，所述安全检测系统进一步包括多个安全增强节点，多个处理节点包括第一处理节点和第二处理节点，多个安全增强节点包括与所述第一处理节点对应的第一安全增强节点以及与所述第二节点对应的第二安全增强节点，其中：

所述第一处理节点产生源数据包，并将所述源数据包解析，得到多个检测数据；

所述第一处理节点将所述检测数据发送给所述第一安全增强节点；

所述第一安全增强节点获取所述检测数据，并判断所述检测数据是否在预设的白名单中；

在判断的结果为否时，确定所述分布式系统出现安全事件，并将所述检测数据发生到外部管理平台。

9.一种电子设备，其特征在于，所述电子设备包括处理器和存储器，所述存储器存储有计算机程序用于所述处理器执行所述权利要求1-7任一项中所述处理节点或所述安全增强节点的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序用于处理器执行所述权利要求1-7任一项中所述处理节点或所述安全增强节点的方法。

技术总结

本发明提供一种分布式系统的安全检测方法及系统、电子设备、存储介质，安全检测方法包括第一处理节点产生源数据包，并将源数据包解析，得到多个检测数据；第一处理节点将检测数据以及源数据包的负载数据发送给第一安全增强节点；第一安全增强节点获取检测数据和负载数据，并判断检测数据是否在预设的白名单中以及源数据包的负载数据是否在预先指定的规则范围内；若检测数据不在预设的白名单中，或者负载数据不在预先指定的规则范围内，则确定分布式系统出现安全事件，并将检测数据发生到外部管理平台。通过上述方式，使得处理节点不需要改变现有系统软、硬件结构，也不会增大处理节点计算负荷和分布式系统中的网络负载。

技术研发人员：不公告发明人

受保护的技术使用者：网御安全技术(深圳)有限公司

技术研发日：.10.28

技术公布日：.02.18