CN105825124A - 一种服务器非法操作的监测方法和监测系统 - Google Patents
一种服务器非法操作的监测方法和监测系统 Download PDFInfo
- Publication number
- CN105825124A CN105825124A CN201510004406.1A CN201510004406A CN105825124A CN 105825124 A CN105825124 A CN 105825124A CN 201510004406 A CN201510004406 A CN 201510004406A CN 105825124 A CN105825124 A CN 105825124A
- Authority
- CN
- China
- Prior art keywords
- information
- real
- time
- monitored server
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种服务器非法操作的监测方法和监测系统,以解决现有技术的安全策略并不能有效的对服务器的非法操作进行监测的问题。所述监测方法,包括:周期性获取被监测服务器的实时进程信息和实时文件信息;根据规则库中的预存进程信息和预存文件信息对获取的所述被监测服务器的所述实时进程信息和实时文件信息进行校验,根据校验结果确定所述被监测服务器是否存在非法操作;当确定所述被监测服务器存在非法操作,根据所述校验结果生成报警信息后发送。
Description
技术领域
本发明涉及通信领域,尤其涉及一种服务器非法操作的监测方法和监测系统。
背景技术
服务器中运行着重要的进程且存放有大量重要的数据,如果被非法破坏,将会造成巨大的损失。因此,保证服务器的安全和稳定运行是至关重要的。
现有技术的安全策略中,主要采用如下方式防止对服务器中数据的非法破坏:
(1)在服务器上配置安全策略,对不同用户账号赋予不同的权限,从而使外部入侵者无法取得对数据的修改、删除等操作的权限。但是该方式无法监测已经具有了管理员权限的人员对服务器中数据执行非法操作。
(2)在服务器上安装杀毒软件,防止非法外部入侵。但是由于杀毒软件只能阻止具有病毒性质的恶意程序,而外部入侵者在服务器上执行的程序本身可能是一个正常的程序,只是被用于非法目的,因此常规意义上的安全软件不能识别其危害性。
由此,现有技术的安全策略并不能有效的对服务器的非法操作进行监测,存在较大的安全隐患。
发明内容
本发明的目的是提供一种服务器非法操作的监测方法和监测系统,以解决现有技术的安全策略并不能有效的对服务器的非法操作进行监测的问题。
本发明的目的是通过以下技术方案实现的:
本发明实施例提供一种服务器非法操作的监测方法,包括:
周期性获取被监测服务器的实时进程信息和实时文件信息;
根据规则库中的预存进程信息和预存文件信息对获取的所述被监测服务器的所述实时进程信息和实时文件信息进行校验,根据校验结果确定所述被监测服务器是否存在非法操作;
当确定所述被监测服务器存在非法操作,根据所述校验结果生成报警信息后发送。
本发明实施例有益效果如下:利用预存的所述被监测服务器的进程信息和文件信息,对采集所述被监测服务器的进程信息和文件信息进行校验,识别被监测服务器中是否存在可疑进程、正常进程是否被修改或文件是否被非法篡改,进而确定所述被监测服务器是否存在非法操作,实现有效的对服务器的非法操作进行监测。
本发明实施例提供一种服务器非法操作的监测系统,包括:
获取单元,用于周期性获取被监测服务器的实时进程信息和实时文件信息;
处理单元,用于根据规则库中的预存进程信息和预存文件信息对获取的所述被监测服务器的所述实时进程信息和实时文件信息进行校验,根据校验结果确定所述被监测服务器是否存在非法操作;
报警单元,用于当确定所述被监测服务器存在非法操作,根据所述校验结果生成报警信息后发送。
本发明实施例有益效果如下:利用预存的所述被监测服务器的进程信息和文件信息,对采集所述被监测服务器的进程信息和文件信息进行校验,识别被监测服务器中是否存在可疑进程、正常进程是否被修改或文件是否被非法篡改,进而确定所述被监测服务器是否存在非法操作,实现有效的对服务器的非法操作进行监测。
附图说明
图1为本发明实施例提供的一种服务器非法操作的监测方法的流程图;
图2为本发明实施例提供的另一种服务器非法操作的监测方法的流程图;
图3为本发明实施例提供的一种服务器非法操作的监测系统的方框图。
具体实施方式
下面结合说明书附图对本发明实施例的实现过程进行详细说明。需要注意的是,自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
参见图1,本发明实施例提供一种服务器非法操作的监测方法,包括:
101,周期性获取被监测服务器的实时进程信息和实时文件信息。
可以通过多种方式连接被监测服务器,并通过通过定期轮询或定时轮询,周期性的获取所述被监测服务器的实时进程信息和实时文件信息。
例如,通过安全外壳协议(SecureShell,SSH)服务连接到所述被监测服务器,SSH服务是专为远程登录会话和其他网络服务提供安全性的协议,可以有效防止远程管理过程中的信息泄露问题,同时也不需要额外安装获取信息的插件,占用资源很小。连接到所述被监测服务器后,利用应用编程接口(ApplicationProgrammingInterface,API)获取所述被监测服务器的所述实时进程信息和所述实时文件信息。本实施例中,所述实时进程信息和所述预存进程信息包括进程标识、进程名称、进程运行路径、进程启动参数、进程类型和进程运行状态中的至少一种,所述实时文件信息和所述预存文件信息包括文件内容、及文件名称、文件大小、创建时间、修改时间和访问时间中的至少一种。
102,根据规则库中的预存进程信息和预存文件信息对获取的所述被监测服务器的所述实时进程信息和实时文件信息进行校验,根据校验结果确定所述被监测服务器是否存在非法操作。
具体的,根据所述规则库中的所述预存进程信息与取的所述被监测服务器的所述实时进程信息进行进程信息对比,以及,将根据所述规则库中的所述预存文件信息生成的校验码和根据获取的所述被监测服务器的实时文件信息生成的校验码进行校验码对比,若进程信息对比和校验码对比的结果均相符,则确定所述校验结果为所述被监测服务正常,若程信息对比或校验码对比的结果不相符,则确定所述检验结果为所述被监测服务存在非法操作。
优选的,所述校验码包括MD5值、安全哈希算法SHA1值和循环冗余校验CRC32值中的至少一种。例如,所述检验码为MD5值,根据获取的所述被监测服务器的所述实时文件信息的文件内容和其它的内容(例如文件名称、文件大小、创建时间、修改时间和访问时间中的任意组合)的二进制字节流生成MD5值,根据所述预存文件信息的文件内容和其它的内容的二进制字节流生成MD5值,进而比较MD5值是否相同,若相同,则确定所述被监测服务器上的文件未被非法操作,若不相同,则确定所述被监测服务器上的文件被非法操作。对于SHA1值和CRC32值也可以采用与MD5值相似的方法实现,在此不再赘述。本实施例中,非法操作可以理解为非法篡改,使原文件的性质发生改变。当然,本实施例也可以应用于所述被监测服务器上的文件被非法删除,或者在所述被监测服务器上增加非法文件的情形,在该情形中,获取的所述实时文件信息和所述预存文件信息必然不同,因此更容易实现。
103,当确定所述被监测服务器存在非法操作,根据所述校验结果生成报警信息后发送。
优选的,所述当确定所述被监测服务器存在非法操作,根据所述校验结果生成电子邮件或短信后发送。该发送过程可以由无线网络实现,也可以由所述被监测服务器所在的网络实现。
参见图2,为了使得监测的结果更准确,在本实施例提供的另一种服务器非法操作的监测方法中,在周期性获取被监测服务器的实时进程信息和实时文件信息之前有必要进行如下工作:
100,将所述被监测服务器正常状态下的进程信息和文件信息分别作为所述预存进程信息和所述预存文件信息保存在所述规则库中。需要说明的是,可以根据不同的需要,选择获取进程的具体名称、文件的具体名称,例如仅监测所述被监测服务器中较重要的进程和较重要的系统文件,从而使对所述监测服务器非法操作的监测更准确和具有更高效率。
本发明实施例有益效果如下:利用预存的所述被监测服务器的进程信息和文件信息,对采集所述被监测服务器的进程信息和文件信息进行校验,识别被监测服务器中是否存在可疑进程、正常进程是否被修改或文件是否被非法篡改,进而确定所述被监测服务器是否存在非法操作,实现有效的对服务器的非法操作进行监测。
参见图3,本发明实施例提供一种服务器非法操作的监测系统,包括:
获取单元301,用于周期性获取被监测服务器的实时进程信息和实时文件信息。具体的,该获取单元301,用于通过安全外壳协议SSH服务连接到所述被监测服务器,利用应用编程接口API周期性获取所述被监测服务器的所述实时进程信息和所述实时文件信息;其中,所述实时进程信息包括进程标识、进程名称、进程运行路径、进程启动参数、进程类型和进程运行状态中的至少一种,所述实时文件信息包括文件内容、及文件名称、文件大小、创建时间、修改时间和访问时间中的至少一种。
安全外壳协议(SecureShell,SSH)服务是专为远程登录会话和其他网络服务提供安全性的协议,可以有效防止远程管理过程中的信息泄露问题,同时也不需要额外安装获取信息的插件,占用资源很小。通过SSH服务连接到所述被监测服务器,能够确保获取过程的安全,之后利用应用编程接口(ApplicationProgrammingInterface,API)获取所述被监测服务器的所述实时进程信息和所述实时文件信息,作为确定所述监测服务器是否存在非法操作的条件。
处理单元302,用于根据规则库中的预存进程信息和预存文件信息对获取的所述被监测服务器的所述实时进程信息和实时文件信息进行校验,根据校验结果确定所述被监测服务器是否存在非法操作。具体的,处理单元302用于根据所述规则库中的所述预存进程信息与取的所述被监测服务器的所述实时进程信息进行进程信息对比,以及,将根据所述规则库中的所述预存文件信息生成的校验码和根据获取的所述被监测服务器的实时文件信息生成的校验码进行校验码对比,若进程信息对比和校验码对比的结果均相符,则确定所述校验结果为所述被监测服务正常,若程信息对比或校验码对比的结果不相符,则确定所述检验结果为所述被监测服务存在非法操作。
优选的,所述校验码包括MD5值、安全哈希算法SHA1值和循环冗余校验CRC32值中的至少一种。例如,所述检验码为MD5值,根据获取的所述被监测服务器的所述实时文件信息的文件内容和其它的内容(例如文件名称、文件大小、创建时间、修改时间和访问时间中的任意组合)的二进制字节流生成MD5值,根据所述预存文件信息的文件内容和其它的内容的二进制字节流生成MD5值,进而比较MD5值是否相同,若相同,则确定所述被监测服务器上的文件未被非法操作,若不相同,则确定所述被监测服务器上的文件被非法操作。对于SHA1值和CRC32值也可以采用与MD5值相似的方法实现,在此不再赘述。本实施例中,非法操作可以理解为非法篡改,使原文件的性质发生改变。当然,本实施例也可以应用于所述被监测服务器上的文件被非法删除,或者在所述被监测服务器上增加非法文件的情形,在该情形中,获取的所述实时文件信息和所述预存文件信息必然不同,因此更容易实现。
报警单元303,用于当确定所述被监测服务器存在非法操作,根据所述校验结果生成报警信息后发送。例如,根据所述校验结果生成电子邮件或短信后发送。
优选的,还包括存储单元300,用于将所述被监测服务器正常状态下的进程信息和文件信息分别作为所述预存进程信息和所述预存文件信息保存在所述规则库中。
本发明实施例有益效果如下:利用预存的所述被监测服务器的进程信息和文件信息,对采集所述被监测服务器的进程信息和文件信息进行校验,识别被监测服务器中是否存在可疑进程、正常进程是否被修改或文件是否被非法篡改,进而确定所述被监测服务器是否存在非法操作,实现有效的对服务器的非法操作进行监测。
需要说明的是,本发明实施例中的服务器非法操作的监测方法可以由用于监测的服务器实施,也可以由用于管理维护的主机实施,相应的,监测系统的各个单元部署于用于监测的服务器或用于管理维护的主机上。用于监测的服务器或用于管理维护的主机由内网与各所述被监测服务器实现互联,并通过SSH服务连接至各所述被监测服务器,获取所述被监测服务器的实时进程信息和实时文件信息并进行校验,从而确定所述被监测服务器是否存在非法操作。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种服务器非法操作的监测方法,其特征在于,包括:
周期性获取被监测服务器的实时进程信息和实时文件信息;
根据规则库中的预存进程信息和预存文件信息对获取的所述被监测服务器的所述实时进程信息和实时文件信息进行校验,根据校验结果确定所述被监测服务器是否存在非法操作;
当确定所述被监测服务器存在非法操作,根据所述校验结果生成报警信息后发送。
2.如权利要求1所述的监测方法,其特征在于,所述周期性获取被监测服务器的实时进程信息和实时文件信息之前,还包括:
将所述被监测服务器正常状态下的进程信息和文件信息分别作为所述预存进程信息和所述预存文件信息保存在所述规则库中。
3.如权利要求2所述的监测方法,其特征在于,所述周期性获取被监测服务器的实时进程信息和实时文件信息,具体为:
通过安全外壳协议SSH服务连接到所述被监测服务器,利用应用编程接口API周期性获取所述被监测服务器的所述实时进程信息和所述实时文件信息;其中,所述实时进程信息和所述预存进程信息包括进程标识、进程名称、进程运行路径、进程启动参数、进程类型和进程运行状态中的至少一种,所述实时文件信息和所述预存文件信息包括文件内容、及文件名称、文件大小、创建时间、修改时间和访问时间中的至少一种。
4.如权利要求3所述的监测方法,其特征在于,所述根据所述规则库中的所述预存进程信息和所述预存文件信息对获取的所述被监测服务器的所述实时进程信息和实时文件信息进行校验,根据校验结果确定所述被监测服务器是否存在非法操作,具体为:
根据所述规则库中的所述预存进程信息与取的所述被监测服务器的所述实时进程信息进行进程信息对比,以及,将根据所述规则库中的所述预存文件信息生成的校验码和根据获取的所述被监测服务器的实时文件信息生成的校验码进行校验码对比,若进程信息对比和校验码对比的结果均相符,则确定所述校验结果为所述被监测服务正常,若程信息对比或校验码对比的结果不相符,则确定所述检验结果为所述被监测服务存在非法操作。
5.如权利要求4所述的监测方法,其特征在于,所述校验码包括MD5值、SHA1值和CRC32值中的至少一种。
6.如权利要求1所述的监测方法,其特征在于,所述当确定所述被监测服务器存在非法操作,根据所述校验结果生成报警信息后发送,具体为:
根据所述校验结果生成电子邮件或短信后发送。
7.一种服务器非法操作的监测系统,其特征在于,包括:
获取单元,用于周期性获取被监测服务器的实时进程信息和实时文件信息;
处理单元,用于根据规则库中的预存进程信息和预存文件信息对获取的所述被监测服务器的所述实时进程信息和实时文件信息进行校验,根据校验结果确定所述被监测服务器是否存在非法操作;
报警单元,用于当确定所述被监测服务器存在非法操作,根据所述校验结果生成报警信息后发送。
8.如权利要求7所述的监测系统,其特征在于,还包括存储单元,用于将所述被监测服务器正常状态下的进程信息和文件信息分别作为所述预存进程信息和所述预存文件信息保存在所述规则库中。
9.如权利要求8所述的监测系统,其特征在于,所述获取单元,具体用于:
通过安全外壳协议SSH服务连接到所述被监测服务器,利用应用编程接口API周期性获取所述被监测服务器的所述实时进程信息和所述实时文件信息;其中,所述实时进程信息和所述预存进程信息包括进程标识、进程名称、进程运行路径、进程启动参数、进程类型和进程运行状态中的至少一种,所述实时文件信息和所述预存文件信息包括文件内容、及文件名称、文件大小、创建时间、修改时间和访问时间中的至少一种。
10.如权利要求9所述的监测系统,其特征在于,所述处理单元,具体用于:
根据所述规则库中的所述预存进程信息与取的所述被监测服务器的所述实时进程信息进行进程信息对比,以及,将根据所述规则库中的所述预存文件信息生成的校验码和根据获取的所述被监测服务器的实时文件信息生成的校验码进行校验码对比,若进程信息对比和校验码对比的结果均相符,则确定所述校验结果为所述被监测服务正常,若程信息对比或校验码对比的结果不相符,则确定所述检验结果为所述被监测服务存在非法操作。
11.如权利要求10所述的监测系统,其特征在于,所述校验码包括MD5值、SHA1值和CRC32值中的至少一种。
12.如权利要求7所述的监测系统,其特征在于,所述报警单元,具体用于:
根据所述校验结果生成电子邮件或短信后发送。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510004406.1A CN105825124A (zh) | 2015-01-06 | 2015-01-06 | 一种服务器非法操作的监测方法和监测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510004406.1A CN105825124A (zh) | 2015-01-06 | 2015-01-06 | 一种服务器非法操作的监测方法和监测系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105825124A true CN105825124A (zh) | 2016-08-03 |
Family
ID=56513646
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510004406.1A Pending CN105825124A (zh) | 2015-01-06 | 2015-01-06 | 一种服务器非法操作的监测方法和监测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105825124A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108460279A (zh) * | 2018-03-12 | 2018-08-28 | 北京知道创宇信息技术有限公司 | 攻击识别方法、装置及计算机可读存储介质 |
| CN109753417A (zh) * | 2018-12-17 | 2019-05-14 | 新视家科技(北京)有限公司 | 异常进程管理方法及其装置、电子设备、计算机可读介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719846A (zh) * | 2008-10-09 | 2010-06-02 | 中国移动通信集团天津有限公司 | 安全监控方法、装置及系统 |
| CN101877618A (zh) * | 2010-06-30 | 2010-11-03 | 中兴通讯股份有限公司 | 基于无代理方式进行监控的方法、服务器及系统 |
| CN102082836A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
| WO2011111124A1 (ja) * | 2010-03-10 | 2011-09-15 | 株式会社日立製作所 | 不正操作検知システム及び不正操作検知方法 |
| CN102347874A (zh) * | 2011-11-10 | 2012-02-08 | 百度在线网络技术(北京)有限公司 | ftp和ssh服务监控方法及系统 |
| CN102480396A (zh) * | 2010-11-30 | 2012-05-30 | 英业达股份有限公司 | 一种服务器系统及其连接方法 |
| CN102801699A (zh) * | 2011-12-28 | 2012-11-28 | 北京安天电子设备有限公司 | 防止服务器数据篡改的系统、方法及设备 |
-
2015
- 2015-01-06 CN CN201510004406.1A patent/CN105825124A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719846A (zh) * | 2008-10-09 | 2010-06-02 | 中国移动通信集团天津有限公司 | 安全监控方法、装置及系统 |
| CN102082836A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
| WO2011111124A1 (ja) * | 2010-03-10 | 2011-09-15 | 株式会社日立製作所 | 不正操作検知システム及び不正操作検知方法 |
| CN101877618A (zh) * | 2010-06-30 | 2010-11-03 | 中兴通讯股份有限公司 | 基于无代理方式进行监控的方法、服务器及系统 |
| CN102480396A (zh) * | 2010-11-30 | 2012-05-30 | 英业达股份有限公司 | 一种服务器系统及其连接方法 |
| CN102347874A (zh) * | 2011-11-10 | 2012-02-08 | 百度在线网络技术(北京)有限公司 | ftp和ssh服务监控方法及系统 |
| CN102801699A (zh) * | 2011-12-28 | 2012-11-28 | 北京安天电子设备有限公司 | 防止服务器数据篡改的系统、方法及设备 |
Non-Patent Citations (1)
| Title |
|---|
| 湖北省电力公司信息通信分公司: "《电力信息通信实用技术 电力信息部分》", 31 October 2013, 中国电力出版社 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108460279A (zh) * | 2018-03-12 | 2018-08-28 | 北京知道创宇信息技术有限公司 | 攻击识别方法、装置及计算机可读存储介质 |
| CN109753417A (zh) * | 2018-12-17 | 2019-05-14 | 新视家科技(北京)有限公司 | 异常进程管理方法及其装置、电子设备、计算机可读介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6334069B2 (ja) | 悪意のあるコードの検出の精度保証のためのシステムおよび方法 | |
| CN109829297B (zh) | 监控装置、方法及其电脑存储介质 | |
| US20220239687A1 (en) | Security Vulnerability Defense Method and Device | |
| KR20150109200A (ko) | 모바일 저장장치에 기반한 소프트웨어 검증 시스템 및 그 방법 | |
| US20190253432A1 (en) | Communication control method and communication control device | |
| EP2946327A1 (en) | Systems and methods for identifying and reporting application and file vulnerabilities | |
| JP2015511338A (ja) | サービスプロバイダによって提供されたipデータの信頼性を保証するための方法およびシステム | |
| JP2009543163A (ja) | ソフトウェア脆弱性悪用防止シールド | |
| US9578039B2 (en) | OAM security authentication method and OAM transmitting/receiving devices | |
| CN109241730B (zh) | 一种容器风险的防御方法、装置、设备及可读存储介质 | |
| US20190109824A1 (en) | Rule enforcement in a network | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| CN113163012B (zh) | 一种基于区块链的物联网设备管理方法及装置 | |
| CN105825124A (zh) | 一种服务器非法操作的监测方法和监测系统 | |
| CN115118504B (zh) | 知识库更新方法、装置、电子设备及存储介质 | |
| KR101592323B1 (ko) | 서버 장애 시 원격 서버 복구 시스템 및 방법 | |
| CN113922975A (zh) | 一种安全控制方法、服务器、终端、系统和存储介质 | |
| CN109886011B (zh) | 一种安全防护方法和装置 | |
| US20210103439A1 (en) | Methods, wireless modules, electronic devices and server devices | |
| KR20130125245A (ko) | 모바일 디바이스에서 소프트웨어 무결성 유지 방법 및 시스템 | |
| CN112751807B (zh) | 安全通信方法、装置、系统和存储介质 | |
| CN110830465B (zh) | 一种访问UKey的安全防护方法、服务器和客户端 | |
| KR101286767B1 (ko) | 동적 해싱을 이용한 애플리케이션 프로그램 검증 방법 | |
| CN114650175B (zh) | 一种验证方法及装置 | |
| CN109714351B (zh) | 一种资产保护方法及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160803 |